CA

Chartered Accountant
©
INDONESIA

BabV!
SISTEM INFORMASI DAN
PENGENDALIAN INTERNAL
(BAGIAN 2 )
DAN PENGENDALIAN INTERNAL

BAB VI
SISTEM INFORMASI DAN PENGENDALIAN
INTERNAL (BAGIAN 2 )

6.1 K o n s e p D a s a r Pengendalian Sistem I n f o r m a s i

Saat ini, hampir seluruh organisasi mengandalkan teknologi informasi ( T I ) . Manajemen ingin memastikan
bahwa informasi yang dihasilkan oleb sistem akuntansinya andal. Manajemen juga mengetahui investasinya
dalam T I merupakan informasi yang cost-effective. Oleb karena itu sangat penting untuk memastikan
adanya pengendalian yang memadai terbadap sumber-sumber daya T I untuk memastikan informasi yang
diberikan memenuhi tujuh kriteria utama dalam kerangka pengendalian C O B I T :

1. Efektivitas - informasi harus relevan dan tepat waktu

2. Efisiensi - informasi harus dihasilkan dengan cara yang paling bemat biaya
3. Kerabaasiaan - informasi sensitif harus dilindungi dari pengungkapan informasi yang tidak sab
4. Integritas - informasi harus akurat, lengkap dan valid
5. Ketersediaan - informasi harus tersedia kapanpun diperlukan
6. Kepatuban - pengendalian harus memastikan kepatuban dengan kebijakan internal dan dengan
ketentuan hokum dan perundang-undangan
7. K e a n d a l a n - manajemen harus memiliki akses ke dalam informasi yang diperlukan untuk melakukan
aktivitas sehari-hari untuk menjalankan amanabnya dan untuk menjalankan tanggungjawab tata
kelola.

Berdasarkan kerangka pengendalian C O B I T , proses I T u m u m yang harus dikelola dan dikendalikan dengan
baik dalam rangka mengbasilkan informasi yang memenuhi tujuh kriteria diatas dikelompokkan ke dalam
empat kelompok aktivitas manajemen berikut:

1. Perencanaan dan organisasi (plan and organize).

Terdapat sepulub proses penting untuk merencanakan dan mengelola sistem informasi organisasi, yakni:
a. Mendefinisikan perencanaan strategis T I
b. Mendefinisikan arsitektur informasi
c. Menentukan arahan terkait teknologi
d. Mendefinisikan proses, organisasi dan hubungan T I
e. Mengelola investasi T I
f. Mengkomunikasikan sasaran dan arahan manajemen
g. Mengelola sumber daya manusia T I
b. Mengelola kualitas
i. Menilai dan mengelola risiko T I

2. Perolehan dan implementasi (acquire and implement).

Terdapat tujuh proses penting untuk mendapatkan dan menerapkan solusi teknologi:
a. Mengidentifikasi solusi-solusi otomisasi
b. Perolehan dan pemeliharaan piranti lunak aplikasi
c. Perolehan dan pemeliharaan infrastruktur teknologi
d. Operasi dan penggunaan
e. Perolehan sumber daya T I
f. Mengelola perubahan
g. Memasang dan mengakreditasi solusi dan perubahan

Ikatan A k u n t a n Indonesia
3. Pelaksanaan dan dukungan{delivery and support).
Terdapat 12 proses penting untuk pelaksanaan sistem informasi yang efektif dan efisien serta
memberikan manajemen informasi yang diperlukan untuk menjalankan organisasi, yakni:
a. Mendefinisikan dan mengelola tingkat layanan
b. Mengelola layanan pibak-ketiga
c. Mengelola kinerja dan kapasitas
d. Memastikan layanan berkelanjutan
e. Mengidentifikasi dan mengalokasikan biaya
f. Mengedukasi dan melatib para pengguna
g. Mengelola meja layanan dan insiden
b. Mengelola konfigurasi
i. Mengelola masalab
j. Mengelola data
k. Mengelola lingkungan fisik
1. Mengelola operasi

4. Monitor dan evaluasi.

Terdapat empat proses penting untuk menilai operasi dari sistem informasi organisasi:
a. Monitor dan evaluasi kinerja T I
b. Monitor dan evaluasi pengendalian internal
c. Memastikan kepatuban dengan peraturan eksternal
d. Melaksanakan tata kelola T I

Dalam pengendalian internal atas keamanan sistem informasi, terdapat dua konsep fundamental yang perlu
dipabami, yakni:

1. Keamanan informasi merupakan persoalan manajemen, bukan persoalan teknologi

S O X mengharuskan para C E O dan C F O perusahaan untuk memberikan pernyataan babwa laporan
keuangan mencerminkan basil dari aktivitas perusahaan. Akurasi dari laporan keuangan perusahaan
bergantung pada keandalan sistem informasi. Dengan demikian, kemananan informasi merupakan
dasar dari keandalan sistem. Akibatnya, keamanan informasi merupakan tanggungjawab manajemen.

2. Defense-in-depth dan time-based model dari keamanan informasi

Ide defense-in-depth adalab menggunakan beberapa lapisan pengendalian untuk menghindari
adanya satu titik kegagalan. Misalnya, banyak organisasi tidak banya menggunakan frewall, namun
juga menggunakan metode-metode autentikasi (misalnya password, token, dan biometric) untuk
membatasi akses. Penggunaan pengendalian berlapis, tambahan, dan berulang dapat meningkatkan
efektivitas pengendalian secara keseluruban karena jika satu jenis pengendalian gagal masib ada
metode pengendalian lainnya yang berjalan sesuai rencana.

6.2 Pengendalian Preventif, K o r e k t i f d a n D e t e k t i f

6.2.1 Pengendalian Preventif

Organisasi hiasanya membatasi akses terbadap sumber-sumber daya informasi sebagai pengendalian
preventif atas keamanan T I . Lebib spesifiknya, contoh tindakan preventif dalam rangka mengendalikan
keamanan sumber T I antara lain:

Ikatan A k u n t a n Indonesia
1. Pelatihan
Manusia memegang peranan penting dalam keamanan informasi. Para pegawai harus memahami dan
mengikuti kebijakan keamanan organisasi. Sehingga, pelatihan merupakan pengendalian preventif.
Semua pegawai harus diajarkan mengapa keamanan sangat penting bagi keselamatan perusahaan
dalam jangka panjang. Mereka harus diajarkan untuk tidak berbagi password, tidak membuka email-
email yang mencurigakan, banya menggunakan piranti lunak yang asli, dan melakukan langkah-
langkah yang diperlukan untuk melindungi komputernya secara fisik.

2. Kendali atas akses para pengguna (autentifikasi dan otorisasi)

Tujuan dari pengendalian akses pengguna adalab untuk mengidentifikasi setiap orang yang mengakses
sistem informasi organisasi dan menelusuri tindakan-tindakan yang mereka lakukan. Terdapat dua
jenis pengendalian akses pengguna yang digunakan, yakni pengendalian otentifikasi yang membatasi
siapa saja yang dapat mengakses sistem informasi organisasi; dan pengendalian otorisasi yang
membatasi apa saja yang boleb dilakukan oleb setiap orang jika mereka diberikan akses terbadap
sistem informasi organisasi.

3. Kendali atas akses fisik

Kendali atas akses fisik dimulai dari titik masuk ke gedung tempat aset secara fisik berada. Idealnya,
banya ada satu titik masuk yang tidak terkunci selama j a m kerja normal. Pada kondisi darurat seperti
antisipasi atas kejadian kebakaran, hiasanya diperlukan pintu darurat keluar, namun akses terbadap
pintu darurat ini tidak boleb diberikan pada pibak luar dan barns dihubungkan dengan sistem alarm
yang secara otomatis akan berbunyi ketika pintu darurat terbuka. Selain itu, resepsionis atau petugas
jaga barns berada di lokasi pintu masuk utama untuk memverifikasi identitas pengunjung. Para
pengunjung barns mendafiarkan diri dan didampingi oleb karyawan kapanpun mereka masuk ke
dalam gedung.

D i dalam gedung, akses fisik ke ruangan tempat peralatan komputer berada juga barns dibatasi.
Ruangan ini barns selalu terkunci dan semua pintu masuk dan keluar barns di monitor dengan
sistem C C T V [closed-circuit television). Akses masuk yang gagal berkali-kali barns secara otomatis
memicu alarm berbunyi. Ruangan yang berisi server yang menyimpan data sensitif perusahaan barns
dilengkapi dengan kunci pengamanan yang lebib canggih, seperti card reader, numeric keypad, atau
berbagai peralatan biometric seperti mata atau retina, sidik jari, dan sebagainya.

Pengendalian atas akses fisik harus mempertimbangkan faktor biaya-manfaat. Dengan demikian
perlu adanya keterlibatan manajemen puncak dalam merencanakan pengendalian keamanan akses
fisik untuk memastikan babwa semua sumber sistem informasi telah dinilai dengan tepat serta sifat
dan kombinasi akses pengendalian merefleksikan nilai dari aset yang dijaga tersebut.

4. Kendali atas akses jaringan

Banyak perusahaan k i n i memberikan akses jarak jaub kepada para pegawai, pelanggan dan pemasok
terbadap sistem informasi perusahaan. Biasanya akses ini terjadi melalui internet. Namun di beberapa
perusahaan masib ada yang menggunakan jaringan khusus milik mereka sendiri atau menggunakan
akses dial-up langsung dengan modem. Banyak perusahaan juga kini memberikan akses nirkabel
terbadap sistem informasinya. Metode pengendalian yang dapat digunakan untuk mengendalikan
akses jaringan sesuai dengan C O B I T antara lain:

a. Menggunakan batasan-batasan pengamanan seperti router, frewall dan intrusion prevention

system lainnya. Piranti yang disebut border router menghubungkan sistem informasi organisasi ke
internet. Dibalik setiap border router terdapat frewall utama. Router dan frewall ini bersama-sama
bertindak sebagai filter untuk mengendalikan informasi apa saja yang boleb dimasuki dan diambil
dari sistem informasi organisasi.

Ikatan A k u n t a n Indonesia
 DAN PENGENDALIAN INTERNAL

b. Perlindungan terbadap pengiriman data, dengan menggunakan Transmission Control Protocol/

Internet Protocol yang mengatur prosedur membagi file dan dokumen ke dalam paket-paket untuk
dikirim melalui internet dan metode untuk menyusun kembali data tersebut ke dalam file atau
dokumen originalnya setelab diterima di tempat tujuan.

c. Perlindungan terbadap akses nirlaba dengan mengaktifkan fitur-fitur pengaman yang ada;
otentikasi semua peralatan yang akan digunakan untuk mengakses data nirkabel ke jaringan
sebelum memberikan I P address ke setiap peralatan tersebut; konfigurasi semua piranti nirlaba
agar banya beroperasi dalam mode infrastruktur, yang mengharuskan piranti tersebut terbubung
banya dengan titik akses nirkabel; penggunaan nama yang tidak informatif untuk alamat titik akses,
yang dinamakan dengan service set identifier (SSID) agar tidak mudah menjadi target serangan;
mengurangi kekuatan broadcast titik akses nirkabel, menempatkannya di dalam interior ruangan
dan menggunakan antena pengarab agar data yang tidak terotorisasi tidak mudah masuk; dan
penggunaan enkripsi atas semua trafik nirkabel.

Kendali atas piranti keras dan piranti lunak

Router, firewall dan intrusion prevention system didesain untuk melindungi jaringan. Namun,
sebagaimana halnya rumab yang dilengkapi dengan kunci pengaman tambahan, perusahaan juga
dapat meningkatkan pengendalian dengan melakukan pengendalian pencegaban tambahan pada
perimeter jaringannya dengan memberikan pencegaban tambahan pada workstations, server, printer
dan piranti lainnya (yang secara kolektif disebut end-point). Terdapat tiga area yang harus mendapat
perhatian khusus yakni (1) konfigurasi end-point, (2) manajemen akun pengguna, (3) rancangan
piranti lunak.

Konfigurasi end-point dapat dibuat dengan lebib aman dengan memodifikasi konfigurasinya.
Konfigurasi standar (default) di bampir semua piranti kerja biasanya mengaktifkan semua pengaturan
opsional yang seringkali jarang atau tidak pernab digunakan. Demikian pula, instalasi standar di
bampir semua sistem operasi mengaktifkan banyak sekali program bertujuan khusus, yang disebut
service, yang tidak penting. Setiap program yang berjalan mencerminkan titik potensial serangan
karena adanya kemungkinan titik-titik kelemahan didalamnya, yang disebut dengan vulnerabilities,
yang dapat dieksploitasi menjadi sistem yang rusak (crush) atau pengambilaliban kendali atas sistem
tersebut. Piranti yang disebut vulnerability scanner dapat digunakan untuk mengidentifikasi program-
program yang tidak digunakan sehingga potensi ancaman keamanannya bisa dicegah.

Sesuai dengan C O B I T control objective DS5.4, manajemen akun pengguna khususnya dibutuhkan
akun-akun yang memiliki bak tidak terbatas (administratif) atas komputer. H a k administratif
diperlukan dalam rangka memasang piranti lunak dan mengubah banyak pengaturan konfigurasi.
Kekuasaan yang sangat besar i n i menjadikan akun-akun yang memiliki bak administratif menjadi
sasaran utama para penyerang sistem. Selain itu, banyak vulnerabilities yang banya mempengaruhi
akun-akun yang memiliki bak administratif. Oleb karena itu, pegawai yang memerlukan kekuasaan
administratif atas komputer tertentu harus diberikan dua akun: satu akun dengan bak admnistratif,
dan satu akun lainnya yang banya memiliki bak yang terbatas. Para pegawai yang memiliki bak
administratif ini harus dilatih untuk menggunakan akun dengan bak terbatas untuk melakukan tugas-
tugas barian rutin, dan baru menggunakan akun dengan bak administratif jika diperlukan untuk
melakukan tindakan tertentu seperti pemasangan piranti lunak baru, yang memang memerlukan bak
administratif.

Ikatan A k u n t a n Indonesia
M W I G J I L L L L L L I M V I
DAN PENGENDALIAN INTERNAL

6.2.2 Pengendalian Detektif

Pengendalian detektif meningkatkan keamanan dengan cara memonitor efektivitas pengendalian preventif
dan mendeteksi insiden yang berhasil ditangani oleb pengendalian preventif. Pengendalian deteksi yang
digunakan antara lain:

1. Analisis Log
Hampir sebagian besar sistem memiliki kapabilitas yang besar untuk mencatat siapa saja yang
mengakses sistem dan tindakan spesifik apa saja yang dilakukan oleb setiap pengguna. Log atau catatan
ini membentuk suatu jejak audit {audit trail) atas akses sistem. Sama halnya dengan jejak audit lainnya,
catatan-catatan i n i banya bermakna jika secara rutin diperiksa. Log analysis merupakan proses untuk
memeriksa catatan atas siapa saja yang mengakses sistem dan secara spesifik apa saja yang dilakukan
oleb setiap pengguna ketika mengakses sistem untuk mengidentifikasi potensi kemungkinan serangan
yang dapat terjadi.

2. Intrusion Detection System

Intrusion Detection System (IDS) berisi seperangkat sensor dan unit monitoring pusat yang
mengbasilkan catatan trafik jaringan yang telah diizinkan untuk melewati firewall dan kemudian
menganalisis catatan tersebut untuk mendeteksi adanya tanda-tanda usaba untuk melakukan intrusi/
gangguan atau gangguan yang sudab terjadi.

3. Laporan Manajemen
C O B I T bagian M E I dan M E 2 mengharuskan manajemen untuk memonitor dan mengevaluasi kinerja
sistem maupun pengendalian sistem. Kerangka C O B I T memberikan panduan bagi manajemen
untuk mengidentifikasi faktor kunci kesuksesan yang terkait dengan setiap tujuan pengendalian dan
menyarankan indikator kinerja kunci yang dapat digunakan oleb manajemen dalam memonitor dan
menilai efektivitas pengendalian.

4. Pengujian Keamanan
C O B I T control objective D S 5.5 mencatat perlunya dilakukan pengujian secara berkala atas efektivitas
prosedur pengamanan yang saat ini sudab ada. Salah satunya adalab dengan menggunakan vulnerability
scanner untuk mengidentifikasi potensi kelemahan dalam konfigurasi sistem. Selain itu, penetration
testing juga dapat digunakan sebagai alat tes yang lebib kuat untuk menuji efektivitas keamanan
informasi perusahaan. Penetration test merupakan usaba yang disahkan yang dilakukan oleb tim audit
intern atau tim konsultan T I eksternal untuk menerobos masuk ke dalam sistem informasi organisasi.
T i m i n i mencoba semua cara yang mungkin untuk menerobos keamanan sistem perusahaan. H a l
ini perlu dilakukan untuk mengidentifikasi dimana saja perlindungan khusus harus diberikan untuk
mencegah adanya akses tidak sab terbadap sistem perusahaan.

6.2.3 Pengendalian Korektif

Banyak pengendalian korektif yang mengandalkan penilaian manusia. Konsekuensinya, efektivitasnya

tergantung pada sejaub mana perencanaan dan persiapan sudab dilakukan. H a l i n i menyebabkan G O B I
control objective D S 5.6 mengharuskan untuk mendefinisikan dan mengkomunikasikan karakteristik
insiden keamanan untuk memfasilitas klasifikasi dan perlakuan yang tepat.

1. Pengendalian U m u m dan Pengendalian A p l i k a s i

Secara sederhana, pengendalian umum adalab semua bentuk pengendalian yang tidak terkait
langsung dengan aplikasi komputer. Contohnya, memastikan babwa ruang kantor terkunci, kemudian
penempatan satpam di tugas jaga. Sedangkan pengendalian aplikasi adalab semua pengendalian
terkait dengan aplikasi tertentu. Semua pengendalian yang dilekatkan dengan satu aplikasi.

Ikatan A k u n t a n Indonesia
 DAN PENGENDALIAN INTERNAL

A. Pengendalian Umum
Pengendalian u m u m meliputi:

a. Pengendalian organisasi
Organisasi menetapkan hubungan kerja antara karyawan dan unit organisasi. Struktur
organisasi dirancang sedemikian rupa sehingga menghasilkan organisasi yang independen.
Organisasi yang independen adalah struktur organisasi yang memisahkan wewenang dan
tanggung jawab sedemikian rupa sehingga fungsi yang tidak kompatibel dipisahkan. Selain
melalui pemisahan tugas, pengendalian juga dicapai dengan monitoring.

Dalam sistem manual, karyawan yang menangani aset mesti dipisahkan dari karyawan yang
memiliki otorisasi untuk melaksanakan suatu transaksi dan karyawan yang bertanggung
jawab untuk mencatat transaksi.

Sistem informasi memiliki tanggungjawab untuk merekam dan memproses data. Oleh karena
itu sistem informasi mesti independen dari semua departemen yang menggunakan data dan
informasi tersebut. Departemen pengguna adalah departemen yang memiliki tanggungjawab
untuk menginisiasi dan mengotorisasi transaksi. Selain itu, fungsi pengembangan sistem
mesti dipisahkan dari sistem pemrosesan transaksi.

b. Pengendalian dokumentasi

Dokumentasi yang baik berguna untuk efisiensi dalam perbaikan bug system, untuk efisiensi
dalam pengembangan tambahan aplikasi baru, serta untuk pelatihan karyawan dalam
mengenalkan sistem aplikasi.

Dokumentasi yang diperlukan meliputi:

a) Kebijakan terkait dengan sistem, seperti kebijakan pengembangan sistem, kebijakan
pengujian sistem, kebijakan operasi komputer, dan kebijakan penanganan bencana dan
keamanan sistem.
b) Dokumentasi aplikasi sistem, seperti flowchart, data fow diagram, kode rekening,
deskripsi prosedur, prosedur koreksi kesalahan, prosedur pengendalian, deskripsi file
(termasuk kamus data), format output sistem, dan deskripsi input output sistem.
c) Dokumentasi program.
d) Dokumentasi data.
e) Dokumentasi operasi.
f) Dokumentasi untuk pengguna.

c. Pengendalian akuntabilitas aset

Pengendalian akuntabilitas aset perusahaan dapat dilakukan dengan cara:
a) Penggunaan buku pembantu dalam catatan akuntansi.
b) Rekonsiliasi atas catatan dengan perhitungan fisik aset (seperti rekonsiliasi kas dan
persediaan).
c) Prosedur acknowledgement sebagai bentuk wujud pertanggungjawaban atas aset yang
ditangani oleh seseorang atau suatu bagian.
d) Penggunaan log dan register.
e) Review independen.

d. Pengendalian praktik manajemen

Pengendalian praktik manajemen i n i meliputi kebijakan dan praktik sumber daya manusia,
komitmen terhadap kompetensi, praktik perencanaan, praktik audit, dan pengendalian
pengembangan sistem aplikasi (prosedur perubahan sistem dan prosedur pengembangan

Ikatan A k u n t a n Indonesia
 DAN PENGENDALIAN INTERNAL

sistem baru).
e. Pengendalian operasi pusat informasi
f. Pengendalian otorisasi
g. Pengendalian akses

B. Pengendalian Aplikasi
Pengendalian aplikasi adalah pengendalian terkait dengan aplikasi (peranti lunak) tertentu.
Pengendalian aplikasi ini meliputi pengendalian input, pengendalian proses dan pengendalian
output.

a. Pengendalian Masukan
Pengendalian aplikasi input yang lazim diterapkan dalam suatu peranti lunak antara lain:
a) Otorisasi. Otorisasi membatasi orang yang dapat mengakses data atau mengakses aplikasi
tertentu. Otorisasi i n i dapat diterapkan melalui penggunaan nama login dan password.
b) Approval (persetujuan). Transaksi dapat diproses lebih lanjut, setelah adanya approval
dari pihak yang berwenang.
c) Menandai dokumen yang sudah diinput agar tidak terjadi penginputan ganda dari satu
dokumen yang sama.
d) Pengecekan format. Memastikan bahwa pengguna memasukkan data sesuai dengan tipe
data yang benar. Sebagai contoh, field nama tentunya tidak boleh memuat data selain
alfabet dan field tanggal mestinya tidak akan menerima masukan selain tanggal.
e) Pengecekan kelengkapan user dalam memasukkan data. Misalkan, untuk setiap
konsumen baru harus ada alamat dan nomor telpon. Oleh karena itu, jika pengguna tidak
mengisi field alamat dan nomor telpon, maka penambahan user baru tersebut tidak dapat
disimpan.
f) Test reasonableness. Maksudnya, kebenaran data yang diinput dibandingkan dengan
satu nilai yang wajar. Sebagai contoh, dalam satu minggu seorang karyawan, maksimum
bisa lembur 18 jam (setelah mereka bekerja selama 40 j a m ) . Jadi, jika karyawan bagian
personalia keliru memasukkan j a m lembur lebih dari 18 jam, maka program dapat dibuat
untuk menampilkan peringatan bahwa total j a m lembur diluar kewajaran. Transaksi
mungkin akan tetap diterima dan diproses, tetapi, komputer dapat dibuat otomatis
menghasilkan exception report kepada atasan yang terkait.
g) Validity Cek. Cek yang berguna untuk memastikan bahwa user memasukkan data yang
valid. Valid dalam artian, sesuai dengan sumber data di master file. Perancang sistem
dapat menggunakan listbox untuk memaksa user memilih dari alternatif yang tersedia.
h) Readback. Meminta konfirmasi dari pengguna untuk mengecek kembali data yang telah
dimasukkan.
i) Batch control total.

b. Pengendalian Proses
Pengendalian proses (processing controls) ialah pengendalian intern untuk mendeteksi jangan
sampai data (khususnya data yang sesungguhnya sudah valid) menjadi salah karena adanya
kesalahan proses.
Kemungkinan yang paling besar untuk menimbulkan terjadinya eror adalah kesalahan logika
program, salah rumus, salah urutan program, ketidakterpaduan antar subsistem atupun kesalahan
teknis lainnya.

c. Pengendalian Keluaran
Pengendalian keluaran (output controls) ialah pengendalian intern untuk mendeteksi jangan sampai
informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan
kepada orang-orang yang tidak berhak. Kemungkinan resiko yang dihadapi yang terkait dengan

58 Ikatan A k u n t a n Indonesia
 DAN PENGENDALIAN INTERNAL

keluaran ialah seperti telah disebutkan di atas: laporan tidak akurat, tidak lengkap, terlambat atau
data tidak up to date, banyak item data yang tidak relevan, bias, dibaca oleh pihak yang tidak berhak.
Dalam sistem yang sudah lebih terbuka (menggunakan jaringan komunikasi publik) potensi akses
oleh hacker, cracker atau orang yang tidak berwenang lainnya menjadi m a k i n tinggi.

2. Mengidentifikasi dan Menjelaskan Pengendalian yang Dirancang untuk Melindungi Kerahasiaan

Informasi yang Sensitif dan Privasi dari Informasi Personal Pelanggan
Organisasi harus melindungi informasi yang sensitif seperti rencana strategis, rahasia dagang,
informasi biaya, dokumen-dokumen hukum, dan perbaikan proses. Tindakan yang harus dilakukan
untuk melindungi kerahasiaan informasi sensitif perusahaan antara lain:

a. Identifikasi dan klasifikasi informasi yang harus dilindungi

H a l i n i merupakan langkah pertama yang dilakukan untuk mengidentifikasi dimana informasi
sensitif tersebut berada dan siapa yang memiliki akses terhadap informasi tersebut. Setelah
diidentifikasi, langkah selanjutnya adalah mengklasifikasikan informasi tersebut dengan cara
menilai seberapa penting informasi tersebut bagi perusahaan. Proses klasifikasi informasi i n i perlu
melibatkan manajemen senior untuk mengetahui nilai informasi tersebut bagi perusahaan. Setelah
diidentifikasi, perangkat pengendalian yang tepat dapat digunakan untuk melindungi informasi
sensitif tersebut.

b. Melindungi kerahasiaan dengan enkripsi

Enkripsi merupakan satu-satunya cara untuk melindungi informasi yang singgah melalui internet.
H a l i n i juga merupakan suatu bagian dari defense-in-depth untuk melindungi informasi yang
disimpan di website atau di jaringan umum.

c. Pengendalian akses terhadap informasi sensitif

Piranti lunak information rights management ( I R M ) memberikan tambahan perlindungan untuk
sumber informasi tertentu, memberikan kemampuan tidak hanya membatasi akses ke arsip atau
dokumen tertentu, namun juga terhadap tindakan tertentu (seperti membaca, menyalin, mencetak,
mengunduh ke U S B , dsb) yang diberikan kepada setiap orang untuk mengakses sumber daya
tersebut. Beberapa piranti lunak I R M bahkan mampu membatasi privilege dalam periode waktu
tertentu dan untuk menghapus arsip yang dilindungi dari jarak jauh.

d. Pelatihan
Para pegawai harus mengetahui informasi apa yang boleh mereka bagi dengan pihak eksternal dan
informasi apa yang harus dilindungi. Mereka juga harus diajarkan bagaimana caranya melindungi
data rahasia. Pelatihan juga sangat penting untuk menggunakan email dengan tepat, pesan singkat,
dan hlog, karena tidak mungkin untuk mengendalikan distribusi informasi berikutnya setelah
informasi tersebut diterbitkan atau dikirim melalui salah satu media di atas.

3. Mengidentifikasi dan Menejlaskan Pengendalian yang Dirancang untuk Memastikan Integritas

Pemrosesan dan Ketersediaan Sistem
Prinsip kerangka privasi The Trust Service terkait erat dengan prinsip kerahasiaan, namun perbedaan
mendasarnya adalah privasi lebih menekankan pada perlindungan atas informasi personal mengenai
pelanggan daripada data organisasi. Akibatnya, pengendalian yang perlu diterapkan untuk melindungi
privasi adalah perlindungan yang sama seperti perlindungan atas kerahasiaan, yakni: identifikasi
informasi yang harus dilindungi, enkripsi, kendali atas akses dan pelatihan.

Pengendalian Privasi
Langkah pertama dalam melindungi privasi informasi personal yang didapatkan dari pelanggan adalah
untuk mengidentifikasi informasi apa yang didapatkan, dimana disimpan informasi tersebut dan siapa
saja yang boleh mengakses informasi tersebut. H a l i n i penting untuk menerapkan pengendalian untuk

Ikatan A k u n t a n Indonesia 59
DAN PENGENDALIAN INTERNAL

melindungi informasi tersebut karena insiden yang melibatkan pengungkapan informasi pribadi pelanggan
baik itu disengaja maupun tidak, sangat memakan biaya.

Fokus Privasi
D u a fokus utama dalam perlindungan atas privasi data terkait pelanggan adalah spam dan pencurian
identitas. Spam merupakan email yang masuk tanpa diminta yang berisi iklan atau konten yang ofensif.
Spam merupakan isu yang terkait dengan privasi karena penerima seringkali ditargetkan sebagai hasil dari
akses yang tidak sah atas daftar alamat email dan database yang berisi informasi personal. Spam tidak hanya
mengurangi efisiensi manfaat email namun juga merupakan sumber dari banyak virus, worms, spyware
programs, dan jenis malware lainnya.

Fokus isu privasi lainnya adalah pencurian identitas yang merupakan penggunaan informasi personal milik
orang lain tanpa seijin orang tersebut, yang dilakukan untuk kepentingan si pencuri identitas itu sendiri.
Seringkali pencurian identitas merupakan kejahatan finansial, dimana si pelaku mendapatkan pinjaman atau
membuka kartu kredit baru atas nama si korban dan terkadang menjarah akun bank si korban. Perusahaan
harus berperan penting dalam mencegah pencurian identitas karena para pelanggan mempercayakan
informasi pribadi mereka pada perusahaan. Sehingga perusahaan memiliki kewajiban moral dan etis untuk
menerapkan pengendalian dalam melindungi informasi personal yang mereka dapatkan dari pelanggan
mereka.

Ikatan A k u n t a n Indonesia