Chartered Accountant
©
INDONESIA
BabV!
SISTEM INFORMASI DAN
PENGENDALIAN INTERNAL
(BAGIAN 2 )
DAN PENGENDALIAN INTERNAL
BAB VI
SISTEM INFORMASI DAN PENGENDALIAN
INTERNAL (BAGIAN 2 )
Saat ini, hampir seluruh organisasi mengandalkan teknologi informasi ( T I ) . Manajemen ingin memastikan
bahwa informasi yang dihasilkan oleb sistem akuntansinya andal. Manajemen juga mengetahui investasinya
dalam T I merupakan informasi yang cost-effective. Oleb karena itu sangat penting untuk memastikan
adanya pengendalian yang memadai terbadap sumber-sumber daya T I untuk memastikan informasi yang
diberikan memenuhi tujuh kriteria utama dalam kerangka pengendalian C O B I T :
Berdasarkan kerangka pengendalian C O B I T , proses I T u m u m yang harus dikelola dan dikendalikan dengan
baik dalam rangka mengbasilkan informasi yang memenuhi tujuh kriteria diatas dikelompokkan ke dalam
empat kelompok aktivitas manajemen berikut:
Ikatan A k u n t a n Indonesia
3. Pelaksanaan dan dukungan{delivery and support).
Terdapat 12 proses penting untuk pelaksanaan sistem informasi yang efektif dan efisien serta
memberikan manajemen informasi yang diperlukan untuk menjalankan organisasi, yakni:
a. Mendefinisikan dan mengelola tingkat layanan
b. Mengelola layanan pibak-ketiga
c. Mengelola kinerja dan kapasitas
d. Memastikan layanan berkelanjutan
e. Mengidentifikasi dan mengalokasikan biaya
f. Mengedukasi dan melatib para pengguna
g. Mengelola meja layanan dan insiden
b. Mengelola konfigurasi
i. Mengelola masalab
j. Mengelola data
k. Mengelola lingkungan fisik
1. Mengelola operasi
Dalam pengendalian internal atas keamanan sistem informasi, terdapat dua konsep fundamental yang perlu
dipabami, yakni:
Organisasi hiasanya membatasi akses terbadap sumber-sumber daya informasi sebagai pengendalian
preventif atas keamanan T I . Lebib spesifiknya, contoh tindakan preventif dalam rangka mengendalikan
keamanan sumber T I antara lain:
Ikatan A k u n t a n Indonesia
1. Pelatihan
Manusia memegang peranan penting dalam keamanan informasi. Para pegawai harus memahami dan
mengikuti kebijakan keamanan organisasi. Sehingga, pelatihan merupakan pengendalian preventif.
Semua pegawai harus diajarkan mengapa keamanan sangat penting bagi keselamatan perusahaan
dalam jangka panjang. Mereka harus diajarkan untuk tidak berbagi password, tidak membuka email-
email yang mencurigakan, banya menggunakan piranti lunak yang asli, dan melakukan langkah-
langkah yang diperlukan untuk melindungi komputernya secara fisik.
D i dalam gedung, akses fisik ke ruangan tempat peralatan komputer berada juga barns dibatasi.
Ruangan ini barns selalu terkunci dan semua pintu masuk dan keluar barns di monitor dengan
sistem C C T V [closed-circuit television). Akses masuk yang gagal berkali-kali barns secara otomatis
memicu alarm berbunyi. Ruangan yang berisi server yang menyimpan data sensitif perusahaan barns
dilengkapi dengan kunci pengamanan yang lebib canggih, seperti card reader, numeric keypad, atau
berbagai peralatan biometric seperti mata atau retina, sidik jari, dan sebagainya.
Pengendalian atas akses fisik harus mempertimbangkan faktor biaya-manfaat. Dengan demikian
perlu adanya keterlibatan manajemen puncak dalam merencanakan pengendalian keamanan akses
fisik untuk memastikan babwa semua sumber sistem informasi telah dinilai dengan tepat serta sifat
dan kombinasi akses pengendalian merefleksikan nilai dari aset yang dijaga tersebut.
Ikatan A k u n t a n Indonesia
DAN PENGENDALIAN INTERNAL
c. Perlindungan terbadap akses nirlaba dengan mengaktifkan fitur-fitur pengaman yang ada;
otentikasi semua peralatan yang akan digunakan untuk mengakses data nirkabel ke jaringan
sebelum memberikan I P address ke setiap peralatan tersebut; konfigurasi semua piranti nirlaba
agar banya beroperasi dalam mode infrastruktur, yang mengharuskan piranti tersebut terbubung
banya dengan titik akses nirkabel; penggunaan nama yang tidak informatif untuk alamat titik akses,
yang dinamakan dengan service set identifier (SSID) agar tidak mudah menjadi target serangan;
mengurangi kekuatan broadcast titik akses nirkabel, menempatkannya di dalam interior ruangan
dan menggunakan antena pengarab agar data yang tidak terotorisasi tidak mudah masuk; dan
penggunaan enkripsi atas semua trafik nirkabel.
Konfigurasi end-point dapat dibuat dengan lebib aman dengan memodifikasi konfigurasinya.
Konfigurasi standar (default) di bampir semua piranti kerja biasanya mengaktifkan semua pengaturan
opsional yang seringkali jarang atau tidak pernab digunakan. Demikian pula, instalasi standar di
bampir semua sistem operasi mengaktifkan banyak sekali program bertujuan khusus, yang disebut
service, yang tidak penting. Setiap program yang berjalan mencerminkan titik potensial serangan
karena adanya kemungkinan titik-titik kelemahan didalamnya, yang disebut dengan vulnerabilities,
yang dapat dieksploitasi menjadi sistem yang rusak (crush) atau pengambilaliban kendali atas sistem
tersebut. Piranti yang disebut vulnerability scanner dapat digunakan untuk mengidentifikasi program-
program yang tidak digunakan sehingga potensi ancaman keamanannya bisa dicegah.
Sesuai dengan C O B I T control objective DS5.4, manajemen akun pengguna khususnya dibutuhkan
akun-akun yang memiliki bak tidak terbatas (administratif) atas komputer. H a k administratif
diperlukan dalam rangka memasang piranti lunak dan mengubah banyak pengaturan konfigurasi.
Kekuasaan yang sangat besar i n i menjadikan akun-akun yang memiliki bak administratif menjadi
sasaran utama para penyerang sistem. Selain itu, banyak vulnerabilities yang banya mempengaruhi
akun-akun yang memiliki bak administratif. Oleb karena itu, pegawai yang memerlukan kekuasaan
administratif atas komputer tertentu harus diberikan dua akun: satu akun dengan bak admnistratif,
dan satu akun lainnya yang banya memiliki bak yang terbatas. Para pegawai yang memiliki bak
administratif ini harus dilatih untuk menggunakan akun dengan bak terbatas untuk melakukan tugas-
tugas barian rutin, dan baru menggunakan akun dengan bak administratif jika diperlukan untuk
melakukan tindakan tertentu seperti pemasangan piranti lunak baru, yang memang memerlukan bak
administratif.
Ikatan A k u n t a n Indonesia
M W I G J I L L L L L L I M V I
DAN PENGENDALIAN INTERNAL
Pengendalian detektif meningkatkan keamanan dengan cara memonitor efektivitas pengendalian preventif
dan mendeteksi insiden yang berhasil ditangani oleb pengendalian preventif. Pengendalian deteksi yang
digunakan antara lain:
1. Analisis Log
Hampir sebagian besar sistem memiliki kapabilitas yang besar untuk mencatat siapa saja yang
mengakses sistem dan tindakan spesifik apa saja yang dilakukan oleb setiap pengguna. Log atau catatan
ini membentuk suatu jejak audit {audit trail) atas akses sistem. Sama halnya dengan jejak audit lainnya,
catatan-catatan i n i banya bermakna jika secara rutin diperiksa. Log analysis merupakan proses untuk
memeriksa catatan atas siapa saja yang mengakses sistem dan secara spesifik apa saja yang dilakukan
oleb setiap pengguna ketika mengakses sistem untuk mengidentifikasi potensi kemungkinan serangan
yang dapat terjadi.
3. Laporan Manajemen
C O B I T bagian M E I dan M E 2 mengharuskan manajemen untuk memonitor dan mengevaluasi kinerja
sistem maupun pengendalian sistem. Kerangka C O B I T memberikan panduan bagi manajemen
untuk mengidentifikasi faktor kunci kesuksesan yang terkait dengan setiap tujuan pengendalian dan
menyarankan indikator kinerja kunci yang dapat digunakan oleb manajemen dalam memonitor dan
menilai efektivitas pengendalian.
4. Pengujian Keamanan
C O B I T control objective D S 5.5 mencatat perlunya dilakukan pengujian secara berkala atas efektivitas
prosedur pengamanan yang saat ini sudab ada. Salah satunya adalab dengan menggunakan vulnerability
scanner untuk mengidentifikasi potensi kelemahan dalam konfigurasi sistem. Selain itu, penetration
testing juga dapat digunakan sebagai alat tes yang lebib kuat untuk menuji efektivitas keamanan
informasi perusahaan. Penetration test merupakan usaba yang disahkan yang dilakukan oleb tim audit
intern atau tim konsultan T I eksternal untuk menerobos masuk ke dalam sistem informasi organisasi.
T i m i n i mencoba semua cara yang mungkin untuk menerobos keamanan sistem perusahaan. H a l
ini perlu dilakukan untuk mengidentifikasi dimana saja perlindungan khusus harus diberikan untuk
mencegah adanya akses tidak sab terbadap sistem perusahaan.
Ikatan A k u n t a n Indonesia
DAN PENGENDALIAN INTERNAL
A. Pengendalian Umum
Pengendalian u m u m meliputi:
a. Pengendalian organisasi
Organisasi menetapkan hubungan kerja antara karyawan dan unit organisasi. Struktur
organisasi dirancang sedemikian rupa sehingga menghasilkan organisasi yang independen.
Organisasi yang independen adalah struktur organisasi yang memisahkan wewenang dan
tanggung jawab sedemikian rupa sehingga fungsi yang tidak kompatibel dipisahkan. Selain
melalui pemisahan tugas, pengendalian juga dicapai dengan monitoring.
Dalam sistem manual, karyawan yang menangani aset mesti dipisahkan dari karyawan yang
memiliki otorisasi untuk melaksanakan suatu transaksi dan karyawan yang bertanggung
jawab untuk mencatat transaksi.
Sistem informasi memiliki tanggungjawab untuk merekam dan memproses data. Oleh karena
itu sistem informasi mesti independen dari semua departemen yang menggunakan data dan
informasi tersebut. Departemen pengguna adalah departemen yang memiliki tanggungjawab
untuk menginisiasi dan mengotorisasi transaksi. Selain itu, fungsi pengembangan sistem
mesti dipisahkan dari sistem pemrosesan transaksi.
b. Pengendalian dokumentasi
Dokumentasi yang baik berguna untuk efisiensi dalam perbaikan bug system, untuk efisiensi
dalam pengembangan tambahan aplikasi baru, serta untuk pelatihan karyawan dalam
mengenalkan sistem aplikasi.
Ikatan A k u n t a n Indonesia
DAN PENGENDALIAN INTERNAL
sistem baru).
e. Pengendalian operasi pusat informasi
f. Pengendalian otorisasi
g. Pengendalian akses
B. Pengendalian Aplikasi
Pengendalian aplikasi adalah pengendalian terkait dengan aplikasi (peranti lunak) tertentu.
Pengendalian aplikasi ini meliputi pengendalian input, pengendalian proses dan pengendalian
output.
a. Pengendalian Masukan
Pengendalian aplikasi input yang lazim diterapkan dalam suatu peranti lunak antara lain:
a) Otorisasi. Otorisasi membatasi orang yang dapat mengakses data atau mengakses aplikasi
tertentu. Otorisasi i n i dapat diterapkan melalui penggunaan nama login dan password.
b) Approval (persetujuan). Transaksi dapat diproses lebih lanjut, setelah adanya approval
dari pihak yang berwenang.
c) Menandai dokumen yang sudah diinput agar tidak terjadi penginputan ganda dari satu
dokumen yang sama.
d) Pengecekan format. Memastikan bahwa pengguna memasukkan data sesuai dengan tipe
data yang benar. Sebagai contoh, field nama tentunya tidak boleh memuat data selain
alfabet dan field tanggal mestinya tidak akan menerima masukan selain tanggal.
e) Pengecekan kelengkapan user dalam memasukkan data. Misalkan, untuk setiap
konsumen baru harus ada alamat dan nomor telpon. Oleh karena itu, jika pengguna tidak
mengisi field alamat dan nomor telpon, maka penambahan user baru tersebut tidak dapat
disimpan.
f) Test reasonableness. Maksudnya, kebenaran data yang diinput dibandingkan dengan
satu nilai yang wajar. Sebagai contoh, dalam satu minggu seorang karyawan, maksimum
bisa lembur 18 jam (setelah mereka bekerja selama 40 j a m ) . Jadi, jika karyawan bagian
personalia keliru memasukkan j a m lembur lebih dari 18 jam, maka program dapat dibuat
untuk menampilkan peringatan bahwa total j a m lembur diluar kewajaran. Transaksi
mungkin akan tetap diterima dan diproses, tetapi, komputer dapat dibuat otomatis
menghasilkan exception report kepada atasan yang terkait.
g) Validity Cek. Cek yang berguna untuk memastikan bahwa user memasukkan data yang
valid. Valid dalam artian, sesuai dengan sumber data di master file. Perancang sistem
dapat menggunakan listbox untuk memaksa user memilih dari alternatif yang tersedia.
h) Readback. Meminta konfirmasi dari pengguna untuk mengecek kembali data yang telah
dimasukkan.
i) Batch control total.
b. Pengendalian Proses
Pengendalian proses (processing controls) ialah pengendalian intern untuk mendeteksi jangan
sampai data (khususnya data yang sesungguhnya sudah valid) menjadi salah karena adanya
kesalahan proses.
Kemungkinan yang paling besar untuk menimbulkan terjadinya eror adalah kesalahan logika
program, salah rumus, salah urutan program, ketidakterpaduan antar subsistem atupun kesalahan
teknis lainnya.
c. Pengendalian Keluaran
Pengendalian keluaran (output controls) ialah pengendalian intern untuk mendeteksi jangan sampai
informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan
kepada orang-orang yang tidak berhak. Kemungkinan resiko yang dihadapi yang terkait dengan
58 Ikatan A k u n t a n Indonesia
DAN PENGENDALIAN INTERNAL
keluaran ialah seperti telah disebutkan di atas: laporan tidak akurat, tidak lengkap, terlambat atau
data tidak up to date, banyak item data yang tidak relevan, bias, dibaca oleh pihak yang tidak berhak.
Dalam sistem yang sudah lebih terbuka (menggunakan jaringan komunikasi publik) potensi akses
oleh hacker, cracker atau orang yang tidak berwenang lainnya menjadi m a k i n tinggi.
d. Pelatihan
Para pegawai harus mengetahui informasi apa yang boleh mereka bagi dengan pihak eksternal dan
informasi apa yang harus dilindungi. Mereka juga harus diajarkan bagaimana caranya melindungi
data rahasia. Pelatihan juga sangat penting untuk menggunakan email dengan tepat, pesan singkat,
dan hlog, karena tidak mungkin untuk mengendalikan distribusi informasi berikutnya setelah
informasi tersebut diterbitkan atau dikirim melalui salah satu media di atas.
Pengendalian Privasi
Langkah pertama dalam melindungi privasi informasi personal yang didapatkan dari pelanggan adalah
untuk mengidentifikasi informasi apa yang didapatkan, dimana disimpan informasi tersebut dan siapa
saja yang boleh mengakses informasi tersebut. H a l i n i penting untuk menerapkan pengendalian untuk
Ikatan A k u n t a n Indonesia 59
DAN PENGENDALIAN INTERNAL
melindungi informasi tersebut karena insiden yang melibatkan pengungkapan informasi pribadi pelanggan
baik itu disengaja maupun tidak, sangat memakan biaya.
Fokus Privasi
D u a fokus utama dalam perlindungan atas privasi data terkait pelanggan adalah spam dan pencurian
identitas. Spam merupakan email yang masuk tanpa diminta yang berisi iklan atau konten yang ofensif.
Spam merupakan isu yang terkait dengan privasi karena penerima seringkali ditargetkan sebagai hasil dari
akses yang tidak sah atas daftar alamat email dan database yang berisi informasi personal. Spam tidak hanya
mengurangi efisiensi manfaat email namun juga merupakan sumber dari banyak virus, worms, spyware
programs, dan jenis malware lainnya.
Fokus isu privasi lainnya adalah pencurian identitas yang merupakan penggunaan informasi personal milik
orang lain tanpa seijin orang tersebut, yang dilakukan untuk kepentingan si pencuri identitas itu sendiri.
Seringkali pencurian identitas merupakan kejahatan finansial, dimana si pelaku mendapatkan pinjaman atau
membuka kartu kredit baru atas nama si korban dan terkadang menjarah akun bank si korban. Perusahaan
harus berperan penting dalam mencegah pencurian identitas karena para pelanggan mempercayakan
informasi pribadi mereka pada perusahaan. Sehingga perusahaan memiliki kewajiban moral dan etis untuk
menerapkan pengendalian dalam melindungi informasi personal yang mereka dapatkan dari pelanggan
mereka.
Ikatan A k u n t a n Indonesia