MAKALAH

“SISTEM INFORMASI DAN PENGENDALIAN

INTERNAL (BAGIAN 2)”

(Dosen Pengampu: Ashari, S.E., M.Si., Ak., CA., CPA)

Disusun oleh:
Kelompok 5

1. Nur Ahmad Syaeful Mujab 12030121210015

2. Muhamad Iskhak 12030121210016
3. Akbar Prabowo 12030121210044

PENDIDIKAN PROFESI AKUNTAN

FAKULTAS EKONOMIKA DAN BISNIS
UNIVERSITAS DIPONEGORO
TAHUN AJARAN 2021/2022

i
 KATA PENGANTAR

Puji syukur kehadirat Tuhan Yang Maha Esa kareana atas segala limpahan rahmat-Nya
sehingga kami dapat menyelesaikan penyusunan makalah ini tepat pada waktunya. Semoga
makalah ini dapat dipergunakan sebagai salah satu acuan, petunjuk maupun pedoman bagi
pembaca dalam memahami Sistem Informasi dan Pengendalian Internal, sekaligus materi
mengenai Audit Atas Sistem Informasi Berbasis Teknologi Informasi yang juga tersusun dalam
makalah ini

Harapan kami, semoga makalah ini membantu menambah pengetahuan dan pengalaman
bagi para pembaca, sehingga kami dapat memperbaiki bentuk maupun isi makalah ini sehingga
kedepannya dapat lebih baik.

Makalah ini tentu memiliki kekurangan karena keterbatasan pengalaman penulis. Oleh
kerena itu masukan, kirik dan saran sangat diharapkan untuk dapat disampaikan oleh para
pembaca dalam rangka membangun demi kesempurnaan makalah ini.

Semarang, 4 Oktober 2021

Tim Penulis

ii
 DAFTAR ISI

KATA PENGANTAR .............................................................................................. ii

DAFTAR ISI ............................................................................................................ iii

BAB I PENDAHULUAN
1.1 Latar Belakang Masalah ..................................................................................... 1
1.2 Rumusan Masalah ............................................................................................... 2
1.3 Tujuan ................................................................................................................. 2

BAB II PEMBAHASAN
2.1 Konsep Dasar Pengendalian dan Sistem ............................................................ 3
2.2 Pengendalian Preventif, Korektif, dan Detektif .................................................. 3
2.2.1 Pengendalian Preventif .............................................................................. 5
2.2.2 Pengendalian Korektif ............................................................................... 9
2.2.3 Pengendalian Detektif ................................................................................ 10

BAB III PENUTUP

3.1 Simpulan ............................................................................................................. 17

iii
 BAB I
PENDAHULUAN

1.1 Latar Belakang

Segala sesuatu yang ada disekitar kita serta kejadiannya adalah merupakan data. Data ini
akan bermanfaat apabila diolah sedemikian rupa sehingga sesuai dengan tujuan dan
penggunaannya, inilah informasi. Informasi diperlukan bagi perusahaan didalam menjalankan
aktivitas perusahaan. Bagi organisasi keadaan dan kejadian yang ada di dalam lingkungannya
baik internal maupun eksternal adalah merupakan informasi baginya. Namun apa yang ada
tidak semuanya merupakan sumber yang relevan bagi perusahaan, perlu penyaringan (filtering)
untuk mendapatkan informasi yang tepat dalam arti mampu mendukung penggunanya.
Informasi dibutuhkan untuk mendukung keberhasilan pelaksanaan berbagai fungsi didalam
perusahaan, termasuk dalam sistem pengendalian manajement diperlukan informasi yang
mampu mendukung terciptanya sistem pengendalian yang efektif. Anthony et al (1989)
menyebutkan bahwa sebuah sistem terdiri dari struktur dan proses struktur pengendalian
manajement dapat dinyatakan dalam bentuk unitunit dalam organisasi dan sifat informasi yang
mengalir di antara unit-unit tersebut sedangkan proses adalah berkenaan dengan apa yang
dilakukan manajer terhadap informasi tersebut. Selain itu informasi merupakan bagian dari
sistem pengendalian manajemen baik dalam struktur maupun prosesnya. Maciariello & Kirby
(1994) mempertegas bahwa, informasi adalah merupakan salah satu bagian yang permanen dari
sistem pengendalian oleh karena itu informasi seharusnya di pandang sebagai elemen yang
struktural walaupun secara integral dihubungkan dengan proses pengendalian. Pada makalah
ini akan dikemukakan bagaimana kaitan informasi terhadap sistem pengendalian manajemen
dalam mendukung tercapainya tujuan sistem tersebut.
Saat ini teknologi informasi sudah menjadi media yang sangat melekat dengan kebutuhan
perusahaan. Kemapanan Sistem Teknologi Informasi dapat merefleksikan kemapanan
perusahaan dalam melakukan pengendalian internal dan perkembangan perusahaan. Saat ini,
hampir seluruh organisasi mengandalkan teknologi informasi (TI) guna memastikan bahwa
informasi yang dihasilkan oleh sistem akuntansinya andal dan akses yang cepat dalam
pemenuhan informasi. Semakin berkembangnya Sistem Informasi diharapkan meningkatkan
keamanan dalam transaksi bisnis dan keandalan rahasia bisnis. Biasanya sistem ini dilengkapi

1
dengan kemanan dan data enscrypsi, pasword dan sebagainya sebagai standar keamanan.
Kemudian sistem yang terintegrasi memberikan kecepatan akses informasi antar managerial.
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari
pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena
mengamati setiap tahapan dalam proses pengelolaan informasi. Pengendalian sistem informasi
adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan
mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti
memindahkan sebagaian dari sistem informasinya ke cloud.

1.2 Rumusan Masalah

Rumusan masalah dalam makalah sehingga pemakalah dapat menulis dan menyelesaikan
makalah ini yaitu :

1.1.1. Apa yang dimaksud dengan Sistem Informasi dan Pengendalian Internal?
1.1.2. Apa tujuan dari Sistem Informasi dan Pengendalian Internal?
1.1.3. Apa saja Sistem Informasi dan Pengendalian Internal?
1.1.4. Apa saja bentuk pengendalian?

1.3 Tujuan
Tujuan dari pembuatan makalah ini yaitu:

3.1.1. Menyelesaikan tugas makalah Sistem Informasi

3.1.2. Agar dapat memahami dan mengerti apa yang dimaksud dengan Sistem
Informasi dan Pengendalian Internal.
3.1.3. Agar dapat memahami dan mengerti apa tujuan Sistem Informasi dan
Pengendalian Internal.

2
 BAB II
PEMBAHASAN

2.1 Konsep Dasar Pengendalian Sistem Informasi

Saat ini, hampir seluruh organisasi mengandalkan teknologi informasi (TI).

Manajemen ingin memastikan bahwa informasi yang dihasilkan oleh sistem akuntansinya
andal. Manajemen juga mengetahui investasinya dalam TI merupakan informasi yang cost-
effective. Oleh karena itu sangat penting untuk memastikan adanya pengendalian yang
memadai terhadap sumber sumber daya TI untuk memastikan informasi yang diberikan
memenuhi tujuh kriteria utama dalam kerangka pengendalian COBIT:
1. Efektivitas – informasi harus relevan dan tepat waktu
2. Efisiensi – informasi harus dihasilkan dengan cara yang paling hemat biaya
3. Kerahaasiaan – informasi sensitif harus dilindungi dari pengungkapan informasi yang
tidak sah
4. Integritas – informasi harus akurat, lengkap dan valid
5. Ketersediaan – informasi harus tersedia kapanpun diperlukan
6. Kepatuhan – pengendalian harus memastikan kepatuhan dengan kebijakan internal dan
dengan ketentuan hokum dan perundang-undangan
7. Keandalan – manajemen harus memiliki akses ke dalam informasi yang diperlukan
untuk melakukan aktivitas sehari-hari untuk menjalankan amanahnya dan untuk
menjalankan tanggungjawab tata kelola.

Berdasarkan kerangka pengendalian COBIT, proses IT umum yang harus dikelola dan
dikendalikan dengan baik dalam rangka menghasilkan informasi yang memenuhi tujuh kriteria
diatas dikelompokkan ke dalam empat kelompok aktivitas manajemen berikut :

1. Perencanaan dan organisasi (plan and organize).

Terdapat sepuluh proses penting untuk merencanakan dan mengelola sistem informasi
organisasi, yakni:
a. Mendefinisikan perencanaan strategis TI
b. Mendefinisikan arsitektur informasi
c. Menentukan arahan terkait teknologi
d. Mendefinisikan proses, organisasi dan hubungan TI

3
 e. Mengelola investasi TI
f. Mengkomunikasikan sasaran dan arahan manajemen
g. Mengelola sumber daya manusia TI
h. Mengelola kualitas
i. Menilai dan mengelola risiko TI

2. Perolehan dan implementasi (acquire and implement).

Terdapat tujuh proses penting untuk mendapatkan dan menerapkan solusi teknologi:
a. Mengidentifikasi solusi-solusi otomisasi
b. Perolehan dan pemeliharaan piranti lunak aplikasi
c. Perolehan dan pemeliharaan infrastruktur teknologi
d. Operasi dan penggunaan
e. Perolehan sumber daya TI
f. Mengelola perubahan
g. Memasang dan mengakreditasi solusi dan perubahan

3. Pelaksanaan dan dukungan(delivery and support).

Terdapat 12 proses penting untuk pelaksanaan sistem informasi yang efektif dan
efisien serta memberikan manajemen informasi yang diperlukan untuk menjalankan organisasi,
yakni:
a. Mendefinisikan dan mengelola tingkat layanan
b. Mengelola layanan pihak-ketiga
c. Mengelola kinerja dan kapasitas
d. Memastikan layanan berkelanjutan
e. Mengidentifikasi dan mengalokasikan biaya
f. Mengedukasi dan melatih para pengguna
g. Mengelola meja layanan dan insiden
h. Mengelola konfigurasi
i. Mengelola masalah
j. Mengelola data
k. Mengelola lingkungan fisik
l. Mengelola operasi

4
 4. Monitor dan evaluasi.
Terdapat empat proses penting untuk menilai operasi dari sistem informasi organisasi:
a. Monitor dan evaluasi kinerja TI
b. Monitor dan evaluasi pengendalian internal
c. Memastikan kepatuhan dengan peraturan eksternal
d. Melaksanakan tata kelola TI

Dalam pengendalian internal atas keamanan sistem informasi, terdapat dua konsep
fundamental yang perlu
dipahami, yakni:
1. Keamanan informasi merupakan persoalan manajemen, bukan persoalan teknologi SOX
mengharuskan paraCEO dan CFO perusahaan untuk memberikan pernyataan bahwa
laporan keuangan mencerminkan hasil dari aktivitas perusahaan. Akurasi dari laporan
keuangan perusahaan bergantung pada keandalan sistem informasi. Dengan demikian,
kemananan informasi merupakan dasar dari keandalan sistem. Akibatnya, keamanan
informasi merupakan tanggung jawab manajemen.
2. Defense-in-depth dan time-based model dari keamanan informasi
Ide defense-in-depth adalah menggunakan beberapa lapisan pengendalian untuk
menghindari adanya satu titik kegagalan. Misalnya, banyak organisasi tidak hanya
menggunakan firewall, namun juga menggunakan metode-metode autentikasi
(misalnya password, token, dan biometric) untuk membatasi akses. Penggunaan
pengendalian berlapis, tambahan, dan berulang dapat meningkatkan efektivitas
pengendalian secara keseluruhan karena jika satu jenis pengendalian gagal masih ada
metode pengendalian lainnya yang berjalan sesuai rencana.

2.2 Pengendalian Preventif, Korektif dan Detektif

2.2.1 Pengendalian Preventif

Organisasi biasanya membatasi akses terhadap sumber-sumber daya informasi

sebagai pengendalian preventif atas keamanan TI. Lebih spesifiknya, contoh tindakan preventif
dalam rangka mengendalikan keamanan sumber TI antara lain:

5
 1. Pelatihan
Manusia memegang peranan penting dalam keamanan informasi. Para pegawai harus
memahami dan mengikuti kebijakan keamanan organisasi. Sehingga, pelatihan merupakan
pengendalian preventif. Semua pegawai harus diajarkan mengapa keamanan sangat penting
bagi keselamatan perusahaan dalam jangka panjang. Mereka harus diajarkan untuk tidak
berbagi password, tidak membuka email-email yang mencurigakan, hanya menggunakan
piranti lunak yang asli, dan melakukan langkah-langkah yang diperlukan untuk melindungi
komputernya secara fisik.

2. Kendali atas akses para pengguna (autentifikasi dan otorisasi)

Tujuan dari pengendalian akses pengguna adalah untuk mengidentifikasi setiap orang
yang mengakses sistem informasi organisasi dan menelusuri tindakan-tindakan yang mereka
lakukan. Terdapat dua jenis pengendalian akses pengguna yang digunakan, yakni pengendalian
otentifikasi yang membatasi siapa saja yang dapat mengakses sistem informasi organisasi; dan
pengendalian otorisasi yang membatasi apa saja yang boleh dilakukan oleh setiap orang jika
mereka diberikan akses terhadap sistem informasi organisasi.

3. Kendali atas akses fisik

Kendali atas akses fisik dimulai dari titik masuk ke gedung tempat aset secara fisik
berada. Idealnya, hanya ada satu titik masuk yang tidak terkunci selama jam kerja normal. Pada
kondisi darurat seperti antisipasi atas kejadian kebakaran, biasanya diperlukan pintu darurat
keluar, namun akses terhadap pintu darurat ini tidak boleh diberikan pada pihak luar dan harus
dihubungkan dengan sistem alarm yang secara otomatis akan berbunyi ketika pintu darurat
terbuka. Selain itu, resepsionis atau petugas jaga harus berada di lokasi pintu masuk utama
untuk memverifikasi identitas pengunjung. Para pengunjung harus mendaftarkan diri dan
didampingi oleh karyawan kapanpun mereka masuk ke dalam gedung. Di dalam gedung, akses
fisik ke ruangan tempat peralatan komputer berada juga harus dibatasi. Ruangan ini harus selalu
terkunci dan semua pintu masuk dan keluar harus di monitor dengan sistem CCTV (closed-
circuit television). Akses masuk yang gagal berkali-kali harus secara otomatis memicu alarm
berbunyi. Ruangan yang berisi server yang menyimpan data sensitif perusahaan harus
dilengkapi dengan kunci pengamanan yang lebih canggih, seperti card reader, numeric keypad,
atau berbagai peralatan biometric seperti mata atau retina, sidik jari, dan sebagainya.

6
 Pengendalian atas akses fisik harus mempertimbangkan faktor biaya-manfaat.
Dengan demikian perlu adanya keterlibatan manajemen puncak dalam merencanakan
pengendalian keamanan akses fisik untuk memastikan bahwa semua sumber sistem informasi
telah dinilai dengan tepat serta sifat dan kombinasi akses pengendalian merefleksikan nilai dari
aset yang dijaga tersebut.

4. Kendali atas akses jaringan

Banyak perusahaan kini memberikan akses jarak jauh kepada para pegawai,
pelanggan dan pemasok terhadap sistem informasi perusahaan. Biasanya akses ini terjadi
melalui internet. Namun di beberapa perusahaan masih ada yang menggunakan jaringan khusus
milik mereka sendiri atau menggunakan akses dial-up langsung dengan modem. Banyak
perusahaan juga kini memberikan akses nirkabel terhadap sistem informasinya. Metode
pengendalian yang dapat digunakan untuk mengendalikan akses jaringan sesuai dengan COBIT
antara lain:

a. Menggunakan batasan-batasan pengamanan seperti router, firewall dan intrusion

prevention system lainnya. Piranti yang disebut border router menghubungkan sistem
informasi organisasi ke internet. Dibalik setiap border router terdapat firewall utama.
Router dan firewall ini bersama-sama bertindak sebagai filter untuk mengendalikan
informasi apa saja yang boleh dimasuki dan diambil dari sistem informasi organisasi.
b. Perlindungan terhadap pengiriman data, dengan menggunakan Transmission Control
Protocol/ Internet Protocol yang mengatur prosedur membagi file dan dokumen ke
dalam paket-paket untuk dikirim melalui internet dan metode untuk menyusun kembali
data tersebut ke dalam file atau dokumen originalnya setelah diterima di tempat tujuan.
c. Perlindungan terhadap akses nirlaba dengan mengaktifkan fitur-fitur pengaman yang
ada;otentikasi semua peralatan yang akan digunakan untuk mengakses data nirkabel ke
jaringan sebelum memberikan IP address ke setiap peralatan tersebut; konfigurasi
semua piranti nirlaba agar hanya beroperasi dalam mode infrastruktur, yang
mengharuskan piranti tersebut terhubung hanya dengan titik akses nirkabel; penggunaan
nama yang tidak informatif untuk alamat titik akses, yang dinamakan dengan service
set identifier (SSID) agar tidak mudah menjadi target serangan; mengurangi kekuatan
broadcast titik akses nirkabel, menempatkannya di dalam interior ruangan dan

7
 menggunakan antena pengarah agar data yang tidak terotorisasi tidak mudah masuk;
dan penggunaan enkripsi atas semua trafik nirkabel.

5. Kendali atas piranti keras dan piranti lunak

Router, firewall dan intrusion prevention system didesain untuk melindungi jaringan.
Namun, sebagaimana halnya rumah yang dilengkapi dengan kunci pengaman tambahan,
perusahaan juga dapat meningkatkan pengendalian dengan melakukan pengendalian
pencegahan tambahan pada perimeter jaringannya dengan memberikan pencegahan tambahan
pada workstations, server, printer dan piranti lainnya (yang secara kolektif disebut end-point).
Terdapat tiga area yang harus mendapat perhatian khusus yakni (1) konfigurasi end-point, (2)
manajemen akun pengguna, (3) rancangan piranti lunak.

Konfigurasi end - point dapat dibuat dengan lebih aman dengan memodifikasi
konfigurasinya. Konfigurasi standar (default) di hampir semua piranti kerja biasanya
mengaktifkan semua pengaturan opsional yang seringkali jarang atau tidak pernah digunakan.
Demikian pula, instalasi standar di hampir semua sistem operasi mengaktifkan banyak sekali
program bertujuan khusus, yang disebut service, yang tidak penting. Setiap program yang
berjalan mencerminkan titik potensial serangan karena adanya kemungkinan titik-titik
kelemahan didalamnya, yang disebut dengan vulnerabilities, yang dapat dieksploitasi menjadi
sistem yang rusak (crush) atau pengambilalihan kendali atas system tersebut. Piranti yang
disebut vulnerability scanner dapat digunakan untuk mengidentifikasi program- program yang
tidak digunakan sehingga potensi ancaman keamanannya bisa dicegah.

Sesuai dengan COBIT control objective DS5.4, manajemen akun pengguna

khususnya dibutuhkan akun-akun yang memiliki hak tidak terbatas (administratif) atas
komputer. Hak administrative diperlukan dalam rangka memasang piranti lunak dan mengubah
banyak pengaturan konfigurasi.
Kekuasaan yang sangat besar ini menjadikan akun-akun yang memiliki hak
administratif menjadi sasaran utama para penyerang sistem. Selain itu, banyak vulnerabilities
yang hanya mempengaruhi akun-akun yang memiliki hak administratif. Oleh karena itu,
pegawai yang memerlukan kekuasaan administratif atas komputer tertentu harus diberikan dua
akun: satu akun dengan hak admnistratif, dan satu akun lainnya yang hanya memiliki hak yang
terbatas. Para pegawai yang memiliki hak administratif ini harus dilatih untuk menggunakan

8
akun dengan hak terbatas untuk melakukan tugas- tugas harian rutin, dan baru menggunakan
akun dengan hak administratif jika diperlukan untuk melakukan tindakan tertentu seperti
pemasangan piranti lunak baru, yang memang memerlukan hak administratif.

2.2.2 Pengendalian Detektif

Pengendalian detektif meningkatkan keamanan dengan cara memonitor efektivitas

pengendalian preventif dan mendeteksi insiden yang berhasil ditangani oleh pengendalian
preventif. Pengendalian deteksi yang digunakan antara lain:

1. Analisis Log
Hampir sebagian besar sistem memiliki kapabilitas yang besar untuk mencatat siapa
saja yang mengakses sistem dan tindakan spesifik apa saja yang dilakukan oleh setiap
pengguna. Log atau catatan ini membentuk suatu jejak audit (audit trail) atas akses sistem. Sama
halnya dengan jejak audit lainnya, catatan-catatan ini hanya bermakna jika secara rutin
diperiksa. Log analysis merupakan proses untuk memeriksa catatan atas siapa saja yang
mengakses sistem dan secara spesifik apa saja yang dilakukan oleh setiap pengguna ketika
mengakses sistem untuk mengidentifikasi potensi kemungkinan serangan yang dapat terjadi.

2. Intrusion Detection System

Intrusion Detection System (IDS) berisi seperangkat sensor dan unit monitoring pusat
yang menghasilkan catatan trafik jaringan yang telah diizinkan untuk melewati firewall dan
kemudian menganalisis catatan tersebut untuk mendeteksi adanya tanda-tanda usaha untuk
melakukan intrusi/gangguan atau gangguan yang sudah terjadi.

3. Laporan Manajemen
COBIT bagian ME1 dan ME2 mengharuskan manajemen untuk memonitor dan
mengevaluasi kinerja sistem maupun pengendalian sistem. Kerangka COBIT memberikan
panduan bagi manajemen untuk mengidentifikasi faktor kunci kesuksesan yang terkait dengan
setiap tujuan pengendalian dan menyarankan indikator kinerja kunci yang dapat digunakan oleh
manajemen dalam memonitor dan menilai efektivitas pengendalian.

4. Pengujian Keamanan
COBIT control objective DS 5.5 mencatat perlunya dilakukan pengujian secara
berkala atas efektivitas prosedur pengamanan yang saat ini sudah ada. Salah satunya adalah

9
dengan menggunakan vulnerability scanner untuk mengidentifikasi potensi kelemahan dalam
konfigurasi sistem. Selain itu, penetration testing juga dapat digunakan sebagai alat tes yang
lebih kuat untuk menuji efektivitas keamanan informasi perusahaan. Penetration test
merupakan usaha yang disahkan yang dilakukan oleh tim audit intern atau tim konsultan TI
eksternal untuk menerobos masuk ke dalam sistem informasi organisasi.
Tim ini mencoba semua cara yang mungkin untuk menerobos keamanan sistem
perusahaan. Hal ini perlu dilakukan untuk mengidentifikasi dimana saja perlindungan khusus
harus diberikan untuk
mencegah adanya akses tidak sah terhadap sistem perusahaan.

2.2.3 Pengendalian Korektif

Banyak pengendalian korektif yang mengandalkan penilaian manusia.

Konsekuensinya, efektivitasnya tergantung pada sejauh mana perencanaan dan persiapan sudah
dilakukan. Hal ini menyebabkan COBI control objective DS 5.6 mengharuskan untuk
mendefinisikan dan mengkomunikasikan karakteristik insiden keamanan untuk memfasilitas
klasifikasi dan perlakuan yang tepat.

1. Pengendalian Umum dan Pengendalian Aplikasi

Secara sederhana, pengendalian umum adalah semua bentuk pengendalian yang tidak terkait
langsung dengan aplikasi komputer. Contohnya, memastikan bahwa ruang kantor terkunci,
kemudian penempatan satpam di tugas jaga. Sedangkan pengendalian aplikasi adalah semua
pengendalian terkait dengan aplikasi tertentu. Semua pengendalian yang dilekatkan dengan satu
aplikasi.

A. Pengendalian Umum
Pengendalian umum meliputi:

a. Pengendalian organisasi
Organisasi menetapkan hubungan kerja antara karyawan dan unit organisasi. Struktur
organisasi dirancang sedemikian rupa sehingga menghasilkan organisasi yang independen.
Organisasi yang independen adalah struktur organisasi yang memisahkan wewenang dan
tanggung jawab sedemikian rupa sehingga fungsi yang tidak kompatibel dipisahkan. Selain

10
melalui pemisahan tugas, pengendalian juga dicapai dengan monitoring. Dalam sistem manual,
karyawan yang menangani aset mesti dipisahkan dari karyawan yang memiliki otorisasi untuk
melaksanakan suatu transaksi dan karyawan yang bertanggung jawab untuk mencatat transaksi.
Sistem informasi memiliki tanggung jawab untuk merekam dan memproses data.
Oleh karena itu sistem informasi mesti independen dari semua departemen yang menggunakan
data dan informasi tersebut. Departemen pengguna adalah departemen yang memiliki tanggung
jawab untuk menginisiasi dan mengotorisasi transaksi. Selain itu, fungsi pengembangan system
mesti dipisahkan dari sistem pemrosesan transaksi.

b. Pengendalian dokumentasi
Dokumentasi yang baik berguna untuk efisiensi dalam perbaikan bug system, untuk
efisiensi dalam pengembangan tambahan aplikasi baru, serta untuk pelatihan karyawan dalam
mengenalkan sistem aplikasi.

Dokumentasi yang diperlukan meliputi:

a) Kebijakan terkait dengan sistem, seperti kebijakan pengembangan sistem,
kebijakan pengujian sistem, kebijakan operasi komputer, dan kebijakan
penanganan bencana dan keamanan sistem.
b) Dokumentasi aplikasi sistem, seperti flowchart, data flow diagram, kode rekening,
deskripsi prosedur, prosedur koreksi kesalahan, prosedur pengendalian, deskripsi
file (termasuk kamus data), format output sistem, dan deskripsi input output sistem.
c) Dokumentasi program.
d) Dokumentasi data.
e) Dokumentasi operasi.
f) Dokumentasi untuk pengguna.

c. Pengendalian akuntabilitas asset, Pengendalian akuntabilitas aset perusahaan dapat

dilakukan dengan cara:
a) Penggunaan buku pembantu dalam catatan akuntansi.
b) Rekonsiliasi atas catatan dengan perhitungan fisik aset (seperti rekonsiliasi kas dan
persediaan).
c) Prosedur acknowledgement sebagai bentuk wujud pertanggungjawaban atas aset
yang ditangani oleh seseorang atau suatu bagian.

11
 d) Penggunaan log dan register.
e) Review independen.

d. Pengendalian praktik manajemen

Pengendalian praktik manajemen ini meliputi kebijakan dan praktik sumber daya
manusia, komitmen terhadap kompetensi, praktik perencanaan, praktik audit, dan pengendalian
pengembangan sistem aplikasi (prosedur perubahan sistem dan prosedur pengembangan system
baru).
e. Pengendalian operasi pusat informasi
f. Pengendalian otorisasi
g. Pengendalian akses

B. Pengendalian Aplikasi
Pengendalian aplikasi adalah pengendalian terkait dengan aplikasi (peranti lunak) tertentu.
Pengendalian aplikasi ini meliputi pengendalian input, pengendalian proses dan pengendalian
output.
a. Pengendalian Masukan
Pengendalian aplikasi input yang lazim diterapkan dalam suatu peranti lunak antara lain:
a) Otorisasi. Otorisasi membatasi orang yang dapat mengakses data atau mengakses
aplikasi tertentu. Otorisasi ini dapat diterapkan melalui penggunaan nama login dan
password.
b) Approval (persetujuan). Transaksi dapat diproses lebih lanjut, setelah adanya
approval dari pihak yang berwenang.
c) Menandai dokumen yang sudah diinput agar tidak terjadi penginputan ganda dari
satu dokumen yang sama.
d) Pengecekan format. Memastikan bahwa pengguna memasukkan data sesuai dengan
tipe data yang benar. Sebagai contoh, field nama tentunya tidak boleh memuat data
selain alfabet dan field tanggal mestinya tidak akan menerima masukan selain
tanggal.
e) Pengecekan kelengkapan user dalam memasukkan data. Misalkan, untuk setiap
konsumen baru harus ada alamat dan nomor telpon. Oleh karena itu, jika pengguna
tidak mengisi field alamat dan nomor telpon, maka penambahan user baru tersebut
tidak dapat disimpan.

12
 f) Test reasonableness. Maksudnya, kebenaran data yang diinput dibandingkan dengan
satu nilai yang wajar. Sebagai contoh, dalam satu minggu seorang karyawan,
maksimum bisa lembur 18 jam (setelah mereka bekerja selama 40 jam). Jadi, jika
karyawan bagian personalia keliru memasukkan jam lembur lebih dari 18 jam, maka
program dapat dibuat untuk menampilkan peringatan bahwa total jam lembur diluar
kewajaran. Transaksi mungkin akan tetap diterima dan diproses, tetapi, komputer
dapat dibuat otomatis menghasilkan exception report kepada atasan yang terkait.
g) Validity Cek. Cek yang berguna untuk memastikan bahwa user memasukkan data
yang valid. Valid dalam artian, sesuai dengan sumber data di master file. Perancang
system dapat menggunakan listbox untuk memaksa user memilih dari alternatif
yang tersedia.
h) Readback. Meminta konfirmasi dari pengguna untuk mengecek kembali data yang
telah dimasukkan.
i) Batch control total.

b. Pengendalian Proses
Pengendalian proses (processing controls) ialah pengendalian intern untuk
mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi salah
karena adanya kesalahan proses. Kemungkinan yang paling besar untuk menimbulkan
terjadinya eror adalah kesalahan logika program, salah rumus, salah urutan program,
ketidakterpaduan antar subsistem atupun kesalahan teknis lainnya.

c. Pengendalian Keluaran
Pengendalian keluaran (output controls) ialah pengendalian intern untuk mendeteksi
jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya,
atau didistribusikan kepada orang-orang yang tidak berhak. Kemungkinan resiko yang dihadapi
yang terkait dengan keluaran ialah seperti telah disebutkan di atas: laporan tidak akurat, tidak
lengkap, terlambat atau data tidak up to date, banyak item data yang tidak relevan, bias, dibaca
oleh pihak yang tidak berhak. Dalam sistem yang sudah lebih terbuka (menggunakan jaringan
komunikasi publik) potensi akses oleh hacker, cracker atau orang yang tidak berwenang lainnya
menjadi makin tinggi.

13
2. Mengidentifikasi dan Menjelaskan Pengendalian yang Dirancang untuk Melindungi
Kerahasiaan
Informasi yang Sensitif dan Privasi dari Informasi Personal Pelanggan Organisasi
harus melindungi informasi yang sensitif seperti rencana strategis, rahasia dagang, informasi
biaya, dokumen-dokumen hukum, dan perbaikan proses. Tindakan yang harus dilakukan untuk
melindungi kerahasiaan informasi sensitif perusahaan antara lain:

a. Identifikasi dan klasifikasi informasi yang harus dilindungi

Hal ini merupakan langkah pertama yang dilakukan untuk mengidentifikasi dimana
informasi sensitif tersebut berada dan siapa yang memiliki akses terhadap informasi tersebut.
Setelah diidentifikasi, langkah selanjutnya adalah mengklasifikasikan informasi tersebut
dengan cara menilai seberapa penting informasi tersebut bagi perusahaan. Proses klasifikasi
informasi ini perlu melibatkan manajemen senior untuk mengetahui nilai informasi tersebut
bagi perusahaan. Setelah diidentifikasi, perangkat pengendalian yang tepat dapat digunakan
untuk melindungi informasi sensitif tersebut.

b. Melindungi kerahasiaan dengan enkripsi

Enkripsi merupakan satu-satunya cara untuk melindungi informasi yang singgah
melalui internet. Hal ini juga merupakan suatu bagian dari defense-in-depth untuk melindungi
informasi yang disimpan di website atau di jaringan umum.

c. Pengendalian akses terhadap informasi sensitif

Piranti lunak information rights management (IRM) memberikan tambahan
perlindungan untuk sumber informasi tertentu, memberikan kemampuan tidak hanya
membatasi akses ke arsip atau dokumen tertentu, namun juga terhadap tindakan tertentu (seperti
membaca, menyalin, mencetak, mengunduh ke USB, dsb) yang diberikan kepada setiap orang
untuk mengakses sumber daya tersebut. Beberapa piranti lunak IRM bahkan mampu membatasi
privilege dalam periode waktu tertentu dan untuk menghapus arsip yang dilindungi dari jarak
jauh.

d. Pelatihan
Para pegawai harus mengetahui informasi apa yang boleh mereka bagi dengan pihak
eksternal dan informasi apa yang harus dilindungi. Mereka juga harus diajarkan bagaimana

14
caranya melindungi data rahasia. Pelatihan juga sangat penting untuk menggunakan email
dengan tepat, pesan singkat, dan blog, karena tidak mungkin untuk mengendalikan distribusi
informasi berikutnya setelah informasi tersebut diterbitkan atau dikirim melalui salah satu
media di atas.

3. Mengidentifikasi dan Menejlaskan Pengendalian yang Dirancang untuk Memastikan

Integritas
a. Pemrosesan dan Ketersediaan Sistem
Prinsip kerangka privasi The Trust Service terkait erat dengan prinsip kerahasiaan,
namun perbedaan mendasarnya adalah privasi lebih menekankan pada perlindungan atas
informasi personal mengenai pelanggan daripada data organisasi. Akibatnya, pengendalian
yang perlu diterapkan untuk melindungi privasi adalah perlindungan yang sama seperti
perlindungan atas kerahasiaan, yakni: identifikasi informasi yang harus dilindungi, enkripsi,
kendali atas akses dan pelatihan.

b. Pengendalian Privasi
Langkah pertama dalam melindungi privasi informasi personal yang didapatkan dari
pelanggan adalah untuk mengidentifikasi informasi apa yang didapatkan, dimana disimpan
informasi tersebut dan siapa saja yang boleh mengakses informasi tersebut. Hal ini penting
untuk menerapkan pengendalian untuk melindungi informasi tersebut karena insiden yang
melibatkan pengungkapan informasi pribadi pelanggan baik itu disengaja maupun tidak, sangat
memakan biaya.

c. Fokus Privasi
Dua fokus utama dalam perlindungan atas privasi data terkait pelanggan adalah spam
dan pencurian identitas. Spam merupakan email yang masuk tanpa diminta yang berisi iklan
atau konten yang ofensif. Spam merupakan isu yang terkait dengan privasi karena penerima
seringkali ditargetkan sebagai hasil dari akses yang tidak sah atas daftar alamat email dan
database yang berisi informasi personal. Spam tidak hanya mengurangi efisiensi manfaat email
namun juga merupakan sumber dari banyak virus, worms, spyware programs, dan jenis
malware lainnya.

15
 Fokus isu privasi lainnya adalah pencurian identitas yang merupakan penggunaan
informasi personal milik orang lain tanpa seijin orang tersebut, yang dilakukan untuk
kepentingan si pencuri identitas itu sendiri. Seringkali pencurian identitas merupakan kejahatan
finansial, dimana si pelaku mendapatkan pinjaman atau membuka kartu kredit baru atas nama
si korban dan terkadang menjarah akun bank si korban. Perusahaan harus berperan penting
dalam mencegah pencurian identitas karena para pelanggan mempercayakan informasi pribadi
mereka pada perusahaan. Sehingga perusahaan memiliki kewajiban moral dan etis untuk
menerapkan pengendalian dalam melindungi informasi personal yang mereka dapatkan dari
pelanggan mereka.

16
 BAB III

KESIMPULAN

3.1. Simpulan

Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari
pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena
mengamati setiap tahapan daam proses pengelolaan informasi. Pengendalian sistem informasi
adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan
mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti
memindahkan sebagaian dari sistem informasinya ke cloud. Untuk mengatasi permasalahan
pengendalian tersebut, AICPA dan CICA mengembangkan Trust Service Framework untuk
menyediakan panduan penilaian keandalan sistem informasi.

COBIT adalah panduan tata kelola teknologi informasi (kalau di materi selanjutnya
dijelaskan sebagai framework) dan atau bisa juga disebut sebagai toolset pendukung yang bisa
digunakan untuk menjembatani perbedaan/ gap antara kebutuhan dan bagaimana teknis
pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. Perluh diketahui ya,
framework Cobit ini berorientasi pada proses, dimana secara praktis Cobit dijadikan suatu
standar/ panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan
memanfaatkan TI Cobit memberikan panduan kerangka kerja yang bisa mengenndalikan semua
kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan
pengambilan keputusan di level top manajerial dalam organisasi.

17