Disusun oleh:
Kelompok 5
i
KATA PENGANTAR
Puji syukur kehadirat Tuhan Yang Maha Esa kareana atas segala limpahan rahmat-Nya
sehingga kami dapat menyelesaikan penyusunan makalah ini tepat pada waktunya. Semoga
makalah ini dapat dipergunakan sebagai salah satu acuan, petunjuk maupun pedoman bagi
pembaca dalam memahami Sistem Informasi dan Pengendalian Internal, sekaligus materi
mengenai Audit Atas Sistem Informasi Berbasis Teknologi Informasi yang juga tersusun dalam
makalah ini
Harapan kami, semoga makalah ini membantu menambah pengetahuan dan pengalaman
bagi para pembaca, sehingga kami dapat memperbaiki bentuk maupun isi makalah ini sehingga
kedepannya dapat lebih baik.
Makalah ini tentu memiliki kekurangan karena keterbatasan pengalaman penulis. Oleh
kerena itu masukan, kirik dan saran sangat diharapkan untuk dapat disampaikan oleh para
pembaca dalam rangka membangun demi kesempurnaan makalah ini.
Tim Penulis
ii
DAFTAR ISI
BAB I PENDAHULUAN
1.1 Latar Belakang Masalah ..................................................................................... 1
1.2 Rumusan Masalah ............................................................................................... 2
1.3 Tujuan ................................................................................................................. 2
BAB II PEMBAHASAN
2.1 Konsep Dasar Pengendalian dan Sistem ............................................................ 3
2.2 Pengendalian Preventif, Korektif, dan Detektif .................................................. 3
2.2.1 Pengendalian Preventif .............................................................................. 5
2.2.2 Pengendalian Korektif ............................................................................... 9
2.2.3 Pengendalian Detektif ................................................................................ 10
iii
BAB I
PENDAHULUAN
1
dengan kemanan dan data enscrypsi, pasword dan sebagainya sebagai standar keamanan.
Kemudian sistem yang terintegrasi memberikan kecepatan akses informasi antar managerial.
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari
pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena
mengamati setiap tahapan dalam proses pengelolaan informasi. Pengendalian sistem informasi
adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan
mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti
memindahkan sebagaian dari sistem informasinya ke cloud.
1.1.1. Apa yang dimaksud dengan Sistem Informasi dan Pengendalian Internal?
1.1.2. Apa tujuan dari Sistem Informasi dan Pengendalian Internal?
1.1.3. Apa saja Sistem Informasi dan Pengendalian Internal?
1.1.4. Apa saja bentuk pengendalian?
1.3 Tujuan
Tujuan dari pembuatan makalah ini yaitu:
2
BAB II
PEMBAHASAN
Berdasarkan kerangka pengendalian COBIT, proses IT umum yang harus dikelola dan
dikendalikan dengan baik dalam rangka menghasilkan informasi yang memenuhi tujuh kriteria
diatas dikelompokkan ke dalam empat kelompok aktivitas manajemen berikut :
3
e. Mengelola investasi TI
f. Mengkomunikasikan sasaran dan arahan manajemen
g. Mengelola sumber daya manusia TI
h. Mengelola kualitas
i. Menilai dan mengelola risiko TI
4
4. Monitor dan evaluasi.
Terdapat empat proses penting untuk menilai operasi dari sistem informasi organisasi:
a. Monitor dan evaluasi kinerja TI
b. Monitor dan evaluasi pengendalian internal
c. Memastikan kepatuhan dengan peraturan eksternal
d. Melaksanakan tata kelola TI
Dalam pengendalian internal atas keamanan sistem informasi, terdapat dua konsep
fundamental yang perlu
dipahami, yakni:
1. Keamanan informasi merupakan persoalan manajemen, bukan persoalan teknologi SOX
mengharuskan paraCEO dan CFO perusahaan untuk memberikan pernyataan bahwa
laporan keuangan mencerminkan hasil dari aktivitas perusahaan. Akurasi dari laporan
keuangan perusahaan bergantung pada keandalan sistem informasi. Dengan demikian,
kemananan informasi merupakan dasar dari keandalan sistem. Akibatnya, keamanan
informasi merupakan tanggung jawab manajemen.
2. Defense-in-depth dan time-based model dari keamanan informasi
Ide defense-in-depth adalah menggunakan beberapa lapisan pengendalian untuk
menghindari adanya satu titik kegagalan. Misalnya, banyak organisasi tidak hanya
menggunakan firewall, namun juga menggunakan metode-metode autentikasi
(misalnya password, token, dan biometric) untuk membatasi akses. Penggunaan
pengendalian berlapis, tambahan, dan berulang dapat meningkatkan efektivitas
pengendalian secara keseluruhan karena jika satu jenis pengendalian gagal masih ada
metode pengendalian lainnya yang berjalan sesuai rencana.
5
1. Pelatihan
Manusia memegang peranan penting dalam keamanan informasi. Para pegawai harus
memahami dan mengikuti kebijakan keamanan organisasi. Sehingga, pelatihan merupakan
pengendalian preventif. Semua pegawai harus diajarkan mengapa keamanan sangat penting
bagi keselamatan perusahaan dalam jangka panjang. Mereka harus diajarkan untuk tidak
berbagi password, tidak membuka email-email yang mencurigakan, hanya menggunakan
piranti lunak yang asli, dan melakukan langkah-langkah yang diperlukan untuk melindungi
komputernya secara fisik.
6
Pengendalian atas akses fisik harus mempertimbangkan faktor biaya-manfaat.
Dengan demikian perlu adanya keterlibatan manajemen puncak dalam merencanakan
pengendalian keamanan akses fisik untuk memastikan bahwa semua sumber sistem informasi
telah dinilai dengan tepat serta sifat dan kombinasi akses pengendalian merefleksikan nilai dari
aset yang dijaga tersebut.
7
menggunakan antena pengarah agar data yang tidak terotorisasi tidak mudah masuk;
dan penggunaan enkripsi atas semua trafik nirkabel.
Konfigurasi end - point dapat dibuat dengan lebih aman dengan memodifikasi
konfigurasinya. Konfigurasi standar (default) di hampir semua piranti kerja biasanya
mengaktifkan semua pengaturan opsional yang seringkali jarang atau tidak pernah digunakan.
Demikian pula, instalasi standar di hampir semua sistem operasi mengaktifkan banyak sekali
program bertujuan khusus, yang disebut service, yang tidak penting. Setiap program yang
berjalan mencerminkan titik potensial serangan karena adanya kemungkinan titik-titik
kelemahan didalamnya, yang disebut dengan vulnerabilities, yang dapat dieksploitasi menjadi
sistem yang rusak (crush) atau pengambilalihan kendali atas system tersebut. Piranti yang
disebut vulnerability scanner dapat digunakan untuk mengidentifikasi program- program yang
tidak digunakan sehingga potensi ancaman keamanannya bisa dicegah.
8
akun dengan hak terbatas untuk melakukan tugas- tugas harian rutin, dan baru menggunakan
akun dengan hak administratif jika diperlukan untuk melakukan tindakan tertentu seperti
pemasangan piranti lunak baru, yang memang memerlukan hak administratif.
1. Analisis Log
Hampir sebagian besar sistem memiliki kapabilitas yang besar untuk mencatat siapa
saja yang mengakses sistem dan tindakan spesifik apa saja yang dilakukan oleh setiap
pengguna. Log atau catatan ini membentuk suatu jejak audit (audit trail) atas akses sistem. Sama
halnya dengan jejak audit lainnya, catatan-catatan ini hanya bermakna jika secara rutin
diperiksa. Log analysis merupakan proses untuk memeriksa catatan atas siapa saja yang
mengakses sistem dan secara spesifik apa saja yang dilakukan oleh setiap pengguna ketika
mengakses sistem untuk mengidentifikasi potensi kemungkinan serangan yang dapat terjadi.
3. Laporan Manajemen
COBIT bagian ME1 dan ME2 mengharuskan manajemen untuk memonitor dan
mengevaluasi kinerja sistem maupun pengendalian sistem. Kerangka COBIT memberikan
panduan bagi manajemen untuk mengidentifikasi faktor kunci kesuksesan yang terkait dengan
setiap tujuan pengendalian dan menyarankan indikator kinerja kunci yang dapat digunakan oleh
manajemen dalam memonitor dan menilai efektivitas pengendalian.
4. Pengujian Keamanan
COBIT control objective DS 5.5 mencatat perlunya dilakukan pengujian secara
berkala atas efektivitas prosedur pengamanan yang saat ini sudah ada. Salah satunya adalah
9
dengan menggunakan vulnerability scanner untuk mengidentifikasi potensi kelemahan dalam
konfigurasi sistem. Selain itu, penetration testing juga dapat digunakan sebagai alat tes yang
lebih kuat untuk menuji efektivitas keamanan informasi perusahaan. Penetration test
merupakan usaha yang disahkan yang dilakukan oleh tim audit intern atau tim konsultan TI
eksternal untuk menerobos masuk ke dalam sistem informasi organisasi.
Tim ini mencoba semua cara yang mungkin untuk menerobos keamanan sistem
perusahaan. Hal ini perlu dilakukan untuk mengidentifikasi dimana saja perlindungan khusus
harus diberikan untuk
mencegah adanya akses tidak sah terhadap sistem perusahaan.
A. Pengendalian Umum
Pengendalian umum meliputi:
a. Pengendalian organisasi
Organisasi menetapkan hubungan kerja antara karyawan dan unit organisasi. Struktur
organisasi dirancang sedemikian rupa sehingga menghasilkan organisasi yang independen.
Organisasi yang independen adalah struktur organisasi yang memisahkan wewenang dan
tanggung jawab sedemikian rupa sehingga fungsi yang tidak kompatibel dipisahkan. Selain
10
melalui pemisahan tugas, pengendalian juga dicapai dengan monitoring. Dalam sistem manual,
karyawan yang menangani aset mesti dipisahkan dari karyawan yang memiliki otorisasi untuk
melaksanakan suatu transaksi dan karyawan yang bertanggung jawab untuk mencatat transaksi.
Sistem informasi memiliki tanggung jawab untuk merekam dan memproses data.
Oleh karena itu sistem informasi mesti independen dari semua departemen yang menggunakan
data dan informasi tersebut. Departemen pengguna adalah departemen yang memiliki tanggung
jawab untuk menginisiasi dan mengotorisasi transaksi. Selain itu, fungsi pengembangan system
mesti dipisahkan dari sistem pemrosesan transaksi.
b. Pengendalian dokumentasi
Dokumentasi yang baik berguna untuk efisiensi dalam perbaikan bug system, untuk
efisiensi dalam pengembangan tambahan aplikasi baru, serta untuk pelatihan karyawan dalam
mengenalkan sistem aplikasi.
11
d) Penggunaan log dan register.
e) Review independen.
B. Pengendalian Aplikasi
Pengendalian aplikasi adalah pengendalian terkait dengan aplikasi (peranti lunak) tertentu.
Pengendalian aplikasi ini meliputi pengendalian input, pengendalian proses dan pengendalian
output.
a. Pengendalian Masukan
Pengendalian aplikasi input yang lazim diterapkan dalam suatu peranti lunak antara lain:
a) Otorisasi. Otorisasi membatasi orang yang dapat mengakses data atau mengakses
aplikasi tertentu. Otorisasi ini dapat diterapkan melalui penggunaan nama login dan
password.
b) Approval (persetujuan). Transaksi dapat diproses lebih lanjut, setelah adanya
approval dari pihak yang berwenang.
c) Menandai dokumen yang sudah diinput agar tidak terjadi penginputan ganda dari
satu dokumen yang sama.
d) Pengecekan format. Memastikan bahwa pengguna memasukkan data sesuai dengan
tipe data yang benar. Sebagai contoh, field nama tentunya tidak boleh memuat data
selain alfabet dan field tanggal mestinya tidak akan menerima masukan selain
tanggal.
e) Pengecekan kelengkapan user dalam memasukkan data. Misalkan, untuk setiap
konsumen baru harus ada alamat dan nomor telpon. Oleh karena itu, jika pengguna
tidak mengisi field alamat dan nomor telpon, maka penambahan user baru tersebut
tidak dapat disimpan.
12
f) Test reasonableness. Maksudnya, kebenaran data yang diinput dibandingkan dengan
satu nilai yang wajar. Sebagai contoh, dalam satu minggu seorang karyawan,
maksimum bisa lembur 18 jam (setelah mereka bekerja selama 40 jam). Jadi, jika
karyawan bagian personalia keliru memasukkan jam lembur lebih dari 18 jam, maka
program dapat dibuat untuk menampilkan peringatan bahwa total jam lembur diluar
kewajaran. Transaksi mungkin akan tetap diterima dan diproses, tetapi, komputer
dapat dibuat otomatis menghasilkan exception report kepada atasan yang terkait.
g) Validity Cek. Cek yang berguna untuk memastikan bahwa user memasukkan data
yang valid. Valid dalam artian, sesuai dengan sumber data di master file. Perancang
system dapat menggunakan listbox untuk memaksa user memilih dari alternatif
yang tersedia.
h) Readback. Meminta konfirmasi dari pengguna untuk mengecek kembali data yang
telah dimasukkan.
i) Batch control total.
b. Pengendalian Proses
Pengendalian proses (processing controls) ialah pengendalian intern untuk
mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi salah
karena adanya kesalahan proses. Kemungkinan yang paling besar untuk menimbulkan
terjadinya eror adalah kesalahan logika program, salah rumus, salah urutan program,
ketidakterpaduan antar subsistem atupun kesalahan teknis lainnya.
c. Pengendalian Keluaran
Pengendalian keluaran (output controls) ialah pengendalian intern untuk mendeteksi
jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya,
atau didistribusikan kepada orang-orang yang tidak berhak. Kemungkinan resiko yang dihadapi
yang terkait dengan keluaran ialah seperti telah disebutkan di atas: laporan tidak akurat, tidak
lengkap, terlambat atau data tidak up to date, banyak item data yang tidak relevan, bias, dibaca
oleh pihak yang tidak berhak. Dalam sistem yang sudah lebih terbuka (menggunakan jaringan
komunikasi publik) potensi akses oleh hacker, cracker atau orang yang tidak berwenang lainnya
menjadi makin tinggi.
13
2. Mengidentifikasi dan Menjelaskan Pengendalian yang Dirancang untuk Melindungi
Kerahasiaan
Informasi yang Sensitif dan Privasi dari Informasi Personal Pelanggan Organisasi
harus melindungi informasi yang sensitif seperti rencana strategis, rahasia dagang, informasi
biaya, dokumen-dokumen hukum, dan perbaikan proses. Tindakan yang harus dilakukan untuk
melindungi kerahasiaan informasi sensitif perusahaan antara lain:
d. Pelatihan
Para pegawai harus mengetahui informasi apa yang boleh mereka bagi dengan pihak
eksternal dan informasi apa yang harus dilindungi. Mereka juga harus diajarkan bagaimana
14
caranya melindungi data rahasia. Pelatihan juga sangat penting untuk menggunakan email
dengan tepat, pesan singkat, dan blog, karena tidak mungkin untuk mengendalikan distribusi
informasi berikutnya setelah informasi tersebut diterbitkan atau dikirim melalui salah satu
media di atas.
b. Pengendalian Privasi
Langkah pertama dalam melindungi privasi informasi personal yang didapatkan dari
pelanggan adalah untuk mengidentifikasi informasi apa yang didapatkan, dimana disimpan
informasi tersebut dan siapa saja yang boleh mengakses informasi tersebut. Hal ini penting
untuk menerapkan pengendalian untuk melindungi informasi tersebut karena insiden yang
melibatkan pengungkapan informasi pribadi pelanggan baik itu disengaja maupun tidak, sangat
memakan biaya.
c. Fokus Privasi
Dua fokus utama dalam perlindungan atas privasi data terkait pelanggan adalah spam
dan pencurian identitas. Spam merupakan email yang masuk tanpa diminta yang berisi iklan
atau konten yang ofensif. Spam merupakan isu yang terkait dengan privasi karena penerima
seringkali ditargetkan sebagai hasil dari akses yang tidak sah atas daftar alamat email dan
database yang berisi informasi personal. Spam tidak hanya mengurangi efisiensi manfaat email
namun juga merupakan sumber dari banyak virus, worms, spyware programs, dan jenis
malware lainnya.
15
Fokus isu privasi lainnya adalah pencurian identitas yang merupakan penggunaan
informasi personal milik orang lain tanpa seijin orang tersebut, yang dilakukan untuk
kepentingan si pencuri identitas itu sendiri. Seringkali pencurian identitas merupakan kejahatan
finansial, dimana si pelaku mendapatkan pinjaman atau membuka kartu kredit baru atas nama
si korban dan terkadang menjarah akun bank si korban. Perusahaan harus berperan penting
dalam mencegah pencurian identitas karena para pelanggan mempercayakan informasi pribadi
mereka pada perusahaan. Sehingga perusahaan memiliki kewajiban moral dan etis untuk
menerapkan pengendalian dalam melindungi informasi personal yang mereka dapatkan dari
pelanggan mereka.
16
BAB III
KESIMPULAN
3.1. Simpulan
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari
pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena
mengamati setiap tahapan daam proses pengelolaan informasi. Pengendalian sistem informasi
adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan
mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti
memindahkan sebagaian dari sistem informasinya ke cloud. Untuk mengatasi permasalahan
pengendalian tersebut, AICPA dan CICA mengembangkan Trust Service Framework untuk
menyediakan panduan penilaian keandalan sistem informasi.
COBIT adalah panduan tata kelola teknologi informasi (kalau di materi selanjutnya
dijelaskan sebagai framework) dan atau bisa juga disebut sebagai toolset pendukung yang bisa
digunakan untuk menjembatani perbedaan/ gap antara kebutuhan dan bagaimana teknis
pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. Perluh diketahui ya,
framework Cobit ini berorientasi pada proses, dimana secara praktis Cobit dijadikan suatu
standar/ panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan
memanfaatkan TI Cobit memberikan panduan kerangka kerja yang bisa mengenndalikan semua
kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan
pengambilan keputusan di level top manajerial dalam organisasi.
17