Sistem Informasi dan Pengendalian Internal (Bagian 2)

1. Konsep Dasar Pengendalian Sistem Informasi

Saat ini, hampir seluruh organisasi mengandalkan teknologi informasi (TI). Manajemen
ingiin memastikan bahwa informasi yang dihasilkan oleh sistem akuntansinya andal.
Manajemen juga mengetahhui investasinya dalam TI merupakan informasi yang cost-
effective. Oleh karena itu sangat penting untuk memastikan adanya pengendalian yang
memadai terhadap sumber-sumber daya TI untuk memastikan informasinya diberikan
memenuhi tujuh criteria utama dalam kerangkaa pengendlian COBIT:

1. Efktivitas – informasi harus releva dan tepat waktu

2. Efisiensi – informasi harus dihasilkan dengan cara yang paling hebat biaya
3. Kerahasiaan – informasi sensitive harus dilindungi dari pengungkapan informasi yang
tidak sah
4. Integritas – informasi harus akurat, lengkap dan valid
5. Ketersediaan – informasi harus tersedia kapanpun diperlukan
6. Kkepatuhan – pengendalian harus memastikan kepatuhan dengan kebijakan internal dan
dengan ketentuan hukum dan perudang-undangan
7. Keandalan – manajemen harus memiliki akses ke dalam informasi yang diperlukan
untuk melakukan aktivitas sehari-hari untuk menjalankan amanahnya dan untuk
menjalankan tanggungjawab tata kelola

Berdasarkan kerangka pengendalian COBIT, proses IT umum yang harus dikelola dan
dikendalikan dengan baik dalam rangka menghasilkan informasi yang memenuhi tujuh
criteria diatas dikelompokkan ke dalam empat kelompok aktivitas manajemen berikut:

1. Perencanaan dan organisasi (plan and organize)

Terdapat sepuluh proses penting untuk merencanakan dan mengelola sistem informasi
organisasi, yaitu:
a. Mendefinisikan perencanaan strategis TI
b. Mendefinisikan arsitektur informasi
c. Menentukan arahan terkait teknologi
d. Mendefinisikan proses, organisasi dan hubungan TI
 e. Mengelola investasi TI
f. Mengkomunikasikan sasaran dan arahan manajemen
g. Mengelola sumber daya manusia TI
h. Mengelola kualitas
i. Menilai dan mengelola risiko TI

2. Perolehan dan implementasi (acquire and implement)

Terdapat tujuh proses penting untuk mendapatkan dan menerapakan solusi teknologi:
a. Mengidentifikasi solusi-solusi otomisasi
b. Perolehan dan pemeliharaan piranti lunak aplikasi
c. Perolehan dan pemeliharaan infrastruktur teknnologi
d. Operasi dan penggunaan
e. Perlehan sumber daya TI
f. Mengelola perubahan
g. Memasang dan mengakreditasi solusi dan perubahan

3. Pelaksanaan dan Dukungan (delivery and support)

Terdapat 12 proses penting untuk melaksanakan sistem informasi yang efektif dan efisien
serta memberikan manajemen informasi yang diperlukan utnuk menjalankan organisasi,
yaitu:
a. Mendefinisikan dan mengelola tingkat layanan
b. Mengelola layanan tingkat ketiga
c. Mengelola kinerja dan kapasitas
d. Memastikan layanan berkelanjutan
e. Mengidentifikasi dan mengalokasikan biaya
f. Mengedukasi dan melatih para pengguna
g. Mengelola meja layanan dan insiden
h. Mengelola konfigurasi
i. Mengelola masalah
j. Mengelola data
k. Mengelola lingkungan fisik
 l. Mengelola operasi

4. Monitor dan evaluasi

Terdapat empat proses penting untuk menilai operasi dari sistem informasi organisasi:
a. Monitor dan evaluasi kinerja TI
b. Monitor dan evaluasi pengendalian internal
c. Memastikan kepatuhan dnegan peraturan eksternal
d. Melaksanakan tata kelola TI

Dengan pengendalian internal atas keamanan sistem informasi, terdapat dua konsep fundamental
yang perlu dipahami, yakni:

1. Kemanan informasi merupakan perolehan manajemen, bukan persoalan teknologi

SOX mengharuskan para CEO dan CFO perusahaan untuk memberikan pernyataan
bahwa laporan keuangan mencerminakan hasil dari aktivitas perusahaan. Akurasi dari
llaporan keuangan perushaan bergantung pada keandalan sistem informasi. Dengan
demikian, keamanan informasi merupakan asar dari keandalan sistem. Akibatnya,
keamanan informasi merupakan tanggung jawab manajemen.
2. Defense-in-depth dan time-based model dari ekamanan informasi
Ide defense-in-depth adalah menggunakan beberpaa lapisan pengendalian untuk
menghindari adanya satu titik kegagalan. Misalnya, banyak organsiasi tidka hanya
menggunakan firewall, namun juga menggunakan metode-metode autentikasi (misalnya
password, token, dan biometric) untuk membatasi akses. Pengguna pengendalian
berlapis, tambahan, dan berulang dapat menginkatkan efektivitas pengendalian secara
keseluruhan karena jika satu jenis pegendalian gagal masih ada metode pengendalian
lainnya yang berjalan sesuai rencana.

2. Pegendalian Preventif, Korektif dan Detektif

2.1 Pengendalian Preventif

Organisasi biasanya membatasi akses terhadap sumber-sumber daya informasi sebagai

pengendalian preventif atas kemaanan TI. Lebih spesifiknya, contoh tindakan preventif dalam
rangka pengendalain keamanan sumber TI antara lain:
1. Pelatihan
Manusia memegang peranan penting dalam keamanan informasi. Para pegawai harus
memahami dan mengikuti kebijakan keamanan organisasi. Sehingga, pelatihan
merupakan pengendalaian preventif. Semua pegawaia harus diajarkan mengapa
keamanan sangat pentig bagi keselamatan perusahaan dalam jangka panjang. Mereka
harus diajarkan untuk tidak berbagi password, tidak membuka email-email yang
mencurigakan, hanya menggunakan piranti lunak yang asli, dan melakukan langkah-
langkah yang diperlukan untuk melindungi komputernaya secara fisik.
2. Kendali akses atas para pengguna (autentifikasi dan otorisasi)
Tujuan dari pengendalian akses pengguna adalah untuk mengidentifikasi setiap orang
yang mengakses sistem informasi organsiasi dan menelusuri tindakan-tindakan yang
mereka laukan. Terdapat dua jenis pengendlaian akses pengguna yang digunakan, yakni
penggendalian otentifikasi yang membatasi siapa saja yang dapat mengakses sistem
informasi organsiasi; dan pengendalian otorisasi yang membatasi apa saja yang boleh
dilakukan oleh setiap orang jika mereka diberikan akses terhadap sistem informasi
organisasi.
3. Kendali atas akses fisik
Kendaali atas akses fisik dimulai dari titik masuk ke gedung tempat asset secara fisik
berada. Idealnya, hanya ada satu titik masuk yang tidak tterkunci selama jam kerja
normal. Pada kondisi darurat seperti antisipasi atas kejadian kebakaran, biasnaya
diperlukan pintu darurat keluar, namun akses terhadap pintu darurat ini tidak boleh
diberikan pada pihak luar dan harus dihubungkan dengan sistem alarm yang secara
otomatis akan berbunyi ketika pintu darurat terbuka. Selain itu, resepsionis atau petugas
jugga harus berada di lokasi pintu masuk utama untuk memverivikasi identitas
pengunjung. Para pengunjung harus mendaftarakan diri dan didampingi oleh karyawan
kapanpu mereka masuk ke dalam gedung.
Pengendalian atas akses fisik harus mempertimbangkan factor biaya-manfaat. Dengan
demilkian perlu adanya keterlibatan puncak dlaam merencanakan pengenndalian
keamanan akses fisik untuk memastikan bahwa semua sumber sistem infromasi telah
dinilai dengan tepat serta sifat dan kombinasi akses pengendalian merefkelsikan nilai dari
akses yang dijaga tersebut.
4. Kendali atas akses jaringan
Banyak perusahaan kini memberikan akses jarak jauh kepada para pegawai, pelanggan
dan pemasok terhadap sistem informasi perusahaan. Biasanya akses ini terjadi melalui
internet. Namun dibeberapa perusahaan masih ada yang menggunakan jaringan khusus
milik mereka sendiri atau mengunakan akses dial-up langsung dengan modem. Banyak
perusahaan juga kini memberikan akses nirkabel terhadap sistem informasinya. Metode
pengendlaian yang dpat digunkan untuk mengendaliakan akses jaringan sesuai dengan
COBIT antara lain:
a. Menggunakan batasan-batasan pengmanan seperti router, firewall dan intrusion
prevention system lainnya. Piranti yang disebut border router menghubungkan sistem
informasi organisasi ke internet. Dibalik setiap border router terdapat firewall utama.
Router dan firewall ini bersama-sama bertindak sebagai filter untuk mengendalikan
informasi apa saja yang boleh dimasuki dan diambil dari sistem informasi organisasi.
b. Perindungan terhadap pengiriman data, dengan menggunnkaan Transmission Control
Protocol/Internet Protocol yang mengatur prosedur membagi file dan dokumen ke
daalam paket-paket untuk dikirim melalui internet dan metode untuk menyusun
kembali data tersebut ke dalam file atau dokumen original setelah dikirim di tempat
tujuan.
c. Perlindungan terhadap akses nirlaba dengan mengaktifkan fitur-fitur pengaman yang
ada; otentikasi semua peralatan yang kana digunakan untuk menngakses data nirkabel
ke jaringan sebelum memberikan IP address ke setiap peralatann tersebut; konfigurasi
semua piranti nirlaba hanya dnegan titik akses nirkabel; penggunaan nama yang tidak
informative untuk alamat titik akses, yang dinamakan dengan service set identifier
(SSID) agar tifak mudah menjadi target serangan; mengurangi kekuatan broadcast
titik akses nirkabel, menempatkannya di dalam interior ruangan dan menggunakan
antenna pengarah agar data yang tidak terotorisasi tidak mudah masuk; dan
penggunaan enkripsi atas semua trafik nirkabel.
5. Kendali atas piranti keras dan piranti lunak
Router, firewall dan intrusion prevention system didesain untuk melindungi jaringan.
Namun, sebagaimana halnya rumah yang dilengkapi dengan kunci pengaman tambahan,
perusahaan juga dapat meningkatkan pengendalian dnegan melakukan pengendalian
pencegahan tambahan pada parimeter jaringanya dengan memberikan pencegahan
tambahan pada workstation, server, printer dan piranti lainnya (yang secara kolektif
disebut end-point). Terdapat tiga area yang harus mendapat perhaatian khusus yakni (1)
konfigurasi end-point, (2) manajemen akun pengguna, (3) rancangan piranti lunak.
Konfiguarsi end-point dapat dibuat dengan lebih aman dengan memodifikasi
konfigurasinya. Konfigurasi standar (default) di hamper semua piranti kerja baisnaya
mengaktifkan semua peraaturaan operasional yang seering kali jarang atau tidak pernah
digunakan. Demikian pula, instalasi standar di hampir semua sistem operasi
mengaktifkan banyak sekali program bertujuan khusus, yang disebut service, yang tidak
penting. Setiap program yang berjalan mencerminkan titik potensial serangan karena
adanya kemungkinan titik-titik kelemahan didalamnya, yang disebut dengan
vulnerabilities, yang dapat dieksploitasi menjadi sistem yang rusak (crush) atau
pengambilalihan kenndaalai atas sistem tersebut. Piraanti yang disebut vulnerability
scanner dapat digunakkan untuk mengidentifikasi program-program yang tidak
digunakan sehingga potensi ancaman keamanannya bisa dicegah.
Sesuai dengan COBIT control objective DSS.4, manajemen akun pengguna khususnya
dibutuhkan akun-akun yang memiliki hak terbatas (administratif) atas computer. Hak
administratif diperlukan dalam rangka memasanag piraanti lunak dan mengubah banyak
pengaturan konfigurasi. Kkekuasaan yang sangat besar ini menjadikan akun-akun yang
memiliki hak administratif menjadi sasaran utama para penyerang sistem. Selain itu,
banyak vulnerabilities yang hanya mempengaruhi akun-akun yang memiliki hak
administratif. Oleh Karen aitu, pegawai yang memerlukan kekuasaan administratif atas
komputer tertentu harus diberikan dua akun: satu akun dengan hak administratif, dan satu
akun lainnya yang hanya memiliki hak yang terbatas. Para pegawai yang memiliki hak
administratif ini harus dilatih untuk menggunakan akun dengan hak terbatas untuk
melakukan tugas-tugas harian rutin, dan baru menggunakan akun dengan hak
administratif jika dipelukan untuk melakukan tindakan tertentu seperti pemasangan
piranti lunak baru, yang memang memerlukan hak administratif.
2.2 Pengendalian Detektif
Pengendalian detektif mengingkatkan keamanan dengan cara memonitor efektivitas
pengendalian preventif dan mendeteksi insiden yang berhasil ditangani oleh pengendalian
preventif. Pengendalian deteksi yang digunakan antara lain:
1. Analisis Log
Hampir sebagian besar sistem memiliki kapabilitas yang besar untuk mencatat siapa
saja yang mengakses sistem dan tindakan spesifik apa saja yang dilakukan oleh setiap
pengguna. Log atau catatan ini mebentuk suatu jejak audit (audit trail) atas akses
sistem. Sama halnya dengan jejak audit lainnya, cattan-catatan ini hanya bermakna
jika secara rutin diperiksa. Log analysis merupakan proses untuk memeriksa catatan
atas siapa saja yang mengakses sistem dan secara spesifik apa saja yang dilakukan
oleh setiap pengguna ketika mengakses sistem untuk mengidentifikasi potensi
kemugkinan serangan yang dapat terjadi.
2. Intrusion Detection System
Intrusion Detection System (ID) berisi sperangkat sensor dan unit monitoring pusat
yang menghasilkan catatan garafik jaringan yang telah diizinkan untuk melewati
firewall dan kemudian menganalisis catatan tersebut untuk mendeteksi adanya tanda-
tanda usaha untuk melakukan intrusi/gangguan atau gangguan yang sudah terjadi.
3. Laporan Manajemen
COBIT bagian ME1 dan ME2 mengharuskan manajemen untuk memonitor dan
mengevaluasi kinerja sistem maupun pengendalian sistem. Kerangka COBIT
memberikan panduan bagi manajemen untuk mengidentifikasi faaktor kunci
kesuksesan yang terkait dengan setiap tujuauan pengendalian dan menyarankan
indicator kinerja kunci yang dpaat digunakan oleh manajemen dalam memonitor dan
meninai efektivitas pengendalaian.
4. Pengajuan Keamanan
COBIT control objective DS 5.5 mencatata perlunya dilakukan pengujian secara
berkala atas efektivitas prosedur pengamanan yang saat ini sudha ada. Salah satunya
adalah dengan menggunakan vulnerability scanner untuk mengidentifikasi potensi
kelemahan dalam konfigurasi sistem. Selain itu, penetration testing juga dapat
digunakan sebagai alat tes yang lebih kuat untuk menguji efektivitas kemanan
 informasi perusahaan. Penetration test merupakan usaha yang disahkan yang
dilakukan oleh tim audit intern atau tim konsultan TI eksternal untuk menerobos
masuk ke dlaam sistem informasi organisasi. Tim ini mencoba semua cara yang
mungkin untuk menerobos keamanan sistem perusahaan. Hal inni perlu dilakukan
untuk mengidentifikasi dimana saja perlindungan khusus harus diberikan untuk
mencegah adanya akses tidak sah terhadap sistem perusahaan.

2.3 Pengendalian Korektif

Banyak pengendlaian korektif yang mengandalkan penilaian manusia. Konsekuensinya,
efektivitasnya tergantung pada sejauh mana perencanaan dan persiapan sudah dilakukan.
Hal ini menyebabkan COBI control objective DS 5.6 mengharuskan untuk
mengidentifikasikan dan mengkomunikasikan karakteristik insiden keamanan untuk
memfasilitasi klasifikasi dan perlakukan yang tepat.
1. Pengendalaian Umum dan Pengendaalian Aplikasi
Secara sederhana, pengendaalian umum adalah semua bentuk pengendalian yang
tidak terkait langsung dengan aplikasi computer. Contohnya, memastikan bahwa
ruang kantor terkunci, kemudian penempatan satpam di tugas jaga. Sedangkan
pengendalian aplikasi adalah semua pengendalian terkait denga aplikasi tertentu.
Semua pengendalaian yang diletakkan dengan satu aplikasi.
A. Pengendalian Umum
Pengendalian umum eliputi:
a. Pengendalian Organisasi
Organisasi menetapkan hubugan kinerja antara karyawan dan unit organisasi.
Struktur organisasi dirancang sedemikian rupa sehingga menghasilkan
organisasi yang independen. Organisasi yang independen adalah struktur
organisasi yang memisahkan wewenang dan tanggung jawab sedemikian rupa
sehingga fungsi yang tidak kompatibel dipisahakan. Selain melalui pemisahan
tugas, pengendalian juga dicapai dengan monitoring.
b. Pengendalian Dokumentasi
 Dokumentasi yang baik berguna untuk efisiensi dalam perbaikan bug system,
untuk efisiensi dalamm pengembangan tambahan aplikasi baru, serta untuk
peatihan karyawan dalam mengenalkan sistem aplikasi.
Dokumentasi yang diperlukan meliputi:
a) Kebijakan terkait dengan sistem
b) Dokumentasi aplikasi sistem
c) Dokumenetasi program
d) Dokumentasi data
e) Dokumentasi operasi
f) Dokumentasi untuk pengguna
c. Pengendalian akuntabilitas asset
Pengendalian akuntabilitas asset perusahaan dapat dilakukan dengan cara:
a) Penggunaan buku pembantu dalam catatan akuntansi
b) Rekonsiliasi atas catatan dengan perhitungan fisik asset
c) Prosedur acknowledgement sebagai bentuk wujud pertanggungjawaban
atas asset yang ditangani oleh seseorang atau suatu bagian
d) Pengguna log dan register
e) Review independen
d. Pengendalaian praktik manajemen
Pengendalaian praktik manajemen ini meliputi kebijakan dan praktik sumber
daya manusia, komitmen terhadap kompetensi, praktik perencanaan, praktik
audit dan pengendlaian pengmbangan sistem aplikasi (prosedur perubahan
sistem dan prosedur pengembangan sistem baru)
e. Pengendalian operasi pusat informasi
f. Pengendlaian otorisasi
g. Pengendalian akses
B. Pengendalian Aplikasi
Pengendaliann aplikasi adalah pengendalaian terkait dengan aplikasi (peranti
lunak) tertentu. Pengendalaian aplikasi ini meliputi pengendalaian input,
pengendaalaian proses dan pengendalaian output.
a. Pengendalaian Masukan
Pengendalian aplikasi yinput lazim diterapkan dlaam suatu peranti lunak
antara lain:
a. Otorisasi
b. Approval (persetujuan)
c. Menandai dokumen
d. Pengecekan format
e. Pengecekan kelangkapan user
f. Test reasonableness
g. Validity Cek
h. Radback
i. Banch control total
b. Pengendalian Proses
Pengendalian proses (processing controls) ialah pengendalian intern untuk
mendeteksi jangan sampai data (khususnya data yang sesungguhnya sudah
valid) menjadi salah karena adanya kesalahan proses. Kemungkinan yang
paling besar untuk menimbulkan terjadinya error adlah kesalahan logika
program, salah rumus, slaah urutan program, ketidaakterpaduan antar
subsistem ataupun kesalahan teknis lainnya.
c. Pengendalian Keluaran
Pengendalaian keluaran (output controls) ialah pengendalian intern untuk
mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak
lengkap, tidak mutakhir datanya, atau didistribusikan keada orang-orang yagn
tidak berhak. Kemungkinan risiko yang dihadapi yang terkait dengan keluaran
ialah seperti telah disebutkan diata: laporan tida akurat, tidak lengkap,
terlambat atau data tidak up to date, banyak item data yang tidak relevn, bias,
dibaca oleh pihak yang tidak berhak. Dalam sistem yang sudah lebih terbuka
(menggunakan jaringan komunikasi publik) potensi akses oleh hacker,
cracker atau orang yang tidak berwenang lainnya menjadi makin tinggi.
 2. Mengidentifikasi dan Menjelaskan Pengendalian yang Dirancang untuk
Melindungi Kerahasiaan Informasi yang Sensitif dan Privasi dari Informasi
Personal Pelanggan
Organisasi harus melindungi informasi yang sensitive seperti rencana strategis,
rahasia dagang, informasi biaya, dokumen-dokumen hukum, dan perbaikan proses.
Tindakan yang harus dilakukan untuk melindungi kerahasiaan informasi sensitive
perusahaan antara lain:
a. Identifikasi dan Klasifikasi informasi yang harus dilindungi
b. Melindungi kerahasiaan dengan enkripsi
c. Pengendalian akses terhadap informasi sensitive
d. Pelatihan

3. Mengidentifikasi dan Menjelaskan Pengendalian yang Dirancang untuk

Memastikan Integritas Pemrosesan dan Ketersediaan Sistem
Prinsip kerangka privasi The Trust Service terkait erat dengan prinsip kerahasiaan,
namun perbedaan mendasarnya adalah privasi lebih menekankan pada perlindungan
atas informasi personal mengenai pelanggan daripada data organisasi. Akibatnya,
pengendalian yang perlu diteterapkan untuk melindugi privasi adalah perlindungan
yang sama seperti perlindungan atas kerahasiaan, yakni: identifikasi informasi yang
harus dilindungi, enkripsi, kendali atas akses dan pelatihan.

Pengendalian Privasi

Langkah pertama dalam melindungi privasi informasi personal yang didapatkan dari pelanggan
adalah untuk mengidentifikasi informasi apa yang didapatkan, dimana disimpan informasi
tersebut dan siapa saja yang boleh mengakses informasi tersebut. Hal ini penting untuk
menerapkan pengendlaian untuk melindungi informasi tersebut karena insiden yang melibatkan
penggungkapan informasi pribadi pelanggan baik itu disengaja maupun tidak, sangat memakan
biaya.
Fokus Privasi
Dua focus utama dlaam perlindungan atas privasi data terkait pelanggan adlaah spam dan
pencurian identitas. Spam merupakan email yang masuk tanpa diminta yang berisi iklan atau
konten yang ofensif. Spam merupakan isu yang terkait dengan privasi karena penerima seringkali
ditargetkan sebagai hasil dan akses yang tidak sah atas daftar alamat email dan database yang
berisi informasi personal. Spam tidak hanya mengurangi efisiensi manfaat email namun juga
merupakan sumber dari banyak virus , worms,spyware, programs, dan jenis malware lainnya.

REFERENSI

M.B. Romneyand P.J.Steinbart (2012). Accounting Information Systems12thedition Prentice

Hall.

Committee of Sponsoring Organizations (COSO). Internal Control – Integrated Framework.

May 2013.