Ancaman terhadap sistem informasi akuntansi saat ini semakin meningkat, dan masih ada juga
perusahaan yang masih memandang hal tersebut sepeleh karana perusahaan ini melihat jika
kehilangan atas informasi penting hanya sebagai ancaman yang tidak mungkin terjadi. Dari hal
tersebut bahwa segala sesuatu yang dapat merugikan di sebut sebagai ancaman (threat) atau
kejadian (event).
Pengendalian Internal
Pengendalian internal (internal control) ialah sebuah proses yang dilakukan untuk memberikan
jaminan seperti mengamankan aset, mengelolah catatan dengan sedetail, memberikan informasi
yang akurat dan terpecaya agar tujuan-tujuan tercapai. Pengendalian internal ini terlalu mahal dan
memberikan jaminan-jaminan yang sulit dicapai.
Dan pengendalian internal ini juga dipisah-pisah menjadi 2 yaitu pengendalian umum (general
control) memastikan lingkungan pengendalian sebuah organisasi itu kelolah dengan stabil dan baik,
dan pengendalian aplikasi (application control) sebuah pengendalian yang dapat mencegah,dan
mendeteksi kesalahan terhadap transaksi dan penipuan di dalam program aplikasi.
Tidak hanya itu seorang profesor yaitu Robert Simons juga memakai empat cara untuk membantu
manajemen menyelesaikan konflik yaitu:
1. Sistem kepercayaan (belief system) merupakan penjelasan tata cara sebuah perusahaan
menciptakan nilai, menolong memahami visi bagi pegawai, menginformasikan kualitas dasar
perusahaan, dan memberi inspirasi kepada pegawai agar semangat bekerja berdasarkan
nilai atau kualitas tersebut.
2. Sistem batas (boundary system) sebuah sistem yang menolong pegawai bekerja secara etis
dengan membangun batas pada perilaku kepegawaian.
3. Sistem pengendalian diagnostik (diagnostik control system) sebuah sistem yang
mengukur, mengawasi perkembangan perusahaan dan membandingkan perkembangan
perusahaan aktual dengan anggaran dan tujuan kinerja.
4. Sistem pengendalian interaktif (interactive control system) untuk menolong manjer
memfokuskan kepada isu-isu strategis utama dan lebih terlibat dalam keputusan mereka.
Kerangka Pengendalian
Ada 3 kerangka pengendalian internal ialah kerangka cobit control objectives for information and
related technology merupakan sebuah kerangka yang menggabungkan standar pengendalian dari
berbagai sumber seperti membuat tolak ukur praktik-praktik keamanan danpengendalian lingkungan
oleh manajemen, bagi yang menggunakan layanan TI di berikan jaminan keamanan, dan para auditor
memperkuat pendapatnya tentang pengendalian internal. Ada perinsip-perinsip yang dapat digunakan
untuk mendapatkan sistem informasi yang terbaikmenurut COBIT yaitu memenuhi keperluan pemaku
kepentingan, mencakup perusahaan dari ujung ke ujung, mengutarakan sebuah kerangka terintegrasi
dan tunggal, pendekatan holisti dimungkinkan, dan tata kelolah dipisahkan dengan manajemen.
Kerangka yang digunakan adalah kerangka ERM ialah sebuah kerangka yang memperbaiki proses
manajemen risiko dengan memperluas pengendalian internal COSO. ERM memiliki perinsip dasarnya
yaitu perusahaan itu dibuat dengan tujuan menciptakan nilai untuk para pemiliknya, saat menciptakan
nilai manajemen harus memutuskan seberapa banyak ketidak pastiannya, ERM ini dpat menciptakan
dan mempertahankan nilai.
Lingkungan Internal
Internal evironment ialah sebuah kebudayaan dlam perusahaan yang merupakan dasar dari ERM
lainnya. Dalam manajemen dan pengambilan resiko lingkungan internal ini cukup tidak baik dan
terkadang juga dapat terjadinya kerusakan. Ada contoh nya yaitu enron, enron ini merupakan
ketidakefektifan lingkungan internal yang mengakibatkan kegagalan financial.
Ada beberapa hal yang berkaitan dengan lingkungan internal seperti filosofi manajemen, gaya
pengoperasian, dan selera resiko seandaikan manajemen hanya memiliki sedikit perhatian pada
pengendalian internal dan resiko, sehingga para pegawai akan menjadi malas untuk mencapai tujuan
pengendalian. Komitmen terhadap integritas, nilai etis, dan kompentensi sebuah organisasi
sangat memerlukan sikap seperti itu apalagi integritas yang sangat di butuhkan dalam sebuah
perushaan. Pengawasan pengendalian internal oleh dewan direksi hal ini berkaitan dengan
pengecekan maka ini memerlukan sebuah komite audit. Struktur organisasi sebuah perusahaan
memerlukan struktur organisasi jika struktur organisasi tersebut rumit dan tidak dapat diidentifikasi
maslah yang sulit. Metode penetapan wewenang dan tanggung jawab disini majemen berperan
sebagai yang memastikan para karyawan dapat bertanggung jawab. Sumberdaya manusi disini
memerlukan sikap kejujuran dalam perekrutan pegawai, kompensasi dan mempromosikan, pelatihan,
pengelolahan para pegawai yang tidak puas, pemberhentian, dan liburan atau rotasi tugas. Pengaruh
eksternal ini juga ada syrat-syaratnya dari brusa efek, danjuga mensyarat-syaratkan seperti bank,
untilitas dan perushaan asuransi.
Penetapan Tujuan
1. Tujuan strategis, merupakan sebuah taktik yang berkaitan dengan perusahaan untuk
mendukung misi perusahan tersebut serta menciptakan nilai pemegang saham.
2. Tujuan pelaporan, bertujuan untuk menolong memastikan ketelitian, kelengkapan, dan untuk
membuat keputusan dan mengawasi aktivitas kerja.
3. Tujuan kepatuhan, bertujuan untuk membantu perusahaan dalam memenuhi peraturan
hukum dan peraturan yang berlaku.
Risiko bawaan merupakan kelemahan dalam akun atau transaksi yang tanpa adanya pengendaliann
internal. Risiko residual merupakan risiko sisa dari manajemen menerapkan pengendalian internal
terhadap risiko. Seorang manajemen dapat merespon resiko dengan beberapa hal seperti
mengurangi dampak dan kemungkinannya, bisa menerima dari dampaknya, dapat memebagikan
dampaknya kepada orang lain, dan menghindari risikonya sebelum akan terjadi.
Aktivitas Pengendalian
Control activities merupakan sebuah kebijakan atau bisa jadi sebagai aturan yang dapat
memeberikan jaminan terhadap tujuan penegendalian bahwa telah tercapai dan respons risiko
dilakukan. Ada beberapa kategori cara untuk melakukan pengendalian yaitu otorisasi transaksi dan
aktivitas yang tepat ini merupakan pemberdayaan pemalsuan terhadap data transaksi dan auditor
akan memeriksa data atau laporan ke transaksidengan otorisasi yang tepat, pemisahan tugas ini
merupakan pengendalian internal yang baik karena satu karyawan tidak di perbolehkan diberikan
lebih dari satu tanggung jawabnya, seperti akuntansi seseorang akuntan itu berfungsi sebagai
otorisasi untuk menyetujui transaksi-transaksi, pencatatan, dan juga penyimpanan mengenai
transaksi akuntansi, dan ada juga tugas dari sistem. Pengembangan proyek dan pengendalian
akuisisi pengembangan ini lebih mementingkanmetologi untuk mengatur pengembangan, akuisisi,
dan menjaga sistem informasi, mengubah pengendalian manajemen ini memenafaat kan TI dan
bagi yang bertanggung jawab sebagai untuk perubahan harus memastikan bahwa tidak
memperkenalkan kesalahan sehingga memfasilitasi praktik penipuan, mendesain dan
menggunakan dokumen dan catatan ini untuk lebih akurat dan lengkap dari seluruh data transaksi
yang relevan, pengamanan aset, catatan, dan data memelihara dan memastikan pencatatan secara
akurat dari seluruh aset dan melindungi catatan dan dokumen agar terhindar dari hacking,
pengecekan kinerja yang independen pengecekan ini dilakukan seseorang yang diluar dari
operasinya, pengecekan ini terdiri dari tinjauan tingkat atas, tinjauan analitis, rekonsiliasi catatan-
catatan yang dikelolah secara independen, juga membadingkan terhadap kuantitas kebenaran
dengan yang dicatat, akuntansi double-entry, dan setelah transaksi diproses maka ditinjau
independen.
Dalam sistem informasi akuntansi ini memiliki tujuan untuk pencatatan, pengumpulan data,
menyimpan, danmengomunikasikan informasi mengenai sebuah organisasi. Dalam hal tersebut
sangat memerlukan yang dapat membolak-balik penelusuran transaksi dan laporan keuangan yaitu
jejak audit audit trail.
Pengawasan
Yang diawasi ini adalah sistem pengendalian internal yang dikembangkan, dilakukan denga efektif,
berkelanjutan, dan dimodifikasi sesuai dengan kebutuhan.
Begitu banyak ancaman dan serangan untuk sistem informasi seperti virus, worm, kegagalan pengkat
keras dan banyak lagi, jadi ada langkah-langkah yang dapat dilakukan oleh para penjahat untuk
dapat menyerang sistem informasi suatu perusahaan yaitu melakukan pengintaian ini biasanya
dilakukan oleh para penjahat di bank, penjahat ini akan memperhatikan targetnya terlebih dahulu dan
kejahatan ini tidak hanya di bank juga terjadi perusahaan, para penjahat akan mencari informasi
perusahaan tersebut dan juga melakukan penelitian terhadap perusahaan tersebut. Mengupayakan
rekayasa sosial sebuah tindakan yang dilakukan dengan mengunakan penipuan untuk mendpatkan
akses tanpa persetujuan untuk mendapatkan informasi akuntansi ini yang dinamakan rekayasa
sosial, rekayasa sosial ini dilakukan dengan berbagai cara tetapi juga dpat dibatasi oleh imajinasi dan
kreativitas penyerang. Memindahi dan memetakan target ini merupakan langkah kedua jika strategi
awalnya gagal, penyerangan ini melakukan dengan berbagai alat otomatis mengidentifikasi komputer
yang dapat dioperasikan dengan jarak jauh. Penelitian penyerang akan mencari tau tentang target-
targetnya. Mengeksekusi serangan kegiatan ini memanfaatkan ketegangan untuk mendpatkan
akses ke sistem informasi target tanpa izin. Menutupi jejak mereka akan menutupi jejak mereka dan
menciptakan “pintu belakangnnya”.
Pengendalian Preventif
Pengendalian ini dilakukan untuk membatasi akses terhadap sumber daya. Yang dimaksud dengan
kolektif disini adalah keping-keping puzzel yang menyediakan defense-in-depth. Tidak hanya
komponen-komponen itu saja yang penting tetapi orang-orang didalamnya juga penting seperti
penciptaan kebudayaan kesadaran terhadap keamanan, adanya pelatihan untuk para pegawai,
pengendalian akses jaringan kepada para pegawainya, pengendalian akses terhadap pengguna
dalam hal ini ada beberapa pengendaliannya yaitu penegndalian autentikasi ini memverifikasi
identitas seseorang dan ada pengendalian otorisasi ini proses memperketat akses atau memberikan
batasan pengguna.
Dalam pelatihan perimeter menggunakan sebuah border router yang akan menghubungkan sistem
informasi dari organisasi ke internet. Di dalam border router ini terdapat frewall sebagai perangkat
kerasnya yang bertujuan khusus atau bisa menjadi perangkat lunak dengan tujuan mengendalikan
komunikasi masuk ataupun keluar dari frewall atau jaringanlainnya. Dan ada sebuah jaringan yang
terpisah yang berada diluar dari sistem informasi internal organisasi juga dapat memebrikan izin
akses kepada yang dikendalikan dari internet ini dinamakan Demilitarized Zone (DMZ).
Awalnya dari adanya jaringan internet dan ke router ialah perangkat untuk membaca bagian alamat
sumber selanjutnya mengendalikan akses dengan menggunakan paket jaringan disini menggunakan
access control list (ACL) ini digunakan untuk menentukan tindakan untuk paket yang tiba
selanjutanya deep packet inspection ini memeriksa data fisik sebuah paket TCP untuk
mengendalikan lalu lintas, mengunakan defense-in-depth untuk membatasi akses para penggunanya.
Pengendalian Detektif
1. Analisis Log
Log ini jika diperiksa secara rutin maka akan bernilai dan sebaliknya, log analysis merupakan
sebuah proses memeriksa log untuk mengidentifikasi bukti kemungkinan serangan.
2. Sistem deteksi gangguan
Sistem yang menghasilkan beberapa log dari seluruh lalu lintas jaringan yang diberi izin untuk
melewati firewall dan menganalisis log-log tersebut.
3. Pengujian penetrasi
Sebuah upaya terotorisasi untuk menerobos ke dalam sistem informasi organisasi.
4. Pengawasan berkelanjutan
Pengawasan ini menggunakan COBIT 5 yang merupakan pengendalian detektif penting yang
dapat melakukan identifikasi masalah potensial secara tepat waktu.
Pengendalian Korektif
Menjalankan berbagai sistem secara bersamaan pada satu komputer fisik dengan memanfaatkan
kekuatan dan kecepatan komputer modren ini disebut Virtualisasi. Hal ini sangat sedikit
mengeluarkan biaya karena server yang perlu dibeli sedikit. Komputasi cloud memanfaatkan
sebuah browser untuk mengakses perangkat lunak, penyimpan data, perangkat keras, dan aplikasi
dari jarak jauh. Virtualisasi dan komputasi cloud mengubah risiko dari beberapa ancaman keamanan
informasi, tetapi dapat juga meningkatkan risiko terjadinya beberapa ancaman.