PENGENDALIAN SIA DAN INFORMATION SECURITY

Ancaman terhadap sistem informasi akuntansi saat ini semakin meningkat, dan masih ada juga
perusahaan yang masih memandang hal tersebut sepeleh karana perusahaan ini melihat jika
kehilangan atas informasi penting hanya sebagai ancaman yang tidak mungkin terjadi. Dari hal
tersebut bahwa segala sesuatu yang dapat merugikan di sebut sebagai ancaman (threat) atau
kejadian (event).

Pengendalian Internal

Pengendalian internal (internal control) ialah sebuah proses yang dilakukan untuk memberikan
jaminan seperti mengamankan aset, mengelolah catatan dengan sedetail, memberikan informasi
yang akurat dan terpecaya agar tujuan-tujuan tercapai. Pengendalian internal ini terlalu mahal dan
memberikan jaminan-jaminan yang sulit dicapai.

Pengendalian internal ini ada 3 fungsi penting yaitu:

1. Pengendalian preventif (preventive control)

Sebuah pencegahan masalah sebelum timbulnya masalah.
2. Pengendalian detektif (detective control)
Sebeuah pengendalian yang di rancang guna menemukan permasalahan pengendalian yang
tidak bisa dihindari.
3. Pengendalian korektif (corrective control)
Mengenali dan memperbaiki permaslahan dari kesalahan yang dihasilkan.

Dan pengendalian internal ini juga dipisah-pisah menjadi 2 yaitu pengendalian umum (general
control) memastikan lingkungan pengendalian sebuah organisasi itu kelolah dengan stabil dan baik,
dan pengendalian aplikasi (application control) sebuah pengendalian yang dapat mencegah,dan
mendeteksi kesalahan terhadap transaksi dan penipuan di dalam program aplikasi.

Tidak hanya itu seorang profesor yaitu Robert Simons juga memakai empat cara untuk membantu
manajemen menyelesaikan konflik yaitu:

1. Sistem kepercayaan (belief system) merupakan penjelasan tata cara sebuah perusahaan
menciptakan nilai, menolong memahami visi bagi pegawai, menginformasikan kualitas dasar
perusahaan, dan memberi inspirasi kepada pegawai agar semangat bekerja berdasarkan
nilai atau kualitas tersebut.
2. Sistem batas (boundary system) sebuah sistem yang menolong pegawai bekerja secara etis
dengan membangun batas pada perilaku kepegawaian.
3. Sistem pengendalian diagnostik (diagnostik control system) sebuah sistem yang
mengukur, mengawasi perkembangan perusahaan dan membandingkan perkembangan
perusahaan aktual dengan anggaran dan tujuan kinerja.
4. Sistem pengendalian interaktif (interactive control system) untuk menolong manjer
memfokuskan kepada isu-isu strategis utama dan lebih terlibat dalam keputusan mereka.

Kerangka Pengendalian

Ada 3 kerangka pengendalian internal ialah kerangka cobit control objectives for information and
related technology merupakan sebuah kerangka yang menggabungkan standar pengendalian dari
berbagai sumber seperti membuat tolak ukur praktik-praktik keamanan danpengendalian lingkungan
oleh manajemen, bagi yang menggunakan layanan TI di berikan jaminan keamanan, dan para auditor
memperkuat pendapatnya tentang pengendalian internal. Ada perinsip-perinsip yang dapat digunakan
untuk mendapatkan sistem informasi yang terbaikmenurut COBIT yaitu memenuhi keperluan pemaku
kepentingan, mencakup perusahaan dari ujung ke ujung, mengutarakan sebuah kerangka terintegrasi
dan tunggal, pendekatan holisti dimungkinkan, dan tata kelolah dipisahkan dengan manajemen.

Kerangka Pengendalian Internal COSO

COSO atau committee of sponsoring organizations ini terdiri dari Asosiasi Akuntansi Amerika, AICPA,
Ikatan Auditor Internal, Ikatan Akuntansi Manajemen, dan Ikatan Eksekutif Keuangan. COSO ini
merupakan sektor swasta.

Kerangka Manajemen Risiko Perusahaan COSO

Kerangka yang digunakan adalah kerangka ERM ialah sebuah kerangka yang memperbaiki proses
manajemen risiko dengan memperluas pengendalian internal COSO. ERM memiliki perinsip dasarnya
yaitu perusahaan itu dibuat dengan tujuan menciptakan nilai untuk para pemiliknya, saat menciptakan
nilai manajemen harus memutuskan seberapa banyak ketidak pastiannya, ERM ini dpat menciptakan
dan mempertahankan nilai.

Lingkungan Internal

Internal evironment ialah sebuah kebudayaan dlam perusahaan yang merupakan dasar dari ERM
lainnya. Dalam manajemen dan pengambilan resiko lingkungan internal ini cukup tidak baik dan
terkadang juga dapat terjadinya kerusakan. Ada contoh nya yaitu enron, enron ini merupakan
ketidakefektifan lingkungan internal yang mengakibatkan kegagalan financial.

Ada beberapa hal yang berkaitan dengan lingkungan internal seperti filosofi manajemen, gaya
pengoperasian, dan selera resiko seandaikan manajemen hanya memiliki sedikit perhatian pada
pengendalian internal dan resiko, sehingga para pegawai akan menjadi malas untuk mencapai tujuan
pengendalian. Komitmen terhadap integritas, nilai etis, dan kompentensi sebuah organisasi
sangat memerlukan sikap seperti itu apalagi integritas yang sangat di butuhkan dalam sebuah
perushaan. Pengawasan pengendalian internal oleh dewan direksi hal ini berkaitan dengan
pengecekan maka ini memerlukan sebuah komite audit. Struktur organisasi sebuah perusahaan
memerlukan struktur organisasi jika struktur organisasi tersebut rumit dan tidak dapat diidentifikasi
maslah yang sulit. Metode penetapan wewenang dan tanggung jawab disini majemen berperan
sebagai yang memastikan para karyawan dapat bertanggung jawab. Sumberdaya manusi disini
memerlukan sikap kejujuran dalam perekrutan pegawai, kompensasi dan mempromosikan, pelatihan,
pengelolahan para pegawai yang tidak puas, pemberhentian, dan liburan atau rotasi tugas. Pengaruh
eksternal ini juga ada syrat-syaratnya dari brusa efek, danjuga mensyarat-syaratkan seperti bank,
untilitas dan perushaan asuransi.

Penetapan Tujuan

Ada beberapa macam dari tujuan seperti,

1. Tujuan strategis, merupakan sebuah taktik yang berkaitan dengan perusahaan untuk
mendukung misi perusahan tersebut serta menciptakan nilai pemegang saham.
2. Tujuan pelaporan, bertujuan untuk menolong memastikan ketelitian, kelengkapan, dan untuk
membuat keputusan dan mengawasi aktivitas kerja.
3. Tujuan kepatuhan, bertujuan untuk membantu perusahaan dalam memenuhi peraturan
hukum dan peraturan yang berlaku.

Penilaian Risiko dan Respons Risiko

Risiko bawaan merupakan kelemahan dalam akun atau transaksi yang tanpa adanya pengendaliann
internal. Risiko residual merupakan risiko sisa dari manajemen menerapkan pengendalian internal
terhadap risiko. Seorang manajemen dapat merespon resiko dengan beberapa hal seperti
mengurangi dampak dan kemungkinannya, bisa menerima dari dampaknya, dapat memebagikan
dampaknya kepada orang lain, dan menghindari risikonya sebelum akan terjadi.

Aktivitas Pengendalian

Control activities merupakan sebuah kebijakan atau bisa jadi sebagai aturan yang dapat
memeberikan jaminan terhadap tujuan penegendalian bahwa telah tercapai dan respons risiko
dilakukan. Ada beberapa kategori cara untuk melakukan pengendalian yaitu otorisasi transaksi dan
aktivitas yang tepat ini merupakan pemberdayaan pemalsuan terhadap data transaksi dan auditor
akan memeriksa data atau laporan ke transaksidengan otorisasi yang tepat, pemisahan tugas ini
merupakan pengendalian internal yang baik karena satu karyawan tidak di perbolehkan diberikan
lebih dari satu tanggung jawabnya, seperti akuntansi seseorang akuntan itu berfungsi sebagai
otorisasi untuk menyetujui transaksi-transaksi, pencatatan, dan juga penyimpanan mengenai
transaksi akuntansi, dan ada juga tugas dari sistem. Pengembangan proyek dan pengendalian
akuisisi pengembangan ini lebih mementingkanmetologi untuk mengatur pengembangan, akuisisi,
dan menjaga sistem informasi, mengubah pengendalian manajemen ini memenafaat kan TI dan
bagi yang bertanggung jawab sebagai untuk perubahan harus memastikan bahwa tidak
memperkenalkan kesalahan sehingga memfasilitasi praktik penipuan, mendesain dan
menggunakan dokumen dan catatan ini untuk lebih akurat dan lengkap dari seluruh data transaksi
yang relevan, pengamanan aset, catatan, dan data memelihara dan memastikan pencatatan secara
akurat dari seluruh aset dan melindungi catatan dan dokumen agar terhindar dari hacking,
pengecekan kinerja yang independen pengecekan ini dilakukan seseorang yang diluar dari
operasinya, pengecekan ini terdiri dari tinjauan tingkat atas, tinjauan analitis, rekonsiliasi catatan-
catatan yang dikelolah secara independen, juga membadingkan terhadap kuantitas kebenaran
dengan yang dicatat, akuntansi double-entry, dan setelah transaksi diproses maka ditinjau
independen.

Informasi dan Komunikasi

Dalam sistem informasi akuntansi ini memiliki tujuan untuk pencatatan, pengumpulan data,
menyimpan, danmengomunikasikan informasi mengenai sebuah organisasi. Dalam hal tersebut
sangat memerlukan yang dapat membolak-balik penelusuran transaksi dan laporan keuangan yaitu
jejak audit audit trail.

Pengawasan

Yang diawasi ini adalah sistem pengendalian internal yang dikembangkan, dilakukan denga efektif,
berkelanjutan, dan dimodifikasi sesuai dengan kebutuhan.

Ada metode-metode kinerja seperti:

1. Menjalankan evaluasi pengendalian internal

Sebuah tim di bentuk untuk dapat menciptakan dan melakukan evaluasi dan dapat dilakukan
dengan pengauditan internal.
2. Impi ementasi pengawasan yang efektif
Pengawasan sangat diperlukan dalam perusahaan seperti pengawasan kinerja, mengoreksi
kesalahan, dan mengawasi aset terhadap pegawai yang memiliki akses.
3. Mengunakan sistem akuntansi pertanggungjawaban
Ini digunakan untuk memastikan data itu sinigfikan dan menyelidiki setra mengoreksi varians.
4. Mengawasi aktivitas sistem
5. Melacak perangkat lunak dan perangkat bergerak yang dibeli
6. Menjalankan audit berkala
7. Memperkejakan petugas keamanan komputer dan chief compliance officer
COS ini untuk keamanan sistem.
8. Menyewa spesialis forensik
Orang memiliki spesialisasi dalam penipuan mereka ada pelatihannya dari agen-agen
penegak hukum lainnya.
9. Memasang perangkat lunak deteksi penipuan
Ada yang mengunakan perangkat lunak dari IBM untuk mendektesi kegitan penipuan.
10. Mengimplementasikan hotline penipuan
Cara yang baik untuk menentukan hukuman dan juga berguna untuk menyelesaikan konflik
whistle blower.
Dua Konsep Keamanan Informasi Fundamental

1. Keamanan Merupakan Masalah Manajemen, Bukan Hanya Maslah Teknologi

Firewall merupakan alat yang sangat efektif untuk keamanan informasi dan tidak hanya itu
juga ada antivirus, dan enkripsi.
2. Defense-In-Depth Dan Model Keamanan Informasi Berbasis Waktu
Ini merupakan konsep untuk menghindari suatu kegagalan dengan menggunkan berbagai
aspek pengendalian. Defense-in-depth ini dengan cara kombinasi atau pengabungan dari
preventif, detektif, dan juga korektif. Preventif ini untuk membatasi kegiatan individu tertentu
untuk sesuai dengan keamanan organisasi. Metode keamanan berbasis waktu memiliki
tujuan ialah mengkombinasi preventif, detektif, dan juga korektif agar dapat melindungi aset
informasi cukup lama.

Memahami Serangan Yang Ditargetkan

Begitu banyak ancaman dan serangan untuk sistem informasi seperti virus, worm, kegagalan pengkat
keras dan banyak lagi, jadi ada langkah-langkah yang dapat dilakukan oleh para penjahat untuk
dapat menyerang sistem informasi suatu perusahaan yaitu melakukan pengintaian ini biasanya
dilakukan oleh para penjahat di bank, penjahat ini akan memperhatikan targetnya terlebih dahulu dan
kejahatan ini tidak hanya di bank juga terjadi perusahaan, para penjahat akan mencari informasi
perusahaan tersebut dan juga melakukan penelitian terhadap perusahaan tersebut. Mengupayakan
rekayasa sosial sebuah tindakan yang dilakukan dengan mengunakan penipuan untuk mendpatkan
akses tanpa persetujuan untuk mendapatkan informasi akuntansi ini yang dinamakan rekayasa
sosial, rekayasa sosial ini dilakukan dengan berbagai cara tetapi juga dpat dibatasi oleh imajinasi dan
kreativitas penyerang. Memindahi dan memetakan target ini merupakan langkah kedua jika strategi
awalnya gagal, penyerangan ini melakukan dengan berbagai alat otomatis mengidentifikasi komputer
yang dapat dioperasikan dengan jarak jauh. Penelitian penyerang akan mencari tau tentang target-
targetnya. Mengeksekusi serangan kegiatan ini memanfaatkan ketegangan untuk mendpatkan
akses ke sistem informasi target tanpa izin. Menutupi jejak mereka akan menutupi jejak mereka dan
menciptakan “pintu belakangnnya”.

Pengendalian Preventif

Pengendalian ini dilakukan untuk membatasi akses terhadap sumber daya. Yang dimaksud dengan
kolektif disini adalah keping-keping puzzel yang menyediakan defense-in-depth. Tidak hanya
komponen-komponen itu saja yang penting tetapi orang-orang didalamnya juga penting seperti
penciptaan kebudayaan kesadaran terhadap keamanan, adanya pelatihan untuk para pegawai,
pengendalian akses jaringan kepada para pegawainya, pengendalian akses terhadap pengguna
dalam hal ini ada beberapa pengendaliannya yaitu penegndalian autentikasi ini memverifikasi
identitas seseorang dan ada pengendalian otorisasi ini proses memperketat akses atau memberikan
batasan pengguna.

Pelatihan perimeter: router, firewall, dan sistem pencegahaan gangguan

Dalam pelatihan perimeter menggunakan sebuah border router yang akan menghubungkan sistem
informasi dari organisasi ke internet. Di dalam border router ini terdapat frewall sebagai perangkat
kerasnya yang bertujuan khusus atau bisa menjadi perangkat lunak dengan tujuan mengendalikan
komunikasi masuk ataupun keluar dari frewall atau jaringanlainnya. Dan ada sebuah jaringan yang
terpisah yang berada diluar dari sistem informasi internal organisasi juga dapat memebrikan izin
akses kepada yang dikendalikan dari internet ini dinamakan Demilitarized Zone (DMZ).

Tinjauan Menyeluruh TCP/IT Dan Ethernet

Awalnya dari adanya jaringan internet dan ke router ialah perangkat untuk membaca bagian alamat
sumber selanjutnya mengendalikan akses dengan menggunakan paket jaringan disini menggunakan
access control list (ACL) ini digunakan untuk menentukan tindakan untuk paket yang tiba
selanjutanya deep packet inspection ini memeriksa data fisik sebuah paket TCP untuk
mengendalikan lalu lintas, mengunakan defense-in-depth untuk membatasi akses para penggunanya.

Pengendalian Detektif

Ada 4 jenis pengendalian detektif yaitu:

1. Analisis Log
Log ini jika diperiksa secara rutin maka akan bernilai dan sebaliknya, log analysis merupakan
sebuah proses memeriksa log untuk mengidentifikasi bukti kemungkinan serangan.
2. Sistem deteksi gangguan
Sistem yang menghasilkan beberapa log dari seluruh lalu lintas jaringan yang diberi izin untuk
melewati firewall dan menganalisis log-log tersebut.
3. Pengujian penetrasi
Sebuah upaya terotorisasi untuk menerobos ke dalam sistem informasi organisasi.
4. Pengawasan berkelanjutan
Pengawasan ini menggunakan COBIT 5 yang merupakan pengendalian detektif penting yang
dapat melakukan identifikasi masalah potensial secara tepat waktu.

Pengendalian Korektif

Ada 3 pengendalian korektif yaitu:

1. Computer Incident Response Team (CIRT)

Sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan utama, ada empat
tahap untuk CIRT mengrespons insiden, yaitu memberi tahu jiaka ada kesalahan, dapat
melakukan pemberhentian atau bisa penahanan maslah tersebut, melakukan pemulihan
teradap maslah yang terjadi hal ini dapat melakukan backup, dan dapat melakukan follow up
atau menindak lanjuti proses pemulihannya.
2. Chief Information Security Officer (CISO)
CISO ini harus independen dari fungsi-fungsi sistem informasi lainnya dan juga harus
melaporkan COO dan juga CEO. CISO ini memiliki tanggung jawab untuk memastikan
penilaian kerentanan dan risiko keamanan.
3. Manajemen Patch
Patch merupakan sebuah kode yang diciptakan oleh pengembang perangkat lunak yang
berguna untuk perbaikan kerentanan tertentu, sedangkan manajemen patch ialah proses
untuk secara teratur menerapkan patch dan mempengaruhi perangkat lunak.

Implementasi Keamanan Virtualisasi Dan Cloud

Menjalankan berbagai sistem secara bersamaan pada satu komputer fisik dengan memanfaatkan
kekuatan dan kecepatan komputer modren ini disebut Virtualisasi. Hal ini sangat sedikit
mengeluarkan biaya karena server yang perlu dibeli sedikit. Komputasi cloud memanfaatkan
sebuah browser untuk mengakses perangkat lunak, penyimpan data, perangkat keras, dan aplikasi
dari jarak jauh. Virtualisasi dan komputasi cloud mengubah risiko dari beberapa ancaman keamanan
informasi, tetapi dapat juga meningkatkan risiko terjadinya beberapa ancaman.