UNIVERSITAS BUDI LUHUR

FAKULTAS EKONOMI DAN BISNIS

PERTEMUAN 6
SISTEM PENGENDALIAN
INTERNAL DALAM ORGANISASI

Capaian : Mahasiswa dapat memahami dan

Pembelajaran menganalsis sistem pengendalian
internal dalam organisasi. (season
2)

Sub Pokok : 6.1. Pengendalian sistem informasi

Bahasan 6.2.Pengendalian preventif,
detektiv, dan korektif
6.3.Pengendalian umum dan
aplikasi
6.4. Kerahasiaan dan privasi
6.5.Integritas dan keandalan proses

Daftar Pustaka : 1. Accounting Information Systems

 14th Edition. Marshall B.
Romney & Paul John Steinbart,
Pearson Prentice Hall, New
Jersey 2018
2. Sistem Informasi Akuntansi Edisi
4. James A Hall, Salemba
Empat,Jakarta 2007
 SISTEM PENGENDALIAN INTERNAL DALAM ORGANISASI

6.1. Pengendalian Sistem Informasi

Saat ini, setiap organisasi bergantung pada teknologi informasi (TI–information
technology). Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip
yang berkontribusi secara bersamaan terhadap keandalan sistem, yaitu keamanan
(security), kerahasiaan (confidentiality), privasi (privacy), integritas pemrosesan
(processing integrity), dan ketersediaan (availability).
Para professional keamanan informasi memiliki keahlian untuk mengidentifikasi
ancaman potensial dan mengestimasikan kemungkinan serta dampaknya. Meski
demikian, manajemen senior harus memilih salah satu dari empat respons risiko yaitu
menurunkan, menerima, membagi, atau menghindari, mana yang sesuai untuk diadopsi
sehingga sumber daya yang diinvestasikan pada keamanan informasi menunjukkan
kebutuhan risiko organisasi.
Agar menjadi efektif, komunikasi keamanan informasi harus lebih dari sekedar
menyerahkan sebuah dokumen tertulis, akan tetapi para pegawai harus menerima
pemberitahuan yang teratur dan periodik terkait kebijakan keamanan serta melatih
bagaimana cara untuk mematuhinya.
Manajemen harus mengotorisasi investasi sumber daya yang diperlukan untuk
mengatasi ancaman yang teridentifikasi serta mencapai level keamanan yang
dikehendaki.
Manajemen juga harus secara periodik menilai ulang respons risiko organisasi dan
membuat perubahan terhadap kebijakan keamanan informasi serta berinvestasi pada
solusi baru untuk memastikan bahwa upaya keamanan informasi organisasi mendukung
strategi bisnisnya secara konsisten dengan kebutuhan risiko manajemen.

6.2. Pengendalian Preventif, Detektif, Korektif

Gagasan dari defense-in-depth adalah penggunaan berbagai lapisan
pengendalian untuk menghindari sebuah poin kegagalan. Sedangkan model keamanan
berbasis waktu (time-based model of security) adalah penggunaan kombinasi
perlindungan preventif, detektif, korektif yang melindungi aset informasi cukup lama agar
memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi dan
mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau
dirusak. Tujuan ini dapat ditunjukkan dengan sebuah formula yang menggunakan tiga
variabel berikut:
P = waktu yang diperlukan seorang penyerang untuk menerobos pengendalian preventif
organisasi.
D = waktu yang diperlukan untuk mendeteksi bahwa sebuah serangan sedang dalam
proses.
C = waktu yang diperlukan untuk merespons serangan dan mengambil tindakan korektif.
Dalam pengendalian preventif, dalam kerangka COBIT 5 mengidentifikasikan bahwa
manajemen harus menciptakan sebuah budaya sadar keamanan dan para pegawai harus
dilatih untuk mengikuti kebijakan-kebijakan keamanan serta mempraktikkan perilaku
komputasi yang aman dengan melibatkan pengendalian autentikasi dan pengendalian
otorisasi.
Pengendalian preventif tidak pernah 100% efektif dalam mengeblok seluruh
serangan. Oleh karena itu, salah satu praktik manajemen COBIT 5 menjelaskan aktivitas-
aktivitas yang juga dibutuhkan organisasi untuk memungkinkan deteksi gangguan dan
masalah secara tepat watu. Terdapat empat jenis pengendalian detektif, yaitu:
1. Analisis log, proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan
serangan.
2. Sistem deteksi gangguan, sebuah sistem yang menghasilkan sejumlah log dari
seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian
menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau
berhasil dilakukan.
3. Uji penetrasi, upaya terotorisasi untuk menerobos ke dalam sistem informasi
organisasi.
4. Pengawasan berkelanjutan, dapat mengidentifikasi masalah potensial secara tepat
waktu.
Meski deteksi masalah dengan tepat waktu adalah penting, hal itu tidaklah cukup.
Organissasi juga memerlukan prosedur untuk melakukan tindakan korektif secara tepat
waktu. Tiga metode pengendalian korektif yang penting diantaranya adalah:
1. Computer Incident Respons Team (CIRT), sebuah tim yang bertanggung jaswab
untuk mengatasi insiden keamanan utama.
2. Chief Information Security Officer (CISO), yang mendesain, mengimplementasi,
serta membangun kebijakan dan prosedur keamanan yang baik.
3. Patch Management, proses untuk secara teratur menerapkan patch (kode yang
dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu)
dan memperbarui perangkat lunak.

6.3. Pengendalian Umum dan Aplikasi

Banyak organisasi telah melibatkan virtualisasi dan komputasi cloud untuk
meningkatkan baik efisiensi maupun efektivitas. Virtualisasi menjalankan berbagai sistem
secara bersamaan pada satu komputer fisik. Sedangkan Komputasi cloud memanfaatkan
high bandwith dari jaringan telekomunikasi global modern agar memungkinkan para
pegawai menggunakan sebuah browser untuk mengakses perangkat lunak, penyimpanan
data, perangkat keras, dan aplikasi dari jarak jauh.
Virtualisasi dan komputasi cloud dapat memiliki baik efek positif meupun negatif
pada keseluruhan tingkatan keamanan informasi, tergantung pada sebaik apa organisasi
atau penyedia cloud mengimplementasikan berbagai lapisan dari pengendalian preventif,
detektif, dan korektif.

6.4. Kerahasiaan dan Privasi

Langkah-langkah untuk melindungi kerahasiaan kekayaan intelektual dan informasi
bisnis sensitif lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan orang
yang mengaksesnya. Gambar 6.1 menunjukkan empat tindakan dasar yang harus
dilakukan untuk menjaga kerahasiaan atas informasi sensitif: (1) mengidentifikasi dan
mengklarifikasi informasi untuk dilindungi (identify and classify information), (2)
mengenkripsi informasi (encryption), (3) mengendalikan akses atas informasi (access
control), dan (4) melatih para pegawai untuk menangani informasi secara tepat
(training).

Gambar 6.1 Komponen-komponen Perlindungan Kerahasiaan dan Privasi

Pelatihan adalah pengendalian yang paling penting untuk melindungi kerahasiaan.
Hal-hal yang perlu dilatih terhadap para pegawai antara lain: (1) mengetahui jenis
informasi yang dapat mereka bagikan dengan orang luar dan jenis informasi yang perlu
dilindungi, (2) bagaimana cara melindungi data rahasia, (3) mengetahui cara membuat
kode untuk laporan yang mereka buat agar merefleksikan bahwa informasi yang
terkandung di dalamnya penting, sehingga pegawai lain akan tahu cara menangani
laporan tersebut, (4) pelatihan terutama penting dalam penggunaan e-mai, pesan instan
(chat), dan blog dengan semestinya.
Langkah-langkah untuk melindungi privasi informasi pribadi yang dikumpulkan dari
pelanggan, pegawai, pemasok, dan rekan bisnis, yaitu:
1. Mengidentifikasi jenis informasi yang dimiliki organisasi, letak ia disimpan, dan
orang yang memiliki akses terhadapnya.
2. Enkripsi adalah sebuah pengendalian yang fundamental untuk melindungi privasi
informasi pribadi yang dikumpulkan oleh organisasi.
3. Data masking, yaitu sebuah program yang melindungi privasi dengan mengganti
informasi pribadi dengan nilai-nilai palsu.
Dua permasalahan utama terkait privasi adalah spam dan pencurian identitas. Spam
adalah e-mail yang tidak diinginkan yang mengandung baik periklanan maupun konten
serangan. Sedangkan pencurian identitas adalah mengasumsikan identitas seseorang,
biasanya untuk keuntungan ekonomi.
Seperti yang ditunjukkan pada gambar 6.2, enkripsi (encryption) adalah proses
mentransformasikan teks normal, disebut plaintext, ke daklam raban yang tidak dapat
dibaca, disebut chipertext.

Gambar 6.2 Langkah-langkah dalam Proses Enkripsi dan Dekripsi

Jenis-jenis sistem enkripsi:
1. Sistem enkripsi simetris, sistem enkripsi yang menggunakan kunci yang sama
untuk mengenkripsi dan mendekripsi.
2. Sistem enkripsi asimetris, sistem enkripsi yang menggunakan dua kunci (publik
dan privat), keduanya dapat mengenkripsi, tetapi hanya kunci pencocokan lainnya
yang dapat mendekripsi.
Saat ini banyak transaksi bisnis terjai secara digital dengan menggunakan internet.
Bagaimana bisnis dapat memperoleh tingkat penjaminan yang sama atas keabsahan
transaksi digital dengan sebuah dokumen yang tertandatangani seperti halnya transaksi
yang berbasis kertas? Jawabannya adalah menggunakan baik hashing maupun enkripsi
asimetris untuk menciptakan tanda tangan yang terikat secara legal atau hukum.
Hashing adalah proses mengubah plaintext sepanjang apa pun ke dalam sebuah
kode singkat yang disebut hash. Tanda tangan digital adalah sebuah hash yang dienkripsi
dengan kunci privat milik pembuat hash.
Menciptakan sebuah tanda tangan digital melalui proses dua langkah, (1) pembuat
dokumen menggunakan sebuah algoritme hashing untuk menghasilkan sebuah hash dari
dokumen asli, (2) pembuat dokumen menggunakan kunci privatnya untuk mengenkripsi
hash yang dibuat pada langkah (1).
Guna melindungi kerahasiaan dan privasi, informasi harus dienkripsi tidak hanya di
dalam sebuah sistem, tetapi juga ketika ia sedang dalam perjalanan melalui internet.
Sperti yang ditunjukkan gambar 6.3, mengenkripsi informasi saat informasi melintasi
Internet akan menciptakan sebuah virtual private network (VPN). VPN menggunakan
enkripsi dan autentikasi untuk mentransfer informasi melalui Internet dengan aman
sehingga menciptakan sebuah jaringan privat “virtual”.

Gambar 6.3 Virtual Private Network (VPN)

6.5. Integritas dan Keandalan Proses

Prinsip Integritas Pemrosesan dari Trust Srvice Framework menyatakan bahwa
sebuah sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi akurat,
lengkap, tepat waktu, dan valid. Untuk memverifikasi validitas data input diperlukan:
1. Bentuk desain, dokumen sumber dan bentuk lainnya harus didesain untuk
meminimalkan kemungkinan kesalahan dan kelalaian.
2. Pembatalan dan penyimpanan dokumen sumber, dokumen-dokumen sumber yang
telah dimasukkan ke dalam sistem harus dibatalkan sehingga mereka tidak dapat
dengan sengaja atau secara tidak jujur dimasukkan ulang ke dalam sistem.
3. Pengendalian entri data secara otomatis, dokumen-dokumen sumber harus dipindai
untuk kewajaran dan kebenaran sebelum dimasukkan ke dalam sistem, seperti
pengecekan field, pengecekan tanda, pengecekan batas, pengecekan jangkauan,
pengecekan ukuran, pengecekan (atau pengujian) kelengkapan, pengecekan
validitas, tes kewajaran, dan nomor ID.
Pengendalian tambahan entri data pemrosesan batch. Pemrosesan batch bekerja
lebih efisien jika transaksi-transaksi disortir, sehingga rekening-rekening yang terkena
dampak berada dalam urutan yang sama dengan catatan di dalam file induk. Sebuah
pengecekan berurutan (sequence check) menguji apakah batch atas input data verada
di dalam urutan numerik atau alfabetis yang tepat. Total batch merangkum nilai-nilai
numerik bagi sebuah batch atas catatan input. Tiga total batch yang sering digunakan,
diantaranya: total finansial, total hash, dan jumlah catatan.
Pengendalian juga diperlukan untuk memastikan bahwa data diproses dengan
benar. Pengendalian pemrosesan yang penting mencakup kegiatan pencockan data, label
file, perhitungan ulang total batch, pengujian saldo cross-footing dan saldo nol,
mekanisme write-protection, pengendalian pembaruan secara bersamaan.
Pengendalian yang hati-hati terhadap output sistem memberikan pengendalian
tambahan atas integritas pemrosesan. Pengendalian output yang penting meliputi:
pemerikasaan pengguna terhadap output, prosedur rekonsiliasi, rekonsiliasi data
eksternal, pengendalian transmisi data.
Pemrosesan transaksi-transaksi dalam penjualan kredit mencakup tahapan-tahapan
berikut: (1) memasukkan dan mengedit data transaksi; (2) memperbarui catatan
pelanggan dan persediaan; dan (3) menyiapkan dan mendistribusikan dokumen
pengiriman dan/atau penagihan.

Rangkuman
Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip yang
berkontribusi secara bersamaan terhadap keandalan sistem, yaitu keamanan,
kerahasiaan, privasi, integritas pemrosesan, dan ketersediaan. Cara mengidentifikasi
ancaman pada keamanan informasi:
1. Memilih salah satu dari empat respons risiko (menurunkan, menerima, membagi,
atau menghindari) mana yang sesuai untuk diadopsi sehingga sumber daya yang
diinvestasikan pada keamanan informasi menunjukkan kebutuhan risiko organisasi.
2. Para pegawai harus menerima pemberitahuan yang teratur dan periodik terkait
kebijakan keamanan serta melatih bagaimana cara untuk mematuhinya.
3. Mengotorisasi investasi sumber daya yang diperlukan untuk mengatasi ancaman
yang teridentifikasi serta mencapai level keamanan yang dikehendaki.
4. Secara periodik menilai ulang respons risiko organisasi dan membuat perubahan
terhadap kebijakan keamanan informasi serta berinvestasi pada solusi baru.
Perlindungan preventif, detektif, korektif melindungi aset informasi yang cukup lama
agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi
dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau
dirusak.
COBIT 5 mengidentifikasikan bahwa manajemen harus:
1. Dalam pengendalian preventif, menciptakan sebuah budaya sadar keamanan dan
para pegawai harus dilatih untuk mengikuti kebijakan-kebijakan keamanan serta
mempraktikkan perilaku komputasi yang aman dengan melibatkan pengendalian
autentikasi dan pengendalian otorisasi.
2. Dalam pengendalian detektif, menjelaskan aktivitas-aktivitas yang juga dibutuhkan
organisasi untuk memungkinkan deteksi gangguan dan masalah secara tepat watu.
Terdapat empat jenis pengendalian detektif, yaitu: Analisis log, Sistem deteksi
gangguan, Uji penetrasi, dan Pengawasan berkelanjutan.
4. Dalam pengendalian korektif, dilakukan dengan tiga metode diantaranya adalah:
Computer Incident Respons Team (CIRT), Chief Information Security Officer (CISO),
Patch Management.
Pengendalian virtualisasi dan komputasi cloud untuk meningkatkan baik efisiensi
maupun efektivitas. Virtualisasi menjalankan berbagai sistem secara bersamaan pada
satu komputer fisik. Sedangkan Komputasi cloud memanfaatkan high bandwith dari
jaringan telekomunikasi global modern agar memungkinkan para pegawai menggunakan
sebuah browser untuk mengakses perangkat lunak, penyimpanan data, perangkat keras,
dan aplikasi dari jarak jauh.
Langkah-langkah untuk melindungi kerahasiaan kekayaan intelektual dan informasi
bisnis sensitif lainnya adalah:
1. Mengidentifikasi dan mengklarifikasi informasi untuk dilindungi (identify and classify
information)
2. Mengenkripsi informasi (encryption)
3. Mengendalikan akses atas informasi (access control)
4. Melatih para pegawai untuk menangani informasi secara tepat (training).

Latihan
1. Apakah perbedaan antara autentikasi dan otorisasi?
2. Apa saja keterbatasan, jika ada, dari ketergantungan pada hasil uji penetrasi
untuk menilai keseluruhan tingkat keamanan?
3. Bagaimana pendapat Anda tentang tugas atau tanggung jawab sebuah organisasi
untuk melindungi privasi informasi pribadi para pelanggannya? Jelaskan alasannya!
4. Asumsikan bahwa Anda telah diwawancarai secara online untuk sebuah pekerjaan
dan sekarang menerima sebuah tawaran kerja. Pekerjaan tersebut mengharuskan
Anda untuk berpindah melintasi negara. Perusahaan tersebut mengirimkan sebuah
tanda tangan digital bersama dengan kontrak. Bagaimana hal tersebut dapat
memberikan jaminan yang cukup bagi Anda untuk memercayai penawaran tersebut,
sehingga Anda rela berpindah-berpindah?
5. Apa saja beberapa proses bisnis yang memungkinkan sebuah organisasi untuk
menggunakan pemrosesan batch?
 FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS BUDI LUHUR
Jl. Raya Ciledug, Petukangan Utara, Pesanggrahan
Jakarta Selatan, 12260
Telp: 021-5853753 Fax : 021-5853752
http://feb@budiluhur.ac.id