TUGAS MATA KULIAH

SISTEM TEKNOLOGI INFORMASI DAN AUDIT

RESUME ARTIKEL
BAB 4 – PENGENDALIAN INTERNAL DAN RISIKO DALAM SISTEM TI

Oleh:
Alvis Oktanza Fayardi
2321031035

MAGISTER ILMU AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS LAMPUNG
2023
 RESUME
BAB 4 - PENGENDALIAN INTERNAL DAN RISIKO DALAM SISTEM TI

1. GAMBARAN UMUM PENGENDALIAN INTERNAL UNTUK SISTEM TI

Bagi sebagian besar organisasi, sistem komputer adalah kunci bagi operasi berkelanjutan.
Salah satu fungsi kritis dalam sistem TI adalah sistem informasi akuntansi. Pengetahuan
tentang sistem TI dan risiko serta pengendalian terkait adalah faktor penting dalam
memahami proses bisnis dan pencatatan, peringkasan, pemantauan, dan pelaporan hasil.

2. PENGENDALIAN UMUM UNTUK SISTEM TI

Pengendalian umum yang dijelaskan dalam bagian ini dibagi menjadi lima kategori utama:

1. Otentikasi pengguna dan pembatasan akses yang tidak sah

Otentikasi pengguna adalah proses atau prosedur dalam sistem TI untuk memastikan
bahwa orang yang mengakses sistem TI adalah pengguna yang sah dan berwenang.
Pengguna yang tidak sah yang mencoba mengakses sistem TI merupakan masalah umum,
sulit, dan berkelanjutan yang harus dikendalikan oleh organisasi. Pengguna yang tidak sah
dapat menjadi peretas atau orang di luar organisasi, atau pengguna di dalam perusahaan
yang mencoba mendapatkan akses ke data yang tidak seharusnya mereka miliki. Untuk
membatasi akses yang tidak sah, ada banyak pengendalian umum yang harus ada.
2. Peretasan dan peretasan jaringan lainnya
Ketika sistem TI dihubungkan ke jaringan internal atau Internet, jaringan tersebut terbuka
peluang untuk akses yang tidak sah. Semakin luas serangkaian koneksi jaringan, semakin
besar peluangnya bagi peretas, pihak di luar organisasi, dan karyawan yang tidak
berwenang untuk mengaksesnya. Ketika sistem TI memiliki koneksi jaringan, organisasi
seharusnya menggunakan satu atau lebih firewall dalam jaringan tersebut. Firewall adalah
perangkat keras, perangkat lunak, atau kombinasi dari keduanya yang dirancang untuk
memblokir akses yang tidak sah.

3. Struktur organisasi
Organisasi dengan sistem TI yang luas seharusnya mengatur pengembangan dan operasi
sistem TI secara keseluruhan melalui penggunaan komite tata kelola TI, biasanya terdiri
dari eksekutif puncak. Fungsinya adalah mengatur pengembangan dan operasi sistem TI
secara keseluruhan. Komite tersebut, yang akan mencakup pejabat seperti chief executive
officer (CEO), chief financial officer (CFO), chief information officer (CIO), dan kepala
unit bisnis seperti vice president of marketing, memiliki beberapa tanggung jawab penting,
termasuk yang berikut:
 Menyelaraskan investasi TI dengan strategi bisnis.
 Anggaran dana dan personil untuk penggunaan sistem TI yang paling efektif.
 Mengawasi dan memberikan prioritas perubahan pada sistem TI.
 Mengembangkan, memantau, dan meninjau semua kebijakan operasional TI.
 Mengembangkan, memantau, dan meninjau kebijakan keamanan.

4. Lingkungan fisik dan keamanan fisik system

Pengendalian umum untuk sistem TI seharusnya mencakup pengendalian atas lingkungan
fisik sistem dan kontrol akses fisik untuk membatasi siapa yang berhubungan dengan
sistem. Lingkungan fisik mencakup lokasi, lingkungan operasional, dan sistem cadangan
sistem TI. Keamanan fisik dimaksudkan untuk membatasi akses fisik ke perangkat keras
dan perangkat lunak komputer sehingga tindakan jahat atau vandalisme tidak mengganggu
sistem, dan sehingga data terlindungi. Sistem TI dalam skala besar harus dilindungi dengan
pengendalian akses fisik. Pengendalian tersebut mencakup yang berikut:
 Akses terbatas ke ruang komputer melalui kartu identitas karyawan atau kartu kunci.
 Peralatan pengawasan video.
 Catatan orang yang masuk dan keluar dari ruang komputer.
 Penyimpanan terkunci untuk data cadangan dan data cadangan di luar lokasi.

5. Kelangsungan Bisnis
Perencanaan kelangsungan bisnis (BCP) adalah program proaktif untuk
mempertimbangkan risiko terhadap kelangsungan bisnis dan mengembangkan rencana dan
 prosedur untuk mengurangi risiko tersebut. Karena begitu banyak organisasi
mengandalkan sistem TI untuk beroperasi, kelangsungan sistem TI adalah bagian integral
dari kelangsungan bisnis. BCP adalah jenis perencanaan yang luas yang berfokus pada
personel, sumber daya, dan aktivitas kunci yang kritis untuk kelangsungan bisnis. Dua
bagian dari kelangsungan bisnis terkait dengan sistem TI:
 Strategi untuk cadangan dan pemulihan sistem TI, termasuk server cadangan,
penyimpanan data cadangan, cadangan bertahap harian, cadangan perubahan
mingguan, dan penyimpanan cadangan harian dan mingguan di luar lokasi
 Rencana pemulihan bencana

3. PENGENDALIAN UMUM DARI PERSPEKTIF PRINSIP LAYANAN

KEPERCAYAAN AICPA

Ketika mempertimbangkan risiko TI, organisasi harus mengimplementasikan pengendalian TI

yang menguntungkan secara biaya. Sebagai kerangka kerja untuk membahas risiko TI ini,
Prinsip Layanan Kepercayaan AICPA mengategorikan pengendalian dan risiko TI ke dalam
lima kategori:
a. Keamanan. Sistem dilindungi dari akses yang tidak sah (fisik dan logis).
b. Ketersediaan. Sistem tersedia untuk operasi dan penggunaan sesuai yang dijanjikan atau
disetujui.
c. Integritas pemrosesan. Pemrosesan sistem lengkap, akurat, tepat waktu, dan sah.
d. Privasi online. Informasi pribadi yang diperoleh sebagai hasil dari e-commerce
dikumpulkan, digunakan, diungkapkan, dan disimpan sesuai yang dijanjikan atau
disetujui.
e. Kerahasiaan. Informasi yang ditunjuk sebagai rahasia dilindungi sesuai yang dijanjikan
atau disetujui.

Kategori risiko digunakan dalam bagian ini untuk menjelaskan konsep pengendalian dan
risiko dalam sistem TI:
• Risiko dalam Tidak Membatasi Pengguna yang Tidak Sah
• Risiko dari Peretasan atau Pencurian Jaringan Lainnya
• Risiko dari Faktor Lingkungan
• Risiko Akses Fisik
• Risiko Kelangsungan Bisnis
4. PAPARAN PERANGKAT KERAS DAN PERANGKAT LUNAK DALAM SISTEM TI

Paparan sistem TI ini adalah titik masuk yang membuat organisasi rentan terhadap risiko TI yang
telah dijelaskan sebelumnya. Area paparan yang ditunjukkan dalam Exhibit 4-6 adalah sebagai
berikut:
1. Sistem operasi
2. Basis data
3. Sistem pengelolaan basis data (DBMS)
4. Jaringan area lokal (LAN)
5. Jaringan nirkabel
6. E-bisnis yang dilakukan melalui Internet
7. Pekerja telekomuting dan pekerja bergerak
8. Pertukaran data elektronik (EDI)
9. Perangkat lunak aplikasi
5. PERANGKAT LUNAK APLIKASI DAN PENGENDALIAN APLIKASI

Pengendalian aplikasi adalah pengendalian internal atas input, pemrosesan, dan output
aplikasi akuntansi. Pengendalian aplikasi berlaku untuk aplikasi akuntansi tertentu seperti
penggajian, pemrosesan penjualan, atau pemrosesan piutang. Dalam salah satu aplikasi
akuntansi ini, data dimasukkan melalui beberapa metode input, data diproses, dan output
seperti laporan atau cek diproduksi. Pengendalian aplikasi yang dimaksudkan untuk
meningkatkan akurasi, kelengkapan, dan keamanan input, pemrosesan, dan output dijelaskan
sebagai berikut:
1. Pengendalian input dimaksudkan untuk memastikan akurasi dan kelengkapan prosedur
input data dan data yang dihasilkan.
2. Pengendalian pemrosesan dimaksudkan untuk memastikan akurasi dan kelengkapan
pemrosesan yang terjadi dalam aplikasi akuntansi.
3. Pengendalian output dimaksudkan untuk membantu memastikan akurasi, kelengkapan,
dan keamanan output yang dihasilkan dari pemrosesan aplikasi.

6. ISU ETIKA DALAM SISTEM TI

Selain penipuan, ada banyak jenis perilaku tidak etis yang terkait dengan komputer, seperti:
• Penyalahgunaan informasi pelanggan yang bersifat rahasia yang disimpan dalam sistem
TI
• Pencurian data, seperti informasi kartu kredit, oleh peretas
• Penggunaan perangkat keras dan perangkat lunak sistem TI oleh karyawan untuk
penggunaan pribadi atau keuntungan pribadi
• Menggunakan surel perusahaan untuk mengirim materi yang bersifat ofensif, ancaman,
atau eksplisit secara seksual
Pengendalian yang dijelaskan dalam bab ini dapat membantu menciptakan lingkungan di
mana banyak perilaku tidak etis ini dapat dicegah. Pengendalian otentikasi, pengendalian
peretasan jaringan, dan pencatatan penggunaan komputer dapat membantu mencegah atau
mendeteksi perilaku seperti itu.

7. RINGKASAN TUJUAN STUDI

• Gambaran umum pengendalian internal untuk sistem TI. Ada tiga area pengetahuan
penting tentang ancaman dan risiko terhadap sistem TI: Pertama adalah deskripsi
pengendalian umum dan pengendalian aplikasi yang harus ada dalam sistem TI. Kedua
adalah jenis dan sifat risiko dalam sistem TI. Ketiga, dan yang paling penting, adalah
pengenalan tentang bagaimana pengendalian ini dapat digunakan untuk mengurangi risiko
terhadap sistem TI.
• Pengendalian umum untuk sistem TI. Ini adalah pengendalian pada keseluruhan sistem
TI dan dapat dikategorikan berdasarkan area risiko berikut yang dimaksudkan untuk
mengurangi: akses yang tidak sah, peretasan dan pelanggaran jaringan lainnya, paparan
 dalam struktur organisasi, ancaman terhadap lingkungan fisik dan keamanan fisik sistem,
dan gangguan terhadap kelangsungan bisnis.
• Pengendalian umum dari perspektif Prinsip Layanan Kepercayaan. Prinsip Layanan
Kepercayaan AICPA mendefinisikan lima tujuan untuk pengendalian TI: keamanan,
ketersediaan, integritas pemrosesan, kerahasiaan, dan privasi online.
• Paparan perangkat keras dan perangkat lunak dalam sistem TI. Bagian sistem TI
yang memiliki paparan potensial adalah sistem operasi, basis data, sistem pengelolaan
basis data (DBMS), jaringan area lokal (LAN), jaringan nirkabel, sistem e-bisnis, pekerja
telekomuting, sistem pertukaran data elektronik (EDI), dan perangkat lunak aplikasi.
Cloud computing publik adalah model komputasi yang lebih baru yang meningkatkan
kategori risiko yang dijelaskan dalam Prinsip Layanan Kepercayaan.
• Perangkat Lunak Aplikasi dan Pengendalian Aplikasi. Pengendalian input
dimaksudkan untuk mencegah, mendeteksi, atau memperbaiki kesalahan selama input
data; oleh karena itu, mereka harus membantu memastikan akurasi dan kelengkapan data
apa pun yang dimasukkan. Pengendalian pemrosesan dimaksudkan untuk memastikan
pemrosesan yang akurat dan lengkap. Pengendalian output dimaksudkan untuk
memastikan bahwa output didistribusikan dan dibuang dengan benar, dan bahwa output
tersebut akurat dan lengkap.
• Isu Etika dalam Sistem TI. Sistem TI dan komputer dalam sistem TI dapat digunakan
secara tidak etis. Contoh perilaku tidak etis dengan sistem TI adalah penyalahgunaan
informasi pelanggan yang bersifat rahasia, pencurian data pelanggan atau perusahaan,
penggunaan karyawan terhadap sistem TI untuk penggunaan pribadi, dan penyalahgunaan
sistem surel perusahaan untuk mengirim materi yang bersifat ofensif, ancaman, atau
eksplisit secara seksual.