NIM: 202150359
Nama: Clara
Jurusan Akuntansi
Trisakti School of Management
Jakarta
2023
1. Pertemuan 5-6
SMITH’S MARKET (SISTEM AKUNTANSI POS UNTUK USAHA KECIL)
Pada tahun 1989, Robert Smith membuka pasar buah dan sayuran kecil di Bethlehem,
Pennsylvania. Awalnya, Smith hanya menjual produk yang ditanam di ladang dan kebun
keluarganya. Namun, seiring dengan meningkatnya popularitas pasar, ia menambahkan
roti, barang kaleng, daging segar, dan persediaan terbatas barang beku. Saat ini, pasar
Smith adalah pasar petani dengan berbagai macam produk dan memiliki basis pelanggan
lokal yang kuat. Bahkan, reputasi pasar ini karena harga yang rendah dan kualitas tinggi
menarik pelanggan dari kota-kota Pennsylvania lainnya dan bahkan dari negara bagian
tetangga New Jersey. Saat ini, pasar Smith memiliki 40 karyawan. Ini termasuk staf
penjualan, pengisi rak, pekerja pertanian, supervisor shift, dan staf administrasi. Baru-
baru ini, Smith telah melihat penurunan keuntungan dan penjualan, sementara pembelian
produk untuk dijual terus meningkat. Meskipun perusahaan tidak menyusun laporan
keuangan yang diaudit, Robert Smith telah mengontrak firma akuntansi publik Anda
untuk menilai prosedur penjualan dan pengendalian perusahaannya.
Prosedur siklus pendapatan pasar Smith dijelaskan dalam paragraf berikut:
Siklus Pendapatan
Pelanggan mendorong kereta belanja mereka ke kasir pembayaran di mana seorang
pegawai memproses penjualan. Pasar ini memiliki empat kasir, tetapi mereka tidak
didedikasikan untuk pegawai penjualan tertentu karena pegawai penjualan memainkan
banyak peran dalam operasi sehari-hari. Selain melayani pelanggan, pegawai penjualan
akan mengisi rak, membongkar truk pengiriman, atau melakukan tugas lain sesuai
permintaan di berbagai area yang naik dan turun sepanjang hari. Permintaan kerja yang
fleksibel ini membuat penugasan pegawai ke kasir tertentu tidak praktis.
Pada awal shift, supervisor shift mengumpulkan empat laci kas dari pegawai kas di
kantor belakang pasar. Laci tersebut berisi $100 masing-masing dalam uang kecil
(dikenal sebagai float) untuk memungkinkan pegawai memberikan kembalian.
Supervisor tersebut menandatangani log yang menunjukkan bahwa ia telah mengambil
alih float dan meletakkan laci tersebut ke dalam laci kas masing-masing.
Penjualan kepada pelanggan hanya dapat dilakukan dengan uang tunai, cek, atau kartu
kredit. Penjualan dengan kartu kredit dilakukan seperti biasa. Pegawai mengejutkan kartu
dan mendapatkan persetujuan online dari penerbit kartu pada saat penjualan. Pelanggan
kemudian menandatangani voucher kartu kredit, yang ditempatkan oleh pegawai di
kompartemen khusus laci kas. Pelanggan menerima tanda terima untuk pembelian dan
salinan voucher kartu kredit.
Untuk pembayaran dengan cek, pegawai meminta pelanggan untuk menunjukkan SIM
yang valid. Nomor SIM ditambahkan ke cek, dan cek tersebut diperiksa dengan daftar
"hitam" pelanggan yang sebelumnya pernah membuat cek buruk. Jika pelanggan tidak
ada dalam daftar tersebut, cek diterima sebagai pembayaran dan ditempatkan di dalam
laci kas. Pegawai kemudian memberikan tanda terima kepada pelanggan.
Halaman 1 dari 51
Sebagian besar penjualan dilakukan dengan uang tunai. Pegawai menerima uang tunai
dari pelanggan, memberikan kembalian, dan memberikan tanda terima untuk pembelian.
Pada akhir shift, supervisor mengembalikan laci kas yang berisi uang tunai, cek, dan
tanda terima kartu kredit kepada pegawai kas dan menandatangani log bahwa ia telah
menyerahkan laci kas.
Kemudian, pegawai tersebut menghitung penjualan tunai dan kartu kredit. Dengan
menggunakan PC mandiri, ia mencatat jumlah penjualan total dalam jurnal penjualan dan
akun penjualan serta kas dalam buku besar umum. Pegawai kas kemudian menyiapkan
slip setoran dan mengirimkan uang tunai, cek, dan voucher kartu kredit ke cabang bank
lokal yang berjarak dua blok dari pasar.
Required
Analisis kelemahan pengendalian internal fisik dalam sistem ini. Modelkan respons Anda
sesuai dengan kerangka pengendalian internal COSO.
TEORI:
Why Threats to Accounting Information Systems are Increasing?
Beberapa alasan perusahaan gagal dalam mengendalikan keamanan dan integritas
sistem komputer, antara lain :
1) Informasi tersedia untuk jumlah pekerja yang belum pernah terjadi sebelumnya.
Contoh : Chevron yang memiliki lebih dari 35.000 PC.
2) Informasi pada jaringan komputer terdistribusi sulit dikendalikan. Contoh :
Informasi pada Chevron didistribusikan di antara banyak sistem dan ribuan
karyawan di seluruh dunia dimana setiap sistem dan setiap karyawan mewakili
titik kerentanan kontrol potensial.
3) Pelanggan dan pemasok memiliki akses ke sistem dan data satu sama lain.
Contoh : Walmart memungkinkan vendor untuk mengakses database mereka
dimana akan timbul masalah kerahasiaan saat vendor tersebut membentuk
aliansi dengan pesaing Walmart.
Beberapa alasan perusahaan belum cukup untuk melindungi data, antara lain :
1) Beberapa perusahaan melihat hilangnya informasi penting sebagai ancaman
yang jauh dan tidak mungkin.
2) Implikasi kontrol dari perpindahan dari sistem komputer terpusat ke sistem
berbasis Internet tidak sepenuhnya dipahami.
3) Banyak perusahaan tidak menyadari bahwa informasi adalah sumber daya
strategis dan melindunginya harus menjadi persyaratan strategis.
4) Produktivitas dan tekanan biaya memotivasi manajemen untuk melupakan
tindakan pengendalian yang memakan waktu
Threat / Event adalah potensi kejadian yang merugikan atau kejadian yang tidak
diinginkan yang dapat mempengaruhi sistem informasi akuntansi atau perusahaan.
Exposure / Impact adalah potensi kerugian dalam bentuk dolar ketika ancaman
tertentu menjadi kenyataan.
Halaman 2 dari 51
Likelihood / Risk adalah probabilitas bahwa ancaman tersebut akan terjadi.
Overview of Control Concepts
Internal Control adalah proses dan prosedur yang diterapkan untuk memberikan
jaminan yang wajar bahwa tujuan pengendalian telah terpenuhi.
Beberapa tujuan dari Internal Control, antara lain :
1) Safeguard Assets merupakan perlindungan, pencegahan, atau pendeteksian
asset dari akuisisi, penggunaan, atau pembuangan yang tidak sah
2) Memelihara catatan dengan cukup detail untuk melaporkan aset perusahaan
secara akurat dan adil
3) Memberikan informasi yang akurat dan terpercaya
4) Menyusun laporan keuangan sesuai dengan kriteria yang telah ditetapkan
5) Mempromosikan dan meningkatkan efisiensi operasional
6) Mendorong kepatuhan terhadap kebijakan manajerial yang telah ditentukan
7) Mematuhi hukum dan peraturan yang berlaku.
Sistem pengendalian internal memiliki beberapa keterbatasan seperti kerentanan
terhadap kesalahan, penilaian dan pengambilan keputusan yang salah, penggantian
manajemen, dan kolusi.
Akuntan dan pengembang sistem membantu manajemen mencapai tujuan
pengendalian internal dengan cara :
1) Merancang sistem pengendalian yang efektif yang mengambil pendekatan
proaktif untuk menghilangkan ancaman sistem serta mendeteksi, memperbaiki,
dan memulihkan dari ancaman ketika terjadi
2) Membuatnya lebih mudah untuk membangun kontrol ke dalam sistem pada
tahap desain awal daripada menambahkannya setelah fakta.
Internal Control memiliki tiga fungsi penting, antara lain :
1) Preventive Controls / Kontrol Preventif
Kontrol yang mencegah masalah sebelum muncul. Contoh : mempekerjakan
personel yang memenuhi syarat, memisahkan tugas karyawan, dan
mengendalikan akses fisik ke aset dan informasi.
2) Detective Controls / Kontrol Detektif
Kontrol yang dirancang untuk menemukan masalah kontrol yang tidak dicegah.
Contoh : pemeriksaan duplikat perhitungan, persiapan rekonsiliasi bank, dan
neraca saldo bulanan.
3) Corrective Controls / Kontrol Korektif
Kontrol yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan
memulihkan dari kesalahan yang dihasilkan. Contoh : memelihara salinan
cadangan file, mengoreksi kesalahan entri data, dan mengirim ulang transaksi
untuk pemrosesan selanjutnya.
Internal Control dibagi menjadi dua kategori, antara lain :
1) General Controls / Kontrol Umum
Halaman 3 dari 51
Kontrol yang dirancang untuk memastikan sistem informasi perusahaan dan
lingkungan kontrol stabil dan dikelola dengan baik. Contoh : keamanan,
infrastruktur IT, serta kontrol akuisisi, pengembangan, dan pemeliharaan
perangkat lunak.
2) Application Controls / Kontrol Aplikasi
Kontrol yang mencegah, mendeteksi, dan memperbaiki kesalahan transaksi dan
penipuan dalam program aplikasi. Mereka memperhatikan keakuratan,
kelengkapan, validitas, dan otorisasi data yang ditangkap, dimasukkan, diproses,
disimpan, dikirim ke sistem lain, dan dilaporkan.
Robert Simons mendukung 4 tuas kontrol untuk membantu manajemen
mendamaikan konflik antara kreativitas dan control, antara lain :
1) Belief System
Sistem yang menggambarkan bagaimana sebuah perusahaan menciptakan nilai,
membantu karyawan memahami visi manajemen, mengkomunikasikan nilai-
nilai inti perusahaan, dan menginspirasi karyawan untuk hidup dengan nilai-nilai
tersebut.
2) Boundary System
Sistem yang membantu karyawan bertindak secara etis dengan menetapkan
batasan pada perilaku karyawan. Sistem ini mendorong karyawan untuk
memecahkan masalah secara kreatif dan memenuhi kebutuhan pelanggan sambil
memenuhi standar kinerja minimum, menghindari aktivitas di luar batas, dan
menghindari tindakan yang dapat merusak reputasi
3) Diagnostic Control System
Sistem yang mengukur, memantau, dan membandingkan kemajuan aktual
perusahaan dengan anggaran dan sasaran kinerja. Umpan balik membantu
manajemen menyesuaikan dan menyempurnakan input dan proses sehingga
output di masa mendatang lebih sesuai dengan tujuan.
4) Interactive Control System
Sistem yang membantu manajer untuk memfokuskan perhatian bawahan pada
isu-isu strategis utama dan untuk lebih terlibat dalam keputusan mereka. Data
dalam sistem ini ditafsirkan dan dibahas dalam pertemuan tatap muka atasan,
bawahan, dan rekan kerja.
Halaman 4 dari 51
keuangan lebih transparan, memberikan perlindungan kepada investor, memperkuat
kontrol internal di perusahaan publik, dan menghukum eksekutif yang melakukan
penipuan.
Beberapa aspek terpenting dari SOX, antara lain :
1) Public Company Accounting Oversight Board (PCAOB)
PCAOB adalah dewan yang dibuat oleh SOX untuk mengatur dan
mengendalikan profesi audit. PCAOB menetapkan dan memberlakukan audit,
kontrol kualitas, etika, independensi, dan standar audit lainnya. PCAOB terdiri
dari 5 orang yang ditunjuk oleh Securities and Exchange Commission (SEC)
2) New Rules for Auditors / Aturan Baru untuk Auditor
Auditor harus melaporkan informasi spesifik kepada komite audit perusahaan
seperti kebijakan dan praktik akuntansi yang penting. SOX melarang auditor
melakukan layanan nonaudit tertentu seperti desain dan implementasi sistem
informasi. Perusahaan audit tidak dapat memberikan layanan kepada perusahaan
jika manajemen puncak dipekerjakan oleh perusahaan audit dan bekerja pada
audit perusahaan dalam 12 bulan sebelumnya.
3) New Roles for Audit Committees / Peran Baru untuk Komite Audit
Anggota komite audit harus berada di dewan direksi perusahaan dan independen
dari perusahaan. Salah satu anggota komite audit harus ahli dalam bidang
keuangan. Komite audit mempekerjakan, memberi kompensasi, dan mengawasi
auditor yang melapor langsung kepada mereka.
4) New Rules for Management / Aturan Baru untuk Manajemen
SOX mengharuskan CEO dan CFO untuk menyatakan bahwa :
Laporan keuangan dan pengungkapan disajikan secara wajar serta telah
ditinjau oleh manajemen, dan tidak menyesatkan
Auditor diberitahu tentang semua kelemahan pengendalian internal yang
material dan kecurangan. Jika manajemen dengan sengaja melanggar aturan
ini, mereka dapat dituntut dan didenda. Perusahaan harus mengungkapkan
dalam bahasa Inggris yang sederhana perubahan material pada kondisi
keuangan mereka secara tepat waktu.
5) New Internal Control Requirements / Persyaratan Baru Internal Control
Perusahaan harus mengeluarkan laporan keuangan yang menyatakan bahwa
manajemen bertanggung jawab untuk membangun dan memelihara sistem
pengendalian internal yang memadai. Laporan harus berisi penilaian manajemen
atas pengendalian internal perusahaan, membuktikan keakuratannya, dan
melaporkan kelemahan signifikan atau ketidakpatuhan material.
Setelah SOX disahkan, SEC menyatakan bahwa manajemen harus :
1) Mendasarkan evaluasinya pada kerangka pengendalian yang diakui
2) Mengungkapkan semua kelemahan pengendalian internal yang material
Halaman 5 dari 51
3) Menyimpulkan bahwa perusahaan tidak memiliki pengendalian internal
pelaporan keuangan yang efektif jika terdapat kelemahan material
Control Frameworks
COBIT Framework
Control Objectives for Information and Related Technology (COBIT) adalah
kerangka kerja yang dikembangkan oleh Information Systems Audit and Control
Association (ISACA) dimana mengkonsolidasikan standar kontrol dari berbagai
sumber ke dalam satu kerangka kerja tunggal yang memungkinkan :
1) Manajemen untuk membandingkan keamanan dan praktik kontrol lingkungan IT
2) Pengguna diyakinkan bahwa keamanan dan kontrol IT yang memadai tersedia
3) Auditor untuk mendukung pendapat pengendalian internal mereka dan memberi
nasihat tentang masalah keamanan dan pengendalian IT.
Kerangka kerja COBIT 5 menjelaskan praktik terbaik untuk tata kelola dan
manajemen IT yang efektif dimana didasarkan pada lima prinsip utama, antara
lain :
1) Memenuhi kebutuhan pemangku kepentingan
COBIT 5 membantu pengguna menyesuaikan proses dan prosedur bisnis untuk
menciptakan sistem informasi yang menambah nilai bagi para pemangku
kepentingan serta memungkinkan perusahaan untuk menciptakan keseimbangan
yang tepat antara risiko dan imbalan.
2) Meliputi perusahaan dari ujung ke ujung
COBIT 5 tidak hanya fokus pada operasi IT tetapi juga mengintegrasikan semua
fungsi dan proses IT ke dalam fungsi dan proses di seluruh perusahaan.
3) Menerapkan kerangka kerja tunggal yang terintegrasi
COBIT 5 dapat disejajarkan pada tingkat tinggi dengan standar dan kerangka
kerja lain sehingga kerangka kerja dibuat seccara menyeluruh untuk tata kelola
dan manajemen IT
4) Memungkinkan pendekatan holistic
COBIT 5 memberikan pendekatan holistik yang menghasilkan tata kelola dan
manajemen yang efektif dari semua fungsi IT di perusahaan.
5) Memisahkan tata kelola dari manajemen
COBIT 5 membedakan antara tata kelola dan manajemen.
Area Kunci Manajemen dan Tata Kelola COBIT 5
Halaman 6 dari 51
Model Referensi Proses COBIT 5
Halaman 7 dari 51
Kerangka kerja IC yang baru mempertahankan lima komponen kerangka kerja asli
dan menambahkan 17 prinsip yang membangun dan mendukung konsep tersebut.
Lima Komponen dan 17 Prinsip Model Pengendalian Internal COSO
Komponen Deskripsi
Komponen ini merupakan dasar untuk semua komponen pengendalian
internal lainnya. Inti dari bisnis adalah orang-orang dan atribut individual
mereka seperti integritas, disiplin, nilai-nilai etika, dan kompetensi serta
lingkungan tempat mereka beroperasi. Mereka adalah mesin yang
menggerakkan perusahaan dan fondasi tempat segala sesuatu bertumpu.
1) Komitmen terhadap integritas dan etika
2) Pengawasan pengendalian internal oleh dewan direksi, independen dari
Control
manajemen
Environment
3) Struktur, jalur pelaporan, dan tanggung jawab yang sesuai dalam
mengejar tujuan yang ditetapkan oleh manajemen dan diawasi oleh
dewan
4) Komitmen untuk menarik, mengembangkan, dan mempertahankan
individu yang kompeten sesuai dengan tujuan
5) Memegang tanggung jawab individu atas pengendalian internal mereka
dalam mengejar tujuan
Perusahaan harus mengidentifikasi, menganalisis, dan mengelola risikonya.
Manajemen harus mempertimbangkan perubahan dalam lingkungan
eksternal dan dalam bisnis yang mungkin menjadi hambatan untuk
mencapai tujuannya.
6) Menentukan tujuan dengan cukup jelas agar risiko dapat diidentifikasi
Risk
dan dinilai
Assessment
7) Mengidentifikasi dan menganalisis risiko untuk menentukan bagaimana
risiko tersebut harus dikelola
8) Mempertimbangkan potensi penipuan
9) Mengidentifikasi dan menilai perubahan yang dapat berdampak
signifikan terhadap sistem pengendalian internal
Control Kebijakan dan prosedur pengendalian membantu memastikan bahwa
Activites tindakan yang diidentifikasi oleh manajemen untuk mengatasi risiko dan
mencapai tujuan perusahaan dilakukan secara efektif. Aktivitas
pengendalian dilakukan di semua tingkatan dan pada berbagai tahap dalam
proses bisnis dan teknologi.
10) Memilih dan mengembangkan pengendalian yang dapat membantu
mengurangi risiko ke tingkat yang dapat diterima
11) Memilih dan mengembangkan kegiatan pengendalian umum atas
teknologi
12) Menyebarkan aktivitas pengendalian sebagaimana ditentukan dalam
Halaman 8 dari 51
kebijakan dan prosedur yang relevan
Sistem informasi dan komunikasi menangkap dan bertukar informasi yang
dibutuhkan untuk melakukan, mengelola, dan mengendalikan operasi
perusahaan. Komunikasi harus terjadi secara internal dan eksternal untuk
memberikan informasi yang diperlukan dalam melaksanakan kegiatan
pengendalian internal sehari-hari dimana seluruh personel harus memahami
tanggung jawab mereka.
Information and
13) Memperoleh atau menghasilkan informasi yang relevan dan
Communication
berkualitas tinggi untuk mendukung pengendalian internal
14) Mengkomunikasikan informasi secara internal, termasuk tujuan dan
tanggung jawab, yang diperlukan untuk mendukung komponen
pengendalian internal lainnya
15) Mengkomunikasikan hal-hal terkait pengendalian internal kepada
pihak eksternal.
Seluruh proses harus dipantau dan modifikasi dilakukan seperlunya
sehingga sistem dapat berubah sesuai kondisi. Evaluasi memastikan apakah
setiap komponen pengendalian internal tersedia dan berfungsi. Kekurangan
dikomunikasikan pada waktu yang tepat dengan masalah serius dilaporkan
kepada manajemen senior dan dewan.
Monitoring
16) Memilih, mengembangkan, dan melakukan evaluasi berkelanjutan atau
terpisah dari komponen pengendalian internal
17) Mengevaluasi dan mengkomunikasikan kekurangan kepada mereka
yang bertanggung jawab atas tindakan korektif seperti manajemen
senior dan dewan direksi
COSO Enterprise Risk Management Framework
Enterprise Risk Management - Integrated Framework (ERM) adalah kerangka kerja
COSO yang digunakan oleh dewan direksi dan manajemen untuk menetapkan
strategi, mengidentifikasi peristiwa yang dapat mempengaruhi entitas, menilai dan
mengelola risiko, dan memberikan jaminan yang wajar bahwa perusahaan
mencapai tujuan dan sasarannya.
Prinsip dasar ERM, antara lain :
1) Perusahaan dibentuk untuk menciptakan nilai bagi pemiliknya.
2) Manajemen harus memutuskan berapa banyak ketidakpastian yang akan
diterimanya karena menciptakan nilai.
3) Ketidakpastian menghasilkan risiko yaitu kemungkinan bahwa sesuatu secara
negatif mempengaruhi kemampuan perusahaan untuk menciptakan atau
mempertahankan nilai.
4) Ketidakpastian menghasilkan peluang yaitu kemungkinan bahwa sesuatu secara
positif mempengaruhi kemampuan perusahaan untuk menciptakan atau
mempertahankan nilai.
Halaman 9 dari 51
5) Kerangka kerja ERM dapat mengelola ketidakpastian serta menciptakan dan
mempertahankan nilai.
The Enterprise Risk Management Framework Versus The Internal Control Framework
Kerangka kerja IC telah diadopsi secara luas sebagai cara untuk mengevaluasi
pengendalian internal, seperti yang dipersyaratkan oleh SOX.
Kerangka kerja ERM yang lebih komprehensif mengambil pendekatan berbasis
risiko daripada pendekatan berbasis kontrol.
ERM menambahkan tiga elemen tambahan ke kerangka kerja IC COSO:
menetapkan tujuan, mengidentifikasi peristiwa yang dapat memengaruhi
perusahaan, dan mengembangkan respons terhadap risiko yang dinilai. Akibatnya,
kontrol fleksibel dan relevan karena terkait dengan tujuan organisasi saat ini.
Model ERM juga mengakui bahwa risiko, selain dikendalikan, dapat diterima,
dihindari, didiversifikasi, dibagikan, atau ditransfer.
Halaman 10 dari 51
1) Filosofi manajemen, gaya operasi, dan selera risiko
2) Komitmen terhadap integritas, nilai-nilai etika, dan kompetensi
3) Pengawasan pengendalian internal oleh dewan direksi
4) Struktur organisasi
5) Metode pemberian wewenang dan tanggung jawab
6) Standar sumber daya manusia yang menarik, mengembangkan, dan
mempertahankan individu yang kompeten
7) Pengaruh eksternal
Halaman 11 dari 51
melaporkannya. Semua tindakan tidak jujur harus diselidiki dan karyawan yang
tidak jujur harus diberhentikan serta dituntut untuk menunjukkan bahwa perilaku
tersebut tidak diperbolehkan.
6) Membuat komitmen untuk kompetensi dimana perusahaan harus
mempekerjakan karyawan yang kompeten dengan pengetahuan, pengalaman,
pelatihan, dan keterampilan yang diperlukan.
Internal Control Oversight By The Board of Directors
Dewan direksi yang terlibat mewakili pemegang saham dan memberikan tinjauan
independen terhadap manajemen yang bertindak sebagai check and balance atas
tindakannya.
Audit Committee adalah anggota dewan direktur independen di luar yang
bertanggung jawab atas pelaporan keuangan, kepatuhan terhadap peraturan,
pengendalian internal, serta mempekerjakan dan mengawasi auditor internal dan
eksternal yang melaporkan semua kebijakan dan praktik akuntansi.
Organizational Structure
Struktur organisasi perusahaan menyediakan kerangka kerja untuk perencanaan,
pelaksanaan, pengendalian, dan pemantauan operasi.
Beberapa aspek penting dari struktur organisasi, antara lain :
1) Sentralisasi atau desentralisasi kewenangan
2) Hubungan pelaporan langsung atau matriks
3) Organisasi menurut industri, lini produk, lokasi, atau jaringan pemasaran
4) Bagaimana alokasi tanggung jawab memengaruhi persyaratan informasi
5) Organisasi dan garis wewenang untuk fungsi akuntansi, audit, dan sistem
informasi
6) Ukuran dan sifat kegiatan perusahaan
Halaman 12 dari 51
Human Resources Standards That Attract, Develop, and Retain Competent Individuals
Kebijakan dan praktik sumber daya manusia (SDM) yang mengatur kondisi kerja,
insentif pekerjaan, dan kemajuan karir dapat menjadi kekuatan yang kuat dalam
mendorong kejujuran, efisiensi, dan pelayanan yang loyal.
Kebijakan SDM harus menyampaikan tingkat keahlian, kompetensi, perilaku etis,
dan integritas yang diperlukan.
Hiring
Karyawan harus dipekerjakan berdasarkan latar belakang pendidikan, pengalaman,
prestasi, kejujuran dan integritas, dan memenuhi persyaratan pekerjaan tertulis.
Kualifikasi pelamar dapat dievaluasi menggunakan resume, surat referensi,
wawancara, dan pemeriksaan latar belakang.
Background Check adalah suatu tindakan dalam melakukan investigasi calon atau
karyawan saat ini yang melibatkan verifikasi pendidikan dan pengalaman kerja,
berbicara dengan referensi, memeriksa catatan kriminal, memeriksa catatan kredit,
dan nemeriksa informasi lain yang tersedia untuk umum.
Training
Program pelatihan harus mengajarkan tanggung jawab kepada karyawan baru,
tingkat kinerja dan perilaku yang diharapkan, serta kebijakan dan prosedur
perusahaan, budaya, dan gaya operasi.
Karyawan dapat dilatih dengan melakukan diskusi informal dan pertemuan formal,
menerbitkan memo berkala, mendistribusikan pedoman tertulis dan kode etik
profesional, mengedarkan laporan tentang perilaku tidak etis dan konsekuensinya,
serta mempromosikan program pelatihan keamanan dan penipuan.
Halaman 13 dari 51
Perusahaan membutuhkan prosedur untuk mengidentifikasi karyawan yang tidak
puas dan membantu mereka mengatasi perasaan mereka atau mengeluarkan mereka
dari pekerjaan sensitif.
Discharging
Karyawan yang diberhentikan harus dihapus dari pekerjaan sensitif segera dan
menolak akses ke sistem informasi.
External Influences
Pengaruh eksternal seperti persyaratan yang diberlakukan oleh bursa saham,
Financial Accounting Standards Board (FASB), PCAOB, dan SEC.
Mereka juga mencakup persyaratan yang diberlakukan oleh badan pengatur seperti
bank, utilitas, dan perusahaan asuransi.
Halaman 14 dari 51
Objetive Setting
Strategic Objectives adalah sasaran tingkat tinggi yang selaras dan mendukung
misi perusahaan serta menciptakan nilai pemegang saham. Manajemen harus
mengidentifikasi cara-cara alternatif untuk mencapai tujuan strategis,
mengidentifikasi dan menilai risiko dan implikasi dari setiap alternative,
merumuskan strategi perusahaan, serta menetapkan tujuan operasi, kepatuhan, dan
pelaporan.
Operations Objectives adalah tujuan yang berhubungan dengan efektivitas dan
efisiensi operasi perusahaan dan menentukan cara mengalokasikan sumber daya.
Reporting Objectives adalah tujuan untuk embantu memastikan keakuratan,
kelengkapan, dan keandalan laporan perusahaan; meningkatkan pengambilan
keputusan; serta memantau aktivitas dan kinerja perusahaan.
Compliance Objectives adalah tujuan untuk membantu perusahaan mematuhi
semua hukum dan peraturan yang berlaku.
Event Identification
Event adalah insiden atau kejadian positif atau negative yang berasal dari sumber
internal atau eksternal yang mempengaruhi implementasi pelaksanaan strategi atau
pencapaian tujuan.
Manajemen harus mencoba mengantisipasi semua kemungkinan peristiwa positif
atau negatif, menentukan mana yang paling mungkin dan paling kecil
kemungkinannya terjadi, dan memahami keterkaitan peristiwa.
Halaman 15 dari 51
Cara ini menerima kemungkinan dan dampak risiko yang tersedia
3) Share / Membagikan
Cara ini membagikan risiko atau mentransfernya ke orang lain dengan membeli
asuransi, mengalihdayakan suatu aktivitas, atau melakukan transaksi lindung
nilai.
4) Avoid / Menghindari
Cara ini menghindari risiko dengan tidak terlibat dalam aktivitas yang
menghasilkan risiko dimana mengharuskan perusahaan untuk menjual divisi,
keluar dari lini produk, atau tidak melakukan ekspansi seperti yang diantisipasi.
Risk Assessment Approach to Designing Internal Controls
Halaman 16 dari 51
Kemungkinan dan dampak harus dipertimbangkan bersama dimana ketika
keduanya meningkat, maka materialitas acara dan kebutuhan untuk melindunginya
juga meningkat.
Identify Controls
Manajemen harus mengidentifikasi pengendalian yang melindungi perusahaan dari
setiap kejadian dimana sistem pengendalian internal yang baik harus menerapkan
ketiga jenis Kontrol yaitu Kontrol Preventif, Kontrol Detektif, dan Kontrol
Korektif.
Kontrol preventif biasanya lebih unggul daripada kontrol detektif dimana ketika
kontrol preventif gagal, maka kontrol detektif sangat penting untuk menemukan
masalah yang kemudian kontrol korektif akan membantu memulihkan dari masalah
tersebut.
Halaman 17 dari 51
Biaya untuk memproses ulang seluruh
$10.000 $10.000
penggajian
Kemungkinan kesalahan data
15% 1%
penggajian
Biaya pemrosesan ulang yang
$1.500 $100 $1.400
diharapkan
Biaya Prosedur Validasi $0 $600 ($600)
Manfaat bersih yang diharapkan dari
$800
prosedur validasi
Control Activites
Control Activities adalah kebijakan, prosedur, dan aturan yang memberikan
jaminan yang wajar dan keyakinan memadai bahwa tujuan pengendalian terpenuhi
dan respons risiko telah dilaksanakan.
Manajemen harus memastikan bahwa:
1) Kontrol dipilih dan dikembangkan untuk membantu mengurangi risiko ke
tingkat yang dapat diterima.
2) Kontrol umum yang sesuai dipilih dan dikembangkan di atas teknologi.
3) Aktivitas pengendalian diimplementasikan dan dipatuhi sebagaimana ditentukan
dalam kebijakan dan prosedur perusahaan
Aktivitas pengendalian perlu dilakukan selama musim liburan akhir tahun karena
jumlah penipuan komputer dan pembobolan keamanan yang tidak proporsional
terjadi selama waktu tersebut dimana disebabkan oleh beberapa hal, antara lain :
1) Liburan karyawan yang diperpanjang berarti semakin sedikit yang memikirkan
perusahaan
2) Siswa keluar dari sekolah dan memiliki lebih banyak waktu
3) Peretas yang bersikap individualistis akan meningkatkan serangan mereka
Beberapa kategori dalam prosedur pengendalian, antara lain :
Halaman 18 dari 51
1) Otorisasi yang tepat atas transaksi dan aktivitas
2) Pemisahan tugas
3) Pengembangan proyek dan kontrol akuisisi
4) Mengubah kontrol manajemen
5) Desain dan penggunaan dokumen dan catatan
6) Menjaga aset, catatan, dan data
7) Pemeriksaan independen pada kinerja
Segregation of Duties
Segregation of Accounting Duties
Segregation of Accounting Duties adalah pemisahan fungsi akuntansi otorisasi,
penyimpanan, dan pencatatan untuk meminimalkan kemampuan karyawan untuk
melakukan penipuan.
Segregation of Accounting Duties yang efektif dapat dicapai dengan memisahkan
beberapa fungsi, antara lain :
1) Authorization / Pengesahan
Fungsi ini melibatkan tindakan dalam menyetujui transaksi dan keputusan
2) Recording / Pencatatan
Fungsi ini melibatkan tindakan dalam menyiapkan dokumen sumber,
memasukkan data ke dalam sistem computer, serta memelihara jurnal, buku
besar, file, atau database
3) Custody / Penyimpanan
Fungsi ini melibatkan tindakan dalam menangani uang tunai, peralatan,
persediaan, atau aset tetap, serta menerima cek pelanggan yang masuk dan
menulis cek
Collusion adalah suatu bentuk kerjasama antara dua orang atau lebih dalam upaya
untuk menggagalkan pengendalian internal.
Halaman 19 dari 51
Separation of Duties
Halaman 20 dari 51
Change Management adalah proses dalam memastikan perubahan dilakukan
dengan lancar dan efisien serta tidak berdampak negatif terhadap keandalan,
keamanan, kerahasiaan, integritas, dan ketersediaan sistem.
5) Users / Pengguna
Users adalah seseorang yang mencatat transaksi, mengotorisasi pemrosesan
data, dan menggunakan output sistem.
6) Systems Analysis / Analisis Sistem
Systems Analysts adalah seseorang yang membantu Users dalam menentukan
kebutuhan informasi mereka dan merancang sistem untuk memenuhi kebutuhan
tersebut.
7) Programming / Pemrograman
Programmers adalah seseorang yang mengambil dan menggunakan desain
analis untuk mengembangkan, membuat kode, dan menguji program komputer.
8) Computer Operations / Operasi Komputer
Computer Operators adalah seseorang yang menjalankan dan mengoperasikan
perangkat lunak pada komputer perusahaan dimana mereka memastikan bahwa
data dimasukkan dengan benar, diproses dengan benar, dan menghasilkan output
yang dibutuhkan
9) Information System Library / Perpustakaan Sistem Informasi
Information System Library adalah database perusahaan, file, dan program
yang berada pada area penyimpanan terpisah dimana disimpan dan dikelola oleh
pustakawan sistem
10) Data Control / Kontrol Data
Data Control Group adalah seseorang yang memastikan bahwa sumber data
telah disetujui dengan benar, memantau aliran pekerjaan melalui komputer,
merekonsiliasi input dan output, menangani catatan kesalahan input untuk
memastikan koreksi dan pengiriman ulang, serta mendistribusikan output sistem.
Halaman 21 dari 51
menyelaraskan sistem informasi organisasi dengan strategi bisnisnya serta harus
diselesaikan perusahaan untuk mencapai tujuan jangka panjangnya
3) Project Development Plan
Project Development Plan adalah sebuah dokumen yang menunjukkan
bagaimana sebuah proyek harus dilakukan, siapa yang akan melakukannya,
biaya proyek, tanggal penyelesaian, dan pencapaian proyek.
Project Milestones adalah sebuah poin atau titik dimana kemajuan ditinjau dan
waktu penyelesaian aktual dan perkiraan dibandingkan.
4) Data Processing Schedule
Data Processing Schedule adalah jadwal yang menunjukkan kapan setiap tugas
pemrosesan data harus dilakukan.
5) System Performance Measurements
System Performance Measurements adalah suatu cara yang dibuat untuk
mengevaluasi dan menilai suatu sistem. Pengukuran yang umum biasanya
meliputi :
Throughput
Throughput adalah jumlah pekerjaan atau output yang dilakukan oleh sistem
selama periode waktu tertentu
Utilization
Utilization adalah persentase waktu dari sistem yang digunakan
Response Time
Response Time adalah berapa lama waktu yang dibutuhkan atau diperlukan
oleh sistem untuk merespons.
6) Postimplementation Review
Postimplementation Review adalah review atau ulasan yang dilakukan setelah
sistem atau proyek telah selesai beroperasi untuk waktu yang singkat serta
memastikan bahwa sistem atau proyek tersebut telah memenuhi tujuan yang
direncanakan.
Systems Integrator adalah pihak luar yang disewa untuk mengelola upaya
pengembangan sistem perusahaan dimana melibatkan personel, klien, dan vendor
lainnya.
Perusahaan yang menggunakan System Integrator harus menggunakan proses dan
kontrol manajemen proyek yang sama dengan proyek internal. Selain itu, mereka
harus :
1) Mengembangkan Spesifikasi yang Jelas
Perusahaan yang menggunakan System Integrator harus mampu
mengembangkan spesifikasi yang jelas dimana termasuk deskripsi yang tepat
dan definisi sistem, tenggat waktu yang eksplisit, serta kriteria penerimaan yang
tepat.
2) Memantau Proyek
Halaman 22 dari 51
Perusahaan harus menetapkan prosedur formal untuk mengukur dan melaporkan
status proyek dimana pendekatan terbaik adalah dengan membagi proyek
menjadi tugas-tugas yang dapat dikelola, menetapkan tanggung jawab untuk
setiap tugas, dan melakukan pertemuan setiap bulan untuk meninjau kemajuan
dan menilai kualitas.
Halaman 23 dari 51
Perusahaan harus membatasi akses ke area penyimpanan untuk melindungi asset
seperti persediaan dan peralatan.
4) Melindungi catatan dan dokumen
Perusahaan dapat menggunakan area penyimpanan tahan api, lemari arsip
terkunci, file cadangan, dan penyimpanan di luar lokasi untuk melindungi
catatan dan dokumen.
Halaman 24 dari 51
Perusahaan harus meninjau pekerjaan, memeriksa otorisasi yang tepat, meninjau
dokumen pendukung, serta memeriksa keakuratan harga, jumlah, dan
perpanjangan.
Monitoring
Sistem pengendalian internal yang dipilih atau dikembangkan harus terus dipantau,
dievaluasi, dan dimodifikasi sesuai kebutuhan dimana setiap kekurangan harus
dilaporkan kepada manajemen senior dan dewan direksi.
Beberapa metode utama pemantauan kinerja, antara lain :
Halaman 25 dari 51
Pengawasan yang efektif melibatkan pelatihan dan membantu karyawan, memantau
kinerja mereka, memperbaiki kesalahan, dan mengawasi karyawan yang memiliki
akses ke aset.
engawasan sangat penting dalam organisasi tanpa pelaporan tanggung jawab atau
pemisahan tugas yang memadai.
Halaman 26 dari 51
Melakukan Audit secara Berkala
Eksternal, internal, dan keamanan jaringan dapat menilai dan memantau risiko serta
mendeteksi penipuan dan kesalahan.
Perusahaan perlu memberi tahu karyawan bahwa audit akan membantu
menyelesaikan masalah privasi, mencegah penipuan, dan mengurangi kesalahan.
Auditor harus secara teratur menguji kontrol sistem dan secara berkala menelusuri
file penggunaan sistem untuk mencari aktivitas yang mencurigakan.
Halaman 27 dari 51
Keengganan ini semakin kuat jika mereka mengetahui pelapor yang telah
dikucilkan, dianiaya, atau mengalami kerusakan pada kariernya.
JAWAB:
COSO Principle (s).
Internal Control COSO
No. Event Write-down the Recommendation(s)
Weakness (s) Component (s)
number(s)
1 Shift supervisor Kurangnya Control 6. Commitment to Disarankan agar ada
mengambil dokumentasi dan Environment Integrity and Ethics prosedur tertulis untuk
uang tunai di pelacakan terhadap penerimaan dan
awal shift tanpa uang tunai awal pengembalian uang
pencatatan (float). tunai awal shift
tertulis. dengan pencatatan
yang jelas.
2 Tidak ada Kurangnya Control 10. Selecting and Disarankan untuk
pengendalian pembatasan akses Activities Developing Control memasang laci kas
yang membatasi fisik terhadap uang Activities yang terkunci atau
akses pegawai tunai di laci kas. mengimplementasikan
ke dalam laci kebijakan akses
kas. terbatas untuk
mengurangi risiko
pencurian uang tunai.
3 Tidak ada Tidak adanya Control 11. Performing Disarankan untuk
verifikasi pengawasan Activities Control Activities memiliki seorang
independen independen atas pegawai yang
terhadap aktivitas uang tunai. independen
penerimaan dan melakukan
pengeluaran pemeriksaan dan
uang tunai. rekonsiliasi berkala
terhadap laci kas dan
catatan penjualan.
4 Pembayaran Kurangnya Control 11. Performing Disarankan untuk
dengan cek pengendalian dalam Activities Control Activities memeriksa setiap cek
tidak memiliki proses menerima cek. terhadap daftar
validasi pelanggan yang
terhadap "black pernah melakukan cek
list" pelanggan buruk sebelum
yang melakukan menerima
cek buruk. pembayaran.
5 Pemantauan Ketidakcukupan Monitoring 16. Monitoring Disarankan untuk
Halaman 28 dari 51
COSO Principle (s).
Internal Control COSO
No. Event Write-down the Recommendation(s)
Weakness (s) Component (s)
number(s)
terhadap kinerja dalam pemantauan Activities melaksanakan audit
kasir tidak aktivitas kasir sehari- internal secara berkala
mencakup hari. yang mencakup
pemeriksaan pemeriksaan
penjualan dan penjualan dan
aktivitas uang aktivitas uang tunai
tunai secara kasir secara acak.
teratur.
6 Penugasan Tidak ada penugasan Control 1. Komitmen Rekomendasikan
Kasir kasir ke kasir tertentu Environment terhadap integritas untuk
dan etika mempertimbangkan
penugasan kasir ke
kasir tertentu untuk
meningkatkan
pengendalian dan
akuntabilitas.
7 Pengawasan Tidak ada Control 2. Pengawasan Sarankan adanya
Float pengawasan yang Environment pengendalian internal pengawasan yang
cukup atas uang oleh dewan direksi, lebih ketat terhadap
"float" kasir independen dari uang "float" kasir
manajemen untuk mencegah
potensi
penyalahgunaan.
8 Penerimaan Cek Tidak ada verifikasi Control 10. Memilih dan Rekomendasikan
yang cukup untuk cek Activities mengembangkan untuk memeriksa dan
yang diterima aktivitas memverifikasi cek
pengendalian yang dengan lebih cermat,
sesuai termasuk
mencocokkan dengan
daftar pelanggan
"hitam".
Halaman 29 dari 51
COSO Principle (s).
Internal Control COSO
No. Event Write-down the Recommendation(s)
Weakness (s) Component (s)
number(s)
9 Rekonsiliasi Tidak ada proses yang Monitoring 16. Memilih, Sarankan untuk
Kas jelas untuk mengembangkan, dan memperkenalkan
rekonsiliasi kas secara melakukan evaluasi proses rekonsiliasi kas
teratur berkelanjutan secara teratur dan
komponen dokumentasi yang
pengendalian internal terkait.
2. Pertemuan 7
TEORI
Introduction
Trust Services Framework mengatur kontrol terkait IT ke dalam lima prinsip yang
secara bersama-sama berkontribusi pada keandalan sistem, antara lain :
1) Security / Keamanan
Prinsip ini melibatkan akses secara fisik maupun logis ke sistem dimana data
dikendalikan dan dibatasi untuk pengguna yang sah.
2) Confidentialityt / Kerahasiaan
Prinsip ini melibatkan informasi organisasi yang sensitif seperti rencana
pemasaran, rahasia dagang dimana dilindungi dari pengungkapan yang tidak
sah.
3) Privacy / Privasi
Prinsip ini melibatkan informasi personel tentang pelanggan, karyawan,
pemasok, atau mitra bisnis yang dikumpulkan, digunakan, diungkapkan, dan
dipelihara sesuai dengan kebijakan internal dan persyaratan peraturan eksternal
serta dilindungi dari pengungkapan yang tidak sah.
4) Processing Integrity / Integritas Pemrosesan
Prinsip ini melibatkan data yang diproses secara akurat, lengkap, tepat waktu,
dan hanya dengan otorisasi yang tepat.
5) Availability / Ketersediaan
Halaman 30 dari 51
Prinsip ini melibatkan sistem dan informasi yang tersedia untuk memenuhi
kewajiban operasional dan kontrak.
Figure 8.1 – Relationships Among the Five Trust Services Principles for Systems
Reliability
Halaman 31 dari 51
Langkah-langkah dalam Security Life Cycle, antara lain :
1) Assess Threats and Select Risk Response
Perusahaan harus menilai dan mengidentifikasi potensi ancaman terkait
keamanan informasi yang dihadapi organisasi dan memilih respons yang sesuai.
2) Develop and Communicate Policy
Perusahaan harus mengembangkan kebijakan keamanan informasi dan
menyampaikannya kepada semua karyawan. Manajemen senior harus
berpartisipasi dalam mengembangkan kebijakan karena mereka harus
memutuskan sanksi yang diberikan untuk ketidakpatuhan.
3) Acquire and Implement Solutions
Manajemen senior harus mengizinkan investasi sumber daya yang diperlukan
untuk mengurangi ancaman yang diidentifikasi dan mencapai tingkat keamanan
yang diinginkan.
4) Monitor Performance
Perusahaan harus melakukan pemantauan kinerja secara berkala untuk
mengevaluasi efektivitas program keamanan informasi organisasi..
Halaman 32 dari 51
Langkah-langkah dasar yang digunakan penjahat untuk menyerang sistem
informasi organisasi, antara lain :
1) Conduct Reconnaissance / Melakukan Pengintaian
Penyerang komputer biasanya akan mulai dengan mengumpulkan informasi
tentang target mereka seperti membaca dengan teliti laporan keuangan
organisasi, pengajuan Securities and Exchange Commission (SEC), situs web ,
dan siaran pers yang dapat menghasilkan banyak informasi berharga dimana
bertujuan utnuk mempelajari sebanyak mungkin tentang target dan
mengidentifikasi potensi kerentanan.
2) Attempt Social Engineering
Penyerang biasanya akan mencoba menggunakan informasi yang diperoleh
selama pengintaian awal mereka untuk menipu karyawan yang tidak curiga agar
memberi mereka akses. Social Engineering adalah suatu tindakan dalam
menggunakan penipuan untuk mendapatkan akses yang tidak sah ke sumber
daya manusia. Social Engineering biasanya terjadi melalui telepon. berpura-pura
sebagai karyawan untuk meminta bantuan, email, menyebarkan drive USB, dan
lain sebagainya.
3) Scan and Map the Target / Memindai dan Memetakan Target
Jika penyerang tidak berhasil menembus sistem target melalui rekayasa sosial,
maka biasanya penyerang akan melakukan pengintaian yang lebih rinci untuk
mengidentifikasi titik-titik potensial dari entri jarak jauh. Penyerang
menggunakan berbagai alat otomatis untuk mengidentifikasi komputer yang
dapat diakses dari jarak jauh dan jenis perangkat lunak yang dijalankan.
4) Research / Penelitian
Setelah penyerang mengidentifikasi target spesifik dan mengetahui versi
perangkat lunak yang digunakan, maka penyerang akan melakukan penelitian
untuk menemukan kemampuan kerentanan yang diketahui untuk program
tersebut dan mempelajari cara memanfaatkan kerentanan tersebut.
5) Execute the Attack / Menjalankan Serangan
Penyerang mengambil keuntungan dari kerentanan untuk mendapatkan akses
tidak sah ke sistem informasi target.
6) Cover Tracks / Menutupi Jejak
Setelah menembus sistem informasi korban, penyerang biasanya akan berusaha
menutupi jejak mereka dan membuat pintu belakang yang dapat digunakan
untuk mendapatkan akses ketika serangan awal mereka ditemukan dan kontrol
diterapkan untuk memblokir metode masuk tersebut.
Halaman 33 dari 51
Komponen Model
Contoh
Berbasis Waktu
Orang-orang
o Penciptaan budaya kewaspadaan terhadap keamanan
o Pelatihan
Proses: Kontrol akses pengguna (Authentication dan
Authorization)
Proses: Pengujian Penetrasi
Proses: Mengubah kontrol dan mengubah manajemen
Protection /
Solusi IT
Perlindungan
o Anti-malware
o Kontrol akses jaringan (Firewall, Intrusion Prevention
Systems, dan sebagainya)
o Pengerasan perangkat keras dan perangkat lunak (kontrol
konfigurasi)
o Enkripsi
Keamanan fisik: kontrol akses (kunci, penjaga, dan sebagainya)
Analisis log
Detection / Deteksi Intrusion Detection Systems
Pemantauan terus menerus
Computer Incident Response Teams (CIRT)
Response / Tanggapan
Chief Information Security Officer (CISO)
Halaman 34 dari 51
People : Creation of a “Security-Conscious” Culture
Dalam menciptakan budaya kesadaran akan keamanan dimana karyawan mematuhi
kebijakan organisasi, maka manajemen puncak harus mengkomunikasikan
kebijakan keamanan organisasi tersebut serta memberikan contohnya.
Karyawan biasanya akan lebih mematuhi kebijakan keamanan informasi ketika
mereka melihat manajer mereka melakukan kebijakan tersebut.
People : Training
Semua karyawan perlu dilatih untuk mengikuti praktik komputasi yang aman,
seperti tidak pernah membuka lampiran email yang tidak diminta, hanya
menggunakan perangkat lunak yang disetujui, tidak membagikan kata sandi, dan
mengambil langkah untuk melindungi laptop secara fisik.
Pelatihan juga diperlukan untuk mendidik karyawan tentang serangan rekayasa
social seperti tidak membocorkan kata sandi atau informasi lain tentang akun
mereka kepada siapa pun yang menghubungi mereka melalui telepon, email, atau
pesan instan dan mengklaim sebagai bagian dari fungsi keamanan sistem informasi
organisasi.
Pelatihan kesadaran keamanan juga penting untuk manajemen senior karena dalam
beberapa tahun terakhir banyak serangan rekayasa social seperti spear phishing
telah ditargetkan kepada manajemen senior
Halaman 35 dari 51
Kata sandi yang efektif biasanya menggunakan campuran huruf besar dan kecil
alfabet, numerik, dan karakter khusus sehingga meningkatkan kekuatan kata
sandi.
3) Randomness / Keacakan
Kata sandi yang efektif tidak boleh mudah ditebak sehingga tidak boleh
menggunakan kata sandi yang umum, berurutan, dan sebagainya
4) Changed Frequently / Sering Berubah
Kata sandi harus diubah secara berkala sehingga pengguna harus mengubah kata
sandi mereka setidaknya setiap 90 hari.
5) Kept Secret / Dirahasiakan
Kata sandi harus dapat dirahasiakan secara efektif dan merahasiakannya dari
orang-orang bahkan orang terdekat.
Authentication Controls
Authentication adalah proses verifikasi identitas seseorang atau perangkat yang
mencoba mengakses ke dalam sistem dimana bertujuan untuk memastikan bahwa
hanya pengguna yang sah yang dapat mengakses sistem.
Tiga jenis kredensial dapat digunakan untuk memverifikasi identitas seseorang,
antara lain :
1) Sesuatu yang diketahui orang tersebut seperti kata sandi atau Personal
Identification Number (PIN)
2) Sesuatu yang dimiliki orang tersebut seperti kartu pintar atau lencana ID
3) Biometric Identifier, yaitu karakteristik fisik atau perilaku yang digunakan
sebagai kredensial otentikasi seperti sidik jari atau pola pengetikan.
Multifactor Authentication adalah penggunaan dua atau lebih jenis kredensial
otentikasi secara bersamaan untuk mencapai tingkat keamanan yang lebih besar
Multimodal Authentication adalah penggunaan beberapa kredensial otentikasi
dari jenis yang sama untuk mencapai tingkat keamanan yang lebih besar.
Authorization Controls
Authorization adalah proses membatasi akses pengguna yang diautentikasi ke
bagian tertentu dari sistem dan membatasi tindakan apa yang diizinkan untuk
mereka lakukan dimana bertujuan untuk menyusun hak dan hak istimewa karyawan
individu dengan cara menetapkan dan mempertahankan pemisahan tugas yang
memadai.
Access Control Matrix adalah suatu tabel yang digunakan untuk
mengimplementasikan kontrol otorisasi
Compatibility Test adalah suatu tindakan yang dilakukan untuk mencocokkan
kredensial otentikasi pengguna dengan matriks control akses untuk menentukan
Halaman 36 dari 51
apakah karyawan tersebut diizinkan mengakses sumber daya tersebut dan
melakukan tindakan yang diminta
Halaman 37 dari 51
Perusahaan dengan manajemen perubahan dan proses kontrol perubahan yang baik
akan menghasilkan kinerja operasi yang lebih baik, mengurangi masalah yang
harus diperbaiki, serta memberikan biaya yang lebih rendah.
Karakteristik Proses Change Controls and Change Management yang baik, antara
lain :
1) Mendokumentasikan semua permintaan perubahan serta mengidentifikasi sifat
perubahan, alasan, tanggal permintaan, dan hasil permintaan.
2) Persetujuan terdokumentasi dari semua permintaan perubahan oleh tingkat
manajemen yang sesuai untuk memastikan bahwa perubahan yang diusulkan
konsisten dengan rencana strategis jangka panjang organisasi.
3) Pengujian semua perubahan dalam sistem yang terpisah dan bukan yang
digunakan untuk proses bisnis sehari-hari.
4) Kontrol konversi untuk memastikan bahwa data ditransfer secara akurat dan
lengkap dari sistem lama ke sistem baru.
5) Memperbarui semua dokumentasi seperti instruksi program, deskripsi sistem,
manual prosedur, dan sebagainya untuk mencerminkan perubahan yang baru
diterapkan.
6) Proses khusus untuk peninjauan, persetujuan, dan dokumentasi dilakukan segera
setelah krisis secara praktis dimana seluruh perubahan darurat perlu dicatat
untuk memberikan jejak audit.
7) Pengembangan dan dokumentasi rencana "backout" untuk memfasilitasi
pengembalian ke konfigurasi sebelumnya jika perubahan baru menimbulkan
masalah yang tidak terduga.
8) Pemantauan dan peninjauan yang cermat terhadap hak dan hak pengguna selama
proses perubahan untuk memastikan bahwa pemisahan tugas yang tepat
dipertahankan.
Halaman 38 dari 51
6) Melatih karyawan untuk tidak menginstal perangkat lunak yang dibagikan atau
tidak disetujui
Halaman 39 dari 51
Figure 8.7 – How Files are Broken Into Packets to be Sent Over Networks and
Then Reassembled by the Receiving Device
Halaman 40 dari 51
Intrusion Prevention Systems (IPS) adalah perangkat lunak atau perangkat keras
yang memantau pola dalam arus lalu lintas untuk mengidentifikasi dan memblokir
serangan secara otomatis.
Halaman 41 dari 51
COBIT 5 DSS05.03 menjelaskan aktivitas dalam mengelola keamanan endpoints
dimana mencakup tiga area yang perlu diperhatian yaitu konfigurasi endpoints,
manajemen akun pengguna, dan desain perangkat lunak.
Endpoint Configuration
Vulnerabilities adalah suatu kecacatan dalam program yang dapat dieksploitasi
untuk merusak sistem atau mengendalikannya.
Vulnerability Scanners adalah suatu alat otomatis yang dirancang untuk
mengidentifikasi apakah sistem tertentu memiliki program yang tidak digunakan
dan tidak diperlukan yang mewakili potensi ancaman keamanan.
Exploit adalah suatu program yang dirancang untuk memanfaatkan kerentanan
yang telah diketahui
Patch adalah suatu kode yang dirilis oleh pengembang perangkat lunak yang
memperbaiki kerentanan tertentu.
Patch Management adalah proses penerapan tambalan dan pembaruan perangkat
lunak secara teratur.
Hardening adalah proses memodifikasi konfigurasi default titik akhir untuk
menghilangkan pengaturan dan layanan yang tidak diperlukan
Halaman 42 dari 51
sah ke data mengkonfigurasikan perangkat untuk dinonaktifkan dari
atau pencurian sensitif pada jarak jauh jika hilang atau dicuri.
perangkat
Mengembangkan kebijakan komprehensif untuk
Penggunaan Peningkatan penggunaan perangkat seluler yang aman, melatih
yang tidak risiko insiden karyawan tentang kebijakan tersebut, serta memantau
aman keamanan kepatuhan dan menerapkan sanksi yang sesuai untuk
pelanggaran kebijakan.
Software Design
Beberapa contoh umum serangan terhadap perangkat lunak yang berjalan di situs
web adalah Buffer Overflows, SQL Injection, dan Cross-Site Scripting
Seluruh serangan mengeksploitasi perangkat lunak yang ditulis dengan buruk dan
tidak memeriksa input secara menyeluruh yang diberikan pengguna sebelum
diproses lebih lanjut.
IT Solutions : Encryption
Enkripsi menyediakan lapisan pertahanan terakhir untuk mencegah akses tidak
resmi ke informasi sensitif
Enkripsi melindungi kerahasiaan informasi organisasi dan privasi informasi pribadi
yang dikumpulkan dari pelanggan, karyawan, dan mitra bisnis.
Detecting Attacks
Halaman 43 dari 51
Log Analysis
Log Analysis adalah proses pemeriksaan log untuk mengidentifikasi bukti
kemungkinan terjadinya suatu serangan.
Log Analysis sangat penting untuk menganalisis log dari upaya yang gagal untuk
masuk ke sistem dan upaya yang gagal untuk mendapatkan akses ke sumber daya
informasi tertentu.
Halaman 44 dari 51
Pemantauan kepatuhan karyawan merupakan kontrol detektif penting yang dapat
mengidentifikasi masalah potensial secara tepat waktu dan mengidentifikasi
peluang untuk meningkatkan kontrol yang ada.
Responding to Attacks
Computer Incident Response Team (CIRT)
Computer Incident Response Team (CIRT) adalah sebuah kelompok yang
bertanggung jawab untuk menangani dan merespon insiden keamanan utama
dengan cepat dan efektif
CIRT harus mencakup tidak hanya spesialis teknis tetapi juga manajemen operasi
senior karena beberapa respons potensial terhadap insiden keamanan memiliki
konsekuensi ekonomi yang cukup signifikan.
CIRT harus memimpin proses respons insiden organisasi melalui empat langkah,
antara lain :
1) Recognition that a Problem Exists / Pengakuan Bahwa Terdapat Masalah
Langkah ini biasanya terjadi ketika IPS atau IDS memberi sinyal peringatan
tetapi juga dapat merupakan hasil dari analisis log oleh administrator sistem.
2) Containment of the Problem / Penahanan Masalah
Langkah ini dilakukan ketika intrusi terdeteksi sehingga tindakan cepat
diperlukan untuk menghentikannya dan menahan kerusakan.
3) Recovery / Pemulihan
Langkah ini melibatkan perbaikan kerusakan yang disebabkan oleh serangan
dimana melibatkan pemberantasan malware, pemulihan data dari cadangan, dan
menginstal ulang program yang rusak.
4) Follow-Up / Mengikuti
Langkah ini dilakukan ketika pemulihan sedang dalam proses sehingga CIRT
harus memimpin analisis tentang bagaimana insiden tersebut terjadi. Langkah-
langkah mungkin perlu diambil untuk memodifikasi kebijakan dan prosedur
keamanan yang ada untuk meminimalkan kemungkinan insiden serupa terjadi di
masa depan.
Chief Information Security Officer (CISO)
Perusahaan perlu menetapkan tanggung jawab untuk keamanan informasi kepada
seseorang di tingkat manajemen senior yang sesuai.
Salah satu cara untuk memenuhi tujuan tersebut adalah dengan menciptakan posisi
Chief Information Security Officer (CISO)
CISO harus bersifat independen dari fungsi sistem informasi lainnya dan harus
melapor kepada Chief Operating Officer (COO) atau Chief Executive Officer
(CEO).
Halaman 45 dari 51
CISO harus memahami lingkungan teknologi perusahaan dan bekerja dengan Chief
Information Officer (CIO) untuk merancang, menerapkan, dan mempromosikan
kebijakan dan prosedur keamanan yang baik.
a. Jelaskan dan beri contoh sistem pengamanan berikut ini firewalls, intrusion
prevention systems, intrusion detection systems, honeypots, and a CIRT.
1) Firewalls (Firewall): Firewall adalah pertahanan pertama dalam mengamankan
jaringan komputer. Ini dapat berupa perangkat keras atau perangkat lunak yang
ditempatkan di antara jaringan internal dan eksternal. Firewall mengawasi lalu
lintas jaringan dan memutuskan apakah suatu paket data harus diteruskan atau
diblokir berdasarkan aturan yang telah ditentukan. Firewalls dapat memfilter
lalu lintas jaringan dan mencegah akses yang tidak sah ke jaringan.
Contoh:
Perangkat Keras: Cisco ASA (Adaptive Security Appliance) adalah salah
satu firewall perangkat keras yang sangat populer. Ini memiliki berbagai
fitur keamanan, termasuk firewall, VPN (Virtual Private Network), dan
pengendalian akses.
Perangkat Lunak: Iptables adalah contoh firewall perangkat lunak yang
umum digunakan pada sistem Linux. Ini memungkinkan pengguna untuk
mengkonfigurasi aturan firewall secara fleksibel melalui baris perintah.
Halaman 46 dari 51
2) Intrusion Prevention Systems (IPS): IPS adalah sistem yang bertujuan untuk
menghentikan serangan yang mencoba mengeksploitasi kelemahan dalam
jaringan atau aplikasi. IPS secara aktif memeriksa lalu lintas jaringan dan, jika
mendeteksi serangan yang mencurigakan, dapat mengambil tindakan otomatis
untuk memblokir serangan tersebut.
Contoh:
Open Source: Snort adalah IPS sumber terbuka yang mendeteksi dan
mencegah serangan jaringan. Ini dapat digunakan untuk mendeteksi tanda-
tanda serangan seperti upaya pemindaian port yang mencurigakan atau
aktivitas yang tidak biasa dalam lalu lintas jaringan.
Komersial: Cisco Firepower IPS adalah solusi komersial yang
menyediakan perlindungan canggih terhadap serangan dan juga memiliki
kemampuan untuk memblokir serangan secara otomatis.
3) Intrusion Detection Systems (IDS): IDS memantau lalu lintas jaringan atau
aktivitas sistem untuk mendeteksi tanda-tanda serangan atau perilaku
mencurigakan. Berbeda dengan IPS, IDS biasanya memberi peringatan ketika
serangan terdeteksi, tetapi tidak melakukan tindakan otomatis.
Contoh:
IDS Berbasis Aturan: Suricata adalah IDS sumber terbuka yang
mendukung deteksi berbasis aturan dan pemantauan lalu lintas jaringan
secara real-time. Ini digunakan untuk mengidentifikasi serangan
berdasarkan pola tertentu yang telah ditentukan.
IDS Berbasis Anomali: OSSEC (Open Source Host-based Intrusion
Detection System) adalah IDS yang mendeteksi aktivitas mencurigakan
berdasarkan pola perilaku anomali dalam sistem host, seperti log file yang
tidak biasa atau perubahan konfigurasi yang mencurigakan.
Halaman 47 dari 51
5) CIRT (Computer Incident Response Team): CIRT adalah tim yang
didedikasikan untuk merespons dan mengelola insiden keamanan komputer.
Tugas mereka termasuk deteksi, mitigasi, dan penanganan insiden keamanan.
Mereka juga bertanggung jawab untuk menjalankan investigasi keamanan dan
mengembangkan strategi untuk mencegah insiden di masa depan.
Contoh:
US-CERT: United States Computer Emergency Readiness Team adalah
salah satu CIRT yang paling terkenal. Mereka bertanggung jawab untuk
merespons insiden keamanan komputer di tingkat nasional dan
memberikan panduan serta peringatan kepada komunitas keamanan cyber.
Halaman 48 dari 51
membaca dan mengirim email, sedangkan administrator memiliki izin
tambahan untuk mengelola pengaturan akun.
2) Penentuan Akses: Berdasarkan peran dan izin, Gmail menentukan apa yang
pengguna boleh dan tidak boleh lakukan setelah autentikasi. Ini mencakup
mengizinkan akses ke kotak surat, kontak, kalendar, dan fitur lainnya.
Contoh: Setelah pengguna berhasil mengautentikasi diri, Gmail mengidentifikasi
peran mereka (misalnya, pengguna biasa) dan mengizinkan akses ke fitur-fitur yang
sesuai dengan peran tersebut, seperti membaca dan mengirim email, tetapi tidak
mengizinkan akses ke pengaturan administratif yang hanya dimiliki oleh
administrator. Misalnya, pengguna dengan hak akses sebagai administrator dapat
mengakses fitur untuk mengelola akun pengguna lain.
Jadi, Authentication (autentikasi) memastikan bahwa pengguna adalah orang yang
mereka klaim, sementara Authorization (otorisasi) mengatur apa yang pengguna
boleh lakukan setelah mereka berhasil mengautentikasi diri. Ini adalah langkah
penting dalam menjaga keamanan akun dan data pengguna di layanan seperti Gmail
atau platform lainnya.
Halaman 49 dari 51
membantu memastikan bahwa laporan keuangan yang diaudit adalah
akurat.
4) Pernyataan Kehandalan: Setelah evaluasi, manajemen harus memberikan
pernyataan dalam laporan tahunan perusahaan tentang kehandalan
pengendalian internal mereka.
o Hubungan dengan Cybersecurity:
Meskipun Section 404 SOX tidak secara langsung berkaitan dengan
cybersecurity, ada keterkaitan yang signifikan antara cybersecurity dan integritas
laporan keuangan. Perlindungan terhadap serangan cyber dan pengamanan data
yang tepat adalah bagian penting dari pengendalian internal. Ancaman terhadap
keamanan data atau serangan cyber yang berhasil dapat memengaruhi akurasi
laporan keuangan. Sebagai contoh:
Jika data keuangan perusahaan disusupi atau dicuri karena kelemahan
keamanan, ini dapat mengancam integritas laporan keuangan.
Serangan siber yang mengganggu operasi bisnis dapat mempengaruhi
pelaporan keuangan karena dapat menyebabkan kerugian atau perubahan
dalam kondisi finansial perusahaan.
Oleh karena itu, perusahaan publik harus memastikan bahwa mereka memiliki
tindakan keamanan siber yang kuat sebagai bagian dari pengendalian internal
mereka untuk memenuhi persyaratan Section 404 SOX dan menjaga integritas
laporan keuangan. Ini mencakup investasi dalam perlindungan siber yang efektif
dan pemantauan yang berkelanjutan untuk menghadapi ancaman siber yang terus
berkembang.
Kesimpulannya adalah Section 404 of Sarbanes-Oxley adalah bagian dari undang-
undang Amerika Serikat yang mengatur tata kelola perusahaan publik. Section 404
menuntut perusahaan untuk mengevaluasi dan melaporkan efektivitas sistem
pengendalian internal mereka. Meskipun section 404 tidak secara khusus berkaitan
dengan cybersecurity, namun sistem pengendalian internal yang efektif dapat
membantu mencegah serangan keamanan dan melindungi informasi perusahaan dari
akses yang tidak sah
Halaman 50 dari 51