Kuis

Sistem Informasi Akuntansi 2 – Ganjil 2023/2024

Senin 18:30 – 21:00
Kelas E
Dr. Julisar., SE., Ak, MM., CA., CertDA

NIM: 202150359
Nama: Clara

Jurusan Akuntansi
Trisakti School of Management
Jakarta
2023
1. Pertemuan 5-6
SMITH’S MARKET (SISTEM AKUNTANSI POS UNTUK USAHA KECIL)
Pada tahun 1989, Robert Smith membuka pasar buah dan sayuran kecil di Bethlehem,
Pennsylvania. Awalnya, Smith hanya menjual produk yang ditanam di ladang dan kebun
keluarganya. Namun, seiring dengan meningkatnya popularitas pasar, ia menambahkan
roti, barang kaleng, daging segar, dan persediaan terbatas barang beku. Saat ini, pasar
Smith adalah pasar petani dengan berbagai macam produk dan memiliki basis pelanggan
lokal yang kuat. Bahkan, reputasi pasar ini karena harga yang rendah dan kualitas tinggi
menarik pelanggan dari kota-kota Pennsylvania lainnya dan bahkan dari negara bagian
tetangga New Jersey. Saat ini, pasar Smith memiliki 40 karyawan. Ini termasuk staf
penjualan, pengisi rak, pekerja pertanian, supervisor shift, dan staf administrasi. Baru-
baru ini, Smith telah melihat penurunan keuntungan dan penjualan, sementara pembelian
produk untuk dijual terus meningkat. Meskipun perusahaan tidak menyusun laporan
keuangan yang diaudit, Robert Smith telah mengontrak firma akuntansi publik Anda
untuk menilai prosedur penjualan dan pengendalian perusahaannya.
Prosedur siklus pendapatan pasar Smith dijelaskan dalam paragraf berikut:
Siklus Pendapatan
Pelanggan mendorong kereta belanja mereka ke kasir pembayaran di mana seorang
pegawai memproses penjualan. Pasar ini memiliki empat kasir, tetapi mereka tidak
didedikasikan untuk pegawai penjualan tertentu karena pegawai penjualan memainkan
banyak peran dalam operasi sehari-hari. Selain melayani pelanggan, pegawai penjualan
akan mengisi rak, membongkar truk pengiriman, atau melakukan tugas lain sesuai
permintaan di berbagai area yang naik dan turun sepanjang hari. Permintaan kerja yang
fleksibel ini membuat penugasan pegawai ke kasir tertentu tidak praktis.
Pada awal shift, supervisor shift mengumpulkan empat laci kas dari pegawai kas di
kantor belakang pasar. Laci tersebut berisi $100 masing-masing dalam uang kecil
(dikenal sebagai float) untuk memungkinkan pegawai memberikan kembalian.
Supervisor tersebut menandatangani log yang menunjukkan bahwa ia telah mengambil
alih float dan meletakkan laci tersebut ke dalam laci kas masing-masing.
Penjualan kepada pelanggan hanya dapat dilakukan dengan uang tunai, cek, atau kartu
kredit. Penjualan dengan kartu kredit dilakukan seperti biasa. Pegawai mengejutkan kartu
dan mendapatkan persetujuan online dari penerbit kartu pada saat penjualan. Pelanggan
kemudian menandatangani voucher kartu kredit, yang ditempatkan oleh pegawai di
kompartemen khusus laci kas. Pelanggan menerima tanda terima untuk pembelian dan
salinan voucher kartu kredit.
Untuk pembayaran dengan cek, pegawai meminta pelanggan untuk menunjukkan SIM
yang valid. Nomor SIM ditambahkan ke cek, dan cek tersebut diperiksa dengan daftar
"hitam" pelanggan yang sebelumnya pernah membuat cek buruk. Jika pelanggan tidak
ada dalam daftar tersebut, cek diterima sebagai pembayaran dan ditempatkan di dalam
laci kas. Pegawai kemudian memberikan tanda terima kepada pelanggan.

Halaman 1 dari 51
Sebagian besar penjualan dilakukan dengan uang tunai. Pegawai menerima uang tunai
dari pelanggan, memberikan kembalian, dan memberikan tanda terima untuk pembelian.
Pada akhir shift, supervisor mengembalikan laci kas yang berisi uang tunai, cek, dan
tanda terima kartu kredit kepada pegawai kas dan menandatangani log bahwa ia telah
menyerahkan laci kas.
Kemudian, pegawai tersebut menghitung penjualan tunai dan kartu kredit. Dengan
menggunakan PC mandiri, ia mencatat jumlah penjualan total dalam jurnal penjualan dan
akun penjualan serta kas dalam buku besar umum. Pegawai kas kemudian menyiapkan
slip setoran dan mengirimkan uang tunai, cek, dan voucher kartu kredit ke cabang bank
lokal yang berjarak dua blok dari pasar.
Required
Analisis kelemahan pengendalian internal fisik dalam sistem ini. Modelkan respons Anda
sesuai dengan kerangka pengendalian internal COSO.
TEORI:
Why Threats to Accounting Information Systems are Increasing?
 Beberapa alasan perusahaan gagal dalam mengendalikan keamanan dan integritas
sistem komputer, antara lain :
1) Informasi tersedia untuk jumlah pekerja yang belum pernah terjadi sebelumnya.
Contoh : Chevron yang memiliki lebih dari 35.000 PC.
2) Informasi pada jaringan komputer terdistribusi sulit dikendalikan. Contoh :
Informasi pada Chevron didistribusikan di antara banyak sistem dan ribuan
karyawan di seluruh dunia dimana setiap sistem dan setiap karyawan mewakili
titik kerentanan kontrol potensial.
3) Pelanggan dan pemasok memiliki akses ke sistem dan data satu sama lain.
Contoh : Walmart memungkinkan vendor untuk mengakses database mereka
dimana akan timbul masalah kerahasiaan saat vendor tersebut membentuk
aliansi dengan pesaing Walmart.
 Beberapa alasan perusahaan belum cukup untuk melindungi data, antara lain :
1) Beberapa perusahaan melihat hilangnya informasi penting sebagai ancaman
yang jauh dan tidak mungkin.
2) Implikasi kontrol dari perpindahan dari sistem komputer terpusat ke sistem
berbasis Internet tidak sepenuhnya dipahami.
3) Banyak perusahaan tidak menyadari bahwa informasi adalah sumber daya
strategis dan melindunginya harus menjadi persyaratan strategis.
4) Produktivitas dan tekanan biaya memotivasi manajemen untuk melupakan
tindakan pengendalian yang memakan waktu
 Threat / Event adalah potensi kejadian yang merugikan atau kejadian yang tidak
diinginkan yang dapat mempengaruhi sistem informasi akuntansi atau perusahaan.
 Exposure / Impact adalah potensi kerugian dalam bentuk dolar ketika ancaman
tertentu menjadi kenyataan.

Halaman 2 dari 51
 Likelihood / Risk adalah probabilitas bahwa ancaman tersebut akan terjadi.
Overview of Control Concepts
 Internal Control adalah proses dan prosedur yang diterapkan untuk memberikan
jaminan yang wajar bahwa tujuan pengendalian telah terpenuhi.
 Beberapa tujuan dari Internal Control, antara lain :
1) Safeguard Assets merupakan perlindungan, pencegahan, atau pendeteksian
asset dari akuisisi, penggunaan, atau pembuangan yang tidak sah
2) Memelihara catatan dengan cukup detail untuk melaporkan aset perusahaan
secara akurat dan adil
3) Memberikan informasi yang akurat dan terpercaya
4) Menyusun laporan keuangan sesuai dengan kriteria yang telah ditetapkan
5) Mempromosikan dan meningkatkan efisiensi operasional
6) Mendorong kepatuhan terhadap kebijakan manajerial yang telah ditentukan
7) Mematuhi hukum dan peraturan yang berlaku.
 Sistem pengendalian internal memiliki beberapa keterbatasan seperti kerentanan
terhadap kesalahan, penilaian dan pengambilan keputusan yang salah, penggantian
manajemen, dan kolusi.
 Akuntan dan pengembang sistem membantu manajemen mencapai tujuan
pengendalian internal dengan cara :
1) Merancang sistem pengendalian yang efektif yang mengambil pendekatan
proaktif untuk menghilangkan ancaman sistem serta mendeteksi, memperbaiki,
dan memulihkan dari ancaman ketika terjadi
2) Membuatnya lebih mudah untuk membangun kontrol ke dalam sistem pada
tahap desain awal daripada menambahkannya setelah fakta.
 Internal Control memiliki tiga fungsi penting, antara lain :
1) Preventive Controls / Kontrol Preventif
Kontrol yang mencegah masalah sebelum muncul. Contoh : mempekerjakan
personel yang memenuhi syarat, memisahkan tugas karyawan, dan
mengendalikan akses fisik ke aset dan informasi.
2) Detective Controls / Kontrol Detektif
Kontrol yang dirancang untuk menemukan masalah kontrol yang tidak dicegah.
Contoh : pemeriksaan duplikat perhitungan, persiapan rekonsiliasi bank, dan
neraca saldo bulanan.
3) Corrective Controls / Kontrol Korektif
Kontrol yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan
memulihkan dari kesalahan yang dihasilkan. Contoh : memelihara salinan
cadangan file, mengoreksi kesalahan entri data, dan mengirim ulang transaksi
untuk pemrosesan selanjutnya.
 Internal Control dibagi menjadi dua kategori, antara lain :
1) General Controls / Kontrol Umum

Halaman 3 dari 51
 Kontrol yang dirancang untuk memastikan sistem informasi perusahaan dan
lingkungan kontrol stabil dan dikelola dengan baik. Contoh : keamanan,
infrastruktur IT, serta kontrol akuisisi, pengembangan, dan pemeliharaan
perangkat lunak.
2) Application Controls / Kontrol Aplikasi
Kontrol yang mencegah, mendeteksi, dan memperbaiki kesalahan transaksi dan
penipuan dalam program aplikasi. Mereka memperhatikan keakuratan,
kelengkapan, validitas, dan otorisasi data yang ditangkap, dimasukkan, diproses,
disimpan, dikirim ke sistem lain, dan dilaporkan.
 Robert Simons mendukung 4 tuas kontrol untuk membantu manajemen
mendamaikan konflik antara kreativitas dan control, antara lain :
1) Belief System
Sistem yang menggambarkan bagaimana sebuah perusahaan menciptakan nilai,
membantu karyawan memahami visi manajemen, mengkomunikasikan nilai-
nilai inti perusahaan, dan menginspirasi karyawan untuk hidup dengan nilai-nilai
tersebut.
2) Boundary System
Sistem yang membantu karyawan bertindak secara etis dengan menetapkan
batasan pada perilaku karyawan. Sistem ini mendorong karyawan untuk
memecahkan masalah secara kreatif dan memenuhi kebutuhan pelanggan sambil
memenuhi standar kinerja minimum, menghindari aktivitas di luar batas, dan
menghindari tindakan yang dapat merusak reputasi
3) Diagnostic Control System
Sistem yang mengukur, memantau, dan membandingkan kemajuan aktual
perusahaan dengan anggaran dan sasaran kinerja. Umpan balik membantu
manajemen menyesuaikan dan menyempurnakan input dan proses sehingga
output di masa mendatang lebih sesuai dengan tujuan.
4) Interactive Control System
Sistem yang membantu manajer untuk memfokuskan perhatian bawahan pada
isu-isu strategis utama dan untuk lebih terlibat dalam keputusan mereka. Data
dalam sistem ini ditafsirkan dan dibahas dalam pertemuan tatap muka atasan,
bawahan, dan rekan kerja.

The Foreign Corrupt Practices and Sarbanes-Oxley Acts

 Foreign Corrupt Practices Act (FCPA) adalah undang-undang yang disahkan
pada tahun 1977 untuk mencegah perusahaan menyuap pejabat asing untuk
mendapatkan bisnis serta mengharuskan perusahaan untuk memelihara sistem
pengendalian internal yang baik.
 Sarbanes-Oxley Act (SOX) adalah undang-undang berorientasi bisnis yang
dimaksudkan untuk mencegah penipuan laporan keuangan, membuat laporan

Halaman 4 dari 51
 keuangan lebih transparan, memberikan perlindungan kepada investor, memperkuat
kontrol internal di perusahaan publik, dan menghukum eksekutif yang melakukan
penipuan.
 Beberapa aspek terpenting dari SOX, antara lain :
1) Public Company Accounting Oversight Board (PCAOB)
PCAOB adalah dewan yang dibuat oleh SOX untuk mengatur dan
mengendalikan profesi audit. PCAOB menetapkan dan memberlakukan audit,
kontrol kualitas, etika, independensi, dan standar audit lainnya. PCAOB terdiri
dari 5 orang yang ditunjuk oleh Securities and Exchange Commission (SEC)
2) New Rules for Auditors / Aturan Baru untuk Auditor
Auditor harus melaporkan informasi spesifik kepada komite audit perusahaan
seperti kebijakan dan praktik akuntansi yang penting. SOX melarang auditor
melakukan layanan nonaudit tertentu seperti desain dan implementasi sistem
informasi. Perusahaan audit tidak dapat memberikan layanan kepada perusahaan
jika manajemen puncak dipekerjakan oleh perusahaan audit dan bekerja pada
audit perusahaan dalam 12 bulan sebelumnya.
3) New Roles for Audit Committees / Peran Baru untuk Komite Audit
Anggota komite audit harus berada di dewan direksi perusahaan dan independen
dari perusahaan. Salah satu anggota komite audit harus ahli dalam bidang
keuangan. Komite audit mempekerjakan, memberi kompensasi, dan mengawasi
auditor yang melapor langsung kepada mereka.
4) New Rules for Management / Aturan Baru untuk Manajemen
SOX mengharuskan CEO dan CFO untuk menyatakan bahwa :
 Laporan keuangan dan pengungkapan disajikan secara wajar serta telah
ditinjau oleh manajemen, dan tidak menyesatkan
 Auditor diberitahu tentang semua kelemahan pengendalian internal yang
material dan kecurangan. Jika manajemen dengan sengaja melanggar aturan
ini, mereka dapat dituntut dan didenda. Perusahaan harus mengungkapkan
dalam bahasa Inggris yang sederhana perubahan material pada kondisi
keuangan mereka secara tepat waktu.
5) New Internal Control Requirements / Persyaratan Baru Internal Control
Perusahaan harus mengeluarkan laporan keuangan yang menyatakan bahwa
manajemen bertanggung jawab untuk membangun dan memelihara sistem
pengendalian internal yang memadai. Laporan harus berisi penilaian manajemen
atas pengendalian internal perusahaan, membuktikan keakuratannya, dan
melaporkan kelemahan signifikan atau ketidakpatuhan material.
 Setelah SOX disahkan, SEC menyatakan bahwa manajemen harus :
1) Mendasarkan evaluasinya pada kerangka pengendalian yang diakui
2) Mengungkapkan semua kelemahan pengendalian internal yang material

Halaman 5 dari 51
 3) Menyimpulkan bahwa perusahaan tidak memiliki pengendalian internal
pelaporan keuangan yang efektif jika terdapat kelemahan material

Control Frameworks
COBIT Framework
 Control Objectives for Information and Related Technology (COBIT) adalah
kerangka kerja yang dikembangkan oleh Information Systems Audit and Control
Association (ISACA) dimana mengkonsolidasikan standar kontrol dari berbagai
sumber ke dalam satu kerangka kerja tunggal yang memungkinkan :
1) Manajemen untuk membandingkan keamanan dan praktik kontrol lingkungan IT
2) Pengguna diyakinkan bahwa keamanan dan kontrol IT yang memadai tersedia
3) Auditor untuk mendukung pendapat pengendalian internal mereka dan memberi
nasihat tentang masalah keamanan dan pengendalian IT.
 Kerangka kerja COBIT 5 menjelaskan praktik terbaik untuk tata kelola dan
manajemen IT yang efektif dimana didasarkan pada lima prinsip utama, antara
lain :
1) Memenuhi kebutuhan pemangku kepentingan
COBIT 5 membantu pengguna menyesuaikan proses dan prosedur bisnis untuk
menciptakan sistem informasi yang menambah nilai bagi para pemangku
kepentingan serta memungkinkan perusahaan untuk menciptakan keseimbangan
yang tepat antara risiko dan imbalan.
2) Meliputi perusahaan dari ujung ke ujung
COBIT 5 tidak hanya fokus pada operasi IT tetapi juga mengintegrasikan semua
fungsi dan proses IT ke dalam fungsi dan proses di seluruh perusahaan.
3) Menerapkan kerangka kerja tunggal yang terintegrasi
COBIT 5 dapat disejajarkan pada tingkat tinggi dengan standar dan kerangka
kerja lain sehingga kerangka kerja dibuat seccara menyeluruh untuk tata kelola
dan manajemen IT
4) Memungkinkan pendekatan holistic
COBIT 5 memberikan pendekatan holistik yang menghasilkan tata kelola dan
manajemen yang efektif dari semua fungsi IT di perusahaan.
5) Memisahkan tata kelola dari manajemen
COBIT 5 membedakan antara tata kelola dan manajemen.
Area Kunci Manajemen dan Tata Kelola COBIT 5

Halaman 6 dari 51
Model Referensi Proses COBIT 5

COSO Internal Control Framework

 Committee of Sponsoring Organizations (COSO) adalah kelompok sector swasta
yang terdiri dari American Accounting Association, AICPA, Institute of Internal
Auditor, Institute of Management Accountants, dan Financial Executives Institute.
 Internal Control - Integrated Framework (IC) adalah kerangka kerja COSO
yang diterima secara luas sebagai otoritas pengendalian internal dan memberikan
panduan untuk mengevaluasi dan meningkatkan sistem pengendalian internal.

Halaman 7 dari 51
 Kerangka kerja IC yang baru mempertahankan lima komponen kerangka kerja asli
dan menambahkan 17 prinsip yang membangun dan mendukung konsep tersebut.
Lima Komponen dan 17 Prinsip Model Pengendalian Internal COSO
Komponen Deskripsi
Komponen ini merupakan dasar untuk semua komponen pengendalian
internal lainnya. Inti dari bisnis adalah orang-orang dan atribut individual
mereka seperti integritas, disiplin, nilai-nilai etika, dan kompetensi serta
lingkungan tempat mereka beroperasi. Mereka adalah mesin yang
menggerakkan perusahaan dan fondasi tempat segala sesuatu bertumpu.
1) Komitmen terhadap integritas dan etika
2) Pengawasan pengendalian internal oleh dewan direksi, independen dari
Control
manajemen
Environment
3) Struktur, jalur pelaporan, dan tanggung jawab yang sesuai dalam
mengejar tujuan yang ditetapkan oleh manajemen dan diawasi oleh
dewan
4) Komitmen untuk menarik, mengembangkan, dan mempertahankan
individu yang kompeten sesuai dengan tujuan
5) Memegang tanggung jawab individu atas pengendalian internal mereka
dalam mengejar tujuan
Perusahaan harus mengidentifikasi, menganalisis, dan mengelola risikonya.
Manajemen harus mempertimbangkan perubahan dalam lingkungan
eksternal dan dalam bisnis yang mungkin menjadi hambatan untuk
mencapai tujuannya.
6) Menentukan tujuan dengan cukup jelas agar risiko dapat diidentifikasi
Risk
dan dinilai
Assessment
7) Mengidentifikasi dan menganalisis risiko untuk menentukan bagaimana
risiko tersebut harus dikelola
8) Mempertimbangkan potensi penipuan
9) Mengidentifikasi dan menilai perubahan yang dapat berdampak
signifikan terhadap sistem pengendalian internal
Control Kebijakan dan prosedur pengendalian membantu memastikan bahwa
Activites tindakan yang diidentifikasi oleh manajemen untuk mengatasi risiko dan
mencapai tujuan perusahaan dilakukan secara efektif. Aktivitas
pengendalian dilakukan di semua tingkatan dan pada berbagai tahap dalam
proses bisnis dan teknologi.
10) Memilih dan mengembangkan pengendalian yang dapat membantu
mengurangi risiko ke tingkat yang dapat diterima
11) Memilih dan mengembangkan kegiatan pengendalian umum atas
teknologi
12) Menyebarkan aktivitas pengendalian sebagaimana ditentukan dalam

Halaman 8 dari 51
 kebijakan dan prosedur yang relevan
Sistem informasi dan komunikasi menangkap dan bertukar informasi yang
dibutuhkan untuk melakukan, mengelola, dan mengendalikan operasi
perusahaan. Komunikasi harus terjadi secara internal dan eksternal untuk
memberikan informasi yang diperlukan dalam melaksanakan kegiatan
pengendalian internal sehari-hari dimana seluruh personel harus memahami
tanggung jawab mereka.
Information and
13) Memperoleh atau menghasilkan informasi yang relevan dan
Communication
berkualitas tinggi untuk mendukung pengendalian internal
14) Mengkomunikasikan informasi secara internal, termasuk tujuan dan
tanggung jawab, yang diperlukan untuk mendukung komponen
pengendalian internal lainnya
15) Mengkomunikasikan hal-hal terkait pengendalian internal kepada
pihak eksternal.
Seluruh proses harus dipantau dan modifikasi dilakukan seperlunya
sehingga sistem dapat berubah sesuai kondisi. Evaluasi memastikan apakah
setiap komponen pengendalian internal tersedia dan berfungsi. Kekurangan
dikomunikasikan pada waktu yang tepat dengan masalah serius dilaporkan
kepada manajemen senior dan dewan.
Monitoring
16) Memilih, mengembangkan, dan melakukan evaluasi berkelanjutan atau
terpisah dari komponen pengendalian internal
17) Mengevaluasi dan mengkomunikasikan kekurangan kepada mereka
yang bertanggung jawab atas tindakan korektif seperti manajemen
senior dan dewan direksi
COSO Enterprise Risk Management Framework
 Enterprise Risk Management - Integrated Framework (ERM) adalah kerangka kerja
COSO yang digunakan oleh dewan direksi dan manajemen untuk menetapkan
strategi, mengidentifikasi peristiwa yang dapat mempengaruhi entitas, menilai dan
mengelola risiko, dan memberikan jaminan yang wajar bahwa perusahaan
mencapai tujuan dan sasarannya.
 Prinsip dasar ERM, antara lain :
1) Perusahaan dibentuk untuk menciptakan nilai bagi pemiliknya.
2) Manajemen harus memutuskan berapa banyak ketidakpastian yang akan
diterimanya karena menciptakan nilai.
3) Ketidakpastian menghasilkan risiko yaitu kemungkinan bahwa sesuatu secara
negatif mempengaruhi kemampuan perusahaan untuk menciptakan atau
mempertahankan nilai.
4) Ketidakpastian menghasilkan peluang yaitu kemungkinan bahwa sesuatu secara
positif mempengaruhi kemampuan perusahaan untuk menciptakan atau
mempertahankan nilai.

Halaman 9 dari 51
 5) Kerangka kerja ERM dapat mengelola ketidakpastian serta menciptakan dan
mempertahankan nilai.

Model Manajemen Risiko Perusahaan COSO

The Enterprise Risk Management Framework Versus The Internal Control Framework
 Kerangka kerja IC telah diadopsi secara luas sebagai cara untuk mengevaluasi
pengendalian internal, seperti yang dipersyaratkan oleh SOX.
 Kerangka kerja ERM yang lebih komprehensif mengambil pendekatan berbasis
risiko daripada pendekatan berbasis kontrol.
 ERM menambahkan tiga elemen tambahan ke kerangka kerja IC COSO:
menetapkan tujuan, mengidentifikasi peristiwa yang dapat memengaruhi
perusahaan, dan mengembangkan respons terhadap risiko yang dinilai. Akibatnya,
kontrol fleksibel dan relevan karena terkait dengan tujuan organisasi saat ini.
 Model ERM juga mengakui bahwa risiko, selain dikendalikan, dapat diterima,
dihindari, didiversifikasi, dibagikan, atau ditransfer.

The Internal Environment

 Internal Environment adalah budaya perusahaan yang merupakan dasar untuk
seluruh komponen ERM lainnya karena mempengaruhi bagaimana perusahaan
menetapkan strategi dan tujuan, menyusun kegiatan usaha, serta mengidentifikasi,
menilai, dan menanggapi risiko.
 Internal Environment terdiri dari :

Halaman 10 dari 51
 1) Filosofi manajemen, gaya operasi, dan selera risiko
2) Komitmen terhadap integritas, nilai-nilai etika, dan kompetensi
3) Pengawasan pengendalian internal oleh dewan direksi
4) Struktur organisasi
5) Metode pemberian wewenang dan tanggung jawab
6) Standar sumber daya manusia yang menarik, mengembangkan, dan
mempertahankan individu yang kompeten
7) Pengaruh eksternal

Management Philosophy, Operating Style, and Risk Appetite

 Sebuah perusahaan memiliki filosofi atau keyakinan dan sikap bersama tentang
risiko yang mempengaruhi kebijakan, prosedur, komunikasi lisan dan tertulis, serta
keputusan.
 Risk Appetite adalah jumlah risiko yang bersedia diterima perusahaan untuk
mencapai tujuan dan sasarannya. Risk Appetite harus sejalan dengan strategi
perusahaan untuk menghindari risiko yang tidak semestinya.
 Semakin bertanggung jawab filosofi dan gaya operasi manajemen, serta semakin
jelas mereka dikomunikasikan, maka semakin besar kemungkinan karyawan akan
berperilaku secara bertanggung jawab.

Commitment to Integrity, Ethical Values, and Competence

 Perusahaan membutuhkan budaya yang menekankan integritas dan komitmen
terhadap nilai-nilai etika dan kompetensi.
 Perusahaan mendukung integritas dengan cara :
1) Secara aktif mengajar dan membutuhkannya seperti memperjelas bahwa
laporan yang jujur lebih penting daripada laporan yang menyenangkan.
2) Menghindari ekspektasi atau insentif yang tidak realistis yang memotivasi
tindakan tidak jujur atau ilegal seperti praktik penjualan yang terlalu agresif,
taktik negosiasi yang tidak adil atau tidak etis, dan bonus yang berlebihan
berdasarkan hasil keuangan yang dilaporkan.
3) Secara konsisten menghargai kejujuran dan memberi label verbal pada perilaku
jujur dan tidak jujur. Jika perusahaan menghukum atau menghargai kejujuran
tanpa memberi label atau jika standar kejujuran tidak konsisten, maka karyawan
akan menampilkan perilaku moral yang tidak konsisten.
4) Mengembangkan kode etik tertulis yang secara eksplisit menggambarkan
perilaku jujur dan tidak jujur. Penyebab utama ketidakjujuran berasal dari
merasionalisasi situasi yang tidak jelas dan membiarkan kriteria kemanfaatan
menggantikan kriteria benar versus salah.
5) Mewajibkan karyawan untuk melaporkan tindakan yang tidak jujur atau
melanggar hukum dan mendisiplinkan karyawan yang dengan sengaja tidak

Halaman 11 dari 51
 melaporkannya. Semua tindakan tidak jujur harus diselidiki dan karyawan yang
tidak jujur harus diberhentikan serta dituntut untuk menunjukkan bahwa perilaku
tersebut tidak diperbolehkan.
6) Membuat komitmen untuk kompetensi dimana perusahaan harus
mempekerjakan karyawan yang kompeten dengan pengetahuan, pengalaman,
pelatihan, dan keterampilan yang diperlukan.
Internal Control Oversight By The Board of Directors
 Dewan direksi yang terlibat mewakili pemegang saham dan memberikan tinjauan
independen terhadap manajemen yang bertindak sebagai check and balance atas
tindakannya.
 Audit Committee adalah anggota dewan direktur independen di luar yang
bertanggung jawab atas pelaporan keuangan, kepatuhan terhadap peraturan,
pengendalian internal, serta mempekerjakan dan mengawasi auditor internal dan
eksternal yang melaporkan semua kebijakan dan praktik akuntansi.

Organizational Structure
 Struktur organisasi perusahaan menyediakan kerangka kerja untuk perencanaan,
pelaksanaan, pengendalian, dan pemantauan operasi.
 Beberapa aspek penting dari struktur organisasi, antara lain :
1) Sentralisasi atau desentralisasi kewenangan
2) Hubungan pelaporan langsung atau matriks
3) Organisasi menurut industri, lini produk, lokasi, atau jaringan pemasaran
4) Bagaimana alokasi tanggung jawab memengaruhi persyaratan informasi
5) Organisasi dan garis wewenang untuk fungsi akuntansi, audit, dan sistem
informasi
6) Ukuran dan sifat kegiatan perusahaan

Methods of Assigning Authority and Responsibility

 Manajemen harus memastikan karyawan memahami tujuan dan sasaran entitas,
menetapkan wewenang dan tanggung jawab untuk tujuan dan sasaran kepada
departemen dan individu, meminta pertanggungjawaban individu untuk
mencapainya, dan mendorong penggunaan inisiatif untuk memecahkan masalah.
 Wewenang dan tanggung jawab ditugaskan dan dikomunikasikan menggunakan
deskripsi pekerjaan formal, pelatihan karyawan, jadwal operasi, anggaran, kode
etik, serta kebijakan dan prosedur tertulis.
 Policy and Procedures Manual adalah sebuah dokumen yang menjelaskan praktik
bisnis yang tepat, menjelaskan pengetahuan dan pengalaman yang diperlukan,
menjelaskan prosedur dokumen, menjelaskan cara menangani transaksi, dan
mencantumkan sumber daya yang disediakan untuk melaksanakan tugas tertentu.

Halaman 12 dari 51
Human Resources Standards That Attract, Develop, and Retain Competent Individuals
 Kebijakan dan praktik sumber daya manusia (SDM) yang mengatur kondisi kerja,
insentif pekerjaan, dan kemajuan karir dapat menjadi kekuatan yang kuat dalam
mendorong kejujuran, efisiensi, dan pelayanan yang loyal.
 Kebijakan SDM harus menyampaikan tingkat keahlian, kompetensi, perilaku etis,
dan integritas yang diperlukan.

Hiring
 Karyawan harus dipekerjakan berdasarkan latar belakang pendidikan, pengalaman,
prestasi, kejujuran dan integritas, dan memenuhi persyaratan pekerjaan tertulis.
 Kualifikasi pelamar dapat dievaluasi menggunakan resume, surat referensi,
wawancara, dan pemeriksaan latar belakang.
 Background Check adalah suatu tindakan dalam melakukan investigasi calon atau
karyawan saat ini yang melibatkan verifikasi pendidikan dan pengalaman kerja,
berbicara dengan referensi, memeriksa catatan kriminal, memeriksa catatan kredit,
dan nemeriksa informasi lain yang tersedia untuk umum.

Compensating, Evaluating, and Promoting

 Karyawan dengan kompensasi yang buruk lebih mungkin merasakan kebencian dan
tekanan keuangan yang dapat memotivasi penipuan sehingga gaji yang adil dan
insentif bonus yang sesuai membantu memotivasi dan memperkuat kinerja
karyawan yang luar biasa.
 Karyawan harus diberikan penilaian kinerja berkala untuk membantu mereka
memahami kekuatan dan kelemahan mereka dimana promosi harus didasarkan pada
kinerja dan kualifikasi.

Training
 Program pelatihan harus mengajarkan tanggung jawab kepada karyawan baru,
tingkat kinerja dan perilaku yang diharapkan, serta kebijakan dan prosedur
perusahaan, budaya, dan gaya operasi.
 Karyawan dapat dilatih dengan melakukan diskusi informal dan pertemuan formal,
menerbitkan memo berkala, mendistribusikan pedoman tertulis dan kode etik
profesional, mengedarkan laporan tentang perilaku tidak etis dan konsekuensinya,
serta mempromosikan program pelatihan keamanan dan penipuan.

Managing Disgruntled Employees

 Beberapa karyawan yang tidak puas akan berusaha membalas dendam atas
kesalahan yang dirasakan dan melakukan penipuan atau sistem sabotase.

Halaman 13 dari 51
 Perusahaan membutuhkan prosedur untuk mengidentifikasi karyawan yang tidak
puas dan membantu mereka mengatasi perasaan mereka atau mengeluarkan mereka
dari pekerjaan sensitif.

Discharging
 Karyawan yang diberhentikan harus dihapus dari pekerjaan sensitif segera dan
menolak akses ke sistem informasi.

Vacations and Rotation of Duties

 Skema penipuan yang membutuhkan perhatian pelaku yang berkelanjutan
terungkap ketika pelaku mengambil cuti sehingga merotasi tugas karyawan secara
berkala dan membuat karyawan mengambil cuti dapat mencapai hasil yang sama.

Confidentiality Agreements and Fidelity Bond Insurance

 Semua karyawan, pemasok, dan kontraktor harus menandatangani dan mematuhi
perjanjian kerahasiaan.
 Cakupan asuransi Fidelity Bond dari karyawan kunci melindungi perusahaan dari
kerugian yang timbul dari tindakan penipuan yang disengaja

Prosecute and Incarcerate Perpetrators

 Beberapa alasan penipuan tidak dilaporkan atau dituntut, antara lain :
1) Perusahaan tidak melaporkan penipuan karena dapat menjadi bencana
hubungan masyarakat. Pengungkapan tersebut dapat mengungkapkan
kerentanan sistem dan menarik lebih banyak penipuan atau serangan peretas.
2) Penegakan hukum dan pengadilan sibuk dengan kejahatan kekerasan dan
memiliki lebih sedikit waktu dan minat untuk kejahatan komputer yang tidak
menimbulkan kerugian fisik.
3) Penipuan sulit, mahal, dan memakan waktu untuk menyelidiki dan menuntut.
4) Banyak pejabat penegak hukum, pengacara, dan hakim tidak memiliki
keterampilan komputer yang dibutuhkan untuk menyelidiki dan menuntut
kejahatan komputer.
5) Kalimat penipuan seringkali ringan.

External Influences
 Pengaruh eksternal seperti persyaratan yang diberlakukan oleh bursa saham,
Financial Accounting Standards Board (FASB), PCAOB, dan SEC.
 Mereka juga mencakup persyaratan yang diberlakukan oleh badan pengatur seperti
bank, utilitas, dan perusahaan asuransi.

Objective Setting and Event Identification

Halaman 14 dari 51
Objetive Setting
 Strategic Objectives adalah sasaran tingkat tinggi yang selaras dan mendukung
misi perusahaan serta menciptakan nilai pemegang saham. Manajemen harus
mengidentifikasi cara-cara alternatif untuk mencapai tujuan strategis,
mengidentifikasi dan menilai risiko dan implikasi dari setiap alternative,
merumuskan strategi perusahaan, serta menetapkan tujuan operasi, kepatuhan, dan
pelaporan.
 Operations Objectives adalah tujuan yang berhubungan dengan efektivitas dan
efisiensi operasi perusahaan dan menentukan cara mengalokasikan sumber daya.
 Reporting Objectives adalah tujuan untuk embantu memastikan keakuratan,
kelengkapan, dan keandalan laporan perusahaan; meningkatkan pengambilan
keputusan; serta memantau aktivitas dan kinerja perusahaan.
 Compliance Objectives adalah tujuan untuk membantu perusahaan mematuhi
semua hukum dan peraturan yang berlaku.

Event Identification
 Event adalah insiden atau kejadian positif atau negative yang berasal dari sumber
internal atau eksternal yang mempengaruhi implementasi pelaksanaan strategi atau
pencapaian tujuan.
 Manajemen harus mencoba mengantisipasi semua kemungkinan peristiwa positif
atau negatif, menentukan mana yang paling mungkin dan paling kecil
kemungkinannya terjadi, dan memahami keterkaitan peristiwa.

Risk Assessment and Risk Response

 Risiko dari suatu peristiwa yang teridentifikasi dinilai dalam beberapa cara berbeda
seperti kemungkinan, dampak positif dan negatif, individual, serta berdasarkan
kategori, pengaruhnya terhadap unit organisasi lain, dan atas dasar inheren dan
residual.
 Inherent Risk adalah kerentanan satu set akun atau transaksi terhadap masalah
pengendalian yang signifikan tanpa adanya pengendalian internal.
 Residual Risk adalah risiko yang tersisa setelah manajemen menerapkan
pengendalian internal atau respons lain terhadap risiko.
 Perusahaan harus menilai Inherent Risk, mengembangkan respons, dan kemudian
menilai Residual Risk.
 Manajemen dapat merespons risiko dengan beberapa cara, antara lain :
1) Reduce / Mengurangi
Cara ini mengurangi kemungkinan dan dampak risiko dengan menerapkan
sistem pengendalian internal yang efektif (Melakukan hal yang sudah ada sesuai
dengan SOP dan melakukan suatu pemeriksaan dan evaluasi)
2) Accept / Menerima

Halaman 15 dari 51
 Cara ini menerima kemungkinan dan dampak risiko yang tersedia
3) Share / Membagikan
Cara ini membagikan risiko atau mentransfernya ke orang lain dengan membeli
asuransi, mengalihdayakan suatu aktivitas, atau melakukan transaksi lindung
nilai.
4) Avoid / Menghindari
Cara ini menghindari risiko dengan tidak terlibat dalam aktivitas yang
menghasilkan risiko dimana mengharuskan perusahaan untuk menjual divisi,
keluar dari lini produk, atau tidak melakukan ekspansi seperti yang diantisipasi.
Risk Assessment Approach to Designing Internal Controls

Estimate Likelihood and Impact

 Karyawan lebih cenderung membuat kesalahan daripada melakukan penipuan serta
perusahaan lebih mungkin menjadi korban penipuan daripada bencana alam.
 Kemungkinan terjadinya bencana alam cukup kecil tetapi memberikan dampak
yang besar sedangkan dampak penipuan biasanya tidak besar karena sebagian besar
kasus penipuan tidak mengancam keberadaan perusahaan.

Halaman 16 dari 51
 Kemungkinan dan dampak harus dipertimbangkan bersama dimana ketika
keduanya meningkat, maka materialitas acara dan kebutuhan untuk melindunginya
juga meningkat.

Identify Controls
 Manajemen harus mengidentifikasi pengendalian yang melindungi perusahaan dari
setiap kejadian dimana sistem pengendalian internal yang baik harus menerapkan
ketiga jenis Kontrol yaitu Kontrol Preventif, Kontrol Detektif, dan Kontrol
Korektif.
 Kontrol preventif biasanya lebih unggul daripada kontrol detektif dimana ketika
kontrol preventif gagal, maka kontrol detektif sangat penting untuk menemukan
masalah yang kemudian kontrol korektif akan membantu memulihkan dari masalah
tersebut.

Estimate Costs and Benefits

 Sistem pengendalian internal yang baik harus dapat memberikan perlindungan
dengan memberikan biaya yang rendah dan berdampak positif pada efisiensi
operasional.
 Manfaat prosedur pengendalian internal harus melebihi biaya yang dikeluarkan
oleh perusahaan seperti peningkatan penjualan dan produktivitas, pengurangan
kerugian, integrasi yang lebih baik dengan pelanggan dan pemasok, peningkatan
loyalitas pelanggan, keunggulan kompetitif, dan premi asuransi yang lebih rendah.
 Biaya biasanya lebih mudah diukur daripada manfaat dimana elemen utama biaya
mencakup personel, waktu untuk melakukan prosedur pengendalian, biaya
perekrutan karyawan tambahan untuk mencapai pemisahan tugas yang efektif, dan
biaya pemrograman kontrol ke dalam sistem komputer.
 Expected Loss adalah produk matematis dari potensi kerugian dalam bentuk dolar
yang akan terjadi jika ancaman menjadi kenyataan (disebut impact atau exposure)
dan risiko atau probabilitas bahwa ancaman akan terjadi (disebut likelihood).
Expected Loss = Impact x Likelihood

Determine Cost / Benefit Effectiveness

 Manajemen harus menentukan apakah suatu pengendalian menguntungkan dari
segi biaya. Dalam mengevaluasi pengendalian internal, manajemen harus
mempertimbangkan faktor-faktor selain yang ada dalam perhitungan biaya/manfaat
yang diharapkan.

Cost/Benefit Analysis untuk Prosedur Validasi Penggajian

Tanpa Prosedur Dengan Prosedur Net Expected
Validasi Validasi Difference

Halaman 17 dari 51
 Biaya untuk memproses ulang seluruh
$10.000 $10.000
penggajian
Kemungkinan kesalahan data
15% 1%
penggajian
Biaya pemrosesan ulang yang
$1.500 $100 $1.400
diharapkan
Biaya Prosedur Validasi $0 $600 ($600)
Manfaat bersih yang diharapkan dari
$800
prosedur validasi

Implement Control or Accept, Share, or Avoid the Risk

 Kontrol hemat biaya harus diterapkan untuk mengurangi, membagikan, atau
menghindari risiko.
 Risiko dapat diterima jika berada dalam kisaran toleransi risiko perusahaan. Contoh
: risiko dengan kemungkinan kecil dan dampak kecil.
 Respons untuk mengurangi atau membagi risiko membantu membawa risiko
residual ke dalam kisaran toleransi risiko yang dapat diterima.
 Perusahaan dapat memilih untuk menghindari risiko ketika tidak ada cara yang
hemat biaya untuk membawa risiko ke dalam kisaran toleransi risiko yang dapat
diterima.

Control Activites
 Control Activities adalah kebijakan, prosedur, dan aturan yang memberikan
jaminan yang wajar dan keyakinan memadai bahwa tujuan pengendalian terpenuhi
dan respons risiko telah dilaksanakan.
 Manajemen harus memastikan bahwa:
1) Kontrol dipilih dan dikembangkan untuk membantu mengurangi risiko ke
tingkat yang dapat diterima.
2) Kontrol umum yang sesuai dipilih dan dikembangkan di atas teknologi.
3) Aktivitas pengendalian diimplementasikan dan dipatuhi sebagaimana ditentukan
dalam kebijakan dan prosedur perusahaan
 Aktivitas pengendalian perlu dilakukan selama musim liburan akhir tahun karena
jumlah penipuan komputer dan pembobolan keamanan yang tidak proporsional
terjadi selama waktu tersebut dimana disebabkan oleh beberapa hal, antara lain :
1) Liburan karyawan yang diperpanjang berarti semakin sedikit yang memikirkan
perusahaan
2) Siswa keluar dari sekolah dan memiliki lebih banyak waktu
3) Peretas yang bersikap individualistis akan meningkatkan serangan mereka
 Beberapa kategori dalam prosedur pengendalian, antara lain :

Halaman 18 dari 51
 1) Otorisasi yang tepat atas transaksi dan aktivitas
2) Pemisahan tugas
3) Pengembangan proyek dan kontrol akuisisi
4) Mengubah kontrol manajemen
5) Desain dan penggunaan dokumen dan catatan
6) Menjaga aset, catatan, dan data
7) Pemeriksaan independen pada kinerja

Proper Authorization of Transactions and Activities

 Authorization adalah prosedur pengendalian dengan menetapkan kebijakan untuk
diikuti oleh karyawan dan kemudian memberdayakan mereka untuk melakukan
fungsi organisasi tertentu. Otorisasi sering didokumentasikan untuk
menandatangani, menginisialisasi, atau memasukkan kode otorisasi pada dokumen
atau catatan.
 Digital Signature adalah suatu sarana untuk menandatangani dokumen secara
elektronik dengan data yang tidak dapat dipalsukan.
 Specific Authorization adalah persetujuan khusus yang dibutuhkan karyawan agar
diberikan izin untuk menangani aktivitas atau transaksi tersebut.
 General Authorization adalah otorisasi yang diberikan kepada karyawan untuk
menangani transaksi rutin tanpa persetujuan khusus

Segregation of Duties
Segregation of Accounting Duties
 Segregation of Accounting Duties adalah pemisahan fungsi akuntansi otorisasi,
penyimpanan, dan pencatatan untuk meminimalkan kemampuan karyawan untuk
melakukan penipuan.
 Segregation of Accounting Duties yang efektif dapat dicapai dengan memisahkan
beberapa fungsi, antara lain :
1) Authorization / Pengesahan
Fungsi ini melibatkan tindakan dalam menyetujui transaksi dan keputusan
2) Recording / Pencatatan
Fungsi ini melibatkan tindakan dalam menyiapkan dokumen sumber,
memasukkan data ke dalam sistem computer, serta memelihara jurnal, buku
besar, file, atau database
3) Custody / Penyimpanan
Fungsi ini melibatkan tindakan dalam menangani uang tunai, peralatan,
persediaan, atau aset tetap, serta menerima cek pelanggan yang masuk dan
menulis cek
 Collusion adalah suatu bentuk kerjasama antara dua orang atau lebih dalam upaya
untuk menggagalkan pengendalian internal.

Halaman 19 dari 51
Separation of Duties

Segregation of System Duties

 Segregation of System Duties adalah penerapan prosedur pengendalian untuk
secara jelas membagi wewenang dan tanggung jawab dalam fungsi sistem
informasi.
 Wewenang dan tanggung jawab harus dibagi dengan jelas di antara beberapa fungsi
berikut, antara lain :
1) Systems Administration / Administrasi Sistem
Systems Administrators adalah seseorang yang bertanggung jawab untuk
memastikan semua komponen sistem informasi beroperasi dengan lancar dan
efisien.
2) Network Management / Manajemen Jaringan
Network Managers adalah seseorang yang memastikan bahwa perangkat
terhubung ke jaringan internal dan eksternal organisasi serta beroperasi dengan
benar
3) Security Management / Manajemen Keamanan
Security Management adalah seseorang yang memastikan bahwa sistem aman
dan terlindungi dari ancaman internal dan eksternal.
4) Change Management / Mengubah Manajemen

Halaman 20 dari 51
 Change Management adalah proses dalam memastikan perubahan dilakukan
dengan lancar dan efisien serta tidak berdampak negatif terhadap keandalan,
keamanan, kerahasiaan, integritas, dan ketersediaan sistem.
5) Users / Pengguna
Users adalah seseorang yang mencatat transaksi, mengotorisasi pemrosesan
data, dan menggunakan output sistem.
6) Systems Analysis / Analisis Sistem
Systems Analysts adalah seseorang yang membantu Users dalam menentukan
kebutuhan informasi mereka dan merancang sistem untuk memenuhi kebutuhan
tersebut.
7) Programming / Pemrograman
Programmers adalah seseorang yang mengambil dan menggunakan desain
analis untuk mengembangkan, membuat kode, dan menguji program komputer.
8) Computer Operations / Operasi Komputer
Computer Operators adalah seseorang yang menjalankan dan mengoperasikan
perangkat lunak pada komputer perusahaan dimana mereka memastikan bahwa
data dimasukkan dengan benar, diproses dengan benar, dan menghasilkan output
yang dibutuhkan
9) Information System Library / Perpustakaan Sistem Informasi
Information System Library adalah database perusahaan, file, dan program
yang berada pada area penyimpanan terpisah dimana disimpan dan dikelola oleh
pustakawan sistem
10) Data Control / Kontrol Data
Data Control Group adalah seseorang yang memastikan bahwa sumber data
telah disetujui dengan benar, memantau aliran pekerjaan melalui komputer,
merekonsiliasi input dan output, menangani catatan kesalahan input untuk
memastikan koreksi dan pengiriman ulang, serta mendistribusikan output sistem.

Project Development and Acquisition Controls

 Pengendalian pengembangan sistem yang penting mencakup beberapa hal, antara
lain :
1) Steering Committee
Steering Committee adalah komite tingkat eksekutif untuk memandu,
merencanakan, dan mengawasi pengembangan, fungsi, dan akuisisi sistem
informasi.
2) Strategic Master Plan
Strategic Master Plan adalah rencana proyek yang mencakup waktu
penyelesaian, perangkat keras, perangkat lunak, personel, dan infrastruktur
proyek tersebut dimana dikembangkan dan diperbarui setiap tahun untuk

Halaman 21 dari 51
 menyelaraskan sistem informasi organisasi dengan strategi bisnisnya serta harus
diselesaikan perusahaan untuk mencapai tujuan jangka panjangnya
3) Project Development Plan
Project Development Plan adalah sebuah dokumen yang menunjukkan
bagaimana sebuah proyek harus dilakukan, siapa yang akan melakukannya,
biaya proyek, tanggal penyelesaian, dan pencapaian proyek.
Project Milestones adalah sebuah poin atau titik dimana kemajuan ditinjau dan
waktu penyelesaian aktual dan perkiraan dibandingkan.
4) Data Processing Schedule
Data Processing Schedule adalah jadwal yang menunjukkan kapan setiap tugas
pemrosesan data harus dilakukan.
5) System Performance Measurements
System Performance Measurements adalah suatu cara yang dibuat untuk
mengevaluasi dan menilai suatu sistem. Pengukuran yang umum biasanya
meliputi :
 Throughput
Throughput adalah jumlah pekerjaan atau output yang dilakukan oleh sistem
selama periode waktu tertentu
 Utilization
Utilization adalah persentase waktu dari sistem yang digunakan
 Response Time
Response Time adalah berapa lama waktu yang dibutuhkan atau diperlukan
oleh sistem untuk merespons.
6) Postimplementation Review
Postimplementation Review adalah review atau ulasan yang dilakukan setelah
sistem atau proyek telah selesai beroperasi untuk waktu yang singkat serta
memastikan bahwa sistem atau proyek tersebut telah memenuhi tujuan yang
direncanakan.
 Systems Integrator adalah pihak luar yang disewa untuk mengelola upaya
pengembangan sistem perusahaan dimana melibatkan personel, klien, dan vendor
lainnya.
 Perusahaan yang menggunakan System Integrator harus menggunakan proses dan
kontrol manajemen proyek yang sama dengan proyek internal. Selain itu, mereka
harus :
1) Mengembangkan Spesifikasi yang Jelas
Perusahaan yang menggunakan System Integrator harus mampu
mengembangkan spesifikasi yang jelas dimana termasuk deskripsi yang tepat
dan definisi sistem, tenggat waktu yang eksplisit, serta kriteria penerimaan yang
tepat.
2) Memantau Proyek

Halaman 22 dari 51
 Perusahaan harus menetapkan prosedur formal untuk mengukur dan melaporkan
status proyek dimana pendekatan terbaik adalah dengan membagi proyek
menjadi tugas-tugas yang dapat dikelola, menetapkan tanggung jawab untuk
setiap tugas, dan melakukan pertemuan setiap bulan untuk meninjau kemajuan
dan menilai kualitas.

Change Management Controls

 Organisasi memodifikasi sistem yang ada untuk mencerminkan praktik bisnis baru
dan memanfaatkan kemajuan IT.
 Mereka yang bertanggung jawab atas perubahan harus memastikan bahwa mereka
tidak menimbulkan kesalahan dan memfasilitasi penipuan.

Design and Use of Documents and Records

 Rancangan dan penggunaan yang tepat dari dokumen dan catatan elektronik
membantu memastikan pencatatan yang akurat dan lengkap dari semua data
transaksi yang relevan dimama bentuk dan isinya harus sesederhana mungkin,
meminimalkan kesalahan, dan memfasilitasi peninjauan dan verifikasi.
 Dokumen yang memulai transaksi harus berisi ruang untuk otorisasi dan diberi
nomor secara berurutan sehingga masing-masing dapat dipertanggungjawabkan.
 Jejak audit memfasilitasi penelusuran transaksi individu melalui sistem, mengoreksi
kesalahan, dan memverifikasi keluaran sistem.

Safeguard Assets, Records, and Data

 Karyawan memiliki risiko keamanan yang jauh lebih besar daripada orang luar
karena mereka lebih mampu menyembunyikan tindakan ilegal mereka dan
mengetahui kelemahan sistem yang lebih baik.
 Karyawan juga menyebabkan ancaman yang tidak disengaja seperti menghapus
data perusahaan secara tidak sengaja, membuka lampiran email yang sarat virus,
atau mencoba memperbaiki perangkat keras atau perangkat lunak tanpa keahlian
yang sesuai.
 Setiap perusahaan penting untuk melakukan beberapa hal dalam mengamankan
asset atau data, antara lain :
1) Membuat dan menegakkan kebijakan dan prosedur yang sesuai
Perusahaan perlu membuat kebijakan dan prosedur yang sesuai dengan keadaan
serta menegakkan kebijakan dan prosedur tersebut.
2) Memelihara catatan akurat dari semua asset
Perusahaan harus secara berkala merekonsiliasi jumlah tercatat aset perusahaan
dengan penghitungan fisik aset tersebut.
3) Membatasi akses ke asset

Halaman 23 dari 51
 Perusahaan harus membatasi akses ke area penyimpanan untuk melindungi asset
seperti persediaan dan peralatan.
4) Melindungi catatan dan dokumen
Perusahaan dapat menggunakan area penyimpanan tahan api, lemari arsip
terkunci, file cadangan, dan penyimpanan di luar lokasi untuk melindungi
catatan dan dokumen.

Independent Checks on Performance

 Pemeriksaan independen atas kinerja yang dilakukan oleh orang lain selain orang
yang melakukan operasi awal akan membantu memastikan bahwa transaksi
diproses secara akurat dimana termasuk :
1) Top-Level Reviews / Ulasan Tingkat Atas
Manajemen harus memantau hasil perusahaan dan secara berkala
membandingkan kinerja perusahaan yang sebenarnya dengan kinerja periode
sebelumnya, kinerja pesaing, serta kinerja yang direncanakan dalam anggaran,
target, dan prakiraan.
2) Analytical Reviews / Ulasan Analitis
Analytical Reviews adalah pemeriksaan hubungan antara sekumpulan data yang
berbeda. Contoh : ketika penjualan kredit meningkat, maka piutang dagang juga
meningkat sehingga terdapat hubungan antara penjualan dan akun seperti harga
pokok penjualan, persediaan, dan freight out.
3) Rekonsiliasi Catatan yang Dipelihara secara Independen
Catatan harus direkonsiliasi dengan dokumen atau catatan dengan saldo yang
sama. Contoh : rekonsiliasi bank memverifikasi saldo rekening giro sesuai
dengan saldo laporan bank atau membandingkan total buku besar pembantu
dengan total buku besar umum.
4) Perbandingan Jumlah Aktual dengan Jumlah Tercatat
Aset yang signifikan secara berkala dihitung dan direkonsiliasi ke catatan
perusahaan. Contoh : Uang tunai di laci mesin kasir harus sesuai dengan jumlah
pada pita mesin kasir, atau persediaan harus dihitung secara berkala dan
direkonsiliasi dengan catatan persediaan.
5) Double-Entry Accounting
6) Debit dalam entri penggajian dapat dialokasikan ke banyak akun persediaan
dan/atau pengeluaran; sedangkan kredit dialokasikan ke akun kewajiban untuk
hutang upah, pajak yang dipotong, asuransi karyawan, dan iuran serikat pekerja.
Perusahaan perlu membandingkan total debit dan kredit untuk memeriksa
keakuratan dan mengetahui ketika terjadi kesalahan.
7) Independent Review / Peninjauan Independen

Halaman 24 dari 51
 Perusahaan harus meninjau pekerjaan, memeriksa otorisasi yang tepat, meninjau
dokumen pendukung, serta memeriksa keakuratan harga, jumlah, dan
perpanjangan.

Communicate Information and Monitor Control Processes

Information and Communication
 Sistem informasi dan komunikasi harus menangkap dan bertukar informasi yang
dibutuhkan untuk melakukan, mengelola, dan mengendalikan operasi organisasi.
 Sistem Informasi Akuntansi bertujuan untuk mengumpulkan, merekam,
memproses, menyimpan, meringkas, dan mengkomunikasikan informasi tentang
suatu organisasi dimana termasuk memahami bagaimana transaksi dimulai, data
ditangkap, file diakses dan diperbarui, data diproses, serta informasi dilaporkan
 Audit Trail adalah jalur yang memungkinkan transaksi ditelusuri dan dilacak
melalui sistem pemrosesan data dari titik asal ke output atau mundur dari
outputbolak-balik antara asalnya dan laporan keuangan.
 Kerangka kerja IC yang diperbarui menetapkan bahwa terdapat tiga prinsip yang
berlaku untuk proses informasi dan komunikasi, antara lain :
1) Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi
untuk mendukung pengendalian internal.
2) Mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung
jawab yang diperlukan untuk mendukung komponen pengendalian internal
lainnya.
3) Mengkomunikasikan masalah pengendalian internal yang relevan kepada pihak
eksternal.

Monitoring
 Sistem pengendalian internal yang dipilih atau dikembangkan harus terus dipantau,
dievaluasi, dan dimodifikasi sesuai kebutuhan dimana setiap kekurangan harus
dilaporkan kepada manajemen senior dan dewan direksi.
 Beberapa metode utama pemantauan kinerja, antara lain :

Melakukan Evaluasi Pengendalian Internal

 Efektivitas pengendalian internal diukur dengan menggunakan evaluasi formal atau
self-assessment.
 Sebuah tim dapat dibentuk untuk melakukan evaluasi atau dapat dilakukan dengan
audit internal.

Melaksanakan Pengawasan yang Efektif

Halaman 25 dari 51
 Pengawasan yang efektif melibatkan pelatihan dan membantu karyawan, memantau
kinerja mereka, memperbaiki kesalahan, dan mengawasi karyawan yang memiliki
akses ke aset.
 engawasan sangat penting dalam organisasi tanpa pelaporan tanggung jawab atau
pemisahan tugas yang memadai.

Menggunakan Sistem Akuntansi yang Bertanggung Jawab

 Sistem akuntansi yang bertanggung jawab meliputi anggaran, kuota, jadwal,
standar biaya, standar kualitas, laporan yang membandingkan kinerja aktual dan
yang direncanakan, serta prosedur untuk menyelidiki dan mengoreksi varians yang
signifikan.

Monitor System Activities

 Analisis risiko dan paket perangkat lunak manajemen meninjau langkah-langkah
keamanan komputer dan jaringan, mendeteksi akses ilegal, menguji kelemahan dan
kerentanan, melaporkan kelemahan yang ditemukan, dan menyarankan perbaikan.
 Parameter biaya dapat dimasukkan untuk menyeimbangkan tingkat toleransi risiko
dan efektivitas biaya yang dapat diterima.
 Perangkat lunak juga memantau dan memerangi virus, spyware, adware, spam,
phishing, email yang tidak pantas, memblokir iklan pop-up, mencegah browser
dibajak, dan memvalidasi ID penelepon dengan membandingkan suara penelepon
dengan rekaman suara sebelumnya.
 Perusahaan yang memantau aktivitas sistem tidak boleh melanggar privasi
karyawan dimana dapat dilakukan dengan meminta karyawan menyetujui secara
tertulis kebijakan tertulis yang mencakup hal-hal berikut:
1) Teknologi yang digunakan karyawan dalam pekerjaan adalah milik perusahaan.
2) Email yang diterima di komputer perusahaan tidak bersifat pribadi dan dapat
dibaca oleh personel pengawas dimana memungkinkan perusahaan farmasi besar
untuk mengidentifikasi dan memberhentikan seorang karyawan yang
mengirimkan data rahasia drug-manufacturing melalui email ke pihak eksternal.
3) Karyawan tidak boleh menggunakan teknologi untuk berkontribusi pada
lingkungan kerja yang tidak bersahabat

Melacak Perangkat Lunak dan Perangkat Seluler yang Dibeli

 Business Software Alliance (BSA) melacak dan mendenda perusahaan yang
melanggar perjanjian lisensi perangkat lunak.
 Perusahaan harus melakukan audit perangkat lunak secara berkala untuk mematuhi
hak cipta dan melindungi diri mereka dari tuntutan hukum pembajakan perangkat
lunak

Halaman 26 dari 51
 Melakukan Audit secara Berkala
 Eksternal, internal, dan keamanan jaringan dapat menilai dan memantau risiko serta
mendeteksi penipuan dan kesalahan.
 Perusahaan perlu memberi tahu karyawan bahwa audit akan membantu
menyelesaikan masalah privasi, mencegah penipuan, dan mengurangi kesalahan.
 Auditor harus secara teratur menguji kontrol sistem dan secara berkala menelusuri
file penggunaan sistem untuk mencari aktivitas yang mencurigakan.

Mempekerjakan Computer Security Officer dan Chief Compliance Officer

 Computer Security Officer (CSO) adalah seorang karyawan independen dari
fungsi sistem informasi yang bertanggung jawab dalam memantau sistem,
menyebarkan informasi tentang penggunaan sistem yang tidak tepat dan
konsekuensinya, serta melapor kepada manajemen puncak.
 Chief Compliance Officer (CCO) adalah seorang karyawan yang bertanggung
jawab atas seluruh tugas kepatuhan yang terkait dengan SOX dan undang-undang
serta peraturan lainnya

Melibatkan Spesialis Forensik

 Forensic Investigators adalah individu yang berspesialisasi dalam penipuan
dimana sebagian besar memiliki pelatihan khusus dengan lembaga penegak hukum
seperti FBI atau IRS serta memiliki sertifikasi professional seperti Certified Fraud
Examiner (CFE)
 Computer Forensics Specialists adalah pakar computer yang menemukan,
mengekstrak, menjaga, dan mendokumentasikan bukti komputer sedemikian rupa
sehingga keaslian, akurasi, dan integritasnya tidak akan tunduk pada tantangan
hukum.

Menginstall Perangkat Lunak Pendeteksi Kecurangan

 Penipu mengikuti pola yang berbeda dan meninggalkan petunjuk yang dapat
ditemukan oleh perangkat lunak pendeteksi penipuan.
 Neural Networks adalah sistem komputasi yang meniru proses pembelajaran otak
dengan menggunakan jaringan prosesor yang saling berhubungan yang melakukan
beberapa operasi secara bersamaan dan berinteraksi secara dinamis

Melaksanakan Fraud Hotline

 Orang yang menyaksikan perilaku kecurangan seringkali terbelah antara dua
perasaan yang saling bertentangan.
 Meskipun mereka ingin melindungi aset perusahaan dan melaporkan pelaku
penipuan, mereka tidak nyaman untuk mengadukannya sehingga mereka pun akan
tetap diam.

Halaman 27 dari 51
  Keengganan ini semakin kuat jika mereka mengetahui pelapor yang telah
dikucilkan, dianiaya, atau mengalami kerusakan pada kariernya.

JAWAB:
COSO Principle (s).
Internal Control COSO
No. Event Write-down the Recommendation(s)
Weakness (s) Component (s)
number(s)
1 Shift supervisor Kurangnya Control 6. Commitment to Disarankan agar ada
mengambil dokumentasi dan Environment Integrity and Ethics prosedur tertulis untuk
uang tunai di pelacakan terhadap penerimaan dan
awal shift tanpa uang tunai awal pengembalian uang
pencatatan (float). tunai awal shift
tertulis. dengan pencatatan
yang jelas.
2 Tidak ada Kurangnya Control 10. Selecting and Disarankan untuk
pengendalian pembatasan akses Activities Developing Control memasang laci kas
yang membatasi fisik terhadap uang Activities yang terkunci atau
akses pegawai tunai di laci kas. mengimplementasikan
ke dalam laci kebijakan akses
kas. terbatas untuk
mengurangi risiko
pencurian uang tunai.
3 Tidak ada Tidak adanya Control 11. Performing Disarankan untuk
verifikasi pengawasan Activities Control Activities memiliki seorang
independen independen atas pegawai yang
terhadap aktivitas uang tunai. independen
penerimaan dan melakukan
pengeluaran pemeriksaan dan
uang tunai. rekonsiliasi berkala
terhadap laci kas dan
catatan penjualan.
4 Pembayaran Kurangnya Control 11. Performing Disarankan untuk
dengan cek pengendalian dalam Activities Control Activities memeriksa setiap cek
tidak memiliki proses menerima cek. terhadap daftar
validasi pelanggan yang
terhadap "black pernah melakukan cek
list" pelanggan buruk sebelum
yang melakukan menerima
cek buruk. pembayaran.
5 Pemantauan Ketidakcukupan Monitoring 16. Monitoring Disarankan untuk

Halaman 28 dari 51
 COSO Principle (s).
Internal Control COSO
No. Event Write-down the Recommendation(s)
Weakness (s) Component (s)
number(s)
terhadap kinerja dalam pemantauan Activities melaksanakan audit
kasir tidak aktivitas kasir sehari- internal secara berkala
mencakup hari. yang mencakup
pemeriksaan pemeriksaan
penjualan dan penjualan dan
aktivitas uang aktivitas uang tunai
tunai secara kasir secara acak.
teratur.
6 Penugasan Tidak ada penugasan Control 1. Komitmen Rekomendasikan
Kasir kasir ke kasir tertentu Environment terhadap integritas untuk
dan etika mempertimbangkan
penugasan kasir ke
kasir tertentu untuk
meningkatkan
pengendalian dan
akuntabilitas.
7 Pengawasan Tidak ada Control 2. Pengawasan Sarankan adanya
Float pengawasan yang Environment pengendalian internal pengawasan yang
cukup atas uang oleh dewan direksi, lebih ketat terhadap
"float" kasir independen dari uang "float" kasir
manajemen untuk mencegah
potensi
penyalahgunaan.
8 Penerimaan Cek Tidak ada verifikasi Control 10. Memilih dan Rekomendasikan
yang cukup untuk cek Activities mengembangkan untuk memeriksa dan
yang diterima aktivitas memverifikasi cek
pengendalian yang dengan lebih cermat,
sesuai termasuk
mencocokkan dengan
daftar pelanggan
"hitam".

Halaman 29 dari 51
 COSO Principle (s).
Internal Control COSO
No. Event Write-down the Recommendation(s)
Weakness (s) Component (s)
number(s)
9 Rekonsiliasi Tidak ada proses yang Monitoring 16. Memilih, Sarankan untuk
Kas jelas untuk mengembangkan, dan memperkenalkan
rekonsiliasi kas secara melakukan evaluasi proses rekonsiliasi kas
teratur berkelanjutan secara teratur dan
komponen dokumentasi yang
pengendalian internal terkait.

10 Pemantauan Tidak ada evaluasi Monitoring 17. Mengevaluasi dan Rekomendasikan

Kinerja yang memadai mengkomunikasikan untuk melakukan
terhadap kinerja kasir ketidakcukupan evaluasi kinerja kasir
dan pengendalian dan pengendalian
internal internal secara teratur
dan melaporkan
hasilnya.

2. Pertemuan 7
TEORI
Introduction
 Trust Services Framework mengatur kontrol terkait IT ke dalam lima prinsip yang
secara bersama-sama berkontribusi pada keandalan sistem, antara lain :
1) Security / Keamanan
Prinsip ini melibatkan akses secara fisik maupun logis ke sistem dimana data
dikendalikan dan dibatasi untuk pengguna yang sah.
2) Confidentialityt / Kerahasiaan
Prinsip ini melibatkan informasi organisasi yang sensitif seperti rencana
pemasaran, rahasia dagang dimana dilindungi dari pengungkapan yang tidak
sah.
3) Privacy / Privasi
Prinsip ini melibatkan informasi personel tentang pelanggan, karyawan,
pemasok, atau mitra bisnis yang dikumpulkan, digunakan, diungkapkan, dan
dipelihara sesuai dengan kebijakan internal dan persyaratan peraturan eksternal
serta dilindungi dari pengungkapan yang tidak sah.
4) Processing Integrity / Integritas Pemrosesan
Prinsip ini melibatkan data yang diproses secara akurat, lengkap, tepat waktu,
dan hanya dengan otorisasi yang tepat.
5) Availability / Ketersediaan

Halaman 30 dari 51
 Prinsip ini melibatkan sistem dan informasi yang tersedia untuk memenuhi
kewajiban operasional dan kontrak.

Figure 8.1 – Relationships Among the Five Trust Services Principles for Systems
Reliability

Two Fundamental Information Security Concepts

Keamanan adalah Masalah Manajemen, Bukan Hanya Masalah Teknologi
 Meskipun keamanan informasi yang efektif memerlukan penyebaran alat teknologi
seperti firewall, antivirus, dan enkripsi tetapi keterlibatan dan dukungan manajemen
senior di seluruh Security Life Cycle sangat penting untuk keberhasilan.

Figure 8.2 – The Security Life Cycle

Halaman 31 dari 51
 Langkah-langkah dalam Security Life Cycle, antara lain :
1) Assess Threats and Select Risk Response
Perusahaan harus menilai dan mengidentifikasi potensi ancaman terkait
keamanan informasi yang dihadapi organisasi dan memilih respons yang sesuai.
2) Develop and Communicate Policy
Perusahaan harus mengembangkan kebijakan keamanan informasi dan
menyampaikannya kepada semua karyawan. Manajemen senior harus
berpartisipasi dalam mengembangkan kebijakan karena mereka harus
memutuskan sanksi yang diberikan untuk ketidakpatuhan.
3) Acquire and Implement Solutions
Manajemen senior harus mengizinkan investasi sumber daya yang diperlukan
untuk mengurangi ancaman yang diidentifikasi dan mencapai tingkat keamanan
yang diinginkan.
4) Monitor Performance
Perusahaan harus melakukan pemantauan kinerja secara berkala untuk
mengevaluasi efektivitas program keamanan informasi organisasi..

Model Keamanan Informasi Berbasis Waktu

 Time-Based Model of Information Security bertujuan untuk menggunakan dan
menerapkan kombinasi kontrol preventif, detektif, dan korektif yang melindungi
aset informasi cukup lama dimana memungkinkan organisasi untuk mendeteksi dan
mengenali bahwa serangan sedang terjadi serta untuk mengambil langkah tepat
waktu dalam menggagalkan serangan sebelum informasi tersebut hilang atau
dikompromikan.
 Model keamanan informasi berbasis waktu dapat dinyatakan dalam rumus berikut:
P > D + R , dimana :
P = Waktu yang dibutuhkan penyerang untuk menerobos berbagai control
yang melindungi asset informasi organisasi
D = Waktu yang dibutuhkan organisasi untuk mendeteksi bahwa serangan
sedang berlangsung
R = Waktu yang dibutuhkan untuk merespon dan menghentikan serangan
 Jika persamaan terpenuhi atau benar maka prosedur keamanan informasi organisasi
telah efektif, tetapi jika tidak terpenuhi atau tidak benar maka prosedur keamanan
informasi organisasi tidak efektif
 Defense-in-Depth adalah strategi yang digunakan untuk memenuhi tujuan model
keamanan berbasis waktu dengan menggunakan beberapa lapisan kontrol untuk
menghindari satu titik kegagalan.

Understanding Targeted Attacks

Halaman 32 dari 51
 Langkah-langkah dasar yang digunakan penjahat untuk menyerang sistem
informasi organisasi, antara lain :
1) Conduct Reconnaissance / Melakukan Pengintaian
Penyerang komputer biasanya akan mulai dengan mengumpulkan informasi
tentang target mereka seperti membaca dengan teliti laporan keuangan
organisasi, pengajuan Securities and Exchange Commission (SEC), situs web ,
dan siaran pers yang dapat menghasilkan banyak informasi berharga dimana
bertujuan utnuk mempelajari sebanyak mungkin tentang target dan
mengidentifikasi potensi kerentanan.
2) Attempt Social Engineering
Penyerang biasanya akan mencoba menggunakan informasi yang diperoleh
selama pengintaian awal mereka untuk menipu karyawan yang tidak curiga agar
memberi mereka akses. Social Engineering adalah suatu tindakan dalam
menggunakan penipuan untuk mendapatkan akses yang tidak sah ke sumber
daya manusia. Social Engineering biasanya terjadi melalui telepon. berpura-pura
sebagai karyawan untuk meminta bantuan, email, menyebarkan drive USB, dan
lain sebagainya.
3) Scan and Map the Target / Memindai dan Memetakan Target
Jika penyerang tidak berhasil menembus sistem target melalui rekayasa sosial,
maka biasanya penyerang akan melakukan pengintaian yang lebih rinci untuk
mengidentifikasi titik-titik potensial dari entri jarak jauh. Penyerang
menggunakan berbagai alat otomatis untuk mengidentifikasi komputer yang
dapat diakses dari jarak jauh dan jenis perangkat lunak yang dijalankan.
4) Research / Penelitian
Setelah penyerang mengidentifikasi target spesifik dan mengetahui versi
perangkat lunak yang digunakan, maka penyerang akan melakukan penelitian
untuk menemukan kemampuan kerentanan yang diketahui untuk program
tersebut dan mempelajari cara memanfaatkan kerentanan tersebut.
5) Execute the Attack / Menjalankan Serangan
Penyerang mengambil keuntungan dari kerentanan untuk mendapatkan akses
tidak sah ke sistem informasi target.
6) Cover Tracks / Menutupi Jejak
Setelah menembus sistem informasi korban, penyerang biasanya akan berusaha
menutupi jejak mereka dan membuat pintu belakang yang dapat digunakan
untuk mendapatkan akses ketika serangan awal mereka ditemukan dan kontrol
diterapkan untuk memblokir metode masuk tersebut.

Protecting Information Resources

Tabel 8.1 – Kontrol Preventif, Detektif, dan Korektif yang Digunakan untuk
Memenuhi Model Keamanan Berbasis Waktu

Halaman 33 dari 51
 Komponen Model
Contoh
Berbasis Waktu
 Orang-orang
o Penciptaan budaya kewaspadaan terhadap keamanan
o Pelatihan
 Proses: Kontrol akses pengguna (Authentication dan
Authorization)
 Proses: Pengujian Penetrasi
 Proses: Mengubah kontrol dan mengubah manajemen
Protection /
 Solusi IT
Perlindungan
o Anti-malware
o Kontrol akses jaringan (Firewall, Intrusion Prevention
Systems, dan sebagainya)
o Pengerasan perangkat keras dan perangkat lunak (kontrol
konfigurasi)
o Enkripsi
 Keamanan fisik: kontrol akses (kunci, penjaga, dan sebagainya)
 Analisis log
Detection / Deteksi  Intrusion Detection Systems
 Pemantauan terus menerus
 Computer Incident Response Teams (CIRT)
Response / Tanggapan
 Chief Information Security Officer (CISO)

Figure 8.3 – Various Preventive Controls : Pieces of the Security Puzzle

Halaman 34 dari 51
People : Creation of a “Security-Conscious” Culture
 Dalam menciptakan budaya kesadaran akan keamanan dimana karyawan mematuhi
kebijakan organisasi, maka manajemen puncak harus mengkomunikasikan
kebijakan keamanan organisasi tersebut serta memberikan contohnya.
 Karyawan biasanya akan lebih mematuhi kebijakan keamanan informasi ketika
mereka melihat manajer mereka melakukan kebijakan tersebut.

People : Training
 Semua karyawan perlu dilatih untuk mengikuti praktik komputasi yang aman,
seperti tidak pernah membuka lampiran email yang tidak diminta, hanya
menggunakan perangkat lunak yang disetujui, tidak membagikan kata sandi, dan
mengambil langkah untuk melindungi laptop secara fisik.
 Pelatihan juga diperlukan untuk mendidik karyawan tentang serangan rekayasa
social seperti tidak membocorkan kata sandi atau informasi lain tentang akun
mereka kepada siapa pun yang menghubungi mereka melalui telepon, email, atau
pesan instan dan mengklaim sebagai bagian dari fungsi keamanan sistem informasi
organisasi.
 Pelatihan kesadaran keamanan juga penting untuk manajemen senior karena dalam
beberapa tahun terakhir banyak serangan rekayasa social seperti spear phishing
telah ditargetkan kepada manajemen senior

Process : User Access Controls

 Perusahaan perlu menerapkan seperangkat kontrol yang dirancang untuk
melindungi aset informasi mereka dari penggunaan dan akses yang tidak sah oleh
karyawan.
 Praktik manajemen COBIT 5 DSS05.04 menekankan perlunya kontrol untuk
mengelola identitas pengguna dan akses logis sehingga memungkinkan untuk
mengidentifikasi secara unik setiap orang yang mengakses sistem informasi
organisasi dan melacak tindakan yang dilakukan dimana melibatkan penggunaan
dua jenis kontrol, antara lain :

Focus 8.1 – Effectiveness of Passwords as Authentication Credentials

 Efektivitas menggunakan kata sandi sebagai kredensial otentikasi bergantung pada
beberapa faktor, antara lain :
1) Length / Panjang
Kekuatan kata sandi biasanya berhubungan langsung dengan tingkat panjangnya
kata sandi tersebut dimana semakin panjang, maka akan semakin baik.
2) Multiple Character Types / Beberapa Jenis Karakter

Halaman 35 dari 51
 Kata sandi yang efektif biasanya menggunakan campuran huruf besar dan kecil
alfabet, numerik, dan karakter khusus sehingga meningkatkan kekuatan kata
sandi.
3) Randomness / Keacakan
Kata sandi yang efektif tidak boleh mudah ditebak sehingga tidak boleh
menggunakan kata sandi yang umum, berurutan, dan sebagainya
4) Changed Frequently / Sering Berubah
Kata sandi harus diubah secara berkala sehingga pengguna harus mengubah kata
sandi mereka setidaknya setiap 90 hari.
5) Kept Secret / Dirahasiakan
Kata sandi harus dapat dirahasiakan secara efektif dan merahasiakannya dari
orang-orang bahkan orang terdekat.

Authentication Controls
 Authentication adalah proses verifikasi identitas seseorang atau perangkat yang
mencoba mengakses ke dalam sistem dimana bertujuan untuk memastikan bahwa
hanya pengguna yang sah yang dapat mengakses sistem.
 Tiga jenis kredensial dapat digunakan untuk memverifikasi identitas seseorang,
antara lain :
1) Sesuatu yang diketahui orang tersebut seperti kata sandi atau Personal
Identification Number (PIN)
2) Sesuatu yang dimiliki orang tersebut seperti kartu pintar atau lencana ID
3) Biometric Identifier, yaitu karakteristik fisik atau perilaku yang digunakan
sebagai kredensial otentikasi seperti sidik jari atau pola pengetikan.
 Multifactor Authentication adalah penggunaan dua atau lebih jenis kredensial
otentikasi secara bersamaan untuk mencapai tingkat keamanan yang lebih besar
 Multimodal Authentication adalah penggunaan beberapa kredensial otentikasi
dari jenis yang sama untuk mencapai tingkat keamanan yang lebih besar.

Authorization Controls
 Authorization adalah proses membatasi akses pengguna yang diautentikasi ke
bagian tertentu dari sistem dan membatasi tindakan apa yang diizinkan untuk
mereka lakukan dimana bertujuan untuk menyusun hak dan hak istimewa karyawan
individu dengan cara menetapkan dan mempertahankan pemisahan tugas yang
memadai.
 Access Control Matrix adalah suatu tabel yang digunakan untuk
mengimplementasikan kontrol otorisasi
 Compatibility Test adalah suatu tindakan yang dilakukan untuk mencocokkan
kredensial otentikasi pengguna dengan matriks control akses untuk menentukan

Halaman 36 dari 51
 apakah karyawan tersebut diizinkan mengakses sumber daya tersebut dan
melakukan tindakan yang diminta

Figure 8.4 – Example of an Access Control Matrix

Figure 8.5 – Implementing Authorization Controls in an ERP System

Process : Penetration Testing

 Penetration Test adalah upaya resmi oleh tim audit internal atau perusahaan
konsultan keamanan eksternal untuk masuk ke sistem informasi organisasi dimana
digunakan untuk menguji efektivitas keamanan informasi organisasi.

Process : Change Controls and Change Management

 Change Control and Change Management adalah proses formal yang digunakan
untuk memastikan bahwa modifikasi perangkat keras, perangkat lunak, atau proses
tidak mengurangi keandalan sistem.

Halaman 37 dari 51
 Perusahaan dengan manajemen perubahan dan proses kontrol perubahan yang baik
akan menghasilkan kinerja operasi yang lebih baik, mengurangi masalah yang
harus diperbaiki, serta memberikan biaya yang lebih rendah.
 Karakteristik Proses Change Controls and Change Management yang baik, antara
lain :
1) Mendokumentasikan semua permintaan perubahan serta mengidentifikasi sifat
perubahan, alasan, tanggal permintaan, dan hasil permintaan.
2) Persetujuan terdokumentasi dari semua permintaan perubahan oleh tingkat
manajemen yang sesuai untuk memastikan bahwa perubahan yang diusulkan
konsisten dengan rencana strategis jangka panjang organisasi.
3) Pengujian semua perubahan dalam sistem yang terpisah dan bukan yang
digunakan untuk proses bisnis sehari-hari.
4) Kontrol konversi untuk memastikan bahwa data ditransfer secara akurat dan
lengkap dari sistem lama ke sistem baru.
5) Memperbarui semua dokumentasi seperti instruksi program, deskripsi sistem,
manual prosedur, dan sebagainya untuk mencerminkan perubahan yang baru
diterapkan.
6) Proses khusus untuk peninjauan, persetujuan, dan dokumentasi dilakukan segera
setelah krisis secara praktis dimana seluruh perubahan darurat perlu dicatat
untuk memberikan jejak audit.
7) Pengembangan dan dokumentasi rencana "backout" untuk memfasilitasi
pengembalian ke konfigurasi sebelumnya jika perubahan baru menimbulkan
masalah yang tidak terduga.
8) Pemantauan dan peninjauan yang cermat terhadap hak dan hak pengguna selama
proses perubahan untuk memastikan bahwa pemisahan tugas yang tepat
dipertahankan.

IT Solutions : Antimalware Controls

 Malware seperti virus, worm, perangkat lunak keystroke logging, dan sebagainya
merupakan ancaman utama karena dapat merusak atau menghancurkan informasi
serta menyediakan sarana untuk akses yang tidak sah.
 COBIT 5 bagian DSS05.01 mencantumkan beberapa rekomendasi dalam
melakukan perlindungan terhadap malware, antara lain :
1) Pendidikan kesadaran terkait perangkat lunak berbahaya
2) Pemasangan alat perlindungan antimalware di semua perangkat
3) Manajemen tambalan dan pembaruan terpusat untuk perangkat lunak
antimalware
4) Tinjauan berkala terhadap ancaman malware baru
5) Memfilter lalu lintas masuk untuk memblokir potensi sumber malware

Halaman 38 dari 51
 6) Melatih karyawan untuk tidak menginstal perangkat lunak yang dibagikan atau
tidak disetujui

IT Solutions : Network Access Controls

 Sebagian besar organisasi menyediakan akses jarak jauh kepada karyawan,
pelanggan, dan pemasok ke sistem informasi mereka dimana biasanya melalui
Internet, jaringan pribadi, atau akses dial-up langsung melalui modem.

Perimeter Defense : Router, Firewalls, and Intrusion Prevention Systems

 Border Router adalah suatu perangkat yang menghubungkan sistem informasi
organisasi atau perusahaan ke Internet.
 Firewall adalah perangkat keras atau perangkat lunak tujuan khusus yang
menjalankan tujuan umum computer dimana mengontrol komunikasi inbound dan
outbound antara sistem di belakang firewall dan jaringan lain.
 Demilitarized Zone (DMZ) adalah jaringan terpisah yang terletak di luar sistem
informasi internal organisasi yang memungkinkan akses terkontrol dari Internet ke
sumber daya yang dipilih seperti server web organisasi.
 Router adalah perangkat tujuan khusus yang dirancang untuk membaca sumber
dan alamat tujuan bidang dalam header paket IP untuk memutuskan ke mana harus
mengirim atau merutekan paket berikutnya.
Figure 8.6 – Example Organizational Network Architecture

Halaman 39 dari 51
Figure 8.7 – How Files are Broken Into Packets to be Sent Over Networks and
Then Reassembled by the Receiving Device

Controlling Access by Filtering Packets

 Access Control List (ACL) adalah seperangkat aturan IF-THEN yang digunakan
untuk menentukan apa yang harus dilakukan dengan paket yang tiba.
 Packet Filtering adalah proses yang menggunakan berbagai bidang dalam header IP
dan TCP paket untuk memutuskan apa yang harus dilakukan dengan paket tersebut
 Deep Packet Inspection adalah suatu proses yang memeriksa data dalam tubuh
paket TCP untuk mengontrol lalu lintas daripada hanya melihat informasi di header
IP dan TCP

Halaman 40 dari 51
 Intrusion Prevention Systems (IPS) adalah perangkat lunak atau perangkat keras
yang memantau pola dalam arus lalu lintas untuk mengidentifikasi dan memblokir
serangan secara otomatis.

Using Defense-in-Depth to Restrict Network Access

 Sebagian besar organisasi menggunakan border router untuk dengan cepat
menyaring paket yang buruk dan meneruskan sisanya ke firewall utama.
 Firewall utama melakukan pemeriksaan lebih rinci dan kemudian firewall lain
melakukan pemeriksaan paket mendalam untuk lebih melindungi perangkat tertentu
 IPS memantau lalu lintas yang dilewati firewall untuk mengidentifikasi dan
memblokir pola lalu lintas jaringan yang mencurigakan.

Securing Wireless Access

 Banyak organisasi menyediakan akses nirkabel ke sistem informasi mereka karena
nyaman dan mudah tetapi juga menyediakan tempat lain untuk menyerang dan
memperluas batas yang harus dilindungi
 Beberapa prosedur untuk mengamankan akses nirkabel secara memadai, antara lain
:
1) Mengaktifkan fitur keamanan yang tersedia karena sebagian besar peralatan
nirkabel dijual dan dipasang dengan fitur keamanan yang dinonaktifkan.
2) Mengotentikasi semua perangkat yang mencoba membangun akses nirkabel ke
jaringan sebelum menetapkan alamat IP kepada mereka.
3) Mengkonfigurasikan semua perangkat nirkabel resmi untuk beroperasi hanya
dalam mode infrastruktur yang memaksa perangkat hanya terhubung ke titik
akses nirkabel.
4) Menggunakan nama yang tidak informatif untuk alamat titik akses yang disebut
Service Set Identifier (SSID).
5) Mengurangi kekuatan siaran titik akses nirkabel, meletakkan di bagian dalam
gedung, dan menggunakan antena pengarah untuk membuat penerimaan yang
tidak sah di luar lokasi menjadi lebih sulit.
6) Mengenkripsi semua lalu lintas nirkabel untuk melindungi kerahasiaan dan
privasi komunikasi nirkabel

IT Solutions : Device and Software Hardening Controls

 Suatu organisasi dapat meningkatkan keamanan sistem informasi dengan
melengkapi kontrol pencegahan pada perimeter jaringan dengan kontrol
pencegahan tambahan pada workstation, server, printer, dan perangkat lain yang
membentuk jaringan organisasi.
 Endpoints adalah suatu istilah kolektif untuk stasiun kerja, server, printer, dan
perangkat lain yang mencakup jaringan organisasi

Halaman 41 dari 51
  COBIT 5 DSS05.03 menjelaskan aktivitas dalam mengelola keamanan endpoints
dimana mencakup tiga area yang perlu diperhatian yaitu konfigurasi endpoints,
manajemen akun pengguna, dan desain perangkat lunak.

Endpoint Configuration
 Vulnerabilities adalah suatu kecacatan dalam program yang dapat dieksploitasi
untuk merusak sistem atau mengendalikannya.
 Vulnerability Scanners adalah suatu alat otomatis yang dirancang untuk
mengidentifikasi apakah sistem tertentu memiliki program yang tidak digunakan
dan tidak diperlukan yang mewakili potensi ancaman keamanan.
 Exploit adalah suatu program yang dirancang untuk memanfaatkan kerentanan
yang telah diketahui
 Patch adalah suatu kode yang dirilis oleh pengembang perangkat lunak yang
memperbaiki kerentanan tertentu.
 Patch Management adalah proses penerapan tambalan dan pembaruan perangkat
lunak secara teratur.
 Hardening adalah proses memodifikasi konfigurasi default titik akhir untuk
menghilangkan pengaturan dan layanan yang tidak diperlukan

Focus 8.2 – Secure Configuration of Mobile Devices

Masalah Ancaman Solusi
Mengharuskan karyawan untuk mengonfigurasi perangkat
seluler pribadi apa pun yang ingin mereka gunakan untuk
Akses tidak
Otentikasi terhubung ke jaringan perusahaan agar menggunakan kata
sah ke
lemah atau sandi yang memenuhi kebijakan kata sandi perusahaan
jaringan
tidak ada untuk otentikasi serta mengkonfigurasikan perangkat untuk
perusahaan
menutupi bidang kata sandi dan untuk mengaktifkan kunci
layar setelah periode tidak aktif yang lama.
Kegagalan Mewajibkan karyawan untuk mengaktifkan enkripsi kapan
mengenkripsi pun menggunakan perangkat seluler mereka untuk
Eavesdropping
transmisi mengirimkan informasi sensitif perusahaan dan
sensitif memberikan pelatihan tentang cara melakukannya
Menyediakan perangkat lunak keamanan karyawan
Ancaman:
(antivirus dan firewall) dan meminta mereka untuk
infeksi yang
menginstalnya di perangkat seluler apa pun yang akan
dapat
Malware digunakan untuk mengakses jaringan perusahaan serta
menyebar ke
melatih juga karyawan untuk memperbarui perangkat
jaringan
lunak keamanan dan sistem operasi perangkat secara
perusahaan
berkala.
Kehilangan Akses tidak Mengaktifkan enkripsi data yang disimpan serta

Halaman 42 dari 51
 sah ke data mengkonfigurasikan perangkat untuk dinonaktifkan dari
atau pencurian sensitif pada jarak jauh jika hilang atau dicuri.
perangkat
Mengembangkan kebijakan komprehensif untuk
Penggunaan Peningkatan penggunaan perangkat seluler yang aman, melatih
yang tidak risiko insiden karyawan tentang kebijakan tersebut, serta memantau
aman keamanan kepatuhan dan menerapkan sanksi yang sesuai untuk
pelanggaran kebijakan.

User Account Management

 COBIT 5 DSS05.04 menekankan untuk mengelola semua akun pengguna dengan
hati-hati terutama akun yang memiliki hak administratif tidak terbatas pada
komputer tersebut.
 Hak administratif diperlukan untuk menginstal perangkat lunak dan mengubah
sebagian besar pengaturan konfigurasi.
 Setiap pengguna perlu mengubah kata sandi default pada semua akun administratif
yang dibuat selama instalasi awal perangkat lunak atau perangkat keras karena kata
sandi default memberikan kemudahan bagi penyerang komputer.

Software Design
 Beberapa contoh umum serangan terhadap perangkat lunak yang berjalan di situs
web adalah Buffer Overflows, SQL Injection, dan Cross-Site Scripting
 Seluruh serangan mengeksploitasi perangkat lunak yang ditulis dengan buruk dan
tidak memeriksa input secara menyeluruh yang diberikan pengguna sebelum
diproses lebih lanjut.

IT Solutions : Encryption
 Enkripsi menyediakan lapisan pertahanan terakhir untuk mencegah akses tidak
resmi ke informasi sensitif
 Enkripsi melindungi kerahasiaan informasi organisasi dan privasi informasi pribadi
yang dikumpulkan dari pelanggan, karyawan, dan mitra bisnis.

Physical Security : Access Controls

 Pengendalian dan kontrol atas akses fisik sangat penting karena penyerang yang
terampil hanya membutuhkan beberapa menit akses fisik langsung tanpa
pengawasan untuk melewati kontrol keamanan yang tersedia di perusahaan
 Penyerang dengan akses fisik yang tidak diizinkan dapat dengan mudah menghapus
hard-drive atau bahkan mencuri seluruh komputer

Detecting Attacks

Halaman 43 dari 51
Log Analysis
 Log Analysis adalah proses pemeriksaan log untuk mengidentifikasi bukti
kemungkinan terjadinya suatu serangan.
 Log Analysis sangat penting untuk menganalisis log dari upaya yang gagal untuk
masuk ke sistem dan upaya yang gagal untuk mendapatkan akses ke sumber daya
informasi tertentu.

Figure 8.8 – Example of a System Log

Intrusion Detection Systems

 Intrusion Detection Systems (IDS) adalah sebuah sistem yang terdiri dari
serangkaian sensor dan unit pemantauan pusat yang membuat log dari seluruh lalu
lintas jaringan yang diizinkan untuk melewati firewall dan kemudian menganalisis
log tersebut untuk mencari tanda-tanda upaya penyusupan atau keberhasilan
 Jaringan IDS berfungsi dengan membandingkan lalu lintas yang diamati dengan
basis aturannya dimana dapat diinstal pada perangkat tertentu untuk memantau
upaya yang tidak sah dalam mengubah konfigurasi perangkat tersebut.
 Perbedaan utama antara IDS dan IPS adalah bahwa IDS hanya menghasilkan
peringatan ketika mendeteksi pola lalu lintas jaringan yang mencurigakan dan
manusia yang bertanggung jawab untuk memantau IDS tersebut untuk memutuskan
tindakan apa yang harus diambil. Sedangkan IPS tidak hanya mengeluarkan
peringatan tetapi juga secara otomatis mengambil langkah untuk menghentikan
serangan yang dicurigai.
Continuous Monitoring
 Praktik manajemen COBIT 5 APO01.08 menekankan pentingnya memantau
kepatuhan karyawan terhadap kebijakan keamanan informasi organisasi dan kinerja
keseluruhan dari suatu proses bisnis.

Halaman 44 dari 51
 Pemantauan kepatuhan karyawan merupakan kontrol detektif penting yang dapat
mengidentifikasi masalah potensial secara tepat waktu dan mengidentifikasi
peluang untuk meningkatkan kontrol yang ada.

Responding to Attacks
Computer Incident Response Team (CIRT)
 Computer Incident Response Team (CIRT) adalah sebuah kelompok yang
bertanggung jawab untuk menangani dan merespon insiden keamanan utama
dengan cepat dan efektif
 CIRT harus mencakup tidak hanya spesialis teknis tetapi juga manajemen operasi
senior karena beberapa respons potensial terhadap insiden keamanan memiliki
konsekuensi ekonomi yang cukup signifikan.
 CIRT harus memimpin proses respons insiden organisasi melalui empat langkah,
antara lain :
1) Recognition that a Problem Exists / Pengakuan Bahwa Terdapat Masalah
Langkah ini biasanya terjadi ketika IPS atau IDS memberi sinyal peringatan
tetapi juga dapat merupakan hasil dari analisis log oleh administrator sistem.
2) Containment of the Problem / Penahanan Masalah
Langkah ini dilakukan ketika intrusi terdeteksi sehingga tindakan cepat
diperlukan untuk menghentikannya dan menahan kerusakan.
3) Recovery / Pemulihan
Langkah ini melibatkan perbaikan kerusakan yang disebabkan oleh serangan
dimana melibatkan pemberantasan malware, pemulihan data dari cadangan, dan
menginstal ulang program yang rusak.
4) Follow-Up / Mengikuti
Langkah ini dilakukan ketika pemulihan sedang dalam proses sehingga CIRT
harus memimpin analisis tentang bagaimana insiden tersebut terjadi. Langkah-
langkah mungkin perlu diambil untuk memodifikasi kebijakan dan prosedur
keamanan yang ada untuk meminimalkan kemungkinan insiden serupa terjadi di
masa depan.
Chief Information Security Officer (CISO)
 Perusahaan perlu menetapkan tanggung jawab untuk keamanan informasi kepada
seseorang di tingkat manajemen senior yang sesuai.
 Salah satu cara untuk memenuhi tujuan tersebut adalah dengan menciptakan posisi
Chief Information Security Officer (CISO)
 CISO harus bersifat independen dari fungsi sistem informasi lainnya dan harus
melapor kepada Chief Operating Officer (COO) atau Chief Executive Officer
(CEO).

Halaman 45 dari 51
  CISO harus memahami lingkungan teknologi perusahaan dan bekerja dengan Chief
Information Officer (CIO) untuk merancang, menerapkan, dan mempromosikan
kebijakan dan prosedur keamanan yang baik.

Security Implications of Virtualization, Cloud Computing, and the Internet of Things

 Virtualization adalah suatu tindakan dalam memanfaatkan kekuatan dan kecepatan
komputer modern untuk menjalankan beberapa sistem secara bersamaan pada satu
komputer fisik sehingga dapat mengurangi biaya perangkat keras, biaya perawatan,
biaya pusat data, dan biaya utilitas.
 Cloud Computing adalah suatu tindakan dalam memanfaatkan bandwidth tinggi
dari jaringan telekomunikasi global modern yang memungkinkan karyawan
menggunakan browser untuk mengakses perangkat lunak, penyimpanan data,
perangkat keras, dan seluruh lingkungan aplikasi dari jarak jauh dimana dapat
berpotensi menghasilkan penghematan biaya yang signifikan dan memudahkan
untuk mengubah perangkat lunak dan perangkat keras sehingga meningkatkan
fleksibilitas.
 Internet of Things (IoT) adalah suatu istilah yang mengacu pada penyematan
sensor di banyak perangkat seperti lampu, pemanas, AC, peralatan, dan sebagainya
sehingga perangkat tersebut dapat terhubung ke Internet dimana dapat membuat
desain rangkaian kontrol yang lebih efektif dan kompleks serta memberikan
peluang untuk meningkatkan kontrol akses fisik.

a. Jelaskan dan beri contoh sistem pengamanan berikut ini firewalls, intrusion
prevention systems, intrusion detection systems, honeypots, and a CIRT.
1) Firewalls (Firewall): Firewall adalah pertahanan pertama dalam mengamankan
jaringan komputer. Ini dapat berupa perangkat keras atau perangkat lunak yang
ditempatkan di antara jaringan internal dan eksternal. Firewall mengawasi lalu
lintas jaringan dan memutuskan apakah suatu paket data harus diteruskan atau
diblokir berdasarkan aturan yang telah ditentukan. Firewalls dapat memfilter
lalu lintas jaringan dan mencegah akses yang tidak sah ke jaringan.
Contoh:
 Perangkat Keras: Cisco ASA (Adaptive Security Appliance) adalah salah
satu firewall perangkat keras yang sangat populer. Ini memiliki berbagai
fitur keamanan, termasuk firewall, VPN (Virtual Private Network), dan
pengendalian akses.
 Perangkat Lunak: Iptables adalah contoh firewall perangkat lunak yang
umum digunakan pada sistem Linux. Ini memungkinkan pengguna untuk
mengkonfigurasi aturan firewall secara fleksibel melalui baris perintah.

Halaman 46 dari 51
2) Intrusion Prevention Systems (IPS): IPS adalah sistem yang bertujuan untuk
menghentikan serangan yang mencoba mengeksploitasi kelemahan dalam
jaringan atau aplikasi. IPS secara aktif memeriksa lalu lintas jaringan dan, jika
mendeteksi serangan yang mencurigakan, dapat mengambil tindakan otomatis
untuk memblokir serangan tersebut.
Contoh:
 Open Source: Snort adalah IPS sumber terbuka yang mendeteksi dan
mencegah serangan jaringan. Ini dapat digunakan untuk mendeteksi tanda-
tanda serangan seperti upaya pemindaian port yang mencurigakan atau
aktivitas yang tidak biasa dalam lalu lintas jaringan.
 Komersial: Cisco Firepower IPS adalah solusi komersial yang
menyediakan perlindungan canggih terhadap serangan dan juga memiliki
kemampuan untuk memblokir serangan secara otomatis.

3) Intrusion Detection Systems (IDS): IDS memantau lalu lintas jaringan atau
aktivitas sistem untuk mendeteksi tanda-tanda serangan atau perilaku
mencurigakan. Berbeda dengan IPS, IDS biasanya memberi peringatan ketika
serangan terdeteksi, tetapi tidak melakukan tindakan otomatis.
Contoh:
 IDS Berbasis Aturan: Suricata adalah IDS sumber terbuka yang
mendukung deteksi berbasis aturan dan pemantauan lalu lintas jaringan
secara real-time. Ini digunakan untuk mengidentifikasi serangan
berdasarkan pola tertentu yang telah ditentukan.
 IDS Berbasis Anomali: OSSEC (Open Source Host-based Intrusion
Detection System) adalah IDS yang mendeteksi aktivitas mencurigakan
berdasarkan pola perilaku anomali dalam sistem host, seperti log file yang
tidak biasa atau perubahan konfigurasi yang mencurigakan.

4) Honeypots (Honeypot): Honeypot adalah sistem palsu yang diciptakan untuk

menarik penyerang. Ini dirancang untuk menarik perhatian penyerang sehingga
tindakan mereka dapat diamati dan dipelajari lebih lanjut tanpa membahayakan
sistem utama. Contoh:
 Low-Interaction Honeypot: Kippo adalah honeypot berbasis Python yang
mensimulasikan layanan SSH. Ini menarik penyerang yang mencoba
mengaksesnya, kemudian merekam aktivitas mereka untuk analisis.
 High-Interaction Honeypot: Dionaea adalah high-interaction honeypot
yang meniru layanan seperti SMB (Server Message Block) dan FTP (File
Transfer Protocol) untuk menarik penyerang. Ini memungkinkan
penyelidikan mendalam terhadap serangan.

Halaman 47 dari 51
 5) CIRT (Computer Incident Response Team): CIRT adalah tim yang
didedikasikan untuk merespons dan mengelola insiden keamanan komputer.
Tugas mereka termasuk deteksi, mitigasi, dan penanganan insiden keamanan.
Mereka juga bertanggung jawab untuk menjalankan investigasi keamanan dan
mengembangkan strategi untuk mencegah insiden di masa depan.
Contoh:
 US-CERT: United States Computer Emergency Readiness Team adalah
salah satu CIRT yang paling terkenal. Mereka bertanggung jawab untuk
merespons insiden keamanan komputer di tingkat nasional dan
memberikan panduan serta peringatan kepada komunitas keamanan cyber.

b. Uraikan dan jelaskan dengan lengkap, proses authentication dan authorization di

Simatris atau Gmail atau apa saja yang saudara anggap ada proses authentication dan
authorization.
Proses authentication dan authorization adalah proses yang penting dalam
keamanan informasi. Proses authentication adalah proses untuk memverifikasi
identitas pengguna, sedangkan proses authorization adalah proses untuk memberikan
akses kepada pengguna berdasarkan hak akses yang dimilikinya.
Authentication (Autentikasi):
Autentikasi adalah tahap pertama dalam memastikan bahwa hanya pengguna yang
sah yang memiliki akses ke akun mereka. Ini melibatkan langkah-langkah berikut:
1) Identifikasi Pengguna: Pengguna mengidentifikasi diri mereka dengan
memberikan informasi tertentu. Dalam kasus Gmail, ini biasanya berupa
alamat email atau nama pengguna.
2) Verifikasi Kata Sandi: Pengguna harus membuktikan bahwa mereka adalah
pemilik sah akun dengan memasukkan kata sandi yang benar. Kata sandi ini
harus rahasia dan hanya diketahui oleh pengguna yang sebenarnya.
3) Proteksi Tambahan: Gmail juga dapat menyertakan langkah-langkah
keamanan tambahan, seperti Autentikasi Dua Faktor (2FA). Ini memerlukan
pengguna untuk memasukkan kode tambahan yang dikirimkan ke perangkat
atau aplikasi terpercaya setelah mereka memasukkan kata sandi.
Contoh: Seorang pengguna mencoba mengakses akun Gmail mereka. Mereka
memasukkan alamat email mereka (identifikasi) dan kata sandi yang benar
(verifikasi), sehingga mereka berhasil melakukan autentikasi.
Authorization (Otorisasi):
Setelah pengguna berhasil mengautentikasi diri, Gmail harus memutuskan apa
yang diizinkan pengguna lakukan. Ini melibatkan proses otorisasi:
1) Peran dan Izin: Gmail memiliki berbagai peran pengguna, seperti pengguna
biasa, administrator, atau pengguna yang memiliki akses khusus. Setiap peran
memiliki izin yang berbeda. Sebagai contoh, pengguna biasa hanya dapat

Halaman 48 dari 51
 membaca dan mengirim email, sedangkan administrator memiliki izin
tambahan untuk mengelola pengaturan akun.
2) Penentuan Akses: Berdasarkan peran dan izin, Gmail menentukan apa yang
pengguna boleh dan tidak boleh lakukan setelah autentikasi. Ini mencakup
mengizinkan akses ke kotak surat, kontak, kalendar, dan fitur lainnya.
Contoh: Setelah pengguna berhasil mengautentikasi diri, Gmail mengidentifikasi
peran mereka (misalnya, pengguna biasa) dan mengizinkan akses ke fitur-fitur yang
sesuai dengan peran tersebut, seperti membaca dan mengirim email, tetapi tidak
mengizinkan akses ke pengaturan administratif yang hanya dimiliki oleh
administrator. Misalnya, pengguna dengan hak akses sebagai administrator dapat
mengakses fitur untuk mengelola akun pengguna lain.
Jadi, Authentication (autentikasi) memastikan bahwa pengguna adalah orang yang
mereka klaim, sementara Authorization (otorisasi) mengatur apa yang pengguna
boleh lakukan setelah mereka berhasil mengautentikasi diri. Ini adalah langkah
penting dalam menjaga keamanan akun dan data pengguna di layanan seperti Gmail
atau platform lainnya.

c. Apakah section 404 of Sarbanes–Oxley, apakah termasuk cybersecurity? Jelaskan

jawaban saudara.
o Section 404 of Sarbanes-Oxley Act:
Section 404 adalah bagian kunci dari Sarbanes-Oxley Act (SOX), yang
disahkan pada tahun 2002 sebagai respons terhadap skandal perusahaan besar
seperti Enron dan WorldCom. SOX bertujuan untuk meningkatkan transparansi
dan akuntabilitas perusahaan publik. Bagian 404, dalam konteks ini, fokus pada
pengendalian internal perusahaan yang berkaitan dengan pelaporan keuangan.
Section 404 SOX menetapkan persyaratan yang ketat bagi perusahaan publik
di Amerika Serikat dalam hal pengendalian internal. Ini mencakup proses dan
prosedur yang harus diikuti oleh perusahaan untuk memastikan bahwa laporan
keuangan mereka akurat dan andal.
o Langkah-langkah yang diperlukan termasuk:
1) Evaluasi Pengendalian Internal: Perusahaan harus melakukan evaluasi
menyeluruh terhadap pengendalian internal mereka yang berhubungan
dengan pelaporan keuangan. Ini mencakup identifikasi potensi risiko dan
perbaikan yang diperlukan dalam proses pelaporan.
2) Laporan Manajemen: Manajemen perusahaan harus menyampaikan
laporan tertulis tentang keefektifan pengendalian internal mereka. Mereka
harus mengidentifikasi kelemahan yang signifikan yang telah ditemukan
dan memberikan rekomendasi untuk memperbaikinya.
3) Evaluasi Auditor Eksternal: Auditor eksternal yang independen juga harus
mengevaluasi pengendalian internal dan menguji keefektifannya. Ini

Halaman 49 dari 51
 membantu memastikan bahwa laporan keuangan yang diaudit adalah
akurat.
4) Pernyataan Kehandalan: Setelah evaluasi, manajemen harus memberikan
pernyataan dalam laporan tahunan perusahaan tentang kehandalan
pengendalian internal mereka.
o Hubungan dengan Cybersecurity:
Meskipun Section 404 SOX tidak secara langsung berkaitan dengan
cybersecurity, ada keterkaitan yang signifikan antara cybersecurity dan integritas
laporan keuangan. Perlindungan terhadap serangan cyber dan pengamanan data
yang tepat adalah bagian penting dari pengendalian internal. Ancaman terhadap
keamanan data atau serangan cyber yang berhasil dapat memengaruhi akurasi
laporan keuangan. Sebagai contoh:
 Jika data keuangan perusahaan disusupi atau dicuri karena kelemahan
keamanan, ini dapat mengancam integritas laporan keuangan.
 Serangan siber yang mengganggu operasi bisnis dapat mempengaruhi
pelaporan keuangan karena dapat menyebabkan kerugian atau perubahan
dalam kondisi finansial perusahaan.
Oleh karena itu, perusahaan publik harus memastikan bahwa mereka memiliki
tindakan keamanan siber yang kuat sebagai bagian dari pengendalian internal
mereka untuk memenuhi persyaratan Section 404 SOX dan menjaga integritas
laporan keuangan. Ini mencakup investasi dalam perlindungan siber yang efektif
dan pemantauan yang berkelanjutan untuk menghadapi ancaman siber yang terus
berkembang.
Kesimpulannya adalah Section 404 of Sarbanes-Oxley adalah bagian dari undang-
undang Amerika Serikat yang mengatur tata kelola perusahaan publik. Section 404
menuntut perusahaan untuk mengevaluasi dan melaporkan efektivitas sistem
pengendalian internal mereka. Meskipun section 404 tidak secara khusus berkaitan
dengan cybersecurity, namun sistem pengendalian internal yang efektif dapat
membantu mencegah serangan keamanan dan melindungi informasi perusahaan dari
akses yang tidak sah

Halaman 50 dari 51