SISTEM INFORMASI DAN

PENGENDALIAN
INTERNAL
 Pengendalian Sistem Informasi

Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan

dari pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat
penting karena mengamati setiap tahapan daam proses pengelolaan informasi.
Pengendalian sistem informasi adalah keseluruhan kegiatan dalam bentuk
mengamati, membina, dan mengawasi pelaksanaan mekanisme. Organisasi pada
saat ini bergantung pada teknologi informasi (TI), seperti memindahkan
sebagaian dari sistem informasinya ke cloud.
 Pengendalian Preventif, Detektif dan
Korektif
1. Pengendalian Preventif.
Yaitu pengendalian yang mencegah masalah sebelum timbul.Pengendalian
preventif yang digunakan organisasi secara umum digunakan untuk membatasi akses
terhadap sumber daya informasi.COBIT 5 mengidentifikasi kemampuan dan
kompetensi pegawai sebagai sebuah fasilitator kritis lainnya untuk keamanan
informasi yang eefektif.Oleh karena itu, pelatihan adalah sebuah pengendalian
preventif yang kritis.
2. Pengendalian Detektif.
Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang
tidak terelakan.Sebagaian besar sistem muncul dengan kemampuan ekstensif untuk
mencatat (logging) siapa yang mengakses sistem.
3. Pengendalian Korektif.
Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta
memperbaiki dan memulihkan dari kesalahan yang dihasilkan.
 Pengendalian Umum dan Aplikasi

1. Pengendalian Umum.
Yaitu pengendalian yang didesain untuk memastikan sistem informasi
organisasi serta pengendalian lingkungan stabil dan dikelola dengan
baik.Pengendalian umum digolongkan menjadi beberapa, diantaranya:
a. Pengendalian organisasi dan otorisasi adalah secara umum terdapat
pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan
administrator sistem (operasi).
b. Pengendalian operasi. Operasi sistem informasi dalam perusahaan juga
perlu pengendalian untuk memastikan sistem informasi tersebut dapat
beroperasi dengan baik selayaknya sesuai yang diharapkan.
c. Pengendalian perubahan. Perubahan-perubahan yang dilakukan
terhadap sistem informasi harus dikendalikan, termasuk pengendalian versi
dari sistem informasi tersebut, catatan perubahan versi, serta manajemen
perubahan atas diimplementasikannya sebuah sistem informasi.
d. Pengendalian akses fisikal dan logikal.Pengendalian akses fisikal
berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem
informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan
pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).
2. Pengendalian Aplikasi
Yaitu pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan
transaksi dan penipuan dalam program aplikasi. Terdapat beberapa macam
aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam
perusahaan:
a. Perangkat lunak berdiri sendiri. Terdapat pada organisasi yang
belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi
yang berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi
(software) MYOB pada fungsi akuntansi dan keuangan.
b. Perangkat lunak di server. Tedapat pada organisasi yang telah
menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga
tipe struktur sistemnya memakai sistem client-server . Client hanya
dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada
server.
 Kerahasiaan dan Privasi

1. Kerahasiaan
 Aspek ini berhubungan dengan kerahasiaan data-data penting yang tersimpan
pada sistem organisasi yang tidak boleh diakses atau digunakan oleh orang-
orang yang tidak berhak. Aspek ini dapat tidak terpenuhi jika ada pengguna
(internal) yang memiliki izin tetapi menyalah gunakan izin tersebut lalu
pengguna tersebut menyebar luaskan data-data organisasi yang bersifat
rahasia tersebut kepada orang lain atau pesaing yang membuat organisasi
merasa dirugikan atau juga pengguna tersebut menggunakan secara pribadi
rahasia tersebut untuk menyaingi perusahaan.
Terdapat empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas
informasi sensitif:
a. Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi. Langkah
pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis
sensitive lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan orang
yang mengaksesnya.
b. Mengenkripsi informasi. Enkripsi adalah alat yang penting dan efektif untuk
melindungi kerahasiaan. Enkripsi adalah satu-satunya cara untuk melindungi
informasi dalam lalu lintas internet dan cloud publik.
c. Mengendalikan akses atas informasi. Pengendalian autentikasi dan otorisasi
tidaklah cukup untuk melindungi kerahasiaan karena hanya mengendalikan akses awal
terhadap informasi yang disimpan secara digital.
d. Melatih para pegawai untuk menangani informasi secara tepat. Pelatihan adalah
pengendalian yang penting untuk melindungi kerahasiaan. Para pegawai perlu
mengetahui jenis informasi yang dapat mereka bagikan dan jenis informasi yang
dilindungi. Dengan pelatihan yang memadai, para pegawai dapat memainkan peran
penting untuk melindungi kerahasiaan informasi organisasi dan meningkatkan
efektivitas pengendalian terkait.
2. Privasi
Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip
kerahasiaan, perbedaan utamanya, yaitu lebih berfokus pada perlindungan
informasi pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis dari
pada data keorganisasian. Langkah pertama untuk melindungi privasi yaitu
mengidentifikasi jenis informasi yang dimiliki organisasi, letak ia simpan, dan
orang yang memiliki akses terhadapnya.
 Integritas dan Ketersediaan
Pemrosesan
1. Integritas Pemrosesan
Prinsip Integritas Pemrosesan dari Trust Service Framework menyatakan
bahwa sebuah sistem yang dapat diandalkan adalah sistem yang menghasilkan
informasi akurat, lengkap, tepat waktu, dan valid.
Aplikasi pengendalian untuk integritas pemrosesan terdiri
atas:

 Pengendalian Input. Jika data yang dimasukkan ke dalam sistem tidak akurat,
tidak lengkap, atau tidak valid maka bentuk pengendalian input yang dilakukan
adalah bentuk desain, pembatalan dan penyimpanan dokumen, otorisasi dan
pemisahan tugas pengendalian, pemindaian visual, dan pengendalian entri data.
 Pengendalian pemrosesan. Jika terjadi kesalahan dalam output dan data yang
tersimpan dalam pemrosesan maka bentuk pengendalian yang dilakukan adalah
pencocokan data, label file, total batch, pengujian saldo cross-footing dan saldo
nol, mekanisme menulis perlindungan (write-protection), pemrosesan database,
dan pengendalian integritas.
 Pengendalian Output. Jika terjadi penggunaan laporan yang tidak akurat atau
tidak lengkap, pengungkapan yang tidak diotorisasi informasi sensitive, dan
kehilangan, perubahan, atau pengungkapan informasi dalam transit maka bentuk
pengendalian yang dilakukan adalah pemeriksaan dan rekonsiliasi, enkripsi dan
pengendalian akses, pengecekan berimbang dan tenik pengakuan pesan.
2. Ketersediaan Pemrosesan
Proses pengendalian menunjukkan DSS01 dan DSS04 COBIT 5 menunjukkan
pentingnya memastikan bahwa sistem dan informasi tersedia setiap saat
dibutuhkan oleh pengguna. Tujuan utamanya adalah untuk meminimalkan risiko
penghentian sistem.Oleh karena itu, organisasi perlu memiliki pengendalian yang
didesain untuk memungkinkan pelanjutan cepat dari operasi normal.
Berdasarkan kedua tujuan tersebut maka bentuk pengendaliannya:
 Tujuan meminimalkan risiko penghentian sistem dapat dilakukan melalui
pengendalian pemeliharaan preventif, toleransi kesalahan, lokasi dan
desain pusat data, pelatihan, dan manajemen patch dan perangkat lunak
antivirus.
 Tujuan pemulihan yang cepat dan lengkap serta pelanjutan operasi normal
dapat dilakukan melalui pengendalian prosedur backup, disaster recovery
plan, dan business continuity plan.
 Authorization/accses control

Pengendalian akses (access control) menjadi pertimbangan pertama saat

seorang profesional Sistem Keamanan Informasi akan membuat program
keamanan informasi. Keistimewaan dan variasi mekanisme access control baik
secara fisik, teknik dan administrasi akan membangun arsitektur keamanan
informasi yang praktis untuk melindungi informasi penting dan sensitif yang
menjadi aset organisasi.
Pengendalian akses dilakukan melalui tiga tahap yang mencakup:
 Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri
mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata
sandi.
 Otentikasi pengguna. Para pengguna hak akses dengan cara memberikan
sesuatu yang mereka miliki seperti smart card atau tanda tertentu atau chip
identifikasi.
 Otorisasi pengguna. Setelah identifikasi dan autentifikasi dilalui, seseorang
kemudian mendapatkan otorisasi untuk memasuki tingkat atau derajat
pengguna tertentu.
Identifikasi dan autentifikasi memanfaatkan profil pengguna (user profile)
atau deskripsi pengguna yang terotorisasi. Sedangkan Otorisasi memanfaatkan
file pengendaliaan akses (access control file) yang menentukan tingkat akses
tersedia bagi pengguna. Setelah pengguna memenuhi syarat tiga fungsi
pengendalian akses, mereka dapat menggunakan sumber daya informasi.