Ancaman SIA dan kaitannya dengan pelaporan keuangan dan proses
• Salah satu ancaman yang dihadapi perusahaan operasi.
adalah kehancuran karena bencana alam dan Pengendalian internal menurut COSO terdiri dari: politik, seperti : (1) Lingkungan Pengendalian – Kebakaran atau panas yang berlebihan (2) Penilaian Risiko – Banjir, gempa bumi (3) Aktifitas Pengendalian – Badai angin, dan perang (4) Informasi dan Komunikasi • Ancaman kedua bagi perusahaan adalah kesalahan (5) Pemantauan pada software dan tidak berfungsinya peralatan, seperti : 3. COSO Enterprise Risk Management (ERM) – Kegagalan hardware Merupakan kerangka pengendalian internal dan manajemen – Kesalahan atau terdapat kerusakan risiko yang dirancang COSO sebagai pengembangan dari pada software, kegagalan sistem kerangka sebelumnya, COSO Internal Control Framework. operasi, gangguan dan fluktuasi listrik. Perbedaan mendasar dari COSO adalah bahwa ERM – Serta kesalahan pengiriman data yang mengintegrasikan keandalan kerangka pengendalian internal tidak terdeteksi. COSO ke arah penilaian dan pengelolaan risiko. ERM • Ancaman ketiga bagi perusahaan adalah tindakan mengandung beberapa elemen utama menurut tingkat yang tidak disengaja, seperti : organisasi dan tingkat tujuan : – Kecelakaan yang disebabkan (1) Lingkungan Internal kecerobohan manusia (2) Penentuan Tujuan – Kesalahan tidak disengaja karen (3) Identifikasi Peristiwa teledor (4) Penilaian Risiko – Kehilangan atau salah meletakkan (5) Tanggapan Risiko – Kesalahan logika (6) Aktifitas Pengendalian – Sistem yang tidak memenuhi (7) Informasi dan Komunikasi kebutuhan perusahaan (8) Pemantauan • Ancaman keempat yang dihadapi perusahaan COSO memandang bahwa pengendalian internal secara adalah tindakan disengaja, seperti : umum adalah: – sabotase Sebuah proses, yang dilaksanakan oleh dewan direksi, – Penipuan komputer manajemen, dan personil lainnya, yang dirancang untuk – Penggelapan menyajikan keyakinan memadai terkait dengan pencapaian tujuan-tujuan dibawah ini: - Efektifitas dan efisiensi operasi Pengendalian SIA - Keandalan pelaporan keuangan Pengendalian Internal - Kepatuhan terhadap hukum dan peraturan Pengendalian internal adalah rencana organisasi dan metode bisnis yang dipergunakan untuk menjaga aset, memberikan informasi yang akurat dan Pengaruh CBIS terhadap aktivitas pengendalian andal, mendorong dan memperbaiki efisiensi jalannya tradisional : organisasi, serta mendorong kesesuaian dengan kebijakan 1. Otorisasi Transaksi yang telah ditetapkan. 2. Pemisahan Tugas mencegah pegawai memalsukan catatan untuk menutupi transaksi yang tidak Pengendalian Internal diotorisasi secara layak. Paling tidak terdapat tiga kerangka pengendalian yang 3. Pengawasan digunakan 4. Pengendalian Akses secara luas: 5. Verifikasi Independen atas kinerja : Pemeriksaan 1. COBIT (Control Objective for Information and Related internal untuk memastikan bahwa seluruh Technology) transaksi diproses secara akurat adalah elemen Dikembangkan pertama kali oleh Information System Audit pengendalian lainnya yang penting. and Control Association (ISACA) tahun 1992 yang Berbagai jenis pemeriksaan independen adalah: kemudian dikelola oleh The IT Governance Institute (ITGI) – a. Rekonsiliasi dua rangkaian catatan sebuah badan afiliasi ISACA – hingga kini. COBIT yang dipelihara secara terpisah merupakan kerangka pengendalian internal yang diterima b. Perbandingan jumlah aktual dengan secara umum untuk teknologi informasi (TI). COBIT yang dicatat diterjemahkan ke dalam empat proses: c. Pembukuan berpasangan (1) Plan and Organise (PO)—menyediakan arahan untuk d. Jumlah total batch solusi dan pelayanan solusinya. (2) Acquire and Implement (AI)—menyediakan solusi dan mengubahnya menjadi pelayanan Pengendalian Sistem Operasi ; (3) Deliver and Support (DS)—menerima solusi dan Pengendalian Manajemen Data membuatnya berguna bagi organisasi Perubahan Pengendalian Manajemen : (4) Monitor and Evaluate (ME)—memantau seluruh proses • Perubahan pengendalian manajemen mencakup agar menjamin bahwa semua arahan diikuti hal-hal berikut : • Peninjauan secara berkala terhadap semua sistem 2. COSO Internal Control Frameworks (COSO) untuk mengetahui perubahan yang dibutuhkan Dikembangkan oleh The Committee of Sponsoring • Semua permintaan diserahkan dalam format yang Organization of the Treadway Commission sejak sebelum baku 1980 yang kemudian dikembangkan hingga kini. COSO • Pencatatan dan peninjauan permintaan perubahan Internal Control Framework lebih dikenal sebagai acuan dan penambahan sistem dari pemakai yang diotorisasi yang diterima umum dalam pengendalian internal perusahaan • Penilaian dampak perubahan yang diinginkan Menyiapkan arsitektur keamanan yang terhadap tujuan, kebijakan, dan standar keandalan merupakan bagian dari arsitektur sistem sistem dimana ia mendeskripsikan fitur dan jasa • Pengkategorian dan penyusunan semua perubahan keamanan yang dibutuhkan. Arsitekur dengan menggunakan prioritas yang ditetapkan keamanan memperlihatkan bagaimana sebuah • Implementasi prosedur khusus untuk mengatasi hal-hal level dari jaminan sebuah sistem dapat dicapai. yang mendadak Hal ini didokumentasikan dalam sebuah • Pengkomunikasian semua perubahan ke manajemen dokumen, karena itu arsitektur keamanan • Permintaan peninjauan, pengawasan, dan persetujuan digunakan untuk memasukkan keputusan- dari manajemen TI terhadap semua perubahan keputusan terhadap desain dari arsitektur hardware, software dan tanggung jawab pribadi keamanan. • Penugasan tanggung jawab khusus bagi semua yang 4.2. Pendekatan Lapisan Protokol terlibat dalam perubahan dan awasi kerja mereka. Pendekatan keamanan dengan menggunakan lapisan-lapisan protokol memkitang keamanan Pengendalian Struktur Organisasi jaringan dari keamanan lapisan-lapisan protokol Pengendalian Pengembangan Sistem yang digunakan, yaitu protokol dari OSI (Open Empat Prinsip Keandalan Sistem System Architecture). Dalam setiap lapisan 1. Ketersediaan. Sistem tersebut tersedia untuk diberikan fungsi-fungsi yang berhubungan dan dioperasikan ketika dibutuhkan. diperbolehkan untuk mengimplementasikan 2. Keamanan. Sistem dilindungi dari akses fisik seluruh atau sebagian saja. Sebagai contoh, dalam maupun logis yang tidak memiliki otorisasi. Unified Network, dimana lapisan 3 (network) 3. Dapat dipelihara. Sistem dapat diubah apabila merupakan lapisan tertinggi yang digunakan, diperlukan tanpa mempengaruhi ketersediaan, jaringan dapat memaksakan metode akses yang keamanan, dan integritas sistem. dikehendaki terhadap akses dari alamat-alamat 4. Integritas. Pemrosesan sistem bersifat lengkap, jaringan tertentu. Sebuah peralatan jaringan belum akurat, tepat waktu, dan diotorisasi. tentu menyediakan keseluruhan set dari 7 lapisan jaringan, untuk itu diperlukan evaluasi untuk Perlindungan PC dan Jaringan Klien/Server menjamin kemampuan kerja setiap peralatan yang – PC yang mudah dibawa tidak boleh disimpan dalam terhubung ke jaringan. mobil . – Simpanlah data yang sensitif dalam lingkungan yang Pengendalian Input data Online seaman mungkin. • Pemeriksaan field, batasan, jangkauan, kelogisan, – Instal software yang secara otomatis akan mematikan tanda, validitas, dan data yang redundan terminal atau komputer yang termasuk dalam jaringan • Nomor ID pemakai setelah tidak digunakan dalam waktu yang telash • Pengujian kompatibilitas ditentukan . • Jika memungkinkan, sistem harus memasukkan – Buatlah cadangan hard drive secara teratur. data transaksi secara otomatis – Enkripsi atau lindungi file dengan password. • Pemberitahuan – Buatlah dinding pelindung di sekitar sistem operasi. • Prapemformatan – Memastikan bahwa PC harus di boot dalam sistem • Pengujian kelengkapan pengamanan. • Verifikasi closed-loop – Gunakan pengendalian password berlapis untuk • Catatan transaksi membatasi akses pegawai ke data yang tidak sesuai. • Pesan kesalahan – Gunakanlah spesialis atau program pengaman untuk • Data yang dibutuhkan untuk mereproduksi mendeteksi kelemahan dalam jaringan. dokumen entri data on-line harus disimpan seperlunya untuk memenuhi persyaratan legal Pengendalian Internet Pengendalian Intranet Pengendalian Proses dan penyimpanan data Pengendalian Aplikasi dan Jaringan Pengendalian-pengendalian umum yang membantu Untuk mencapai tingkat keamanan jaringan yang mempertahankan integritas pemrosesan data dan diinginkan diperlukan pemenuhan terhadap beberapa penyimpanan data adalah sebagai berikut : hal berikut: Kebijakan dan Prosedur Pembuatan Kebijakan Keamanan yang berisi Fungsi pengendalian data undang-undang, peraturan dan prosedur- Prosedur rekonsiliasi prosedur yang mengatur sebuah organisasi Rekonsiliasi data eksternal memanajemen, melindungi dan distribusi Pelaporan penyimpangan informasi sensitif dan rahasia. Keseluruhan Pemeriksaan sirkulasi data kebijaksanaan ini terangkum dalam dokumen- Nilai default dokumen yang berisi kebijakan keamanan Pencocokan data sistem, kebijakan model keamanan, dan Label file kebutuhan keamanan. Kebijakan keamanan Mekanisme perlindungan penulisan sistem dikembangkan terlebih dahulu, Mekanisme perlindungan database kemudian dua yang lain. Kebijakan keamanan sistem Pengendalian konversi data menerjemahkan dan memasukkan peraturan kedalam sistem. Pengamanan data Model keamanan sistem mendefinisikan subjek dan objek dan peninjauan dari keduanya. Kebutuhan keamanan Pengendalian Output mengidentifikasi kebutuhan user yang kemudian dapat • Fungsi pengendalian data seharusnya meninjau dievaluasi untuk membuat sebuah sebuah sistem yang aman. kelogisan dan kesesuaian format semua output • Dan merekonsiliasi total pengendalian input dan dapat melakukan konversi seperti ini. output yang berkaitan setiap hari • Mendestribusikan output komputer ke departemen pemakai yang sesuai Business to Consumer eCommerce • Mewajibkan pemakai untuk meninjau secara hati- hati kelengkapan dan ketepatan semua output Business to Consumer eCommerce memiliki komputer yang mereka terima permasalahan yang berbeda. Mekanisme untuk mendekati • Menyobek atau menghancurkan data yang sangat consumer pada saat ini menggunakan bermacam-macam rahasia. pendekatan seperti misalnya dengan menggunakan “electronic shopping mall” atau menggunakan konsep “portal”. E-commerce Keamanan (Security) E commerce merupakan extension t dari commerce Secara umum, keamanan merupakan salah satu dengan mengeksploitasi media elektronik. Meskipun komponen atau servis yang dibutuhkan untuk menjalankan penggunaan media elektronik ini belum dimengerti, akan eCommerce. Beberapa bagian dari keamanan ini sudah tetapi desakan bisnis menyebabkan para pelaku bisnis mau dibahas di atas dalam bagian tersendiri, seperti Infrastruktur tidak mau harus menggunakan media elektronik ini. Kunci Publik (IKP), dan privacy. Untuk menjamin Ada tiga factor yang patur dicermati oleh kita jika keamanan, perlu adanya kemampuan dalam bidang ini yang dapat diperoleh melalui penelitian dan pemahaman. Beberapa ingin membangun toko e-commerce yaitu : topik (issues) yang harus dikuasai antara lain akan didaftar di Variability, Visibility, dan Velocity bawah ini. Business to Consumer eCommerce Teknologi Kriptografi. Teknologi kriptografi menjelaskan memiliki karakteristik sebagai berikut: Terbuka untuk umum, bagaimana mengamankan data dengan menggunakan dimana informasi disebarkan ke umum. enkripsi. Berbagai sistem sudah dikembangkan seperti sistem Servis yang diberikan bersifat umum (generic) privae key dan public key. Penguasaan algoritma-algoritma dengan mekanisme yang dapat digunakan oleh khalayak populer digunakan untuk mengamankan data juga sangat ramai. Sebagai contoh, karena sistem Web sudah umum penting. Contoh algoritma ini antara lain DES, IDEA, RC5, digunakan maka servis diberikan dengan menggunakan basis RSA dan ECC (Ellliptic Curve Cryptography). Penelitian Web. dalam bidang ini di perguruan tinggi merupakan suatu hal Servis diberikan berdasarkan permohonan (on yang penting. Salah satu masalah dalam mengamankan demand). Konsumer melakuka inisiatif dan produser harus enkripsi adalah bagaimana memastikan bahwa hanya sang siap memberikan respon sesuai dengan permohonan. penerima yang dapat mengakses data. Anda dapat tr t Pendekatan client/server sering digunakan menggembok data dan mengirimkannya dimana diambil asumsi client (consumer) menggunakan sistem yang minimal (berbasis Web) dan processing bersama kuncinya ke alamat tujuan, tetapi bagaimana (business procedure) diletakkan di sisi server. memastikan kunci itu tidak dicuri orang di tengah jalan? Salah satu cara untuk memecahkannya adalah bahwa si penerima yang mengirimkan gemboknya, tetapi tidak mengirimkan kuncinya. Anda menggembok data dengan Business to Business e-Commerce gembok yang dikirim olehnya dan mengirimkannya. Si Business to Business eCommerce umumnya penerima kemudian akan membukanya dengan kunci menggunakan mekanisme Electronic Data Interchange (EDI). miliknya yang tidak pernah dikirimkannya ke siapa-siapa. Sayangnya banyak standar EDI yang digunakan sehingga Kini masalahnya bila data yang digembok itu dicuri orang, menyulitkan interkomunikasi antar pelaku bisnis. Standar tetapi dengan enkripsi yang kompleks akan sangat sulit bagi yang ada saat ini antara lain: EDIFACT, ANSI X.12, SPEC orang itu untuk mengakses data yanmg sudah digembok itu. 2000, CARGO-IMP, TRADACOMS, IEF, GENCOD, One Time Pasword. Penggunaan password yang hanya EANCOM, dapat dipakai sebanyak satu kali. Biasanya password angka ODETTE, CII. Selain standar yang disebutkan di atas, digital yang merandom angka setiap kali transaksi. masih ada formatformat lain yang sifatnya proprietary. Jika Konsultan keamanan. Konsultan, organisasi, dan anda memiliki beberapa partner bisnis yang sudah institusi yang bergerak di bidang keamanan dapat membantu menggunakan standar yang berbeda, maka anda harus meningkatkan dan menjaga keamanan. Contoh organisasi memiliki sistem untuk melakukan konversi dari satu format yang bergerak di bidang ini adalah IDC ke format lain. Saat ini sudah tersedia produk yang