Ancaman SIA dan kaitannya dengan pelaporan keuangan dan proses

• Salah satu ancaman yang dihadapi perusahaan operasi.

adalah kehancuran karena bencana alam dan Pengendalian internal menurut COSO terdiri dari:
politik, seperti : (1) Lingkungan Pengendalian
– Kebakaran atau panas yang berlebihan (2) Penilaian Risiko
– Banjir, gempa bumi (3) Aktifitas Pengendalian
– Badai angin, dan perang (4) Informasi dan Komunikasi
• Ancaman kedua bagi perusahaan adalah kesalahan (5) Pemantauan
pada software dan tidak berfungsinya peralatan,
seperti : 3. COSO Enterprise Risk Management (ERM)
– Kegagalan hardware Merupakan kerangka pengendalian internal dan manajemen
– Kesalahan atau terdapat kerusakan risiko yang dirancang COSO sebagai pengembangan dari
pada software, kegagalan sistem kerangka sebelumnya, COSO Internal Control Framework.
operasi, gangguan dan fluktuasi listrik. Perbedaan mendasar dari COSO adalah bahwa ERM
– Serta kesalahan pengiriman data yang mengintegrasikan keandalan kerangka pengendalian internal
tidak terdeteksi. COSO ke arah penilaian dan pengelolaan risiko. ERM
• Ancaman ketiga bagi perusahaan adalah tindakan mengandung beberapa elemen utama menurut tingkat
yang tidak disengaja, seperti : organisasi dan tingkat tujuan :
– Kecelakaan yang disebabkan (1) Lingkungan Internal
kecerobohan manusia (2) Penentuan Tujuan
– Kesalahan tidak disengaja karen (3) Identifikasi Peristiwa
teledor (4) Penilaian Risiko
– Kehilangan atau salah meletakkan (5) Tanggapan Risiko
– Kesalahan logika (6) Aktifitas Pengendalian
– Sistem yang tidak memenuhi (7) Informasi dan Komunikasi
kebutuhan perusahaan (8) Pemantauan
• Ancaman keempat yang dihadapi perusahaan COSO memandang bahwa pengendalian internal secara
adalah tindakan disengaja, seperti : umum adalah:
– sabotase Sebuah proses, yang dilaksanakan oleh dewan direksi,
– Penipuan komputer manajemen, dan personil lainnya, yang dirancang untuk
– Penggelapan menyajikan keyakinan memadai terkait dengan pencapaian
tujuan-tujuan dibawah ini:
- Efektifitas dan efisiensi operasi
Pengendalian SIA - Keandalan pelaporan keuangan
Pengendalian Internal - Kepatuhan terhadap hukum dan peraturan
Pengendalian internal adalah rencana
organisasi dan metode bisnis yang dipergunakan untuk
menjaga aset, memberikan informasi yang akurat dan Pengaruh CBIS terhadap aktivitas pengendalian
andal, mendorong dan memperbaiki efisiensi jalannya tradisional :
organisasi, serta mendorong kesesuaian dengan kebijakan 1. Otorisasi Transaksi
yang telah ditetapkan. 2. Pemisahan Tugas mencegah pegawai memalsukan
catatan untuk menutupi transaksi yang tidak
Pengendalian Internal diotorisasi secara layak.
Paling tidak terdapat tiga kerangka pengendalian yang 3. Pengawasan
digunakan 4. Pengendalian Akses
secara luas: 5. Verifikasi Independen atas kinerja : Pemeriksaan
1. COBIT (Control Objective for Information and Related internal untuk memastikan bahwa seluruh
Technology) transaksi diproses secara akurat adalah elemen
Dikembangkan pertama kali oleh Information System Audit pengendalian lainnya yang penting.
and Control Association (ISACA) tahun 1992 yang Berbagai jenis pemeriksaan independen adalah:
kemudian dikelola oleh The IT Governance Institute (ITGI) – a. Rekonsiliasi dua rangkaian catatan
sebuah badan afiliasi ISACA – hingga kini. COBIT yang dipelihara secara terpisah
merupakan kerangka pengendalian internal yang diterima b. Perbandingan jumlah aktual dengan
secara umum untuk teknologi informasi (TI). COBIT yang dicatat
diterjemahkan ke dalam empat proses: c. Pembukuan berpasangan
(1) Plan and Organise (PO)—menyediakan arahan untuk d. Jumlah total batch
solusi dan pelayanan solusinya.
(2) Acquire and Implement (AI)—menyediakan solusi dan
mengubahnya menjadi pelayanan Pengendalian Sistem Operasi ;
(3) Deliver and Support (DS)—menerima solusi dan Pengendalian Manajemen Data
membuatnya berguna bagi organisasi Perubahan Pengendalian Manajemen :
(4) Monitor and Evaluate (ME)—memantau seluruh proses • Perubahan pengendalian manajemen mencakup
agar menjamin bahwa semua arahan diikuti hal-hal berikut :
• Peninjauan secara berkala terhadap semua sistem
2. COSO Internal Control Frameworks (COSO) untuk mengetahui perubahan yang dibutuhkan
Dikembangkan oleh The Committee of Sponsoring • Semua permintaan diserahkan dalam format yang
Organization of the Treadway Commission sejak sebelum baku
1980 yang kemudian dikembangkan hingga kini. COSO • Pencatatan dan peninjauan permintaan perubahan
Internal Control Framework lebih dikenal sebagai acuan dan penambahan sistem dari pemakai yang diotorisasi
yang diterima umum dalam pengendalian internal perusahaan
• Penilaian dampak perubahan yang diinginkan
terhadap tujuan, kebijakan, dan standar keandalan
sistem
• Pengkategorian dan penyusunan semua perubahan
dengan menggunakan prioritas yang ditetapkan
• Implementasi prosedur khusus untuk mengatasi hal-hal
yang mendadak
• Pengkomunikasian semua perubahan ke manajemen
• Permintaan peninjauan, pengawasan, dan persetujuan
dari manajemen TI terhadap semua perubahan
hardware, software dan tanggung jawab pribadi
• Penugasan tanggung jawab khusus bagi semua yang
terlibat dalam perubahan dan awasi kerja mereka.
Pengendalian Struktur Organisasi
Pengendalian Pengembangan Sistem
Empat Prinsip Keandalan Sistem
1. Ketersediaan. Sistem tersebut tersedia untuk
dioperasikan ketika dibutuhkan.
2. Keamanan. Sistem dilindungi dari akses fisik
maupun logis yang tidak memiliki otorisasi.
3. Dapat dipelihara. Sistem dapat diubah apabila
diperlukan tanpa mempengaruhi ketersediaan,
keamanan, dan integritas sistem.
4. Integritas. Pemrosesan sistem bersifat lengkap,
akurat, tepat waktu, dan diotorisasi.
Perlindungan PC dan Jaringan Klien/Server
– PC yang mudah dibawa tidak boleh disimpan dalam
mobil .
– Simpanlah data yang sensitif dalam lingkungan yang
seaman mungkin.
– Instal software yang secara otomatis akan mematikan
terminal atau komputer yang termasuk dalam jaringan
setelah tidak digunakan dalam waktu yang telash
ditentukan .
– Buatlah cadangan hard drive secara teratur.
– Enkripsi atau lindungi file dengan password.
– Buatlah dinding pelindung di sekitar sistem operasi.
– Memastikan bahwa PC harus di boot dalam sistem
pengamanan.
– Gunakan pengendalian password berlapis untuk
membatasi akses pegawai ke data yang tidak sesuai.
– Gunakanlah spesialis atau program pengaman untuk
mendeteksi kelemahan dalam jaringan.
Pengendalian Internet
Pengendalian Intranet
Pengendalian Aplikasi dan Jaringan
Untuk mencapai tingkat keamanan jaringan yang
diinginkan diperlukan pemenuhan terhadap beberapa
hal berikut:
􀂃 Pembuatan Kebijakan Keamanan yang berisi
undang-undang, peraturan dan prosedur-
prosedur yang mengatur sebuah organisasi
memanajemen, melindungi dan distribusi
informasi sensitif dan rahasia. Keseluruhan
kebijaksanaan ini terangkum dalam dokumen-
dokumen yang berisi kebijakan keamanan
sistem, kebijakan model keamanan, dan
kebutuhan keamanan. Kebijakan keamanan
sistem dikembangkan terlebih dahulu,
kemudian dua yang lain. Kebijakan keamanan sistem
menerjemahkan dan memasukkan peraturan kedalam sistem.
Model keamanan sistem mendefinisikan subjek dan objek
dan peninjauan dari keduanya. Kebutuhan keamanan
mengidentifikasi kebutuhan user yang kemudian dapat
dievaluasi untuk membuat sebuah sebuah sistem yang aman.
􀂃 Menyiapkan arsitektur keamanan yang
merupakan bagian dari arsitektur sistem
dimana ia mendeskripsikan fitur dan jasa
keamanan yang dibutuhkan. Arsitekur
keamanan memperlihatkan bagaimana sebuah
level dari jaminan sebuah sistem dapat dicapai.
Hal ini didokumentasikan dalam sebuah
dokumen, karena itu arsitektur keamanan
digunakan untuk memasukkan keputusan-
keputusan terhadap desain dari arsitektur
keamanan.
4.2. Pendekatan Lapisan Protokol
Pendekatan keamanan dengan menggunakan
lapisan-lapisan protokol memkitang keamanan
jaringan dari keamanan lapisan-lapisan protokol
yang digunakan, yaitu protokol dari OSI (Open
System Architecture). Dalam setiap lapisan
diberikan fungsi-fungsi yang berhubungan dan
diperbolehkan untuk mengimplementasikan
seluruh atau sebagian saja. Sebagai contoh, dalam
Unified Network, dimana lapisan 3 (network)
merupakan lapisan tertinggi yang digunakan,
jaringan dapat memaksakan metode akses yang
dikehendaki terhadap akses dari alamat-alamat
jaringan tertentu. Sebuah peralatan jaringan belum
tentu menyediakan keseluruhan set dari 7 lapisan
jaringan, untuk itu diperlukan evaluasi untuk
menjamin kemampuan kerja setiap peralatan yang
terhubung ke jaringan.
Pengendalian Input data Online
• Pemeriksaan field, batasan, jangkauan, kelogisan,
tanda, validitas, dan data yang redundan
• Nomor ID pemakai
• Pengujian kompatibilitas
• Jika memungkinkan, sistem harus memasukkan
data transaksi secara otomatis
• Pemberitahuan
• Prapemformatan
• Pengujian kelengkapan
• Verifikasi closed-loop
• Catatan transaksi
• Pesan kesalahan
• Data yang dibutuhkan untuk mereproduksi
dokumen entri data on-line harus disimpan
seperlunya untuk memenuhi persyaratan legal
Pengendalian Proses dan penyimpanan data
Pengendalian-pengendalian umum yang membantu
mempertahankan integritas pemrosesan data dan
penyimpanan data adalah sebagai berikut :
 Kebijakan dan Prosedur
 Fungsi pengendalian data
 Prosedur rekonsiliasi
 Rekonsiliasi data eksternal
 Pelaporan penyimpangan
 Pemeriksaan sirkulasi data
 Nilai default
 Pencocokan data
 Label file
 Mekanisme perlindungan penulisan
 Mekanisme perlindungan database
 Pengendalian konversi data
 Pengamanan data
Pengendalian Output
• Fungsi pengendalian data seharusnya meninjau
kelogisan dan kesesuaian format semua output
 • Dan merekonsiliasi total pengendalian input dan
output yang berkaitan setiap hari
• Mendestribusikan output komputer ke departemen
pemakai yang sesuai
• Mewajibkan pemakai untuk meninjau secara hati-
hati kelengkapan dan ketepatan semua output
komputer yang mereka terima
• Menyobek atau menghancurkan data yang sangat
rahasia.
E-commerce
E commerce merupakan extension t dari commerce
dengan mengeksploitasi media elektronik. Meskipun
penggunaan media elektronik ini belum dimengerti, akan
tetapi desakan bisnis menyebabkan para pelaku bisnis mau
tidak mau harus menggunakan media elektronik ini.
Ada tiga factor yang patur dicermati oleh kita jika
ingin membangun toko e-commerce yaitu :
Variability, Visibility, dan Velocity
Business to Consumer eCommerce
memiliki karakteristik sebagai berikut: Terbuka untuk umum,
dimana informasi disebarkan ke umum.
􀂃 Servis yang diberikan bersifat umum (generic)
dengan mekanisme yang dapat digunakan oleh khalayak
ramai. Sebagai contoh, karena sistem Web sudah umum
digunakan maka servis diberikan dengan menggunakan basis
Web.
􀂃 Servis diberikan berdasarkan permohonan (on
demand). Konsumer melakuka inisiatif dan produser harus
siap memberikan respon sesuai dengan permohonan.
tr t 􀂃 Pendekatan client/server sering digunakan
dimana diambil asumsi client (consumer) menggunakan
sistem yang minimal (berbasis Web) dan processing
(business procedure) diletakkan di sisi server.
Business to Business e-Commerce
Business to Business eCommerce umumnya
menggunakan mekanisme Electronic Data Interchange (EDI).
Sayangnya banyak standar EDI yang digunakan sehingga
menyulitkan interkomunikasi antar pelaku bisnis. Standar
yang ada saat ini antara lain: EDIFACT, ANSI X.12, SPEC
2000, CARGO-IMP, TRADACOMS, IEF, GENCOD,
EANCOM,
ODETTE, CII. Selain standar yang disebutkan di atas,
masih ada formatformat lain yang sifatnya proprietary. Jika
anda memiliki beberapa partner bisnis yang sudah
menggunakan standar yang berbeda, maka anda harus
memiliki sistem untuk melakukan konversi dari satu format
ke format lain. Saat ini sudah tersedia produk yang
dapat melakukan konversi seperti ini.
Business to Consumer eCommerce
Business to Consumer eCommerce memiliki
permasalahan yang berbeda. Mekanisme untuk mendekati
consumer pada saat ini menggunakan bermacam-macam
pendekatan seperti misalnya dengan menggunakan
“electronic shopping mall” atau menggunakan konsep
“portal”.
Keamanan (Security)
Secara umum, keamanan merupakan salah satu
komponen atau servis yang dibutuhkan untuk menjalankan
eCommerce. Beberapa bagian dari keamanan ini sudah
dibahas di atas dalam bagian tersendiri, seperti Infrastruktur
Kunci Publik (IKP), dan privacy. Untuk menjamin
keamanan, perlu adanya kemampuan dalam bidang ini yang
dapat diperoleh melalui penelitian dan pemahaman. Beberapa
topik (issues) yang harus dikuasai antara lain akan didaftar di
bawah ini.
Teknologi Kriptografi. Teknologi kriptografi menjelaskan
bagaimana mengamankan data dengan menggunakan
enkripsi. Berbagai sistem sudah dikembangkan seperti sistem
privae key dan public key. Penguasaan algoritma-algoritma
populer digunakan untuk mengamankan data juga sangat
penting. Contoh algoritma ini antara lain DES, IDEA, RC5,
RSA dan ECC (Ellliptic Curve Cryptography). Penelitian
dalam bidang ini di perguruan tinggi merupakan suatu hal
yang penting. Salah satu masalah dalam mengamankan
enkripsi adalah bagaimana memastikan bahwa hanya sang
penerima yang dapat mengakses data. Anda dapat
menggembok data dan mengirimkannya
bersama kuncinya ke alamat tujuan, tetapi bagaimana
memastikan kunci itu tidak dicuri orang di tengah jalan?
Salah satu cara untuk memecahkannya adalah bahwa si
penerima yang mengirimkan gemboknya, tetapi tidak
mengirimkan kuncinya. Anda menggembok data dengan
gembok yang dikirim olehnya dan mengirimkannya. Si
penerima kemudian akan membukanya dengan kunci
miliknya yang tidak pernah dikirimkannya ke siapa-siapa.
Kini masalahnya bila data yang digembok itu dicuri orang,
tetapi dengan enkripsi yang kompleks akan sangat sulit bagi
orang itu untuk mengakses data yanmg sudah digembok itu.
One Time Pasword. Penggunaan password yang hanya
dapat dipakai sebanyak satu kali. Biasanya password angka
digital yang merandom angka setiap kali transaksi.
Konsultan keamanan. Konsultan, organisasi, dan
institusi yang bergerak di bidang keamanan dapat membantu
meningkatkan dan menjaga keamanan. Contoh organisasi
yang bergerak di bidang ini adalah IDC