SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

Disusun Oleh : Jemmy Esrom Serang

NIM : 55516120030

Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, MM, CMA

Program Studi Magister Akuntansi

FAKULTAS PASCA SARJANA

UNIVERSITAS MERCUBUANA

JAKARTA

2017

Tanggapi dan Jawab Forum minggu ini dengan baik dan relevan

Bagaimanakah Implementasi Sistem Informasi & Pengendalian Internal di perusahaan

saudara dan apa saja kendalanya serta apa rekomendasi saudara untuk perberbaikanya di

masa yang akan datang.

JAWABAN

Mengenai forum minggu ini, Implementasi Sistem Informasi dan Pengendalian Internal.

Perusahaan Adidas merupakan Perusahaan Multiinternasional karena Adidas memiliki kegiatan

produksi dan pemasaran lebih dari satu Negara. Bukan hanya dinegara asing saja Adidas terkenal,

tetapi d Indonesia pun produk-produk Adidas banyak diminati dan cukup terkenal di kalangan

masyarakat luas.

Adidas melalui Biaya, lebih mungkin untuk melakukan outsourcing logistik operasi perusahaan

sejenis yang lain untuk mengurangi biaya operasi.Pada awal pertengahan tahun 1996, perusahaan

Adidas membayar perhatian lebih pada pengendalian biaya logistic. Dengan berulang-ulang

penimbangan, Adidas pada tahun 1996 memutuskan untuk distribusi pakaian dalam outsourcing

US UPS Global perusahaan logistic.

Sejak berdirinya, salah satu kunci keberhasilan Adidas adalah kemampuannya dalam bidang

teknologi informasi. Sejak awal Adidas telah mempunyai suatu sistem database yang teratur dan

sangat baik. Database yang telah ada ini kemudian dimanfaatkan lebih jauh dan diintegrasikan

dengan kebutuhan masa kini. Beberapa sistem yang terjalin adalah sistem CRM (Customer

Relationship Management), sitem SCM (Supply Chain Management) dan ERP (Enterprise

Resource Planning).Untuk melakukan peralihan dari sistem database konvensional menjadi sistem

baru yang lebih terintegrasi, Adidas melakukan BPR (Business Process Engineering). Para mitra

utama juga dituntut untuk melakukan proses BPR, walaupun pada tingkat yang berbeda dari yang

dilakukan oleh Adidas.

1. Database Terpadu

Sejak berdirinya, salah satu kunci keberhasilan Adidas adalah kemampuannya dalam bidang

teknologi informasi. Sejak awal Adidas telah mempunyai suatu sistem database yang teratur dan

sangat baik. Database yang telah ada ini kemudian dimanfaatkan lebih jauh dan diintegrasikan

dengan kebutuhan masa kini. Beberapa sistem yang terjalin adalah sistem CRM (Customer

Relationship Management), sitem SCM (Supply Chain Management) dan ERP (Enterprise

Resource Planning). Untuk melakukan peralihan dari sistem database konvensional menjadi

sistem baru yang lebih terintegrasi, Adidas melakukan BPR (Business Process Engineering). Para

mitra utama juga dituntut untuk melakukan proses BPR, walaupun pada tingkat yang berbeda dari

yang dilakukan oleh Adidas.

2. Sistem CRM (Customer Relationship Management)

Sistem CRM adalah suatu sistem, metodologi, strategi, perangkat lunak (software) dan aplikasi

berbasis web yang mampu membantu sebuah perusahaan untuk mengelola hubungannya dengan

para pelanggan. CRM terdiri atas tiga unsur pokok yaitu manusia, teknologi dan proses Adidas

memanfaatkan sistem CRM secara cukup intensif. Antara lain pemanfaatannya adalah untuk

mengelola program membership. Setiap pelanggan diberikan kartu identitas untuk setiap produk

yang telah dibelinya. Dengan adanya kartu identitas tersebut Adidas dapat diakses langsung oleh

pelanggan untuk memberikan masukan terhadap produk yang dihasilkan sehingga mampu

meningkatkan kepuasan pelanggan. Strategi lain yang dilakukan Adidas adalah menjaga hubungan

dengan ritelnya di setiap wilayah sehingga mampu mempertahankan pertumbuhan pasar. Rencana

yang akan dijalankan adalah untuk menyediakan agen internal untuk melakukan layanan penjualan

yang solid dengan profil pelanggan kelas atas untuk retailers. Infesisensi juga itu harus dihilangkan

untuk menyediakan agen akses ke terintegrasi dan data pelanggan yang relevan. Dengan

menggunakan CRM untuk fokus pada kelompok konsumen utama, adidas berusaha untuk

memperkuat pangsa pasar dan mendukung perjalanan kembali ke nomor satu.

Berikut 8 kunci keberhasilan Adidas dengan CRM :

1. Menjaga hubungan baik dengan pihak ke-3, dalam hal ini berupa pengecer ritel kecil.

2. Membangun kasus bisnis. Sebelum implementasi, adidas mengembangkan kasus bisnis

menguraikan lingkup proyek, anggaran dan target kiriman, dan tujuan kuantitatif dan kualitatif.

3. Saldo efisiensi dan fokus pelanggan. Sejak tahun 2003, teknologi berbasis efisiensi dipotong

€ 758.000 dalam biaya dalam kelompok Layanan Compact sementara profil pelanggan yang

lengkap membantu Adidas menangkap ROI dari keintiman pelanggan yang lebih erat.

4. Percontohan pertama. adidas mengambil langkah-langkah tambahan dalam rencana CRM

dalam rangka untuk mengkompilasi takeaways untuk peluncuran lebih lanjut. Berdasarkan

keberhasilan seorang percontohan awal ini, adidas berencana untuk komponen CIC peluncuran

mySAP CRM di seluruh Eropa dan AS dalam beberapa bulan ke depan.

5. Fokus pada pelanggan berharga. adidas ritel dipisahkan ke dalam tiga kelompok sesuai

dengan nilai mereka untuk perusahaan. Hal ini memungkinkan Adidas untuk mengalokasikan

sumber daya yang optimal untuk pengecer yang tepat pada waktu yang tepat, mengurangi limbah

dan pemotongan biaya.

6. Maksimalkan setiap interaksi. Sebelum CRM , Jasa Compact di agen penjualan tidak

memanfaatkan peluang pendapatan sementara tangkas perintah. Melalui tahun 2003, agen yang

digunakan mySAP CRM CIC untuk membuat rekomendasi yang ditargetkan, sehingga € 257.000

pendapatan tambahan.

7. Membangun channnel ralationship.CRM strategi telah membantu Adidas memupuk

kemitraan yang kaya yang mampu mempengaruhi hasil akhirnya adalah hubungan pelangan.

Hasilnya adalah hubungan yang kuat dengan pengecer dan lebih memnghasilkan kepuasan

pelanggan dan lebih terintegrasi ke konsumen akhir.

8. Konsultasikan pengguna akhir. Tim adidas proyek CRM termasuk pengguna akhir dari solusi

CRM mySAP CIC. Hal ini terus pelaksanaan difokuskan pada pemberdayaan pengguna dalam

rangka untuk mendorong kembali untuk mencapai investasi serta indikator kunci keberhasilan

3. Sistem SCM (Supply Chain Management)

Sistem SCM adalah suatu sistem, metodologi, strategi, perangkat lunak (software) dan aplikasi

berbasis web yang mampu membantu sebuah perusahaan untuk mengelola hubungannya dengan

para pemasok. Supply Chain Management (SCM) adalah pengelolaan semua proses untuk

merancang, manufaktur operasi, koordinasi, dan pengendalian, layanan, dan sistem distribusi.

Untuk menggambarkan apa definisi abstrak berarti, kita berikutnya menjelaskan rantai pasokan

untuk sepatu olahraga disesuaikan dan menggambarkan beberapa aspek khas dari Supply Chain

Management. Contoh ini akan memberi Anda pemahaman yang baik tentang jenis tantangan kita

berurusan dengan dalam Manajemen Supply Chain. Beberapa tahun lalu, Adidas memulai sebuah

konsep baru untuk menyediakan pelanggan dengan produk baru dan inovatif: sepatu disesuaikan

dengan individu pelanggan . Inovasi adalah bahwa pelanggan dapat memesan sepatu olahraga yang

disesuaikan dengan kaki mereka.

Sebagai contoh, panjang dan lebar masing-masing sepatu disesuaikan dengan kaki pelanggan.

Selain itu, pelanggan dapat memilih dari berbagai macam pilihan desain seperti warna dan bordir.

Dan pelanggan dapat memutuskan pada profil pejantan, tergantung pada penggunaan yang

dimaksudkan sepatu. Ini menyediakan pelanggan dengan dimensi baru fleksibilitas. Sepatu buatan

tangan selalu dipasang ke kaki pelanggan. Layanan baru Adidas juga sesuai dengan sepatu untuk

kaki pelanggan , serta menghasilkan sepatu di fasilitas produksi massal. Oleh karena itu, harga

sebuah sepatu Adidas secara signifikan lebih rendah dari sepatu buatan tangan. Adidas berlabel

inisiatif baru untuk produk ini mi adidas.

4. Sistem ERP (Enterprise Resource Planning)

Sistem informasi ERP (Entreprise Resource Planning) merupakan suatu sistem informasi yang

diperuntukkan bagi perusahan manufaktur maupun jasa yang berperan mengintegrasikan dan

mengotomasikan proses bisnis yang berhubungan dengan aspek operasi, produksi maupun

distribusi di perusahaan bersangkutan. Dalam Perkembangan ERP tidak terlepas dari

perkembangan rekayasa pabrikasi (manufacturing) itu sendiri. Kebutuhan akan informasi dari

proses pabrikasi juga semakin banyak yang akan berguna bagi setiap pelaku dari pabrikasi baik

pelaksanan maupun pengambil keputusan. Perkembangan ERP melalui tahapan yang sangat lama

dengan mengembangkan dari sistem yang telah lahir sebelumnya. Adidas memanfaatkan sistem

ERP dengan . Pemanfaatan yang utama adalah perencanaan penggunaan bahan baku, dengan

mempertimbangkan pesanan, estimasi permintaan pasar dan ketersediaan bahan baku. Dalam

upaya untuk menghilangkan waktu respon yang lama, adidas bekerja sama dengan AT & T untuk

mengembangkan dan menerapkan manajemen pesanan sistem perangkat lunak untuk perwakilan

bidang penjualan. Sehingga Adidas tidak sendirian dalam melakukan usahanya.

5. Pemanfaatan Internet, Intranet dan Ekstranet

Salah satu komponen penting dari teknologi informasi adalah tersedianya jaringan komunikasi

yang dapat digunakan oleh berbagai individu atau perusahaan untuk meningkatkan efisiensi dan

efiktivitas. Sistem jaringan komunikasi terdiri atas beberapa lapisan, yaitu:

• Internet

• Intranet

• Extranet

Tentu saja Adidas tidak akan melewatkan kesempatan untuk memanfaatkan jaringan ini.

Terbentuknya suatu jaringan yang baik dapat mengatasi permasalahan rintangan geografis, waktu,

biaya dan struktur. Adidas Untuk memiliki kebijakan tersendiri dalam memanfaatkan setiap

lapisan jaringan. Dengan demikian dapat dikatakan bahwa Adidas adalah sebuah virtual company,

dimana terdapat sistem informasi yang digunakan untuk menjembatani Adidas, pemasok dan

pelanggannya. Sebagai virtual company Adidas memanfaatkan penggunaan E-Commerce,

Internet, dan World Wide Web.

· Internet

Internet adalah suatu jaringan komputer publik yang luas dan mendunia, yang dapat

menghubungkan jutaan pengguna komputer di seluruh dunia. Di dalamnya terdapat berbagai

sumber daya informasi baik statis, dinamis maupun interaktif. Fasilitas yang tersedia di internet

antara lain adalah layanan e-mail, network news, file transfer (FTP), remote login (telnet),

pencarian informasi (Gopher dan WWW), komunikasi audio dan video. Adidas mempergunakan

internet ini untuk menghubungkan seluruh pihak yang berkepentingan, mulai dari Adidas sendiri,

mitra, pemasok, pelanggan, dan instansi lainnya (misalnya pemerintah dan konsulat di luar negeri).

Penggunaan internet pada Adidas adalah:

· Sebagai media publikasi informasi dan promosi. Pengguna internet di seluruh dunia bisa

mendapatkan informasi mengenai profil perusahaan dan mitra-mitra utama, informasi mengenai

ukiran jati secara umum, serta informasi produk-produk ukiran secara spesifik.

· Sebagai media komunikasi antara Adidas, mitra-mitra utama, pemasok, pelanggan (dan

bahkan calon pelanggan), serta berbagai instansi.

· Pemanfaatan e-commerce yang memungkinkan terjadinya kontak transaksi perdagangan.

Dengan penggunaan internet, Adidas mempunyai jangkauan pasar yang sangat luas yaitu pasar

global. Pelanggan dapat berasal dari negara manapun dan dapat melakukan transaksi atau

pemesanan kapanpun. Untuk menunjang perluasan pasar, Adidas membuat website yang menarik

dengan katalog lengkap dan informatif yang dapat diakses kapan saja dan dari mana saja.

· Intranet

Intranet adalah suatu jaringan internal antara beberapa perusahaan atau instansi yang berafiliasi.

Akses intranet memerlukan identifikasi pengguna dan password, hingga hanya dapat diakses oleh

pengguna tertentu. Pengguna intranet secara otomatis memiliki akses internet, namun tidak berlaku

sebaliknya. Adidas memanfaatkan intranet sebagai sarana untuk melakukan komunikasi internal

antara Adidas sendiri dengan mitra-mitra utamanya. Seluruh karyawan Adidas dan mitra-mitra

utama memiliki user name dan password tersendiri.

· Ekstranet

Ekstranet adalah jaringan komputer yang digunakan oleh perusahaan dalam rangka menyediakan

informasi nonpublik kepada pihak-pihak tertentu, seperti rekan bisnis atau konsumen. Ekstranet

mungkin terlihat mirip dengan Web biasa, namun pengguna harus memasukan password atau

menggunakan enkripsi digital untuk menggunakannya. Sebagai contoh, jasa kurir Federal Express

menggunakan ekstranet yang memungkinkan konsumen melacak paket yang dikirim

menggunakan nomor pelacakan paket. Penggunaan ekstranet pada Adidas antara lain adalah:

· Sebagai media pertukaran informasi antara Adidas, mitra, pemasok dan pelanggan yang

telah terdaftar. Calon pelanggan yang mendaftarkan diri otomatis akan dapat mengakses ekstranet.

· Sebagai sarana pemantauan account secara online dan realtime bagi para pemasok dan

pelanggan yang terdaftar.

6. Pengamanan Sistem Informasi

Perkembangan teknologi di bidang informasi yang sangat pesat memiliki berbagai dampak, baik

positif maupun negatif, pada kehidupan manusia. Salah satu dampak negatif adalah timbulnya

kejahatan informasi. Selain itu sistem informasi juga memiliki berbagai kerawanan yang harus

dikenali agar dapat diantisipasi. Tindakan yang diambil untuk meminimalkan dampak negatif dan

mengelola kerawanan adalah merancang pengamanan sistem informasi. Beberapa unsur

pengamanan sistem informasi:

· Pengamanan fasilitas dan hardware secara fisik

· Pengamanan akses dan wewenang

· Pengamanan data elektronik, mencakup menjamin ketersediaan data, mencegah kerusakan

dan korupsi data, mencegah penggunaan data oleh pihak yang tidak berhak, menjamin

pemuktahiran dan validitas data.

· Pengamanan komunikasi jaringan dalam pemanfaatan internet, ekstranet dan intranet.

Dari berbagai metode yang tersedia untuk melakukan pengamanan sistem informasi, Adidas

memilih untuk menerapkan beberapa cara berikut ini:

· Pengaturan authentification. Setiap karyawan, baik Adidas maupun mitra-mitra utama,

memiliki Username dan password masing-masing.

· Pengaturan ruangan-ruangan khusus sebagai pusat kegiatan sistem informasi. Di setiap

kantor mitra-mitra utama terdapat ruangan khusus komputer, yang hanya dipakai selama jam kerja

normal. Sedangkan di kantor Adidas, terdapat ruangan komputer untuk pengguna, dan ruangan

server khusus, keduanya selalu dimonitor selama 24 jam sehari. Hal ini diperlukan, karena intranet

terhubung dengan seluruh dunia, dan kadang membutuhkan respon yang cepat pada jam

berapapun.

· Pengaturan akses penggunaan komputer. Setiap karyawan, baik Adidas maupun mitra-mitra

utama, memiliki pengaturan akses masing-masing, sesuai dengan jenis pekerjaan dan tanggung

jawabnya. Sebagai contoh, bagian penjualan mempunyai akses terhadap data pelanggan dan

transaksi penjualan, dan bagian pembelian mempunyai akses terhadap data pemasok dan transaksi

pembelian, sedangkan bagian akunting mempunyai akses terhadap segala jenis data transaksi, baik

penjualan maupun pembelian. Sistem komputer dan internetworking dapat mengenali tingkat

akses seseorang berdasarkan username orang tersebut.

· Penggunaan anti virus secara intensif.

· Penggunaan beberapa metoda pengamanan jaringan, misalnya firewall dan network scanner

· Pelaksanaan backup data secara periodik di media penyimpanan hard disk eksternal dan

DVD.

· Adanya tim khusus di Adidas yang bertugas untuk mengawasi penggunaan sistem informasi

baik internal maupun eksternal. Tim ini juga siap sedia setiap saat untuk menangani masalah-

masalah normal maupun tidak normal seputar sistem informasi dan internetworking, baik masalah

Adidas sendiri maupun masalah mitra, pemsok ataupun pelanggan-pelanggan utama.

· Pengamanan transaksi e-commerce

Jawablah Quiz minggu ini dengan baik dan benar:

Jelaskan apa yang dimaksud tiga pointer di bawah ini dalam Sistem Pengendalian

Internal (SPI) dan beri contohnya, baik yang di impelementasikan pada perusahaan

saudara atau yang saudara peroleh dari referensi lain:

1) Pengendalian preventif, detektif dan korektif.

2) Integritas dan keandalan pemrosesan.

3) Authorization/access control

Selamat menjawab Quiz..!

JAWABAN

1) Pengendalian preventif, detektif dan korektif.

A. Model Preventive adalah teknik pasif yang didesain untuk mengurangi frekuensi munculnya

pristiwa pristiwa yang tidak diinginkan. Pengendalian preventif sering disebut juga dengan

pengendalian sebelum fakta pengendalian ini digunakan untuk mencegah ketidak efisienan.

Contoh :

Memeriksa program baru atau berkas-berkas baru yang mengandung makro dengan

program anti virus sebelum dipakai.

Menyadarkan pada setiap pemakai untuk waspada terhadap virus.

B. Model Detektif adalah kontrol detektif disebut juga dengan kontrol pertahanan kedua. Yang

termasuk kontrol ini adalah perlatan, teknik dan prosedur yang didesain untuk

mengidentifikasikan dan mengekspos kejadian-kejadian yang tidak diinginkan yang terlepas

dari kontrol preventif.kontrol deteksi mengungkapkan kesalahan spesifik dengan

membandingkan data actual dan standar yang sudah ditetapkan sebelumnya.

Contoh :

Secara rutin menjalankan program antivirus untuk mendeteksi infeksi virus.

Melakukan pembandingan ukuran-ukuran berkas untuk mendeteksi perubahan ukuran

pada berkas

Melakukan pembandingan tanggal berkas untuk mendeteksi perubahan tanggal berkas.

C. Tindakan-tindakan yang diambil untuk mengembalikan efek dari kesalahan yang telah

dideteksi dalam langkah sebelumnya. Perbedaan penegndalian deteksi dan koreksi adalah

penegndalian deteksi mengkalsikasikan pristiewa-pristiwa yang tidak diingikan sedangkan

penegedalian koreksi lebih pada memperbaiki pada masalah.

Contoh :

Memastikan pem-backup-an yang bersih

Memiliki rencana terdokumentasi tentang pemulihan infeksi virus

Menjalankan program antivirus untuk menghilangkan virus dan program yang tertular

Jika dikaitkan dengan sistem informasi sebagai contoh dokumen merupakan asset penting

bagi perusahaan. Sehingga dokumen-dokemen diproteksi dengan sebaik-baiknya oleh perusahaan,

salah satu tujuan dari pengendaliuan intern adalah mengamankan asset perusahaan. Salah satu

contoh penerapan model pengendalian intern pada perusahaan dengan mengamankan dokumen

atau asset perusahaan agar terhindar dari virus .

Sebagai perusahaan yang sudah terintegrasi dengan sistem informasi dokumen-dokumen

yang disimpan di komputer rentan sekali dengan terkena virus komputer yang dapat merusak atau

bahkan menghilangkan dokumen penting perusahaan. Untuk menghindari terjangkitnya virus.

Administrator perlu menggunakan pengendalian preventif, detektif dan korektif.

Kesimpulan

pengendalian intern sangat penting bagi perusahaan untuk mengurangi tingkat resiko yang

dihadapi perusahaan. Karena tujuan pengendalian intern adalah menjaga asset perusahaan. Dengan

adanya tiga model pengendalian intern resiko dapat dikurangi. Karena ketiga model tersebut saling

berkesinambungan jika diinterpretasikan bahwa pengendalian preventif adalah proses kehati-

hatian sedangkan detektif adalah proses dimana mengkalsifikasikan kesalahan, dan korektif adalah

mengeksekusi kesalahan.

2) Integritas dan keandalan pemrosesan

Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi

organisasi, harus menjadi prioritas pihak manajemen puncak. Oleh karena sistem informasi

berkembang, begitu pula dengan sistem pengendalian internal. Ketika bisnis bergeser dari sistem

manual ke sistem komputer utama, pengendalian baru harus dikembangkan untuk menurunkan

atau mengendalikan risiko yang dibawa oleh sistem informasi berdasarkan komputer yang baru

ini. Oleh karena adanya pergeseran ke lingkungan e-commerce berdasarkan Internet, pengendalian

baru perlu dikembangkan untuk mengendalikan munculnya risiko-risiko baru.

Untungnya, perkembangan dalam sistem informasi dan dalam TI juga memberikan

kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya.

Apa yang Terdapat dalam Sistem Andal?

Ada 4 prinsip secara umum untuk menetapkan apakah suatu sistem andal atau tidak, yaitu:

1. Ketersediaan (availability). Sistem tersebut tersedia untuk dioperasikan dan digunakan dengan

mencantumkannya pada pernyataan atau perjanjian tingkat pelayanan.

2. Keamanan (security). Sistem dilindungi dari akses fisik maupun logis yang tidak memiliki

otorisasi. Hal ini akan membantu mencegah: a) penggunaan yang tidak sesuai, pemutarbalikan,

penghancuran atau pengungkapan informasi dan software, serta, b) pencurian sumber daya

sistem.

3. Dapat dipelihara (maintainability). Sistem dapat diubah apabila diperlukan tanpa

mempengaruhi ketersediaan, keamanan, dan integritas sistem. Hanya perubahan dokumen

yang memiliki otorisasi dan teruji sajalah yang termasuk dalam sistem dan data terkait. Bagi

seluruh perubahan yang telah direncanakan dan dilaksanakan, harus tersedia sumber daya yang

mengelola, menjadwalkan, mendokumentasikan, dan mengkomunikasikan perubahan ke pihak

manajemen dan para pemakai yang memiliki otorisasi.

4. Integritas (integrity). Pemrosesan sistem bersifat lengkap, akurat, tepat waktu dan diotorisasi.

Sebuah sistem dikatakan memiliki integritas apabila dapat melaksanakan fungsi yang

diperuntukkan bagi sistem tersebut secara keseluruhan dan bebas dari manipulasi sistem, baik

yang tidak diotorisasi maupun yang tidak disengaja.

Bagi setiap prinsip keandalan di atas, tiga kriteria berikut ini dikembangkan untuk mengevaluasi

pencapaian prinsip-prinsip tersebut, yaitu:

1. Entitas memiliki tujuan kinerja (performance objective), kebijakan, dan standar yang telah

ditetapkan, didokumentasikan, dan dikomunikasikan, dan telah memenuhi tiap prinsip

keandalan. Tujuan Kinerja didefinisikan sebagai tujuan umum yang ingin dicapai entitas.

Kebijakan adalah peraturan-peraturan yang memberikan arah formal untuk mencapai tujuan,

dan mendorong kinerja. Standar merupakan prosedur yang dibutuhkan dalam implementasi,

agar sesuai dengan kebijakan.

2. Entitas menggunakan prosedur, sumber daya manusia, software, data dan infrastruktur untuk

mencapai setiap prinsip keandalan, dengan berdasarkan pada kebijakan dan standar yang telah

ditetapkan.

3. Entitas mengawasi sistem dan mengambil tindakan untuk mencapai kesesuaian dengan tujuan,

kebijakan, dan standar, untuk setiap prinsip keandalan.

Pengendalian yang Berhubungan dengan Beberapa Prinsip Keandalan

Pengendalian berikut ini sesuai untuk beberapa prinsip keandalan, yaitu: perencanaan strategis dan

penganggaran, mengembangkan rencana keandalan sistem, dan melaksanakan dokumentasi.

Tabel Ringkasan Pengendalian Umum Utama Keandalan

Kategori Pengendalian Ancaman/Risiko Pengendalian

Perencanaan strategis dan

penganggaran

Sistem Informasi mendukung

strategi bisnis, kurangnya

penggunaan sumber daya,

kebutuhan informasi tidak

dipenuhi atau tidak dapat

ditanggung

Rencana strategis berlapis

yang secara periodik

dievaluasi, tim penelitian dan

pengembangan untuk menilai

dampak teknologi baru atas

jalannya bisnis, anggaran

untuk mendukung rencana

strategis.

Mengembangkan rencana

keandalan sistem

Ketidakmampuan untuk

memastikan keandalan sistem

Memberikan tanggung jawab

perencanaan ke pihak

manajemen puncak; secara

terus-menerus meninjau dan

memperbarui rencana;

mengidentifikasi,

mendokumentasikan, dan

menguji kebutuhan, tujuan,

kebijakan, dan standar

keandalan pemakai;

mengidentifikasi dan

meninjau seluruh persyaratan

hukum yang baru maupun

yang telah diubah; mencatat

permintaan pemakai atas

perubahan;

mendokumentasikan,

menganalisis, dan

melaporkan masalah dalam

hal keandalan sistem;

menetapkan tanggung jawab

kepemilikan, penyimpanan,

akses, dan pemeliharaan atas

sumber daya informasi;

mengembangkan program

kesadaran atas keamanan

serta mengkomunikasikannya

pada seluruh pegawai;

meminta pegawai baru untuk

menandatangani perjanjian

keamanan; melaksanakan

penilaian risiko atas seluruh

perubahan dalam lingkungan

sistem.

Dokumentasi Desain, operasi, tinjauan,

audit, dan perubahan sistem

yang tidak efektif

Dokumentasi dapat

diklasifikasikan menjadi 3

kategori dasar, yaitu: (1)

Dokumentasi administratif

(standar dan prosedur untuk

memproses, menganalisis,

mendesain, memprogram,

menangani file dan

menyimpan data), (2)

dokumentasi sistem (input

aplikasi, tahap pemrosesan,

output, kesalahan

penanganan), (3)

dokumentasi operasional

(konfigurasi perlengkapan,

program, file, susunan dan

pelaksanaan prosedur,

tindakan korektif).

3) Authorization/access control

Salah satu bagian mendasar dalam Information System Security adalah Access Control. Menurut

definisi dari CISSP (Certified Information System Security Profesional) Study Guide, Access

Control didefinisikan sebagai suatu proses untuk mengatur / mengontrol siapa saja yang berhak

mengakses suatu resource-rosource tertentu yang terdapat di dalam sebuah sistem.

Di dalam proses ini akan diidentifikasi siapa yang sedang melakukan request untuk mengases suatu

resource tertentu dan apakah orang tersebut memiliki hak akses (authorized) untuk mengakses

resource tersebut.

Access control memproteksi data terhadap unauthorize access atau akses yang dilakukan oleh

orang yang memang tidak memiliki hak akses terhadap reource tersebut. Akses di sini bisa berupa

melihat data (view) ataupun melakukan perubahan terhadapt suatu data (modify).

Dengan demikian Access Control mendukung terwujudnya

1. Confidentiality

Memastikan data hanya bisa dilihat oleh orang yang memiliki hak akses untuk melihat data

tersebut atau dikenal dengan istilah No Unauthorized Read

2. Integrity

Memastikan data hanya bisa ditulisi dan diubah oleh orang yang memiliki hak akses untuk

melakukan penulisan ataupun pengubahan terhadap data tersebut atau dikenal dengan istilah No

Unauthorized Write

Ketika membahas tentang Access Control, kita akan menemui dua entitas utama yang terlibat,

yaitu

1. Subject of the Access Control

Yang menjadi subject di sini adalah entitas yang mengajukan request / permintaan untuk

melakukan akses ke data.

2. Object of the Access Control

Yang menjadi object di sini adalah entitas yang mengandung atau mengatur data. Atau dengan

kata lain object adalah resource yang tersedia di dalam suatu sistem

Least Privilege

Dalam menyusun dan membuat perencanaan Access Control, salah satu prinsip yang harus

dipegang adalah Least Privilege. Yang dimaksud dengan Least Privilege di sini adalah hanya

memberikan hak akses yang memang dibutuhkan oleh subject yang bersangkutan untuk

melakukan tugas-tugas yang memang menjadi bagian dari tanggung jawabnya. Yang perlu dicatat

di sini adalah jangan pernah memberikan akses penuh (Full Access) terhadap semua resource yang

tersedia di dalam sistem kepada subject. Berikan hak akses sesuai dengan yang dibutuhkannya.

Tujuan utama dari prinsip ini adalah meminimalisir terjadinya Authorization Creep atau suatu

kejadian yang tidak disengaja di mana suatu subject diberi hak akses yang seharusnya tidak dia

miliki. Kondisi ini tentunya memiliki potensi untuk memunculkan threat / ancaman terhadap

sistem yang kita miliki.

Access Control sendiri dapat dibagi menjadi 3, yaitu Physical Access Control, Administrative

Access Control, dan Logical Access Control.

Physical Access Control

Physical Access Control ditujukan untuk membatasi akses secara fisik ke perangkat hardware yang

membangun suatu sistem

Physical Access Control terbagi menjadi tiga bentuk, yaitu

1. Perimiter Security

Perimiter Security bertujuan untuk membatasi akses masuk ke area atau lokasi di mana perangkat

hardware berada. Contoh nyata dari penerapan Perimiter Security adalah penggunaan pagar dan

tembok, penerapan limited access room di mana hanya beberapa orang saja yang diijinkan

memasuki suatu ruangan tertentu. Pembatasan masuk ruangan bisa dilakukan menggunakan

kunci ruangan ataupun perangkat autentikasi semisal card reader dan perangkat biometric seperti

finger print scanner.

2. Cable Protection

Proteksi kabel dapat dilakukan melalui beberapa cara, yaitu shielding untuk meningkatkan

ketahanan terhadap EMI (Electro Magnetic Interference), memilih jenis kabel yang tahan

terhadap EMI seperti fiber optic, dan juga penggunaan conduit untuk memproteksi kabel dari

gangguan kerusakan secara fisik seperti misalnya gigitan tikus.

Penggunaan cable shielding dimaksudkan untuk memproteksi data yang dilewatkan melalui suatu

kabel dari gangguan EMI (protected the data). Sedangkan penggunaan conduit dimaksudkan

untuk memproteksi kabel itu sendiri secara fisik dari serangan yang mungkin mengakibatkan

kerusakan secara fisik (protected the cable).

3. Pembagian Area Kerja (separation of duties and work areas)

Pembagian area kerja secara fisik di antara karyawan ditujukan untuk meminimalisir terjadinya

shoulder surfing. Yang dimaksud dengan istilah shoulder surfing adalah di mana seorang

karyawan dapat melihat dan mengamati aktifitas yang dilakukan oleh karyawan lainnya dengan

mengintip lewat balik bahu. Memang terdengar konyol, tetapi beberapa aksi pencurian password

juga dilakukan dengan mekanisme seperti ini. Selain itu, dengan membagi area kerja secara fisik

dapat menghidarkan seorang karyawan untuk mengetahui dan mempelajari keseluruhan proses

yang sifatnya sensitif. Seorang karyawan hanya mengetahui sebagian saja dari proses sensitif

tersebut yaitu proses yang memang menjadi bagian dari area kerja dan tanggung jawabnya.

Administrative Access Control

Administrative Access Control akan berisi sekumpulan peraturan dan strategi untuk membatasi

akses terhadap suatu resource tertentu dalam upaya pengaman terhadap sistem. Selain itu,

Administrative Access Control juga berbicara mengenai mekanisme monitoring / pengawasan dan

pendeteksian terhadap pelanggaran akses terhadap suatu resource.

Ada 4 point utama yang terkandung dalam Administrative Access Control, yaitu:

1. Policies and Procedure

Di sini berbicara mengenai penyusunan aturan / kebijakan dan prosedur yang jelas berkaitan

dengan akses terhadap resource-resource yang terdapat di dalam sistem. Dalam point ini peranan

dan dukungan dari pimpinan dalam tataran eksekutif sangatlah penting sehingga kebijakan dan

juga prosedur yang sudah disusun memiliki kekuatan (dan terkadang memang perlu agak

dipaksakan) untuk bisa diimplementasikan dan diikuti oleh semua karyawan yan terlibat di dalam

sistem. Tanpa adanya dukungan dari pimpinan maka kebijakan dan prosedur yang sudah disusun

menjadi powerless atau tak memiliki kekuatan apa-apa.

2. Hiring Pratices

Di sini berbicara mengenai mekanisme perekrutan karyawan baru. Dalam proses perekrutan,

salah satu point yang perlu diperhatikan adalah tanggapan dan pendapat dari si calon karyawan

tersebut berkenaan dengan kebijakan dan prosedur yang sudah disusun. Rekrutlah karyawan

yang memang sejalan dan sependapat dengan kebijakan dan prosedur yang berlaku di

perusahaan.