Pengendalian Com 1 Ori
-
Upload
ilham-habibullah -
Category
Documents
-
view
97 -
download
2
description
Transcript of Pengendalian Com 1 Ori
Pengendalian Sistem Informasi Berbasis Komputer
Otorisasi Transaksi
• Prosedur otorisasi merupakan pengendalian yang memastikan bahwa karyawan perusahaan hanya memproses transaksi yang sah dalam ruang lingkup yang telah ditentukan
• Dalam lingkungan CBIS, transaksi diotorisasi oleh peraturan yang sudah terpogram dalam program komputer
• Tanggung jawab untuk mewujudkan otorisasi transaksi yang tepat terletak langsung pada ketepatan dan intergritas program komputer yang mengendalikan tugas ini
Pemisahan Tugas
• Dalam lingkungan CBIS, pemisahan tugas tidak sama dengan sistem manual, sebuah komputer dapat mengotorisasi pembelian, proses pesanan pembelian, dan record untuk utang usaha.
• Penekanan pengendalian bergeser kepada aktivitas-aktivitas yang dapat mengancam aplikasi
• Aktivitas pengembangan program, operasi program dan pemeliharaan program merupakan fungsi-fungsi utama CBIS yang harus terpisah
Pengawasan
Dalam lingkungan CBIS, pengawasan harus lebih besar dari yang manual dengan alasan :
1. Perekrutan karyawan yang kompeten.2. Mencerminkan perhatian pihak manajemen
terhadap dapat dipercayanya para personel dalam wilayah pekerjaan yang berisiko tinggi
3. Ketidakmampuan pihak manajemen untuk mengamati para karyawan secara memadai dalam lingkungan CBIS
Catatan Akuntansi
• Dalam lingkungan CBIS, dokumen dan jejak audit dapat memiliki bentuk yang berbeda dan tidak biasa
• Dalam beberapa CBIS, dokumen sumber fisik tidak digunakan, dokumen sumber dan akun buku besar disimpan secara magnetis di berbagai alat penyimpanan besar
• Pihak perusahaan, akuntan, dan auditor harus memahami prinsip-prinsip operasional sistem manajemen data yang digunakan
Pengendalian Akses
• Dalam lingkungan CBIS, catatan akuntansi cenderung terkonsentrasi dalam pusat pemprosesan data atau perangkat penyimpanan massal
• Konsolidasi data menghadapkan organisasi pada dua ancaman :
1.Penipuan2. Bencana• Isu pengendalian akses lainnya dalam lingkungan
CBIS adalah pengendalian akses ke program komputer
Verifikasi Independen
• Melalui prosedur verifikasi independen, pihak menejemen dapat menilai :
1.Kinerja individual2.Integritas sistem pemprosesan transaksi3.Kebenaran data yang terdapat dalam catatan
akuntansi• Dalam lingkungan CBIS, para akuntan dan auditor
melakukan evaluasi pengendalian terhadap aktivitas pengembangan dan pemeliharaan sistem serta terkadang dengan memeriksa logika internal
Struktur Pengendalian Internal UntukEksposur CBIS
1. Pengendalian sistem operasi2. Pengendalian manajemen data3. Pengendalian struktur organisasi4. Pengendalian pengembangan sistem5. Pengendalian pemeliharaan sistem6. Keamanan dan pengendalian pusat
komputer7. Pengendalian internet dan intranet8. Pengendalian pertukaran data elektronik9. Pengendalian komputer pribadi10.Pengendalian aplikasi
Wilayah Risiko Sifat Eksposur Teknik Pengendalian
1. Sistem Operasi Ancaman yang bersifat kebetulan dan disengaja, termasuk usaha-usaha untuk mengakses data secara ilegal, melanggar privasi pengguna, atau melakukan tindakan kejahatan
Pengendalian khusus untuk akses, pengendalian kata sandi, pengendalian virus, pengendalian jejak audit, dan pengendalian kesalahan
2. Manajemen Data Pendukung data yang tidak memadai dan akses yang tidak diotorisasi oleh personel yang memiliki otoritas maupun tidak
PENGENDALIAN CADANGANProsedur pembuatan cadangan grandparent-parent-child, cadangan file akses langsung, serta cadangan basis data dan prosedur pemulihanPENGENDALIAN AKSESSubskema, kata sandi, peraturan otorisasi, prosedur yang ditentukan pengguna, enskripsi, perangkat biometrik
Wilayah Risiko Sifat Eksposur Teknik Pengendalian
3. Struktur Organisasi
Pemrograman dan operator yang melakukan fungsi-fungsi yang saling bertentangan dapat melakukan penipuan dalam pemrograman. Standar dokumentasi mungkin tidak memadai untuk mendukung audit.File data dalam perpustakaan pita rentan terhadap kehilangan, penghancuran dan akses ilegal.
Fungsi-fungsi pemrograman, operasi komputer, pustakawan pita, dan administrator basis data harus dikelola secara terpisah.
4. Pengembangan sistem
Pengembangan proyek yang tidak terotorisasi menghasilkan aplikasi yang keliru terhadap sumber daya keuangan.Proyek-proyek yang diprioritaskan dengan tidak benar akan menghasilkan penetapan alokasi sumber daya yang tidak efisien. Sistem yang baru diimplementasikan berisi kesalahan besar, penipuan, atau gagal memenuhi kebutuhan pengguna. Dokumentasi sistem yang kualitasnya buruk merintangi aktivitas audit dan pemeliharaan
Otorisasi sistem, aktivitas yang dispesifikasi oleh pengguna, aktivitas desain teknis, partisipasi audit internal, pengujian program, dan pengujian pengguna, serta prosedur penerimaan.
Wilayah Risiko Sifat Eksposur Teknik Pengendalian
5. Pemeliharaan sistem
Perubahan yang tidak diotorisasi dapat menyebabkan kesalahan program, penipuan, penyajian informasi yang salah dalam laporan keuangan dan ke pengguna, kegagalan sistem, dan perusakan yang parah pada operasi
Otorisasi program pemeliharaan, keterlibatan pengguna, spesifikasi teknik, pengujian program, dokumentasi, dan pengendalian peranti lunak untuk perpustakaan program sumber
6. Pusat Komputer Kerugian dan pencurian peralatan fisik dan kekacauan sistem yang disebabkan oleh kegagalan peranti lunak, kegagalan peranti keras, hilangnya daya, dan bencana fisik
Konstruksi fisik, lokasi, akses terbatas ke fasilitas komputer, pendingin ruangan, pasokan daya listrik cadangan, serta rencana pemulihan dari bencana
Wilayah Risiko Sifat Eksposur Teknik Pengendalian
7. Internet dan Intranet
Kerugian, penghancuran, dan korupsi data karena kegagalan peralatan dan tindakan subversif dari dalam organisasi melalui internet
PENGENDALIAN KEGAGALAN PERALATAN :Pemeriksaan paritas, pemeriksaan echo, dan cadanganPENGENDALIAN ANCAMAN SUBVERSIF :Akses, enskripsi pesan, tanda tangan digital, sertifikat digital, dan firewallPENGENDALIAN PESAN:Penomoran berurutan, kode autentikasi, catatan transaksi, pengelompokan permintaan tanggapan.
Wilayah Risiko Sifat Eksposur Teknik Pengendalian
8. Pertukaran Data Elektronik
Pemrosesan yang tidak memiliki otoritas, tidak valid, dan transaksi-transaksi yang ilegal.Akses ilegal oleh mitra usaha ke basis data.Tidak adanya dokumen sumber, sehingga mengacaukan jejak audit tradisional, yang menghambat kemampuan auditor untuk memverifikasi kelengkapan dan akurasi transaksi
Pengendalian otorisasi dan validasi, pengendalian akses, pengendalian jejak audit yang diimplementasikan pada berbagai titik dalam sistem mitra usaha dan pada VAN
9. Komputer Pribadi Kerugian keuangan karena kesalahan program dan penipuan karena pemisahan fungsi-fungsi yang tidak memadai.Penghancuran dan korupsi data karena akses yang tidak terkendali ke file dan kegagalan peranti keras.Cadangan data dan fitur-fitur pemulihan yang tidak memadai
Pengendalian organisasi, pengendalian akses, pengendalian cadangan, pengendalian pemilihan sistem dan akuisisi, penguncian disket, enskripsi, kata sandi multilevel.
1. Pengendalian Operasi
Sistem operasi harus mencapai tujuan yang pengendalian yang mendasar :
1. Sistem operasi harus melindungi dirinya sendiri dari para pengguna
2. Sistem operasi melindungi pengguna dari pengguna lainnya
3. Sistem operasi harus melindungi dirinya sendiri
4. Sistem operasi harus dilindungi dari lingkungannya
1. Pengendalian Operasi
Keamanan sistem operasi melibatkan kebijakan, prosedur dan pengendalian yang menentukan siapa saja yang dapat mengakses sistem operasi, sumber daya yang dapat mereka akses dan tindakan yang dapat mereka lakukan
Komponen-komponen keamanan yang terdapat dalam sistem operasi yang aman :
• Prosedur log-on• Kartu akses• Daftar pengendalian akses
1. Pengendalian Operasi
Eksposur tersebut berasal dari 3 sumber :1.Personel yang memiliki hak istimewa dan
menyalahgunakan otoritas yang dimilikinya2.Individu, baik internal maupun eksternal
organisasi yang memanfaatkan kelemahan sistem
3.Individu yang sengaja atau tidak sengaja menyisipkan virus komputer atau bentuk program destruktif ke dalam sistem
1. Pengendalian Operasi
TEKNIK PENGENDALIAN SISTEM OPERASI1. Pengendalian hak istimewa dalam
mengaksesHak istimewa harus diadministrasi dengan hati-hati dan diawasi secara ketat agar sesuai dengan kebijakan organisasi dan prinsip-prinsip pengendalian internal
2. Pengendalian kata sandi3. Pengendalian terhadap virus dan program
destruktif lainnyaAncaman ini dapat dikurangi secara substansial melalui kombinasi pengendalian teknologi dan prosedur administrasi
1. Pengendalian Operasi
TEKNIK PENGENDALIAN SISTEM OPERASI4. Mengendalikan jejak audit
Jejak audit merupakan catatan harian yang dapat didesain untuk mencatat aktivitas pada sistem, aplikasi pada tingkat pengguna
Tujuan dari jejak audit :• Mendeteksi akses yang tidak diotorisasi• Merekontruksi peristiwa• Akuntabilitas pribadi
2. Pengendalian Manajemen Data
Pengendalian manajemen data memiliki 2 kategori:1. Pengendalian akses.
Pengendalian akses dirancang untuk mencegah individu yang tidak memiliki otorisasi untuk memeriksa, mengambil dan merusak data organisasi
2. Pengendalian PendukungPengendalian pendukung memastikan bahwa dalam peristiwa hilangnya data karena akses yang tidak sah, kegagalan peralatan, atau bencana fisik, organisasi dapat memulihkan file dan basis data
2. Pengendalian Manajemen Data
PENGENDALIAN AKSES• Tampilan pengguna • Tabel otorisasi basis data• Prosedur yang ditentukan pengguna
memungkinkan pengguna membuat program keamanan pribadinya dengan kata sandi
• Enkripsi data• Perangkat biometrik
2. Pengendalian Manajemen Data
PENGENDALIAN PENDUKUNG• Cadangan – Fitur ini membuat file cadangan
secara berkala untuk seluruh basis data• Catatan Harian Transaksi – Fitur ini
menyediakan jejak audit untuk semua transaksi yang diproses
• Fitur titik pemeriksaan – menunda semua pemrosesan data, sementara sistem merekonsiliasi catatan harian transaksi dan catatan perubahan basis data dengan basis data
• Modul pemulihan – menggunakan catatan harian dan file cadangan untuk memulai kembali sebuah sistem setelah mengalami kegagalan
3. Pengendalian Struktur Organisasi
Dalam lingkungan CBIS fokus pengendalian pemisahan tugas bergeser dari tingkat operasional ke relasi organisasional yang lebih tinggi dalam layanan komputer
Pemisahan tugas di perusahaan TERSENTRALISASI
• Memisahkan pengembangan sistem dari operasi komputer
• Memisahkan administrator basis data dari fungsi lainnya
• Memisahkan fungsi pengembangan sistem baru dari fungsi pemeliharaan
3. Pengendalian Struktur Organisasi
MODEL DISTRIBUTIFDampak struktur organisasi ke model distributif maka layanan komputer dikendalikan oleh departemen pengguna akhir.
Implikasi pengendalian dari model distributif yang harus diperhatikan akuntan :
• Inkompabilitas• Redudansi• Mengonsolidasikan aktivitas yang tidak kompatibel• Merekrut para profesional yang berkualitas• Standar yang tidak memadai
3. Pengendalian Struktur Organisasi
MENCIPTAKAN FUNGSI LAYANAN KOMPUTER PERUSAHAAN
• Pengujian terpusat terhadap peranti lunak dan peranti keras komersial
• Layanan pengguna• Badan pengaturan standar• Pemeriksaan personel
4. Pengendalian Pengembangan Sistem
MENGENDALIKAN AKTIVITAS PENGEMBANGAN SISTEM BARU
• Aktivitas otorisasi sistemsetiap permintaan sistem baru harus diajukan dalam bentuk tertulis oleh pengguna kepada profesional sistem
• Aktivitas penetapan spesifikasi penggunapengguna memberikan keterangan tertulis secara terperinci untuk kebutuhan logika yang harus dipenuhi sistem
• Aktivitas desain teknisaktivitas desain teknis menterjemahkan spesifikasi pengguna ke rangkaian spesifikasi teknis
4. Pengendalian Pengembangan Sistem
PARTISIPASI AUDIT INTERNAL• Pengujian program
semua modul program harus diuji secara menyeluruh sebelum diimplementasikan
• Pengujian pengguna dan prosedur penerimaanKetika tim penguji merasa bahwa sistem itu secara resmi diterima oleh departemen penggunaSebagai mekanisme pengendalian, pengujian pengguna dan penerimaan harus didokumentasikan
5. Pengendalian Pemeliharaan Sistem
• Otorisasi pemeliharaan, pengujian dan dokumentasisemua tindakan pemeliharaan sedikitnya memerlukan empat pengendalian : otorisasi formal, spesifikasi teknik, pengujian dan pembaruan dokumentasi
• Pengendalian perpustakaan program sumberDiperlukan prosedur untuk mencegah dan mendeteksi akses yang tidak sah ke program aplikasi
6. Keamanan dan Pengendalian Pusat Komputer
Berikut fitur pengendalian yang secara langsung ikut menentukan keamanan lingkungan pusat komputer :
• Lokasi fisik• Akses• Pendingin udara• Pemadam kebakaran• Pasokan daya listrik
6. Keamanan dan Pengendalian Pusat Komputer
PERENCANAAN PEMULIHAN KERUSAKANDisaster recovery plan-DRP merupakan pernyataan komprehensif tentang semua tindakan yang harus diambil sebelum, selama, dan setelah bencana terjadi bersama dokumentasi, diuji yang akan memastikan kelanjutan operasi
• Penyediaan cadangan lokasi kedua• Mengidentifikasi aplikasi penting• Melakukan prosedur cadangan dan
penyimpanan di lokasi luar• Pembentukan tim pemulihan kerusakan• Pengujian DRP secara berkala