Pengendalian Com 1 Ori

Pengendalian Sistem Informasi Berbasis Komputer

Otorisasi Transaksi

• Prosedur otorisasi merupakan pengendalian yang memastikan bahwa karyawan perusahaan hanya memproses transaksi yang sah dalam ruang lingkup yang telah ditentukan

• Dalam lingkungan CBIS, transaksi diotorisasi oleh peraturan yang sudah terpogram dalam program komputer

• Tanggung jawab untuk mewujudkan otorisasi transaksi yang tepat terletak langsung pada ketepatan dan intergritas program komputer yang mengendalikan tugas ini

Pemisahan Tugas

• Dalam lingkungan CBIS, pemisahan tugas tidak sama dengan sistem manual, sebuah komputer dapat mengotorisasi pembelian, proses pesanan pembelian, dan record untuk utang usaha.

• Penekanan pengendalian bergeser kepada aktivitas-aktivitas yang dapat mengancam aplikasi

• Aktivitas pengembangan program, operasi program dan pemeliharaan program merupakan fungsi-fungsi utama CBIS yang harus terpisah

Pengawasan

Dalam lingkungan CBIS, pengawasan harus lebih besar dari yang manual dengan alasan :

1. Perekrutan karyawan yang kompeten.2. Mencerminkan perhatian pihak manajemen

terhadap dapat dipercayanya para personel dalam wilayah pekerjaan yang berisiko tinggi

3. Ketidakmampuan pihak manajemen untuk mengamati para karyawan secara memadai dalam lingkungan CBIS

Catatan Akuntansi

• Dalam lingkungan CBIS, dokumen dan jejak audit dapat memiliki bentuk yang berbeda dan tidak biasa

• Dalam beberapa CBIS, dokumen sumber fisik tidak digunakan, dokumen sumber dan akun buku besar disimpan secara magnetis di berbagai alat penyimpanan besar

• Pihak perusahaan, akuntan, dan auditor harus memahami prinsip-prinsip operasional sistem manajemen data yang digunakan

Pengendalian Akses

• Dalam lingkungan CBIS, catatan akuntansi cenderung terkonsentrasi dalam pusat pemprosesan data atau perangkat penyimpanan massal

• Konsolidasi data menghadapkan organisasi pada dua ancaman :

1.Penipuan2. Bencana• Isu pengendalian akses lainnya dalam lingkungan

CBIS adalah pengendalian akses ke program komputer

Verifikasi Independen

• Melalui prosedur verifikasi independen, pihak menejemen dapat menilai :

1.Kinerja individual2.Integritas sistem pemprosesan transaksi3.Kebenaran data yang terdapat dalam catatan

akuntansi• Dalam lingkungan CBIS, para akuntan dan auditor

melakukan evaluasi pengendalian terhadap aktivitas pengembangan dan pemeliharaan sistem serta terkadang dengan memeriksa logika internal

Struktur Pengendalian Internal UntukEksposur CBIS

1. Pengendalian sistem operasi2. Pengendalian manajemen data3. Pengendalian struktur organisasi4. Pengendalian pengembangan sistem5. Pengendalian pemeliharaan sistem6. Keamanan dan pengendalian pusat

komputer7. Pengendalian internet dan intranet8. Pengendalian pertukaran data elektronik9. Pengendalian komputer pribadi10.Pengendalian aplikasi

Wilayah Risiko Sifat Eksposur Teknik Pengendalian

1. Sistem Operasi Ancaman yang bersifat kebetulan dan disengaja, termasuk usaha-usaha untuk mengakses data secara ilegal, melanggar privasi pengguna, atau melakukan tindakan kejahatan

Pengendalian khusus untuk akses, pengendalian kata sandi, pengendalian virus, pengendalian jejak audit, dan pengendalian kesalahan

2. Manajemen Data Pendukung data yang tidak memadai dan akses yang tidak diotorisasi oleh personel yang memiliki otoritas maupun tidak

PENGENDALIAN CADANGANProsedur pembuatan cadangan grandparent-parent-child, cadangan file akses langsung, serta cadangan basis data dan prosedur pemulihanPENGENDALIAN AKSESSubskema, kata sandi, peraturan otorisasi, prosedur yang ditentukan pengguna, enskripsi, perangkat biometrik


3. Struktur Organisasi

Pemrograman dan operator yang melakukan fungsi-fungsi yang saling bertentangan dapat melakukan penipuan dalam pemrograman. Standar dokumentasi mungkin tidak memadai untuk mendukung audit.File data dalam perpustakaan pita rentan terhadap kehilangan, penghancuran dan akses ilegal.

Fungsi-fungsi pemrograman, operasi komputer, pustakawan pita, dan administrator basis data harus dikelola secara terpisah.

4. Pengembangan sistem

Pengembangan proyek yang tidak terotorisasi menghasilkan aplikasi yang keliru terhadap sumber daya keuangan.Proyek-proyek yang diprioritaskan dengan tidak benar akan menghasilkan penetapan alokasi sumber daya yang tidak efisien. Sistem yang baru diimplementasikan berisi kesalahan besar, penipuan, atau gagal memenuhi kebutuhan pengguna. Dokumentasi sistem yang kualitasnya buruk merintangi aktivitas audit dan pemeliharaan

Otorisasi sistem, aktivitas yang dispesifikasi oleh pengguna, aktivitas desain teknis, partisipasi audit internal, pengujian program, dan pengujian pengguna, serta prosedur penerimaan.


5. Pemeliharaan sistem

Perubahan yang tidak diotorisasi dapat menyebabkan kesalahan program, penipuan, penyajian informasi yang salah dalam laporan keuangan dan ke pengguna, kegagalan sistem, dan perusakan yang parah pada operasi

Otorisasi program pemeliharaan, keterlibatan pengguna, spesifikasi teknik, pengujian program, dokumentasi, dan pengendalian peranti lunak untuk perpustakaan program sumber

6. Pusat Komputer Kerugian dan pencurian peralatan fisik dan kekacauan sistem yang disebabkan oleh kegagalan peranti lunak, kegagalan peranti keras, hilangnya daya, dan bencana fisik

Konstruksi fisik, lokasi, akses terbatas ke fasilitas komputer, pendingin ruangan, pasokan daya listrik cadangan, serta rencana pemulihan dari bencana


7. Internet dan Intranet

Kerugian, penghancuran, dan korupsi data karena kegagalan peralatan dan tindakan subversif dari dalam organisasi melalui internet

PENGENDALIAN KEGAGALAN PERALATAN :Pemeriksaan paritas, pemeriksaan echo, dan cadanganPENGENDALIAN ANCAMAN SUBVERSIF :Akses, enskripsi pesan, tanda tangan digital, sertifikat digital, dan firewallPENGENDALIAN PESAN:Penomoran berurutan, kode autentikasi, catatan transaksi, pengelompokan permintaan tanggapan.


8. Pertukaran Data Elektronik

Pemrosesan yang tidak memiliki otoritas, tidak valid, dan transaksi-transaksi yang ilegal.Akses ilegal oleh mitra usaha ke basis data.Tidak adanya dokumen sumber, sehingga mengacaukan jejak audit tradisional, yang menghambat kemampuan auditor untuk memverifikasi kelengkapan dan akurasi transaksi

Pengendalian otorisasi dan validasi, pengendalian akses, pengendalian jejak audit yang diimplementasikan pada berbagai titik dalam sistem mitra usaha dan pada VAN

9. Komputer Pribadi Kerugian keuangan karena kesalahan program dan penipuan karena pemisahan fungsi-fungsi yang tidak memadai.Penghancuran dan korupsi data karena akses yang tidak terkendali ke file dan kegagalan peranti keras.Cadangan data dan fitur-fitur pemulihan yang tidak memadai

Pengendalian organisasi, pengendalian akses, pengendalian cadangan, pengendalian pemilihan sistem dan akuisisi, penguncian disket, enskripsi, kata sandi multilevel.

1. Pengendalian Operasi

Sistem operasi harus mencapai tujuan yang pengendalian yang mendasar :

1. Sistem operasi harus melindungi dirinya sendiri dari para pengguna

2. Sistem operasi melindungi pengguna dari pengguna lainnya

3. Sistem operasi harus melindungi dirinya sendiri

4. Sistem operasi harus dilindungi dari lingkungannya


Keamanan sistem operasi melibatkan kebijakan, prosedur dan pengendalian yang menentukan siapa saja yang dapat mengakses sistem operasi, sumber daya yang dapat mereka akses dan tindakan yang dapat mereka lakukan

Komponen-komponen keamanan yang terdapat dalam sistem operasi yang aman :

• Prosedur log-on• Kartu akses• Daftar pengendalian akses


Eksposur tersebut berasal dari 3 sumber :1.Personel yang memiliki hak istimewa dan

menyalahgunakan otoritas yang dimilikinya2.Individu, baik internal maupun eksternal

organisasi yang memanfaatkan kelemahan sistem

3.Individu yang sengaja atau tidak sengaja menyisipkan virus komputer atau bentuk program destruktif ke dalam sistem


TEKNIK PENGENDALIAN SISTEM OPERASI1. Pengendalian hak istimewa dalam

mengaksesHak istimewa harus diadministrasi dengan hati-hati dan diawasi secara ketat agar sesuai dengan kebijakan organisasi dan prinsip-prinsip pengendalian internal

2. Pengendalian kata sandi3. Pengendalian terhadap virus dan program

destruktif lainnyaAncaman ini dapat dikurangi secara substansial melalui kombinasi pengendalian teknologi dan prosedur administrasi


TEKNIK PENGENDALIAN SISTEM OPERASI4. Mengendalikan jejak audit

Jejak audit merupakan catatan harian yang dapat didesain untuk mencatat aktivitas pada sistem, aplikasi pada tingkat pengguna

Tujuan dari jejak audit :• Mendeteksi akses yang tidak diotorisasi• Merekontruksi peristiwa• Akuntabilitas pribadi

2. Pengendalian Manajemen Data

Pengendalian manajemen data memiliki 2 kategori:1. Pengendalian akses.

Pengendalian akses dirancang untuk mencegah individu yang tidak memiliki otorisasi untuk memeriksa, mengambil dan merusak data organisasi

2. Pengendalian PendukungPengendalian pendukung memastikan bahwa dalam peristiwa hilangnya data karena akses yang tidak sah, kegagalan peralatan, atau bencana fisik, organisasi dapat memulihkan file dan basis data


PENGENDALIAN AKSES• Tampilan pengguna • Tabel otorisasi basis data• Prosedur yang ditentukan pengguna

memungkinkan pengguna membuat program keamanan pribadinya dengan kata sandi

• Enkripsi data• Perangkat biometrik


PENGENDALIAN PENDUKUNG• Cadangan – Fitur ini membuat file cadangan

secara berkala untuk seluruh basis data• Catatan Harian Transaksi – Fitur ini

menyediakan jejak audit untuk semua transaksi yang diproses

• Fitur titik pemeriksaan – menunda semua pemrosesan data, sementara sistem merekonsiliasi catatan harian transaksi dan catatan perubahan basis data dengan basis data

• Modul pemulihan – menggunakan catatan harian dan file cadangan untuk memulai kembali sebuah sistem setelah mengalami kegagalan

3. Pengendalian Struktur Organisasi

Dalam lingkungan CBIS fokus pengendalian pemisahan tugas bergeser dari tingkat operasional ke relasi organisasional yang lebih tinggi dalam layanan komputer

Pemisahan tugas di perusahaan TERSENTRALISASI

• Memisahkan pengembangan sistem dari operasi komputer

• Memisahkan administrator basis data dari fungsi lainnya

• Memisahkan fungsi pengembangan sistem baru dari fungsi pemeliharaan


MODEL DISTRIBUTIFDampak struktur organisasi ke model distributif maka layanan komputer dikendalikan oleh departemen pengguna akhir.

Implikasi pengendalian dari model distributif yang harus diperhatikan akuntan :

• Inkompabilitas• Redudansi• Mengonsolidasikan aktivitas yang tidak kompatibel• Merekrut para profesional yang berkualitas• Standar yang tidak memadai


MENCIPTAKAN FUNGSI LAYANAN KOMPUTER PERUSAHAAN

• Pengujian terpusat terhadap peranti lunak dan peranti keras komersial

• Layanan pengguna• Badan pengaturan standar• Pemeriksaan personel

4. Pengendalian Pengembangan Sistem

MENGENDALIKAN AKTIVITAS PENGEMBANGAN SISTEM BARU

• Aktivitas otorisasi sistemsetiap permintaan sistem baru harus diajukan dalam bentuk tertulis oleh pengguna kepada profesional sistem

• Aktivitas penetapan spesifikasi penggunapengguna memberikan keterangan tertulis secara terperinci untuk kebutuhan logika yang harus dipenuhi sistem

• Aktivitas desain teknisaktivitas desain teknis menterjemahkan spesifikasi pengguna ke rangkaian spesifikasi teknis

4. Pengendalian Pengembangan Sistem

PARTISIPASI AUDIT INTERNAL• Pengujian program

semua modul program harus diuji secara menyeluruh sebelum diimplementasikan

• Pengujian pengguna dan prosedur penerimaanKetika tim penguji merasa bahwa sistem itu secara resmi diterima oleh departemen penggunaSebagai mekanisme pengendalian, pengujian pengguna dan penerimaan harus didokumentasikan

5. Pengendalian Pemeliharaan Sistem

• Otorisasi pemeliharaan, pengujian dan dokumentasisemua tindakan pemeliharaan sedikitnya memerlukan empat pengendalian : otorisasi formal, spesifikasi teknik, pengujian dan pembaruan dokumentasi

• Pengendalian perpustakaan program sumberDiperlukan prosedur untuk mencegah dan mendeteksi akses yang tidak sah ke program aplikasi

6. Keamanan dan Pengendalian Pusat Komputer

Berikut fitur pengendalian yang secara langsung ikut menentukan keamanan lingkungan pusat komputer :

• Lokasi fisik• Akses• Pendingin udara• Pemadam kebakaran• Pasokan daya listrik

6. Keamanan dan Pengendalian Pusat Komputer

PERENCANAAN PEMULIHAN KERUSAKANDisaster recovery plan-DRP merupakan pernyataan komprehensif tentang semua tindakan yang harus diambil sebelum, selama, dan setelah bencana terjadi bersama dokumentasi, diuji yang akan memastikan kelanjutan operasi

• Penyediaan cadangan lokasi kedua• Mengidentifikasi aplikasi penting• Melakukan prosedur cadangan dan

penyimpanan di lokasi luar• Pembentukan tim pemulihan kerusakan• Pengujian DRP secara berkala

Pengendalian Com 1 Ori

Documents

Transcript of Pengendalian Com 1 Ori