Pengendalian sistem informasi
Pengendalian sistem informasi
Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi organisasi, harus menjadi prioritas pihak manajemen puncak. Oleh karena sistem informasi berkembang, begitu pula dengan sistem pengendalian internal. Ketika bisnis bergeser dari sistem manual ke sistem komputer utama, pengendalian baru harus dikembangkan untuk menurunkan atau mengendalikan risiko yang dibawa oleh sistem informasi berdasarkan komputer yang baru ini. Oleh karena adanya pergeseran ke lingkungan e-commerce berdasarkan Internet, pengendalian baru perlu dikembangkan untuk mengendalikan munculnya risiko-risiko baru.
Perkembangan dalam sistem informasi dan dalam TI juga memberikan kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya.
Ada 4 prinsip secara umum untuk menetapkan apakah suatu sistem andal atau tidak, yaitu:
1. Ketersediaan (availability). Sistem tersebut tersedia untuk dioperasikan dan digunakan dengan mencantumkannya pada pernyataan atau perjanjian tingkat pelayanan.
2. Keamanan (security). Sistem dilindungi dari akses fisik maupun logis yang tidak memiliki otorisasi. Hal ini akan membantu mencegah: a) penggunaan yang tidak sesuai, pemutarbalikan, penghancuran atau pengungkapan informasi dan software, serta, b) pencurian sumber daya sistem.
3. Dapat dipelihara (maintainability). Sistem dapat diubah apabila diperlukan tanpa mempengaruhi ketersediaan, keamanan, dan integritas sistem. Hanya perubahan dokumen yang memiliki otorisasi dan teruji sajalah yang termasuk dalam sistem dan data terkait. Bagi seluruh perubahan yang telah direncanakan dan dilaksanakan, harus tersedia sumber daya yang mengelola, menjadwalkan, mendokumentasikan, dan mengkomunikasikan perubahan ke pihak manajemen dan para pemakai yang memiliki otorisasi.
4. Integritas (integrity). Pemrosesan sistem bersifat lengkap, akurat, tepat waktu dan diotorisasi. Sebuah sistem dikatakan memiliki integritas apabila dapat melaksanakan fungsi yang diperuntukkan bagi sistem tersebut secara keseluruhan dan bebas dari manipulasi sistem, baik yang tidak diotorisasi maupun yang tidak disengaja.
Bagi setiap prinsip keandalan di atas, tiga kriteria berikut ini dikembangkan untuk mengevaluasi pencapaian prinsip-prinsip tersebut, yaitu:
1. Entitas memiliki tujuan kinerja (performance objective), kebijakan, dan standar yang telah ditetapkan, didokumentasikan, dan dikomunikasikan, dan telah memenuhi tiap prinsip keandalan. Tujuan Kinerja didefinisikan sebagai tujuan umum yang ingin dicapai entitas.Kebijakan adalah peraturan-peraturan yang memberikan arah formal untuk mencapai tujuan, dan mendorong kinerja. Standar merupakan prosedur yang dibutuhkan dalam implementasi, agar sesuai dengan kebijakan.
2. Entitas menggunakan prosedur, sumber daya manusia, software, data dan infrastruktur untuk mencapai setiap prinsip keandalan, dengan berdasarkan pada kebijakan dan standar yang telah ditetapkan.
3. Entitas mengawasi sistem dan mengambil tindakan untuk mencapai kesesuaian dengan tujuan, kebijakan, dan standar, untuk setiap prinsip keandalan.
Pengendalian yang Berhubungan dengan Beberapa Prinsip Keandalan
Pengendalian berikut ini sesuai untuk beberapa prinsip keandalan, yaitu: perencanaan strategis dan penganggaran, mengembangkan rencana keandalan sistem, dan melaksanakan dokumentasi.
Tabel Ringkasan Pengendalian Umum Utama Keandalan
Kategori Pengendalian
|
Ancaman/Risiko
|
Pengendalian
|
Perencanaan strategis dan penganggaran
|
Sistem Informasi mendukung strategi bisnis, kurangnya penggunaan sumber daya, kebutuhan informasi tidak dipenuhi atau tidak dapat ditanggung
|
Rencana strategis berlapis yang secara periodik dievaluasi, tim penelitian dan pengembangan untuk menilai dampak teknologi baru atas jalannya bisnis, anggaran untuk mendukung rencana strategis.
|
Mengembangkan rencana keandalan sistem
|
Ketidakmampuan untuk memastikan keandalan sistem
|
Memberikan tanggung jawab perencanaan ke pihak manajemen puncak; secara terus-menerus meninjau dan memperbarui rencana; mengidentifikasi, mendokumentasikan, dan menguji kebutuhan, tujuan, kebijakan, dan standar keandalan pemakai; mengidentifikasi dan meninjau seluruh persyaratan hukum yang baru maupun yang telah diubah; mencatat permintaan pemakai atas perubahan; mendokumentasikan, menganalisis, dan melaporkan masalah dalam hal keandalan sistem; menetapkan tanggung jawab kepemilikan, penyimpanan, akses, dan pemeliharaan atas sumber daya informasi; mengembangkan program kesadaran atas keamanan serta mengkomunikasikannya pada seluruh pegawai; meminta pegawai baru untuk menandatangani perjanjian keamanan; melaksanakan penilaian risiko atas seluruh perubahan dalam lingkungan sistem.
|
Dokumentasi
|
Desain, operasi, tinjauan, audit, dan perubahan sistem yang tidak efektif
|
Dokumentasi dapat diklasifikasikan menjadi 3 kategori dasar, yaitu: (1) Dokumentasi administratif(standar dan prosedur untuk memproses, menganalisis, mendesain, memprogram, menangani file dan menyimpan data), (2) dokumentasi sistem (input aplikasi, tahap pemrosesan, output, kesalahan penanganan), (3) dokumentasi operasional(konfigurasi perlengkapan, program, file, susunan dan pelaksanaan prosedur, tindakan korektif).
|
PENGENDALIAN SISTEM INFORMASI AKUNTANSI
SISTEM INFORMASI AKUNTANSI
Sekelompok elemen-elemen yang terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan.
Elemen sistem :
Tidak semua sistem memiliki kombinasi elemen yang sama, tapi suatu susunan dasar adalah :Input, Transformasi, Output, Mekanisme Kontrol, Tujuan.
Jenis Sistem :
Sistem Lingkaran Terbuka à sistem yang tidak mempunyai elemen mekanisme kontrol, dan tujuan.
Sistem Lingkaran Tertutup à sistem yang disertai oleh adanya elemen mekanisme kontrol dan tujuan.
Sifat Sistem :
Sistem terbuka : Sistem yang dihubungkan dengan lingkungannya melalui arus sumberdaya.
Sistem Tertutup : Sistem yang sama sekali tidak berhubungan dengan lingkungannya.
Sistem Fisik : sistem yang terdiri dari sejumlah sumber daya fisik
Sistem Konseptual : sistem yang menggunakan sumberdaya konseptual (data dan informasi) untuk mewakili suatu sistem fisik.
Ruang lingkup pengendalian SIA
Pengendalian Internal
Pengendalian internal adalah rencana organisasi dan metode bisnis yang dipergunakan untuk
menjaga aset, memberikan informasi yang akurat dan andal, mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian dengan kebijakan yang telah ditetapkan.
menjaga aset, memberikan informasi yang akurat dan andal, mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian dengan kebijakan yang telah ditetapkan.
Paling tidak terdapat tiga kerangka pengendalian yang digunakan secara luas:
1.COBIT (Control Objective for Information and Related Technology)
Dikembangkan pertama kali oleh Information System Audit and Control Association (ISACA) tahun 1992 yang kemudian dikelola oleh The IT Governance Institute (ITGI) ±sebuah badan afiliasi ISACA ± hingga kini. COBITmerupakan kerangka pengendalian internal yang diterima secara umum untuk teknologi informasi (TI). COBIT
diterjemahkan ke dalam empat proses:
· Plan and Organise (PO)²menyediakan arahan untuk solusi dan pelayanan solusinya.
· Acquire and Implement (AI)²menyediakan solusi dan mengubahnya menjadi pelayanan
· Deliver and Support (DS)²menerima solusi dan membuatnya berguna bagi organisasi
· Monitor and Evaluate (ME)²memantau seluruh proses agar menjamin bahwa semua arahan diikuti
2. COSO Internal Control Frameworks (COSO)
Dikembangkan oleh The Committee of Sponsoring Organization of the Treadway Commission sejak sebelum 1980 yang kemudian dikembangkan hingga kini. COSO Internal Control Framework lebih dikenal sebagai acuan yang diterima umum dalam pengendalian internal perusahaan dan kaitannya dengan pelaporan keuangan dan proses operasi.
Pengendalian internal menurut COSO terdiri dari:
· Lingkungan Pengendalian
· Penilaian Risiko
· Aktifitas Pengendalian
· Informasi dan Komunikasi
· Pemantauan
3. COSO Enterprise Risk Management (ERM)
Merupakan kerangka pengendalian internal dan manajemenrisiko yang dirancang COSO sebagai pengembangan darikerangka sebelumnya, COSO Internal Control Framework. Perbedaan mendasar dari COSO adalah bahwa ERMmengintegrasikan keandalan kerangka pengendalian internalCOSO ke arah penilaian dan pengelolaan risiko. ERMmengandung beberapa elemen utama menurut tingkatorganisasi dan tingkat tujuan:
· Lingkungan Internal
· Penentuan Tujuan
· Identifikasi Peristiwa
· Penilaian Risiko
· Tanggapan Risiko
· Aktifitas Pengendalian
· Informasi dan Komunikasi
· Pemantauan
COSO memandang bahwa pengendalian internal secara umum adalah:
Sebuah proses, yang dilaksanakan oleh dewan direksi,manajemen, dan personil lainnya, yang dirancang untuk menyajikan keyakinan memadai terkait dengan pencapaian tujuan-tujuan dibawah ini:
· Efektifitas dan efisiensi operasi
· Keandalan pelaporan keuangan
· Kepatuhan terhadap hukum dan peraturan
Aktifitas & Proses pendendalian SIA
Secara umum, prosedur pengendalian termasuk dalam satu dari lima kategori berikut ini:
· Otorisasi transaksi dan kegiatan yang memadai
· Pemisahan tugas
· Desain dan penggunaan dokumen serta catatan yang memadai.
· Penjagaan aset dan catatan yang memadai.
· Pemeriksaan independen atas kinerja.
Pengawasan Kinerja SIA
Komponen dari pengendalian internal adalah pengawasan. Metode utama untuk mengawasi kinerja mencakup:
1. Supervisi yang efektif
2. Akuntansi pertanggungjawaban
3. Audit internal
1. Supervisi yang efektif
2. Akuntansi pertanggungjawaban
3. Audit internal
Pengendalian secara online
Sasaran dari pengendalian entri data on-line adalah untuk memastikan integritas data transaksi yang dimasukan dari terminal on-line dan PC dengan mengurangi kesalahan dan penghilangan.
Termasuk :
• Field, limit, range, reasonableness, sign, validity, redundant data checks
• User ID numbers
• Compatibility tests
• Automatic entry of transaction data, where possible
• Prompting
• Preformatting
• Completeness check
• Closed-lop verification
• Transaction log
• Error messages
Pengendalian pemrosesan dan penyimpanan data
Termasuk :
§ Kebijakan dan Prosedur
§ Fungsi pengendalian Data
§ Prosedur Rekonsiliasi
§ Rekonsiliasi data eksternal
§ Pelaporan penyimpangan
§ Pemeriksaan sirkulasi data
§ Mekanisme perlindungan penulisan
§ Mekanisme perlindungan database
§ Pengendalian Konversi data
§ Label file
§ Pengamanan data
§ Pencocokan data
Pengendalian Output
Ancaman/Resiko
– Output komputer yang tidak akurat dan tidak lengkap.
Pengendalian
– Prosedur untuk memastikan bahwa output sistem sesuai dengan tujuan integritas, kebijakan dan standar organisasi
– Peninjauan visual output komputer
– Rekonsiliasi jumlah total batch
– Distribusi output secara tepat
– Otuput rahasia yang dikirim telah dilindungi dari akses dan modifikasi dari yang tdk memiliki otorisasi, serta kesalahan pengiriman. dll
Pengendalian Transmisi Data
Ancaman/Resiko
– Akses yang tidak memiliki otorisasi terhadap data yang ditransmisi atau kesistem itu sendiri, kegagalan sistem dan kesalahan sistem dalam transmisi data.
Pengendalian
– Awasi jaringan untuk mendeteksi poin-poin yang lemah
– Backup komponen
– Desain jaringan untuk mengatasi pemrosesan puncak
– Multijalur komunikasi antara komponen jaringan
– Pemeliharan pencegahan