BAB I
· A. Pengendalian
Umum
Menurut Sawyer, Ditienhofer, &
Scheiner (2005, hal. 549), general control
consist of those controls in the IS and user environment that are pervasive
over all or most application. They include such controls as segregation of
incompatible duties, system development procedures, data security, all
administrative controls, and disaster recovery capabilities.
Pengendalian
umum didefinisikan sebagai
sistem pengendalian internal komputer yang berlaku umum meliputi seluruh
kegiatan komputerisasi sebuah organisasi secara menyeluruh. arahnya ketentuan –
ketentuan dalam pengendalian tersebut berlaku untuk seluruh kegiatan
komputerisasi yang digunakan di perusahaan tersebut.
B. Contoh Pengendalian Umum
Pengendalian umum juga dapat
diartikan sebagai pengendalian yang tidak terkait langsung ke suatu aplikasi
tertentu. Misalnya dalam contoh ATM di atas, ketentuan bahwa masuk ke ruang ATM Adak
boleh memakai helm. Adanya CCTV di ruang ATM dan ketentuan adanya SATPAM di
situ adalah dapat dikategorikan dengan pengendalian umum (ketentuan-‐ketentuan
tersebut tidak langsung dengan transaksi pengambilan uang di mesin ATM).
C. Ruang lingkup pengendalian umum
• Ruang lingkup yang termasuk
dalam pengendalian umum (pengendalian perspektif manajemen) diantaranya adalah :
– Pengendalian
manajemen puncak (top management controls).
– Pengendalian
manajemen pengembangan sistem (information system
management controls).
– Pengendalian manajemen sumber data (data resources management controls).
– Pengendalian
manajemen operasi (operations management controls).
– Pengendalian
manajemen keamanan (security administration management
controls).
– Pengendalian
manajemen jaminan kualitas (quality
assurance management controls).
D. Unsur Pengendalian Umum
• Dari
beberapa pengendalian umum tersebut, berdasarkan
ruang lingkup dari penulisan skripsi ini, maka yang akan dibahas adalah :
– Pengendalian Manajemen Operasi (Operasional Management Controls)
– Pengendalian Manajemen Keamanan (Security
Management Controls)
Operasional Management Controls
Pengendalian
manajemen operasi merupakan jenis pengendalian internal
yang didesain untuk pengelolaan sumber daya dan operasi IT pada suatu
organisasi. Pengendalian manajemen operasi disusun dengan tujuan untuk
menciptakan kerangka kerja organisasi, pendayagunaan sumber daya informasi, dan
pembagian tugas yang baik bagi suatu organisasi yang menggunakan sistem
berbasis teknologi informasi.
– Pemisahan
tugas dan fungsi
– Pengendalian
personil
– Pengendalian
perangkat keras
– Pengendalian
jaringan
– Manajemen
operasi
Pemisahan
tugas dan fungsi
Pemisahan tugas dan
fungsi didesain untuk memastikan bahwa fungsi fungsi yang tidak sejalan (atau
seharusnya -‐ cek), seperti : fungsi analisis/desain
dan pemprograman dengan operasi komputer (mencakup penyiapan transaksi,
otorisasi, proses entri, dan pelaporan) telah dipisahkan. Terdapat dua
pemisahan fungsi yaitu :
– Pemisahan
fungsi departement IT dengan non IT (users)
Pemisahan fungsi ini bertujuan untuk memisahkan antara pemakai dengan
departement IT sehingga meningkatkan pengendalian terhadap akAvitas IT.
– Pemisahan
fungsi dalam departement IT Fungsi – fungsi departement IT dapat dipisahkan
berdasarkan fungsi sistem dan pemrograman, operasi komputer, pengendalian dan
penjadwalan input/output,
pemeliharaan media (library).
Pengendalian
personil
Personil
mempunyai peranan penting dalam pengendalian sistem. Pengendalian personil
dapat diindikasikan oleh hal-‐hal berikut :
– Adanya
prosedur penerimaan dan pemilihan pegawai
– Adanya
program peningkatan keahlian pegawai melalui pelaAhan yang berhubungan dengan
bidang tugasnya
– Adanya
evaluasi atas pekerjaan yang dilakukan pegawai
– Administrasi
atas gaji dan prosedur promosi yang jelas
– Penggunaan
uraian tugas (job descrip5on)
– Pemilihan
dan pelaAhan pegawai
– Penyediaan
(supervisi) dan penilaian
– Penggiliran
pekerjaan (job rota5on) dan keharusan
mengambil cuA
– Adanya
jenjang karier serta sarana dan aturan untuk mencapainya
Pengendalian
perangkat keras
• Pengawasan
terhadap akses fisik Untuk menjaga perangkat komputer dari kemungkinan
penyalahgunaan, akses fisik terhadap perangkat komputer perlu diawasi.
• Pengaturan
lokasi fisik Lokasi
ruang komputer merupakan perAmbangan yang penAng dalam pengendalian keamanan
komputer
• Penggunaan
alat pengamanan Alat – alat penggunaan tambahan diperlukan untuk menjaga
keamanan komputer dari kemungkinan kerusakan
• Pengendalian
operasi perangkat keras Pengendalian operasional perangkat keras merupakan
bentuk pengendalian untuk menjaga perangkat keras dari kemungkinan kerusakan
akibat kesalahan pengoperasian perangkat tersebut
• Pengendalian
perangkat lunak Pengendalian perangkat lunak didesain untuk memasAkan keamanan
dan kehandalan sistem
• Pengendalian
keamanan data Pengendalian keamanan data merupakan suatu Andakan pengendalian
untuk menjaga keamanan datayang tersimpan didalam media penyimpanan agar Adak
hilang dan rusak, atau diakses oleh orang yang Adak berhak
Pengendalian
jaringan
Alat bantu (tools) penAng yang dapat digunakan oleh operator untuk mengelola wide area
network adalah network control
terminal. Network control terminal menyediakan akses kepada soLware system
yang khusus untuk mengelola jenis fungsi dibawah ini agar dapat berjalan dengan
baik, yaitu :
– Memulai dan menghenAkan
jaringan dan proses
– Memonitor aktivitas
jaringan
– Mengganti nama line komunikasi
– Mengenerate statistic system
– Menseting ulang
panjangnya antrian
– Menambah frekuensi backup
– Menanyakan status
sistem
– Mengirimkan system
warning dan status
message
– Memeriksa lintasan data
pada line komunikasi
Network
control terminal juga dapat digunakan untuk menjalankan
fungsi yang sejenis ke peralatan
individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan
harta dan data integrity, network control
terminal adalah komponen yang sangat penAng pada suatu jaringan.
Manajemen
operasi
Saat ini fungsi sistem yang
sekarang digunakan pada manajemen
operasi adalah komputer mikro secara stand
alone, multi user atau jaringan (network) atau dalam bentuk client server.
– Service level agreements
– Kepustakaan file
– Fungsi help
desk
– Capacity planning
– Outsource
Security Management Controls (1)
Menurut Gondodiyoto (2007, hal.
345) pengendalian internal terhadap
manajemen keamanan (security management
controls) dimaksudkan untuk menjamin agar aset sistem informasi tetap aman.
Aset sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas
penunjangnya) serta aset tak berwujud (non fisik, misalnya data/informasi, dan
program aplikasi komputer).
– Kebijakan
keamanan IT (IT security policy)
– Beberapa
aspek serangan potensial
– Mitos-‐mitos
seputar keamanan komputer
– Kebijakan
keamanan komputer
– Personil
dan kebijakan keamanan computer
Security Management Controls (2)
Menurut Weber (1999 : 256),
Pengendalian Manajemen Keamanan meliputi perlindungan terhadap asset dan
fungsi sistem informasi, yang dapat diimplementasi. Berikut beberapa ancaman
terhadap sistem informasi beserta cara penanganannya:
– Kebakaran
• Tindakan
pengamanan untuk ancaman kebakaran adalah :
• Memiliki alarm kebakaran otomaAs yang
diletakkan di ruangan dimana aset – aset sistem
informasi berada.
• Memiliki
tabung kebakaran yang diletakkan pada lokasi yang mudah dijangkau.
• Gedung
tempat penyimpanan aset sistem informasi dibangun dari bahan yang tahan api.
– Banjir
• Tindakan
pengamanan untuk ancaman kebanjiran, antara lain :
• Memiliki
atap, dinding dan lantai yang dibuat dari bahan yang tahan air. – Perubahan tegangan
sumber energi
• Tindakan
pengamanan untuk mengatasi perubahan tegangan sumber energi listrik, dapat menggunakan stabilizer ataupun Uninterruptible Power Supply (UPS)
yang mampu mengatasi masalah yang terjadi keAka tegangan listrik Aba – Aba
turun.
Security Management Controls (3)
– Polusi
• Tindakan
pengamanan untuk menganAsipasi polusi adalah dengan membuat situasi kantor
bebas debu, tidak memperbolehkan membawa binatang peliharaan serta melarang
pegawai membawa atau meletakkan minuman di dekat peralatan komputer.
– Virus dan Worm
• Tindakan
pengamanan untuk mengantisipasi virus dan worm adalah :
• Preventif,
dapat dengan menginstal anti virus dan di-‐update secara berkala, melakukan scan atas file yang akan digunakan.
• Detektif,
melakukan scan secara rutin untuk
mendeteksi adanya virus maupun worm.
• Korektif,
memasAkan back up data bebas virus dan worm,
pemakaian anti virus terhadap file yang terinfeksi.
STANDAR DAN PANDUAN UNTUK ADIT SISTEM INFORMASI
1.
ISACA
ISACA sebagai lembaga
independen, nonprofit, asosiasi global, terlibat dalam pengembangan, penerapan
dan penggunaan pengetahuan dan pengalaman yang diterima secara global mengenai
sistem informasi. Sebelumnya dikenal sebagai Information Systems Audit and
Control Association. Namun kini hanya menggunakan akronim ISACA, untuk
merefleksikan cakupan yang luas dari IT governance.
ISACA didirikan oleh
individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan
dalam bidang tumbuh kontrol audit untuk sistem komputer. ISACA memiliki lebih
dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000
anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara
lain auditor sistem informasi, konsultan, pengajar, profesional
keamanan sistem informasi, pembuat perundangan, CIO, serta auditor
internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih
dari 60 negara, termasuk di Indonesia.
Gelar CISA ini
dikeluarkan oleh ISACA (Information
Systems Audit and Control Association). Selain CISA, ISACA juga mengeluarkan
sertifikasi atu gelar CISM(Certified Information Systems Manager)
dan CGEIT (Certified in the Governance of Enterprise IT).
2.
IIA COSO
COSO kepanjangan dari
Committee of Sponsoring Organizations of the Treadway Commission. COSO ini
ada kaitannya sama FCPA yang dikeluarkan
sama SEC dan US Congress di tahun 1977 untuk melawan fraud
dan korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA adalah
inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih merupakan
inisiatif dari sektor swasta.
Definisi internal
control menurut COSO
Suatu proses yang
dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable
assurance mengenai:
·
Efektifitas dan efisiensi operasional
·
Reliabilitas pelaporan keuangan
·
Kepatuhan atas hukum dan peraturan yang berlaku
Menurut COSO
framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:
·
Control Environment
·
Risk Assessment
·
Control Activities
·
Information and communication
·
Monitoring
Di tahun 2004, COSO mengeluarkan report
‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO
framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management,
yaitu:
·
Internal Environment
·
Objective Setting
·
Event Identification
·
Risk Assessment
·
Risk Response
·
Control Activities
·
Information and Communication
·
Monitoring
3. ISO 1799
ISO / IEC 17799: 2005
menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan
memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang
diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi
yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik
pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan
informasi berikut:
·
pengorganisasian keamanan informasi;
·
manajemen aset;
·
keamanan sumber daya manusia;
·
keamanan fisik dan lingkungan;
·
komunikasi dan manajemen operasi;
·
kontrol akses;
·
akuisisi sistem informasi, pengembangan dan pemeliharaan;
·
manajemen insiden keamanan informasi;
·
manajemen kontinuitas bisnis;
·
pemenuhan.
BAB II
AUDIT KEMANAN INFORMASI: STUDEI KASUS PT XYZ
PT
XYZ yang merupakan penyedia pengolahan dokumen tagihan melakukan kerjasama dengan
bank ABC. Sbagai pelanggan Bank ABC melakukan audit keamanan informasi di PT
XYZ yaitu sistem yang diterima, informasi yang diproses dan hasil keamanan informasi
PT XYZ dinilai masih lemah, monitoring dan evaluasi dinilai
masih kurang shingga kemananan informasi masih belom terpenuhi.
Permasalahan
yang dihadapi dalam penelitian mengalami kesulitan pada batasanan atau ruang lingkup
audit yang digunakan oleh bank ABC shingga divisi TI hanya terbatas pada audit
keamanan informasi pada visi dan misi best services perusahaan.
Untuk
menyelesaikan permasalahan informasi melalui audit guna memberikan rekomendasi perbaikan
kebijakan dan prosedure yang terbaik dan standar international keamanan informasi.
Terpenuhinya kriteria keamanan informasi di PT XYZ dapat mendukung PT XYZ dalam
memberikan best services pengelolaan dokumen kepada pelanggan sesuai dengan visi
dan misi PT XYZ.
Refrensi :
https://www.scribd.com/document/342764160/AUDIT-Sistem-Informasi-pdf 23 : 32 tanggal 15 oktober 2018
https://tiositumorang.wordpress.com/2017/12/01/audit-sistem-informasi-pengendalian-internal-umum-dan-aplikasi/
11 : 32 tanggal 15 oktober 2018
https://rnhalimah.wordpress.com/2013/10/06/sistem-pengendalian-intern/ 23 : 32 tanggal 15 oktober 2018
https://adiazep.wordpress.com/2017/10/06/standar-panduan-untuk-audit/ 00 : 00 Tanggal 17 – Oktober – 2018
https://excitedblog.wordpress.com/2017/11/01/standar-dan-panduan-untuk-audit-sistem-informasi/ 00 : 00 Tanggal 17 – Oktober – 2018
https://media.neliti.com/media/publications/233804-audit-keamanan-informasi-studi-kasus-pt-db51f6fe.pdf 16 : 25 - Oktober - 2018
https://media.neliti.com/media/publications/233804-audit-keamanan-informasi-studi-kasus-pt-db51f6fe.pdf 16 : 25 - Oktober - 2018
