2. landasan teori 2.1 sistem informasi akuntansi
Post on 16-Oct-2021
8 Views
Preview:
TRANSCRIPT
6 Universitas Kristen Petra
2. LANDASAN TEORI
2.1 Sistem Informasi Akuntansi
Sistem adalah rangkaian dari dua atau lebih komponen-komponen yang
saling berhubungan, yang berinteraksi untuk mencapai suatu tujuan (Romney dan
Steinbart, 2004).
Sistem Informasi Akuntansi (SIA) terdiri dari lima komponen, yaitu :
a. Orang-orang yang mengoperasikan sistem tersebut dan melaksanakan sebagai
fungsi.
b. Prosedur-prosedur, baik manual maupun terotomatisasi, yang dilibatkan dalam
mengumpulkan, memproses, dan menyimpan data tentang aktivitas-aktivitas
organisasi.
c. Data tentang proses-proses bisnis organisasi.
d. Software yang dipakai untuk memproses data organisasi.
e. Infrastruktur teknologi informasi, termasuk komputer, peralatan pendukung
(perpheral device), dan peralatan untuk komunikasi jaringan.
Kelima komponen tersebut secara bersama-sama memungkinkan suatu
sistem informasi akuntansi memenuhi ketiga fungsi pentingnya dalam organisasi,
yaitu :
• Mengumpulkan dan menyimpan data mengenai aktifitas yang dilakukan oleh
organisasi sehingga perusahaan dan pihak luar dapat melihat kembali apa yang
telah terjadi.
• Mengubah data menjadi informasi yang berguna untuk mengambil keputusan
dan memberikan kemampuan manajemen untuk merencanakan, menjalankan
dan mengontrol aktifitas.
• Menyediakan cukup kontrol untuk keamanan aset organisasi termasuk data,
memastikan data tersedia pada saat dibutuhkan secara akurat dan dapat
diandalkan.
7 Universitas Kristen Petra
2.2 Perbedaan Antara Sistem Informasi Berbasis Komputer Dengan
Sistem Informasi Manual
Perbedaan sistem informasi berbasis komputer dari sistem informasi
manual adalah sebagai berikut (Jusup, 2001) :
a. Sistem berbasis komputer bisa menghasilkan alur transaksi untuk keperluan
audit hanya untuk jangka waktu yang pendek.
b. Dalam sistem berbasis komputer hanya terdapat sedikit bukti dokumen yang
dihasilkan dari prosedur pengendalian dibandingkan sistem manual.
c. Informasi dalam sistem manual bisa dilihat secara nyata (visible). Sebaliknya
file dan catatan dalam sistem berbasis komputer hanya bisa dilihat oleh mesin
dan tidak bisa dibaca manusia tanpa bantuan komputer.
d. Berkurangnya keterlibatan manusia dalam pengolahan sistem berbasis
komputer dapat mengakibatkan kesalahan yang terjadi tidak mudah terlihat
dibandingkan jika terjadi pada sistem manual.
e. Informasi dalam sistem berbasis komputer lebih rentan terhadap kerusakan
fisik, manipulasi tanpa otorisasi, dan kegagalan mekanis dibandingkan dengan
sistem manual.
f. Berbagai fungsi yang berbeda-beda dapat dibuat terpusat dalam sistem berbasis
komputer sehingga mengurangi pembagian tugas (segregation of duty) yang
tradisional dalam sistem manual.
g. Perubahan sistem lebih sulit diimplementasikan dan diawasi pada sistem
berbasis komputer dibandingkan sistem manual.
h. Sistem berbasis komputer menyediakan pengolahan yang lebih konsisten
dibandingkan dengan sistem manual, karena dalam sistem berbasis komputer
semua transaksi dikendalikan secara seragam dalam pengendalian yang sama.
i. Laporan akuntansi yang dihasilkan komputer biasanya lebih tepat waktu
sehingga manajemen bisa memperoleh alat bantu yang efektif dalam
melakukan supervisi dan review atas operasi perusahaan.
2.3 Keuntungan Sistem Informasi Akuntansi Berbasis Komputerisasi
Sistem informasi akuntansi dapat menambah nilai bagi organisasi dengan
cara memberikan informasi yang akurat dan tepat waktu, agar aktivitas utama
8 Universitas Kristen Petra
organisasi dapat dilaksanakan dengan lebih efektif dan efisien. Sistem informasi
akuntansi yang dirancang dengan baik dapat melakukan hal ini dengan cara
(Romney dan Steinbart, 2004) :
• Memperbaiki kualitas dan mengurangi biaya untuk menghasilkan produk atau
jasa, karena sistem informasi akutansi dapat berfungsi untuk mengawasi mesin.
• Memperbaiki efisiensi jalannya suatu proses dengan memberikan informasi
yang lebih tepat waktu.
• Memperbaiki pengambilan keputusan dengan memberikan informasi yang
lebih tepat waktu sehingga keputusan dapat segera diambil untuk kemajuan
organisasi.
• Berbagi pengetahuan. Dengan sistem informasi akuntansi yang baik dapat
mempermudah proses berbagi pengetahuan dan keahlian, yang selanjutnya
dapat memperbaiki proses operasi perusahaan, dan bahkan memberikan
keunggulan kompetitif.
2.4 Resiko dan Ancaman Terhadap Sistem Informasi Akuntansi
Perusahaan telah semakin tergantung pada sistem informasi akuntansi,
yang juga telah berkembang semakin kompleks untuk memenuhi peningkatan
kebutuhan informasi. Sejalan dengan peningkatan kompleksitas sistem dan
ketergantungan pada sistem, perusahaan meghadapi peningkatan resiko atas
sistem informasi akuntansi mereka. Resiko terhadap sistem informasi akuntansi
dapat dibagi menjadi empat, yaitu (Romney dan Steinbart, 2004) :
• Kerusakan akibat bencana alam dan situasi politik, contoh : kebakaran, panas
yang berlebihan, banjir, gempa bumi, badai angin, dan perang.
• Kesalahan pada software dan tidak berfungsinya peralatan, seperti : kegagalan
hardware, kesalahan atau terdapat kerusakan pada software, kegagalan sistem
operasi, gangguan dan fluktuasi listrik, dan kesalahan pengiriman data yang
tidak terdeteksi.
• Tindakan yang tidak disengaja, seperti : kesalahan atau penghapusan data
karena ketidaktahuan atau karena kecelakaan semata. Hal ini biasanya terjadi
karena kesalahan manusia, kegagalan untuk mengikuti prosedur yang telah
ditetapkan, dan user yang tidak diawasi atau dilatih dengan baik.
9 Universitas Kristen Petra
• Tindakan disengaja yang biasanya disebut sebagai kejahatan komputer
(computer crime), seperti : sabotase yang bertujuan untuk menghancurkan
sistem atau beberapa komponennya, penipuan komputer yang bertujuan untuk
mencuri benda berharga, atau pemalsuan data-data perusahaan.
Resiko terbesar dalam sistem informasi dan paling merugikan, bersumber
dari kesalahan atau penghapusan karena ketidaktahuan. Ketika sebuah perusahaan
tidak melindungi sistem mereka dari keempat ancaman ini, mereka dapat
menghadapi ancaman tambahan, yaitu tuntutan hukum.
2.5 Pengendalian Internal
Sistem pengendalian internal terdiri dari kebijakan, prakter dan prosedur
yang ditetapkan oleh suatu organisasi untuk mencapai tujuan berikut (Hall, 2008):
• Mengamankan aset perusahaan
• Meyakinkan keakuratan dan reliabilitas pencatatan akuntansi dan informasi.
• Meningkatkan efisiensi dalam operasi perusahaan
• Menilai kepatuhan terhadap kebijakan dan prosedur manajemen
Pengendalian intern sendiri melaksanakan tiga fungsi, yaitu :
• Pengendalian preventive
Pengendalian preventive adalah garis pertama pertahanan yang merupakan
teknik pasif yang didesain untuk mengurangi frekuensi munculnya peristiwa-
peristiwa yang tidak diinginkan.
• Pengendalian detective
Pengendalian detective membentuk garis pertahanana kedua yang terdiri dari
peralatan, teknik, dan prosedur yang dirancang untuk mengidentifikasi dan
mengungkap peristiwa yang tidak diinginkan yang lolos atau tidak terdeteksi
oleh pengendalian preventive.
• Pengendalian corrective
Tindakan-tindakan yang diambil untuk menangani masalah yang telah
terdeteksi pada tahap sebelumnya.
10 Universitas Kristen Petra
Pengendalian internal terdiri dari lima komponen yang saling
berhubungan, yaitu (Boynton, Johnson, Kell, 2001) :
a. Lingkungan pengendalian (control environment) menetapkan suasana suatu
organisasi, yang mempengaruhi kesadaran akan pengendalian dari orang-
orangnya. Lingkungan pengendalian merupakan fondasi dari semua kompunen
pengendalian internal lainnya, yang menyediakan disiplin dan struktur.
b. Penilaian resiko (risk assessment) merupakan pengidentifikasian dan analisis
entitas mengenai resiko yang relevan terhadap pencapaian tujuan entitas, yang
membentuk suatu dasar mengenai bagaimana resiko harus dikelola.
c. Aktivitas pengendalian (control activities) merupakan kebijakan dan prosedur
yang membantu meyakinkan bahwa perintah manajemen telah dilaksanakan.
d. Informasi dan komunikasi (information and communication) merupakan
pengidentifikasian, penangkapan, dan pertukaran informasi dalam suatu bentuk
dan kerangka waktu yang membuat orang mampu melaksanakan tanggung
jawabnya.
e. Pemantauan (monitoring) merupakan suatu proses yang menilai kualitas
kinerja pengendalian intern pada suatu waktu.
2.6 Pengendalian Atas Sistem Informasi Akuntansi
Dalam aktivitas pengendalian yang merupakan salah satu unsur dari
pengendalian internal terdapat pengendalian pemrosesan informasi. Pengendalian
pemrosesan informasi dibagi menjadi dua yaitu pengendalian umum dan
pengendalian aplikasi.
Pengendalian umum bertujuan untuk mengendalikan pengembangan
program, perubahan program, operasi komputer, dan untuk mengamankan akses
terhadap data dan program. Pengendalian umum mencakup hal-hal berikut ini
(Hall, 2002) :
1. Pengendalian atas struktur organisasi
2. Pengendalian atas pusat komputer
3. Pengendalian atas sistem operasi
4. Pengendalian sistem manajemen data
5. Pengendalian aktivitas pemeliharaan sistem
11 Universitas Kristen Petra
6. Pengendalian Local Area Network (LAN)
Pengendalian aplikasi merupakan pengendalian yang spesifik untuk satu
aplikasi tertentu. Pengendalian aplikasi dikelompokkan menjadi pengendalian
input, pengendalian proses, serta pengendalian output. (Bodnar, Hopwood, 2006)
Pengendalian umum bukan menggantikan pengendalian aplikasi.
Pengendalian umum dirancang untuk melindungi semua pengendalian aplikasi
untuk memastikan bahwa pengendalian aplikasi itu efektif. Sangat mungkin
terjadi sebuah perusahaan memiliki pengendalian umum yang kuat, tetapi
pengendalian aplikasinya lemah, atau malah tidak ada sama sekali. Pengendalian
umum, oleh karena itu, dapat dilihat sebagai satu hal yang penting, tetapi belum
cukup untuk mengendalikan pemrosesan data.
2.7 Auditing
Definisi auditing adalah pengumpulan serta pengevaluasian bukti-bukti
atas informasi untuk menentukan dan melaporkan tingkat kesesuaian informasi
tersebut dengan kriteri-kriteria yang telah ditetapkan, Auditing harus dilaksanakan
oleh seseorang yang kompeten dan independen. (Arens, 2003)
Audit sendiri dibagi menjadi 3 jenis yaitu :
• Audit Operasional adalah tinjauan atas bagian tertentu dari prosedur serta
metode operasional organisasi tertentu yang bertujuan mengevaluasi efisiensi
serta efektifitas prosedur serta metode tersebut. Pada saat audit operasional
selesai dilaksanakan, biasanya manajemen mengharapkan sejumlah
rekomendasi untuk meningkatkan kegiatan operasional perusahaan. Dalam
audit operasional, tinjauan-tinjauan yang dibuat tidak terbatas pada akuntansi
saja tetapi dapat mencakup pula evaluasi atas struktur organisasi, operasi
komputer, metode produksi, pemasaran, serta banyak area audit lainnya
sesuai dengan kualifikasi auditor.
• Audit Kepatuhan adalah untuk menentukan apakah klien telah mengikuti
prosedur, tata cara, serta peraturan yang dibuat oleh otoritas yang lebih tinggi.
Temuan audit kepatuhan umumnya disampaikan kepada seseorang di dalam
unit organisasi yang diaudit daripada disampaikan kepada lingkup pengguna
yang lebih luas.
12 Universitas Kristen Petra
• Audit Laporan Keuangan dilaksanakan untuk menentukan apakah seluruh
laporan keuangan telah dinyatakan sesuai dengan kriteria tertentu. Umumnya
kriteria tersebut adalah Pernyataan Standart Akuntansi Keuangan (PSAK).
2.8 Audit Sistem Informasi
Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi
pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan
audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini
dipenuhi : (Romney dan Steinbart, 2004)
a. Perlengkapan keamanan melindungi perlengkapan komputer, program,
komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.
b. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi
khusus dan umum dari manajemen.
c. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak
manajemen.
d. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat
dan lengkap.
e. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat
diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah
ditetapkan.
f. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
Seluruh audit sistem informasi menggunakan urutan kegiatan yang dapat
dibagi menjadi empat langkah, yaitu merencanakan audit, mengumpulkan bukti
audit, mengevaluasi bukti audit, dan mengkomunikasikan hasil audit kepada pihak
perusahaan. Berikut adalah penjelasan dari langkah- langkat tersebut :
a. Merencanaan audit
Tujuan dari merencanakan audit adalah untuk menetapkan mengapa,
bagaimana, kapan dan oleh siapa audit akan dilaksanakan. Langkah pertama
dalam perencanaan audit adalah menetapkan lingkup dan tujuan audit. Setealh
lingkup dan tujuan audit telah jelas, maka hal berikutnya adalah menetapkan
tim audit yang nantinya akan melaksanakan audit. Tim audit ini akan
melakukan diskusi terhadap pihak yang diaudit, melakukan tinjauan tas
13 Universitas Kristen Petra
dokumentasisistem, dan melakukan tinjauan atas penemuan-penemuan dalam
survei pendahuluan.Langkah berikutnya yang dilakukan adalah
mengidentifikasi faktor resiko. Dan langkah terakhir adalah menyiapkan
program audit yang nantinya akan dilaksanakan oleh tim audit.
b. Mengumpulkan bukti audit
Sebagian besar usaha audit dihabiskan dengan mengumpulkan bukti. Teknik
pengumpulan bukti meliputi kuesioner, wawancara, mereview, dan observasi.
Sebuah audit umumnya akan menggunakan campuran berbagai prosedur.
c. Mengevaluasi bukti audit
Auditor mengevaluasi bukti yang dikumpulkan dengan dasar tujuan audit, dan
memutuskan apakah bukti yang dikumpulkan tersebut cukup memadai atau
tidak. Apabila kurang memadai, auditor akan merencanakan dan
melaksanankan prosedur tambahan sampai bukti yang cukup dapat
dikumpulkan untuk membuat kesimpulan yang kuat. Dalam seluruh tahapan
audit, penemuan dan kesimpulan dengan hati-hati didokumentasikan dalam
lembar kerja audit. Dokumentasi sangatlah penting pada tahap evaluasi untuk
mencapai dan mendukung kesimpulan akhir.
d. Mengkomunikasikan hasil audit
Auditor mempersiapkan laporan tertulis (dan kadang-kadang lisan) yang
meringkas penemuan-penemuan dan berbagai rekomendasi audit. Laporan ini
disajikan kepada pihak manajemen.
2.9 Audit atas Pengendalian Umum
Pengendalian umum mencoba untuk mendapatkan gambaran keseluruhan
dari pengendalian yang ada di sekitar lingkungan sistem informasi. Yang
termasuk di dalamnya yaitu struktur organisasi dan pengaturan struktur dari fungsi
sistem informasi, keberadaan dan kebijakan prosedur sehari-hari, keberadaan staf
dan kemampuan mereka serta keseluruhan lingkungan pengendalian. Penting bagi
auditor untuk memahami hal-hal tersebut karena merekalah fondasi dari
pengendalian.
Gambaran pengendalian umum juga mencakup infrastruktur serta
pengendalian lingkungan. Pusat data atau fasilitas pengolahan informasi harus
14 Universitas Kristen Petra
memenuhi standart kondisi udara (suhu dan kelembaban), pasokan listrik (UPS
dan generator) dan pendeteksi asap atau sistem kebakaran, lingkungan yang
kondusif dan bersih, perlindungan dari bencana alam.
Pengendalian akses fisik merupakan lingkup lain yang juga penting untuk
ditinjau. Ada perintah atau pengaturan yang hanya dapat dijalankan hanya dari
server. Oleh karena itu penting untuk menempatkan server di lokasi yang aman
dilindungi oleh mekanisme yang sesuai seperti mengunci pintu, gesek kartu akses,
akses perangkat biometrik atau kombinasi dari itu semua. Selanjutnya auditor juga
harus meninjau tindakan kontrol akses secara keseluruhan seperti penjaga
keamanan di pintu masuk serta akses masuk pengunjung (Sayana).
2.9.1 Pengendalian atas struktur organisasi
Tujuan audit atas struktur organisasi adalah untuk memastikan bahwa
individu- individu dari area yang berbeda dipisahkan berkaitan dengan tingkat
resiko potensial dan dalam cara yang mendukung lingkungan kerja. Dikarenakan
pada sistem informasi berbasis komputer, pemisahan fungsi yang ada berkaitan
dengan departemen teknologi informasi (TI) maka yang akan dilihat adalah
pemisahan tugas dalam departemen IT (Hall, 2002).
Untuk memenuhi tujuan di atas, maka pengendalian yang dapat dilakukan
dalam sistem informasi akuntansi berbasis komputer adalah :
a. Memisahkan pengembangan sistem dari operasi komputer
Relasi antara kelompok ini harus terpisah di mana tanggung jawab yang
dipegang oleh mereka tidak boleh digabungkan. Tanggung jawab dari
penggembangan sistem adalah membuat (serta memelihara) sistem untuk para
pemakai. Sedangkan operasi komputer hanya bertanggung jawab menjalankan
sistem dan tidak terlibat sama sekali dalam pembuatan sistem. Dengan
pengetahuan mengenai logika aplikasi dan parameter pengendalian dan akses ke
fungsi- fungsi komputer maka seseorang dapat membuat perubahan yang tidak sah
terhadap aplikasi.
b. Pemisahan administrator database dan pengembangan sistem
Fungsi administrator database bertanggung jawab untuk tugas penting
yang berkaitan dengan keamanan database, termasuk pembuatan skema database,
15 Universitas Kristen Petra
penetapan otorisasi akses untuk para pemakai, dan perencanaan untuk
pengembangan di masa yang akan datang. Sedangkan tanggung jawab dari
penggembangan sistem adalah membuat (serta memelihara) sistem untuk para
pemakai. Dengan digabungkannya dua fungsi ini maka akan mengakibatkan
kekacauan pada kontrol akses.
c. Pemisahan fungsi pengembangan sistem baru dari fungsi pemeliharaan
Sebagian perusahaan mengelola fungsi- fungsi pengembangan sistem
mereka dalam dua kelompok yaitu analisis dan pemrograman sistem. Bagian
analisis sistem bekerja dengan para pengguna untuk menghasilkan desain
terperinci sistem yang baru. Bagian pemrograman akan mengkodekan berbagai
program seusai dengan spesifikasi desain ini. Dalam pendekatan ini, programmer
akan mengkodekan program awal juga akan memelihara sistem tersebut selama
tahap pemeliharaan dalam siklus hidup pengembangan sistem. Apabila tidak ada
pemisahan fungsi ini dapat menyebabkan dua jenis masalah kontrol dokumentasi
yang tidak memadai (inadequate documentation) dan potensi terjadinya penipuan
program (program fraud).
d. Memisahkan pustakawan data dari kegiatan operasional
Pemisahan pustakawan data dari kegiatan operasi merupakan hal penting
untuk keamanan fisik file-file data yang disimpan dalam perpustakaan data (offline
data). Pustakawan data adalah orang yang bertanggung jawab atas penerimaan,
penyimpanan, penarikan, dan pengamanan berbagai file data dan harus
mengendalikan akses ke perpustakaan tersebut. Para operator yang ditugaskan
fungsi pustakawan harus memahami peran penting pengendalian dalam tanggung
jawab yang sudah jelas sangat besar ini. Pihak manajemen harus mempertahankan
adanya pengendalian yang ketat atas siapa saja yang melakukan fungsi
pustakawan untuk memastikan bahwa tanggung jawab ini tidak dilaksanakan oleh
operator lain dalam masa sibuk.
Prosedur audit yang berkenaan dengan struktur organisasi yang digunakan
oleh auditor untuk mewujudkan tujuan audit adalah :
• Mendapatkan dan memeriksa kebijakan perusahaan perihal keamanan
komputer. Memverifikasi bahwa kebijakan keamanan tersebut
dikomunikasikan kepada para karyawan.
16 Universitas Kristen Petra
• Memeriksa dokumentasi yang relevan, termasuk struktur organisasi saat ini,
pernyataan misi, dan deskripsi pekerjaan untuk fungsi- fungsi kunci, untuk
memastikan bahwa individu- individu atau kelompok tersebut melakukan
fungsi- fungsi yang saling bertentangan.
• Memeriksa dokumen sistem dan pemeliharaan catatan untuk sebuah sampel
aplikasi. Memverifikasi bahwa pemrogram pemeliharaan sistem yang
ditugaskan untuk proyek-proyek tertentu bukan merupakan pemrogram desain
sistem asli.
• Melalui pengamatan, memastikan bahwa kebijakan pemisahan tugas benar-
benar dipraktekkan. Memeriksa cacatan harian akses ke ruang operasi untuk
melihat apakah para pemrogram memasukkan fasilitas untuk alasan-alasan lain
selain karena kegagalan sistem.
• Memeriksa hak-hak dan akses pemakai untuk memverifikasi bahwa para
pemrogram memiliki akses yang konsisten dengan deskripsi pekerjaan mereka.
2.9.2 Pengendalian atas pusat komputer
Para auditor mempelajari lingkungan fisik dari pusat komputer sebagai
bagian dari pekerjaan audit mereka. Hasil temuan dalam bidang ini berpengaruh
besar pada informasi, catatan akuntansi, pemrosesan transaksi dan efektivitas
kontrol internal lainnya. Maka dari itu aud itor menerapkan tujuan audit yang
berkenaan dengan keamanan pusat komputer, yaitu :
a. Pengendalian keamanan fisik memadai untuk melindungi organisasi dari
kerusakan secara fisik
b. Jaminan asuransi pada peralatan cukup untuk memberikan kompensasi pada
organisasi ketika terjadi kerusakan atau bencana pada pusat komputer
c. Rencana pemulihan kerusakan (Disaster Recovery Plan atau DRP) organisasi
itu memadai dan layak
17 Universitas Kristen Petra
Untuk memenuhi tujuan audit terhadap pengendalian keamanan fisik yang
memadai sehingga dapat melindungi organisasi dari kerusakan fisik, maka
pengendalian yang harus dijalankan oleh perusahaan adalah (Hall, 2002) :
a. Lokasi fisik
Lokasi fisik secara langsung mempengaruhi resiko kerusakan. Sebisa
mungkin pusat komputer tersebut jauh dari bahaya buatan manusia ataupun alam.
b. Konstruksi
Konstruksi gedung idealnya berlantai satu, kuat, dan aksesnya dikontrol.
Utilities (listrik dan telepon) dan jalur komunikasi harus ditempatkan di bawah
tanah. Jendela gedung jangan dibuka. Perlu juga dilengkapi sistem penyaring
udara.
c. Akses
Akses ke pusat komputer harus dibatasi pada operator dan pekerja lain
yang bekerja di sana. Pusat komputer harus mempertahankan catatan yang akurat
untuk siapapun yang keluar dan masuk ke pusat komputer. Pintu masuk utama
harus ada satu saja. Ruangan dilengkapi dengan alarm, kamera yang memonitor
dan sistem perekam video.
d. Pendingin udara
Pendingin udara dalam pusat komputer dapat membuat komputer
berfungsi dengan baik. Kisaran temperatur yang bak adalah 70 sampai 75 derajat
Farenheit dan kelembaban relatif 50 persen.
e. Pemadam api
Pemadam api harus ada dalam melengkapi pusat komputer. Implementasi
sistem pemadam kebakaran yang efektif memerlukan konsultasi dengan para
ahlinya. Sebagian fitur utama dari sistem ini adalah alarm otomatis dengan
mengeluarkan zat pemadam api yang tepat yang tidak merusak peralatan yang
ada, alarm manual, gedung dengan konstruksi yang kuat dan tahan api, serta pintu
darurat dengan tanda dan penerangan yang jelas. Berikut adalah tabel mengenai
komposisi material tabung pemadam kebakaran beserta kegunaannya :
18 Universitas Kristen Petra
Tabel 2.1 Material dan Kegunaan Tabung Pemadam Kebakaran
Sumber : http://bartecfire.squarespace.com/fire-extinguishers/
f. Pasokan daya listrik
Pasokan daya listrik dapat mendatangkan masalah bila terjadi kegagalan
daya listrik total, fluktuasi tegangan listrik, dan variasi berkala. Peralatan yang
digunakan untuk mengontrol masalah ini antara lain pengatur voltase, pelindung
goncangan, generator, dan baterai.
Prosedur audit yang dilakukan oleh auditor dalam menguji pengenalian
keamanan fisik adalah (Hall,2002) :
• Menguji lokasi fisik
Auditor harus menentukan bahwa pusat komputer dibangun dengan bahan-
bahan yang tahan api. Konstruksi ini juga harus memiliki saluran air di bawa
lantai serta dilengkapi dengan pendingin udara dengan suhu dan kelembaban
yang mencukupi. Selain itu, auditor harus mengevaluasi lokasi fisik dari pusat
komputer. Fasilitas ini harus terletak di wilayah yang meminimalisir kerusakan
karena kebakaran, perang, dan kerusakan lainnya.
19 Universitas Kristen Petra
• Menguji kontrol akses
Auditor harus memastikan bahwa akses rutin ke pusat komputer dibatasi pada
karyawan yang memiliki otorisasi saja. Rincian tentang akses pengunjung,
seperti waktu masuk dan keluar, tujuan dan frekuensi akses, dapat diperoleh
dengan memeriksa catatan harian akses.
• Menguji sistem deteksi kebakaran
Auditor harus memastikan bahwa peralatan pemadam dan pendeteksi api, baik
manual maupun otomatis, memang ada dan diuji secara berkala. Sistem
pendeteksi ini harus bisa mendeteksi asap, panas, dan material lain yang mudah
terbakar.
• Menguji pasokan listrik cadangan
Pusat komputer harus melakukan tes secara berkala terhadap pasokan listrik
cadangan untuk memastikan bahwa pasokan listrik tersebut memiliki cukup
kapasitas untuk menjalankan komputer dan pendingn udara sekaligus. Tanpa
tes semacam ini maka perusahaan tidak akan menyadari bahwa kapasitas listrik
cadangan tidak akan mencukupi sampai akhirnya sudah terlambat.
Untuk memenuhi tujuan audit mengenai jaminan asuransi terhadap
hardware, software dan perangkat fisik lainnya, maka pengendalian yang harus
dijalankan oleh perusahaan adalah membeli polis asuransi. Polis asuransi harus
mencerminkan kebutuhan manajemen dalam hal jaminan asuransi dan biaya.
Setiap tahunnya harus diverifikasi bahwa semua akuisisi baru sudah didaftarakan
dalam polis dan bahwa perangkat lunak yang usang telah dihapus.
Prosedur audit yang harus dilakukan oleh auditor adalah memverifikasi
jaminan asuransi. Auditor setiap tahunnya harus memeriksa jaminan asuransi
organisasi untuk hardware, software, dan fasilitas fisik komputer. Auditor harus
memastikan bahwa akuisisi baru sudah didaftarkan dalam polis dan bahwa
perangkat yang usang sudah dihapus.
DRP merupakan pernyataan tentang semua tindakan yang harus diambil
sebelum, selama, dan setelah bencana terjadi, bersamaan dengan prosedur-
prosedur yang didokumentasikan, diuji, yang akan memastikan kelanjutan operasi.
Untuk memenuhi tujuan audit terhadap rencana pemulihan kerusakan (Disaster
20 Universitas Kristen Petra
Recovery Plan atau DRP) yang memadai, maka pengendalian yang harus
dijalankan oleh perusahaan adalah (Hall, 2002) :
a. Mengidentifikasi aplikasi-aplikasi penting
Salah satu elemen penting dari sebuah DRP adalah mengidentifikasi aplikasi-
aplikasi penting dari file-file perusahaan. Upaya-upaya pemulihan harus
terkonsentrasi pada pemasangan kembali aplikasi-aplikasi yang penting untuk
tujuan jangka pendek organisasi. Bagi kebanyakan organisasi, daya tahan
perusahaan dalam jangka pendek mensyaratkan pemasangan kembali fungsi-
fungsi yang menghasilkan arus kas yang memadai untuk memenuhi kewajiban
jangka pendek.
b. Melakukan prosedur back up dan penyimpanan off site, yang meliputi :
- Back up file data
Database harus dibuat salinannya setiap hari dalam kaset atau disket yang
disimpan dalam tempat yang terpisah.
- Back up dokumentasi
Dokumentasi sistem untuk aplikasi-aplikasi penting harus di back up dan
disimpan terpisah dengan cara yang sama sebagai file-file data.
- Back up perlengkapan dan dokumen sumber
Perusahaan harus menyediakan persediaan cadangan untuk perlengkapan
dan dokumen-dokumen sumber yang digunakan dalam aplikasi-aplikasi
penting.
Prosedur audit yang berkenaan dengan DRP yang digunakan oleh auditor
untuk mewujudkan tujuan audit adalah (Hall, 2002) :
• Memeriksa daftar aplikasi penting
Auditor dapat meninjau daftar aplikasi penting untuk meyakinkan bahwa daftar
tersebut telah lengkap untuk tujuan jangka pendek organisasi.
• Memeriksa prosedur back up
Auditor harus memeriksa bahwa salinan data aplikasi, file, perlengkapan dan
dokumen sumbertelah di bacu up dan dimasukkan dalam off-site sehingga
memadai dan siap untuk dipakai saat rencana pemulihan bencana.
21 Universitas Kristen Petra
2.9.3 Pengendalian sistem operasi
Sistem operasi merupakan program pengendalian dari komputer. Sistem ini
memungkinkan para pemakai dan aplikasi-aplikasinya untuk menggunakan dan
mengakses sumber daya komputer secara bersamaan. Wilayah pengendalian
sistem operasi meliputi prosedur log on, kebijakan kata sandi, pengendalian virus,
pengendalian jejak audit, dan toleransi kesalahan (Hall dan Singleton, 2008).
Tujuan audit atas sistem operasi adalah untuk :
a. Memastikan hak akses diberikan secara konsisten dengan kebutuhan untuk
memisahkan fungsi- fungsi yang berbeda dan sesuai dengan kebijakan
perusahaan.
b. Memastikan bahwa perusahaan memiliki kebijakan kata sandi yang memadai
dan efektif untuk mengendalikan akses ke sistem operasi perusahaan.
c. Memastikan adanya kebijakan dan prosedur manajemen yang efektif untuk
mencegah masuk dan menyebarnya program yang bersifat merusak.
d. Memastikan bahwa pemeriksaan terhadap user dan event cukup memadai
untuk mencegah dan mendeteksi penyalahgunaan sistem.
Untuk memenuhi tujuan dalam memastikan hak akses diberikan secara
konsisten, maka perusahaan harus menerpakan prosedur log on. Prosedur log on
adalah sebuah prosedur formal yang merupakan pengamanan garis depan sistem
operasi dari akses tidak sah. Ketika pengguna memulai proses tersebut, ia akan
disajikan sebuah kotak dialog yang meminta ID dan kata sandinya. Sistem
kemudian akan membandingkan ID dan kata sandi tersebut dengan basis data para
pengguna yang valid. Jika sistem menemukan kesesuaian, maka usaha untuk
logon tersebut akan diautentikasi. Akan tetapi, jika ID atau kata sandi yang
dimasukkan salah, maka usaha log on tersebut akan gagal dan akan ada sebuah
pesan untuk user. Pesan tersebut tidak boleh memberitahukan apakah ID atau kata
sandi yang menyebabkan kegagalan log on. Setelah beberapa kali percobaan log
on yang gagal dilakukan, sistem akan membawa pengguna keluar dari sistem.
Prosedur audit yang harus dilakukan oleh auditor berkaitan dengan tujuan
audit untuk memastikan hak akses diberikan untuk memisahkan fungsi- fungsi
yang berbeda adalah :
22 Universitas Kristen Petra
• Memeriksa kebijakan organisasi untuk memisahkan fungsi- fungsi yang saling
bertentangan dan memastikan mereka mendukung keamanan yang masuk akal.
• Memeriksa hak akses individu untuk menentukan sesuai atau tidaknya hak
akses mereka dengan deskripsi dan posisi kerja mereka. Auditor harus
memverifikasi bahwa individu tersebut diberikan hak akses ke data dan
program berdasarkan kebutuhan mereka.
• Memeriksa waktu log on uang diizinkan. Izin ini sesuai dengan tanggung
jawab yang dilakukan.
Untuk memenuhi tujuan dalam memastikan perusahaan memiliki kebijakan
kata sandi, maka perusahaan harus menerapkan kebijakan kata sandi. Kata sandi
merupakan sebuah kode rahasia yang dimasukkan oleh pemakai agar dapat
mengakses sistem, aplikasi-aplikasi, file- file data, atau server jaringan.
Pengendalian yang diterapkan berkenaan dengan kata sandi adalah (CISA Review
2007) :
a. User harus menggunakan kata sandi yang kuat. Idealnya kata sandi memiliki
panjang delapan karakter dengan gabungan paling sedikit tiga dari gabungan
huruf, angka, huruf besar dan kecil, serta tanda baca.
b. Kata sandi seharusnya tidak boleh secara langsung menggambarkan atau
berhubungan dengan user (seperti nama depan, nama keluarga, dll)
c. Kata sandi harus diganti setidaknya dalam waktu 30 hari.
Untuk menilai pencapaian dari tujuan audit mengenai kata sandi maka
auditor harus menerapkan langkah audit sebagai berikut (Hall, 2002) :
• Memverifikasi bahwa semua pemakai diharuskan memiliki kata sandi
• Memverifikasi bahwa pemakai baru diberi petunjuk dalam menggunakan kata
sandi dan pentingnya pengendalian kata sandi.
• Memastikan bahwa prosedur yang ada dapat mengidentifikasi kata sandi yang
lemah. Hal ini dapat dilakukan dengan menggunakan software.
• Menilai kecukupan standart kata sandi seperti panjang dan jangka waktu
kadaluarsanya
• Memeriksa kebijakan dan prosedur penguncian akun. Auditor harus menetukan
berapa jumlah kegagalan user login yang diizinkan sebelum akun itu benar-
benar terkunci besertalamanya penguncian. Penguncian akun ini dapat
23 Universitas Kristen Petra
berlangsung beberapa menit atau bahkan permanen yang memerlukan tindakan
pengaktifan secara resmi.
Untuk memenuhi tujuan adanya kebijakan dan prosedur manajemen untuk
mencegah masuk dan menyebarnya program yang bersifat merusak makan
dilakukan pengendalian yaitu pengendalian virus. Virus merupakan program
(biasanya destruktif) yang melekatkan dirinya pada program yang sah untuk
mengacaukan sistem operasi. Virus menghancurkan program-program aplikasi,
file-file data, dan sistem operasi dengan berbagai cara. Pengendalian yang dapat
dilakukan diantaranya yaitu (Hall, 2002) :
a. Membeli software hanya dari vendor yang bereputasi baik dan hanya menerima
produk-produk asli dan tersegel dari pabriknya.
b. Mengeluarkan kebijakan yang berkaitan dengan penggunaan software yang
tidak di otorisasi.
c. Memeriksa semua software dari virus-virus sebelum diimplementasikan
d. Secara rutin membuat back up untuk salinan pendukung untuk file-file kunci
e. Menggunakan software antivirus untuk memeriksa aplikasi dan proram sistem
operasi dari ada tidaknya virus dan membersihkan virus dari program tersebut.
Dan harus dilakukan pengecekan antivirus versi terbaru untuk menghindari
virus yang bermutasi dan tidak dapat dicegah oleh antivirus yang lama.
Prosedur audit yang dapat dilakukan oleh auditor untuk mencegah program-
program destruktif adalah (Hall, 2002) :
• Melalui wawancara memastikan bahwa user telah dididik tentang virus
komputer dan menyadari resiko-resiko yang dapat meyebabkan virus masuk ke
dalam komputer.
• Memeriksa bahwa administrator sistem secara rutin memeriksa server file dan
komputer-komputer untuk mengetahui ada tidaknya virus
• Memverifikasi bahwa software diuji terlebuh dahulu sebelum
diimplementasikan
• Memverifikasi bahwa antivirus saat ini terpasang dan diperbarui secara berkala
Untuk menetapkan tujuan memastikan bahwa pemeriksaan terhadap user
dan event cukup memadai untuk mencegah dan mendeteksi penyalahgunaan
sistem maka pengendalian yang harus dilakukan adalah menetapkan jejak audit.
24 Universitas Kristen Petra
Jejak audit merupakan catatan harian yang dapat didesain untuk mencatat aktivitas
pada sistem, aplikasi, dan pada tingkat pemakai. Ketika diimplementasikan
dengan benar, jejak audit menjadi kontrol deteksi yang penting untuk membantu
pencapaian tujuan dan kebijakan keamanan sistem. Pengendalian jejak audit dapat
digunakan untuk mendukung keamanan dalam tiga cara, yaitu (Hall 2002) :
a. Mendeteksi akses yang tidak diotorisasi
Tujuan utama dari pendekatan real time adalah untuk melindungi sistem dari
pihak luar yang berusaha untuk menembus kontrol sistem. Jejak audit real time
juga dapat digunakan untuk melaporkan kinerja sistem yang mungkin dipenuhi
oleh virus.
b. Merekonstruksi peristiwa
Dapat digunakan untuk merekonstruksi langkah- langkah yang mengarah ke
peristiwa-peristiwa seperti kegagalan sistem, pelanggaran keamanan oleh
individu, atau kesalahan dalam memproses aplikasi.
c. Akuntanbilitas Personal
Kapabilitas ini merupakan control preventif yang dapat digunakan untuk
mempengaruhi perilaku individu- individu yang cenderung segan melanggar
kebijakan keamanan organisasi jika tahu bahwa tindakannya akan dicatat
dalam jejak audit.
Prosedur audit yang dapat dilakukan oleh auditor berkaitan dengan jejak
audit adalah (Hall, 2002 dan CISA review 2007) :
• Auditor harus memverifikasi bahwa jejak audit peristiwa telah diaktifkan
sesuai dengan kebijakan perusahaan.
• Auditor dapat mengakses arsip file catatan harian untuk mencari peristiwa
seperti pemakai yang tidak memiliki otorisasi, periode tidak adanya aktivitas,
usaha log on yang gagal, dan akses ke file atau aplikasi tertentu.
• Auditor memilih satu sampel kasus pelanggaran dan megevaluasi keadaan
untuk menilai efektifitas keamanan.
25 Universitas Kristen Petra
2.9.4 Pengendalian atas manajemen data
Tujuan audit adalah untuk memverifikasi bahwa kontrol terhadap
manajemen data sudah cukup untuk menjaga integritas dan keamanan fisik
database. Tujuan audit ini dapat dirinci menjadi dua yaitu :
a. Individu yang diberi otorisasi telah menggunakan database secara terbatas
hanya untuk mengakses data yang diperlukan untuk melakukan pekerjaan
mereka dan bahwa individu- individu yang tidak memiliki otoritas ditolak
aksesnya ke database.
b. Backup file data telah memadai untuk memfasilitasi pemulihan ketika terjadi
kehilangan, penghancuran, atau korupsi data
Pengendalian yang dapat dilakukan berkaitan dengan otorisasi akses baik
yang dikehendaki maupun penolakan akses yang tidak sah dapat dilakukan
dengan cara :
a. User view atau subskema adalah bagian dari keseluruhan database yang
mendefinisikan data yang domain bagi pemakai dan menyediakan akses
database. Dalam database tersentralisasi, database administrator mempunyai
timbal balik dasar bagi desain tampilan pemakai dalam bagian ini. Akses inti
untuk database telah terdefinisikan seperti tampilannya akan sepada dengan
pemakaian yang diperlukan pemakai.
b. Tabel otorisasi database
Tabel otorisasi database berisi peraturan-peraturan yang membatasi tindakan-
tindakan pemakai sistem. Teknik ini serupa dengan daftar kontrol akses yang
digunakan dalam sistem operasi.
c. Prosedur yang ditentukan pemakai
Prosedur yang ditentukan pemakai mengijinkan user untuk menciptakan
program keamanan pribadi untuk menyediakan identifikasi user yang lebih
baik dibandingkan satu kata sandi.
Prosedur audit yang dilaksanakan berkaitan dengan otorisasi akses yang
harus dilakuakn oleh aouditor adalah (Hall, 2002) :
• Memverifikasi bahwa personel administrator database memegang tanggung
jawab khusus membuat tabel-tabel otoritas dan mendesain sub-skema pemakai
26 Universitas Kristen Petra
• Memilih sebuah sampel pemakai dan memverifikasi bahwa hak akses mereka
disimpan dalam tabel otoritas
• Memverifikasi bahwa kontrol pertanyaan database memang ada untuk
mencegah akses-akses yang tidak sah dengan carai dilakukan simulasi akses
yaitu dengan sebuah sampel user dan berusaha mengambil data secara tidak
sah.
Data dapat dikorupsi oleh tindakan-tindakan kriminal dari pembajak, para
karyawan yang tidak puas terhadap perusahaan, kegagalan sistem, dan bencana
alam. Untuk pulih dari bencana-bencana seperti itu, organisasi harus
mengimplementasikan kebijakan, prosedur, dan teknik yang secara rutin
menyediakan back up untuk file-file penting. Tujuan dari audit atas backup data
adalah bahwa backup data sudah memadai untuk memfasilitasi pemulihan ketika
terjadi kehilangan, penghancuran, atau korupsi data.
Untuk mencapai tujuan di atas, maka pengendalian yang dapat dilakukan
oleh perusahaan adalah (Hall,2002) :
a. Backup
Fitur backup ini membuat file pendukung secara periodik untuk seluruh
database. Ini merupakan prosedur otomatis yang harus dilakukan sedikitnya
satu kali dalam sehari. Salinan pendukung (backup copy) ini kemudian harus
disimpan dalam area yang terpisah dan aman. Dapat dilakukan dengan teknik
cadangan GPC (grandparent-parent-child), atau cadangan file akses langsung
atau dengan penyimpanan di tempat lain (off site)
b. Transaction log (journal)
Fitur transaction log menyediakan audit trail untuk semua transaksi yang
diproses. Log ini membuat daftar transaksi dalam file log transaksi dan
mencatat perubahan yang dihasilkan ke basis data dalam log perubahan basis
data yang terpisah.
Prosedur audit yang dilaksanakan oleh auditor berkaitan dengan back up
untuk file-file penting adalah (Hall, 2002) :
• Memverifikasi bahwa prosedur back up otomatis memang ada dan berjalan
baik. Selain itu auditor juga harus memastikan bahwa frekuensi prosedur back
27 Universitas Kristen Petra
up memadai untuk kebutuhan perusahaan dan salinan pendukung (backup
copy) harus disimpan di tempat terpisah dan aman.
• Melihat kecurangan-kecurangan yang terjadi pada transaction log (journal)
untuk semua transaksi yang diproses.
2.9.5 Pengendalian aktivitas pemeliharaan sistem
Terdapat tiga tujuan dalam pengendalian pemeliharaan sistem, yaitu (Hall,
2002) :
a. Untuk memastikan bahwa prosedur pemeliharaan melindungi aplikasi dari
perubahan yang tidak terotorisasi.
b. Untuk memastikan bahwa program library terlindungi dari akses yang tidak
terotorisasi.
Untuk memastikan bahwa prosedur pemeliharaan melindungi aplikasi dari
perubahan yang tidak terotorisasi. Maka perusahaan dapat menerapkan
pengendalian seperti pengendalian jejak audit. Melalui jejak audit akan terlihat
semua perubahan program baik penambahan ataupun penghapusan modul.
Laporan ini harus merupakan bagian dari file dokumentasi dari setiap aplikasi
untuk membentuk suatu jejak audit. Laporan–laporan ini dapat diproduksi tercetak
atau pada disket dan dapat dikelola dengan kata sandi sehingga akan membatasi
akses hanya kepada pihak yang berkepentingan saja.
Langkah untuk auditor melakukan pemeriksaan untuk mengetahui setiap
perubahan program yang terjadi adalah sah, maka auditor harus melihat jejak
audit dari perubahan program untuk sebuah sampel aplikasi yang telah menjalani
pemeliharaan.
Untuk memastikan bahwa program library terlindungi dari akses yang
tidak terotorisasi. Maka perusahaan dapat mengendalikan akses terhadap program
library. Program library harus hanya diakses oleh orang-orang yang bertindak
sebagai petugas library. Perusahaan dapat menerapkan akses kontrol matrik
terhadap individu- individu petugas library.
Langkah untuk auditor melakukan pemeriksan untuk memastikan bahwa
program library terlindungi dari akses yang tidak terotorisasi maka auditor dapat
melihat akses kontrol matriks yang dimiliki oleh petugas library. Selain itu juga
28 Universitas Kristen Petra
auditor dapat melakukan pengujian untuk mengetahui apakah akses yang tidak
terotorisasi dapat ditolak oleh sistem.
2.9.6 Pengendalian Local Area Network (LAN)
Local area network adalah jaringan yang terbatas pada satu ruangan
tunggal dalam satu gedung, ataupun menghubungkan beberapa gedung dalam satu
area geografis tertutup. LAN dapat meliputi dapat meliputi beberapa mil dan
menghubungkan ratusan pengguna. Komputer-komputer yang dihubungkan pada
suatu LAN disebut node. Node sering berbagi sumber daya umum seperti
program, data, dan printer yang dikelola melalui server. Bila server menerima
permintaan untuk sumber daya, permintaan ditempatkan dalam suatu antriandan
diproses dalam urutan (Hall, 2002).
Tujuan audit atas local area network (LAN) adalah untuk memastikan
integritas dan keamanan data yang terhubung ke dalam jaringan dan mendeteksi
akses yang tidak terotorisasi.
Untuk mencapai tujuan tersebut, perusahana dapat melaksanakan
pengendalian berupa :
a. Menerapkan catatan harian pesan. Semua pesan yang masuk dan keluar, juga
setiap usaha akses akan dicatat dalam sebuah catatan harian. Catatan ini
menyantumkan ID pemakai, waktu akses dan lokasi akses.
b. Pengendalian backup untuk jaringan. Backup data dalam jaringan dapat
diwujudkan melalui beberapa cara yang berbeda, bergantung pada tingkat
kompleksitas jaringan. Dalam jaringan yang kecil, sebuah stasuin kerja tunggal
dapat memiliki backup dan memulihkan fungsi- fungsi untuk node lainnya.
Ketika jaringan semakin besar dan melibatkan banyak node dan meingkatkan
kuantitas pemakai data secara bersama-sama, backup biasanya ditetapkan pada
jaringan tingkat server.
Auditor dapat melakukan prosedur audit yang berkaitan dengan local area
network (LAN) dengan :
• Memeriksa catatan harian pesan untuk melihat akses terhadap LAN. Apakah
akses yang masuk ke jaringan adalah akses yang memiliki otorisasi. Selain itu
29 Universitas Kristen Petra
juga auditor dapat memeriksa apakah ada prosedur kata sandi untuk masuk ke
dalam LAN.
• Memverifikasi bahwa ada prosedur backup jaringan dilakukan secara rutin dan
apakah prosedur backup itu merupakan prosedur otomatis dan berjalan dengan
baik. Salinan backup disimpan terpisah dan di tempat yang aman.
top related