SI-PI, Sari Kartika, Hapzi Ali, Melindungi SI, Konsep & Komponen Pengendalian Internal, Universitas Mercu Buana, 2017.
1. SISTEM INFROMASI & PENGENDALIAN INTERNAL
(SI - PI)
MELINDUNGI SI, KONSEP & KOMPONEN
PENGENDALIAN INTERNAL
Dosen:
Prof. Dr. Ir. Hapzi Ali, MM, CMA
Dibuat oleh:
Sari Kartika
(55516120061)
PROGRAM MEGISTER
UNIVERSITAS MERCU BUANA JAKARTA
2017
2. Hubungan Atau Pengaruh Sistem Informasi Pada Suatu Perusahaan Terhadap
Pengendali Internal Dalam Upaya Mewujudkan Good Corporate Management (GCG).
Keberhasilan maupun kegagalan perusahaan dalam menjalankan operasi bisnis salah
satunya dipengaruhi sistem informasi yang baik. Sistem informasi merupakan suatu sistem
yang menyediakan informasi untuk manajemen dalam membantu mengambil keputusan
kemudian menjalankan kegiatan operasional perusahaan, di mana sistem tersebut
merupakan kombinasi dari orang-orang, teknologi informasi dan prosedur-prosedur yang
tergorganisasi untuk mencapai tujuan (Sari, 2017).
Dalam mencapai tujuan organisasi, maka sistem informasi yang baik harus mempunyai
pengendalian internal sebagai mekanisme yang dilakukan untuk menjamin terlaksananya
sistem dan kebijakan manajemen dengan baik pula. Tuanakotta (2013) menyatakan bahwa
pengendalian internal dirancang, diimplementasikan dan dipelihara TCWG, manajemen dan
karyawan lain untuk menangani resiko bisnis dan kecurangan yang diketahui (identified
business and fraud risk) mengancam pencapaian tujuan entitas seperti pelaporan keuangan
yang andal.
Berbagai pengalaman menunjukan banyaknya kasus kecurangan dalam dunia bisnis
dimana manajemen dalam menyajikan laporan keuangan seperti kasus window dressing yang
dilakukan oleh Enron berupa tidak melaporkan kerugian anak perusahaan dalam laporan
keuangan konsolidasi, menunda pembebanan pengeluaran yang seharusnya diakui sebagai
biaya dan mencatat penghasilan yang belum pasti diperoleh. Hal ini merupakan cerminan dari
lemahnya pengendalian internal dalam pengelolaan organisasi tersebut.
Banyaknya kasus kecurangan tersebut mendorong dibentuknya komite yang diseponsori
oleh lima organisasi yang dikenal sebagai The Committee of Sponsoring Organizations of the
Treadway Commission (COSO). COSO adalah sebuah organisasi sektor swasta yang
sukarela, didirikan di Amerika Serikat, yang bertujuan untuk menyediakan panduan kepada
manajemen eksekutif dan pengelola perusahaan tentang aspek-aspek kritis dalam
pengelolaan organisasi, etika bisnis, pengendalian internal, manajemen risiko perusahaan,
kecurangan, dan pelaporan keuangan.
COSO menghasilkan product antara lain Internal Control – Integrated Framework
(1992) dan Enterprise Risk Management – Integrated Framework (1994). Indonesia
mengadopsi Internal Control – Integrated Framework (1992) dalam Peraturan Pemerintah
Nomor 60 Tahun 2008 mengenai Sistem Pengendalian Intern Pemerintah. Dalam
perkembangannya, COSO telah mengeluarkan kerangka pengendalian internal terbaru
yaitu Internal Control – Integrated Framework (2013) untuk menggantikan kerangka
pengendalian internal yang lama.
Sistem Pengendalian Internal menurut COSO yaitu "suatu proses yang melibatkan dewan
komisaris, manajemen, dan personil lain, yang dirancang untuk memberikan keyakinan
memadai tentang pencapaian tiga tujuan berikut ini:
1. Efektivitas dan efisiensi operasi
2. Keandalan pelaporan keuangan
3. Kepatuhan terhadap hukum dan peraturan yang berlaku
Adapun 5 komponen inti dari pengendalian internal sebagai berikut :
1. Control Environment-Lingkungan Pengendalian
2. Risk Assessment-Penilaian Risiko
3. Information System-Sistem Informasi
4. Control Activities-Kegiatan Pengendalian
5. Monitoring-Pemantauan
3. Berdasarkan pemaparan diatas, COSO berhasil melakukan pengembangan kerangka
pengendalian intern terintegrasi (COSO-Integrated Internal control Framework) yang mampu
mengelola risiko-risiko bisnis.
Kemampuan dalam mencapai laba dan untuk bertahannya suatu perusahaan sangat
ditentukan oleh kualitas dalam pengelolaan risiko tersebut. Sebuah sistem pengendalian
internal terdiri dari kebijakan dan prosedur yang dirancang agar manajemen mendapatkan
keyakinan bahwa organisasi mencapai tujuan dan sasarannya. Perancangan dan implementasi
Sistem Internal Control Berbasis COSO yang mampu mengelola risiko-risiko bisnis secara
terintegrasi pada dasarnya merupakan bagian dari upaya seluruh komponen perusahaan di
bawah komando Dewan Direksi dalam mengelola perusahaan (corporate governance), atau
dengan kata lain pengelolaan perusahaan yang baik (good corporate governance) sangat
dipengaruhi oleh apakah system pengendalian intern yang dirancang telah mampu mengelola
risiko-risiko bisnis secara memadai.
Konsep good corporate governance (GCG) muncul karena konflik kepentingan yang
terjadi antara principal dan agent yang mendorong agen untuk menyajikan informasi yang
tidak sebenarnya kepada principal, terutama jika informasi tersebut berkaitan dengan
pengukuran kinerja agent. Penyajian informasi yang tidak wajar akan berdampak pada
kebenaran informasi yang dibutuhkan oleh principal. Untuk itu penerapan GCG merupakan
perwujudan tanggung jawab dalam rangka peningkatan kinerja (Rusan, 2013).
GCG memberikan norma-norma dasar yang dapat dikembangkan kemudian oleh masing-
masing perusahaan yang harus dipatuhi oleh manajemen dalam mengelola perusahaan. Tata
kelola perusahaan merupakan elemen penting untuk investasi serta pembiayaan melalui
modal pasar, dan merupakan kunci untuk meningkatkan pertumbuhan ekonomi jangka
panjang.
Peran sistem informasi dalam mendukung GCG antara lain :
1. Mengurangi agency cost.
2. Mengurangi biaya modal (cost of capital).
3. Meningkatkan nilai saham perusahaan.
4. Menciptakan dukungan para stakeholder (para pihak yang berkepentingan)
Dengan demikian dapat disimpulkan bahwa terdapat hubungan yang erat dan tidak dapat
dipisahkan antara implementasi GCG dengan Sistem Internal Control Berbasis COSO.
Pada sistem informasi mengandung tiga aktivitas dasar di dalamnya, yaitu: aktivitas
masukan (input), pemrosesan (processing), dan keluaran (output) yang biasa dikenal dengan
IPO. Menurut O’Brien dan Marakas (2009) sistem informasi adalah kombinasi dari people,
hardware, software, jaringan komunikasi, sumber-sumber data, prosedur dan kebijakan yang
terorganisasi dengan baik yang dapat menyimpan, mengadakan lagi, menyimpan, dan
menyebarluaskan informasi dalam suatu organisasi.
Sistem informasi memuat sejumlah data penting dalam bentuk elektronik, salah satunya
melalui jaringan internet dan web yang bisa diakses kapanpun dimanapun, oleh karena itu hal
tersebut rentan terhadap berbagai jenis penyimpangan pada penggunaan sistem informasi
tersebu yang bisa berasal dari beberapa faktor teknis, organisasi, dan lingkungan yang
diperparah oleh akibat keputusan manajemen yang buruk.
Bagi perusahaan atau individu di dalam menyimpan data-data penting yang menyangkut
privasi atau kerahasiaan perusahaan, apalagi perusahaan yang menggunakan web, sangat
4. rentan terhadap penyalahgunaan, karena pada dasarnya web mempunyai akses yang sangat
luas dan dapat diakses oleh semua orang, membuat sistem perusahaan dengan mudah
mendapat ancaman yang pada umumnya berasal dari pihak luar maupun dari pihak internal
yang biasa disebut hacker.
Ancaman Sistem Informasi
Ancaman pada sistem informasi bisa mencakup pada kecurangan dan kejahatan terhadap
komputer maupun mencakup kegagalan sistem, kesalahan manusia, dan bencana alam.
Berdasarkan fungsinya, ancaman terhadap sistem informasi melalui komputer dapat
dikategorikan menjadi empat macam, antara lain :
a. Interupsi (interuption)
Sumber daya sistem komputer dihancurkan atau menjadi tak tersedia atau tak berguna.
Interupsi merupakan ancaman terhadap ketersediaan. Contoh : penghancuran bagian
perangkat keras, seperti harddisk, pemotongan kabel komunikasi.
b. Intersepsi (interception)
Pihak tak diotorisasi dapat mengakses sumber daya. Interupsi merupakan ancaman
terhadap kerahasiaan. Pihak tak diotorisasi dapat berupa orang atau program komputer.
Contoh : penyadapan untuk mengambil data rahasia, mengetahui file tanpa diotorisasi.
c. Modifikasi (modification)
Pihak tak diotorisasi tidak hanya mengakses tapi juga merusak sumber daya. Modifikasi
merupakan ancaman terhadap integritas. Contoh : mengubah nilai-nilai file data,
mengubah program sehingga bertindak secara berbeda, memodifikasi pesan-pesan yang
ditransmisikan pada jaringan.
d. Fabrikasi (fabrication)
Pihak tak diotorisasi menyisipkan/memasukkan objek-objek palsu ke sistem. Fabrikasi
merupakan ancaman terhadap integritas. Contoh : memasukkan pesan-pesan palsu ke
jaringan, penambahan record ke file.
1. Kerentanan dan Penyalahgunaan Sistem Informasi Pada PT. AZN
a. Kerentanan Internet
Ketika internet menjadi bagian dari jaringan perusahaan, organisasi sistem informasi
bahkan lebih rentan terhadap tindakan dari pihak luar. Komputer yang selalu terhubung
ke Internet dengan modem kabel atau digital subscriber line (DSL) garis yang lebih
terbuka untuk penetrasi oleh pihak luar karena mereka menggunakan alamat Internet
tetap di mana mereka dapat dengan mudah diidentifikasi. (Dengan layanan dial-up,
alamat Internet sementara ditugaskan untuk setiap sesi.) Sebuah alamat internet tetap
menciptakan target tetap untuk hacker. dibawah ini terdapat berbagai macam ancaman di
internet.
b. Virus Komputer
Virus komputer adalah sebuah program perangkat lunak jahat yang menempel pada
perangkat lunak lain program atau file data untuk dieksekusi, biasanya tanpa
pengetahuan pengguna atau izin. Kebanyakan virus komputer memberikan “muatan.”
5. Payload mungkin relatif jinak, seperti petunjuk untuk menampilkan pesan atau gambar,
atau mungkin sangat merusak program-menghancurkan atau data, menyumbat komputer
memori, memformat hard drive komputer, atau menyebabkan program untuk
menjalankan tidak benar.
Virus biasanya menyebar dari komputer ke komputer ketika manusia mengambil
tindakan, seperti mengirim lampiran e-mail atau menyalin file yang terinfeksi.
c. Hacker
Hacker adalah seorang individu yang bermaksud untuk mendapatkan akses tidak sah
ke komputer sistem. Dalam komunitas hacker, istilah cracker biasanya digunakan untuk
menunjukkan seorang hacker dengan maksud kriminal, meskipun dalam pers umum,
persyaratan hacker dan cracker digunakan secara bergantian.
Hacker dan cracker memperoleh Akses yang sah dengan mencari kelemahan dalam
perlindungan keamanan yang dipekerjakan oleh Situs web dan sistem komputer, sering
mengambil keuntungan dari berbagai fitur Internet yang membuat suatu sistem terbuka
dengan mudahnya kegiatan hacker telah diperluas di luar intrusi sistem hanya untuk
memasukkan pencurian barang dan informasi, serta kerusakan sistem dan
Cybervandalism, gangguan yang disengaja, perusakan, atau bahkan kehancuran situs
Web atau sistem informasi perusahaan.
d. Spoofing dan Sniffing
Hacker mencoba untuk menyembunyikan identitas mereka yang sebenarnya sering
disebut spoof, atau menggambarkan, sendiri dengan menggunakan alamat e-mail palsu
atau menyamar sebagai orang lain. Spoofing mungkin juga mengarahkan link Web ke
alamat yang berbeda dari dimaksudkan satu, dengan situs yang menyamar sebagai
tujuan.
Sniffer adalah jenis program penyadapan yang memonitor informasi bepergian
melalui jaringan. Ketika digunakan secara sah, sniffer membantu mengidentifikasi
potensi titik masalah jaringan atau kegiatan kriminal pada jaringan, tetapi ketika
digunakan untuk tujuan kriminal, mereka dapat merusak dan sangat sulit untuk
mendeteksi. Sniffer memungkinkan hacker untuk mencuri informasi kepemilikan dari di
mana saja pada jaringan, termasuk pesan e-mail, file perusahaan, dan berkas rahasia
lainnya.
e. Pencurian identitas
Dengan pertumbuhan internet dan perdagangan elektronik, pencurian identitas
menjadi sangat mengganggu. Pencurian identitas adalah kejahatan di mana seorang
penipu memperoleh potongan kunci informasi pribadi, seperti identifikasi jaminan sosial
nomor, nomor SIM, atau nomor kartu kredit, untuk menyamar menjadi orang lain.
Informasi yang dapat digunakan untuk memperoleh kredit, barang, atau jasa atas nama
korban atau untuk memberikan pencuri dengan mandat palsu.
2. Kerangka Kerja Untuk Pengamanan Dan Pengendalian Internal di PT AZN
Keamanan Sistem Informasi
Keamanan sistem mengacu pada perlindungan terhadap semua sumberdaya informasi
organisasi dari ancaman oleh pihak-pihak yang tidak berwenang. Institusi/ organisasi
6. menerapkan suatu program keamanan sistem yang efektif dengan mengidentifikasi berbagai
kelemahan dan kemudian menerapkan perlawanan dan perlindungan yang diperlukan.
Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan,
ketersediaan dan integritas.
Keamanan sistem Informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
a. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi,
memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan
menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
b. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak
yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode
prosesnya untuk menjamin aspek integrity ini.
c. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat
dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat
terkait (aset yang berhubungan bilamana diperlukan).
Pengendalian Sistem Informasi
Berkaitan dengan pengendalian sistem informasi, maka diperlukan tindakan berupa
kontrol dan pengawasan terhadap sistem informasi. Pengendalian yang harus dilakukan
terhadap sistem Informasi antara lain :
a. Kontrol Administratif
Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka control
dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas.
Kontrol ini mencakup hal-hal berikut:
Mempublikasikan kebijakan control yang membuat semua pengendalian sistem
informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam
organisasi.
Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan
dilaksanakan dengan tegas. Termasuk hal ini adalah proses pengembangan sistem,
prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data.
Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi pembinaan, dan
pelatihan yang diperlukan.
Supervisi terhadap para pegawai. Termasuk pula cara melakukan control kalau
pegawai melakukan penyimpangan terhadap yang diharapkan.
Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang dapat
menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus
diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar tidak
memberikan kesempatan untuk melakukan kecurangan.
b. Kontrol Pengembangan / Sistem
Untuk melindungi kontrol ini, peran auditor sangat sistem informasi sangatlah penting.
Auditor system informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan
system, untuk memastikan bahwa system benar-benar terkendali, termasuk dalam hal
otorisasi pemakai system. Aplikasi dilengkapi dengan audit trail sehingga kronologi
transaksi mudah untuk ditelusuri.
7. c. Kontrol Operasi
Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan.
Beberapa hal yang termasuk dalam kontrol ini antara lain:
Pembatasan Akses Terhadap Data
Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang
yang telah ditentukan. Setiap orang yang memasuki ruangan ini harus diidentifikasi
dengan benar. Terkadang ruangan ini dipasangi dengan CCTV untuk merekam siapa
saja yang pernah memilikinya.
Kontrol Terhadap Personel Pengoperasi
Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-
pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini arus dijalankan
dengan tegas. Selain itu, Personel yang bertugas dalam pengawasan operasi sistem
perlu memastikan bahwa catatan-catatan dalam sistem komputer (system log) benar-
benar terpelihara.
Kontrol Terhadap Penyimpanan Arsip
Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk
pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai
dengan standar.
Pengendalian terhadap virus Untuk mengurangi terjangkitnya virus, administrator
sistem harus melakukan tiga kontrol berupa preventif, detektif, dan korektif.
d. Kontrol Perangkat Keras
Untuk mengatisipasi kegagalan sistem komputer, terkadang organisasi menerapkan
sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan). Sistem ini
dapat berjalan sekalipun terdapat gangguan pada komponen-komponennya. Pada sistem
ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau
kembarannya segera mengambil alih peran komponen yang rusak dan sistem dapat
melanjutkan operasinya tanpa atau dengan sedikit interupsi.
Sistem fault-tolerant dapat diterapkan pada lima level, yaitu pada komunikasi jaringan,
prosesor, penyimpan eksternal, catu daya, dan transaksi. Toleransi kegagalan terhadap
jaringan dilakukan dengan menduplikasi jalur komunikasi dan prosesor komunikasi.
Redundasi prosesor dilakukan antaralain dengan teknik watchdog processor, yang akan
mengambil alih prosesor yang bermasalah.
Toleransi terhadap kegagalan pada penyimpan eksternal antara lain dilakukan melalui
disk memoring atau disk shadowing, yang menggunakan teknik dengan menulis seluruh
data ke dua disk secara pararel. Jika salah satu disk mengalami kegagalan, program
aplikasi tetap bisa berjalan dengan menggunakan disk yang masih bai. Toleransi
kegagalan pada catu daya diatasi melalui UPS.
Toleransi kegagalan pada level transaksi ditanganimelalui mekanisme basis data yang
disebut rollback, yang akan mengembalikan ke keadaan semula yaitu keadaan seperti
sebelum transaksi dimulai sekiranya di pertengahan pemrosesan transaksi terjadi
kegagalan.
8. f. Kontrol Akses Terhadap Sistem Komputer
Untuk melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi
otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan
password. Password bersifat rahasia sehingga diharapkan hanya pemiliknyalah yang tahu
password-nya. Setelah pemakai berhasil masuk ke dalam sistem (login), pemakai akan
mendapatkan hak akses sesuai dengan otoritas yang telah ditentukan. Terkadang,
pemakai juga dibatasi oleh waktu.
Kontrol akses juga bisa berbentuk kontrol akses berkas. Sebagai contoh, administrator
basis data mengatur agar pemakai X bisa mengubah data A, tetapi pemakai Y hanya bisa
membaca isi berkas tersebut.
g. Kontrol Terhadap Sistem Informasi
Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil
membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer).
Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi
tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang
cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain
dikenal dengan istilah kriptografi.
Keamanan system informasi tidak hanya dilihat hanya dari timbulnya serangan dari virus,
malware, spy ware, dan masalah lain, tetapi dilihat dari berbagai segi sesuai dengan domain
keamanan system itu sendiri. Keamanan informasi diperoleh dengan mengimplementasi
seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek,
prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.
Keamanan sistem mengacu pada perlindungan terhadap semua sumberdaya informasi
organisasi dari ancaman oleh pihak-pihak yang tidak berwenang. Institusi/organisasi
menerapkan suatu program keamanan sistem yang efektif dengan mengidentifikasi berbagai
kelemahan dan kemudian menerapkan perlawanan dan perlindungan yang diperlukan.
Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan,
ketersediaan dan integritas.
REFERENSI:
Agil. 2015. https://agilbox.wordpress.com/2015/01/22/ancaman-dan-keamanan-sistem-
informasi/. Diakses pada 5 Mei 2017.
Hapzi Ali, 2015. Modul Perkuliahan Sistem Informasi & Pengendalian Internal: Melindungi
SI, Konsep & Komponen Pengendalian Internal. Jakarta.
Heriyana. 2015. https://akangheriyana.wordpress.com/2015/03/28/keterkaitan-antara-
implementasi-good-corporate-governance-gcg-dengan-implementasi-internal-control-
dan-enterprise-risk-management-erm-berbasis-coso/. Diakses pada 5 Mei 2017.
Nuges. 2013. http://nu2ges.blogspot.co.id/p/blog-page_9245.html. Diakses pada 5 Mei 2017.
9. Premavari, Yohana. 2017. https://www.slideshare.net/yohanapremavari/si-pi-yohana-
premavari-hapzi-ali-konsep-dasar-pengendalian-internal-universitas-mercu-buana-
2017pdf. Diakses pada 7 Mei 2017.
Rifki, Muhammad. 2015. http://mrifkihp.blog.upi.edu/2015/10/18/chapter-8-securing-system-
information/. Diakses pada 5 Mei 2017.
Kartika, Sari. 2017. http://sarikartika2110.blogspot.co.id/2017/04/si-pi-sari-kartika-hapzi-ali-
sistem_29.html. Diakses Pada 5 Mei 2017.
Kartika, Sari. 2017. https://www.slideshare.net/auliafirdaus/si-pi-sari-kartika-hapzi-ali-
implementasi-sistem-pada-perusahaan-universitas-mercu-buana-2017pdf. Diakses pada
5 Mei 2017.