Dokumen tersebut merangkum materi dan kasus yang dikerjakan oleh mahasiswa tentang sistem informasi akuntansi, pengertian fraud, computer fraud, pencegahan fraud, serangan komputer, COSO, COBIT, ERM, sistem transaksi dan ERP. Dibahas pula konsep keamanan informasi dan jenis serangan terhadap sistem informasi seperti interrupsi, penyadapan, dan penipuan.
7, si & pi, kartika khairunisa, hapzi ali, review materi dan kasus yang dikerjakan oleh mahasiswa, universitas mercu buana, 2018
1. Review Materi-Materi dan Kasus-Kasus yang dikerjakan oleh Mahasiswa
Kartika Khairunisa
55518110035
Dosen Pengampu :
Prof. Dr. Ir, Hapzi Ali, MM, CMA
Magister Akuntansi
Universitas Mercu Buana
Jakarta
2018
Definisi SIA
Pesatnya perkembangan usaha bisnis di Indonesia mendorong perusahaan
untuk berkembang mengikuti kemajuan teknologi informasi yang berkembang
pesat sehingga perusahaan-perusahaan tersebut dapat tetap bersaing.
Sistem informasi akuntansi menurut Mulyadi (2008), sistem informasi akuntansi
adalah suatu bentuk sistem informasi yang memiliki tujuan untuk menyediakan
informasi bagi pengelola kegiatan usaha, memperbaiki informasi yang dihasilkan
oleh sistem yang sudah ada sebelumnya, memperbaiki pengendalian akuntansi
dan pengecekan internal, serta membantu memperbaiki biaya dalam
pemeliharaan catatan akuntansi.
Teknologi Informasi adalah sub sistem yang terpenting dalam sistem informasi.
Teknologi informasi adalah suatu teknologi yang memanfaatkan: computer,
internet, dan telekomunikasi.
Fungsi penting yang dibentuk SIA pada organisasi yaitu :
a. mengumpulkan dan menyimpan data tentang aktivitas dan transaksi
b. memproses data menjadi informasi yang dapat digunakan dalam proses
pengambilan keputusan
c. melakukan kontrol secara tepat terhadap aset organisasi
Ancaman terhadap SIA
1. Ancaman kehancuran karena bencana alam dan politik, seperti:
-Kebakaran
-Banjir
-Gempa Bumi
-Badai angin
2. Ancaman karena kesalahan pada software dan tidak berfungsinya peralatan,
seperti:
-kegagalan hardware
-kesalahan terdapat kerusakan pada software
3. Ancaman karena tindakan yang tidak disengaja, seperti:
-kecelakaan tidak sengaja karena teledor
-kehilangan atau salah meletakkan
2. 4. Ancaman karena tindakan yang disengage, seperti:
-sabotase
-penipuan
-penggelapan
Pengenalan Fraud
Menurut Karyono (2013:4-5), Fraud adalah kecurangan yang mengandung
makna suatu penyimpangan dan perbuatan melanggar hukum (illegal act), yang
dilakukan dengan sengaja untuk tujuan tertentu misalnya menipu atau
memberikan gambaran keliru (mislead) kepada pihak-pihak lain, yang dilakukan
oleh orang-orang baik dari dalam maupun dari luar organizais.
Beberapa jenis fraud menurut ACFE (Association of Certified Fraud Examiner):
1. Korupsi (Corruption)
2. Penyalahgunaan aset (Asset Misappropriation)
3. Pernyataan Palsu (Fraudulent Statement)
Pelaku Kecurangan dan Alasan Melakukan Kecurangan
Pelaku kecurangan dapat diklasifikasikan dalam 2 kelompok yaitu manajemen
dan karyawan/pegawai. Pihak manajemen melakukan kecurangan biasanya
untuk kepentingan perusahaan, yaitu salah saji yang timbal karena kecurangan
pelaporan keuangan, sedangkan karyawan melakukan kecurangan bertujuan
untuk keuntungan individu, misalnya salah saji yang berupa penyalahgunaan
aktiva.
Segitiga Fraud menurut Priantara (2013:44-47) terdiri dari tiga kondisi yang
menjadi alasan para pelaku fraud yaitu sebagai berikut:
1. Insentif atau tekanan (pressure)
2. Peluang atau kesempatan (opportunity)
3. Dalih untuk membenarkan tindakan (rationalization)
Computer Fraud
Tindakan ilegal dimana pengetahuan computer dignaran untuk perbuatan jahat
dan melakukan pemerasan. Biasanya terjadi karena adanya salah paham atau
kurangnya pengendalian internal.
Kecurangan dalam sistem komputer biasanya dilakukan dengan berbagai cara
seperti: sabotase, memanipulasi input, mengubah program, dll.
Pencegahan dan pendeteksian fraud
1. Membangun struktur pengendalian yang baik
2. Mengefektifkan aktivitas pengendalian
3. Meningkatkan kultur organisasi
4. Mengefektifkan fungsi internal audit
Serangan komputer
Serangan komputer adalah kejahatan yang berkaitan dengan komputer. Jenis-
jenis serangan komputer:
1. Spoofing adalah teknik yang digunakan untuk memperoleh akses yang tidak
sah ke komputer.
3. 2. Ddos (Distributed Denial of Service) adalah jenis serangan terhadap komputer
di dalam jaringan internet dengan menghabiskan sumber yang dimiliki oleh
komputer tersebut tidak dapat menjalankan fungsinya dengan benar.
3. DNS Poisoning adalah cara untuk menembus pertahanan dengan cara
menyampaikan infomasi IP Address yang salah mengenai host, yang bertujuan
untuk mengalihkan lalu lintas paket data dari tujuan yang sebenarnya.
5. Trojan Horse bertujuan memperoleh informasi dari target seperti password,
kebiasaan user yang tercatat dalam sistem log dan mengendalikan target
(memperoleh hak akses pada target).
6. SQL Injection adalah teknik yang menyalahgunakan celah keamanan yang
terjadi dalam lapisan basis data sebuah aplikasi.
COSO
Committee of Sponsoring Organization (COSO) adalah organisasi nirlaba
independen yang mempunyai tujuan untuk meningkatkan kualitas pelaporan
keuangan melalui etika dan pengendalian internal yang efektif. COSO dibentuk
pada tahun 1985, komisi ini di sponsori oleh lima organisasi besar di AS yaitu:
AICPA, AAA, IIA, IMA, dan FEI.
Menurut Committee of Sponsoring Organization (COSO), Pengendalian
Internal adalah sistem, struktur atau proses yang diimplementasikan oleh
dewan komisaris, manajemen, dan karyawan dalam perusahaan yang bertujuan
untuk menyediakan jaminan yang memadai bahwa tujuan pengendalian tersebut
dicapai, meliputi efektifitas dan efisiensi operasi, keandalan pelaporan keuangan,
dan kepatuhan terhadap peraturan perundang-undangan dapat tercapai.
Komponen pengendalian internal COSO meliputi hal-hal berikut ini:
a. Control Enviroment (Lingkungan Pengendalian) terdiri atas tindakan,
kebijakan, dan prosedur yang mencerminkan sikap manajemen puncak, para
direktur, dan pemilik entitas secara keseluruhan mengenai pengendalian
internal serta arti pentingnya bagai entitas itu. Untuk memahami dan menilai
lingkungan pengendalian, auditor harus mempertimbangkan sub komponen
pengendalian yang paling penting.
b. Risk Assessment (Penilaian Risiko) atas pelaporan keuangan adalah tindakan
yang dilakukan manajemen untuk mengidentifikasi dan menganalisa risiko-
risiko yang relevan dengan penyusunan laporan keuangan yang sesuai dengan
GAAP atau IFRS.
c. Control Activities (Aktivitas Pengendalian) adalah kebijakan dan prosedur,
selain yang sudah termasuk dalam empat komponen lainnya, yang membantu
memastikan bahwa tindakan yang diperlukan setelah diambil untuk menangani
risiko guna mencapai tujuan entitas.
d. Information and Communication (Infomasi dan Komunikasi) bertujuan untuk
memulai, mencatat, memproses, dan melaporkan transaksi yang dilakukan
entitas serta mempertahankan akuntabilitas aktiva terkait.
e. Monitoring (Pemantauan) berhubungan dengan penilaian mutu pengendalian
internal secara berkelanjutan atau periodik oleh manajemen untuk menentukan
bahwa pengendalian itu telah beroperasi seperti yang diharapkan dan telah
dimodifikasi sesuai dengan perubahan kondisi.
COBIT
4. COBIT kepanjangan dari Control Objective for Information and Related
Technology merupakan panduan standar praktik manajemen teknologi
informasi. Standar COBIT dikeluarkan oleh IT Governance Institute yang
merupakan bagian dari ISACA para tahun 1992. COBIT 5 merupakan verse paling
baru.
COBIT mempunyai empat cakupan domain yaitu:
- perencanaan dan organisasi
- pengadaan dan dukungan
- pengantaran dan dukungan
- pengawasan dan evaluasi
Tujuan utama COBIT adalah menyediakan kebijakan yang jelas dan good practice
untuk IT governance, membantu manajemen senior dalam memahami dan
mengelola risiko-risiko yang berhubungan dengan IT.
ERM
ERM kepanjangan dari Enterprise Risk Management yaitu proses yang
melibatkan keseluruhan entitas mulai dari dewan direksi, manajemen dan
pejabat lainnya, yang diterapkan ke dalam penyusunan strategi dan melingkupi
keseluruhan perusahaan, yang didesain untuk mengidentifikasi kejadian yang
berakibat pada suatu entitas dan mengelola resiko pada tingkat resiko yang
dikehendaki untuk menyediakan penjaminan yang wajar dalam rangka
mencapai tujuan dari entitas.
Tujuan ERM
- Strategic - tujuan yang ditetapkan pada tingkat manajemen atas, disatukan dan
dibuat untuk mendukung misi dari perusahaan.
- Operation - penggunaan sumber daya secara efektif dan efisien
- Reporting - pelaporan yang dapat dipercaya
- Compliance - patuh dengan hukum dan peraturan yang berlaku
Sistem pengolahan transaksi (Transaction Processing System disingkat
TPS) adalah sistem yang berinteraksi langsung dengan sumber data (misalnya
pelanggan) adalah sistem pengolahan transaksi, dimana data transaksi sehari-
hari yang mendukung operasional organisasi dilakukan.
Tugas utama sistem pengolahan transaksi adalah mengumpulkan dan
mempersiapkan data untuk keperluan sistem informasi yang lain dalam
organisasi, misalnya untuk kebutuhan sistem informasi manajemen.
Sistem perencanaan perusahaan atau sering disingkat ERP (Enterprise
Resource Planning) adalah sistem informasi yang diperuntukkan bagi
perusahaan manufaktur maupun jasa yang berperan mengintegrasikan proses
bisnis yang berhubungan dengan aspek operasi, produksi maupun distribusi di
perusahaan bersangkutan.
Karakter sistem ERP sering disebut sebagai back office system yang
mengidentifikasikan bahwa pelanggan dan publik secara umum tidak dilibatkan
dalam sistem ini. Berbeda dengan Front Office System yang langsung berurusan
dengan pelanggan seperti sistem untuk e-commerce, customer relationship
management, e-government dan lain-lain.
Konsep dasar keamanan informasi dan Pemahaman Serangan
5. Menurut G.J.Simons, keamanan informasi adalah bagaimana kita dapat mencegah
penipuan atau paling tidak mendeteksi adayanya penipuan di sebuah sistem
yang berbasis informasi.
Serangan terhadap keamanan sistem informasi dapat disebut sebagai cyber
crime. Ada beberapa kemungkinan serangan terhadap peranan komputer
sebagai penyedia informasi:
1. Interruption yaitu perangkat sistem menjadi rusak atau tidak tersedia.
Serangan ini ditujukan kepada ketersediaan dari sistem. Serangan membuat
sistem menjadi hang.
2. Interception yaitu pihak yang tidak berwenang berhasil mengases informasi
3. Modification yaitu pihak yang tidak berwenang berhasil mengubah aset
informasi dengan penyebaran malware (virus, trojan horse, worm)
4. Fabrication yaitu pihak yang tidak berwenang memasukkan objek palsu
(pesan-pesan palsu) ke dalam sistem
Tipe-tipe pengendalian
a. Atas dasar aspek waktu:
- Pengendalian preventif yaitu pengendalian yang mencegah masalah sebelum
timbul. Biasanya digunakan organisasi untuk membatasi akses terhadap sumber
informasi.
- Pengendalian detektif yaitu pengendalian yang dilakukan pada saat proses
pekerjaan sedans berjalan. Pengendalian ini didesain untuk menemukan
masalah pengendalian yang tidak terelakan.
- Pengendalian korektif yaitu pengendalian yang dilakukan setelah pekerjaan
selesai. Pengendalian ini mengidentifikasi dan memperbaiki masalah serta
memulihkan dari kesalahan yang dihasilkan.
b. Atas dasar aspek obyek:
- Pengendalian administratif yaitu pengendalian yang dilakukan dibidang
adimistratif perusahaan.
- Pengendalian operatif yaitu pengendalian yang dilakukan dibidang operasional
perusahaan.
c. Atas dasar aspek subyek:
- Pengendalian internal yaitu pengendalian yang ditujukan kepada pelaku fungsi-
fungsi manajemen dalam perusahaan
- Pengendalian eksternal yaitu ditujukannya kepada pelaku diluar fungsi-fungsi
manajemen.
Pengendalian Umum dan Pengendalian Aplikasi
Pengendalian umum adalah pengendalian yang didesain untuk memastikan
sistem informasi organisasi dapat berjalan dengan stabil dan dapat dikelola
dengan baik.
Pengendalian aplikasi adalah pengendalian yang mencegah, mendeteksi, dan
mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi.
Prinsip-prinsip the five trust service untuk keandalan sistem
1. Keamanan (security) yaitu akses baik fisik maupun logical terhadap sistem
dan data dikendalikan dibatasi hanya kepada pengguna yang sah saja.
6. 2. Kerahasiaan (confidentiality) yaitu informasi organisasi yang sensitif
dilindungi dari pengungkapan yang tidak berhak dan terlindungi dari
pengungkapan tanpa izin.
3. Privasi (privacy) yaitu informasi personal terkait dengan pelanggan atau
rekan bisnis hanya digunakan untuk kepatuhan internal perusahaan dan
informasi terkait dengan kerjasama dan persyaratan aturan eksternal dan
dilindungi dari pengungkapan tidak sah dan tanpa zin.
4. Integritas pemrosesan (processing integrity) yaitu data yang diproses secara
akurat, lengkap dan hanya dengan otoritas yang sah. Informasi tidak boleh
diubah tanpa seizin pemilik informasi.
5. Ketersediaan (availability) yaitu sistem dan informasi tersedia untuk
memenuhi kewajiban operasional dan contractual. Sistem informasi yang
diserang dapat menghambat akses ke informasi.
Implementasi Sistem Informasi dan Pengendalian Internal di perusahaan saya
yaitu PT SSA.
Pesatnya perkembangan usaha bisnis di Indonesia mendorong banian
perusahaan untuk berkembang mengikuti kemajuan teknologi informasi yang
berkembang pesat sehingga perusahaan-perusahaan tersebut dapat tetap
bersaing. Kemajuan teknologi informasi mendorong setiap perusahaan untuk
terus mengembangkan sistem informasi supaya perusahaan dapat mempunyai
sistem informasi yang efektif untuk membantu mengambil keputusan demi
mencapai tujuan perusahaan tersebut. Untuk menunjang sistem informasi yang
efektif di dalam perusahaan, maka diperlukan sistem pengendalian internal yang
memadai.
Sistem informasi akuntansi adalah suatu sistem yang disusun sedemikian rupa
dimana bertujuan untuk mengatur informasi yang berkenaan dengan akuntansi,
mendistribusikan informasi tersebut sehingga diperoleh informasi yang relevan
dalam pengambilan keputusan untuk mencapai tujuan perusahaan.
Cara kerja Sistem Informasi Akuntansi adalah semua sumber data dikumpulkan
menjadi satu dan diubah ke dalam bentuk database. Setelah itu semua data yang
berbentuk database diubah menggunakan perangkat lunak menjadi informasi
yang berguna untuk pengguna informasi tersebut. Kemudian data yang telah
diubah menjadi informasi disampaikan ke semua pemakai yang membutuhkan,
seperti manajemen dan pengguna lain yang membutuhkan.
Diperusahaan saya menggunakan SAP. SAP adalah produk perangkat lunak ERP
yang mempunyai kemampuan untuk mengintegrasikan berbagai macam aplikasi
bisnis, dimana setiap aplikasi mewakilkan area bisnis tertentu. SAP ERP
merupakan aplikasi terintegrasi yang memenuhi bisnis inti kebutuhan
perusahaan menengah dan organisasi besar di semua industri dan sektor pasar
(Monk & Wagner, 2013). SAP Membantu perusahaan pada bagian keuangan,
sumber daya manusia, manajemen modal, pengadaan dan logistik, serta
pengembangan produk dan manufaktur. Di samping meningkatkan efisiensi
dalam organisasi, SAP ERP juga membantu memperluas end-to-end proses bisnis
untuk pelanggan, mitra, dan pemasok.
Untuk menunjang sistem informasi yang efektif di dalam perusahaan, maka
diperlukan sistem pengendalian internal yang memadai. Pengendalian internal
7. adalah sistem, struktur atau proses yang diimplementasikan oleh dewan
komisaris, manajemen, dan karyawan dalam perusahaan yang bertujuan untuk
menyediakan jaminan yang memadai bahwa tujuan pengendalian tersebut
dicapai, meliputi efektifitas dan efisiensi operasi, keandalan pelaporan keuangan,
dan kepatuhan terhadap peraturan perundang-undangan dapat tercapai.
Komponen pengendalian internal COSO meliputi hal-hal berikut ini:
a. Control Enviroment (Lingkungan Pengendalian) terdiri atas tindakan,
kebijakan, dan prosedur yang mencerminkan sikap manajemen puncak, para
direktur, dan pemilik entitas secara keseluruhan mengenai pengendalian
internal serta arti pentingnya bagai entitas itu. Untuk memahami dan menilai
lingkungan pengendalian, auditor harus mempertimbangkan sub komponen
pengendalian yang paling penting.
b. Risk Assessment (Penilaian Risiko) atas pelaporan keuangan adalah tindakan
yang dilakukan manajemen untuk mengidentifikasi dan menganalisa risiko-
risiko yang relevan dengan penyusunan laporan keuangan yang sesuai dengan
GAAP atau IFRS.
c. Control Activities (Aktivitas Pengendalian) adalah kebijakan dan prosedur,
selain yang sudah termasuk dalam empat komponen lainnya, yang membantu
memastikan bahwa tindakan yang diperlukan setelah diambil untuk menangani
risiko guna mencapai tujuan entitas.
d. Information and Communication (Infomasi dan Komunikasi) bertujuan untuk
memulai, mencatat, memproses, dan melaporkan transaksi yang dilakukan
entitas serta mempertahankan akuntabilitas aktiva terkait.
e. Monitoring (Pemantauan) berhubungan dengan penilaian mutu pengendalian
internal secara berkelanjutan atau periodik oleh manajemen untuk menentukan
bahwa pengendalian itu telah beroperasi seperti yang diharapkan dan telah
dimodifikasi sesuai dengan perubahan kondisi.
Daftar pustaka:
Anonim1. 2016. https://educationputri.blogspot.com/2016/11/ancaman-
ancaman-sistem- informasi.html (8 September 2018, jam 19.00)
Anonim2. 2012. https://th3rain.wordpress.com/2012/05/09/sistem-
pengolahan-transaksi/ ( 1 Oktober 2018, jam 13.30)
Anonim3.
2018. https://id.wikipedia.org/wiki/Perencanaan_sumber_daya_perusahaan. ( 1
Oktober 2018, jam 14.09)
Anonim4. 2015. https://accounting.binus.ac.id/2015/09/25/sistem-
pengendalian-menurut-coso/. (8 Oktober 2018, jam 22:10)
Anonim5. 2018. https://id.wikipedia.org/wiki/COBIT. (8 Oktober 2018, jam
23:11)
Arens A. Alvin, Randal J. Elder dan Mark S. Beasley. 2015. Auditing dan Jasa
Assurance Pendekatan Terintegrasi. Jilid 1. Edisi Lima Belas. Jakarta: Erlangga.
Aurora Ridha Zenata, 2016. https://www.dictio.id/t/apa-yang-dimaksud-
dengan-enterprise-risk-management/18858/3, (8 Oktober 2018, jam 23:50)
Hanafebrian. 2013. http://hanafebriani16.blogspot.com/2013/12/penjelasan-
chapter-5-computer-fraud.html (8 September 2018, 13.00)
James A. Hall. 2008. Sistem Informasi Akuntansi edisi 5. Jakarta: Salemba Empat.