Tugas 1 - UTS

1. TUGAS 1 - KULIAH SISTEM INFORMASI DAN
PENGENDALIAN INTERNAL
Disusun Oleh: RAMSEY RAMLI, NIM: 55517120016
Dosen Pengampu: PROF. DR. IR. HAPZI ALI, MM, CMA
PROGRAM PASCA SARJANA MAGISTER AKUNTANSI
UNIVERSITAS MERCU BUANA
JAKARTA
2018

2. 1
1. Jenis-jenis Sistem Informasi terdiri dari:
A. Sistem Pendukung Operasi : Sistem informasi dibutuhkan untuk memproses data yang
dihasilkan oleh dan digunakan dalam operasi bisnis. Jenis sistem pendukung operasi menghasilkan
berbagai produk informasi yang paling dapat digunakan oleh para manajer mencakup:
a. Sistem pemrosesan transaksi: Memproses data yang dihasilkan dari transaksi bisnis.
b. Sistem Pengendalian proses: Menawasi dan mengendalikan berbagai proses industrial.
c. Sistem kerja sama perusahan: Mendukung komunikasi dan kerja sama tim, kelompok kerja dan
perusahaan.
Dartar Pustaka: Anonim, 2015, Pengertian Konsep Dasar Sistem Informasi, Pusat Bahan Ajar dan eLearning,
http://www.mercubuan.ac.id, Jakarta
B. Sistem Pendukung Manajemen: Aplikasi system informasi berfokus pada penyediaan informasi
dan dukungan untuk pengambilan keputusan yang efektif oleh para manajer di sebut sebagai Sistem
Pendukung Manajemen. Berdasarlkan konsep mencakup:
a. Sistem informasi Manajemen: Memberikan informasi dalam bentuk laporan yang telah
ditentukan sebelumnya untuk mendukung pengambilan keputusan bisnis.
b. Sistem pendukung Keputusan (Decision Support System – DSS): Memberikan dukungan
interaktif khusus untuk proses pengambilan keputusan para manajer dan praktisi bisnis lainnya.
c. Sistem Infomrasi Eksekutif (Executive Information System EIS): Memberi informasi penting dari
SIM, DSS dan sumber lainnya yang dibentuk sesuai kebutuhan informasi para eksekutif.
2. Manfaat Sistem Informasi dalam pengendalian internal yaitu:
A. Sistem Informasi untuk Pengendalian Manajemen. Informasi pengendalian manajemen diperlukan
oleh manajer departemen untuk mengukur pekerjaan, memutuskan tindakan pengendalian,
merumuskan aturan keputusan baru untuk diterapkan personalia operasional dan mengalokasi
sumber daya.
B. Sistem informasi untuk Pengendalian Operasional. Pengendalian operasional adalah proses
pemantapan agar kegiatan operasional dilaksanak secara efektif dan efisien. Pengendalian
operasional menggunakan prosedur dan aturan keputusan yang sudah ditentukan lebih dahulu.
Sebagian besar keputusan bisa diprogramkan.
Dartar Pustaka: Ali, Hapzi, 2015, Sistim Informasi Dalam Kegiatan Bisnis Saat ini, Pusat Bahan Ajar dan
eLearning, http://www.mercubuan.ac.id, Jakarta

3. 2
Sistem Informasi dalam Organisasi Internasional:
Negara Kesatuan Republik Indonesia (NKRI) menjadi anggota dari berbagai Organisasi Internasional
(OI) dalam rangka meningkatkan kerja sama internasional.
Pada umumnya kantor pusat OI berkedudukan di negara lain di luar wilayah NKRI. Dengan demikian
kantor OI di Indonesia adalah merupakan kantor perwakilan yang meneruskan kebijakan kantor
pusat.
Hal tersebut di atas mempengaruhi kebijakan sistem teknologi informasi (IT Policy) yang terpusat di
dan dari kantor pusat OI sehingga kantor perwakilan OI di Indonesia hanya menerapkan sistem
informasi yang telah ditentukan oleh kantor pusat.
Sistem Pendukung Operasi OI yang diamati untuk memproses data yang dihasilkan oleh dan
digunakan dalam operasi dan kegiatan OI dengan menggunakan modul-modul peranti lunak ERP
(enterprise resource planning software) contohnya dari Oracle atau SAP (ERP) dan aplikasi
perkantoran dari Microsoft menghasilkan berbagai produk informasi yang dapat digunakan oleh para
manajer mencakup:
a. Sistem pemrosesan transaksi: Modul ERP keuangan dan akunting untuk memproses data
yang dihasilkan dari transaksi kegiatan OI.
b. Sistem Pengendalian proses: Modul ERP untuk sistem manajemen waktu pegawai
sebagai contoh untuk mengawasi dan mengendalikan berbagai proses kegiatan OI.
c. Sistem kerja sama perusahan: Aplikasi eMail dan OneDrive dari Microsoft mendukung
komunikasi dan kerja sama tim, kelompok kerja dan perusahaan.
Dalam Sistem Pendukung Manajemen OI, ERP juga dapat menyediakan informasi dan dukungan
untuk pengambilan keputusan yang efektif oleh para manajer di sebut sebagai Sistem Pendukung
Manajemen. Berdasarlkan konsep mencakup:
a. Sistem informasi Manajemen (SIM): Laporan yang dihasilkan dari modul ERP keuangan
dan akunting dapat memberikan informasi dalam format yang telah ditentukan sebelumnya
untuk mendukung pengambilan keputusan kegiatan OI.
b. Sistem pendukung Keputusan (Decision Support System – DSS): Modul khusus
(customized) ERP seperti eOps dalam Oracle dapat memberikan dukungan interaktif khusus
untuk proses pengambilan keputusan para manajer OI.
c. Sistem Informasi Eksekutif (Executive Information System EIS): Dalam ERP para
eksekutif mempunyai akses penuh (super user) untuk semua modul sehingga mendapatkan
akses informasi penting dari SIM, DSS dan sumber lainnya yang dibentuk sesuai kebutuhan
informasi para eksekutif.

4. 3
Manfaat Sistem Informasi dalam pengendalian internal OI yaitu:
A. Sistem Informasi untuk Pengendalian Manajemen, seperti yang terdapat dalam modul-modul ERP
yaitu modul anggaran, sumber daya manusia, dan keuangan diperlukan oleh manajer dalam
pengendalian manajemen masin-masing departemen di OI untuk mengukur keinerja pekerjaan,
memutuskan tindakan pengendalian, merumuskan aturan keputusan baru untuk diterapkan
personalia operasional dan mengalokasikan sumber daya.
B. Sistem informasi untuk Pengendalian Operasional, yaitu proses pemantapan agar kegiatan
operasional dilaksanakan secara efektif dan efisien dalam mengelola dana dari negara anggota dan
donatur. Pengendalian operasional menggunakan prosedur dan aturan keputusan yang sudah
ditentukan lebih dahulu. Sebagian besar keputusan bisa diprogramkan dalam modul-modul ERP.
===oo0oo===

5. 4
Definisi Penyerangan Komputer:
Penyerangan komputer dapat didefinisikan sebagai tindakan yang ditujukan terhadap computer
dan/atau sistem komputer untuk mengganggu operasi peralatan, mengubah kontrol proses, atau
menyebabkan data yang tersimpan menjadi korup/rusak.
Dartar Pustaka: Congressional Research Service, 2003, http://itlaw.wikia.com/wiki/Computer_attack (17 Maret
2018, jam 22:15)
Jenis-jenis penyerangan computer :
1. Spoofing
Spoofing adalah Teknik yang digunakan untuk memperoleh akses yang tidak sah ke suatu komputer
atau informasi, dimana penyerang berhubungan dengan pengguna dengan berpura-pura
memalsukan bahwa mereka adalah host yang dapat dipercaya. Hal ini biasanya dilakukan oleh
seorang hacker/ cracker.
2. Ddos (Distributed Denial of Service)
Serangan DOS
Serangan DOS (Denial-Of-Service attacks) adalah jenis serangan terhadap
sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber
(resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan
fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk
memperoleh akses layanan dari komputer yang diserang tersebut
3. Sniffer
Sniffer Paket atau penganalisa paket (arti tekstual: pengendus paket — dapat pula diartikan
'penyadap paket') yang juga dikenal sebagai Network Analyzers atau Ethernet Sniffer ialah sebuah
aplikasi yang dapat melihat lalu lintas data pada jaringan komputer. Dikarenakan data mengalir
secara bolak-balik pada jaringan, aplikasi ini menangkap tiap-tiap paket dan kadang-kadang
menguraikan isi dari RFC (Request for Comments) atau spesifikasi yang lain.
4. DNS Poisoning
DNS Poisoning merupakan sebuah cara untuk menembus pertahanan dengan cara menyampaikan
informasi IP Address yang salah mengenai sebuah host, dengan tujuan untuk mengalihkan lalu lintas
paket data dari tujuan yang sebenarnya. Cara ini banyak dipakai untuk menyerang situs-situs e-
commerce dan banking yang saat ini bisa dilakukan dengan cara online dengan pengamanan Token
5. Trojan Horse
Trojan horse atau Kuda Troya atau yang lebih dikenal sebagai Trojan dalam keamanan
komputer merujuk kepada sebuah bentuk perangkat lunak yang mencurigakan (malicious
software/malware) yang dapat merusak sebuah sistem atau jaringan Tujuan dari Trojan adalah
memperoleh informasi dari target (password, kebiasaan user yang tercatat dalam system log, data,
dan lain-lain), dan mengendalikan target (memperoleh hak akses pada target).
6. SQL Injection
Injeksi SQL atau SQL Injection memiliki makna dan arti yaitu sebuah teknik yang menyalahgunakan
sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi
ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string

6. 5
yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya
dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori celah
keamanan yang lebih umum yang dapat terjadi setiap kali sebuah bahasa pemrograman atau skrip
diimbuhkan di dalam bahasa yang lain.
7. PHP Injection
Script php merupakan salah satu script yang sampai saat ini banyak digunakan oleh seorang
webmaster, disamping rival nya Java. Script php ini begitu 'Powerfull', mengapa dikatakan demikian
karena dalam script php ini kita bisa melakukan banyak hal. Mulai dari membuat file, membuat
counter, membuat date, membuat bukutamu, membuat forum (salah satunya PhpBB), mengakses
database secara langsung maupun juga membuat gambar dan animasi
8. Script Kiddies
Script Kiddie adalah seseorang yang memiliki kemampuan kurang dalam dunia internet yang hanya
bisa menggunakan tools orang lain untuk melakukan serangan terhadap jaringan internet, biasanya
hanya untuk sensasi.
Dartar Pustaka: Sobarudin, 2016, http://sobarudinfile.blogspot.co.id/2014/08/jenis-jenis-serangan-jaringan-
pada_26.html (17 Maret 2018, jam 22:30)

7. 6
Defenisi dan jenis-jenis penyerangan computer di Organisai Internasional (OI):
Transaksi-transaksi di OI yang mengunakan teknologi berbasis komputer tidak luput dari
penyerangan dari pihak external. Penyerangan atau lebih tepatnya kejahatan di sebut dengan
“CyberCrime” atau kejahatan melalui jaringan Internet. Ada beberapa penyerangan computer telah
mejadi ancaman stabilitas tehnologi khususnya jaringan internet. Beberapa kejahatan kasus
“CyberCrime” di OI misalnya
1. Kasus Spoofing attack pada akun gmail OI:
Pegawai OI pada umumnya mempunyai akun email pribadi selain email official kantor OI. Para
pemilik akun gmail yang terkena spoofing akan menerima email dari dirinya sendiri padahal yang
bersangkutan tidak merasa pernah mengirim email tersebut melalui akun gmailnya. Ciri-ciri
sederhananya adalah, pada folder inbox maupun spam, terdapat email dengan sender dari “me”
yang berarti kita sendiri. Pertanyaannya, buat apa kita mengirim email ke diri kita sendiri? Ciri
lainnya adalah terkirimnya email ke seluruh kontak di akun gemail yang bersangkutan, sehingga
menghasilkan spam bagi orang lain.
Cara Pencegahan IP Spoofing
- Memasang Filter di Router
Memasang Filter di Router dengan memanfaatkan ”ingress dan
engress filtering” pada router merupakan langkah pertama dalam mempertahankan diridari sp
oofing. Kita dapat memanfaatkan ACL(acces control list) untuk memblokir alamat IP Privat di
dalam jaringan untuk downstream.
- Enkripsi dan Authentifikasi
Kita harus mengeliminasi semua authentikasi berdasarkan host, yang di gunakan pada
komputer dengan subnet yang sama
Dartar Pustaka: Fatihatul Khairani, 2012. http://kuliahsite.blogspot.co.id/2012/09/serangan-spoofing.html (18
Maret 2018, jam 20:00)
2. Kasus penyerangan Denial of Services (DOS) adalah serangan hacker melalui networking
untuk menyerang suatu sistem dan juga server website.
Jenis-jenis serangan DOS :
- Ping of Death : ping ini di gunakan untuk memeriksa utility ping untuk mengetahui ip dan jenis
host yang di gunakan. ping ini sering kita jumpai di CMD pada windows xp. serangan ini sudah
tidak terlalu ampuh karena proses yang cukup lama dan website-website juga melakukan
jupdate secara berkala.
- Udp Flood : serangan yang membuat si admin merasa terkejut karena serangan ini korban
mendapatkan servernya yang terkena hang pada serangan ini. penyerang juga selalu
menyembunyikan identitasnya agar sulit di lacak.
- Syn Flooding : serangan ini mencari kelemahan dalam sistem protocol. serangan ini dengan
mengirimkan Syn kepada komputer target sehingga si korban terus menerima paket-paket
data yang tidak di inginkan.
- Remote Controle Attack : sering di sebut sebagai mengendalikan kkomputer korban dari jarak
jauh, penyerangan ini dapat berdampak besar terhadap si korban. cara ini banyak di jumpai
menggunakan tools-tools terkena yang menghandalkan client.
- Smurf Attack : Serangan yang memanfaatkan pihak ke tiga di mana si hacker menargetkan
kepada si korban melalui daemon-daemon dari tools flooder.

8. 7
Cara mengatasi serangan DOS:
- Lakukan sesering mungkin terhadap bug-bug dengan cara melakukan patch dan back-up
secara berkala.
- Gunakan firewall agar kemungkinan serangan ini tidak malakukan serangan-serangan data
terhadap komputer anda.
- Lakukan blocking terhadap IP yang mencurigakan, jika port anda telah termasuki maka
komputer anda akan di kuasai. Cara mengatasinnya adalah gunakan Firewall di
kombinasikan dengan IDS.
- Menolak semua paket data dan mematikan service UDP. selain itu gunakan anti virus yang
di mana dapat menangkal serangan data seperti Kapersky.
- Lakukan filtering pada permintaan ICMP echo pada firewall..
Dartar Pustaka: Deny Kurniawan, 2012. http://computerindonesia.blogspot.co.id/2012/01/serangan-dos-dan-
cara-mengatasinya.html (18 Maret 2018, jam 20:40)
3. Sniffer
Packet Sniffing adalah sebuah teknik pencurian data yang dilakukan dengan cara
memonitoring atau melakukan analisis terhadap paket data yang ditransmisikan dari
komputer client ke web server. Packet sniffing ini biasanya dilakukan oleh para hacker atau
penyusup yang berbahaya untuk melakukan tindakan yang dilarang seperti seperti mencuri
password, dan pengambilan data-data penting lainnya.
Pencegahannya
Sedangkan untuk menangani atau mengatasi packet sniffing ini sendiri adalah melakukan
enkripsi atau penyandian data yang ingin dikirim melalui jaringan.
Dartar Pustaka: Nik Mang, 2012. http://mangnik.blogspot.com/2012/01/bagaiman-packet-sniffer-bekerja.html
(18 Maret 2018, jam 20:50)
4. DNS Poisoning
Contoh penyerangan DNS Poisoning biasanya attacker bisa membelokan alamat dari sebuah
domain dengan menggunakan metode DNS Poisoning dan ketika nameserver di berikan fake
information di nameserver yang akibatnya nameserver akan menerjemahkan bahwa domain itu
adalah milik attacker/penyerang. Penyerang itu sendiri telah menyediakan program spoofing juga.
Akibatnya setiap informasi yang di kirim ke domain tersebut akan masuk ke alamat attacker dan
program spoofing yang terpasang telah membantu attacker untuk mendapatkan informasi penting
seperti login, password bahkan mungkin data-data rahasia.
Bagaimana solusi untuk mengatasi DNS poisoning?
Disarankan untuk mengganti BIND Anda ke versi 9.x (bukan 9) yang sudah mampu menangani
penyerangan dengan metode ini. Atau alternatif lain Anda bisa mencoba DJBDNS buatan D.J.
Bernstein (pembuat program qmail). Cara kedua adalah dengan mendisable recursive query ke
nameserver dengan membuat split DNS yaitu membuat dua nameserver. Nameserver utama di
gunakan untuk menangani domain name dari public domain. sedangkan nameserver kedua di
yang berada di internal network bertugas sebagai cache nameserver yang bertugas menjawab
query dari user yang merequest domain tersebut sehingga kalau pun di serang dengan ribuan
query hal ini tidak akan meracuni informasi public domain karena sudah di tangani oleh
nameserver pertama yang di lengkapi juga dengan firewalDi dalam konfig BIND memang ada

9. 8
option untuk mengatur allow-recursion untuk membatasi ip/address yang dapat mengakses
nameserver, tapi perlu di ingat bahwa seorang penyerang pun bisa dengan mudah mengetahui ip
mana saja yang di ijinkan untuk mengirimkan query ke nameserver. Dengan merubah source IP
di query-command dengan IP yang di ijinkan untuk mengakses nameserver, penyerangan model
ini akan tetap dapat di langsungkan.
Dartar Pustaka: Wanbule, 2008. https://wanbule.wordpress.com/2008/11/26/penyerangan-dengan-
menggunakan-dns-poisoning/ (18 Maret 2018, jam 20:55)
5. Trojan Horse
Contoh kasus trojan horse adalah distribusi paket program TCP Wrapper (yaitu program
populer yang dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi
oleh orang yang tidak bertanggung jawab.
Jika anda memasang program yang berisi trojan horse tersebut, maka ketika anda merakit
(compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu yang
kemudian memperbolehkan dia masuk ke sistem anda.
Informasi ini berasal dari CERT Advisory, “CA-99-01 Trojan-TCP-Wrappers” yang didistribusikan
21 Januari 1999
Dartar Pustaka: Kelompok 6 > 12.4H.03, 2014. https://kelompok6124h.wordpress.com/contoh-kasus/ (18 Maret
2018, jam 21:00)
Langkah pencegahan Trojan:
Pastikan anda memasang antivirus yang selalu ter-update, mengaktifkan Firewall baik
bawaan dari Windows atau dari software external yang berlisensi. Selalu waspadalah jika
komputer anda mengalami sesuatu kejanggalan. Hindari penggunaan sofware ilegal karena
sering tanpa kita sadari software tersebut mengandung Trojan, downloadlah software dari
situs-situs yang benar-benar dapat dipercaya.
Dartar Pustaka: rolansas1324, 2011. https://rolansas1324.wordpress.com/2011/01/11/macam-macam-trojan-
dan-cara-mengatasi-trojan/ (18 Maret 2018, jam 21:10)
6. SQL Injection
Contoh SQL Injection dapat terjadi ketika seseorang dapat memasukkan serangkaian
perintah SQL dalam query dengan memanipulasi data pada aplikasi database. Kita akan
membahas beberapa teknik SQL injection yang umum ditemukan pada Microsoft Internet

10. 9
Information Server/Active Server Pages/SQL Server platform. Terdapat beberapa cara
dimana SQL dapat diinjeksikan pada sebuah aplikasi.
Cara Mencegah SQL Injection sbb :
- Batasi panjang input box dengan cara membatasi di kode program
- Administrator web haruslah tegas menolak user yang menginput karakter selain abjad dan
angka
- Untuk nilai numerik, konversilah menjadi integer
- Filter input yang dimasukkan user
- Jika memungkinkan, buatlah daftar karakter yang boleh digunakan
- Batasi karakter yang boleh diinput oleh pengunjung situs web anda
- Matikan atau sembunyikan pesan – pesan error yang keluar dari SQL Server yang berjalan
- Kalau bisa, hilangkan show error mysql
- Bagi yang menggunakan CMS, sangat disarankan untuk mengupdate CMS
Dartar Pustaka: Matt Aji, 2015. http://sekedarinformasi23.blogspot.co.id/2015/05/contoh-makalah-
teknik-sql-injection.html (18 Maret 2018, jam 21:15)
7. PHP Injection
Contoh : Mekanisme SQL injection yang dapat terjadi pada proses login. Misalkan terdapat
tabel User yang digunakan untuk menyimpan data user, yang di dalamnya terdapat 2 field
yaitu username dan password. Misalkan juga terdapat 2 user yaitu JOKO (password : JOKO)
dan AMIR (password : AMIR).
Ide dari proses login di atas adalah mencari nama user dan password dalam
tabel user berdasarkan username dan password yang dimasukkan melalui form.
Perintah mysql_num_rows() akan menghasilkan jumlah record hasil pencarian. Apabila
ditemukan nama user dan password yang sesuai maka mysql_num_rows() akan
menghasilkan jumlah baris record yang tidak sama dengan 0. Sedangkan apabila tidak
ditemukan, jumlah baris record adalah 0.
Login akan berhasil apabila ada record yang ditemukan atau jumlah baris recordnya tidak
sama dengan 0, dan akan gagal jika jumlah baris recordnya 0.

11. 10
Apabila dalam form teresebut dimasukkan input sembarang nama user dan password
berbentuk ‘ OR 1 OR ‘1’ = ‘1. Proses login akan berhasil karena perintah SQL yang
dijalankan akan menghasilkan TRUE.
Untuk mencegah terjadinya SQL injection dalam PHP yaitu dengan membersihkan input-input
yang berasal dari user, di antaranya menggunakan
fungsi addslashes atau mysql_real_escape_string. Kedua fungsi ini
menambahkan backslash pada tanda kutip, baik kutip tunggal (‘) maupun ganda (“). Dengan
demikian input dari user, yang terdapat dalam variabel POST, GET, dan COOKIE, akan
dikirim sebagaimana mestinya, sehingga tidak mengacaukan dalam pembentukan SQL
Dartar Pustaka: Maykada Harjono, 2011. https://oguds.wordpress.com/2008/04/01/sql-injection-pada-mysql-
dan-php/ (18 Maret 2018, jam 21:25)
8. Script Kiddies:
Contohnya seseorang dengan niat buruk yang menggunakan program lain untuk menyerang
sistem komputer atau pun melakukan deface pada website dengan tujuan membuat sensasi.
biasanya seorang script kiddie mencari target bukan dengan memilih target tetapi lebih
mengandalkan hasil scan dari tools yang mendeteksi kelemahan sebuah sistem pada
umumnya.
Pencegahannya sebuah serangan terjadi karena adanya sebuah kelemahan
maka dari itu kita harus melakukan proteksi-proteksi berdasarkan
metode serangan.
1. Minimalisasi system: pastikan kita meminimalis service atau program yang berjalan di
komputer. Dan anda dapat menonaktifkan service atau program yang tidak di digunakan
atau diperlukan.
2. Manajemen password: Hal yang harus anda lakukan hanyalah berhati-hati jika anda ingin
membuat sebuah password yang umum seperti : “admin”,
“1234”, “qwerty”, bahkan ‘p@$$w0rd” dan masih banyak password
yang mempunyai tingkat kesulitan yang sangat mudah di tebak.
3. Gunakan firewall: Setidaknya dengan kita menggunakan firewall dapat
melindungi serangan yang datang dari port yang di ijinkan oleh
firewall biasanya port 80 yang pada umumnya digunakan sebagai
web serve. Firewall juga dapat menutupi kelemahan-kelemahan
sebuah sistem.

12. 11
4. Gunakan tools: Jika seorang script kiddie menggunakan tools untuk
menyerang maka gunakan hal yang sama untuk mengetahui sistem
sendiri.
5.Selalu update: Update selalu program-program yang biasa digunakan,
karena biasanya banyak sekali program yang masih banyak memiliki
masalah karena hal ini dapat menjadi boomerang bagi sistem jika
ditemukan crash pada program.
Dartar Pustaka: Jeyaz Chui, 2009. http://tkjsmkn1slawi.forumotion.com/t77-mengenal-script-kiddie (18 Maret
2018, jam 21:30)
Berbagai contoh kasus penyerangan komputer di atas menunjukkan bahwa teknologi yang berbasis
komputer seharusnya diterapkan dengan kehati-hatian sehingga memberikan competitive advantage
pada penerapan information technology (IT) di OI. Dengan demikian, IT memerlukan perancangan,
penerapan teknologi yang baik dan hati hati atau disebut juga Good IT Governance.
===oo0oo===

13. 12
1. Pengendalian Internal:
Sistem pengendalian internal merupakan suatu proses yang melibatkan dewan komisaris,
manajemen, dan personil lain, yang dirancang untuk memberikan keyakinan memadai tentang
pencapaian tiga tujuan berikut ini:
· Efektivitas dan efisiensi operasi
· Keandalan pelaporan keuangan
· Kepatuhan kerhadap hukum dan peraturan yang berlaku.
COSO memandang pengendalian internal merupakan rangkaian tindakan yang mencakup
keseluruhan proses dalam organisasi. Pengendalian internal berada dalam proses manajemen dasar,
yaitu perencanaan, pelaksanaan, dan pemantauan.
2. Unsur-unsur Pengendalian internal COSO ( Committee of Sponsoring Organization of The
Treadway Commission) adalah:
a. Lingkungan pengendalian (control environment)
b. Penaksiran risiko (risk assessment)
c. Aktivitas pengendalian (control activities)
d. Informasi dan komunikasi (informasi and communication)
e. Pemantauan (monitoring)
Dartar Pustaka: Aswin Wahab, 2013, http://keuanganlsm.com/definisi-pengendalian-internal-versi-coso/ (24
Maret 2018, jam 14:30)

14. 13
Pengendalian internal di Organisasi Internasional (OI):
Sistem pengendalian internal di OI merupakan suatu proses yang melibatkan dewan direktur
mewakili konstituen negara anggota, manajemen, dan personil lain.
COSO memandang pengendalian internal merupakan rangkaian tindakan yang mencakup
keseluruhan proses dalam organisasi. Pengendalian internal berada dalam proses manajemen
dasar, yaitu perencanaan, pelaksanaan, dan pemantauan.
1
1
Dartar Pustaka: Aswin Wahab, 2013. http://keuanganlsm.com/definisi‐pengendalian‐internal‐versi‐coso/ (24
Maret 2018, jam14:20)
Unsur‐Unsur Pengendalian Internal COSO di OI
2
:
a. Lingkungan pengendalian (control environment). Faktor‐faktor lingkungan pengendalian
mencakup
- Integritas dan Nilai Etika – Integritas dan nilai‐nilai etika yang sehat, khususnya dari
manajemen puncak, dikembangkan dan dipahami serta menjadi standar perilaku dalam
pelaporan keuangan
- Dewan – Dewan Direktur memahami dan melaksanakan tanggung jawab pengawasan
pelaporan keuangan serta pengendalian internal terkait.
- Filosofi Manajemen dan Gaya Operasi – Filosofi manajemen dan gaya operasi membantu
pencapaian pengendalian internal yang efektif terhadap pelaporan keuangan.
- Struktur Organisasi – Struktur organisasi perusahaan mendukung
pengendalian internal yang efektif dalam pelaporankeuangan.
- Kompetensi Pelaporan Keuangan – Perusahaan memiliki individu‐individu yang kompeten
dalam pelaporan keuangan dan juga individu dalam pengawasannya.
2
Dartar Pustaka: Anonim, 2011 https://auditorinternal.wordpress.com/tag/coso/ (24 Maret 2018, jam 20.30)
- Wewenang dan Tanggung Jawab – Manajemen dan karyawan diberikan wewenang dan
tanggung jawab yang sesuai untuk memfasilitasi pengendalian internal yang efektif terhadap
pelaporan keuangan.
- Sumber Daya Manusia – Kebijakan dan praktik sumber daya manusia didesain dan
diimplementasikan untuk memfasilitasi pengendalian internal yang efektif terhadap pelaporan
keuangan.
b. Penaksiran risiko (risk assessment). Mekanisme yang ditetapkan untuk
- Tujuan Pelaporan Keuangan – Manajemen menetapkan tujuan pelaporan keuangan
dengan jelas serta menetapkan kriteria identifikasi risiko untuk pelaporan keuangan yang
dapat diandalkan.
- Risiko Pelaporan Keuangan – Perusahaan mengidentifikasi dan menganalisa risiko
pencapaian tujuan pelaporan keuangan sebagai dasar untuk menentukan bagaimana risiko harus

15. 14
dikelola.
- Risiko Kecurangan (Fraud) – Potensi salah saji secara material akibat kecurangan
secara eksplisit dipertimbangkan dalam penilaian risiko pencapaian tujuan pelaporan
keuangan.
c. Aktivitas pengendalian (control activities). Pelaksanaan dari kebijakan‐ kebijakan dan
prosedur‐prosedur yang ditetapkan oleh manajemen untuk membantu memastikan bahwa
tujuan dapat tercapai
- Integrasi dengan Penilaian Risiko – Tindakan‐tindakan perlu diambil untuk mengatasi risiko
pencapaian tujuan pelaporan keuangan.
- Pemilihan dan Pengembangan Aktivitas Kegiatan – Aktivitas pengendalian dipilih dan
dikembangkan dengan mempertimbangkan biaya dan potensi efektivitas mitigasi risiko
pencapaian tujuan pelaporan keuangan.
- Kebijakan dan Prosedur – Kebijakan terkait dengan pelaporan keuangan yang dapat
diandalkan ditetapkan dan dikomunikasikan ke seluruh organisasi, dengan prosedur yang sesuai
sehingga arahan manajemen dilaksanakan.
- Teknologi Informasi – Pengendalian teknologi informasi, bila memungkinkan,
didesain dan diimplementasikan untuk mendukung pencapaian tujuan pelaporan
keuangan.
d. Informasi dan komunikasi (informasi and communication).
Sistem yang memungkinkan orang atau entitas, memperoleh dan menukar informasi yang
diperlukan untuk melaksanakan, mengelola, dan mengendalikan operasinya.
- Informasi Pelaporan Keuangan – Informasi terkait diidentifikasi, ditangkap, digunakan pada
semua tingkatan perusahaan, dan didistribusikan dalam bentuk dan jangka waktu yang
mendukung pencapaian tujuan pelaporan keuangan.
- Informasi Pengendalian Internal – Informasi yang dibutuhkan untuk memfasilitasi berfungsinya
komponen pengendalian lainnya diidentifikasi, ditangkap, digunakan dan didistribusikan dalam
bentuk dan jangka waktu yang memungkinkan personel untuk melaksanakan tanggung jawab
pengendalian internal mereka.
- Komunikasi Internal – Komunikasi memungkinkan dan mendukung pemahaman dan
pelaksanaan tujuan pengendalian internal, proses dan tanggung jawab individual di
semua tingkatorganisasi.
- Komunikasi Eksternal – Hal‐hal yang mempengaruhi pencapaian tujuan pelaporan
keuangan dikomunikasikan dengan pihak‐pihakluar.
e.Pemantauan (monitoring). Sistem pengendalian internal perlu dipantau, proses ini
bertujuan untuk menilai mutu kinerja sistem sepanjang waktu. Ini dijalankan melalui aktivitas
pemantauan yang terus‐menerus, evaluasi yang terpisah atau kombinasi dari keduanya.
- Pemantauan Berkelanjutan dan Evaluasi Terpisah – pemantauan yang terus menerus
(ongoing monitoring) dan/atau evaluasi terpisah (separatae evaluation) memungkinkan manajemen
untuk menentukan apakah komponen lain dari pengendalian internal atas pelaporan keuangan
terus berfungsi dari waktu ke waktu.

16. 15
- Pelaporan Kelemahan – Kelemahan pengendalian internal diidentifikasi dan dikomunikasikan
secara tepat waktu kepada pihak‐pihak yang bertanggung jawab untuk mengambil tindakan
korektif, dan juga kepada manajemen serta dewan Direktur yang sesuai.
===oo0oo===

17. 16
1. Definisi Sistem Informasi menurut (John F Nash) adalah : Sistem Informasi adalah kombinasi
dari manusia, fasilitas atau alat teknologi, media, prosedur dan pengendalian yang bermaksud
menata jaringan komunikasi yang penting, proses atas transaksi-transaksi tertentu dan rutin,
membantu manajemen dan pemakai intern dan ekstern dan menyediakan dasar pengambilan
keputusan yang tepat.
Dartar Pustaka: Dimas osd, 2011, https://www.kompasiana.com/dimasosd/pengertian-si-sistem-
informasi_55291077f17e6126268b48b6 (01 April 2018, jam 17:00)
2. Tinjauan SIA (Sistem Informasi Akuntansi ) adalah sistem informasi berbasis komputerisasi
yang mengolah data keuangan yang berhubungan dengan data transaksi dalam siklus akuntansi dan
menyajikannya dalam bentuk laporan keuangan kepada manajemen perusahaan.
Dartar Pustaka: Ferry Rinaldi, 2015, https://www.kembar.pro/2015/11/pengertian-dan-fungsi-utama-sistem-
informasi-akuntansi.html (01 April 2018, jam 17:30)
3. Sistem pengolahan Transaksi adalah sistem Pemrosesan Transaksi adalah sistem yang
menjadi pintu utama dalam pengumpulan dan pengolahan data pada suatu organisasi.
Dartar Pustaka: Syani3z, 2012, https://syani3z.wordpress.com/2012/05/09/sistem-pengolahan-transaksi/ (01
April 2018, jam 17:30)
4. Sistem perencanaan Perusahaan atau sering disebut ERP ( enterprise resource planning ),
adalah sistem informasi yang diperuntukkan bagi suatu perusahan manufaktur maupun jasa yang
berperan untuk mengintegrasikan dan mengotomasikan proses bisnis yang berhubungan dengan
aspek operasi, produksi maupun distribusi di perusahaan bersangkutan.
Dartar Pustaka: Madya Atma, 2016, https://amilna.inweb.id/artikel/29-
Perencanaan+Sumber+Daya+Perusahaan/ (01 April 2018, jam 18:00)

18. 17
1. Sistem informasi yaitu suatu sistem yang menyediakan informasi untuk manajemen dalam
mengambil keputusan dan juga untuk menjalankan operasional perusahaan, di mana sistem tersebut
merupakan kombinasi dari orang-orang, teknologi informasi dan prosedur-prosedur yang
tergorganisasi
Contoh: Toko buku Gramedia mempunyai sistem informasi yang menyediakan informasi penjualan
buku-buku setiap harinya, serta stock buku-buku yang tersedia, dengan informasi tersebut, seorang
manajer bisa membuat kebutusan, stock buku apa yang harus segera mereka sediakan untuk toko
buku mereka, manajer juga bisa tahu buku apa yang paling laris dibeli konsumen, sehingga mereka
bisa memutuskan buku tersebut jumlah stocknya lebih banyak dari buku lainnya.
Dartar Pustaka: Dimas osd, 2011, https://www.kompasiana.com/dimasosd/pengertian-si-sistem-
informasi_55291077f17e6126268b48b6 (02 April 2018, jam 18:00)
Menurut Nugroho Widjajanto dalam bukunya “Sistem Informasi Akuntansi”, Jakarta, Erlangga,
2001, menyatakan bahwa :
2. informasi akuntansi adalah susunan formulir, catatan, peralatan termasuk komputer dan
perlengkapannya serta alat komunikasi, tenaga pelaksanaannya dan laporan yang terkoordinasi
secara erat yang didesain untuk mentransformasikan data keuangan menjadi informasi yang
dibutuhkan manajemen.”
Prosedur Keuangan dan Akuntansi
Formulir Data Keuangan, untuk mencatat seluruh aktifitas keuangan meliputi transaksi kas,
persediaan, piutang, aktiva tetap, hutang, penjualan dan biaya.
 Accounting Software, contohnya: MYOB, zahiraccounting, Oracle Finance.
 Hardware berupa seperangkat komputer yang terhubung dengan jaringan (Networking), dan
kelengkapan aksesoris pendukung lainnnya.
Melalui penerapan sistem informasi akuntansi diharapkan data yang disajikan tepat waktu dan akurat,
validasi dan terotorisasi dengan baik, serta sesuai dengan Prosedur Keuangan dan Akuntansi yang
baku atau PSAK yang berlaku umum.
Dartar Pustaka: Ferry Rinaldi, 2015. https://www.kembar.pro/2015/11/pengertian-dan-fungsi-utama-sistem-
informasi-akuntansi.html (02 April 2018, jam 19:30)
3. Sistem Pengelolaan Transaksi (Transaction Processing System disingkat TPS) adalah sistem
yang menjadi pintu utama dalam pengumpulan dan pengolahan data pada suatu organisasi.
Contoh :
Bank terbesar di Indonesia, Bank Mandiri memanfaatkan system informasi dan teknologi guna
memberikan layanan terbaik bagi nasabahnya.Salah satu layanan yang ia berikan adalah layanan
On- line atas transaksi nasabah khususnya nasabah segmen corporate dan commercial. Solusi
layanan Mandiri E-FX.
Mandiri E-FX merupakan salah satu contoh penerapan TPS yang merupakan sarana
internet banking real-time online yangditujukan untuk segmen bisnis, memberikan akses dan
controldalam transaksi foreign exchange bagi nasabah dengan aman, cepat dan mudah
Dartar Pustaka: Putri Lulanti, 2014,
http://www.academia.edu/7264616/Penerapan_Transaction_Processing_System_TPS (02 April 2018, jam 21:00)

19. 18
4.Sistem Perencanaan Perusahaan (ERP)
Contoh Sistem Perencanaan Perusahaan (Enterprise Resource Planning) yang dipakai oleh
perusahaan adalah:
Sejak tahun 2002 , Telkomsel IT Enterprise Team yang berlokasi di Bandung, telah menyiapkan pola
dan bibit terbaik teknologi yang dapat mengakomodasi semua permintaan pasar telekomunikasi di
Indonesia yang tumbuh dengan luarbiasa cepat.
System yang tersedia diharapkan mampu mengimbangi pertumbuhan pelanggan baik fixed maupun
selular. System juga harus mampu menjalankan CRM ( customer relationship management ) sama
baiknya dengan humanresource dan aplikasi finansial.
Maka PT Telkom memutuskan untuk melakukan Upgread pada system yang sudah dimiliki saat ini.
System yang baru harus scalable, intuitive ( mudah penggunaannya ) dan mampu menangani
sekumpulan data – data penting dengan aman, dan yang terpenting adalah mudah untuk diatur dan
digunakan. Sistem yang dipilih oleh Telkomsel adalah pada penggunaan SAP R/3 Enterprise
Dartar Pustaka: Yudha sancaka, 2008 http://yudhasancaka.net/2008/09/04/erp-di-pt-telkomsel/ (02 April 2018,
jam 21:00)
===oo0oo===

20. 19
1. COBIT yaitu Control Objectives for Information and Related Technology yang merupakan audit
sistem informasi dan dasar pengendalian yang dibuat olehInformation Systems Audit and Control
Association (ISACA), dan Information Technology (IT) Governance Institute (ITGI) pada tahun 1992.
- Business information requirements, terdiri dari:
 information : effectiveness(efektif), efficiency (efisien),
(keyakinan), integrity (integritas), availability(tersedia), (pemenuhan), reliability (dipercaya).
 Compliance
 Information Technology Resource, terdiri dari : People, applications, technology, facilities,
data.
 High Level IT Processes.
COBIT didasari oleh analisis dan harmonisasi dari standar teknologi informasi dan best
practices yang ada, serta sesuai dengan prinsipgovernance yang diterima secara umum. COBIT
berada pada level atas yang dikendalikan oleh kebutuhan bisnis, yang mencakupi seluruh aktifitas
teknologi informasi, dan mengutamakan pada apa yang seharusnya dicapai dari pada bagaimana
untuk mencapai tatakelola, manajemen dan kontrol yang efektif.
COBIT Framework bergerak sebagai integrator dari praktik IT governance dan juga yang
dipertimbangkan kepada petinggi manajemen atau manager; manajemen teknologi informasi dan
bisnis; para ahligovernance, asuransi dan keamanan; dan juga para ahli auditor teknologi informasi
dan kontrol. COBIT Framework dibentuk agar dapat berjalan berdampingan dengan standar dan best
practices yang lainnya.
COBIT FRAMEWORK
Kerangka kerja CobIT terdiri dari beberapa guidelines (arahan), yakni :
a. Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control
objectives) yang tercermin dalam 4 domain, yaitu : planning & organization, acquisition
& implementation, delivery & support, dan monitoring.
b. Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control
objectives) untuk membantu para auditor dalam memberikanmanagement assurance atau saran
perbaikan.
c. Management Guidelines: Berisi arahan baik secara umum maupun spesifik mengenai apa saja
yang mesti dilakukan, seperti : apa saja indicator untuk suatu kinerja yang bagus, apa saja resiko
yang timbul, dan lain-lain.
d. Maturity Models: Untuk memetakan status maturity proses-proses IT (dalam skala 0 – 5).
Dartar Pustaka: Fauzi, 2015, http://fauzi461203976.blogspot.co.id/2015/06/implementasi-cobit-di-pt-transindo-
jaya.html (08 April 2018, jam:08:30)
2. COSO
COSO adalah singkatan dari Committee of Sponsoring Organizations of the Treadway
Commission, dimana merupakan suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985.
Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan
laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah
menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat
digunakan perusahaan untuk menilai sistem pengendalian mereka.

21. 20
Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:
· Control Environment
· Risk Assessment
· Control Activities
· Information and communication
· Monitoring
Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’,
sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk
Management, yaitu:
· Internal Environment
· Objective Setting
· Event Identification
· Risk Assessment
· Risk Response
· Control Activities
· Information and Communication
· Monitoring
Dartar Pustaka: Arif Fashkaf, 2015, https://arifashkaf.wordpress.com/2015/12/09/3-4-pengertian-coso/ (08 April
2018, jam: 08:15)
1. ERM
Enterprise Risk Management (Manajemen Resiko Perusahaan) adalah sebuah pendekatan yang
komprehensif untuk mengelola resiko-resiko perusahaan secara menyeluruh, meningkatkan
kemampuan perusahaan untuk mengelola ketidakpastian, meminimalisir ancaman, dan
memaksimalkan peluang.
Enterprise Risk Management (ERM) juga merupakan proses pengelolaan yang mengidentifikasi,
mengukur, dan memonitor resiko secara sistematis serta didukung oleh kerangka kerja manajemen
yang memungkinkan adanya proses perbaikan yang berkesinambungan atas kegiatan manajemen itu
sendiri.
Dalam penerapannya, proses manajemen resiko dapat dilihat dibawah ini:
1. Identifikasi resiko -> pengidentifikasian resiko untuk menjawab pertanyaan sebab-akibat dan
pemilik resiko, hasilnya adalah risk profile.
2. Penilaian dan pengukuran resiko -> pada proses pengukuran resiko terlebih dahulu
ditentukan risk criteria (kriteria resiko) yang disusun berdasarkan impact criteria (kriteria dampak) dan
kemungkinan kejadian. Tahap ini bertujuan untuk menentukan seberapa besar dan sering resiko
terjadi, menyusun if-scenarios, dan mengukur tingkat resiko. Berdasarkan hasil penentuan resiko
tersebut, dikembangkan sebuah model pemetaan resiko (risk mapping) yang digunakan sebagai
pedoman action plan pada manajemen resiko. Pada tahap ini juga dilakukan pengukuran resiko-
resiko yang dianggap signifikan dengan menggunakan kriteria-kriteria resiko yang telah ditetapkan
3. Pengelolaan resiko -> pada proses ini dilakukan upaya untuk meminimasi besarnya resiko yang
timbul agar setiap resiko dapat diterima oleh risk owners. Untuk mengantisipasi terjadinya resiko,
seorang risk owners harus memiliki action plan yang merupakan hasil improvisasi dari strategi,
pengendalian, dan proses bisnis.

22. 21
4. Pemantauan dan pelaporan resiko -> proses pemantauan dan pelaporan dilakukan secara
periodik untuk memberikan early warnings (peringatan dini), melaporkan implementasi manajemen
resiko, dan memberikan rekomendasi kepada bagian manajemen menuju continuous
improvement (perbaikan yang berkelanjutan)
Kesimpulan: Enterprise Risk Management (ERM) merupakan konsep manajemen untuk
menghadapi segala resiko yang mungkin terjadi pada perusahaan dalam waktu dekat ataupun waktu
mendatang. Untuk itu, penting bagi perusahaan untuk melakukan pengawasan secara berkelanjutan
untuk memastikan tidak ada hal yang berpotensi menjadi resiko
Dartar Pustaka: Eko Faiqurridho, 2016. http://www.eko-faiqurridho.com/2016/12/enterprise-risk-management-
erm.html (08 April 2018, jam: 08:00)

23. 22
Contoh Penerapan COBIT pada PT KAI, Tbk.
1. Perencanaan dan Organisasi
Perencanaan dan Organisasi. Untuk PT KAI perencanaan dan organisasi, berikut kelemahan-
kelemahan PT KAI:
- Rencana strategik TI
Sudah ada rancangan rencana strategik TI nya tetapi belum dapat diaplikasikan ke seluruh unit bisnis
PT KAI
- Arsitektur informasi
Belum semua instansi memiliki sistem informasi dan terintegrasi.
- Arah teknologi
Teknologi yang digunakan belum begitu canggih karena sarana dan prasarana belum memadai.
Organisasi TI dan hubungan sSudah ada sebuah organisasi yang jelas dan secara khusus
menangani bidang IT, tetapi belum bekerja secara maksimal
- Investasi TI
Belum adanya rancangan anggaran TI yang menyeluruh.
Alokasi anggaran yang terbatas.
- Manage SDM
- Penempatan SDM yang tidak tepat dan pembagian tugas yang tidak jelas.
- Pengelolaan sumber daya yang belum optimal baik di tingkat teknis operasional maupun manajerial.
Belum adanya manajemen resiko dan manajemen kualitas yang baku dalam pengembangan sistem
pendukung perkereta apian (PT. KAI).
- Manajemen telah dilakukan namun belum optimal.
2. Akuisisi dan Implementasi
Beberapa kelemahan yang ditemukan diantaranya :
- Identifikasi solusi otomatisasi (masih manual)
- Pemeliharaan aplikasi perangkat lunak. Tidak terdapat alokasi anggaran yang memadai untuk
pemeliharaan.
- Pemeliharaan infrastruktur teknologi
- Tidak didukung SDM TI yang handal dalam pemeliharaan infrastruktur.
- Alokasi anggaran pemeliharaan masih terbatas.
- Jangka waktu pemakaian yang tidak jelas.
KESIMPULAN:
Dengan melihat kelemahan di atas metode cobit perlu diterapkan pada PT KAI,. Dengan
diterapkannya metode cobit diharapkan kinerja PT KAI dapat lebih baik dan terorganisir sehingga visi
dan misi perusahaan dapat tercapai dan juga dapat memberikan kontribusi bagi pengguna jasa
kereta api, pemegang saham dan pemerintah.
Dartar Pustaka: Iman Okey, 2015. http://auditsi-imam.blogspot.co.id/2015/04/implementasi-cobit-pada-
ptkai.html (08 April 2018, Jam: 19:30)
Contoh Penerapan metode COSO pada PT. BCA. Tbk.
BCA dan Perusahaan Anak telah menerapkan proses manajemen risiko secara cukup efektif dan
efisien pada seluruh aktivitasnya dengan menerapkan metode COSO. Diharapkan trend kualitas
penerapan manajemen risiko untuk periode mendatang adalah stabil. Hal ini disebabkan karena BCA

24. 23
dan Perusahaan Anak secara terus menerus meningkatkan penyesuaian pengelolaan manajemen
risiko di semua aktivitasnya sehingga BCA dan Perusahaan Anak dapat mengidentifikasi, mengukur,
memantau dan mengendalikan setiap risiko yang ada. SISTEM PENGENDALIAN INTEREN
(INTERNAL CONTROL)
Sistem pengendalian interen BCA mengacu pada Surat Edaran Bank Indonesia No.5/22/DPNP
Tentang Pedoman Standar Sistem Pengendalian Interen bagi Bank Umum tertanggal 29 September
2003 yang mencakup 5 (lima) komponen antara lain
1. Pengawasan oleh manajemen dan kultur pengendalian.
2. Identifikasi dan penilaian risiko.
3. Kegiatan pengendalian dan pemisahan fungsi.
4. Sistem akuntansi, informasi, dan komunikasi.
5. Kegiatan pemantauan dan tindakan koreksi penyimpangan.
Kelima komponen tersebut sejalan dengan Internal Control-Integrated Framework yang
dikembangkan oleh The Committee of Sponsoring Organization of the Treadway Commission
(COSO).
Dartar Pustaka: Rina S., 2015. file:///C:/Users/Rina/Downloads/sistem-pengendalian-internal-2015.pdf (08
April 2018, Jam: 20:30)
Contoh Penerapan ERM pada PT Asrindo.
PENERAPAN ERM DALAM USAHA PENJAMINAN
PT Askrindo sejak pertengahan tahun 2010 telah memiliki elemen implementasi ERM yang relatif
lengkap dan jajaran manajemen termasuk BOD telah memberikan komitmen atas penerapan ERM di
perusahaan. Disamping itu, PT Askrindo juga telah memiliki Risk Contact Person atau Risk Champion
di seluruh unit kerja baik di kantor Pusat maupun Kantor Cabang untuk mendukung implementasi
ERM dengan bantuan sistem informasi manajemen risiko berbasis Web. Penerapan ERM di PT
Askrindo yang bergerak pada usaha penjaminan merupakan perusahaan pioner yang menerapkan
ERM dalam usaha penjaminan di Indonesia dan dapat dikatakan baru satu-satunya ERM
berkarakteristik usaha penjaminan di Indonesia.
Konsep manajemen risiko dirancang untuk mengidentifikasikan peristiwa-peristiwa (events) yang
berpengaruh negatif bagi perusahaan dan mengelola risiko agar selalu berada di dalam batas
toleransi manajemen risiko.
Dengan demikian manajemen selalu memiliki keyakinan yang memadai bahwa sasaran perusahaan
akan dapat dicapai tanpa halangan dan ancaman yang signifikan.
Dartar Pustaka: Mulyuno, 2010. http://mulyono-oke.blogspot.co.id/2010/06/penerapan-enterprise-risk-
management.html (Minggu, Jam: 21:00)
===oo0oo===

25. 24
Konsep dasar Keamanan Informasi dan Pemahaman Serangannya:
Keamanan informasi dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan integritas di
dalam sumber daya informasi perusahaan. Manajemen keamanan informasi terdiri dari:
1. Perlindungan Sehari-hari disebut Manajemen Keamanan Informasi
2. Persiapan untuk menghadapi operasi setelah bencana disebut Manajemen Kesinambungan
Bisnis.
Ancaman keamanan informasi adalah seseorang, organisasi, mekanisme, atau peristiwa yang dapat
berpotensi menimbulkan kejahatan pada sumber daya informasi perusahaan . Ancaman dapat
berupa internal atau external, disengaja atau tidak disengaja. Ancaman yang paling terkenal adalah
VIRUS. Untuk menghindari ancaman atau serangan perlu diterapkan Manajemen Resiko yang di
dasarkan pada Laporan Analisa Resiko untuk memperkuat Kebijakan Keamanan Informasi dalam
melaksanakan Pengendalian.
Dartar Pustaka: Modul 6, hapzi.ali@mercubuana.ac.id, Information Technology & Management Information
System (15 April 2018, jam 05:30)
Tipe-Tipe pengendalian:
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari
resiko atau meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi.
Pengendalian dibagi menjadi tiga kategori:
1. Pengendalian Teknis: Pengendalian teknis (technical control) adalah pengendalian yang
menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus
penyusunan system.
2. Pengendalian Formal: Pengendalian formal mencakup penentuan cara berperilaku,
dokumentasi prosedur, danpraktik yang diharapkan , dan pengawasan serta pencegahan
perilaku yang berbeda dari panduan yang berlaku.
3. Pengendalian Informal: Pengendalian informal mencakup program-program pelatihan dan
edukasi serta program pembangunan manajemen
Dartar Pustaka: Devi194, 2015, http://demamfiksi.blogspot.co.id/2015/09/pengendalian-keamanan-
informasi.html (15 April 2018, jam 06:30)
Prinsip-prinsip The Five Trust Service untuk keandalan system:
Untuk mengatasi permasalahanpengendalian tersebut, American Institute of Certified Public
Accountants (AICPA) dan Canadian Institute of Chartered Accountants (CICA) mengembangkan
Trust Service Framework untuk menyediakan panduan penilaian keandalan sistem informasi. Trust
Service Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara
bersamaan terhadap keandalan sistem:
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan data di
dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive (seperti rencana
pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan
kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan kepatuhan terhadap

26. 25
kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan tanpa
ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat, lengkap, tepat
waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi kewajiban
operasional dan kontraktual.
Keamanan informasi merupakan landasan keandalan sistem dan diperlukan untuk mencapai masing-
masing dari empat prinsip lainnya. Prosedur keamanan informasi membatasi akses ke sistem hanya
untuk pengguna yang terotorisasi, sehingga melindungi kerahasiaan data keorganisasian yang
sensitif dan privasi atas informasi pribadi yang dikumpulkan dari pelanggan. Selain itu, prosedur
keamanan melindungi integritas informasi dengan mencegah terjadinya transaksi tanpa ijin atau fiktif
serta memberikan perlindungan terhadap berbagai serangan termasuk virus.
Dartar Pustaka: Ayu Juniantari, 2017, http://yuriaiuary.blogspot.co.id/2017/05/sistem-informasi-dan-
pengendalian.html (15 April 2018, jam 08:00)

27. 26
Keamanan Sistem Informasi pada PT. Pertamina, Tbk. EP Region Jawa:
Berikut pengendalian keamanan system informasi pada perusahaan PT. Pertamina, Tbk. EP Region
Jawa :
1. Kebijakan pengamanan (security police) mengarahkan visi dan misi manajemen agar
kelangsungan organisasi dapat dipertahankan dengan mengamankan dan menjaga integritas
informasi yang penting yang dimiliki perusahaan.
2. Pengendalian akses sistem (System Akses Control). Mengendalikan atau membatasi akses
user terhadap informasi informasi dengan cara mengatur kewenangan nya, termasuk
pengendalian secara mobile omputing ataupun telenetworking . Mengontrol tata cara akses
terhadap informasi dan sumber daya yang ada meliputi berbagai aspek seperti :
 Persyaratan bisnis untuk kendali akses.
 Pengelolaan akses user (User Access Management).
 Kesadaran keamanan informasi (User Responsibilities).
 Kendali akses ke jaringan (Network Access Control).
 Kendali Access terhadapp system operasi (Operating System Access Control).
 Akses terhadap aplikasi (Application Access Management).
 Pengawasan dan penggunaan akses system (Monitoring System Access dan Use).
 Mobile computing and Telenetworking.
Dartar Pustaka: Ika Nadya, 2018,
https://www.academia.edu/23350002/KEAMANAN_SISTEM_INFORMASI_PADA_PERUSAHAAN_PERTAMINA
_EP_REGION_JAWA (15 April 2018, jam 16:00)
Serangan Keamanan Sistim Informasi PT Bank Mandiri Tbk. (Bank Mandiri)
Sistem informasi dan teknologi (IT) Bank Mandiri dikabarkan terserang malware
ransomware WannaCry pada Senin pagi (15/5) sehingga menyebabkan sistem informasi di beberapa
cabangnya lumpuh. Menanggapi hal itu, Bank Mandiri menyatakan informasi tersebut tidak benar.
Meski begitu, Bank Mandiri tetap melakukan tindakan demi mengantisipasi
adanya ransomware WannaCry.
Pertama, team command center dan security Bank Mandiri terus monitor. Bank Mandiri juga
menggunakan beberapa consultant security untuk membantu memantau
gerakan malware dan attacker di tools monitor.”
Kedua, Mandiri pun mengirimkan pesan ke para pegawai terkait antisipasi agar lebih berhati-hati.
Ketiga, Bank Mandiri juga membuat posko untuk mengkoordinasi semua tindakan anticipating dan
jika ada laporan atau insiden."
Semua sistem di kantor Bank Mandiri baik cabang maupun regional berjalan normal. Namun
demikian perusahaan mengimbau agar para pegawainya tidak panik dan terus melakukan back
up data-data penting yang ada di komputer.
Dartar Pustaka: Rep: Iit Septyaningsih/ Red: Nur Aini, 2017,
http://www.republika.co.id/berita/ekonomi/korporasi/17/05/15/opzcj7382-bank-mandiri-klarifikasi-
kabar-serangan-ransomware (15 April 2018, jam 16:30)

28. 27
Sistem Keamanan E-Banking pada PT. Bank BCA, Tbk. Sesuai prinsip-prinsip The
Five Trust Service untuk keandalan system:
1. Confidentiality
Aspek confidentiality memberi jaminan bahwa data-data tidak dapat disadap oleh pihak-pihak yang
tidak berwenang. Serangan terhadap aspek ini adalah penyadapan nama account dan PIN dari
pengguna Internet Banking. Penyadapan dapat dilakukan pada sisi terminal (komputer) yang
digunakan oleh nasabah atau pada Jaringan (network menghindari adanya fraud yang dilakukan dari
dalam (internal).
2. Integrity
Aspek integrity menjamin integritas data, dimana data tidak boleh berubah atau diubah oleh pihak-
pihak yang tidak berwenang. Salah satu cara untuk memproteksi hal ini adalah dengan menggunakan
checksum, signature, atau certificate. Mekanisme signature akan dapat mendeteksi adanya
perubahan terhadap data. Selain pendeteksian (dengan menggunakan checksum, misalnya)
pengamanan lain yang dapat dilakukan adalah dengan menggunakan mekanisme logging
(pencatatan) yang ekstensif sehingga jika terjadi masalah dapat dilakukan proses mundur (rollback).
3. Authentication
Authentication digunakan untuk meyakinkan orang yang mengakses servis dan juga server (web)
yang memberikan servis. Mekanisme yang umum digunakan untuk melakukan authentication di sisi
pengguna biasanya terkait dengan:
• Sesuatu yang dimiliki (misalnya kartu ATM, chipcard)
• Sesuatu yang diketahui (misalnya userid, password, PIN, TIN)
• Sesuatu yang menjadi bagian dari kita (misalnya sidik jari, iris mata)
Penyadapan di sisi jaringan dapat dilakukan dengan memasang program sniffer yang dapat
menyadap data-data yang dikirimkan melalui jaringan Internet. Pengamanan di sisi network dilakukan
dengan menggunakan enkripsi. Teknologi yang umum digunakan adalah Secure Socket Layer (SSL)
dengan panjang kunci 128 bit
Sementara itu mekanisme untuk menunjukkan keaslian server (situs) adalah dengan digital
certificate. Sering kali hal ini terlupakan dan sudah terjadi kasus di Indonesia dengan situs palsu
“kilkbca.com”. Situs palsu akan memiliki sertifikat yang berbeda dengan situs Internet Banking yang
asli.
4. Non-repudiation
Aspek nonrepudiation menjamin bahwa jika nasabah melakukan transaksi maka dia tidak dapat
menolak telah melakukan transaksi. Hal ini dilakukan dengan menggunakan digital signature yang
diberikan oleh kripto kunci publik (public key cryptosystem). Mekanisme konfirmasi (misal melalui
telepon) juga merupakan salah satu cara untuk mengurangi kasus. Penggunaan logging yang
ekstensif juga dapat mendeteksi adanya masalah. Seringkali logging tidak dilakukan secara ekstensif
sehingga menyulitkan pelacakan jika terjadi masalah. (Akses dari nomor IP berapa? Terminal yang
mana? Jam berapa? Apa saja yang dilakukan?)

29. 28
5. Availability
Aspek availability difokuskan kepada ketersediaan layanan. Jika sebuah bank menggelar layanan
Internet Banking dan kemudian tidak dapat menyediakan layanan tersebut ketika dibutuhkan oleh
nasabah, maka nasabah akan mempertanyakan keandalannya dan meninggalkan layanan tersebut.
Bahkan dapat dimungkinkan nasabah akan pindah ke bank yang dapat memberikan layanan lebih
baik. Serangan terhadap availability dikenal dengan istilah Denial of Service (DoS) attack. Sayangnya
serangan seperti ini mudah dilakukan di Internet dikarenakan teknologi yang ada saat ini masih
menggunakan IP (Internet Protocol) versi 4. Mekanisme pengamanan untuk menjaga ketersediaan
layanan antara lain menggunakan backup sites, DoS filter, Intrusion Detection System (IDS), network
monitoring, DisasterRecovery Plan (DRP), Business Process Resumption. Istilah-istilah ini memang
sering membingungkan (dan menakutkan). Mereka adalah teknik dan mekanisme untuk
meningkatkan keandalan.
Dartar Pustaka: Yuda, 2017, http://manajemen4b1.blogspot.co.id/2017/05/ancaman-dan-keamanan-sistem-
informasi.html (15 April 2018, jam 17:00)
===oo0oo===