SISTEM INFORMASI DAN PENGENDALIAN INTERNAL




Pengendalian Sistem Informasi
            Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap tahapan daam proses pengelolaan informasi. Pengendalian sistem informasi adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti memindahkan sebagaian dari sistem informasinya ke cloud. Untuk mengatasi permasalahanpengendalian  tersebut, AICPA dan CICA mengembangkan Trust Service Framework untuk menyediakan panduan penilaian keandalan sistem informasi. Trust Service Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem:
1.      Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2.      Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive (seperti rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3.      Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan tanpa ijin.
4.      Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat, lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.
5.      Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan kontraktual.
Keamanan informasi merupakan landasan keandalan sistem dan diperlukan untuk mencapai masing-masing dari empat prinsip lainnya.Prosedur keamanan informasi membatasi akses ke sistem hanya untuk pengguna yang terotorisasi, sehingga melindungi kerahasiaan data keorganisasian yang sensitif dan privasi atas informasi pribadi yang dikumpulkan dari pelanggan.Selain itu, prosedur keamanan melindungi integritas informasi dengan mencegah terjadinya transaksi tanpa ijin atau fiktif serta memberikan perlindungan terhadap berbagai serangan termasuk virus dan worm.
Pengendalian Preventif, Detektif dan Korektif
1.      Pengendalian Preventif.
Yaitu pengendalian yang mencegah masalah sebelum timbul.Pengendalian preventif yang digunakan organisasi secara umum digunakan untuk membatasi akses terhadap sumber daya informasi.COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya untuk keamanan informasi yang eefektif.Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang kritis.Seluruh pegawai harus diajarkan tentang pentingnya ukuran-ukuran keamananbagi kebertahanan jangka panjang organisasi.Selain itu, pegawai juga dilatih untuk mengikuti praktik-praktik komputasi yang aman. Investasi organisasi dalam pelatihan keamanan akan menjadi efektif  hanya jika manajemen mendemontrasikan dengan jelas bahwa mereka mendukung para pegawai yang mengikuti kebijakan keamanan.
Penting memahami bahwa “orang luar” bukan satu-satunya sumber ancaman. Oleh karena itu, organisasi menerapkan satu set pengendalian untuk melindungi aset informasi. Praktik manajemen COBIT 5 DSS05.04 menetapkan dua pengendalian atas ancaman terhadap aset informasi:
a.       Pengendalian autentifikasi, memverifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Pengendalian ini membatasi siapa saja yang dapat mengakses sistem informasi organisasi.
b.      Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
Untuk mendukung pelaksanaaan kedua pengendalian tersebut, maka solusi di bidang teknologi informasi sendiri pun diperlukan. Terdapat beberapa  solusi teknologi informasi yang dapat digunakan:
a.       Pengendalian antimalware. Malware dapat menghancurkan informasi atau memperoleh akses tanpa ijin. Oleh karena itu, salah satu dari bagian COBIT 5 DSS05.01 mendaftarkan perlindungan malware sebagi salah satu dari kunci keamanan yang efektif.
b.      Pengendalian akses jaringan. Banyak organisasi menyediakan akses nirkabel terhadaap sistem mereka. Praktik manajemen COBIT 5 DSS05.02 menunjukkan keamanan jaringan organisasi dan seluruh upaya untuk tersambung ke dalamnya.
c.       Pengendalian pengukuhan peralatan dan perangkat lunak. Firewall didesain untuk melindungi parimeter jaringan, namun diperlukan tambahan pengendalian preventif pada stasiun kerja, server, printer, dan perangkat lainnya (secara kolektif disebut endpoint) yang meliputi jaringan organisasi. Praktik manajemen COBIT 5 DSS05.03 menjelakan aktivitas yang terlibat dalam mengelola keamanan endpoint.
d.      Enkripsi. Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa ijin terhadap informasi sensitif.
Organisasi secara konstan memodifikasi sistem informasi untuk menunjukkan praktik-praktik bisnis baru. Pengendalian perubahan dan manajemen perubahan merupakan proses formal yang digunakan untuk memastikan bahwa modifikasi pada perangkas kera, perangkat lunak, atau pada proses tidak mengurangi keandalan sistem.
2.      Pengendalian Detektif.
Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak terelakan.Sebagaian besar sistem muncul dengan kemampuan ekstensif untuk mencatat (logging) siapa yang mengakses sistem. Sejumlah log yang dibuat menciptakan sebuah jejak audit pada akses sistem. Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Sedangkan, sistem deteksi gangguan (intrusion detection system) merupakan sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan.
Organisasi perlu untuk secara periodik menguji efektivitas proses bisnis dan pengendalian internal. Sebuah uji penetrasi adalah sebuah upaya terotorisasi untuk menerobos ke dalam sistem informasi organisasi. Oleh karena itu, Praktik manajemen COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai terhadap kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses bisnis.

3.      Pengendalian Korektif.
Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang dihasilkan. Terdapat tiga pengendalian korektif yang penting:
a.       Pembentukan sebuah tim perespon insiden komputer (computer incident response team – CIRT). Merupakan sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan utama. Sebuah CIRT harus mengarahkan proses respon insiden organisasi melalui empat tahap: 1). Pemberitahuan(recognition) adanya sebuah masalah; 2). Penahanan (containment) masalah; 3). Pemulihan (recovery); dan 4). Tindak lanjut (foloow up). 
b.      Pendesainan individu khusus (Chief Informastion Security Officer – CISO). Penting agar organisasi menentukan pertanggungjawaban atas keamanan informasi kepada seseorang di level manajemen senior yang tepat. satu cara untuk memenuhi sasaran adalah menciptakan posisi CISO, yang harus independen dari fungsi-fungsi sistem informasi lainnya serta harus melapor baik ke chief operating officer (COO) maupun chief executive officer (CEO). Oleh karena itu, CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara periodik.
c.       Penetapan serta penerapan sistem manajemen path yang didesain dengan baik. Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan patch dan memperbarui  seluruh perangkat lunak yang digunakan  oleh organisasi. Oleh karena sejumlah patch merepresentasikan modifikasi perangkat lunak yang sungguh rumit, maka organisasi perlu menguji dengan cermat efek dari patch sebelum menyebarkannya.






Pengendalian Umum dan Aplikasi.
1.      Pengendalian Umum.
Yaitu pengendalian yang didesain untuk memastikan sistem informasi organisasi serta pengendalian lingkungan stabil dan dikelola dengan baik.Pengendalian umum digolongkan menjadi beberapa, diantaranya:
a.       Pengendalian organisasi dan otorisasi adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.
b.      Pengendalian operasi. Operasi sistem informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.
c.       Pengendalian perubahan. Perubahan-perubahan yang dilakukan terhadap sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi, serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.
d.      Pengendalian akses fisikal dan logikal.Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).
2.      Pengendalian Aplikasi
Yaitu pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi. Terdapat beberapa macam aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan:
a.       Perangkat lunak berdiri sendiri. Terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan.
b.      Perangkat lunak di server. Tedapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai sistem client-server Client hanya dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server.
Selain macam-macam aplikasi dalam pengendalian, terdapat juga bentuk pengendalian dari aplikasi tersebut, diantaranya:
a.        Pengendalian Organisasi dan Akses Aplikasi. Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut. Untuk pengendalian akses, terpusat hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya.
b.      Pengendalian Input. Pengendalian input memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
c.       Pengendalian Proses. Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas master.
d.      Pengendalian Output. Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata.
e.       Pengendalian Berkas Master. Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan diketemukan anomali-anomali, seperti:
-       Anomaly penambahan
-       Anomaly penghapusan
-       Anomaly pemuktahiran/pembaruan


Kerahasiaan dan Privasi
1.      Kerahasiaan
Aspek ini berhubungan dengan kerahasiaan data-data penting yang tersimpan pada sistem organisasi yang tidak boleh diakses atau digunakan oleh orang-orang yang tidak berhak. Aspek ini dapat tidak terpenuhi jika ada pengguna (internal)  yang memiliki izin tetapi menyalah gunakan izin tersebut lalu pengguna tersebut menyebar luaskan data-data organisasi yang bersifat rahasia tersebut kepada orang lain atau pesaing  yang membuat organisasi merasa dirugikan atau juga pengguna tersebut menggunakan secara pribadi rahasia tersebut untuk menyaingi perusahaan. Terdapat empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi  sensitif:
a.       Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi. Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis sensitive lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya. Setelah informasi yang perlu untuk dilindungi telah diidentifikasi, langkah selanjutnya adalah mengklasifikasikan informasi untuk organisasi berdasarkan nilainya. Praktik manajemen COBIT 5 menunjukkan bahwa klasifikasi merupakan tanggung jawab pemilik informasi, bukan professional keamanan informasi karena hanya pemilik informasilah yang memahami bagaimana informasi digunakan.
b.      Mengenkripsi informasi. Enkripsi adalah alat yang penting dan efektif untuk melindungi kerahasiaan.  Enkripsi adalah satu-satunya cara untuk melindungi informasi dalam lalu lintas internet dan cloud publik.
c.       Mengendalikan akses atas informasi. Pengendalian autentikasi dan otorisasi tidaklah cukup untuk melindungi kerahasiaan karena hanya mengendalikan akses awal terhadap informasi yang disimpan secara digital. Perangkat lunak information rights management (IRM) memberikan tambahan lapisan perlindungan terhadap informasi yang disimpan dengan format digital, menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file tetapi juga memerinci tindakan-tindakan yang dapat dilakukan individuyang diberi akses terhadap sumber daya tersebut.
Saat ini organisasi secara konstan mempertukarkan informasi dengan rekan bisnis dan pelanggan, perangkat lunak data loss prevention bekerja seperti antivirus secara terbalik mengeblok pesan-pesan keluar yang mengandung kata-kata atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi.
d.      Melatih para pegawai untuk menangani informasi secara tepat. Pelatihan adalah pengendalian yang penting untuk melindungi kerahasiaan. Para pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dan jenis informasi yang dilindungi.  Dengan pelatihan yang memadai, para pegawai dapat memainkan peran penting untuk melindungi kerahasiaan informasi organisasi dan meningkatkan efektivitas pengendalian terkait.
2.      Privasi
Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip kerahasiaan, perbedaan utamanya, yaitu lebih berfokus pada perlindungan informasi  pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis dari pada data keorganisasian. Langkah pertama untuk melindungi privasi yaitu mengidentifikasi jenis informasi yang dimiliki organisasi, letak ia simpan, dan orang yang memiliki akses terhadapnya. Demi melindungi privasi, organisasi harus menjalankan program data masking yaitu program yang menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu sebelum mengirimkan data tersebut kepada pengembang program dan sistem pengujian. Terdapat dua permasalahan utama terkait privasi:
a.       Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten serangan. Spam merupakan permasalahan yang terkait privasi karena penerima sering kali menjadi target tujuan atas akses tak terotorisasi terhadap daftar dan databasee-mail yang berisi informasi pribadi.
b.      Pencuri identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku. Organisasi harus memiliki kewajiban etis dan moral untuk menerapkan pengendalian demi melindungi informasi pribadi yang organisasi kumpulkan.
Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi individu telah menghasilkan berbagai regulasi pemerintah. Untuk membantu organisasi agar hemat biaya dalam mematuhi banyaknya persyaratan ini, American Institute of Certified Public Accountant (AICPA) dan Canadian Institute of Chartered Accountants (CICA) bersama-sama  mengembangkan sebuah kerangka yang disebut prinsip-prinsip yang diterima umum (Generally Accepted Privacy  Principles – GAAP). Kerangka tersebut mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik untuk melindungi privasi informasi pribadi para pelanggan yang terdiri dari: 1). Manajemen; 2). Pemberitahuan; 3). Pilihan dan persetujuan; 4). Pengumpulan; 5). Penggunaan dan Retensi; 6). Akses; 7). Pengungkapan kepada pihak ketiga;  8). Keamanan; 9). Kualitas; 10). Pengawasan dan penegakan.

Integritas dan Ketersediaan Pemrosesan
1.      Integritas Pemrosesan
Prinsip Integritas Pemrosesan dari Trust Service Framework menyatakan bahwa sebuah sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi akurat, lengkap, tepat waktu, dan valid.Aplikasi pengendalian untuk integritas pemrosesan terdiri atas:
a.       Pengendalian Input. Jika data yang dimasukkan ke dalam sistem tidak akurat, tidak lengkap, atau tidak valid maka bentuk pengendalian input yang dilakukan adalah bentuk desain, pembatalan dan penyimpanan dokumen, otorisasi dan pemisahan tugas pengendalian, pemindaian visual, dan pengendalian entri data.
b.      Pengendalian pemrosesan. Jika terjadi kesalahan dalam output dan data yang tersimpan dalam pemrosesan maka bentuk pengendalian yang dilakukan adalah pencocokan data, label file, total batch, pengujian saldo cross-footing dan saldo nol, mekanisme menulis perlindungan (write-protection), pemrosesan database, dan pengendalian integritas.
c.       Pengendalian Output. Jika terjadi penggunaan laporan yang tidak akurat atau tidak lengkap, pengungkapan yang tidak diotorisasi informasi sensitive, dan kehilangan, perubahan, atau pengungkapan informasi dalam transit maka bentuk pengendalian yang dilakukan adalah pemeriksaan dan rekonsiliasi, enkripsi dan pengendalian akses, pengecekan berimbang dan tenik pengakuan pesan.
2.      Ketersediaan Pemrosesan
Proses pengendalian menunjukkan DSS01 dan DSS04 COBIT 5 menunjukkan pentingnya memastikan bahwa sistem dan informasi tersedia setiap saat dibutuhkan oleh pengguna. Tujuan utamanya adalah untuk meminimalkan risiko penghentian sistem.Oleh karena itu, organisasi perlu memiliki pengendalian yang didesain untuk memungkinkan pelanjutan cepat dari operasi normal. Berdasarkan kedua tujuan tersebut maka bentuk pengendaliannya:
a.       Tujuan meminimalkan risiko penghentian sistem dapat dilakukan melalui pengendalian pemeliharaan preventif, toleransi kesalahan, lokasi dan desain pusat data, pelatihan, dan manajemen patch dan perangkat lunak antivirus.
b.      Tujuan pemulihan yang cepat dan lengkap serta pelanjutan operasi normal dapat dilakukan melalui pengendalian prosedur backup, disaster recovery plan, dan business continuity plan.

Authorization/accses control
Pengendalian akses (access control) menjadi pertimbangan pertama saat seorang profesional Sistem Keamanan Informasi akan membuat program keamanan informasi. Keistimewaan dan variasi mekanisme access control baik secara fisik, teknik dan administrasi akan membangun arsitektur keamanan informasi yang praktis untuk melindungi informasi penting dan sensitif yang menjadi aset organisasi. Pengendalian akses dilakukan melalui tiga tahap yang mencakup:
a.       Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.
b.      Otentikasi pengguna. Para pengguna hak akses dengan cara memberikan sesuatu yang mereka miliki seperti smart card atau tanda tertentu atau chip identifikasi. Autentifikasi  pengguna dapat juga dilaksanakan dengan cara memberikan sesuatu yang menjadi identitas diri seperti tanda tangan atau suara.
c.       Otorisasi pengguna. Setelah identifikasi dan autentifikasi dilalui, seseorang kemudian mendapatkan otorisasi untuk memasuki tingkat atau derajat pengguna tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan file tersebut.
Identifikasi dan autentifikasi memanfaatkan profil pengguna (user profile) atau deskripsi pengguna yang terotorisasi. Sedangkan Otorisasi memanfaatkan file pengendaliaan akses (access control file) yang menentukan tingkat akses tersedia bagi pengguna. Setelah pengguna memenuhi syarat tiga fungsi pengendalian akses, mereka dapat menggunakan sumber daya informasi.



















Kasus
McKraklin AEROSPACE
            McKraklin adalah sebuah perusahaan kedirgantaraan besar yang terletak di selatan California.Perusahaan ini memproduksi sistem elektronik dan sistem satelit untuk militer dan komersil.Perusahaan, yang memiliki lebih dari 65.000 karyawan di enam belas lokasi di seluruh wilayah, diatur menjadi dua belas divisi utama.Salah satunya adalah Divisi Produk Komersil.Divisi Produk Komersil ini terletak di Sepulveda, California.Mereka memproduksi produk elektronik dan radar untuk penggunaan komersial.Divisi ini memiliki sekitar 2.500 karyawan.Pendapatan tahun lalu yang $ 781.000.000.Sekitar sepertiga dari pendapatan ini berasal dari ekspor luar negeri.
Rencana Pembangunan yang Strategis     
            Dave Costner ingat proses yang divisi eksekutif telah jalani untuk mengembangkan rencana pembangunan sistem informasi yang strategis. Dia juga ingat betapa puas semua orang dengan hasilnya.Manajer divisi telah membentuk sebuah komite yang terdiri dari dirinya sendiri dan setiap direktur departemen.Tujuan komite ini adalah untuk pengembangan dan modifikasi sistem informasi dengan tujuan strategis Divisi Produk Komersial.Tujuan strategis divisi telah dikembangkan setahun sebelum formasi komite ini dibentuk.Tujuan strategis tersebut adalah sesuai dengan tujuan perusahaan McKraklin Aerospace.Masing-masing tujuan strategis divisi itu telah dinyatakan secara kuantitatif - sebagai tujuan terukur. Sebagai contoh, tiga tujuan strategis divisi terukur ini adalah:
  • Meningkatkan penjualan domestik sebesar 12%
  • Meningkatkan pelayanan ekspor sebesar 10%
  • Mengurangi biaya variabel sebesar 8%.
            Komite ini kemudian telah meninjau deskripsi Dave Costner tentang sistem informasi yang membutuhkan pengganti atau modifikasi besar.Dave telah memasukkan dalam daftar deskripsinya tentang sistem SI yang saat ini tidak dalam persediaan divisi, tetapi yang dapat diimpor dari luar.Komite ini kemudian memperkirakan bagaimana setiap potensi SI proyek pembangunan terukur dapat memberikan kontribusi untuk tujuan strategis divisi.
Sistem Penggajian Saat ini
Sistem penggajian saat ini telah beroperasi selama tujuh tahun tanpa perubahan besar. Sebuah lingkungan mainframe terpusat menggunakan file aplikasi yang berbeda milik departemen yang berbeda untuk menandainya. Dave Costner memeriksa dokumentasi manual sistem penggajian ini, yang tampaknya tidak diperbarui untuk beberapa waktu. Dave bertanya-tanya berapa banyak perubahan sistem yang tidak berdokumen telah dibuat sejak update manual terakhir. Ia belajar file penggajian utama. Dia kemudian membalik-balik halaman manual sampai ia menemukan sebuah flowchart sistem yang menggambarkan aliran proses sistem penggajian. Dave melihat bahwa tidak ada deskripsi narasi yang menyertai alirannya.Ini merupakan masalah.Dave ingin memverifikasi kebenaran aliran ini dan mendokumentasikan dengan supervisor penggajian.Tetapi flowchart sistem sulit bagi orang-orang non-teknis untuk memahaminya. Dia memutuskan untuk mengembangkan sebuah deskripsi naratif aliran proses yang ia kemudian bisa dikonversi ke data flow diagram (DFD).
Dave Costner pertama kali mengembangkan deskripsi narasi pengolahan sistem penggajian sebagai berikut:
  1. SI departemen mencetakan time sheet mingguan yang sudah diberi nomor dari Payroll Master File (karyawan aktif saja).
  2. Time sheet ini dikirim ke Payroll Supervisor.
  3. Payroll supervisor meninjau time sheet untuk kelengkapan, dan kemudian mengirimkannya ke berbagai departemen.
  4.  Karyawan mengisi time sheet masing-masing pada akir shift mereka sehari-hari.
  5. Departemen pengawas memasukkan liburan yang berlaku atau jam cuti sakit pada time sheet setiap karyawan.
  6. Departemen pengawas kemudian meninjau dan menandatangani setiap time sheet setiap akhir pekan dan mengirim time sheet yang sudah selesai ke bagian penggajian.
  7. Seorang pegawai penggajian mengurutkan time sheet sesuai dengan nomor. Jika ada nomor yang hilang dalam urutan nomor time sheet, petugas penggajian memberitahukan supervisor penggajian yang menrekonsilasi perbedaan dengan atasan yang bertugas.
  8. Petugas penggajian mengupdate master payroll file untuk setiap hari liburan yang tercatat pada setiap time sheet. Jika jumlah hari yang ditampilkan pada lembar waktu melebihi jumlah hari liburan akumulasi, petugas menulis bahwa fakta pada time sheet dan menetapkan sheet disisihkan untuk supervisor penggajian.
  9. Petugas penggajian kemudian memasuki sisa data time sheet untuk berkas transaksi penggajian dan file penggajian kumulatif secara terpisah.
  10. Time sheet kemudian dikirim ke petugas penggajian lain yang memverifikasi keakuratan entri petugas pertama. Jika ada kesalahan yang terdeteksi, time sheet dikirim ke supervisor penggajian untuk di rekonsiliasi.
  11. Pada inisiasi pengawas penggajian, departemen SI menjalankan program penggajian untuk menghasilkan:
    1. Gaji dengan membayar bertopik
    2. Pemberitahuan dari deposit langsung
    3. Slip deposit untuk deposito langsung
  12. Output ini dikirim ke supervisor penggajian yang:
    1. Menggunakan mesin check-penandatanganan untuk membubuhkan tanda tangan untuk setiap gaji.
    2. Amplop gaji, bayar bertopik, dan pemberitahuan dari deposit langsung dan mengirimkan amplop ke departemen yang sesuai untuk di distribusikan.
    3. Memberi amplop slip deposit langsung dan mengirimkannya ke bank yang sesuai.

Masalah Sistem Penggajian
            Dave Costner kemudian membaca keluhan karyawan tentang sistem penggajian yang Mark Segford sudah melekat pada memorandum.Selain itu, Dave memeriksa manual dokumentasi secara seksama untuk menemukan fitur sistem penggajian yang tampaknya tidak efisien atau yang perlu memperbarui. Dia menyusun daftar masalah sistem penggajian potensial berikut sebagai berikut:
  1. Terdapat duplikat data entri - bidang data yang dimasukkan lebih dari sekali untuk file yang berbeda atau bentuk yang berbeda. Sebagai contoh, data time sheet dimasukkan secara terpisah untuk kedua file transaksi penggajian dan file penggajian kumulatif.
  2. Dokumen internal harus ditransfer antara beberapa lokasi. Sebagai contoh, time sheet dimulai pada departemen SI, dikirim ke bagian penggajian, kemudian dikirim ke berbagai departemen, yang kemudian mengirim time sheet kembali ke bagian penggajian. Gerakan ini menambah waktu proses secara keseluruhan. Selain itu, ini meningkatkan ancaman kesalahan, kehilangan data dan penipuan.
  3. File sistem penggajian independen bukannya dikonsolidasikan ke dalam database yang terintegrasi. Hal ini menciptakan ancaman bidang yang sama yang diperbarui dengan nilai yang berbeda dalam file yang berbeda. Ada juga kemungkinan bidang yang sama digandakan dalam file yang berbeda.
  4. Sistem penggajian diarahkan kepada karyawan tetap. Chief executive officer (CEO) dari McKracklin baru-baru ini mengirim memorandum kepada divisi untuk menjelaskan bahwa rencana jangka panjang perusahaan disebut untuk mengubah rasio permanen untuk kontrak karyawan dari 8: 2 menjadi 6: 4. Sistem penggajian harus diubah untuk lebih mencerminkan perubahan strategis ini.
  5. Sistem penggajian saat ini menggunakan perhitungan tradisional di mana lembur didefinisikan sebagai setiap jam kerja per minggu sampai 40 jam. undang-undang terbaru telah didefinisikan lembur dengan cara berikut:
    1. Setiap jam kerja lebih dari delapan jam per hari akan dikenakan lembur, bahkan jika karyawan tidak melebihi 40 jam kerja seminggu itu.
    2. Setiap jam kerja lebih dari 12 jam per hari atau 55 jam per minggu akan memenuhi syarat untuk dua kali lipat tingkat upah normal.
  6. Divisi Produk Komersial melakukan cukup banyak pekerjaan proyek. Personil dari departemen yang berbeda ditugaskan sebagai manajer proyek selama proyek. Proyek-proyek ini sering ditagih kepada klien. Dengan demikian, ada kebutuhan untuk melacak semua biaya dengan rinci, termasuk jam personil. Sistem penggajian saat ini dilaksanakan sebelum orientasi proyek ini dimulai.

Opsi Dave Costner
            Dave Costner memikirkan pilihannya mengenai sistem penggajian. Dia mengidentifikasi beberapa "strategi" pilihan sebagai berikut:
  1. Menginformasikan manajer divisninya, Paul Cronkey, bahwa memorandum yang ia buat bertentangan dengan desain rencana pengembangan strategi SI. Dia mungkin mancari dukungan dari manajer departemen lain untuk mendukung posisinya.
  2. Meminta reformasi dari komite perencanaan strategi SI dengan tujuan untuk meminta merevisi rencana.
  3. Mengabaikan pekerjaan dari proyek dengan prioritas lebih tinggi lalu menempatkan satu dari analisis seniornya untuk proyek sistem penggaijian
Dave memutuskan untuk membuat daftar mengenai taktik alternative, baik yang akan dia pilih maupun yang terpaksa untuk dipilih, mengenai opsi proyek  penggajian. Dia memutuskan alternative sebagai berikut:
  1. Mencari paket program yang mudah untuk di modifikasi yang bisa digunakan untuk proses penggajian.
  2. Memperbaiki sistem yang sekarang agar lebih efisien, tepat waktu, dan konsisten dengan persyaratan operasional.
  3. Mendesain ulang secara keseluruhan sistem penggajian saat ini baik dengan format berdasarkan kertas maupun web
  4. Mencari vendor untuk mendesain ulang sistem penggajian
  5. Outsource layanan penggajian kepada vendor gaji lokal.
Dave memutuskan bahwa ia lebih baik mengadakan pertemuan dengan personil kuncinya untuk setiap departemen supaya mereka membantu dia membuat keputusan yang benar.
Pertanyaan:
  1. Jelaskan pengendalian internal yang ada pada sistem penggajian saat ini. (katagorikan control tersebut dalam Preventive, Detective, atau Corrective)
  2. Jelaskan 2 tambahan pengendalian internal yang bisa diimplementasi untuk setiap kategori preventive, detective, dan corrective
  3. Jelaskan 2 pengendalian internal tambahan detective dan corrective yang bisa di implementasikan jika penggajian di desain ulang sebagai sistem berbasis web.
  4. Siapkan daftar singkat dari keuntungan dan kerugian untuk masing masing strategi dan taktik alternative yang Dave Costner hadapi.
  5. Asumsikan bahwa alternative untuk mendesain ulang dipilih. Desain ulang  lah aliran sistem penggajian saat ini agar lebih efisien dan tepat waktu.



Pembahasan:
1.      Pengendalian internal yang ada dalam sistem penggajian saat ini:
Pengendalian Preventif,  yaitu pengendalian yang mencegah masalah sebelum timbul. Dalam
kasus dapat dilakukan dengan:
-       Pemberian nomor pada time sheet dan mengurutkan time sheet untuk mengidentifikasi time sheet yang hilang.
-       Supervisor penggajian melakukan review dan pemeriksaan atas time sheet untuk setiap departemen .
-       Pemisahan tugas antara yang berwenang atas transaksi untuk proses penggajian (payroll oleh pengawas) dan proses yang sebenarnya (oleh SI Department).
Pengendalian detektif, yaitu pengendalian untuk menemukan masalah yang tidak terelakan.
Dalam kasus dapat dilakukan dengan:
-       Rekonsiliasi time sheet dan melakukan pemeriksaan berulang kali terhadap entri data pada time sheet  oleh petugas penggajian kedua.
-       Pemeriksaan dokumen sebelum di distribusikan oleh supervisor penggajian.
Pengendalian Korektif, yaitu pengendalian masalah dan memulihkan dari kesalahan yang
dihasilkan. Dalam kasus dapat dilakukan dengan:
-       Backupfile dan antivirus.

2.       Pengendalian internal tambahan:
Pengendalian preventif:
-       Mengadopsi sistem file baru  dan formulir control batch.
-       Melakukan enkripsi informasi
Pengendalian detektif:
-       Membuat daftar control pada masing-masing departemen dan merekonsiliasi total dan jumlah item pengolahan.
Pengendalian korektif:
-       Membuat laporan kesenjangan rekonsiliasi dan jalur transaksi untuk pemotongan pembayaran.
-       Pembentukan tim perespon insiden komputer serta manajemen patch yang baik.

3.      Tambahan pengendalian detektif dan korektif untuk sistem penggajian berbasis Web:
Pengendalian Detektif:
-       Penggunaan sistem web untuk menjaga jejak audit dan pemicu database untuk secara otomatis memberikan supervisor penggajian jika terjadi ketidaksesuaian melalui Web untuk penyelidikan.
-       Penggunaan  sistem deteksi gangguan untuk menghasilkan sejumlah log dan menganalisa log sebagai tanda gangguan.
Pengendalian Korektif:
-       Penggunaan Web untuk memperbaiki kesalahan dan memberikan statistik sumber kesalahan untuk supervisor penggajian untuk diperiksa.
-       Mengendalikan akses atas informasi melalui perangkat lunak information rights management (IRM).

4.      Kekurangan dan kelebihan
Opsi Strategis
Kelebihan
Kekurangan
Menginformasikan Paul Conkey bahwa permintaannya bertentangan dengan rencana SI
§  Mematuhi petunjuk rencana SI
§  Langsung dan tidak memakan banyak waktu
§  Menimbulkan permusushan antara departemen SI dan departemen penggajian
§  Mengabaikan kebutuhan dari departemen penggajian
Meminta komite untuk merevisi rencana SI
·         Mengadaptasi rencana SI dengan merubah kebutuhannya
·         Memenuhi kebutuhan sebenarnya dari departemen penggajian
·         Orang mungkin mengira rencana SI tidak terstruktur dengan baik
·         Menimbulkan permusuhan antara departemen SI dengan departemen penggajian
Membuat sroyek sistem penggajian yang baru
·         Menguntungkan separtemen penggajian
·         Menghindari meningkatnya ekspektasi jika rencana SI tidak memenuhi relitanya
·         Mengabaikan proyek yang lebih penting
·         Akan menyebabkan departemen lain untuk meminta proyek lain yang tidak ada dalam rencana SI
Taktik alternative untuk sistem penggajian yang baru
Keuntungan
Kekurangan
Menggunakan paket program yang mudah untuk dimodifikasi
·         Cepat
·         Personil SI dapat mengerjakan proyrk lain
·         Tidak memenuhi kebutuhan penggajian secara keseluruhan
·         Memiliki masalah dengan sistem lainnya
Memperbaiki sistem yang ada sekarang
·         Memberikan kebutuhan bagi penggajian
·         Dapat mempertahankan pengendalian internal dan komponen yang dapat digunakan saat ini
·         Memakan waktu
·         Tidak ada dokumen sebagai petunjuk
Mendesain ulang sistem yang sekarang dengan sistem  berdasarkan  kertas maupun web
·         Sistem berdasarkan web memiliki akses yang mudah
·         Sistem web memberikan satu data dan dokumen untuk setiap orang.
·         Memakan waktu
·         Mungkin tidak dapat dengan cepat memenuhi ketidak puasan departemen penggajian
Mencari vendor untuk mendesainan ulang sistem
·         Tidak mengikat personil SI
·         Memiliki agen yang independen
·         Lebih mahal
·         Vendor memerlukan waktu lama agar terbiasa dengan sistem yang dibutuhkan
Outsource fungsi penggajian
·         Tidak mengikat personil SI
·         Memiliki agen yang independen
·         Lebih mahal
·         Bergantung kepada vendor untuk memenuhi fungsi yang penting

5.      Desain ulang arus sistem penggajian saat ini untuk alternative perbaikan:
a.       Departemen penggajian mengirimkan time sheet  untuk departemen yang berbeda dengan dokumen kontrol batch.
b.      Karyawan di departemen yang berbeda mengisi time sheet lalu departemen pengawas memeriksa, benar, dan menandatangani time sheet  .
c.       Time sheet kemudian ditransmisikan ke departemen penggajian dengan dokumen kontrol batch.
d.      Setiap time sheet yang ditolak oleh sistem akan ditinjau dan direkonsilasi oleh supervisor penggajian, dan dikirimkan kembali ke proses entri data.
e.       Output dari sistem penggajian di departemen SI akan dikirim ke departemen penggajian dengan dokumen kontrol batch.
f.       Supervisor penggajian akan memeriksa dan mendistribusikan cek, memberitahukan deposit langsung, dan membayar kepada personil yang tepat.
g.      Salinan slip setoran langsung dan pembayaran akan didistribusikan ke departemen akuntansi dengan dokumen kontrol batch. Slip setoran tersebut langsung akan dikirimkan ke bank untuk proses transaksi. Departemen akuntansi akan merekonsilasi dokumen kontrol batch dengan cek dan deposito langsung.
Daftar Pustaka
http://blog.pasca.gunadarma.ac.id/2012/07/17/audit-sia-pengendalian-umum-dan-pengendalian-aplikasi/
M.B. Romneyand, and P.J. Steinbart. (2012). Accounting Information Systems 12th edition Prentice Hall.


Komentar

Posting Komentar

Postingan Populer