Summary “Accounting
Information System“ Nancy A.Bagranoff, Mark G.Simkin, Carolyn S.Norman”.
Chapter 12
PENGENDALIAN
KOMPUTER UNTUK ORGANISASI DAN
SISTEM INFORMASI AKUNTANSI
Bab ini melanjutkan
pembahasan pengendalian internal dari Bab 11 dengan berfokus pada keamanan dan pengendalian
prosedur khusus yang menggunakan organisasi pada tingkat yang berbeda.
Pengendalian
Umum untuk Organisasi
Pengendalian umum
dimulai dengan kebijakan, rencana yang komprehensif yang membantu melindungi
perusahaan dari ancaman baik internal maupun eksternal.
- Keamanan Terpadu untuk Organisasi
Sebuah tren saat ini
dalam praktek keamanan adalah untuk menggabungkan keamanan fisik dan keamanan
logis diseluruh organisasi. Keamanan fisik mengacu pada langkah-langkah yang
menggunakan sebuah organisasi untuk melindungi fasilitas, sumber daya, atau
data miliknya yang disimpan pada media fisik. Keamanan logis menggunakan
teknologi untuk membatasi akses ke sistem organisasi dan informasi hanya kepada
individu yang berwenang.
- Tingkat Pengendalian Organisasi
Seperti yang kita bahas
dalam bab sebelumnya, filosofi manajemen gaya operasi, integritas, kebijakan dan
prosedur semua karakteristik penting yang mempengaruhi nada sebuah perusahaan.
Karakteristik ini membantu untuk menentukan tingkat keamanan dan pengendalian
kesadaran dalam organisasi, yang merupakan dasar untuk lingkungan pengendalian.
Pengendalain tingkat organisasi sangat penting karena mereka saling memiliki
dampak yang luas pada banyak pengendalian lain, seperti pengendalian umum IT
dan pengendalian tingkat aplikasi. Pengendalian tambahan yang juga sangat
penting adalah sebagai berikut:
~ Kebijakan prosedur yang konsisten,
seperti kode etik formal dan kebijakan pencegahan penipuan.
~
Proses penilaian manajemen resiko.
~
Pemusatan pengolahan dan pengendalian.
~
Pengendalian untuk memantau hasil
operasi.
~ Pengendalian untuk memantau kontrol
lain, termasuk kegiatan fungsi audit internal, komite audit dan program self
assessment.
~
Proses pelaporan akhir periode
akuntansi.
~ Kebijakan yang menangani pengendalian
bisnis dan praktek manajemen resiko yang signifikan disetujui Dewan.
Selain pengendalian
ini, manajemen harus memiliki pengendalian atas sumber daya- sumber daya
manusia dan data perusahaan. Kami meneliti 5 jenis pengendalian umum untuk
lingkungan TI dalam organisasi: (1) Kebijakan Personalia, (2) Pengendalian
Keamanan File, (3) Perencanaan Kelangsungan Bisnis, (4) Pengendalian Fasilitas
Komputer, (5) Akses ke File Komputer.
- Kebijakan Personalia
SIA sangat bergantung
pada orang-orang untuk membuat sistem, memasukkan data ke dalam sistem,
pengawasan pengolahan data, selama operasi computer, mendistribusikan data
diproses untuk penerima yang berwenang dan menggunakan pengendalian yang
disetujui untuk menjamin bahwa tugas-tugas ini dilakukan dengan benar,
pengendalian umum dalam lingkungan TI yang mempengaruhi personil yang meliputi
pemisahan tugas, penggunaan account komputer, dan pengetahuan informal
karyawan.
- Pengendalian Keamanan File
Tujuan dari
pengendalian keamanan file untuk melindungi file komputer dari penyalahgunaan
baik disengaja atau yang tidak disengaja. Sebagai contoh, ini memerlukan
prosedur pengendalian untuk memastikan bahwa program computer menggunakan file
yang benar untuk pengolahan data. Prosedur pengendalian yang diperlukan untuk
tujuan membat salinan cadangan dari file penting dalam hal salinan asli dari
file yang hilang, dicuri, rusak atau dirusak.
- Perencanaan Kesinambungan Bisnis
Pengembangan organisasi
dan uji kelangsungan bisnis berencana cukup yakin bahwa mereka akan dapat
beroperasi meskipun interupsi, seperti gangguan fisik, sistem IT crash, bencana
alam, masalah supply chain dan lain-lain. Meskipun perbedaan antara perencanaan
kesinambungan bisnis dan pemulihan bencana tidak selalu jelas, mereka berbeda.
Usaha perencanaan pendekatan yang lebih komprehensif untuk memastikan kegiatan
organisasi terus normal, sedangkan pemulihan bencana adalah proses dan prosedur
bahwa organisasi ikuti untuk melanjutkan kerja setelah suatu peristiwa yang
mengganggu seperti gempa bumi, serangan teroris, atau virus computer yang
serius. Pada bagian ini, kita membahas pengendalian pemulihan bencana,
pengendalian untuk untuk memastikan sistem fault-tolerant, dan pengendalian
untuk membuat cadangan data.
- Pengendalian Fasilitas Komputer
Ahli keamanan komputer
menunjukan bahwa blunt hammer trumps mengalahkan sandi yang kuat setiap kali.
Apa ini berarti bahwa asset fisik dari pusat pengolahan data (seperti server
web, perangkat periferal, dan file disk perpustakaan komputer) harus
dilindungi. Berikut adalah beberapa pengendalian fasilitas komputer yang
mencegah kerusakan fisik baik yang tidak disengaja dan disengaja.
~
Cari pusat pengolahan data di tempat
yang aman
~
Batasi akses karyawan
~
Gunakan asuransi
- Pengendalian Pengaksesan Komputer
Pengaturan yang mana
diizinkan akses logis untuk computer dan file adalah pengendalian umum yang
penting dalam hal melindungi data yang sensitif dan organisasi perangkat lunak.
Remote terminal dapat ditempatkan dimana saja di Negara ini dan terhubung ke
komputer perusahaan dengan cara saluran telepon biasa atau koneksi internet.
Akibatnya, sulit untuk menjaga akses komputer logis dengn pengawasan fisik
langsung terminal. Oleh karena itu, sebagian besar sistem komputer menggunakan password untuk membatasi akses.
Kode tersebut bervariasi dalam panjang dan jenis informasi password yang
diperlukan, tetapi semua memiliki tujuan yang sama: untuk membatasi akses logis
untuk komputer hanya untuk orang-orang yang berwenang untuk memilikinya.
Organisasi harus mendorong karyawan untuk membuat password yang kuat.
Pengendalian
Umum untuk Teknologi Informasi
Tujuan utama dari
pengendalian TI organanisasi adalah untuk memberikan keyakinan memadai bahwa
(1) pengembangan, dan perubahan, program komputer yang berwenang, di uji dan
disetujui sebelum penggunaannya dan (2) akses ke program dan data diberikan
hanya untuk pengguna yang berwenang untuk meningkatkan kemungkinan bahwa data
yang diolah akuntasi secara akurat dan
lengkap. Pengendalian umum TI ini berlaku untuk semua sistem informasi. Dengan
demikian, pengendalian pada tingkat ini sangat penting untuk ketergantungan
pada pengendalian aplikasi.
- Pengamanan untuk Teknologi Nirkabel
Seperti yang telah
disebutkan dalam Bab I, perubahan penting dalam lingkungan bisnis saat ini
adalah keinginan untuk langsung menghubungkan satu sama lain dan dengan cepat
bertukar ide dan data. Wireless fidelity (Wi-Fi) teknologi yang didasarkan pada
transmisi gelombang radio, yang membuat informasi yang dikirimkan rentan
terhadap intersepsi. Akibatnya, organisasi yang mengandalkan teknologi nirkabel
harus mengerti kerentanan yang ada dan menjelajahi berbagai metode kompensasi
untuk resiko ini.
- Pengendalian untuk Jaringan
Ketika layar computer
menjadi layak secara ekonomis, perusahaan mulai menempatkan mereka keluar
melalui organisasi dan menghubungkan mereka ke computer terpusat untuk membentuk
pengolahan data yang terdistribusi (DDP) sistem. Tujuan dasar dari setiap
pengaturan computer adalah untuk memenuhi kebutuhan pengolahan spesifik dari
lokasi terpencil dan mengkomunikasikan hasil-hasil ringkasan kepada pusat
(host) computer.
- Pengendalian untuk PC
Mengembangkan prosedur
pengendalian untuk laptop portabel organisasi dan layar PC dimulai dengan
mengambil inventaris mereka diseluruh organisasi. Berbagai aplikasi yang
masing-masing PC yang digunakan juga harus diidentifikasi. Hal ini harus
diikuti dengan mengelompokkan masing-masing PC sesuai dengan jenis resiko dan
eksposur yang terkait dengan aplikasi. Untuk mencegah pencurian langsung dari
PC desktop, banyak perusahaan keduanya mereka tempatkan atau lampirkan monitor
ke desk dengan perekat yang kuat. Prosedur pengendalian untuk laptop adalah
untuk mengunci mereka dalam lemari sebelum karyawan meninggalkannya dimalam
hari.
- Pengendalian IT untuk Sarbanes-Oxley
The Sarbanes-Oxley Act
of 2002 (SOX) sangat berdampak pada perusahaan public, manajer mereka, auditor
internal dan auditor eksternal karena mereka masing-masing menilai pengendalian
internal seluruh perusahaan untuk mematuhi ketentuan UU. Perusahaan juga harus
mempertimbangkan persyaratan PCAOB Standar No 2 (dibahas di awal Bab ini) dan
PCAOB Standar No 5. Untuk membantu organisasi mematuhi SOX dan persyaratan
PCAOB, IT Governance Institute (ITGI) yang dikeluarkan “IT Control Objectives
for Sarbanes Oxley” pada April 2004.
Pengendalian
Aplikasi untuk Pengolahan Transaksi
Pengendalian umum fokus
pada masalah tingkat organisasi, sementara pengendalian umum TI berlaku untuk
semua sistem informasi. Tujuan dari pengendalian aplikasi adalah untuk
mencegah, mendeteksi, dan memperbaiki kesalahan dan penyimpangan dalam proses
transaksi. Dokumen ITGI dibahas di bagian sebelumnya menyatakan bahwa
pengendalian umum dan pengendalian aplikasi TI menjadi lebih terintegrasi -
bahwa kontrol umum TI mendukung pengendalian aplikasi dan bersama-sama mereka
memastikan pengolahan informasi yang lengkap dan akurat. Intinya adalah bahwa proses
informasi organisasi 24/7, dan manajer yang khas tidak mampu untuk menunggu beberapa
minggu untuk merekonsiliasi kesalahan secara manual. Pengendalian aplikasi
adalah pengendalian yang tertanam dalam proses bisnis aplikasi bisnis. Tiga
tahap utama pekerjaan pengolahan data mengumpulkan data input, memproses data,
dan pelaporan data diolah dalam beberapa bentuk output (misalnya, pelaporan
kinerja). Kami membahas berbagai prosedur pengendalian aplikasi untuk SIA
berdasarkan tiga tahap ini. Pertama , kita memeriksa pengendalian aplikasi atas
masukan data (disebut pengendalian input). Selanjutnya, kita mengidentifikasi
pengendalian aplikasi yang dimaksudkan untuk melindungi pengolahan data (disebut
pengendalian processing), dan akhirnya, kita survei pengendalian aplikasi yang
berhubungan dengan data output (disebut pengendalian output).
