Summary “Accounting Information System“ Nancy A.Bagranoff, Mark G.Simkin, Carolyn S.Norman”.

Chapter 12

PENGENDALIAN KOMPUTER UNTUK ORGANISASI DAN

 SISTEM INFORMASI AKUNTANSI

Bab ini melanjutkan pembahasan pengendalian internal dari Bab 11 dengan berfokus pada keamanan dan pengendalian prosedur khusus yang menggunakan organisasi pada tingkat yang berbeda.

Pengendalian Umum untuk Organisasi

Pengendalian umum dimulai dengan kebijakan, rencana yang komprehensif yang membantu melindungi perusahaan dari ancaman baik internal maupun eksternal.

•  Keamanan Terpadu untuk Organisasi

Sebuah tren saat ini dalam praktek keamanan adalah untuk menggabungkan keamanan fisik dan keamanan logis diseluruh organisasi. Keamanan fisik mengacu pada langkah-langkah yang menggunakan sebuah organisasi untuk melindungi fasilitas, sumber daya, atau data miliknya yang disimpan pada media fisik. Keamanan logis menggunakan teknologi untuk membatasi akses ke sistem organisasi dan informasi hanya kepada individu yang berwenang.

• Tingkat Pengendalian Organisasi

Seperti yang kita bahas dalam bab sebelumnya, filosofi manajemen gaya operasi, integritas, kebijakan dan prosedur semua karakteristik penting yang mempengaruhi nada sebuah perusahaan. Karakteristik ini membantu untuk menentukan tingkat keamanan dan pengendalian kesadaran dalam organisasi, yang merupakan dasar untuk lingkungan pengendalian. Pengendalain tingkat organisasi sangat penting karena mereka saling memiliki dampak yang luas pada banyak pengendalian lain, seperti pengendalian umum IT dan pengendalian tingkat aplikasi. Pengendalian tambahan yang juga sangat penting adalah sebagai berikut:

~  Kebijakan prosedur yang konsisten, seperti kode etik formal dan kebijakan pencegahan     penipuan.

~        Proses penilaian manajemen resiko.

~        Pemusatan pengolahan dan pengendalian.

~        Pengendalian untuk memantau hasil operasi.

~    Pengendalian untuk memantau kontrol lain, termasuk kegiatan fungsi audit internal, komite audit dan program self assessment.

~        Proses pelaporan akhir periode akuntansi.

~   Kebijakan yang menangani pengendalian bisnis dan praktek manajemen resiko yang signifikan disetujui Dewan.

Selain pengendalian ini, manajemen harus memiliki pengendalian atas sumber daya- sumber daya manusia dan data perusahaan. Kami meneliti 5 jenis pengendalian umum untuk lingkungan TI dalam organisasi: (1) Kebijakan Personalia, (2) Pengendalian Keamanan File, (3) Perencanaan Kelangsungan Bisnis, (4) Pengendalian Fasilitas Komputer, (5) Akses ke File Komputer.

•  Kebijakan Personalia

SIA sangat bergantung pada orang-orang untuk membuat sistem, memasukkan data ke dalam sistem, pengawasan pengolahan data, selama operasi computer, mendistribusikan data diproses untuk penerima yang berwenang dan menggunakan pengendalian yang disetujui untuk menjamin bahwa tugas-tugas ini dilakukan dengan benar, pengendalian umum dalam lingkungan TI yang mempengaruhi personil yang meliputi pemisahan tugas, penggunaan account komputer, dan pengetahuan informal karyawan.

• Pengendalian Keamanan File

Tujuan dari pengendalian keamanan file untuk melindungi file komputer dari penyalahgunaan baik disengaja atau yang tidak disengaja. Sebagai contoh, ini memerlukan prosedur pengendalian untuk memastikan bahwa program computer menggunakan file yang benar untuk pengolahan data. Prosedur pengendalian yang diperlukan untuk tujuan membat salinan cadangan dari file penting dalam hal salinan asli dari file yang hilang, dicuri, rusak atau dirusak.

• Perencanaan Kesinambungan Bisnis

Pengembangan organisasi dan uji kelangsungan bisnis berencana cukup yakin bahwa mereka akan dapat beroperasi meskipun interupsi, seperti gangguan fisik, sistem IT crash, bencana alam, masalah supply chain dan lain-lain. Meskipun perbedaan antara perencanaan kesinambungan bisnis dan pemulihan bencana tidak selalu jelas, mereka berbeda. Usaha perencanaan pendekatan yang lebih komprehensif untuk memastikan kegiatan organisasi terus normal, sedangkan pemulihan bencana adalah proses dan prosedur bahwa organisasi ikuti untuk melanjutkan kerja setelah suatu peristiwa yang mengganggu seperti gempa bumi, serangan teroris, atau virus computer yang serius. Pada bagian ini, kita membahas pengendalian pemulihan bencana, pengendalian untuk untuk memastikan sistem fault-tolerant, dan pengendalian untuk membuat cadangan data.

• Pengendalian Fasilitas Komputer

Ahli keamanan komputer menunjukan bahwa blunt hammer trumps mengalahkan sandi yang kuat setiap kali. Apa ini berarti bahwa asset fisik dari pusat pengolahan data (seperti server web, perangkat periferal, dan file disk perpustakaan komputer) harus dilindungi. Berikut adalah beberapa pengendalian fasilitas komputer yang mencegah kerusakan fisik baik yang tidak disengaja dan disengaja.

~        Cari pusat pengolahan data di tempat yang aman

~        Batasi akses karyawan

~        Gunakan asuransi

• Pengendalian Pengaksesan Komputer

Pengaturan yang mana diizinkan akses logis untuk computer dan file adalah pengendalian umum yang penting dalam hal melindungi data yang sensitif dan organisasi perangkat lunak. Remote terminal dapat ditempatkan dimana saja di Negara ini dan terhubung ke komputer perusahaan dengan cara saluran telepon biasa atau koneksi internet. Akibatnya, sulit untuk menjaga akses komputer logis dengn pengawasan fisik langsung terminal. Oleh karena itu, sebagian besar sistem komputer   menggunakan password untuk membatasi akses. Kode tersebut bervariasi dalam panjang dan jenis informasi password yang diperlukan, tetapi semua memiliki tujuan yang sama: untuk membatasi akses logis untuk komputer hanya untuk orang-orang yang berwenang untuk memilikinya. Organisasi harus mendorong karyawan untuk membuat password yang kuat.

Pengendalian Umum untuk Teknologi Informasi

Tujuan utama dari pengendalian TI organanisasi adalah untuk memberikan keyakinan memadai bahwa (1) pengembangan, dan perubahan, program komputer yang berwenang, di uji dan disetujui sebelum penggunaannya dan (2) akses ke program dan data diberikan hanya untuk pengguna yang berwenang untuk meningkatkan kemungkinan bahwa data yang  diolah akuntasi secara akurat dan lengkap. Pengendalian umum TI ini berlaku untuk semua sistem informasi. Dengan demikian, pengendalian pada tingkat ini sangat penting untuk ketergantungan pada pengendalian aplikasi.

• Pengamanan untuk Teknologi Nirkabel

Seperti yang telah disebutkan dalam Bab I, perubahan penting dalam lingkungan bisnis saat ini adalah keinginan untuk langsung menghubungkan satu sama lain dan dengan cepat bertukar ide dan data. Wireless fidelity (Wi-Fi) teknologi yang didasarkan pada transmisi gelombang radio, yang membuat informasi yang dikirimkan rentan terhadap intersepsi. Akibatnya, organisasi yang mengandalkan teknologi nirkabel harus mengerti kerentanan yang ada dan menjelajahi berbagai metode kompensasi untuk resiko ini.

•  Pengendalian untuk Jaringan

Ketika layar computer menjadi layak secara ekonomis, perusahaan mulai menempatkan mereka keluar melalui organisasi dan menghubungkan mereka ke computer terpusat untuk membentuk pengolahan data yang terdistribusi (DDP) sistem. Tujuan dasar dari setiap pengaturan computer adalah untuk memenuhi kebutuhan pengolahan spesifik dari lokasi terpencil dan mengkomunikasikan hasil-hasil ringkasan kepada pusat (host) computer.

• Pengendalian untuk PC

Mengembangkan prosedur pengendalian untuk laptop portabel organisasi dan layar PC dimulai dengan mengambil inventaris mereka diseluruh organisasi. Berbagai aplikasi yang masing-masing PC yang digunakan juga harus diidentifikasi. Hal ini harus diikuti dengan mengelompokkan masing-masing PC sesuai dengan jenis resiko dan eksposur yang terkait dengan aplikasi. Untuk mencegah pencurian langsung dari PC desktop, banyak perusahaan keduanya mereka tempatkan atau lampirkan monitor ke desk dengan perekat yang kuat. Prosedur pengendalian untuk laptop adalah untuk mengunci mereka dalam lemari sebelum karyawan meninggalkannya dimalam hari.

• Pengendalian IT untuk Sarbanes-Oxley

The Sarbanes-Oxley Act of 2002 (SOX) sangat berdampak pada perusahaan public, manajer mereka, auditor internal dan auditor eksternal karena mereka masing-masing menilai pengendalian internal seluruh perusahaan untuk mematuhi ketentuan UU. Perusahaan juga harus mempertimbangkan persyaratan PCAOB Standar No 2 (dibahas di awal Bab ini) dan PCAOB Standar No 5. Untuk membantu organisasi mematuhi SOX dan persyaratan PCAOB, IT Governance Institute (ITGI) yang dikeluarkan “IT Control Objectives for Sarbanes Oxley” pada April 2004.

Pengendalian Aplikasi untuk Pengolahan Transaksi

Pengendalian umum fokus pada masalah tingkat organisasi, sementara pengendalian umum TI berlaku untuk semua sistem informasi. Tujuan dari pengendalian aplikasi adalah untuk mencegah, mendeteksi, dan memperbaiki kesalahan dan penyimpangan dalam proses transaksi. Dokumen ITGI dibahas di bagian sebelumnya menyatakan bahwa pengendalian umum dan pengendalian aplikasi TI menjadi lebih terintegrasi - bahwa kontrol umum TI mendukung pengendalian aplikasi dan bersama-sama mereka memastikan pengolahan informasi yang lengkap dan akurat. Intinya adalah bahwa proses informasi organisasi 24/7, dan manajer yang khas tidak mampu untuk menunggu beberapa minggu untuk merekonsiliasi kesalahan secara manual. Pengendalian aplikasi adalah pengendalian yang tertanam dalam proses bisnis aplikasi bisnis. Tiga tahap utama pekerjaan pengolahan data mengumpulkan data input, memproses data, dan pelaporan data diolah dalam beberapa bentuk output (misalnya, pelaporan kinerja). Kami membahas berbagai prosedur pengendalian aplikasi untuk SIA berdasarkan tiga tahap ini. Pertama , kita memeriksa pengendalian aplikasi atas masukan data (disebut pengendalian input). Selanjutnya, kita mengidentifikasi pengendalian aplikasi yang dimaksudkan untuk melindungi pengolahan data (disebut pengendalian processing), dan akhirnya, kita survei pengendalian aplikasi yang berhubungan dengan data output (disebut pengendalian output).