Pengendalian SIA secara Konsep,berbasis komputer dan Ancaman-ancaman terhadap SIA

pengendalian SIA secara konsep
Apakah definisi dari pengendalian internal itu ?

Pengendalian internal adalah rencana organisasi dan metode bisnis yang dipergunakan untuk menjaga aset, memberikan informasi yang akurat dan andal, mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian dengan kebijakan yang telah ditetapkan.

• Pada tahun 1977, gelombang keterkejutan berkumandang di seluruh profesi akuntansi ketika kongres memasukkan bahasa dari standar AICPA ke dalam Foreign Corrupt Practices Act.

• Tujuan utama dari undang-undang ini adalah mencegah penyuapan atas para pejabat luar negeri untuk mendapatkan bisnis.

• Akan tetapi, pengaruh yang siknifikan dari undang-undang ini membutuhkan kerja sama untuk memelihara sistem pengendalian internal akuntansi yang baik.

• The Committee of Sponsoring Organizations (COSO) adalah kelompok sektor swasta yang terdiri dari 5 organisasi, antara lain :

• American Accounting Association

• American Institute of Certified Public Accountants

• Institute of Internal Auditors

• Institute of Management Accountants


Financial Executives Institute

• Pada tahun 1992, COSO mengeluarkan hasil penelitian untuk mengembangkan definisi pengendalian internal dan memberikan petunjuk untuk mengevaluasi sistem pengendalian internal.

Laporan tersebut telah diterima secara luas sebagai ketentuan dalam pengendalian internal.

• Penelitian COSO mendefinisikan pengendalian internal sebagai proses yang diimplementasikan oleh dewan komisaris, pihak manajemen, dan mereka yang berada di bawah arahan keduanya, untuk memberikan jaminan yang wajar bahwa tujuan pengendalian dicapai dengan pertimbangan hal-hal berikut :

– Efektifitas dan efisiensi operasional organisasi

– Keandalan pelaporan keuangan

– Kesesuaian dengan hukum dan peraturan yang berlaku

• Lima komponen model pengendalian internal COSO yang saling berhubungan :

– Lingkungan pengendalian

– Aktivitas pengendalian

– Penilaian resiko

– Informasi dan komunikasi

– Pengawasan (Monitoring)
Struktur sistem informasi manajemen (SIM) dapat pula dipandang menurut konsep struktural yang memungkinkan pembahasan dan perancangan sistem fisik yang akan mendefinisikan cara pelaksanaan SIM.
a. Struktur Konseptual
SIM didefinisikan sebagai suatu gabungan subsistem fungsional yang masing-masing dibagi dalam empat macam pengolahan informasi, yaitu: pengolahan transaksi, dukungan operasional sistem informasi, dukungan pengendalian manajerial sistem informasi, dukungan perencanaan stategi sistem informasi.


Pengendalian dalam SIA berbasis Komputer

Akuntansi adalah sistem informasi yang mencatat, mengumpulkan dan mengkomunikasikan data keuangan untuk tujuan pengambilan keputusan. Sistem akuntansi yang efektif memberikan tiga tujuan luas. Pertama, pelaporan internal ke manajer untuk perencanaan dan pengendalian kegiatan rutin. Kedua, pelaporan internal untuk perencanaan strategik, dan ketiga untuk pihak eksternal yaitu: pemegang saham, pemerintah dan pihak luar lainnya. Ketiga-tiganya dihasilkan melalui pemrosesan data yang disebut transaksi akuntansi.

Pemrosesan data menjadi informasi dapat dilakukan secara manual atau dengan menggunakan peralatan elektronik berupa komputer. Kemajuan dalam teknologi komputer mempunyai dampak yang luar biasa pada seluruh aspek kegiatan usaha. Akuntansi, sudah barang tentu tidak terlepas dari dampak tersebut. Dalam sistem akuntansi manual, data seba¬gai masukan (input) diproses menjadi informasi sebagai keluaran (output) dengan menggunakan tangan. Pada sistem akuntansi yang berkomputer atau yang lebih sering disebut Pemrosesan Data Elektronik (PDE), data sebagai input juga diproses menjadi informasi sebagai output. Keuntungan yang dapat dilihat secara jelas dari penggunaan komputer ini adalah kecepatan, ketepatan, dan kemudahan dalam memproses data menjadi informasi akuntansi.

Disamping keuntungan tersebut, ada beberapa hal yang perlu diperhatikan dalam menggunakan komputer sebagai alat pengolah data yaitu resiko-resiko yang khas dalam suatu lingkungan akuntansi berbasis komputer. Auditor harus menyadari resiko-resiko ini karena hal ini merupakan ancaman yang tidak ada dalam proses akuntansi manual.

Resiko-resiko dalam lingkungan pemrosesan data elektronik antara lain:
(Penggunaan teknologi yang tidak layak)
Teknologi komputer memberi para analis sistem (system analyst) dan pemrogram (programmer) berbagai kemampuan pemrosesan. Teknologi ini harus disesuaikan dengan kebutuhan pemakai untuk mengoptimalkan implementasi kebutuhan tersebut. Kekeliruan dalam penandingan antara teknologi dengan kebutuhan pemakai kebutuhan dapat mengakibatkan pengeluaran yang tidak perlu atas sumberdaya organisasi.

Salah satu penyalahgunaan teknologi adalah penggunaan teknologi baru sebelum adanya kepastian yang jelas mengenai kebutuhannya. Banyak organisasi memperkenalkan teknologi database tanpa menetapkan dengan jelas kebutuhan akan teknologi tersebut. Pengalaman menunjukkan bahwa para pemakai awal (new user) suatu teknologi baru seringkali mengkonsumsi jumlah sumberdaya yang cukup besar selama mempelajari cara penggunaan teknologi baru tersebut.

Penggunaan teknologi yang tidak layak antara lain:

* Analis sistem atau pemrogram tidak mempunyai keahlian yang cukup untuk menggunakan teknologi tersebut.
* Pemakai yang awam terhadap teknologi hardware yang baru.
* Pemakai yang awam terhadap teknologi software yang baru.
* Perencanaan yang minim untuk instalasi teknologi hardware dan software yang baru. (
(Pengulangan kesalahan}
Dalam pemrosesan manual, kesalahan-kesalahan dibuat secara individual. Jadi seseorang dapat memproses satu pos dengan benar, membuat kesalahan pada pos berikutnya, memproses 20 pos berikutnya dengan benar dan kemudian membuat kesalahan lainnya lagi.
Dalam sistem yang terotomatisasi, aturan-aturan diterapkan secara konsisten. Jadi, jika aturan-aturannya benar, pemrosesannya akan selalu benar. Tetapi jika aturan-aturannya salah, pemrosesannya akan selalu salah.
Kondisi-kondisi yang mengakibatkan pengulangan kesalahan meliputi:

* Tidak cukupnya pengecekan atas pemasukan informasi input.
* Tidak cukupnya tes atas program
* Tidak dimonitornya hasil-hasil dari pemrosesan
(Kesalahan berantai)
Kesalahan berantai merupakan ‘efek domino’ dari kesalahan-kesalahan di segenap sistem aplikasi. Kesalahan suatu bagian program atau aplikasi akan berakibat pada kesalahan kedua yang meskipun tidak berkaitan di bagian lain aplikasi. Kesalahan kedua ini dapat berakibat kesalahan ketiga dan seterusnya.

Resiko kesalahan berantai sering dikaitkan dengan pelaksanaan perubahan sistem aplikasi. Perubahan dilaksanakan dan diuji dalam program di mana perubahan terjadi. Namun demikian, beberapa kondisi dapat berubah karena adanya perubahan yang menimbulkan kesalahan di bagian lain sistem aplikasi tersebut.
Rantai kesalahan dapat terjadi di antara aplikasi-aplikasi. Resiko ini akan semakin besar sejalan dengan semakin terpadunya aplikasi.
(Pemrosesan yang tidak logis)
Pemrosesan yang tidak logis merupakan akibat dari suatu kejadian yang diotomatisasi yang dapat dikatakan sangat tidak mungkin dalam proses manual. Contohnya adalah pembuatan cek untuk gaji dan upah untuk seorang pegawai yang melampaui Rp. 100 juta. Hal ini mungkin saja terjadi dalam sistem yang terotomatisasi yang timbul karena kesalahan pemrograman atau kesalahan hardware, akan tetapi tidak mungkin terjadi dalam sistem manual.

Kondisi yang dapat mengakibatkan pemrosesan yang tidak logis adalah karena:

* Field-field yang terlalu kecil atupun terlalu besar.
* Tidak diceknya nilai-nilai yang cukup besar dan tidak lazim pada dokumen output.
* Tidak diamatinya dokumen-dokumen output.
(Ketidakmampuan menerjemahkan kebutuhan pemakai ke dalam persyaratan teknis)
Salah satu kegagalan utama pengolahan data adalah adanya kegagalan komunikasi antara para pemakai dengan personil teknis. Dalam banyak kasus, para pemakai tak dapat menyatakan dengan baik kebutuhan-kebutuhan mereka dalam cara yang memudahkan proses penyiapan aplikasi komputer. Sebaliknya, orang-orang teknis komputer seringkali tidak mampu menyerap dengan baik kepentingan dan permintaan para pemakainya. Resiko pemuasan kebutuhan ini merupakan resiko yang kompleks.

Resiko yang timbul meliputi kegagalan untuk mengimplementasikan kebutuhan karena para pemakai tidak memiliki kemampuan teknis. Dampaknya adalah kebutuhan yang diimplementasikan adalah kebutuhan yang tidak layak karena personil teknis tidak memahami kebutuhan sebenarnya dari pemakai. Akibat lainnya adalah munculnya sistem manual yang semakin besar untuk menutup kelemahan-kelemahan dalam aplikasi komputer.

Kondisi ketidakmampuan menerjemahkan kebutuhan pemakai ini disebabkan antara lain:

* Para pemakai tidak memiliki keahlian teknis EDP
* Orang-orang teknis tidak memiliki pemahaman yang cukup mengenai permintaan pemakai.
* Ketidakmampuan untuk merumuskan permintaan dengan cukup terinci.
* Sistem yang digunakan oleh banyak ‘user’ tanpa ada ‘user ‘ yang bertanggung jawab atas sistem tersebut.
(Ketidakmampuan dalam mengendalikan teknologi)
Pengendalian memang sangat diperlukan dalam penggunaan lingkungan berteknologi. Pengendalian-pengendalian akan menjamin bahwa versi yang tepat berada digunakan pada saat yang tepat; bahwa file-file yang tepat digunakan; bahwa para operator komputer melaksanakan instruksi yang tepat; prosedur yang memadai dikembangkan untuk mencegah, mendeteksi dan memperbaiki permasalahan yang terjadi; dan bahwa data yang tepat disimpan dan kemudian diperoleh dengan mudah jika diperlukan.

Kondisi yang menimbulkan teknologi yang tak terkendali mencakup:

* Pemilihan kemampuan pengendalian sistem yang ditawarkan oleh rekanan pemrogram sistem yang tanpa memperhatikan kebutuhan audit.
* Terlalu banyaknya pengendalian yang dikorbankan demi menjaga efisiensi operasi.
* Prosedur-prosedur untuk memulai kembali/pemulihan (recovery data) yang tidak memadai.

(Pemasukan data yang tidak benar)
Data dimasukkan dalam berbagai cara. Ada yang sistem batch atau on-line dengan melalui berbagai media input seperti key-to-disk, scanner dan sebagainya. Data input yang salah atau palsu merupakan penyebab yang paling sederhana dan paling lazim dari prestasi yang tidak diinginkan dalam suatu sistem aplikasi.
Dikalangan orang-orang yang berkecimpung dalam dunia komputer ada istilah GIGO (Garbage In Garbage Out), artinya bila ada data masukan (input) yang diolah salah maka informasi yang dihasilkan juga akan salah
Kondisi yang dapat menimbulkan kesalahan pemasukan data, antara lain:

* Nilai-nilai data sumber yang tidak layak atau tidak konsisten mungkin tidak dideteksi.
* Kesalahan manusiawi dalam mengetik (keying) data atau kesalahan-kesalahan selama transkripsi mungkin tidak dideteksi.
* Record data yang tidak lengkap atau diformat secara buruk mungkin diterima seakan-akan record itu lengkap.
* Kesalahan mekanis peralatan hardware.
* Kesalahan interpretasi karakter-karakter atau pengertian input yang dicatat secara manual.
* Kesalahan prosedur pemasukan data.{/slide}{slide=8. Data yang terkonsentrasi.}

Dalam sistem manual, data ditimbun dan disimpan di berbagai tempat, jadi sukar bagi seseorang yang tak berwenang menghabiskan banyak waktu untuk melihat-lihat lemari-lemari arsip atau bidang penyimpanan manual lainnya.

Aplikasi yang dikomputerisasi seringkali memusatkan data dalam suatu format yang mudah diakses. Seseorang yang tak berwenang dapat melihat-lihat dengan menggunakan program komputer. Ini akan sulit dideteksi tanpa adanya pengamanan yang memadai. Selain itu, data dapat disalin dengan cepat tanpa meninggalkan jejak yang dapat terlihat atau menghancurkan data orisinilnya. Jadi, pemilik data tidak akan sadar bahwa data tersebut telah dicuri atau dirusak.

Teknologi database ternyata telah meningkatkan resiko manipulasi data dan pencurian nilai informasi itu bagi seseorang yang tidak berwenang. Sebagai contoh, informasi mengenai seseorang dalam aplikasi gaji dan upah terbatas pada pembayaran berjalan. Tetapi kalau data tersebut disertai dengan riwayat personil, maka bukan hanya informasi pembayaran berjalan saja yang tersedia akan tetapi juga riwayat pembayaran gaji, keahlian individual, tahun masa kerja, perkembangan pekerjaan dan mungkin juga mengenai evaluasi prestasi.

Konsentrasi data meningkatkan permasalahan mengenai reliabilitas (andalnya) data yang lebih besar dari sekadar sekeping data atau sebuah file data saja. Jika fakta yang dimasukkan ternyata salah, semakin banyak aplikasi yang mengandalkan data tersebut, semakin besar dampak kesalahannya. Selain itu, semakin banyak aplikasi yang menggunakan data yang terkonsentrasi, semakin besar dampaknya jika data tersebut hilang karena problem yang terjadi pada hardware atau software yang digunakan untuk memroses data tersebut.

Kondisi yang dapat menimbulkan permasalahan akibat konsentrasi data mencakup:

* Tidak memadainya pengendalian akses yang memungkinkan akses yang tidak berwenang ke data.
* Data yang salah dan dampaknya terhadap pemakai data tersebut.
* Dampak gangguan-gangguan hardware dan software yang menyediakan data bagi para pemakai.
( Ketidakmampuan dalam mendukung pemrosesan.}

Aplikasi yang dikomputerisasi harus memiliki kemampuan untuk mendukung pemrosesan. Dukungan ini meliputi baik kemampuan untuk merekonstruksi pemrosesan suatu transaksi saja maupun kemampuan untuk merekonstruksi total pengendalian. Aplikasi-aplikasi yang dikomputerisasi harus dapat menghasilkan semua sumber transaksi yang mendukung pengendalian menyeluruh. Tujuannya adalah untuk tujuan perbaikan kesalahan dan pembuktian kebenaran pemrosesan. Kalau terjadi kesalahan, personil komputer harus menunjukkan penyebab kesalahan itu sehingga penyebab-penyebab itu dapat diperbaiki. Auditor seringkali memverifikasi kebenaran pemrosesan, yaitu apakah pemrosesan data telah benar.

Kondisi yang dapat mengakibatkan timbulnya ketidakmampuan untuk penyediaan pendukung pemrosesan antara lain:

* Bukti pendukung tidak disimpan cukup lama
* Biaya untuk mendukung pemrosesan melebihi manfaat yang dapat diperoleh dari proses.{/slide}

. Penyalahgunaan pemakai akhir (end user)
Sistem aplikasi didesain untuk melayani pemakai akhir, tetapi mereka juga dapat menyalahgunakan untuk tujuan-tujuan yang tidak diinginkan. Seringkali sangat sulit menentukan apakah pengguanaan sistem tersebut sesuai dengan pelaksanaan masing-masing pekerjaan mereka yang sah.
Seorang karyawan mungkin mengubah informasi untuk penggunaan tidak sah; misalnya, ia mungkin menjual data rahasia mengenai informasi kepada perusahaan lain atau pesaing. Atau ia dapat menggunakan sistem untuk kepentingan pribadinya. Atau karyawan yang tidak puas atau yang dipecat mungkin merusak atau mengubah record – sedemikian rupa, sehingga record-record pendukungnya juga rusak dan tidak berguna.
{slide=11. Kesalahan prosedur pada fasilitas EDP}
Baik kesalahan maupun tindakan yang tak sengaja dilakukan oleh staf operasi EDP dapat menimbulkan prosedur-prosedur yang tidak tepat dan pengendalian yang terlambat dan mungkin kehilangan-kehilangan dalam media penyimpanan dan output.
Contohnya antara lain:

* File-file mungkin rusak selama reorganisasi database atau selama membersihkan ruang disk.
* Pemeliharaan hardware mungkin dilakukan sementara data tengah berada dalam posisi on-line.
* Suatu program mungkin dilaksanakan dua kali dengan menggunakan sebuah transaksi yang sama.
* Pengawasan personel operasi yang tidak memadai selama pergantian jam istirahat.
* File-file atau disk yang penting mungkin disusun tanpa adanya penulisan yang dilindungi atau label yang gampang terhapus.{/slide}{slide=12. Kesalahan-kesalahan program}

Meskipun program dirancang dan dikembangkan melalui prosedur yang pengujian dan review yang memadai namun demikian masih mungkin akan berisikan kesalahan yang tidak memadai. Selain itu para pemrogram dapat dengan sengaja memodifikasi program untuk menghasilkan pengaruh sampingan yang tidak diinginkan, atau mereka dapat menyalahgunakan program yang menjadi tanggungjawab mereka.
Contohnya antara lain:

* Record-record mungkin dihapus dari file penting tanpa ada jaminan bahwa record yang dihapus tersebut dapat direkonstruksi kembali.
* Para pemrogram mungkin menyelipkan perintah tertentu dalam program yang dapat memanipulasi data untuk kepentingan mereka sendiri.
* Perubahan-perubahan program tidak diuji dengan cukup memadai sebelum digunakan dalam pelaksanaan produksi.
* Perubahan program dapat menimbulkan kesalahan baru karena adanya interaksi yang tak terduga diantara modul-modul program.
* Program tidak mampu mendeteksi kesalahan-kesalahan yang terjadi hanya untuk kombinasi input yang tidak lazim ( mis. program yang diharapkan dapat menolak semua nilai kecuali rentang nilai tertentu ternyata dapat menerima nilai tambahan).
* Para pemrogram mungkin tidak menyediakan suatu log (catatan perubahan) atau salinan pendukung untuk memformalisasikan aktivitas aplikasi.{/slide}{slide=13. Kerusakan sistem komunikasi.}

Informasi yang dikirim atau disebarkan dari satu lokasi ke lokasi lainnya melalui jalur komunikasi adalah rawan terhadap kerusakan yang tidak sengaja atau penyadapan serta modifikasi dengan sengaja oleh pihak yang tidak berwenang.

Kerusakan yang tidak sengaja:

* Kesalahan komunikasi yang tidak dideteksi dapat menghasilkan data yang tidak benar atau berubah.
* Informasi mungkin tak sengaja diarahkan ke terminal yang salah.
* Sinyal komunikasi mungkin meninggalkan penggalan-penggalan pesan yang tak terlindungi dalam memori selama interupsi pemrosesan yang tidak terduga atau tiba-tiba.
* Protocol komunikasi mungkin tidak mengidentifikasi secara positif pengirim atau penerima pesan.

Tindakan-tindakan yang disengaja:

* Jalur komunikasi mungkin dipantau oleh orang-orang yang tidak berwenang.
* Data atau program mungkin dicuri oleh ‘pemakai gelap’ melalui sirkuit telepon dari suatu terminal entri jarak jauh.
* Jika digunakan sandi, kunci-kuncinya mungkin dicuri.
* Pesan-pesan palsu mungkin diselipkan ke dalam sistem aplikasi.
* Pesan-pesan benar mungkin dihapus dari dalam sistem aplikasi.

Adanya kelemahan-kelemahan seperti tersebut diatas, pengendalian akuntansi sangat diperlukan dalam Pengolahan Data Elektronik (PDE). Pengolahan data elektronik adalah pengolahan data yang menggunakan komputer. Pengendalian akuntansi ini bertujuan untuk menghasilkan informasi yang dapat dipercaya. Pengendalian akuntansi mempunyai tujuan utama menga¬mankan harta kekayaaan perusahaan dan menjamin kebenaran data serta ketepatan data akuntansi.

ANCAMAN-ANCAMAN ATAS SIA

• Salah satu ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam dan politik, seperti :

Ø Kebakaran atau panas yang berlebihan

Ø Banjir, gempa bumi

Ø Badai angin, dan perang

· Ancaman kedua bagi perusahaan adalah kesalahan pada software dan tidak berfungsinya peralatan, seperti :

o Kegagalan hardware

o Kesalahan atau terdapat kerusakan pada software, kegagalan sistem operasi, gangguan dan fluktuasi listrik.

o Serta kesalahan pengiriman data yang tidak terdeteksi.

· Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja, seperti

§ Kecelakaan yang disebabkan kecerobohan manusia

§ Kesalahan tidak disengaja karen teledor

§ Kehilangan atau salah meletakkan

§ Kesalahan logika

§ Sistem yang tidak memenuhi kebutuhan perusahaan

· Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja, seperti :

* sabotase

* Penipuan komputer

* Penggelapan

Mengapa ancaman-ancaman SIA meningkat?

• Peningkatan jumlah sistem klien/server memiliki arti bahwa informasi tersedia bagi para pekerja yang tidak baik.

• Oleh karena LAN dan sistem klien/server mendistribusikan data ke banyak pemakai, mereka lebih sulit dikendalikan daripada sistem komputer utama yang terpusat.

• WAN memberikan pelanggan dan pemasok akses ke sistem dan data mereka satu sama lain, yang menimbulkan kekhawatiran dalam hal kerahasiaan.