Ancaman Atas Sistem Informasi Akuntansi

Ancaman Atas SIA

              Masyarakat telah semakin tergantung pada sistem informasi akuntansi, yang juga telah berkembang semakin kompleks untuk memenuhi peningkatan kebutuhan atas informasi.

Sejalan dengan peningkatan kompleksitas sistem dan ketergantungan pada sistem tersebut, perusahaan menghadapi peningkatan risiko atas sistem mereka yang sedang dikembangkan dan dinegosiasikan.

                                    

Empat jenis ancaman yang dihadapi perusahaan, seperti yang diringkas dalam Tabel dibawah ini.

Ancaman-1 atas SIA: Kehancuran karena Bencana Alam dan Politik

                                                           

Salah satu ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam dan politik, seperti kebakaran, panas yang berlebihan, banjir, gempa bumi, badai angin, dan perang.

                                                                                                  

             Bencana yang tidak bisa diprediksi dapat secara keseluruhan menghancurkan sistem informasi dan menyebabkan kejatuhan sebuah perusahaan. Ketika terjadi sebuah bencana, banyak perusahaan yang terkena pengaruhnya pada saat yang bersamaan. Contohnya, banjir di Chicago menghancurkan atau merusak 400 pusat pemrosesan data. Contoh-contoh bencana jenis ini adalah sebagai berikut:

• Dua serangan teroris pada World Trade Center di kota New York dan serangan Gedung Federal di Oklahoma, menghancurkan atau mengganggu sistem di gedung¬-gedung tersebut.
•                                          
• Pada tahun 1993, hujan deras menyebabkan Sungai Mississippi dan Missouri meluap dan membanjiri delapan negara bagian. Banyak organisasi kehilangan sistem komputer mereka, termasuk kota Des Moines, Iowa, yang komputer¬-komputernya terendam di dalam air setinggi 8 kaki.
• Gempa bumi di Los Angeles menghancurkan banyak sekali sistem; menyebabkan sistem lainnya rusak karena jatuhnya puing-puing, air dari sistem penyemprot air (sprinkler systern), dan debu; serta mengganggu jalur komunikasi. Perusahaan¬-perusahaan di San Fransisco menderita nasib yang hampir sama beberapa tahun sebelumnya.
• Defense Science Board telah memprediksi bahwa pada tahun 2005 serangan pada sistem informasi oleh negara-negara asing, agen mata-mata, dan teroris, akan tersebar luas.

Ancaman-2 atas SIA: Kesalahan pada software dan tidak berfungsinya peralatan

                Ancaman kedua bagi perusahaan adalah kesalahan pada software dan tidak berfungsinya peralatan, seperti kegagalan hardware, kesalahan atau terdapat kerusakan pada software, kegagalan sistem operasi (operating system-OS), gangguan dan fluktuasi listrik, serta kesalahan pengiriman data yang tidak terdeteksi.

                                           

Contoh-contoh jenis ancaman ini adalah sebagai berikut:

• Kerusakan pada sistem akuntansi perpajakan yang baru merupakan penyebab kegagalan Kalifornia mengumpulkan pajak perusahaan sebesar 5.535 juta.
• Di Bank of New York, field yang dipergunakan untuk menghitung jumlah transaksi terlalu kecil untuk menangani volume transaksi pada hari yang sibuk. Kesalahan pada sistem mematikan sistem dan membuat bank tersebut mengalami kerugian sebesar $23 juta ketika mencoba untuk menutup bukunya. Bank tersebut akhirnya harus meminjam uang dalam satu malam dengan biaya yang tinggi.

Ancaman-3 atas SIA: Tindakan tidak sengaja

               Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja, seperti kesalahan atau penghapusan karena ketidaktahuan atau karena kecelakaan semata. Hal ini biasanya terjadi karena kesalahan manusia, kegagalan untuk mengikuti prosedur yang telah ditetapkan, dan personil yang tidak diawasi atau dilatih dengan baik.

                                      

             Para pemakai sering kali kehilangan atau salah meletakkan data, dan secara tidak sengaja menghapus atau mengubah file, data serta program. Para operator komputer dan pemakai dapat memasukkan input yang salah atau tidak andal, menggunakan versi program yang salah, menggunakan file data yang salah, atau meletakkan file di tempat yang salah.

            Analis dan programmer sistem membuat kesalahan pada logika sistem, mengembangkan sistem yang tidak memenuhi kebutuhan perusahaan, atau mengembangkan sistem yang tidak mampu menangani tugas yang diberikan.

                                      

Contoh-contoh tentang ancaman ini adalah sebagai berikut:

• Staf administrasi bagian entri data di Giant Food Inc., salah memasukkan data dividen kuartal sebesar $2,50 sebagai ganti dari $0,25. Sebagai hasilnya, perusahaan membayar lebih dari $10 juta atas kelebihan jumlah dividen tersebut.
• Seorang programmer bank salah menghitung bunga per bulan dengan menggunakan satuan 31 hari. Selama 5 bulan sebelum kesalahan tersebut ditemukan, lebih dari $100.000 kelebihan bunga dibayarkan melalui tabungan.

Ancaman-4 atas SIA: Tindakan sengaja (kejahatan komputer)

             Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja, yang biasanya disebut sebagai kejahatan komputer. Ancaman ini berbentuk sabotase, yang tujuannya adalah menghancurkan sistem atau beberapa komponennya.

                                                 

                Penipuan komputer adalah jenis kejahatan komputer lainnya, dengan tujuan untuk mencuri benda berharga seperti uang, data, atau waktu/pelayanan komputer. Penipuan ini juga dapat melibatkan pencurian, yaitu pencurian atau ketidaklayakan penggunaan atas aset oleh pegawai, disertai dengan pemalsuan catatan untuk menyembunyikan pencurian tersebut.

Contoh-contoh ancaman jenis ini adalah sebagai berikut:

• Sebagai seorang penggemar teknologi, John Draper menemukan bahwa tawaran hadiah sebagai pelapor di perusahaan sereal Cap’n Crunch menduplikasi frekuensi jalur komunikasi WATS. Dia menggunakan penemuannya tersebut untuk menipu perusahaan telepori, dengan cara melakukan berbagai panggilan telepon tanpa bayar.
• Seorang manajer SIA di kantor koran di Florida bekerja untuk perusahaan pesaing setelah dia dipecat dari tempatnya bekerja tersebut. Pada waktu yang tidak lama, pihak pertama yang mempekerjakan dirinya tersebut menyadari bahwa para reporternya secara konstan telah direbut informasi beritanya. Perusahaan koran tersebut akhirnya mengetahui bahwa manajer SIA tersebut masih memiliki akun dan password aktif, serta masih secara teratur melihat-lihat file-file komputer di perusahaan tersebut untuk mendapatkan informasi mengenai cerita esklusif.
•                               

Mengapa Ancaman-ancaman SIA Meningkat?

                Sebagai akibat dari masalah-masalah tersebut diatas, pengendalian keamanan dan integritas sistem komputer menjadi isu yang penting. Kebanyakan manajer S1A menunjukkan bahwa risiko pengendalian telah meningkat dalam tahun-tahun belakangan ini.

              Contohnya, penelitian telah menunjukkan bahwa lebih dari 60 persen organisasi telah mengalami kegagalan besar dalam pengendalian di tahun-tahun belakangan ini. Beberapa alasan atas peningkatan masalah keamanan adalah sebagai berikut:

• Peningkatan jumlah sistem klien/server (client/server system) memiliki arti bahwa informasi tersedia bagi para pekerja yang tidak baik. Komputer dan server tersedia di mana-mana terdapat PC di sebagian besar desktop, dan komputer laptop tersedia di tempat umum. Chevron Texaco, contohnya, memiliki lebih dari 35.000 PC.
•                                         
• Oleh karena LAN dan sistem klien/server mendistribusikan data ke banyak pemakai, mereka lebih sulit dikendalikan daripada sistem komputer utama yang terpusat. Di Chevron Texaco, informasi didistribusikan di antara sistem dan ribuan pegawai yang bekerja di tempat lokal dan jarak jauh, seperti juga secara nasional dan internasional.
• WAN memberikan pelanggan dan pemasok akses ke sistem dan data mereka satu sama lain, yang menimbulkan kekhawatiran dalam hal kerahasiaan. Contohnya, Wal-Mart mengizinkan beberapa vendor tertentu untuk mengakses informasi khusus di komputernya, sebagai salah satu persyaratan dalam persekutuan mereka. Bayangkan potensi masalah kerahasiaan apabila vendor-vendor tersebut juga membentuk persekutuan dengan para pesaing Wal-Mart, seperti Kmart dan Target.

Alasan Organisasi tidak secara memadai melindungi data mereka

            Sayangnya, banyak organisasi yang tidak secara memadai melindungi data mereka karena satu atau beberapa alasan berikut ini:

                                                    

• Masalah pengendalian komputer sering kali diremehkan dan dianggap minor. Perusahaan melihat hilangnya informasi yang penting, sebagai ancaman yang tidak mungkin terjadi. Contohnya, kurang dari 25 persen dari 1.250 partisipan dalam penelitian Ernts & Young berpikir bahwa keamanan komputer adalah isu yang sangat penting. Gambaran tersebut menurun dari angka sekitar 35 persen, berdasarkan survei tahun sebelumnya.
• Implikasi-implikasi pengendalian untuk berpindah dari sistem komputer yang tersentralisasi dan terpusat dari masa lampau, ke sistem jaringan atau sistem berdasarkan Internet, tidak benar-benar dipahami
•                                   .
• Banyak perusahaan yang tidak menyadari bahwa keamanan data adalah hal yang penting untuk kelangsungan hidup perusahaan mereka. Informasi adalah sumber daya strategis, dan perlindungan atas informasi harus merupakan persyaratan strategis. Contohnya,-suatu perusahaan kehilangan jutaan dolar selama periode beberapa tahun, karena perusahaan tidak melindungi transmisi datanya. Salah satu pesaing menyadap saluran teleponnya dan mendapatkan faks yang berisi desain produk baru yang dikirim ke pabrik di luar negeri.
•                                        
• Tekanan atas produktivitas dan biaya membuat pihak manajemen melepas ukuran¬-ukuran pengendalian yang memakan waktu.

Ancaman-ancaman Keamanan Informasi Juga Dapat Dibayar Mahal di Pengadilan

           Banyak CIO yang memperkuat dirinya dari hal-hal yang dapat merupakan banjir tuntutan pertanggung¬jawaban, akibat pelanggaran keamanan informasi. Apabila hal ini terjadi, perusahaan bukan hanya membayar kerusakan apa pun yang diderita dari pelanggaran tersebut, tetapi perusahaan juga dianggap bertanggung jawab atas kerusakan yang diderita pelanggan.

                                           

             Contohnya, pada bulan Agustus 2001, setelah melawan Code Red Worm, Qwest berhadapan dengan perlawanan lain, yaitu melawan kantor jaksa penuntut umum. Setelah virus tersebut membuat beberapa pelanggan Qwest mendapat gangguan jangkauan DSL selama 10 hari, 15 hingga 20 pelanggan mengadu ke jaksa penuntut umum. Walaupun Qwest bersikeras bahwa perusahaan tidak bertanggung jawab atas serangan yang dilakukan oleh orang lain, jaksa pen untut umum meminta perusahaan tersebut untuk mengganti rugi para pelanggannya. Dalam waktu singkat para hakim dan juri akan diputuskan, apabila perusahaan secara hukum dianggap bertanggung jawab atas keamanan yang tidak memadai.

                                    

           Walaupun tidak ada tuntutan hukum sebelumnya, para pejabat perusahaan dapat secara individual bertanggung jawab atas pelanggaran keamanan. Dalam usaha untuk melindungi infra¬struktur teknologi informasi Amerika, pemerintah mulai membuat peraturan yang diharapkan dapat mengurangi bahaya tuntutan tertentu. Akan tetapi, perusahaan akan tetap harus meningkatkan keamanan dan tetap siaga apabila mereka ingin menghindari pengabulan tuntutan.

Sarah D. Scalet dalam sebuah artikel di CIO, menawarkan tips-tips berikut ini untuk menghindari pengabulan tuntutan:

• “Buat dan implementasikan kebijakan keamanan dalam perusahaan.” Kembangkan kebijakan yang jelas mengenai cara bagaimana perusahaan menjaga data, dan pastikanbahwa kebijakan tersebut didokumentasikan dengan baik.
• “Lakukan audit keamanan.” Pastikan bahwa perusahaan telah mengikuti kebijakan keamanan informasinya dengan cara mempekerjakan pihak ketiga untuk meng¬ujinya. Mempekerjakan pihak ketiga dan pihak yang objektif untuk meninjau keamanan informasi perusahaan, dapat membantu memperbaiki hal yang selama ini dicari oleh perusahaan, yaitu untuk tetap jauh dari potensi risiko keamanan.
• “Mempertimbangkan keamanan dalam kontrak.” Ketika melakukan outsourcing, perusahaan harus memastikan bahwa perusahaan lain telah memiliki dan mengikuti prosedur keamanan yang memadai.
• “Jangan membuat janji yang tidak dapat Anda tepati.” Perusahaan seharusnya jangan pernah menjanjikan keamanan yang tidak pernah gagal, selain dari ukuran-ukuran keamanan yang wajar. Membuat janji besar dapat menyeret Anda ke risiko tuntutan pelanggaran kontrak. “Perhatikan peraturan-peraturan yang mempengaruhi industri perusahaan Anda. “Beberapa negara kadang kala memiliki peraturan mengenai perlindungan atas informasi pelanggan. Pastikan bahwa perusahaan mengetahui peraturan di negara¬-negara tempat perusahaan menjalankan bisnisnya.
•                                         
• Pertimbangkan untuk membeli asuransi e-commerce. “Asuransi maya melindungi dari risiko on-line yang tidak dilindungi oleh asuransi dasar bisnis. Asuransi maya meliputi kejadian seperti serangan yang menyebabkan pengingkaran pelayanan, kode-kode salah yang menyesatkan, dan isi web yang tidak layak. “Perhatikan hal-hal yang dilaksanakan oleh perusahaan yang hampir sama dengan perusahaan Anda. “Tetaplah mencari tahu apa yang dilaksanakan perusahaan lain agar Anda dapat membuktikan bahwa Anda melakukan usaha sebanyak dengan yang dilakukan orang ¬lain, dalam hal keamanan.

Sumber: Sarah D. Scalet.”See You in court”, CIO (1 November 2001): 62-70.

Mengapa Pengendalian dan Keamanan Komputer Penting(1).

             Untungnya, perusahaan-perusahaan kini menyadari masalah-masalah tersebut dan mengambil langkah positif untuk meningkatkan pengendalian dan keamanan komputer.

Contohnya, mereka menjadi proaktif dalam pendekatan mereka. Mereka kini menyediakan pegawai tetap untuk menangani masalah pengendalian dan keamanan, serta mendidik para pegawai mereka mengenai ukuran-ukuran pengendalian.

                                                

             Banyak perusahaan yang membuat dan menerapkan kebijakan keamanan informasi secara formal. Mereka membuat pengendalian sebagai bagian dari proses pengembangan aplikasi, dan memindahkan data yang sensitif keluar dari sistem klien/server yang tidak aman ke lingkungan yang lebih aman, seperti komputer utama (mainframe).

              Sebagai seorang akuntan, Anda harus memahami bagaimana cara melindungi system-sistem dari ancaman-ancaman yang mereka hadapi. Anda juga harus memiliki pemahaman yang baik mengenai teknologi informasi, dan kemampuan serta risiko¬-risikonya. Pengetahuan ini dapat membantu Anda untuk menggunakan teknologi informasi dalam rangka mencapai tujuan pengendalian perusahaan.

Mengapa Pengendalian dan Keamanan Komputer Penting(2).

          Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi suatu organisasi seharusnya merupakan prioritas utama manajemen puncak. Walaupun tujuan pengendalian internal tetap sama apa pun metode pemrosesan datanya, SIA yang berdasarkan komputer membutuhkan kebijakan dan prosedur pengendalian internal yang berbeda.

                                              

             Contohnya, walaupun pemrosesan secara komputer mengurangi potensi kesalahan administrasi, proses ini dapat meningkatkan risiko adanya akses ke file atau perubahan file data, yang tidak memiliki otorisasi. Sebagai tambahan, memisahkan fungsi otorisasi, pencatatan, dan penjagaan aset dalam SIA harus dicapai dalam cara yang berbeda, karena program computer bias jadi bertanggungjawab atas satu atau lebih atas fungsi-fungsi tersebut. Untungnya, komputer juga memberikan kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya.

              Membantu manajemen dalam mengendalikan organisasi bisnisnya adalah tujuan utama SIA. Akuntan dapat membantu mencapai tujuan ini dengan cara mendesain sistem pengendalian yang efektif dan melaksanakan audit (atau peninjauan) atas sistem pengendalian yang telah ada, untuk memastikan keefektivitasan mereka.

Mengapa Pengendalian dan Keamanan Komputer Penting(3).

           Potensi adanya kejadian atau kegiatan yang tidak diharapkan yang dapat membahayakan baik SIA maupun organisasi, disebut sebagai ancaman (threat). Potensi kerugian dalam bentuk uang yang terjadi apabila sebuah ancaman benar-benar terjadi, disebut sebagai pajanan/dampak (exposure) ancaman, sedangkan kemungkinan terjadinya ancaman disebut sebagai risiko yang berhubungan dengan ancaman.

                                                                                        

         Pihak manajemen berharap akuntan dapat menjadi konsultan pengendalian. Dengan kata lain, akuntan harus 

(1) mengambil pendekatan proaktif untuk menghilangkan ancaman terhadap sistem, dan 

(2) mendeteksi, memperbaiki, dan memuiihkan perusahaan dari ancaman apabila suatu ancaman terjadi.

           Merupakan hal yang penting untuk diketahui bahwa lebih mudah mengembangkan pengendalian pada tahap awal desain, daripada menambahkannya setelah terjadi suatu ancaman. Berdasarkan alasan ini, akuntan dan para ahli pengendalian lainnya harus menjadi anggota yang lebih penting dalam tim yang mengembangkan atau mengubah sistem informasi.