Pengendalian untuk Keamanan Informasi

I. PENDAHULUAN
Saat ini, setiap organisasi bergantung pada TI dan banyak juga yang memindahkan sebagian dari sistem informasi ke cloud karena manajemen menginginkan jaminan bahwa informasi yang dihasilkan oleh sistem akuntansi milik perusahaan adalah reliabel serta mempunyai keandalan penyedia layanan cloud dengan rekan kontraknya.
Pada bab ini, akan dibahas mengenai prinsip-prinsip dari Trust Services Framework yang dikembangkan secara bersamaan oleh AICPA dan CICA untuk menyediakan panduan penilaian keandalan sistem informasi. Meski demikian, karena COBIT 5 merupakan kerangka yang diakui secara internasional dan digunakan oleh banyak organisasi, para auditor serta akuntan harus terbiasa pula dengannya.
Trust Services Framework mengatur pengendalian TI ke dalam 5 prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem, yaitu:
  1. Keamanan (Security) - akses terhadap sistem dan data didalamnya hanya dikendalikan oleh pengguna yang sah. 
  2. Kerahasiaan (Confidentiality)
  3. Privasi (Privacy)
  4. Integritas Pemrosesan (Processing integrity) - data diproses secara akurat, lengkap, tepat waktu, dan hanya dengan otorisasi yang sesuai.
  5. Ketersediaan (avalability) - sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan kontraktual. 
DUA KONSEP KEAMANAN INFORMASI FUNDAMENTAL 
1. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi
Syarat keamanan informasi yang efektif adalah penggunaan alat-alat berteknologi (firewall, antivirus, enkripsi) dan keterlibatan serta dukungan manajemen senior. Para profesional keamanan informasi memiliki keahlian untuk mengidentifikasi ancaman potensial dan mengestimasikan kemungkinan serta dampaknya. Selain itu, manajemen senior harus berpartisipasi dalam pengembangan kebijakan karena mereka harus memutuskan sanksi yang akan diberikan terhadp tindakan ketidakpatuhan dan harus mengotorisasi investasi sumber daya yang diperlukan untuk mengatasi ancaman yang teridentifikasi serta mencapai level keamanan yang dikehendaki. Oleh karena itu, manajemen harus menilai ulang respons risiko organisasi secara periodik. 

2. Defense-in-depth dan model keamanan informasi berbasis waktu 
Defense-in-depth adalah penggunaan berbagai lapisan pengendaian untuk menghindari satu poin kegagalan. Hal ini secara khusus melibatkan penggunaan sebuah kombinasi dari pengendalian preventif, detektif, dan korektif. Mendeteksi penerobosan keamanan dan penetapan tindakan perbaikan korektif harus tepat waktu agar seorang penyusup tidak dapat masuk. Oleh karena itu, diadakannya model keamanan berbasis waktu (time based model of security) agar perlindungan preventif, detektif, dan korektif yang melindungi aset informasi cukup lama dapat memungkinkan organisasi untuk menganali sebuah serangan yang tengah terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi dirusak atau hilang. 

MEMAHAMI SERANGAN YANG DITARGETKAN 
Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem informasi suatu perusahaan, yaitu: 
  1. Melakukan pengintaian (conduct reconnaissance) dengan tujuan untuk mempelajari sebanyak mungkin tentang target serta mengidentifikasi kerentanan potensial. 
  2. Mengupayakan rekayasa sosial (attemp social engineering) adalah sebuah tipuan yang dilakukan untuk mendapatkan akses tanpa izin terhadap sumber daya informasi. Serangan rekayasa sosial biasanya melalui telepon, penyamaran menjadi seorang eksekutif, berpura-pura menjadi karyawan yang kebingungan untuk masuk ke dalam sistem, dan penyebaran USB drives di area parkir suatu organisasi yang menjadi target yang memuat sebuah program Trojan horse yang kemudian memungkinkan penyerang untuk mendapatkan akses terhadap sistem. 
PENGENDALIAN PREVENTIF 
Komponen "orang-orang" dalam pengendalian ini adalah yang paling penting.. 
  • Orang-orang: Penciptaan sebuah budaya "Sadar Keamanan". 
Untuk menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan organisasi, manajemen puncak tidak hanya harus mengomunikasikan kebijakan keamanan organisasi tetapi juga harus memandu dengan mencontohkannya. 
  • Orang-orang: Pelatihan 
Pelatihan penting dilakukan untuk melatih para pegawai tentang serangan rekayasa sosial dan agar pegawai tidak mengizinkan orang lain mengikuti mereka melalui pintu masuk akses terbatas yang biasa disebut piggybacking
  • Proses: Pengendalian akses pengguna
Organisasi perlu menerapkan satu set pengendalian yang dirancang untuk melindungi aset informasi mereka dari penggunaan dan akses tanpa izin yang dilakukan oleh pegawai sehingga praktik manajemen COBIT 5 DSS05.04 menekankan perlunya pengendalian untuk mengelola identitas pengguna dan akses logis agar dapat melacak dan mengidentifikasi secara khusus siapa saja yang mengakses sistem informasi organisasi.

  • Pengendalian Autentikasi
Autentikasi (authentication) adalah proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem yang bertujuan untuk memastikan bahwa pengguna sah yang dapat mengakses sistem. Tiga jenis tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang:

  1. PIN (personal identification number)
  2. Kartu pintar atau badge ID 
  3. Sidik jari atau pola tulisan 
Penggunaan dua atau lebih jenis tanda bukti autentikasi secara bersamaan untuk mencapai tingkat keamanan yang lebih ketat dan cukup efektif disebut autentikasi multifaktor. Sedangkan, penggunaan berbagai tanda bukti autentikasi dari jenis yang sama untuk mencapai tingkat kemaanan yang ketat disebut autentikasi multimodal. 
Autentikasi multifaktor dan autentikasi multimodal merupakan contoh penerapan prinsip defense-in-depth. Penting untuk membuktikan keabsahan tidak hanya orang tetapi juga setiap perangkat yang diupayakan untuk terhubung dengan jaringan. Setiap stasiun kerja, printer, atau perangkat komputasi lainnya perlu sebuah network interface card (NIC) agar dapat terhubung dengan jaringan internal organisasi. Setiap NIC memiliki pengidentifikasian khusus yang disebut dengan alama media access control (MAC). 

  • Pengendalian Otorisasi 
Otorisasi adalah proses memperketat akses dari pengguna sah terhadap bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan yang bertujuan untuk menyusun hak serta keistimewaaan setiap pegawai dengan cara menetapkan dan mengelola pemisahan tugas yang tepat. Pengendalian otorisasi biasanya diimplementasikan dengan menciptakan matriks pengendalian akses atau sebuah tabel yang digunakan untuk mengimplementasikan pengendalian otorisasi. Kemudian, ketika seorang pegawai berusaha mengakses sumber daya sisem informasi tertentu, sistem akan melakukan sebuah uji kompatibilitas - mencocokkan tanda bukti autentikasi pengguna terhadap matriks pengendalian akses untuk menentukan sebaiknya pegawai diizinkan atau tidak untuk mengakses sumber daya dan melakukan tindakan yang diminta. 
  • Pengendalian Akses fisik
Seorang penyerang yang terampil hanya membutuhkan beberapa menit akses fisik langsung tanpa pengawasan untuk melewati kontrol keamanan informasi yang ada. Misalnya, penyerang dengan akses fisik langsung tanpa pengawasan dapat menginstal perangkat pendeteksi keystroke yang menangkap kredensial otentikasi pengguna, sehingga memungkinkan penyerang untuk kemudian memperoleh akses tidak sah ke sistem dengan meniru pengguna yang sah. Seseorang dengan akses fisik yang tidak diawasi juga dapat memasukkan disk khusus "boot" yang menyediakan akses langsung ke setiap file di komputer dan kemudian menyalin file sensitif ke perangkat portabel seperti drive USB atau iPod. Sebagai alternatif, penyerang dengan akses fisik yang tidak diawasi dapat dengan mudah melepas hard drive atau bahkan mencuri seluruh komputer. Mengingat berbagai macam ancaman potensial yang terkait dengan akses fisik tanpa pengawasan, tidak mengherankan bahwa salah satu dari 34 tujuan pengendalian tingkat atas COBIT lainnya, DS 12, berfokus secara khusus pada kontrol akses fisik. Kontrol akses fisik dimulai dengan titik masuk ke gedung itu sendiri.
  • Pengendalian Akses jaringan 
Sebagian besar organisasi menyediakan karyawan, pelanggan, dan pemasok dengan akses jarak jauh ke sistem informasi mereka. Akses ini terjadi melalui Internet, tetapi beberapa organisasi masih mempertahankan jaringan kepemilikan mereka sendiri atau menyediakan akses dial-up langsung melalui modem. Banyak organisasi juga menyediakan akses wirjess ke sistem mereka. Berikut ini metode yang dapat digunakan untuk memenuhi tujuan pengendalian COBIT DS 5.10 untuk mengontrol akses jarak jauh ke sumber informasi.
  1. Pertahanan perimeter: router, firewall dan sistem pencegahan intrusi. Hubungan antara sistem informasi organisasi dan Internet. Perangkat yang disebut router perbatasan menghubungkan sistem informasi organisasi ke Internet. Di belakang router perbatasan adalah mainftrewal /, yang merupakan perangkat perangkat lunak atau perangkat lunak tujuan khusus yang berjalan pada komputer tujuan umum. Zona demiliterisasi (DMZ) adalah jaringan terpisah yang memungkinkan akses controtled dari Internet ke sumber daya yang dipilih, seperti server web e-commerce organisasi. Bersama-sama, router perbatasan dan firewall bertindak sebagai filter untuk mengontrol informasi mana yang diizinkan untuk memasukkan dan meninggalkan sistem informasi organisasi.
  2. Ikhtisar TCP / IP dan Router. Informasi melintasi Internet dan jaringan area lokal internal dalam bentuk paket. Dengan demikian, dokumen dan file di komputer Anda tidak dikirim secara utuh ke printer atau kolega. Sebaliknya, mereka pertama dibagi menjadi paket, dan paket-paket tersebut kemudian dikirim melalui jaringan area lokal, dan mungkin Internet, ke tujuan mereka. Perangkat yang menerima paket-paket itu kemudian harus mengumpulkannya kembali untuk membuat ulang dokumen atau file asli. Aturan dan prosedur yang didefinisikan dengan baik yang disebut protokol menentukan cara melakukan semua kegiatan ini. Dua protokol penting, yang disebut sebagai TCP / IP, mengatur proses untuk mentransmisikan informasi melalui Internet. Tbe Transmission Control Protocol (TCP) menetapkan prosedur untuk membagi file dan dokumen ke dalam paket yang akan dikirim melalui Internet dan metode untuk menyusun kembali dokumen atau file asli di tempat tujuan. - Internet Protocol menspesifikasikan struktur paket-paket itu dan bagaimana mengarahkannya ke tujuan yang tepat. Struktur paket IP memfasilitasi transmisi efisien mereka melalui Internet. Setiap paket IP terdiri dari dua bagian: sebuah header dan sebuah body. Header berisi asal paket dan alamat tujuan, serta informasi tentang jenis data yang terdapat dalam badan paket. Protokol IP mengatur ukuran header dan urutan bidang informasi.
  3. Mengontrol Akses dengan Memfilter Paket. Seperangkat aturan, yang disebut daftar kontrol akses (ACL), menentukan paket mana yang diizinkan masuk dan mana yang dibuang. Router perbatasan biasanya melakukan pemfilteran paket statis, yang menyaring masing-masing paket IP semata-mata berdasarkan konten sumber dan / atau bidang tujuan di header paket IP. Biasanya, ACL router perbatasan mengidentifikasi alamat sumber dan tujuan yang seharusnya tidak diizinkan masuk ke jaringan internal organisasi. Fungsi router border adalah dengan cepat mengidentifikasi dan menjatuhkan beberapa jenis paket tertentu dan meneruskan semua paket lain ke firewall, di mana mereka akan dikenakan pengujian yang lebih rinci sebelum diizinkan masuk ke jaringan internal organisasi. Sebagian besar aturan dalam ACL fokus router perbatasan pada menjatuhkan paket. Aturan terakhir dalam ACL, bagaimanapun, biasanya specihes bahwa setiap paket tidak jatuh karena aturan sebelumnya harus diteruskan ke firewall. Seperti router perbatasan, firewall menggunakan ACL untuk menentukan apa yang harus dilakukan dengan setiap paket yang datang. Perbedaan utama, bagaimanapun, adalah bahwa firewall dirancang untuk mengizinkan masuk hanya ke paket-paket yang memenuhi kondisi tertentu. Jadi, tidak seperti router perbatasan, aturan terakhir dalam firewall ACL biasanya menetapkan bahwa setiap paket yang tidak diizinkan masuk oleh salah satu aturan sebelumnya diACL harus dibuang.
  4. Inspeksi paket yang mendalam. Penyaringan paket stateful masih terbatas untuk memeriksa hanya informasi di header paket IP. Proses semacam itu cepat dan dapat menangkap paket yang tidak diinginkan (misalnya, bisnis mungkin tidak ingin menerima email dari kasino atau majalah porno), tetapi keefektifannya terbatas. Email yang tidak diinginkan dapat masuk jika alamat IP tidak ada dalam daftar sumber yang tidak dapat diterima atau jika pengirim sengaja menyamarkan alamat sumber yang sebenarnya. Jelas, kontrol atas surat masuk akan lebih efektif jika setiap amplop atau paket dibuka dan diperiksa. Demikian pula, firewall yang memeriksa data dalam tubuh paket IP dapat memberikan kontrol akses yang lebih efektif daripada firewall yang hanya melihat informasi di header IP. Dengan demikian, firewall aplikasi Web dapat lebih melindungi server web e-commerce organisasi dengan memeriksa isi paket yang masuk untuk memastikan bahwa mereka hanya berisi kode HTML. Firewall bahkan dapat membatasi jenis perintah yang diizinkan. Inspeksi paket mendalam adalah jantung dari jenis teknologi keamanan baru yang disebut sistem pencegahan intrusi (IPS) yang memonitor pola dalam arus lalu lintas, daripada hanya memeriksa.
  5. Menggunakan pertahanan dalam kedalaman untuk membatasi akses jaringan. Penggunaan beberapa perangkat penyaringan perimeter lebih efisien dan efektif daripada mengandalkan hanya satu perangkat. Sebagian besar organisasi menggunakan router perbatasan untuk dengan cepat menyaring paket-paket yang jelas buruk dan meneruskan sisanya ke firewall utama. Firewall utama melakukan pengecekan yang lebih detail, menggunakan penyaringan paket yang baik atau inspeksi paket yang mendalam. IPS kemudian memonitor lalu lintas yang dilewati oleh hrewall untuk mengidentifikasi dan memblokir pola jaringan traffrc yang mencurigakan yang mungkin menunjukkan bahwa serangan sedang berlangsung.
  • Perangkat menambahkan Kontrol Pengerasan Perangkat Lunak. 
Router, firewall, dan sistem pencegahan intrusi rire dirancang untuk melindungi perimeter jaringan. Organisasi dapat meningkatkan keamanan informasi dengan menambahkan kontrol preventif pada perimeter jaringan dengan kontrol pencegahan tambahan pada workstation, server, printer , dan perangkat lain (secara kolektif disebut sebagai, endpoint) yang terdiri dari jaringan organisasi. Tiga bidang perlu mendapat perhatian khusus: 
  1. Titik akhir. Dapat dibuat lebih aman dengan memodifikasi konfigurasi mereka. Konfigurasi default kebanyakan perangkat biasanya mengaktifkan sejumlah besar pengaturan opsional yang ditetapkan, jika pernah, digunakan. Demikian pula, instalasi default dari banyak Sistem Operasi mengaktifkan banyak layanan yang disebut program 'tujuan khusus', yang tidak penting. Setiap program yang sedang berjalan mewakili titik potensi serangan karena mungkin berisi kekurangan, yang disebut kerentanan, yang dapat dimanfaatkan untuk membobol sistem atau mengendalikannya. 'Proses memodifikasi konfigurasi default dari titik akhir untuk menghilangkan pengaturan dan layanan yang tidak diperlukan disebut pengerasan.
  2. Pengelolaan akun pengguna. Perlunya mengatur dengan hati-hati semua akun pengguna, terutama akun yang memiliki hak (administratif) tidak terbatas pada komputer itu. Hak administratif diperlukan untuk menginstal perangkat lunak dan mengubah sebagian besar pengaturan konfigurasi. Kemampuan yang kuat ini membuat akun dengan hak akses administratif menjadi penyerang utama. Selain itu, banyak kerentanan hanya memengaruhi akun dengan hak administratif. Oleh karena itu, karyawan yang membutuhkan kekuasaan administratif pada komputer tertentu harus diberi dua akun: satu dengan hak administratif dan lainnya yang hanya memiliki hak terbatas.
  3. Desain perangkat lunak. Organisasi telah meningkatkan efektivitas kontrol keamanan perimeter mereka, penyerang telah semakin menargetkan kerentanan dalam program aplikasi 'Buffer overflows, SQL injection, dan cross-site scripting adalah contoh umum serangan terhadap perangkat lunak yang berjalan di situs Web. Serangan-serangan ini semua mengeksploitasi perangkat lunak yang ditulis dengan buruk yang tidak secara menyeluruh memeriksa input yang disediakan oleh pengguna sebelum pemrosesan lebih lanjut. 'Pertimbangkan tugas umum untuk meminta masukan pengguna seperti nama dan alamat.
PENGENDALIAN DETEKTIF
Pengendalian detektif meningkatkan keamanan dengan memantau efektivitas kontrol pencegahan dan mendeteksi insiden di mana kontrol pencegahan telah berhasil dielakkan. Berikut ini akan membahas empat jenis kontrol detektif yaitu:
  • Analisis log
 Sebagian besar sistem dilengkapi dengan kemampuan luas untuk membuat log yang mengakses sistem dan tindakan spesifik apa yang dilakukan setiap pengguna. Log ini membentuk jejak audit akses sistem. Seperti halnya audit rel lainnya, log hanya bernilai jika diperiksa secara rutin. Analisis log adalah proses pemeriksaan catatan untuk mengidentifikasi bukti dari serangan yang mungkin. Sangat penting untuk menganalisis log dari upaya yang gagal untuk masuk ke sistem dan upaya gagal untuk mendapatkan akses ke sumber daya informasi tertentu. Tujuan dari analisis log adalah untuk menentukan alasan untuk upaya log-on yang gagal ini. Log perlu dianalisis secara teratur untuk mendeteksi masalah secara tepat waktu.
  • Sistem deteksi intrusi
Sistem deteksi intrusi (lDSs) terdiri dari satu set sensor dan unit pemantau pusat yang membuat log lalu lintas jaringan yang diizinkan untuk melewati firewall dan kemudian menganalisa log tersebut untuk tanda-tanda gangguan percobaan atau sukses. Seperti IPS, fungsi IDS dengan membandingkan lalu lintas yang diamati ke database tanda tangan serangan yang dikenal atau ke model lalu lintas "normal" pada jaringan tertentu. Selain itu, IDS dapat diinstal pada perangkat khusus untuk memantau upaya tidak sah untuk mengubah konfigurasi perangkat tersebut. Perbedaan utama antara IDS dan IPS adalah bahwa yang pertama hanya menghasilkan peringatan peringatan ketika mendeteksi pola lalu lintas jaringan yang mencurigakan, sedangkan yang kedua tidak hanya mengeluarkan peringatan tetapi juga secara otomatis mengambil langkah untuk menghentikan serangan yang dicurigai.
  • Laporan manajerial 
Kerangka kerja COBIT memberikan pedoman manajemen yang mengidentifikasi faktor-faktor penentu keberhasilan yang terkait dengan setiap tujuan pengendalian dan menyarankan indikator kinerja utama yang dapat digunakan manajemen untuk memantau dan menilai efektivitas pengendalian.
  • Pengujian keamanan
Pengujian penipisan memberikan cara yang lebih teliti untuk menguji keefektifan keamanan informasi organisasi. Tes penetrasi adalah upaya yang sah oleh tim audit internal atau perusahaan konsultan keamanan eksternal untuk membobol sistem informasi organisasi.

PENGENDALIAN KOREKTIF 
Organisasi membutuhkan prosedur untuk melakukan tindakan korektif tepat waktu. Banyak pengendalian korektif, bagaimanapun, bergantung pada manusia judgrnent. Akibatnya, efektivitas mereka sangat tergantung pada perencanaan dan persiapan yang tepat. Beriku ini membahas tiga kontrol korektif yang sangat penting yaitu :
  • Pembentukan tim respon insiden komputer
Komponen untuk dapat menanggapi insiden keamanan dengan segera dan efektif adalah pembentukan tim respon insiden komputer (CIRT) yang bertanggung jawab untuk menangani insiden besar. CIRT harus mencakup tidak hanya spesialis teknis tetapi juga manajemen operasi senior, karena beberapa tanggapan potensial terhadap insiden keamanan memiliki konsekuensi ekonomi yang signifikan. Manajemen operasi yang memiliki pengetahuan luas untuk mengevaluasi dengan benar biaya dan manfaat dari tindakan semacam itu, dan hanya harus memiliki kewenangan untuk membuat keputusan itu.CIRT harus memimpin proses tanggapan insiden organisasi melalui empat langkah berikut: 1) Pengakuan bahwa adanya masalah. 2) Penahanan masalah. 3) Pemulihan. 4) Mengikuti
  • Penunjukan individu tertentu, yang disebut sebagai Chief Information Security Officer (CISO)
Tanggung jawab untuk keamanan informasi diberikan kepada seseorang pada tingkat senior yang sesuai. Salah satu cara untuk memenuhi tujuan ini adalah untuk menciptakan posisi kepala keamanan informasi utama (CISO), yang harus independen dari fungsi sistem informasi lainnya dan harus melaporkan kepada chief operating officer (COO) atau CEO. CISO harus memahami lingkungan teknologi comppny dan bekerja dengan CIO untuk merancang, menerapkan, dan mempromosikan kebijakan dan prosedur perataan suara. CISO juga harus menjadi penilai dan penilai tidak memihak terhadap lingkungan TI. Dengan demikian, CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur dan bahwa audit keamanan dilakukan secara berkala. CISO juga perlu bekerja sama dengan orang yang bertanggung jawab atas keamanan fisik, karena akses fisik yang tidak sah dapat memungkinkan penyusup untuk melewati kontrol akses logis yang paling rumit. Untuk memfasilitasi integrasi keamanan fisik dan informasi, beberapa organisasi telah menciptakan posisi baru, chief security officer (CSO), yang bertanggung jawab atas kedua fungsi tersebut.
  • Sistem manajemen patch yang dirancang dengan baik
Perlunya memperbaiki kerentanan yang diketahui dengan menginstal pembaruan terbaru untuk kedua program keamanan (misalnya, perangkat lunak antivirus dan firewall) dan ke sistem operasi dan program aplikasi lain untuk melindungi organisasi dari virus dan jenis malware lainnya. . Ini penting karena jumlah kerentanan yang dilaporkan meningkat setiap tahun. Penyebab utama meningkatnya kerentanan yang dilaporkan adalah ukuran dan kompleksitas perangkat lunak yang terus meningkat. Patch adalah kode yang dirilis oleh pengembang perangkat lunak yang memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan tambalan dan pembaruan untuk semua perangkat lunak yang digunakan oleh organisasi. Ini tidak semudah kedengarannya. Tambalan merepresentasikan modifikasi pada perangkat lunak yang sudah rumit. Akibatnya, patch kadang-kadang menciptakan masalah baru karena efek samping yang tak terduga. Oleh karena itu, organisasi perlu hati-hati menguji efek tambalan sebelum menyebarkannya; jika tidak, mereka menjalankan risiko menabrak aplikasi penting. Masalah yang lebih rumit adalah kenyataan bahwa ada kemungkinan beberapa patch dirilis setiap tahun untuk setiap program perangkat lunak yang digunakan oleh organisasi.

Komentar

Posting Komentar

Postingan populer dari blog ini

Siklus Manajemen Sumber Daya Manusia dan Penggajian

Gambar
I. PENDAHULUAN Siklus manajemen sumber daya manusia (MSDM) atau penggajian- human resources management (HRM) atau payroll cycle adalah serangkaian aktivitas bisnis dan operasi pengolahan data terkait yang terus menerus berhubungan dengan mengelola kemampuan pegawai secara efektif. Tugas-tugas yang lebih penting meliputi sebagai berikut: Merekrut dan mempekerjakan para pegawai baru Pelatihan Penugasan pekerjaan Kompensasi (penggajian) Evaluasi kinerja Mengeluarkan pegawai karena penghentian yang sukarela maupun tidak Tugas 1 dan 6 dilakukan hanya sekali pada setiap pegawai, sementara tugas 2 sampai 5 dijalankan berulang-ulang selama seorang pegawai bekerja untuk perusahaan tersebut. Pada kebanyakan perusahaan, keenam aktivitas ini dibagi ke dalam dua sistem terpisah. Tugas 4, kompensasi pegawai, merupakan fungsi utama sistem penggajian. Kelima tugas yang lain merupakan sistem MSDM. Pada banyak perusahaan, kedua sistem tersebut dikelola secara terpisah. Sistem MSDM biasanya
Baca selengkapnya

Siklus Produksi

Gambar
I. PENDAHULUAN Siklus produksi (production cycle) adalah serangkaian aktivitas bisnis dan operasi pemrosesan informasi terkait yang terus-menerus berhubungan dengan pembuatan produk. Figur 14-1 Diagram Konteks Siklus Produksi Figur ini menunjukkan bagaimana siklus produksi dihubungkan dengan subsistem lain dalam sistem informasi sebuah perusahaan. Sistem informasi siklus pendapatan menyediakan informasi (pesanan pelanggan dan perkiraan penjualan) yang digunakan untuk merencanakan tingkat produksi dan persediaan. Sebagai balasannya, sisem informasi siklus produksi mengirimkan informasi ke siklus pendapatan mengenai barang jadi yang telah diproduksi dan tersedia untuk dijual. Informasi mengenai kebutuhan bahan baku dikirim ke sistem informasi siklus pengeluaran dalam bentuk permintaan pembelian. Sebagai gantinya, sistem siklus pengeluaran menyediakan informasi mengenai perolehan bahan baku dan juga mengenai pengeluaran lain yang dimasukkan ke dalam overhead pabrik. Informasi menge
Baca selengkapnya

Sistem Buku Besar dan Pelaporan

Gambar
I. PENDAHULUAN Sistem buku besar dan pelaporan memainkan sebuah peran penting dalam sistem informasi akuntansi sebuah perusahaan. Fungsi utamanya adalah untuk mengumpulkan dan mengatur data dari sumber-sumber sebagai berikut: Setiap subsistem siklus akuntansi menyediakan informasi mengenai transaksi reguler Bendahara menyediakan informasi mengenai aktivitas pendanaan dan investasi, seperti penerbitan atau penyelesaian instrumen utang dan ekuitas dan pembelian serta penjualan sekuritas investasi Departemen anggaran menyediakan nomor anggaran Kontrolir menyediakan jurnal penyesuaian II. SISTEM BUKU BESAR DAN PELAPORAN Proses Database terpusat harus diatur menggunakan cara yang memungkinkan tercapainya berbagai kebutuhan informasi, baik pengguna internal maupun eksternal. Para manajer membutuhkan informasi yang detail dan tepat waktu mengenai hasil operasi pada area tanggung jawab tertentunya. Para investor dan kreditur mengharapkan laporan keuangan periodik dan pemb
Baca selengkapnya