Prosedur pengendalian yang didesain untuk membatasi akses pegawai terhadap sebuah sistem

1.      Pendahuluan

            Pengendalian internal merupakan bagian integral dari sistem informasi akuntansi. Sistem informasi akuntansi merupakan salah satu jenis sistem informasi yang diperlukan oleh perusahaan dalam menangani kegiatan operasionalnya sehari-hari untuk menghasilkan informasi-informasi akuntansi serta informasi lainnya. Pengendalian internal itu sendiri adalah suatu proses yang dijalankan untuk dewan komisaris, manajemen, dan personil lain dalam perusahaan. Adapun kriteria dari pengendalian internal yaitu :

a.       Keandalan pelaporan keuangan,

b.      Efektivitas dan efisiensi operasi, dan

c.       Keputusan terhadap hukum dan peraturan yang berlaku.

                        Dewasa ini seiring berkembangnya ilmu pengetahuan khususnya dalam teknologi informasi menyebabkan banyak cara yang muncul dalam membobol suatu sistem informasi milik orang lain. Dalam hal ini dibutuhkan perlindungan dalam suatu sistem informasi. Laudon menuliskan bahwa pengamanan adalah merujuk kepada kebijakan, prosedur, dan pengukuran teknik yang digunakan untuk mencegah akses yang tidak sah, penggantian, pencurian, atau kerusakan fisik pada sistem informasi. Sedangkan pengendalian terdiri atas semua metode, kebijakan, dan prosedur organisasi yang menjamin keselamatan aset-aset organisasi, ketepatan, dan keandalan catatan rekeningnya serta kepatuhan operasional pada standar-standar manajemen.

                        Sistem informasi harus memiliki pengamanan dan pengendalian agar tidak terjadi pencurian dan penyalahgunaan terhadap data dari suatu sistem informasi yang dapat menyebabkan kerugian bagi seseorang. Dengan adanya pengamanan dan pengendalian tentu akan meminimalisir terjadinya penyalahgunaan yang dimiliki oleh seseorang.

2.      Pengendalian Sistem Informasi

            Pengendalian sistem informasi merupakan bagian yang tidak dapat dipisahkan dari pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap tahapan daam proses pengelolaan informasi. Pengendalian sistem informasi adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti memindahkan sebagaian dari sistem informasinya ke cloud. Untuk mengatasi permasalahan pengendalian  tersebut, AICPA dan CICA mengembangkan Trust Service Framework untuk menyediakan panduan penilaian keandalan sistem informasi. Trust Service Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem, yaitu:

1)      Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.

2)      Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitif (seperti rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.

3)      Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan tanpa ijin.

4)      Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat, lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.

5)      Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan kontraktual.

Keamanan informasi merupakan landasan keandalan sistem dan diperlukan untuk mencapai masing-masing dari empat prinsip lainnya. Prosedur keamanan informasi membatasi akses ke sistem hanya untuk pengguna yang terotorisasi, sehingga melindungi kerahasiaan data keorganisasian yang sensitif dan privasi atas informasi pribadi yang dikumpulkan dari pelanggan. Selain itu, prosedur keamanan melindungi integritas informasi dengan mencegah terjadinya transaksi tanpa ijin atau fiktif serta memberikan perlindungan terhadap berbagai serangan termasuk virus dan worm.

3.      Pengendalian Preventif, Detektif dan Korektif

3.1 Pengendalian Preventif

                  Pengendalian preventif merupakan pengendalian yang mencegah masalah sebelum timbul. Pengendalian preventif yang digunakan organisasi secara umum digunakan untuk membatasi akses terhadap sumber daya informasi. COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya untuk keamanan informasi yang efektif. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran-ukuran keamanan bagi kebertahanan jangka panjang organisasi. Selain itu, pegawai juga dilatih untuk mengikuti praktik-praktik komputasi yang aman. Investasi organisasi dalam pelatihan keamanan akan menjadi efektif  hanya jika manajemen mendemontrasikan dengan jelas bahwa mereka mendukung para pegawai yang mengikuti kebijakan keamanan.

                  Penting memahami bahwa “orang luar” bukan satu-satunya sumber ancaman. Oleh karena itu, organisasi menerapkan satu set pengendalian untuk melindungi aset informasi. Praktik manajemen COBIT 5 DSS05.04 menetapkan dua pengendalian atas ancaman terhadap aset informasi, diantaranya yaitu:

a.         Pengendalian autentifikasi, memverifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Pengendalian ini membatasi siapa saja yang dapat mengakses sistem informasi organisasi.

b.        Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.

                 Untuk mendukung pelaksanaaan kedua pengendalian tersebut, maka solusi di bidang teknologi informasi sendiri pun diperlukan. Terdapat beberapa solusi teknologi informasi yang dapat digunakan:

a.         Pengendalian antimalware. Malware dapat menghancurkan informasi atau memperoleh akses tanpa ijin. Oleh karena itu, salah satu dari bagian COBIT 5 DSS05.01 mendaftarkan perlindungan malware sebagi salah satu dari kunci keamanan yang efektif.

b.        Pengendalian akses jaringan. Banyak organisasi menyediakan akses nirkabel terhadaap sistem mereka. Praktik manajemen COBIT 5 DSS05.02 menunjukkan keamanan jaringan organisasi dan seluruh upaya untuk tersambung ke dalamnya.

c.         Pengendalian pengukuhan peralatan dan perangkat lunak. Firewall didesain untuk melindungi parimeter jaringan, namun diperlukan tambahan pengendalian preventif pada stasiun kerja, server, printer, dan perangkat lainnya (secara kolektif disebut endpoint) yang meliputi jaringan organisasi. Praktik manajemen COBIT 5 DSS05.03 menjelakan aktivitas yang terlibat dalam mengelola keamanan endpoint.

d.        Enkripsi. Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa ijin terhadap informasi sensitif.

               Organisasi secara konstan memodifikasi sistem informasi untuk menunjukkan praktik-praktik bisnis baru. Pengendalian perubahan dan manajemen perubahan merupakan proses formal yang digunakan untuk memastikan bahwa modifikasi pada perangkas keras, perangkat lunak, atau pada proses tidak mengurangi keandalan sistem.

3.2  Pengendalian Detektif.

                 Pengendalian detektif merupakan pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak terelakan. Sebagaian besar sistem muncul dengan kemampuan ekstensif untuk mencatat (logging) siapa yang mengakses sistem. Sejumlah log yang dibuat menciptakan sebuah jejak audit pada akses sistem. Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Sedangkan, sistem deteksi gangguan (intrusion detection system) merupakan sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan.

                 Organisasi perlu untuk secara periodik menguji efektivitas proses bisnis dan pengendalian internal. Sebuah uji penetrasi adalah sebuah upaya terotorisasi untuk menerobos ke dalam sistem informasi organisasi. Oleh karena itu, praktik manajemen COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai terhadap kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses bisnis.

3.3  Pengendalian Korektif.

                 Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang dihasilkan. Terdapat tiga pengendalian korektif yang penting:

1.        Pembentukan sebuah tim perespon insiden komputer (computer incident response team – CIRT). Merupakan sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan utama. Sebuah CIRT harus mengarahkan proses respon insiden organisasi melalui empat tahap: 1). Pemberitahuan(recognition) adanya sebuah masalah; 2). Penahanan (containment) masalah; 3). Pemulihan (recovery); dan 4). Tindak lanjut (foloow up). 

2.        Pendesainan individu khusus (Chief Informastion Security Officer – CISO). Penting agar organisasi menentukan pertanggungjawaban atas keamanan informasi kepada seseorang di level manajemen senior yang tepat. satu cara untuk memenuhi sasaran adalah menciptakan posisi CISO, yang harus independen dari fungsi-fungsi sistem informasi lainnya serta harus melapor baik ke chief operating officer (COO) maupun chief executive officer (CEO). Oleh karena itu, CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara periodik.

3.        Penetapan serta penerapan sistem manajemen path yang didesain dengan baik. Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan patch dan memperbarui seluruh perangkat lunak yang digunakan oleh organisasi. Oleh karena sejumlah patch merepresentasikan modifikasi perangkat lunak yang sungguh rumit, maka organisasi perlu menguji dengan cermat efek dari patch sebelum menyebarkannya.

4.      Pengendalian Umum dan Aplikasi.

4.1 Pengendalian Umum

                 Pengendalian umum merupakan pengendalian yang didesain untuk memastikan sistem informasi organisasi serta pengendalian lingkungan stabil dan dikelola dengan baik. Pengendalian umum digolongkan menjadi beberapa, diantaranya:

a.         Pengendalian organisasi dan otorisasi adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.

b.        Pengendalian operasi. Operasi sistema informasi dalam perusahaan juga perlu pengendalian untuk memastikan sistema informasi tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.

c.         Pengendalian perubahan. Perubahan-perubahan yang dilakukan terhadap sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi tersebut, catatan perubahan versi, serta manajemen perubahan atas diimplementasikannya sebuah sistem informasi.

d.        Pengendalian akses fisikal dan logikal. Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).

4.2  Pengendalian Aplikasi

                 Pengendalian aplikasi merupakan pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi. Terdapat beberapa macam aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan:

a.         Perangkat lunak berdiri sendiri. Terdapat pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan.

b.        Perangkat lunak di server. Tedapat pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstal pada server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk mengakses aplikasi pada server.

                 Selain macam-macam aplikasi dalam pengendalian, terdapat juga bentuk pengendalian dari aplikasi tersebut, diantaranya:

a.        Pengendalian Organisasi dan Akses Aplikasi. Pada pengendalian organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna, hingga pengembangan aplikasi tersebut. Untuk pengendalian akses, terpusat hanya pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandinya.

b.        Pengendalian Input. Pengendalian input memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.

c.         Pengendalian Proses. Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2) tahapan database, proses yang dilakukan pada berkas-berkas master.

d.        Pengendalian Output. Pada pengendalian ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat mata.

e.         Pengendalian Berkas Master. Pada pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak akan diketemukan anomali-anomali, seperti:

a)      Anomaly penambahan,

b)      Anomaly penghapusan, dan

c)      Anomaly pemuktahiran/pembaruan.

5.      Kerahasiaan dan Privasi

5.1  Kerahasiaan

                 Aspek ini berhubungan dengan kerahasiaan data-data penting yang tersimpan pada sistem organisasi yang tidak boleh diakses atau digunakan oleh orang-orang yang tidak berhak. Aspek ini dapat tidak terpenuhi jika ada pengguna (internal)  yang memiliki izin tetapi menyalah gunakan izin tersebut lalu pengguna tersebut menyebar luaskan data-data organisasi yang bersifat rahasia tersebut kepada orang lain atau pesaing yang membuat organisasi merasa dirugikan atau juga pengguna tersebut menggunakan secara pribadi rahasia tersebut untuk menyaingi perusahaan. Terdapat empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi sensitif:

1)      Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi. Langkah pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis sensitive lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya. Setelah informasi yang perlu untuk dilindungi telah diidentifikasi.

2)      Mengklasifikasikan informasi untuk organisasi berdasarkan nilainya. Praktik manajemen COBIT 5 menunjukkan bahwa klasifikasi merupakan tanggung jawab pemilik informasi, bukan professional keamanan informasi karena hanya pemilik informasilah yang memahami bagaimana informasi digunakan.

3)      Mengenkripsi informasi. Enkripsi adalah alat yang penting dan efektif untuk melindungi kerahasiaan.  Enkripsi adalah satu-satunya cara untuk melindungi informasi dalam lalu lintas internet dan cloud publik.

4)      Mengendalikan akses atas informasi. Pengendalian autentikasi dan otorisasi tidaklah cukup untuk melindungi kerahasiaan karena hanya mengendalikan akses awal terhadap informasi yang disimpan secara digital. Perangkat lunak information rights management (IRM) memberikan tambahan lapisan perlindungan terhadap informasi yang disimpan dengan format digital, menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file tetapi juga memerinci tindakan-tindakan yang dapat dilakukan individu yang diberi akses terhadap sumber daya tersebut.

                  Saat ini organisasi secara konstan mempertukarkan informasi dengan rekan bisnis dan pelanggan, perangkat lunak data loss prevention bekerja seperti anti virus secara terbalik mengeblok pesan-pesan keluar yang mengandung kata-kata atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi.

                  Melatih para pegawai untuk menangani informasi secara tepat. Pelatihan adalah pengendalian yang penting untuk melindungi kerahasiaan. Para pegawai perlu mengetahui jenis informasi yang dapat mereka bagikan dan jenis informasi yang dilindungi.  Dengan pelatihan yang memadai, para pegawai dapat memainkan peran penting untuk melindungi kerahasiaan informasi organisasi dan meningkatkan efektivitas pengendalian terkait.

5.2  Privasi

                 Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip kerahasiaan, perbedaan utamanya, yaitu lebih berfokus pada perlindungan informasi  pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis dari pada data keorganisasian. Langkah pertama untuk melindungi privasi yaitu mengidentifikasi jenis informasi yang dimiliki organisasi, letak ia simpan, dan orang yang memiliki akses terhadapnya. Demi melindungi privasi, organisasi harus menjalankan program data masking yaitu program yang menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu sebelum mengirimkan data tersebut kepada pengembang program dan sistem pengujian. Terdapat dua permasalahan utama terkait privasi:

1)      Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun konten serangan. Spam merupakan permasalahan yang terkait privasi karena penerima sering kali menjadi target tujuan atas akses tak terotorisasi terhadap daftar dan databasee-mail yang berisi informasi pribadi.

2)      Pencuri identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku. Organisasi harus memiliki kewajiban etis dan moral untuk menerapkan pengendalian demi melindungi informasi pribadi yang organisasi kumpulkan.

                 Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi individu telah menghasilkan berbagai regulasi pemerintah. Untuk membantu organisasi agar hemat biaya dalam mematuhi banyaknya persyaratan ini, American Institute of Certified Public Accountant (AICPA) dan Canadian Institute of Chartered Accountants (CICA) bersama-sama mengembangkan sebuah kerangka yang disebut prinsip-prinsip yang diterima umum (Generally Accepted Privacy  Principles – GAAP). Kerangka tersebut mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik untuk melindungi privasi informasi pribadi para pelanggan yang terdiri dari: 1). Manajemen; 2). Pemberitahuan; 3). Pilihan dan persetujuan; 4). Pengumpulan; 5). Penggunaan dan Retensi; 6). Akses; 7). Pengungkapan kepada pihak ketiga;  8). Keamanan; 9). Kualitas; 10). Pengawasan dan penegakan.

6.         Integritas dan Ketersediaan Pemrosesan

6.1  Integritas Pemrosesan

                 Prinsip Integritas Pemrosesan dari Trust Service Framework menyatakan bahwa sebuah sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi akurat, lengkap, tepat waktu, dan valid. Aplikasi pengendalian untuk integritas pemrosesan terdiri atas:

a.       Pengendalian Input. Jika data yang dimasukkan ke dalam sistem tidak akurat, tidak lengkap, atau tidak valid maka bentuk pengendalian input yang dilakukan adalah bentuk desain, pembatalan dan penyimpanan dokumen, otorisasi dan pemisahan tugas pengendalian, pemindaian visual, dan pengendalian entri data.

b.      Pengendalian pemrosesan. Jika terjadi kesalahan dalam output dan data yang tersimpan dalam pemrosesan maka bentuk pengendalian yang dilakukan adalah pencocokan data, label file, total batch, pengujian saldo cross-footing dan saldo nol, mekanisme menulis perlindungan (write-protection), pemrosesan database, dan pengendalian integritas.

c.       Pengendalian Output. Jika terjadi penggunaan laporan yang tidak akurat atau tidak lengkap, pengungkapan yang tidak diotorisasi informasi sensitive, dan kehilangan, perubahan, atau pengungkapan informasi dalam transit maka bentuk pengendalian yang dilakukan adalah pemeriksaan dan rekonsiliasi, enkripsi dan pengendalian akses, pengecekan berimbang dan tenik pengakuan pesan.

6.2  Ketersediaan Pemrosesan

                 Proses pengendalian menunjukkan DSS01 dan DSS04 COBIT 5 menunjukkan pentingnya memastikan bahwa sistem dan informasi tersedia setiap saat dibutuhkan oleh pengguna. Tujuan utamanya adalah untuk meminimalkan risiko penghentian sistem. Oleh karena itu, organisasi perlu memiliki pengendalian yang didesain untuk memungkinkan pelanjutan cepat dari operasi normal. Berdasarkan kedua tujuan tersebut maka bentuk pengendaliannya:

a.       Tujuan meminimalkan risiko penghentian sistem dapat dilakukan melalui pengendalian pemeliharaan preventif, toleransi kesalahan, lokasi dan desain pusat data, pelatihan, dan manajemen patch dan perangkat lunak antivirus.

b.      Tujuan pemulihan yang cepat dan lengkap serta pelanjutan operasi normal dapat dilakukan melalui pengendalian prosedur backup, disaster recovery plan, dan business continuity plan.

7.      Authorization/accses control

                  Pengendalian akses (access control) menjadi pertimbangan pertama saat seorang profesional Sistem Keamanan Informasi akan membuat program keamanan informasi. Keistimewaan dan variasi mekanisme access control baik secara fisik, teknik dan administrasi akan membangun arsitektur keamanan informasi yang praktis untuk melindungi informasi penting dan sensitif yang menjadi aset organisasi. Pengendalian akses dilakukan melalui tiga tahap yang mencakup:

1)      Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.

2)      Otentikasi pengguna. Para pengguna hak akses dengan cara memberikan sesuatu yang mereka miliki seperti smart card atau tanda tertentu atau chip identifikasi. Autentifikasi  pengguna dapat juga dilaksanakan dengan cara memberikan sesuatu yang menjadi identitas diri seperti tanda tangan atau suara.

3)      Otorisasi pengguna. Setelah identifikasi dan autentifikasi dilalui, seseorang kemudian mendapatkan otorisasi untuk memasuki tingkat atau derajat pengguna tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan file tersebut.

                    Identifikasi dan autentifikasi memanfaatkan profil pengguna (user profile) atau deskripsi pengguna yang terotorisasi. Sedangkan Otorisasi memanfaatkan file pengendaliaan akses (access control file) yang menentukan tingkat akses tersedia bagi pengguna. Setelah pengguna memenuhi syarat tiga fungsi pengendalian akses, mereka dapat menggunakan sumber daya informasi.

Daftar Pustaka

B. Romney, Marshall dan Paul John Steinbart. 2006. Sistem Informasi Akuntansi Edisi 9. Jakarta: Salemba Empat.

L. Whitten, Jeffrey, Lonnie D. Bentley dan Kevin C. Dittman. 2005. System Analysis and Design Methods. New York: McGraw Hill Companies Inc.

Mulyadi. 2001. Sistem Informasi Akuntansi. Jakarta: Salemba Empat

M.B. Romneyand, and P.J. Steinbart. (2012). Accounting Information Systems 12th edition Prentice Hall.

Siagian, Sondang P. 2004. Manajemen Abad 21. Jakarta: Bumi Aksara.

W. Wilkinson, Joseph. 1995. Sistem Akunting dan Informasi. Jakarta: Binarupa Aksara.

NB: Menyewakan Jas, add ID LINE kami : rumahjasbali