Mayoritas kelemahan dalam pengendalian akses adalah akses tidak sah terhadap aplikasi, program, dan data. Karyawan sering kali memiliki akses ke sistem, program, dan data di luar tanggung jawab yang diberikan kepada mereka, termasuk kemampuan untuk memulai transaksi yang tidak sesuai dengan tugas pekerjaan mereka. Kasus-kasus seperti ini merupakan pelanggaran yang jelas terhadap prinsip pemisahan tugas yang efektif.
Secara umum, kelemahan pengendalian akses ini terkait dengan aplikasi dan data keuangan. Bahkan, beberapa kasus menyebutkan adanya “akses tanpa batas” ke area-area tersebut. Dalam beberapa situasi, personel yang tidak sesuai diberikan hak sebagai administrator sistem terhadap program dan data. Pelanggaran lainnya yang ditemukan mencakup: tidak adanya peninjauan akses secara berkala dan independen, tidak adanya kebijakan dan prosedur terkait akses, tidak adanya pemantauan akses secara independen, kontrol kata sandi yang tidak memadai (misalnya, tidak mewajibkan perubahan kata sandi secara berkala), tidak adanya pemantauan atas pelanggaran keamanan, kegagalan dalam mencabut hak akses bagi karyawan yang telah keluar, serta tidak adanya peninjauan atas profil akses pengguna.
Upaya perbaikan untuk mengatasi kelemahan dalam pengendalian akses mencakup langkah-langkah seperti meningkatkan keterlibatan manajemen senior; memperkuat pemisahan tugas; membuat audit trail (log akses tidak sah); membatasi akses pengguna; meningkatkan pemantauan; mewajibkan perubahan kata sandi secara berkala; menerapkan sistem baru, termasuk sistem ERP beserta pengendaliannya; merekrut personel baru (baik di tingkat manajerial maupun staf) untuk memperkuat pengendalian internal; meninjau hak akses secara berkala; serta membangun infrastruktur TI untuk memastikan pemisahan tugas.
Sumber: Hermanson et al. (2007)
Abdiansyah Prahasto 
Leave a comment