Control Objective for Information & Related Technology (COBIT)
adalah sekumpulan dokumentasi best practice untuk IT Governance yang
dapat membantu auditor, pengguna (user), dan manajemen, untuk
menjembatani gap antara resiko bisnis, kebutuhan kontrol dan
masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja
untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja
juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan,
resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara
bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh
sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh
lembaga swadaya profesional auditor yang tersebar di hampir seluruh
negara. Dimana di setiap negara dibangun chapter yang dapat mengelola
para profesional tersebut.
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:
• Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control
objectives) yang terbagi dalam 4 domain, yaitu : Planning &
Organization , Acquisition & Implementation , Delivery & Support
, dan Monitoring & Evaluation.
• Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci
(detailed control objectives) untuk membantu para auditor dalam
memberikanmanagement assurance dan/atau saran perbaikan.
• Management Guidelines
Manfaat dan Pengguna COBIT :
Secara manajerial target pengguna COBIT dan manfaatnya adalah :
• Direktur dan Eksekutif
Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan sejalan dengan TI.
• Manajemen
v Untuk mengambil keputusan investasi TI.
v Untuk keseimbangan resiko dan kontrol investasi.
v Untuk benchmark lingkungan TI sekarang dan masa depan.
• Pengguna
Untuk memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal.
• Auditors
v Untuk memperkuat opini untuk manajemen dalam control internal.
v Untuk memberikan saran pada control minimum yang diperlukan.
Frame Work COBIT :
COBIT dikeluarkan oleh IT Governance Institute (ITGI). COBIT
digunakan untuk menjalankan penentuan atas IT dan meningkatkan
pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit,
kinerja dan hasil metrik, faktor kesuksesan dan maturity model.
Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
• Effectiveness
• Efficiency
• Confidentiality
• Integrity
• Availability
• Compliance
• Reliability
Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada :
• Applications
• Information
• Infrastructure
• People
Dalam menyediakan informasi yang dibutuhkan perusahaan untuk mencapai tujuan organisasi, COBIT memiliki karakteristik :
• Business-focused
• Process-oriented
• Controls-based
• Measurement-driven
COBIT mengelompokkan semua aktivitas bisnis yang terjadi dalam
organisasi menjadi 34 proses yang terbagi ke dalam 4 buah domain proses,
meliputi :
• Planning & Organization.
• Acquisition & Implementation.
• Delivery & Support.
• Monitoring and Evaluation.
COBIT Maturity Model
COBIT menyediakan parameter untuk penilaian setinggi dan sebaik apa
pengelolaan IT pada suatu organisasi dengan menggunakan maturity models
yang bisa digunakan untuk penilaian kesadaran pengelolaan (management
awareness) dan tingkat kematangan (maturity level). COBIT mempunyai
model kematangan (maturity models) untuk mengontrol proses-proses IT
dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi
dapat menilai proses-proses IT yang dimilikinya dari skala nonexistent
sampai dengan optimised (dari 0 sampai 5), yaitu: 0: Non Existen, 1:
Initial, 2: Repetable, 3: Defined, 4: Managed dan 5: Optimized
(Purwanto dan Saufiah, 2010; Setiawan, 2008; Nurlina dan Cory, 2008).
Sumber :
http://haendra.wordpress.com/2012/06/08/pengertian-cobit/
http://eviasiyah.wordpress.com/2013/12/06/jelaskan-apa-itu-cobit/
Jumat, 07 November 2014
Jelaskan Komponen Pengendalian Intern (versi coso)
Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
• Efektifitas dan efisiensi operasional
• Reliabilitas pelaporan keuangan
• Kepatuhan atas hukum dan peraturan yang berlaku
Dokumen COSO menyatakan bahwa pihak-pihak yang terlibat terkait
PengendalianInternal adalah dewan komisaris, manajemen, dan pihak-pihak
lainnya yangmendukung pencapaian tujuan organisasi. Serta menyatakan
bahwa tanggung jawabatas penetapan, penjagaan, dan pengawasan sistem
Pengendalian Internal adalahtanggung jawab manajemen.
Untuk mencapai suatu pengendalian intern yang benar-benar memadai, terdapat komponen dasar kebijakan yang dirancang dan digunakan oleh manajemen.
Komponen pengendalian intern menurut COSO (The Committee of Sponsoring Organizations) oleh Wing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” Ada lima, yaitu:
“1. Control environment atau lingkungan pengendalian
2. Control activities atau kegiatan pengendalian
- Risk assessment atau pemahaman risiko
- Information and communication atau informasi dan komunikasi
- Monitoring atau pemantauan”.
- Lingkungan pengendalian
- Komitmen manajemen terhadap integritas dan nilai-nilai etika (Commitment to integrity and ethical values).
- Filosofi yang dianut oleh manajemen dan gaya operasional yang dipakai oleh manajemen (Manajement’s philosophy and operating style).
- Struktur organisasi (Organizational structure).
- Komite Audit untuk Dewan Direksi (The audit committee of the board of directors).
- Metode pembagian tugas dan tanggung jawab (Methods of assigning authority and responsibility).
- Kebijakan dan praktik yang menyangkut sumber daya manusia (Human resources policies and practices).
- Pengaruh dari luar (External influences).
- Kegiatan pengendalian
- Pemberian otorisasi atas transaksi dan kegiatan (Proper authorization of transactions and activities).
- Pembagian tugas dan tanggung jawab (Segregation of duties).
- Rancangan dan penggunaan dokumen dan catatan yang baik (Design and use of adequate documents and records).
- Perlindungan yang cukup terhadap kekayaan dan catatan perusahaan (Adequate safeguards of assets and records).
- Pemeriksaan independen terhadap kinerja perusahaan (Independent checks on performance).
- Pemahaman risiko
- Risiko strategis, yaitu mengerjakan sesuatu dengan cara yang salah (misalnya: harusnya dikerjakan dengan komputer ternyata dikerjakan secara manual).
- Risiko finansial, yaitu risiko menghadapi kerugian keuangan. Hal ini dapat disebabkan karena uang hilang, dihambur-hamburkan, atau dicuri.
- Risiko informasi, yaitu menghasilkan informasi yang tidak relevan, atau informasi yang keliru, atau bahkan sistem informasinya tidak dapat dipercaya.
Perancang sistem informasi perusahaan dan manajemen puncak harus mengetahui hal-hal di bawah ini:
- Bagaimana transaksi diawali
c. Bagaimana file data di baca di organisasi dan diperbaharui isinya
d. Bagaimana data diproses agar menjadi informasi dan informasi diproses lagi menjadi informasi yang lebih berguna bagi pembuat keputusan
e. Bagaimana informasi yang baik dilakukan
f. Bagaimana transaksi berhasil
4. Pemantauan
Pemantauan adalah kegiatan untuk mengikuti jalannya sistem informasi akuntansi, sehingga apabila ada sesuatu berjalan tidak seperti yang diharapkan, dapat diambil tindakan segera. Berbagai bentuk pemantaun di dalam perusahaan dapat dilaksanakan dengan salah satu atau semua proses berikut ini:
- Supervisi yang efektif (effective supervision)
- Akuntansi pertanggungjawaban (responsibility accounting)
- Audit internal (internal auditing)
Dari uraian di atas dapat disimpulkan bahwa komponen pengendalian intern terdiri dari: lingkungan pengendalian, kegiatan pengawasan, pemahaman risiko, informasi dan komunikasi sreta pemantauan.
2.2.3 Kegiatan Pengendalian Intern
Menurut Wing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” kegiatan pengendalian intern terdiri dari:
“1 Pemberian otorisasi atas transaksi dan kegiatan
2. Pembagian tugas dan tanggung jawab
3. Perancangan dan penggunaan dokumen dan catatan yang baik
- 4. Perlindungan yang cukup terhadap kekayaan dan catatan perusahaan
- 5. Pemeriksaan independen terhadap kinerja perusahaan”.
1. Pemberian otorisasi atas transaksi dan kegiatan
Otorisasi adalah pemberian sebagian kekuasaan manajemen kepada karyawan untuk melakukan kegiatan dan mengambil keputusan. Hal ini perlu dilakukan karena manajemen tidak akan mampu membuat semua keputusan dan menjalankan semua kegiatan di dalam perusahaan.
2. Pembagian tugas dan tanggung jawab
Tidak ada satu karyawan atau satu bagian pun yang dapat menyelesaikan suatu transaksi tanpa campur tangan pihak lain. Wewenang dan tanggung jawab di bagi atas tiga fungsi, yaitu:
- Fungsi penyimpanan
- Fungsi pencatatan
- Fungsi pemberian otorisasi
Dokumen akan disimpan dalam waktu yang lama. Oleh karenanya, bahan yang digunakan untuk membuat dokumen juga harus merupakan bahan yang tahan lama dan berkualitas baik.
4. Perlindungan yang cukup terhadap kekayaan dan catatan perusahaan
Perlindungan yang dapat dilakukan oleh perusahaan, agar tidak terjadi pencurian dan penggunaan tanpa otorisasi, diantaranya dengan melakukan hal-hal di bawah ini:
- Pengawasan dan pembagian tugas dan tanggung jawab yang baik
- Penyelenggaraan catatan aktiva dan penyajian informasi yang akurat
- Pembatasan akses fisik terhadap kas dan berbagai dokumen penting
- Penyediaan tempat penyimpanan yang baik
- Pembatasan akses ruang-ruang penting
Pemeriksaan kinerja ini dapat dilakukan dengan salah satu langkah berikut:
- Melakukan rekonsiliasi antara dua catatan yang terpisah atau berbeda mengenai suatu rekening
- Membandingkan antara jumlah unit persediaan di gudang dengan jumlah menurut catatan persediaan
d. Menjumlah berbagai hitungan dengan cara batch totals, yaitu penjumlahan dari atas ke bawah.
Dari uraian di atas dapat disimpulkan bahwa kegiatan pengendalian intern meliputi pemberian otorisasi transaksi dan kegiatan, pembagian tugas dan tanggung jawab, perancangan dan penggunaan dokumen dan catatan yang baik, perlindungan yang cukup terhadap kekayaan dan catatan perusahaan, dan pemeriksaan independent terhadap kinerja perusahaan.
2.2.5 Keterbatasan Pengendalian Intern
Menurut Azhar Susanto dalam bukunya ‘Sistem Informasi Akuntansi” menyatakan bahwa ada beberapa keterbatasan dari pengendalian intern, sehingga pengendalian intern tidak dapat berfungsi, yaitu:
1. Kesalahan
2. Kolusi
3. Penyimpangan Manajemen
4. Manfaat dan Biaya
Menurut kutipan diatas dapat diuraikan sebagai berikut:
1. Kesalahan muncul ketika karyawan melakukan pertimbangan yang salah atau perhatiannya selama bekerja terpisah.
2. Kolusi terjadi ketika dua atau lebih karyawan berkonspirasi untuk melakukan pencurian (korupsi) di tempat mereka bekerja.
3. Penyimpangan manajemen muncul karena manajer suatu organisasi memiliki lebih banyak otoritas dibandingkan karyawan biasa, proses pengendalian efektif pada tingkat manajemen bawah dan tidak efektif pada tingkat atas.
4. Manfaat dan biaya, konsep jaminan yang meyakinkan atau masuk akal mengandung arti bahwa biaya pengendalian intern tidak melebihi manfaat yang dihasilkan.
Dari uraian di atas dapat disimpulkan bahwa keterbatasan pengendalian intern meliputi: Kesalahan, kolusi, penyimpangan manajemen, serta manfaat dan biaya.
2.3 Struktur Pengendalian Intern Penjualan
Struktur pengendalian intern penjualan merupakan hal pokok untuk lebih diperhatikan oleh seorang pimpinan perusahaan karena struktur pengendalian intern penjualan merupakan alat untuk mengetahui apakah aktivitas penjualan yang dilakukan oleh perusahaan sudah cukup baik atau belum, sehingga dapat diketahui besar volume penjualan yang telah dilakukan oleh perusahaan dalam suatu periode. Struktur pengendalian intern juga merupakan proses untuk mencapai tujuan tertentu.
Komponen struktur pengendalian intern yang seharusnya ada dalam siklus penjualan dirancang untuk mencapai tujuan pokok pengendalian administratif, menjaga kekayaan perusahaan, dan menjamin ketelitian serta keandalan data akuntansi. Tujuan pengendalian intern juga harus mencapai hal-hal yang berkaitan dengan masalah yang dihadapi dan ditunjukkan sebagai pelaksanaan dan tindakan pengamanan terhadap harta yang dimiliki. Adapun komponen dari struktur pengendalian intern menurut COSO (The Committee of Sponsoring Organizations) oleh Wing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” Ada lima, yaitu:
“1. Control environment atau lingkungan pengendalian
2. Control activities atau kegiatan pengendalian
3. Risk assessment atau pemahaman risiko
4. Information and communication atau informasi dan komunikasi
5. Monitoring atau pemantauan”.
Berdasarkan uraian tersebut dapat diungkapkan bahwa apabila komponen-komponen struktur pengendalian intern tersebut dijalankan dengan baik, maka tujuan dari suatu perusahaan pun akan tercapai.
Aktivitas penjualan merupakan pendapatan utama perusahaan, karenanya jika aktivitas penjualan barang tidak dikelola dengan baik maka secara langsung akan merugikan perusahaan. Hal ini disebabkan oleh sasaran penjualan yang diharapkan tidak tercapai dan pendapatan perusahaan pun berkurang, maka dari itu dalam melakukan aktivitas penjualan pengendalian intern penjualan sangatlah diperlukan.
Sumber:
http://www.scribd.com/doc/60065655/Internal-Control-Menurut-COSO
http://elib.unikom.ac.id/download.php?id=1338
http://dewiuwie.wordpress.com/2013/11/22/3-6-pengendalian-intern-coso/
Jelaskan sistem pengendalian intern
PENGERTIAN
Sistem Pengendalian internal adalah rencana, metoda, prosedur, dan
kebijakan yang didesain oleh manajemen untuk memberi jaminan yang
memadai atas tercapainya efisiensi dan efektivitas operasional
universitas, kehandalan pelaporan keuangan, pengamanan terhadap aset
universitas, ketaatan/kepatuhan terhadap undang-undang, kebijakan dan
peraturan lain.
KOMPONEN PENGENDALIAN INTERNAL
Lingkungan Pengendalian
Manajemen dan pegawai/karyawan seharusnya mempunyai komitmen dan sikap yang positif dan konstruktif terhadap pengendalian internal dan kesungguhan manajemen. Kunci lingkungan pengendalian adalah:
Manajemen dan pegawai/karyawan seharusnya mempunyai komitmen dan sikap yang positif dan konstruktif terhadap pengendalian internal dan kesungguhan manajemen. Kunci lingkungan pengendalian adalah:
- Integritas dan Etika
- Komitmen terhadap Kompetensi
- Struktur Organisasi
- Pendelegasian Wewenang dan Tanggung Jawab
- Praktik dan Kebijakan Sumber Daya Manusia yang Baik
Penaksiran Risiko
Pengendalian internal yang baik memungkinkan penaksiran risiko yang dihadapi oleh organisasi baik yang berasal dari dalam maupun dari luar organisasi. Langkah-langkah dalam penaksiran risiko adalah sebagai berikut:
Pengendalian internal yang baik memungkinkan penaksiran risiko yang dihadapi oleh organisasi baik yang berasal dari dalam maupun dari luar organisasi. Langkah-langkah dalam penaksiran risiko adalah sebagai berikut:
- Mengidentifikasi faktor-faktor yang mempengaruhi risiko
- Menaksir risiko yang berpengaruh cukup signifikan
- Menentukan tindakan yang dilakukan untuk me-manage risiko
Aktivitas Pengendalian
Aktivitas pengendalian merupakan kebijakan, prosedur, teknik, dan mekanisma yang digunakan untuk menjamin arahan manajemen telah dilaksanakan. Aktivitas pengendalian seharusnya efesien dan efektif untuk mencapai tujuan pengendalian itu sendiri. Aktivitas pengendalian meliputi:
Aktivitas pengendalian merupakan kebijakan, prosedur, teknik, dan mekanisma yang digunakan untuk menjamin arahan manajemen telah dilaksanakan. Aktivitas pengendalian seharusnya efesien dan efektif untuk mencapai tujuan pengendalian itu sendiri. Aktivitas pengendalian meliputi:
- Pemisahan fungsi/tugas/wewenang yang cukup
- Otorisasi traksaksi dan aktivitas lainnya yang sesuai
- Pendokumentasiaan dan pencatatan yang cukup
- Pengendalian secara fisik terhadap aset dan catatan
- Evaluasi secara independen atas kinerja
- Pengendalian terhadap pemrosesan informasi
- Pembatasan akses terhadap sumberdaya dan catatan
Informasi dan Komunikasi
Informasi seharusnya dicatat dan dikomunikasikan kepada manajemen dan pihak-pihak lain yang berkepentingan di dalam organisasi dan dalam bentuk dan jangka waktu yang memungkinkan diselenggarakannya pengendalian internal dan tanggung jawab lain terhadap informasi tersebut. Di dalam menjalankan dan mengendalikan operasinya, manajemen harus mengkomunikasikan kejadian yang relevan, handal, dan tepat waktu.
Informasi seharusnya dicatat dan dikomunikasikan kepada manajemen dan pihak-pihak lain yang berkepentingan di dalam organisasi dan dalam bentuk dan jangka waktu yang memungkinkan diselenggarakannya pengendalian internal dan tanggung jawab lain terhadap informasi tersebut. Di dalam menjalankan dan mengendalikan operasinya, manajemen harus mengkomunikasikan kejadian yang relevan, handal, dan tepat waktu.
Monitoring
Monitoring seharusnya menilai kualitas kinerja sepanjang waktu dan menyakinkan bahwa temuan-temuan audit dan reviu lainnya diselesaikan dengan tepat. Hal ini meliputi:
Monitoring seharusnya menilai kualitas kinerja sepanjang waktu dan menyakinkan bahwa temuan-temuan audit dan reviu lainnya diselesaikan dengan tepat. Hal ini meliputi:
- Mengevaluasi temuan-temuan, reviu, rekomendasi audit secara tepat.
- Menentukan tindakan yang tepat untuk menanggapi temuan dan rekomendasi dari audit dan reviu.
- Menyelesaikan dalam waktu yang telah ditentukan tindakan yang digunakan untuk menindaklanjuti rekomendasi yang menjadi perhatian manajemen.
Sumber :
Jelaskan Hambatan Aktif dan Contoh
Metode yang dapat digunakan dalam melakukan kecurangan sistem informasi:
1. Manipulasi input
Manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan
kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpamemiliki pengetahuan mengenai cara operasi sistem komputer.
2. Mengubah program
Merubah program mungkin merupakan metode yang paling jarang digunakan untuk
melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karenadibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas.Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapatdigunakan untuk mendeteksi adanya perubahan dalam program
3. Mengubah file secara langsung
Dalam nenerapa kasus, individu-individu tertentu menemukan cara untuk memotong
(bypass) proses normal untuk menginputkan data ke dalam program computer. Jika hal ituterjadi, hasil yang dituai adalah bencana
4. Pencurian data
Sejumlah informasi ditransmisikan antarperusahaan melalui internet. Informasi ini rentanterhadap pencurian pada saat transmisi. Informasi bisa saja disadap. Ada juga kemungkinanuntuk mencuri disket atau CD dengan cara menyembunyikan disket atau CD ke dalamkantong atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukkan ke dalam kotak sampah.
5. Sabotase
Seorang penyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit danmembingungkan untuk diungkapkan. Penyusup mengubah database akuntansi dan
kemudian mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadapharddisk atau media lain.
6. Penyalahgunaan atau pencurian sumber daya informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan
menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.
Cara utama untuk mencegah hambatan aktif terkait dengan kecurangan dan sabotase adalah dengan menerapkan tahap-tahap pengendalian akses yakni pengendalian akses lokasi, akses sistem dan akses file.
Sumber:
http://www.scribd.com/doc/90959757/Bab-5-Keamanan-Sistem-Informasi
http://mariamlasyifa.wordpress.com/2013/12/28/3-2-jelaskan-hambatan-aktif-dan-contohnya/
Jelaskan Hambatan Pasif dan Contoh
Kerentanan dan ancaman dalam suatu sistem tidak dapat dipisahkan.
Hambatan pasif adalah hambatan yang disebabkan secara tidak sengaja.
Contoh ancaman pasif adalah system yang bermasalah, seperti karena
bencana alam. Sistem bermasalah juga karena kegagalan-kegagalan
peralatan dan komponen. Berbeda dengan hambatan aktif yang secara
sengaja menghambat sistem, hambatan pasif diakibatkan oleh
ketidaksengajaan. Hambatan pasif mencakupi system, termasuk gangguan
alam, seperti gempa bumi, banjir, kebakaran, dan badai. Kesalahan system
yang mewakili kegagalan peralatan komponen seperti kelemahan disk,
kekurangan tenaga, dan sebagainya. Untuk mencegah hal-hal yang tidak
diinginkan pada hambatan pasif yaitu pada perangkat keras dapat
dilakukan dengan cara full backup data.
sumber
Langganan:
Postingan (Atom)