Control Objectives for Information and Related Technology atau COBIT
adalah proses yang sedang dikembangkan oleh IT Governance Institute
(ITGI) yang merupakan bagian dari Information System Audit and Control
Association (ISACA) untuk membantu perusahaan dalam mengelola sumber
daya teknologi informasi.
COBIT juga merupakan jembatan
antara manajemen teknologi informasi dengan para eksekutif bisnis atau
dewan direksi. Dikatakan seperti itu karena CoBIT mampu menjelaskan
laporan dengan bahasa yang umum sehingga dapat mudah dipahami oleh semua
pihak. Salah satu alasan mengapa COBIT dapat merajalela di seluruh
dunia karena semakin besarnya perhatian dari corporate governance dan
kebutuhan perusahaan dalam menghasilkan sesuatu yang lebih dengan
kondisi sumber daya yang sedikit dan ekonomi yang sulit.
Tujuan utama yang diharapkan dari adanya COBIT yaitu agar perusahaan
mampu meningkatkan nilai tambah dalam bidang IT dan dapat mengurangi
risiko-risiko inheren yang ada didalamnya.
Komponen-komponen COBIT
COBIT mempunyai komponen-komponen sebagai berikut:
a. Executive Summary
b. Framework
c. Control Objective
d. Audit Guidelines
e. Management Guidelines
f. Control Practices
Definisi Pengendalian Internal menurut COBIT
Untuk pengertian Pengendalian Internal COBIT mengadopsinya dari COSO, yaitu:
“Kebijakan, prosedur, praktik, struktur organisasi yang dirancang
untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat
dicapai dan hal-hal yang tidak diinginkan dapat dicegah, dideteksi atau
diperbaiki”.
Selain itu untuk tujuan pengendalian sendiri COBIT mengadopsinya dari SAC, yaitu:
“Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin
dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas
IT tertentu”.
Komponen tujuan pengendalian COBIT terdiri dari 4 tujuan pengendalian tingkat tinggi yang tercermin dalam 4 domain, yaitu:
a. Planning and Organization
b. Acquisition & Implementation
c. Delivery & Support
d. Monitoring
Sudut Pandang COBIT tentang Pengendalian Internal
a. Pengguna Utama
COBIT dibuat untuk digunakan oleh 3 pengguna, yaitu:
Manajemen, untuk membantu mereka menyeimbangkan antara risiko
dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak
dapat diprediksi.
User, untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga.
Auditor, untuk mendukung dan memperkuat opini yang dihasilkan
dan atau untuk memberikan saran kepada manajemen atas pengendalian
internal yang ada.
b. Tujuan pengendalian internal bagi organisasi
Operasi yang efektif dan efisien
Operasi dapat dikatakan EFEKTIF jika informasi yang diperoleh relevan
dan berkaitan dengan proses bisnis yang ada dan juga dapat diperoleh
tepat waktu, benar, konsisten serta bermanfaat.
Dikatakan EFISIEN jika dalam penyediaan informasi melalui sumber daya (yang paling produktif dan ekonomis) dapat optimal.
Kerahasiaan
Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak berwenang.
Integritas
Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai dengan nilai-nilai dan harapan bisnis.
Ketersediaan Informasi
Informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses
bisnis baik sekarang maupun dimasa yang akan datang. Hal ini juga
terkait dengan pengamanan atas sumber daya yang perlu dan adanya
kemampuan yang terikat.
Pelaporan Keuangan yang handal
Dengan pemberian informasi keuangan yang tepat bagi manajemen untuk
mengoperasikan perusahaan dan juga untuk memenuhi kewajiban dalam
membuat pelaporan keuangan.
Ketaatan pada ketentuan hukum dan peraturan
Berhubungan dengan pemenuhan sesuai dengan ketentuan hukum, peraturan
dan perjanjian kontrak dimana dalam hal ini proses bisnis dianggap
sebagai subjek.
c. Domain
Planning and Organization
Domain ini mencakup strategi serta taktik atas identifikasi bagaimana
IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis.
Selain itu, realisasi dari visi strategis perlu direncanakan,
dikomunikasikan dan dikelola untuk berbagai perspektif yang berbeda.
Ditambah dengan pengorganisasian yang baik dengan menempatkan
infrastruktur teknologi ditempat yang semestinya.
Acquisition & Implementation
Agar tercapainya strategi IT, solusi IT harus diidentifikasi,
dikembangkan, diimplementasikan dan terintegrasi dengan baik ke dalam
proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada
harus dicakup dalam domainini untuk memastikan bahwa siklus hidup akan
terus berlangsung untuk sistem-sistem ini.
Delivery & Support
Domain ini memberikan fokus utama pada aspek penyampaian IT. Dalam
delivery and support tercakup area-area seperti pengaplikasian
aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses
dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan
efektif dan efisien. Proses dukungan ini termasuk isu tentang keamanan
dan pelatihan.
Monitoring
Semua proses IT perlu dinilai secara teratur sepanjan waktu untuk
dapat menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain
ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian
dalam organisasi serta penilaian independen yang dilakukan oleh
auditor internal maupun eksternal, atau dapat diperoleh dari
sumber-sumber alternatif lainnya
sumber :
http://adepuspita28.wordpress.com/2013/11/29/cobit-control-objectives-for-information-and-related-technology/
Selasa, 11 November 2014
2.4 Komponen Pengendalian Intern Coso
KOMPONEN PENGENDALIAN INTERN (COSO)
Pengendalian intern terdiri dari lima komponen yang saling berkaitan sebagai berikut:
pengendalian orang-orangnya.
Lingkungan pengendalian merupakan dasar untuk semua
komponen pengendalian intern, menyediakan disiplin dan struktur.
Lingkungan pengendalian menyediakan arahan bagi organisasi dan mempengaruhi kesadaran pengendalian dari orang-orang yang ada di dalam organisasi tersebut. Beberapa faktor yang berpengaruh di dalam lingkungan pengendalian antara lain integritas dan nilai etik, komitmen terhadap kompetensi, dewan direksi dan komite audit, gaya manajemen dan gaya operasi, struktur organisasi, pemberian wewenang dan tanggung jawab, praktik dan kebijkan SDM. Auditor harus memperoleh pengetahuan memadai tentang lingkungan pengendalian untuk memahami sikap, kesadaran, dan tindakan manajemen, dan dewan komisaris terhadap lingkungan pengendalian intern, dengan mempertimbangkan baik substansi pengendalian maupun dampaknya secarakolektif.
mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana risiko harus
dikelola. Penentuan risiko tujuan laporan keuangan adalah identifkasi organisasi, analisis, dan manajemen risiko yang berkaitan dengan pembuatan laporan keuangan yang disajikan sesuai dengan PABU. Manajemen risiko menganalisis hubungan risiko asersi spesifik laporan keuangan dengan aktivitas seperti pencatatan, pemrosesan, pengikhtisaran, dan pelaporan data-data keuangan. Risiko yang relevan dengan pelaporan keuangan mencakup peristiwa dan keadaan intern maupun ekstern yang dapat terjadi dan secara negatif mempengaruhi kemampuan entitas untuk mencatat, mengolah, meringkas, dan melaporkan data keuangan konsisten dengan asersi manajemen dalam laporan keuangan. Risiko dapat timbul atau berubah karena berbagai keadaan, antara lain perubahan dalam lingkungan operasi, personel baru, sistem informasi yang baru atau yang diperbaiki, teknologi baru, lini produk, produk, atau aktivitas baru, restrukturisasi korporasi, operasi luar negeri, dan standar akuntansi baru.
a) Pengendalian Pemrosesan Informasi
-pengendalian umum
-pengendalian aplikasi
- otorisasi yang tepat
-pencatatan dan dokumentasi
-pemeriksaan independen
b)Pemisahan tugas
c)Pengendalian fisik
d)Telaah kinerja
keuangan untuk memahami :
a)Golongan transaksi dalam operasi entitas yang signifikan bagi laporan keuangan
b)Bagaimana transaksi tersebut dimulai
c)Catatan akuntansi, informasi pendukung, dan akun tertentu dalam laporan keuangan yang tercakup dalam pengolahan dan pelaporan transaksi
d)Pengolahan akuntansi yang dicakup sejak saat transaksi dimulai sampai dengan
dimasukkan ke dalam laporan keuangan, termasuk alat elektronik yang digunakan untuk
mengirim, memproses, memelihara, dan mengakses informasi.
sumber :
http://zzzfadhlan.wordpress.com/2012/11/25/komponen-pengendalian-intern-coso/
Pengendalian intern terdiri dari lima komponen yang saling berkaitan sebagai berikut:
- Lingkungan Pengendalian
pengendalian orang-orangnya.
Lingkungan pengendalian merupakan dasar untuk semua
komponen pengendalian intern, menyediakan disiplin dan struktur.
Lingkungan pengendalian menyediakan arahan bagi organisasi dan mempengaruhi kesadaran pengendalian dari orang-orang yang ada di dalam organisasi tersebut. Beberapa faktor yang berpengaruh di dalam lingkungan pengendalian antara lain integritas dan nilai etik, komitmen terhadap kompetensi, dewan direksi dan komite audit, gaya manajemen dan gaya operasi, struktur organisasi, pemberian wewenang dan tanggung jawab, praktik dan kebijkan SDM. Auditor harus memperoleh pengetahuan memadai tentang lingkungan pengendalian untuk memahami sikap, kesadaran, dan tindakan manajemen, dan dewan komisaris terhadap lingkungan pengendalian intern, dengan mempertimbangkan baik substansi pengendalian maupun dampaknya secarakolektif.
- Penaksiran Risiko
mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana risiko harus
dikelola. Penentuan risiko tujuan laporan keuangan adalah identifkasi organisasi, analisis, dan manajemen risiko yang berkaitan dengan pembuatan laporan keuangan yang disajikan sesuai dengan PABU. Manajemen risiko menganalisis hubungan risiko asersi spesifik laporan keuangan dengan aktivitas seperti pencatatan, pemrosesan, pengikhtisaran, dan pelaporan data-data keuangan. Risiko yang relevan dengan pelaporan keuangan mencakup peristiwa dan keadaan intern maupun ekstern yang dapat terjadi dan secara negatif mempengaruhi kemampuan entitas untuk mencatat, mengolah, meringkas, dan melaporkan data keuangan konsisten dengan asersi manajemen dalam laporan keuangan. Risiko dapat timbul atau berubah karena berbagai keadaan, antara lain perubahan dalam lingkungan operasi, personel baru, sistem informasi yang baru atau yang diperbaiki, teknologi baru, lini produk, produk, atau aktivitas baru, restrukturisasi korporasi, operasi luar negeri, dan standar akuntansi baru.
- Aktivitas Pengendalian
a) Pengendalian Pemrosesan Informasi
-pengendalian umum
-pengendalian aplikasi
- otorisasi yang tepat
-pencatatan dan dokumentasi
-pemeriksaan independen
b)Pemisahan tugas
c)Pengendalian fisik
d)Telaah kinerja
- Informasi Dan Komunikasi
keuangan untuk memahami :
a)Golongan transaksi dalam operasi entitas yang signifikan bagi laporan keuangan
b)Bagaimana transaksi tersebut dimulai
c)Catatan akuntansi, informasi pendukung, dan akun tertentu dalam laporan keuangan yang tercakup dalam pengolahan dan pelaporan transaksi
d)Pengolahan akuntansi yang dicakup sejak saat transaksi dimulai sampai dengan
dimasukkan ke dalam laporan keuangan, termasuk alat elektronik yang digunakan untuk
mengirim, memproses, memelihara, dan mengakses informasi.
- Pemantauan / Monitoring
sumber :
http://zzzfadhlan.wordpress.com/2012/11/25/komponen-pengendalian-intern-coso/
2.3 Sistem Pengendalian Intern (SPI)
Menurut Wikipedia :
Dalam teori akuntansi dan organisasi, pengendalian intern atau kontrol intern didefinisikan sebagai suatu proses, yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi, yang dirancang untuk membantu organisasi mencapai suatu tujuan atau objektif tertentu.
Pengendalian intern merupakan suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi. Ia berperan penting untuk mencegah dan mendeteksi penggelapan (fraud) dan melindungi sumber daya organisasi baik yang berwujud (seperti mesin dan lahan) maupun tidak berwujud (seperti reputasi atau hak kekayaan intelektual seperti merek dagang).
Tujuan Pengendalian Intern
sumber :
http://efraimstefanes.blogspot.com/2014/10/tugas-softskill-pengendalian-intern.html
Dalam teori akuntansi dan organisasi, pengendalian intern atau kontrol intern didefinisikan sebagai suatu proses, yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi, yang dirancang untuk membantu organisasi mencapai suatu tujuan atau objektif tertentu.
Pengendalian intern merupakan suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi. Ia berperan penting untuk mencegah dan mendeteksi penggelapan (fraud) dan melindungi sumber daya organisasi baik yang berwujud (seperti mesin dan lahan) maupun tidak berwujud (seperti reputasi atau hak kekayaan intelektual seperti merek dagang).
Tujuan Pengendalian Intern
- Tujuan perusahaan yang ditetapkan akan dapat dicapai.
- Laporan keuangan yang dihasilkan perusahaan dapat dipercaya
- Kegiatan perusahaan sejalan dengan hukum dan peraturan yang berlaku.
sumber :
http://efraimstefanes.blogspot.com/2014/10/tugas-softskill-pengendalian-intern.html
2.2 Hambatan Aktif dan Contohnya
Hambatan aktif adalah hambatan yang diterima oleh sistem secara
langsung oleh si penghambat tersebut. Terdapat sedikitnya enam metode
yang dapat dipakai oleh orang untuk melakukan penggelapan computer.
Metode yang dapat digunakan dalam melakukan kecurangan sistem informasi
yaitu:
1. Manipulasi input
Manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
2. Mengubah program
Merubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat digunakan untuk mendeteksi adanya perubahan dalam program.
3. Mengubah file secara langsung
Dalam nenerapa kasus, individu-individu tertentu menemukan cara untuk memotong (bypass) proses normal untuk menginputkan data ke dalam program computer. Jika hal itu terjadi, hasil yang dituai adalah bencana.
4. Pencurian data
Sejumlah informasi ditransmisikan antar perusahaan melalui internet. Informasi ini rentan terhadap pencurian pada saat transmisi. Informasi bisa saja disadap. Ada juga kemungkinan untuk mencuri disket atau CD dengan cara menyembunyikan disket atau CD ke dalam kantong atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukkan ke dalam kotak sampah.
5. Sabotase
Seorang penyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit dan membingungkan untuk diungkapkan. Penyusup mengubah database akuntansi dan kemudian mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadap harddisk atau media lain.
6. Penyalahgunaan atau pencurian sumber daya informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.
Cara utama untuk mencegah hambatan aktif terkait dengan kecurangan dan sabotase adalah dengan menerapkan tahap-tahap pengendalian akses yakni pengendalian akses lokasi, akses sistem dan akses file.
Orang yang menimbulkan hambatan dalam sistem komputer:
1. KARYAWAN SISTEM KOMPUTER
Mereka adalah yang menginstalasikan perengkat keras, perangkat lunak, memperbaiki perangkat keras dan memperbaiki kesalahan kecil pada perangkat lunak. Dalam banyak kasus, orang-orang ini harus memiliki akses atas pengamanan tingkat tinggi computer, guna memperlancar pekerjaan mereka. Sebagai contoh, orang yang menginstalasikan bersi baru program akuntansi seirngkali diberikan akses yang lengkap ke catalog berkas yang memuat sistem akuntansi dan berkas-berkas data yang berkaitan.
2. PEMROGRAM
Pemrogram sistem seringkali menuliskan programnya untuk memodifikasi atau memperbaiki sistem operasi. Orang-orang itu umumnya memiliki akses khusus ke seluruh berkas perusahaan. Pemrogram aplikasi dapat membuat modifikasi yang menganggu program-program yang ada, atau menuliskan program baru yang tidak memuaskan.
3. OPERATOR KOMPUTER
Orang-orang yang merencanakan dan memonitor operasi computer dan jaringan komunikasi disebut operator computer dan operator jaringan
4. KARYAWAN ADMINSITRATIF SISTEM INFORMASI DAN KOMPUTER
Penyedia sistem merupakan orang yang mempunyai posisi dengan kepercayaan besar. Orang-orang ini secara normal memiliki akses ke pengamanan rahasia, berkas, program, dan sebagainya.
5.KLERK PENGENDALIAN DATA
Mereka yang bertanggungjawab atas pemasukan data secra manual maupun terotomasi ke sistem computer disebut klerk-klerk pengendalian data. Orang-orang ini berada dalam posisi yang menungkinkan untuk memanipulasi pemasukan data.
Hambatan aktif contohnya penipuan dalam sebuah komponen-komponen dari komputer dan sabotase.
sumber :
http://fajarnns.wordpress.com/page/2/
1. Manipulasi input
Manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
2. Mengubah program
Merubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat digunakan untuk mendeteksi adanya perubahan dalam program.
3. Mengubah file secara langsung
Dalam nenerapa kasus, individu-individu tertentu menemukan cara untuk memotong (bypass) proses normal untuk menginputkan data ke dalam program computer. Jika hal itu terjadi, hasil yang dituai adalah bencana.
4. Pencurian data
Sejumlah informasi ditransmisikan antar perusahaan melalui internet. Informasi ini rentan terhadap pencurian pada saat transmisi. Informasi bisa saja disadap. Ada juga kemungkinan untuk mencuri disket atau CD dengan cara menyembunyikan disket atau CD ke dalam kantong atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukkan ke dalam kotak sampah.
5. Sabotase
Seorang penyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit dan membingungkan untuk diungkapkan. Penyusup mengubah database akuntansi dan kemudian mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadap harddisk atau media lain.
6. Penyalahgunaan atau pencurian sumber daya informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.
Cara utama untuk mencegah hambatan aktif terkait dengan kecurangan dan sabotase adalah dengan menerapkan tahap-tahap pengendalian akses yakni pengendalian akses lokasi, akses sistem dan akses file.
Orang yang menimbulkan hambatan dalam sistem komputer:
1. KARYAWAN SISTEM KOMPUTER
Mereka adalah yang menginstalasikan perengkat keras, perangkat lunak, memperbaiki perangkat keras dan memperbaiki kesalahan kecil pada perangkat lunak. Dalam banyak kasus, orang-orang ini harus memiliki akses atas pengamanan tingkat tinggi computer, guna memperlancar pekerjaan mereka. Sebagai contoh, orang yang menginstalasikan bersi baru program akuntansi seirngkali diberikan akses yang lengkap ke catalog berkas yang memuat sistem akuntansi dan berkas-berkas data yang berkaitan.
2. PEMROGRAM
Pemrogram sistem seringkali menuliskan programnya untuk memodifikasi atau memperbaiki sistem operasi. Orang-orang itu umumnya memiliki akses khusus ke seluruh berkas perusahaan. Pemrogram aplikasi dapat membuat modifikasi yang menganggu program-program yang ada, atau menuliskan program baru yang tidak memuaskan.
3. OPERATOR KOMPUTER
Orang-orang yang merencanakan dan memonitor operasi computer dan jaringan komunikasi disebut operator computer dan operator jaringan
4. KARYAWAN ADMINSITRATIF SISTEM INFORMASI DAN KOMPUTER
Penyedia sistem merupakan orang yang mempunyai posisi dengan kepercayaan besar. Orang-orang ini secara normal memiliki akses ke pengamanan rahasia, berkas, program, dan sebagainya.
5.KLERK PENGENDALIAN DATA
Mereka yang bertanggungjawab atas pemasukan data secra manual maupun terotomasi ke sistem computer disebut klerk-klerk pengendalian data. Orang-orang ini berada dalam posisi yang menungkinkan untuk memanipulasi pemasukan data.
Hambatan aktif contohnya penipuan dalam sebuah komponen-komponen dari komputer dan sabotase.
sumber :
http://fajarnns.wordpress.com/page/2/
2.1 Hambatan Pasif dan Contohnya
Hambatan pasif adalah hambatan yang terjadi
karna tidak disengaja. Hambatan pasif bisa terjadi karna kesalahan
yang dilakukan manusia, atau bisa juga karna faktor alam. Contoh dari
hambatan pasif adalah terjadinya bencana alam yang menyebabkan
rusaknya komponen komponen terkait.
Hambatan
pasif bisa juga terjadi karena kegagalan komponen yang disebabkan
kurangnya komponen pendukung, seperti komputer yang mati tiba-tiba
karena panasnya processor pada CPU.
Backup
data untuk mencegah hal-hal yang tidak diinginkan pada hambatan
pasif.
sumber :
http://candrasadut.blogspot.com/2012/11/hambatan-pasif-dan-contohnya.html#!/2012/11/hambatan-pasif-dan-contohnya.html
Langganan:
Postingan (Atom)