Anda di halaman 1dari 36

SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

OLEH:
1. SAUFAN TANAFFAS
2. M. RIANDIPTA AFDALIKA
3. AHMAD RIFAN MUTTAQI
4. FITRIAMAN

PROGRAM PENDIDIKAN PROFESI AKUNTAN


FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS BRAWIJAYA
MALANG
2015

Konsep Dasar Pengendalian Internal


Pengendalian internal adalah proses yang dijalankan untuk
menyediakan jaminan memadai bahwa tujuan-tujuan pengendalian berikut
telah dicapai.
Mengamankan asset mencegah atau medeteksi perolehan,
penggunaan, atau penempatan yang tidak sah.
Mengelola catatan dengan detail yang baik untuk melaporkan asset
perusahaan secara akurat dan wajar.
Memberikan informasi yang akurat dan reliabel.
Menyiapkan laporan keuangan yang sesuai dengan kriteria yang
ditetapkan.
Mendorong dan memperbaiki efisiensi operasional.
Mendorong ketaatan terhadap kebijakan manajerial yang telah
ditentukan.
Mematuhi hokum dan peraturan yang berlaku.
Pengendalian internal menjalankan tiga fungsi penting sebagai berikut.
1. Pengendalian preventif, mencegah masalah sebelum timbul.
2. Pengendalian detektif, menemukan masalah yang tidak terelakkan.
3. Pengendalian korektif, mengidentifikasi dan memperbaiki masalah
serta memperbaiki dan memulihkannya dari kesalahan yang
dihasilkan.
Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai
berikut.
1. Pengendalian umum, memastikan lingkungan pengendalian sebuah
organisasi stabil dan dikelola dengan baik.
2. Pengendalian aplikasi, mncegahm mendeteksi, dan mengoreksi
kesalahan peristiwa serta penipuan di dalam program aplikasi.
Pengendalian ini focus terhadap ketepatan, kelengkapan, validitas,
serta otorisasi data yang didapat, dimasukkan, diproses, disimpan,
ditransmisikan ke system lain, dan dilaporkan.
Robert simon, seorang profesor bisnis harvard, telah menganut 4 kaitan
pengendalian untuk membantu manajemen menyelesaikan konflik diantara
kreatifitas dan pengendalian:
a. Sebuah sistem batas, membantu pegawai bertindak secara etis dengan
membangun batas-batas dalam perilaku kepegawaian.
b. Sebuah sistem kepercayaan, menjelaskan cara sebuah perusahaan
menciptakan nilai, membantu pegawai memahami visi manajemen,

mengomunikasikan nilai-nilai dasar perusahaan, dan menginspirasi


pegawai untuk bekerja berdasarkan nilai-nilai tersebut.
c. Sebuah sistem pengendalian diagnostik, mengukur, mengawasi, dan
membandingkan perkembangan perusahaan actual berdasarkan
anggaran dan tujuan kinerja.
d. Sebuah sistem pengendalian interaktif, membantu manajer untuk
memfokuskan perhatian bawahan pada isu-isu strategis utama dan lebih
terlibat di dalam keputusan mereka.

Mengapa Pengendalian Berbasis Teknologi Informasi dan


Keamanan Sistem Diperlukan
Hampir setiap tahun, hampir 60% organisasi mengalami kegagalan
utama dalam mengendalikan keamanan dan integritas sistem informasi
mereka. Hal tersebut dikarenakan:
Informasi tersedia untuk sejumlah pekerja tidak pernah ada
Informasi pada jaringan komputer distribusi sulit dikendalikan
Pelanggan serta pemasok memiliki akses ke sistem dan data satu sama
lain.
Dalam hal perlindangan data, organisasi belum melakukan perlindungan
dengan baik karena :
Beberapa perusahaan memeandang kehilangan atas informasi penting
sebagai sebuah ancaman yang tidak mungkin terjadi.
Implikasi pengendalian atas pemindahan sitem computer tersentralisasi
ke system berbasis internet tidak sepenuhnya dipahami.
Tidak banyak perusahan menyadari bahwa informasi adalah sebuah
sumber daya strategis dan melindungi informasi harus menjadi sebuah
ketentuan strategis.
Produktivitas dan penekanan biaya memotivasi manajemen untuk
mengabaikan ukuran-ukuran pengendalian yang memakan waktu.

Membandingkan Kerangka Pengendalian Internal


Ada tiga kerangka yang digunakan untuk mengembangkan sistem
pengendalian internal.
1. Kerangka Pengendalian Internal COSO
Committee of Sponsoring Organization (COSO) merupakan sebuah
kelompok sektor swasta yang terdiri atas Asosiasi Akuntansi Amerika,

AICPA, Ikatan Auditor internal, Ikatan Akuntan Manajemen, dan Ikatan


Eksekutif Keuangan. Pada 1992, COSO menerbitkanPengendalian
Internal-Kerangka Terintegrasi-IC, yang diterima secara luas sebagai
otoritas untuk pengendalian internal yang digabungkan ke dalam
kebijakan, peraturan, dan regulasi yang digunakan untuk mengendalikan
aktivitas bisnis.IC merupakan sebuah kerangka COSO yang menjelaskan
pengendalian internal dan memberikan panduan untuk mengevaluasi dan
meningkatkan system pengendalian internal. Namun IC telah direvisi
pada tahun 2013, yakni dengan memberikan panduan lebih tepat bagi
para pengguna tentang cara menerapkan dan mendokumentasikan
kerangka.
2. Kerangka Manajemen Resiko Perusahaan COSO
COSO mengembangkan kerangka pengendalian kedua yang disebut
Manajemen Resiko Perusahaan (Enterprise Risk Management)-Kerangka
Terintegrasi (Integrated Framework)-ERM. Kerangka ERM adalah proses
yang digunakan oleh dewan direksi dan manjemen untuk mengatur
strategi, mengidentifikasi kejadian yang mungkin memengaruhi entitas,
menilai dan mengelola resiko, serta memnyediakan jaminan mamadai
bahwa perusahaan mencapai tujuan dan sasarannya. Prinsip-prinsip
dasar di balik ERM adalah sebagai berikut :
a. Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya.
b. Manajemen harus memutuskan seberapa banyak ketidakpastian yang
akan ia terima sat menciptakan nilai.
c. Ketidakpastian menghasilkan resiko, yang merupakan kemungkinan
bahwa sesuatu secara negatif memngaruhi kemampuan perusahaan
untuk menghasilkan atau mempertahankan nilai.
d. Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan
bahwa sesuatu secara positif memengaruhi kemampuan perusahaan
untuk menghasilkan atau mempertahankan nilai.
e. Kerangka ERM dapat memngelola ketidakastian serta menciptakan
dan mempertahankan nilai.
3. Kerangka Cobit
Controlo Objektivies for Information and Related Technology
( COBIT) adalah sebuah kerangka keamanan dan pengendalian yang
memungkinkan (1) manajemen untuk membuat tolo ukur prakti-praktik
keamanan dan pengendalian lingkungan TI; (2) para pengguna layanan TI
dijamin dengan adanya keamanan dan pengendalian yang memadai dan
(3) para auditor memperkuata opini pengendalian internal dan
mempertimbangkan masalah keamanan TI dan pengendalian yang
dilakukan.

COBIT 5 merupakan sebuaha kerangka komprehensif yang membantu


perusahaan mencapai tujuan tata kelola dan manajemen. Adapun COBIT
5 ini didasarkan pada lima prinsip utama tata kelola dan manajemen,
yaitu :
a.
Memenuhi keperluan pemangku kepentingan
b.
Mencakup perusahaan dari ujung ke ujung
c.
Mengajukan sebuah kerangka terintegrasi dan tunggal
d.
Memungkinkan pendekatan holistic
e.
Memisahkan tata kelola dari manajemen
Tujuan tata kelola adalah menciptakan nilai dengan mengoptimalkan
penggunaan sumber daya organisasi untuk menghasilkan manfaat yang
diinginkan dengan cara yang secara efektif mengatasi resiko. Dalam hal
ini yang bertanggung jawab adalah dewan direksi yang (1) mengevaluasi
keperluan pemangku kepentingan untuk menindikasikan tujuan, (2)
memberikan arahan bagi manajemen dengan memprioritaskan tujuan,
dan (3) mengawasi kinerja manajemen.
Manajemen bertanggung jawab atas perencanaan, pembangunan,
pelaksanaan dan pengawasan. Aktivitas serta proses yang digunakan
oleh organisasi untuk mengejara tujuan atau tujuan yang ditetapkan
dewan direksi.

Perbandingan Kerangka Pengendalian Internal


i. Kerangka Kerja Terpadu Pengendalian Internal - COSO
Pengendalian internal membantu entitas mencapai tujuan penting dan
mempertahankan dan meningkatkan kinerja. Kerangka Kerja Pengendalian
Internal-Terpadu (Framework) COSO memungkinkan organisasi untuk secara
efektif dan efisien mengembangkan sistem pengendalian internal yang
beradaptasi dengan perubahan bisnis dan lingkungan operasi, mengurangi
resiko ke tingkat yang dapat diterima, dan mendukung pengambilan
keputusan dan tata kelola organisasi.
Merancang dan menerapkan sistem pengendalian internal yang efektif
merupakan hal yang menantang; sistem operasi yang efektif dan efisien
setiap hari dapat menjadi sesuatu yang membingungkan. Hal baru dan
perubahan secara cepat suatu model bisnis, penggunaan yang lebih besar
dan ketergantungan pada teknologi, peningkatan persyaratan peraturan dan
pengawasan, globalisasi, dan tantangan lainnya menuntut sistem
pengendalian internal untuk menjadi tangkas dalam beradaptasi dengan
perubahan bisnis, operasi dan lingkungan peraturan.
Sebuah sistem pengendalian intern yang efektif menuntut lebih dari
kepatuhan yang ketat dengan kebijakan dan prosedur: memerlukan

penggunaan pertimbangan. Manajemen dan dewan direksi menggunakan


pertimbangan menentukan berapa banyak kontrol yang cukup untuk
digunakan. Manajemen dan personil lainnya menggunakan penilaian setiap
hari untuk memilih, mengembangkan, dan menyebarkan kontrol pada
entitas. Manajemen dan auditor internal, di antara personil lainnya,
menerapkan penilaian karena mereka memantau dan menilai efektivitas
sistem pengendalian intern.
Kerangka membantu manajemen, dewan direksi, para pemangku
kepentingan eksternal, dan lain-lain berinteraksi dengan entitas di tugas
masing-masing mengenai pengendalian internal tanpa terlalu banyak
memberi petunjuk. Ia melakukannya dengan menyediakan baik pemahaman
tentang apa yang merupakan sistem pengendalian internal dan wawasan
saat
pengendalian
internal
sedang
diterapkan
secara
efektif.
Untuk manajemen dan dewan direksi, Kerangka menyediakan:
Sebuah cara untuk menerapkan pengendalian internal untuk jenis
entitas, terlepas dari industri atau struktur hukum, di tingkat badan, unit
operasi, atau fungsi
Sebuah pendekatan berbasis prinsip-prinsip yang menyediakan
fleksibilitas dan memungkinkan untuk menilai dalam merancang,
melaksanakan, dan melakukan pengendalian internal-prinsip yang dapat
diterapkan pada entitas, operasi, dan tingkat fungsional
Persyaratan untuk sistem pengendalian intern yang efektif dengan
mempertimbangkan bagaimana komponen dan prinsip-prinsip dihadirkan
dan berfungsi dan bagaimana komponen beroperasi bersama-sama
Sebuah cara untuk mengidentifikasi dan menganalisis resiko, dan untuk
mengembangkan dan mengelola respon yang tepat untuk resiko dalam
tingkat yang dapat diterima dan dengan fokus lebih besar pada
pengukuran anti-fraud
Kesempatan untuk memperluas penerapan pengendalian internal atas
keuangan
pelaporan ke bentuk lain dari laporan, operasi, dan tujuan kepatuhan
Sebuah kesempatan untuk menghilangkan kontrol yang tidak efektif,
berlebihan, atau tidak efisien yang memberikan nilai minimal dalam
mengurangi resiko terhadap pencapaian tujuan entitas.
Untuk pemangku kepentingan eksternal entitas dan lain-lain yang
berinteraksi dengan entitas, aplikasi. Kerangka ini memberikan:
Keyakinan lebih besar dalam dewan pengawas direksi internal
sistem kontrol.
Keyakinan yang lebih besar mengenai pencapaian tujuan entitas.

Keyakinan
lebih
besar
dalam
kemampuan
organisasi
untuk
mengidentifikasi, menganalisis, dan menanggapi resiko dan perubahan
dalam bisnis dan lingkungan operasi.
Pemahaman tentang persyaratan suatu sistem yang efektif pengendalian
internal
Pemahaman yang lebih besar bahwa melalui penggunaan penilaian,
mungkin manajemen mampu menghilangkan kontrol tidak efektif,
berlebihan, atau tidak efisien.
Pengendalian internal bukanlah proses serial tapi proses yang dinamis
dan terintegrasi. Kerangka berlaku untuk semua entitas: besar, menengah,
kecil, nirlaba dan badan-badan pemerintah. Namun, setiap organisasi dapat
memilih untuk menerapkan internal yang mengendalikan berbeda. Misalnya,
sistem entitas yang lebih kecil untuk pengendalian internal mungkin kurang
formal dan kurang terstruktur, namun tetap memiliki kontrol internal yang
efektif. Sisa dari Ringkasan Eksekutif ini memberikan gambaran tentang
pengendalian internal,termasuk definisi, kategori tujuan, deskripsi komponen
yang diperlukan dan prinsip-prinsip yang terkait, dan kebutuhan sistem
pengendalian intern yang efektif. Ini juga termasuk diskusi tentang alasan
keterbatasan mengapa tidak ada sistem internal kontrol dapat menjadi
sempurna. Akhirnya, ia menawarkan pertimbangan tentang bagaimana
berbagai pihak dapat menggunakan kerangka.
Mendefinisikan Pengendalian Internal
Pengendalian internal adalah sebuah proses, yang dipengaruhi oleh
dewan direksi dari sebuah entitas, manajemen, dan personil lainnya, dan
dirancang untuk memberikan keyakinan yang memadai tentang pencapaian
tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan. Definisi ini
mencerminkan konsep dasar tertentu. Pengendalian internal adalah:
1. Ditujukan untuk pencapaian tujuan dalam satu atau lebih kategori yaitu;
operasi, pelaporan, dan kepatuhan.
2. Sebuah proses yang terdiri dari tugas-tugas dan kegiatan yang sedang
berlangsung, merupakan sarana untuk mencapai tujuan, bukan tujuan itu
sendiri.
3. Dipengaruhi oleh orang. Bukan hanya tentang kebijakan dan prosedur
manual, sistem, dan bentuk, tapi tentang orang-orang dan tindakan yang
mereka ambil di setiap tingkat dari suatu organisasi untuk
mempengaruhi pengendalian internal.
4. Mampu memberikan jaminan yang wajar. Namun bukan jaminan yang
mutlak, ke manajemen senior dan dewan direksi dari entitas.

5. Dapat disesuaikan untuk struktur entitas. Fleksibel dalam aplikasi untuk


seluruh entitas atau untuk anak perusahaan tertentu, divisi, unit operasi,
atau proses bisnis.
Definisi ini sengaja luas. Kerangka kerja menangkap konsep penting
yang mendasar, bagaimana organisasi merancang, melaksanakan, dan
melakukan pengendalian intern, menyediakan dasar untuk aplikasi di
organisasi yang beroperasi dalam struktur entitas yang berbeda, industri,
dan wilayah geografis.
Tujuan
Kerangka menyediakan untuk tiga kategori tujuan, yang memungkinkan
organisasi untuk fokus pada aspek pengendalian internal yang berbeda:
1. Tujuan Operasi. Hal ini berkaitan dengan efektivitas dan efisiensi operasi
entitas, termasuk tujuan kinerja operasional dan keuangan, dan menjaga
aset terhadap kerugian.
2. Tujuan Pelaporan. Hal ini berkaitan dengan pelaporan keuangan dan nonkeuangan pada internal dan eksternal dan dapat mencakup keandalan,
ketepatan waktu, transparansi, atau persyaratan lain yang ditetapkan
oleh regulator, diakui pembuat standar, atau kebijakan entitas.
3. Tujuan Kepatuhan. Hal ini berkaitan dengan kepatuhan terhadap hukum
dan peraturan yang mana entitas tunduk.
Komponen Pengendalian Internal
Pengendalian internal terdiri dari lima komponen yang terintegrasi.
a. Lingkungan Pengendalian
Lingkungan pengendalian adalah seperangkat standar, proses, dan
struktur yang menyediakan dasar untuk melaksanakan pengendalian
internal di seluruh organisasi.
Jajaran direksi dan manajemen senior menetapkan kepemimpinan dan
komitmen manajemen mengenai pentingnya pengendalian internal
termasuk standard perilaku yang diharapkan. Manajemen memperkuat
harapan pada berbagai tingkat organisasi.
Lingkungan pengendalian terdiri dari integritas dan nilai etika organisasi;
parameter memungkinkan dewan direksi untuk melaksanakan tanggung
jawab pengawasan tata kelola; struktur organisasi dan tugas wewenang
dan tanggung jawab; proses untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten; dan kekakuan sekitar ukuran
kinerja, insentif, dan penghargaan untuk mendorong akuntabilitas
kinerja. Kontrol yang dihasilkan lingkungan memiliki dampak luas pada
sistem secara keseluruhan pengendalian internal.

b. Perkiraan Resiko
Setiap entitas menghadapi berbagai resiko dari sumber eksternal dan
internal. Resiko didefinisikan sebagai kemungkinan bahwa suatu
peristiwa akan terjadi dan mempengaruhi pencapaian tujuan. Penilaian
resiko melibatkan proses yang dinamis dan berulang untuk
mengidentifikasi dan menilai resiko terhadap pencapaian tujuan. Resiko
terhadap pencapaian tujuan ini dari seluruh entitas dianggap relatif
terhadap toleransi resiko yang ditetapkan. Dengan demikian, penilaian
resiko membentuk dasar untuk menentukan bagaimana resiko akan
dikelola. Sebuah prasyarat untuk penilaian resiko adalah pembentukan
tujuan, terkait dengan berbagai tingkat entitas. Manajemen menentukan
tujuan dalam kategori yang berkaitan dengan operasi, pelaporan, dan
kepatuhan dengan kejelasan yang cukup, untuk dapat mengidentifikasi
dan menganalisis resiko untuk tujuan tersebut. Manajemen juga
mempertimbangkan kesesuaian tujuan untuk entitas. Penilaian resiko
juga mengharuskan manajemen untuk mempertimbangkan dampak dari
perubahan yang mungkin ada pada lingkungan eksternal dan dalam
model bisnis sendiri yang mungkin membuat pengendalian internal tidak
efektif.
c. Kegiatan Pengendalian
Kegiatan pengendalian adalah tindakan yang ditetapkan melalui
kebijakan dan prosedur yang membantu memastikan arahan manajemen
untuk mengurangi resiko terhadap pencapaian tujuan dilakukan. Kegiatan
pengendalian yang dilakukan di semua tingkat entitas, di berbagai tahap
dalam proses bisnis, dan lingkungan teknologi. Pada dasarnya mereka
mungkin preventif atau detektif dan dapat mencakup berbagai kegiatan
manual dan otomatis seperti otorisasi dan persetujuan, verifikasi,
rekonsiliasi, dan bisnis ulasan kinerja. Pemisahan tugas biasanya
didasarkan pada seleksi dan pengembangan kegiatan pengendalian. Di
mana pemisahan tugas tidak praktis, manajemen memilih dan
mengembangkan kegiatan pengendalian alternatif.
d. Informasi dan Komunikasi
Informasi ini diperlukan untuk entitas dalam melaksanakan tanggung
jawab pengendalian internal untuk mendukung pencapaian tujuantujuannya.
Manajemen
memperoleh
atau
menghasilkan
dan
menggunakan informasi yang relevan dan berkualitas baik dari sumber
internal dan eksternal untuk mendukung berfungsinya komponen lain
dari pengendalian internal. Komunikasi dilakukan terus-menerus, proses
yang berulang-ulang, berbagi, dan memperoleh informasi yang

diperlukan. Komunikasi intern adalah sarana informasi yang disebarkan


pada seluruh organisasi, mengalir ke atas, bawah, dan lintas entitas. Hal
ini memungkinkan personil untuk menerima dengan jelas pesan dari
manajemen senior yang mengontrol tanggung jawab dan harus dianggap
serius. Komunikasi eksternal ada dua; memungkinkan komunikasi dari
eksternal yang relevan informasi, dan menyediakan informasi kepada
pihak eksternal dalam menanggapi kebutuhan dan harapan.
e. Pemantauan Aktivitas
Evaluasi berkelanjutan, evaluasi terpisah, atau beberapa kombinasi dari
keduanya digunakan untuk memastikan apakah masing-masing dari lima
komponen pengendalian internal, termasuk kontrol untuk efek dari
prinsip-prinsip dalam setiap komponen, ada dan berfungsi. Evaluasi yang
berkelanjutan, dibangun ke dalam proses bisnis pada tingkat yang
berbeda dari entitas, menyediakan informasi yang tepat waktu. Evaluasi
terpisah, dilakukan secara periodik, akan bervariasi dalam lingkup dan
frekuensi tergantung pada penilaian resiko, efektivitas evaluasi yang
sedang berlangsung, dan pertimbangan manajemen lainnya. Temuan
dievaluasi terhadap kriteria yang ditetapkan oleh regulator, diakui badan
penetapan standar atau manajemen dan dewan direksi, dan kekurangan
dikomunikasikan sewajarnya kepada manajemen dan dewan direksi.
Komponen dan Prinsip
Kerangka ini menetapkan tujuhbelas prinsip yang mewakili konsep dasar
terkait dengan setiap komponen. Semua prinsip-prinsip berlaku untuk
operasi, pelaporan, dan tujuan kepatuhan. Prinsip-prinsip mendukung
komponen pengendalian intern tercantum di bawah ini. Lingkungan
Pengendalian
1. Organisasi menunjukkan komitmen untuk integritas dan nilai-nilai etika.
2. Dewan direksi menunjukkan independensi dari manajemen dan
menjalankan perkembangan pengawasan dan kinerja pengendalian
internal.
3. Manajemen menetapkan, dengan pengawasan oleh dewan, struktur, lini
pelaporan, dan kewenangan yang layak dan tanggung jawab dalam
mengejar tujuan.
4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan,
dan mempertahankan kompetensi individu sejalan dengan tujuan.
5. Organisasi menjaga individu untuk bertanggung jawab atas tanggung
jawab pengendalian internal mereka dalam mengejar tujuan.
Perkiraan Resiko:

1. Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk


memungkinkan identifikasi dan penilaian resiko yang berkaitan dengan
tujuan.
2. Organisasi mengidentifikasi resiko terhadap pencapaian tujuan di seluruh
entitas dan analisis resiko sebagai dasar untuk menentukan bagaimana
resiko harus dikelola.
3. Organisasi menimbang potensi adanya kecurangan dalam menilai resiko
terhadap pencapaian tujuan.
4. Organisasi mengidentifikasi dan menilai perubahan signifikan yang dapat
mempengaruhi sistem pengendalian internal.
Aktivitas Pengendalian
1. Organisasi memilih dan mengembangkan kegiatan pengendalian yang
berkontribusi terhadap kelonggaran dari resiko terhadap pencapaian
tujuan ke tingkat yang dapat diterima.
2. Organisasi memilih dan mengembangkan kegiatan pengendalian umum
atas teknologi untuk mendukung pencapaian tujuan.
3. Organisasi menyebarkan aktivitas pengendalian melalui kebijakan yang
ditetapkan dengan apa yang diharapkan dan prosedur yang
menempatkan kebijakan ke dalam tindakan.
Informasi dan Komunikasi
1. Organisasi memperoleh atau menghasilkan dan menggunakan secara
relevan, informasi yang berkualitas untuk mendukung fungsi
pengendalian internal.
2. Organisasi internal mengkomunikasikan informasi, termasuk tujuan dan
tanggung jawab untuk pengendalian internal, yang diperlukan untuk
mendukung fungsi pengendalian internal.
3. Organisasi berkomunikasi dengan pihak luar mengenai hal-hal yang
mempengaruhi
fungsi pengendalian internal.
Aktivitas Pengawasan
1. Organisasi memilih, mengembangkan, dan melakukan yang sedang
berlangsung
dan/atau secara terpisah mengevaluasi untuk
memastikan apakah komponen pengendalian internal yang ada dan
berfungsi.
2. Organisasi mengevaluasi dan berkomunikasi tentang kekurangan
pengendalian internal pada waktu yang tepat untuk pihak-pihak yang
bertanggung jawab untuk mengambil tindakan korektif, termasuk
manajemen senior dan dewan direksi, yang sesuai.

Pengendalian Internal yang Efektif


Ketika sistem pengendalian internal yang ditentukan menjadi efektif,
manajemen senior dan dewan direksi memiliki keyakinan memadai, relatif
terhadap aplikasi dalam struktur entitas, bahwa organisasi:
a. Mencapai operasi yang efektif dan efisien ketika peristiwa eksternal
dianggap mungkin memiliki dampak yang signifikan terhadap pencapaian
tujuan atau di mana organisasi cukup dapat memprediksi sifat dan waktu
peristiwa eksternal dan mengurangi dampak ke tingkat yang dapat
diterima.
b. Memahami sejauh mana operasi dikelola secara efektif dan efisien bila
peristiwa eksternal mungkin memiliki dampak yang signifikan pada
pencapaian tujuan atau di mana organisasi cukup dapat memprediksi
sifat dan waktu kejadian eksternal dan mengurangi dampak ke tingkat
yang dapat diterima.
c. Siapkan laporan sesuai dengan aturan yang berlaku, peraturan, dan
standar atau dengan tujuan pelaporan yang ditentukan entitas.
d. Sesuai dengan hukum yang berlaku, peraturan, peraturan, dan standar
eksternal.
Kerangka membutuhkan penilaian dalam merancang, melaksanakan,
dan melakukan internal yang mengontrol dan menilai efektivitas.
Penggunaan penilaian, dalam batas-batas ditetapkan oleh undang-undang,
aturan, peraturan, dan standar, meningkatkan kemampuan manajemen
untuk membuat keputusan yang lebih baik tentang kontrol internal, tetapi
tidak dapat menjamin hasil yang sempurna.
Keterbatasan
Kerangka mengakui bahwa pengendalian internal memberikan jaminan
yang wajar mencapai tujuan entitas, juga ada keterbatasan. Pengendalian
internal tidak dapat mencegah penilaian buruk atau keputusan, atau
kejadian eksternal yang dapat menyebabkan organisasi gagal mencapai
tujuan operasional. Dengan kata lain, bahkan sistem yang efektif dari
pengendalian internal dapat mengalami kegagalan. Keterbatasan mungkin
hasil dari:
a. Kesesuaian tujuan ditetapkan sebagai prasyarat untuk pengendalian
internal.
b. Realitas penilaian manusia dalam pengambilan keputusan dapat rusak
dan subjek yang bias.
c. Kerusakan yang dapat terjadi karena kegagalan manusia seperti
kesalahan sederhana.

d. Kemampuan manajemen untuk mengesampingkan pengendalian


internal.
e. Kemampuan manajemen, personel lainnya, dan/atau pihak ketiga untuk
menghindari kontrol melalui kolusi.
f. Peristiwa eksternal di luar kendali organisasi.
Keterbatasan ini menghalangi dewan direksi dan manajemen dari
memiliki jaminan mutlak dari pencapaian tujuan. Pengendalian internal
sebuah entitas menyediakan jaminan yang wajar tetapi tidak jaminan
mutlak. Meskipun terdapat keterbatasan, manajemen harus menyadari
ketika mereka memilih, mengembangkan, dan menggunakan kontrol yang
meminimalkan keterbatasan.
ii. Manajemen Resiko Perusahaan - COSO
Premis yang mendasari manajemen resiko perusahaan adalah bahwa
setiap entitas hadir untuk memberikan nilai bagi para stakeholder. Semua
entitas menghadapi ketidakpastian, dan tantangan bagi manajemen untuk
menentukan menerima berapa banyak ketidakpastian karena berusaha
untuk menumbuhkan nilai stakeholder. Ketidakpastian menyajikan baik
resiko dan peluang, dengan potensi untuk mengikis atau meningkatkan nilai.
Manajemen resiko perusahaan memungkinkan manajemen untuk secara
efektif menangani ketidakpastian dan resiko yang terkait dan kesempatan,
meningkatkan kapasitas untuk membangun nilai. Nilai dimaksimalkan ketika
strategi dan tujuan manajemen siap untuk menyerang secara optimal
menyeimbangkan antara pertumbuhan, tujuan dan resiko terkait, secara
efisien dan efektif menyebarkan sumber daya dalam mengejar tujuan
entitas. Manajemen resiko perusahaan meliputi:
a. Menyelaraskan risk appetite dan strategi - manajemen menganggap risk
appetite entitas dalam mengevaluasi strategi alternatif, menetapkan
tujuan yang terkait, dan mengembangkan mekanisme untuk mengelola
resiko yang terkait.
b. Meningkatkan keputusan untuk merespon resiko - manajemen resiko
perusahaan memberikan kekakuan untuk mengidentifikasi dan memilih di
antara tanggapan resiko alternatif - menghindari resiko, pengurangan,
sharing, dan penerimaan.
c. Mengurangi kejutan dan kerugian operasional - entitas memperoleh
peningkatan kemampuan untuk mengidentifikasi peristiwa potensial dan
menetapkan respon, mengurangi kejutan dan terkait biaya atau kerugian.
d. Mengidentifikasi dan mengelola beberapa resiko dan lintas perusahaan Setiap wajah perusahaan memiliki segudang resiko yang mempengaruhi
berbagai bagian organisasi, dan manajemen resiko perusahaan

memfasilitasi respon yang efektif terhadap dampak yang saling terkait,


dan respon terpadu ke beberapa resiko.
e. Perebutan peluang - Dengan mempertimbangkan berbagai peristiwa
potensial, manajemen diposisikan untuk mengidentifikasi dan proaktif
merealisasikan peluang.
f. Meningkatkan penyebaran modal - Mendapatkan informasi resiko yang
kuat memungkinkan manajemen untuk secara efektif menilai kebutuhan
modal secara keseluruhan dan meningkatkan alokasi modal.
Kemampuan ini melekat dalam manajemen resiko manajemen bantuan
perusahaan mencapai kinerja dan profitabilitas target entitas dan mencegah
hilangnya sumber daya. Manajemen resiko perusahaan membantu
memastikan pelaporan yang efektif dan kepatuhan terhadap hukum dan
peraturan, dan membantu mencegah kerusakan reputasi entitas dan
konsekuensi terkait. Singkatnya, manajemen resiko perusahaan membantu
entitas meraih tujuan dan menghindari perangkap dan kejutan sepanjang
jalan.
Peristiwa - Resiko dan Peluang
Peristiwa dapat memiliki dampak negatif, dampak positif, atau
keduanya. Peristiwa dengan dampak negatif merupakan resiko, yang dapat
mencegah penciptaan nilai atau mengikis nilai yang ada. Peristiwa dengan
dampak positif dapat mengimbangi dampak negatif atau mewakili peluang.
Peluang adalah kemungkinan bahwa suatu peristiwa akan terjadi dan positif
mempengaruhi pencapaian tujuan, mendukung penciptaan nilai atau
pelestarian. Peluang manajemen kembali pada strategi atau proses
pengaturan tujuan, merumuskan rencana untuk merebut peluang.
Enterprise Risk Management
Manajemen resiko perusahaan berhubungan dengan resiko dan peluang
yang mempengaruhi penciptaan nilai atau pelestarian, didefinisikan sebagai
berikut:
Manajemen resiko perusahaan adalah sebuah proses, dipengaruhi oleh
dewan direksi sebuah entitas, manajemen dan personil lainnya, diterapkan
dalam pengaturan strategi dan di seluruh perusahaan, yang dirancang untuk
mengidentifikasi peristiwa potensial yang dapat mempengaruhi entitas, dan
mengelola resiko dalam batas risk appetite, untuk memberikan keyakinan
yang memadai mengenai pencapaian tujuan entitas. Definisi ini
mencerminkan konsep dasar tertentu. Manajemen resiko perusahaan adalah:
Sebuah proses, berkelanjutan dan mengalir melalui entitas.
Akibat orang di setiap tingkat organisasi.

Diterapkan dalam pengaturan strategi.


Diterapkan di seluruh perusahaan, di setiap tingkat dan unit, dan
termasuk mengambil entity level lihat portofolio resiko.
Dirancang untuk mengidentifikasi peristiwa potensial yang, jika terjadi,
akan mempengaruhi entitas dan mengelola resiko dalam risk appetitenya.
Mampu untuk memberikan keyakinan memadai kepada manajemen
entitas dan dewan direksi.
Ditujukan untuk pencapaian satu atau lebih tujuan yang terpisah namun
dalam kategori tumpang tindih.

Definisi ini disengaja luas. Ia menangkap konsep-konsep kunci yang


fundamental bagaimana perusahaan dan organisasi lain mengelola resiko,
memberikan dasar untuk aplikasi di organisasi, industri, dan berbagai sektor.
Hal ini berfokus langsung pada pencapaian tujuan didirikan oleh badan
tertentu dan memberikan dasar untuk mendefinisikan efektivitas dari
manajemen resiko perusahaan.
Manajemen menetapkan tujuan strategis, memilih strategi, dan
menyiapkan keselarasan tujuan yang mengalir melalui perusahaan.
Kerangka kerja manajemen resiko perusahaan ini diarahkan untuk mencapai
suatu tujuan entitas, diatur dalam empat kategori:
Strategis - tujuan tingkat tinggi, sejalan dengan dan mendukung
misinya
Operasi - penggunaan yang efektif dan efisien dari sumber daya
Pelaporan - keandalan pelaporan
Kepatuhan - kepatuhan terhadap hukum dan peraturan yang berlaku.
Komponen Enterprise Risk Management
Manajemen resiko perusahaan terdiri dari delapan komponen yang
saling terkait. Hal ini berasal dari cara manajemen menjalankan suatu
perusahaan dan terintegrasi dengan manajemen proses. Komponen ini
adalah:
a. Lingkungan Internal - lingkungan internal meliputi budaya dari organisasi,
dan menetapkan dasar untuk bagaimana resiko dipandang dan ditangani
oleh entitas, termasuk filosofi manajemen resiko dan risk appetite,
integritas dan etika nilai-nilai, dan lingkungan di mana mereka
beroperasi.
b. Pengaturan Tujuan - tujuan harus ada sebelum manajemen dapat
mengidentifikasi potensi dari peristiwa yang mempengaruhi prestasi
mereka. Manajemen resiko perusahaan memastikan bahwa manajemen

c.

d.

e.

f.

g.

h.

berada di tempatnya saat proses untuk menetapkan tujuan dan sasaran


yang dipilih dan menyelaraskan dengan misi entitas dan konsisten
dengan risk appetite-nya.
Identifikasi Kegiatan pihak internal dan eksternal yang mempengaruhi
peristiwa pencapaian entitas tujuan harus diidentifikasi, membedakan
antara resiko dan peluang. Peluang disalurkan kembali ke strategi
manajemen atau pengaturan proses tujuan.
Penilaian Resiko - resiko dianalisis, mengingat kemungkinan dan dampak,
sebagai dasar untuk menentukan bagaimana mereka harus dikelola.
Resiko dinilai pada melekat dan dasar sisa.
Respon Resiko - manajemen memilih tanggapan resiko apakah untuk
menghindari,
menerima,
mengurangi,
atau
berbagi
resiko.
Mengembangkan serangkaian tindakan untuk menyelaraskan resiko
dengan resiko entitas toleransi dan risk appetite.
Kegiatan Pengendalian - Kebijakan dan prosedur ditetapkan dan
dilaksanakan untuk membantu memastikan tanggapan resiko secara
efektif dilakukan.
Informasi dan Komunikasi - Informasi yang relevan diidentifikasi,
ditangkap, dan dikomunikasikan dalam bentuk dan kerangka waktu yang
memungkinkan orang untuk melaksanakan tanggung jawab mereka.
Komunikasi yang efektif juga terjadi dalam arti yang lebih luas, mengalir
sampai seluruh entitas.
Monitoring - keseluruhan manajemen resiko perusahaan dimonitor dan di
modifikasi yang dilakukan seperlunya. Pemantauan dilakukan secara
berkelanjutan sejalan dengan kegiatan manajemen, evaluasi terpisah,
atau keduanya.

Efektivitas
Menentukan apakah manajemen resiko perusahaan "efektif" adalah
penilaian yang dihasilkan dari penilaian apakah delapan komponen yang ada
dan berfungsi secara efektif. Dengan demikian, komponen juga termasuk
dalam kriteria untuk manajemen resiko perusahaan yang efektif. Untuk
komponen yang ada dan berfungsi dengan benar tidak ada kelemahan
material, dan resiko harus sudah di dalam risk appetite entitas.
Delapan komponen tidak akan berfungsi identik di setiap entitas.
Aplikasi dalam entitas kecil dan menengah, misalnya, mungkin kurang formal
dan kurang terstruktur. Meskipun demikian, entitas kecil masih dapat
memiliki manajemen resiko perusahaan yang efektif, asalkan masing-masing
komponen ada dan berfungsi dengan baik.

Keterbatasan
Sementara manajemen resiko perusahaan menyediakan manfaat
penting, tentu memiliki keterbatasan. Sebagai tambahan faktor yang
dibahas di atas, keterbatasan akibat dari realitas bahwa pertimbangan
manusia dalam pengambilan keputusan bisa saja salah, keputusan
menanggapi resiko dan membangun kontrol perlu untuk mempertimbangkan
biaya dan manfaat, kerusakan dapat terjadi karena kegagalan manusia
seperti kesalahan kecil atau kekeliruan, kontrol dapat dielakkan dengan
kolusi dari dua orang atau lebih, dan manajemen memiliki kemampuan untuk
mengesampingkan keputusan manajemen resiko perusahaan. Keterbatasan
ini menghalangi dewan direksi dan manajemen dari memiliki jaminan mutlak
untuk pencapaian tujuan entitas.
Cakupan Pengendalian Internal
Pengendalian internal merupakan bagian integral dari manajemen resiko
perusahaan. Kerangka kerja manajemen resiko perusahaan ini meliputi
pengendalian internal, membentuk lebih kuat konseptualisasi dan alat untuk
manajemen. Pengendalian internal didefinisikan dan dijelaskan dalam
Internal Control-Integrated Framework (Pengendalian Internal - Kerangka
Terpadu). Karena kerangka yang telah berdiri sudah teruji waktu dan
merupakan dasar untuk aturan yang ada, peraturan, dan hukum, dokumen
itu tetap berada di tempat sebagai definisi dan kerangka untuk kontrol
internal. Sementara hanya bagian dari teks Internal Control - Integrated
Framework direproduksi dalam kerangka ini, keseluruhan dari kerangka
tersebut digabungkan dengan referensi ini.
Peran dan tanggung jawab semua orang di suatu entitas memiliki
beberapa tanggung jawab manajemen resiko perusahaan. Kepala pejabat
eksekutif akhirnya bertanggung jawab dan harus mengasumsikan
kepemilikan. Manajer lain mendukung resiko filosofi manajemen entitas,
mempromosikan kepatuhan dengan risk appetite-nya, dan mengelola resiko
dalam bidang tanggung jawab mereka secara konsisten dengan toleransi
resiko. Seorang petugas resiko, petugas keuangan, auditor intern, dan lainlain biasanya memiliki tanggung jawab kunci support. Personel entitas lain
bertanggung jawab untuk melaksanakan manajemen resiko di perusahaan
sesuai dengan arahan yang ditetapkan dan protokol. Dewan direksi
memberikan pengawasan untuk manajemen resiko perusahaan, menyadari
dan sepakat dengan risk appetite entitas. Sejumlah pihak eksternal, seperti
pelanggan, vendor, mitra bisnis, auditor eksternal, regulator, dan analis
keuangan sering memberikan informasi yang berguna dalam mempengaruhi

manajemen resiko perusahaan, tetapi mereka tidak bertanggung jawab atas


efektivitas, atau mereka bagian dari manajemen resiko perusahaan entitas.
iii.

COBIT (Control Objective for Information and Related Technology)


COBIT adalah kumpulan dari praktik terbaik untuk manajemen teknologi
informasi yang dikembangkan oleh ISACA (Information System Audit and
Control Association) dan institut tata kelola teknologi informasi pada tahun
1996.
COBIT merupakan kerangka panduan tata kelola TI dan atau bisa juga
disebut sebagai toolset pendukung yang bisa digunakan untuk
menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan
pemenuhan
kebutuhan
tersebut
dalam
suatu
organisasi.
COBIT
memungkinkan pengembangan kebijakan yang jelas dan sangat baik
digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan
kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah
organisasi dari sisi penerapan IT.
COBIT berorientasi proses, dimana secara praktis COBIT dijadikan suatu
standar panduan untuk membantu mengelola suatu organisasi mencapai
tujuannya dengan memanfaatkan TI. COBIT memberikan panduan kerangka
kerja yang bisa mengendalikan semua kegiatan organisasi secara detail dan
jelas sehingga dapat membantu memudahkan pengambilan keputusan di
level top dalam organisasi.
Siapa saja yang menggunakan COBIT?, COBIT digunakan secara umum
oleh mereka yang memiliki tanggung jawab utama dalam alur proses
organisasi, mereka yang organisasinya sangat bergantung pada kualitas,
kehandalan dan penguasaan teknologi informasi.
Secara sederhana, COBIT 5 membantu perusahaan menciptakan nilai
yang optimal dari IT dengan menjaga keseimbangan antara mewujudkan
manfaat dan mengoptimalkan tingkat resiko dan penggunaan sumber daya.
COBIT 5 memungkinkan informasi dan teknologi yang terkait untuk diatur
dan dikelola secara keseluruhan untuk seluruh perusahaan, mengambil
tanggung jawab bisnis dari ujung ke ujung dan area fungsional, mengingat IT
terkait kepentingan dari stakeholder internal dan eksternal.
Prinsip dan penggerak COBIT 5 yang umum dan berguna untuk
perusahaan dari semua ukuran, apakah komersial, nirlaba atau di sektor
publik.
Prinsip COBIT 5

Lima prinsip COBIT:


1. Memenuhi Kebutuhan Stakeholder
Perusahaan memiliki banyak stakeholder, dan 'menciptakan nilai' berarti
bertentangan (hal yang berbeda) dan kadang-kadang untuk masing-masing
dari mereka. Tata Kelola adalah tentang negosiasi dan memutuskan antara
kepentingan nilai pemangku kepentingan yang berbeda. Sistem tata kelola
harus mempertimbangkan semua stakeholder ketika membuat keuntungan,
sumber daya dan penilaian resiko keputusan. Untuk setiap keputusan, hal
berikut harus dipertanyakan:
Yang menerima manfaat?
Yang menanggung resiko?
Sumber daya apa yang dibutuhkan?
Manfaat COBIT 5
Hal ini memungkinkan definisi prioritas untuk pelaksanaan, perbaikan
dan jaminan dari tata kelola IT perusahaan berdasarkan (strategis) tujuan
dari perusahaan dan resiko terkait. Dalam prakteknya, entitas harus
mendefinisikan tujuan dan sasaran yang relevan dan nyata di berbagai
tingkat tanggung jawab. Menyaring pengetahuan dasar COBIT 5,
berdasarkan pada tujuan perusahaan untuk mengekstrak bimbingan yang
relevan untuk dimasukkan dalam pelaksanaan, perbaikan atau jaminan
proyek-proyek tertentu. Jelas untuk mengidentifikasi dan berkomunikasi
(kadang-kadang sangat operasional) bagaimana pentingnya penggerak
untuk mencapai tujuan perusahaan.

2. Meliputi Dari Ujung Ke Ujung Perusahaan


COBIT 5 mengisyaratkan tata kelola dan manajemen informasi dan
teknologi yang terkait dari perspektif perusahaan, perspektif dari ujung ke
ujung. Ini berarti bahwa COBIT 5: mengintegrasikan tata kelola IT
perusahaan dalam pengelolaan perusahaan, yaitu, sistem tata kelola IT
untuk perusahaan yang diusulkan oleh COBIT 5 diintegrasikan dalam sistem
tata kelola karena COBIT 5 sejalan dengan pandangan terbaru di
pengelolaan. Mencakup semua fungsi dan proses dalam perusahaan; COBIT
5 tidak hanya fokus pada 'fungsi IT', tapi memperlakukan informasi dan
teknologi yang terkait sebagai aset yang harus ditangani sama seperti aset
lainnya oleh semua orang dalam perusahaan.
3. Menerapkan Kerangka Tunggal Terpadu
COBIT 5 sejalan dengan standar terbaru lain yang relevan dan kerangka
kerja yang digunakan oleh perusahaan:
Perusahaan: COSO, COSO ERM, ISO / IEC 9000, ISO / IEC 31000.
Terkait IT: ISO / IEC 38500, ITIL, ISO / IEC 27000 seri, TOGAF, PMBOK /
PRINCE2, CMMI.
Hal ini memungkinkan perusahaan untuk menggunakan COBIT 5
sebagai pengelolaan yang menyeluruh dan kerangka kerja manajemen
integrator. ISACA merencanakan kemampuan untuk memfasilitasi pemetaan
pengguna COBIT dari praktik dan kegiatan untuk referensi pihak ketiga.

4. Memungkinkan Pendekatan Keseluruhan


COBIT 5 enabler adalah:
Faktor-faktor yang secara individu dan kolektif berpengaruh apakah
sesuatu akan bekerja (dalam kasus COBIT), tata kelola dan manajemen IT
atas perusahaan.
Didorong oleh tujuan yaitu tingkat tujuan yang lebih tinggi terkait IT,
mendefinisikan apa penggerak berbeda harus yang dicapai.
Dijelaskan oleh kerangka COBIT 5 dalam tujuh kategori.
Penggerak tata kelola sistemik dan manajemen saling berhubungan
yaitu untuk mencapai tujuan utama perusahaan, harus selalu
mempertimbangkan serangkaian penggerak yang saling berhubungan yaitu,
setiap penggerak merupakan:

a. Kebutuhan masukan dari penggerak lain untuk menjadi sepenuhnya


efektif, misalnya, proses memerlukan informasi, struktur organisasi
memerlukan keterampilan dan perilaku
b. Menghasilkan output untuk kepentingan penggerak lainnya, misalnya,
proses menyampaikan informasi, keterampilan dan perilaku membuat
proses yang efisien
c. Ini adalah prinsip kunci yang muncul dari pengembangan kerja ISACA
pada Model Bisnis untuk Keamanan Informasi (BMIS).
5. Memisahkan Tata Kelola Dari Manajemen
Kerangka COBIT 5 membuat perbedaan yang jelas antara dewan direksi
dan manajemen. Perbedaan ini dapat dijabarkan sebagai berikut;
Dewan direksi: Dalam kebanyakan perusahaan, pemerintahan adalah
tanggung jawab dewan direksi di bawah kepemimpinan ketua dewan.
Dewan direksi memastikan bahwa kebutuhan stakeholder, kondisi dan
pilihan dievaluasi (Evaluated) untuk menentukan keseimbangan, setuju pada
tujuan perusahaan yang ingin dicapai; menetapkan arah (Direction)melalui
prioritas dan pengambilan keputusan; memantau (Monitoring) kinerja dan
kepatuhan terhadap disepakati-on arah dan tujuan (EDM).
Manajemen: Dalam kebanyakan perusahaan, manajemen adalah tanggung
jawab manajemen eksekutif di bawah kepemimpinan CEO.
Rencana manajemen (Plans), membangun(Builds), berjalan (Runs) dan
memantau (Monitor) kegiatan sejalan dengan arah yang ditetapkan oleh
badan pemerintahan untuk mencapai tujuan perusahaan (PBRM).

COBIT 5 tidak preskriptif, tetapi mendukung organisasi untuk


mengimplementasikan proses tata kelola dan manajemen tersebut bahwa
bidang utama yang dibahas, seperti gambar di bawah ini:

Penggerak COBIT

Pada framework COBIT 5 dalam prinsipnya bahwa menggunakan


pendekatan holistik dimana dengan membagi tujuh kategori penggerak
(enabler). Dimana enabler merupakan faktor secara individual dan kolektif
terkait dengan apakah mempengaruhi terkait dalam tata kelola maupun
manajemen TI yang dilakukan. Berikut ini pembahasan secara detail ketujuh
penggerak (enabler) pada framework COBIT 5 sebagai berikut :
1.
Prinsip-prinsip, kebijakan-kebijakan dan framework

2.

3.
4.

5.

6.
7.

Sarana untuk menerjemahkan tingkah laku yang diinginkan kedalam


petunjuk praktek untuk pelaksanaan manajemen harian.
Proses
Menjelaskan kumpulan terorganisasi dari praktek-praktek dan aktivitasaktivitas untuk mencapai tujuan yang telah ditentukan dan menghasilkan
sekumpulan keluaran di dalam dukungan pencapaian seluruh sasaran TI.
Struktur organisasi
Entitas pembuatan keputusan kunci didalam perusahaan.
Budaya, etika dan tingkah laku
Merupakan kebiasaan dari individu dan perusahaan yang sering dianggap
sebagai faktor penghambat kesuksesan di dalam aktivitas tata kelola dan
manajemen.
Informasi
Sebuah kebutuhan untuk memastikan agar organisasi tetap berjalan dan
dapat dikelola dengan baik. Tetapi ditingkat operasional, informasi
seringnya digunakan sebagai hasil dari proses perusahaan.
Layanan, infrastruktur dan aplikasi
Menyediakan layanan dan proses teknologi informasi bagi perusahaan.
Orang, keterampilan dan kemampuan
Dibutuhkan untuk menyelesaikan aktivitas dan membuat keputusan yang
tepat serta mengambil tindakan-tindakan perbaikan.

COBIT 5 menyatukan lima prinsip yang memungkinkan perusahaan


untuk membangun kerangka kerja tata kelola dan manajemen yang efektif
didasarkan pada seperangkat holistik tujuh enabler (penggerak) yang
mengoptimalkan investasi (informasi dan teknologi) dan menggunakannya
untuk kepentingan stakeholder.
Implementasi COBIT
Peningkatan tata kelola perusahaan IT secara luas diakui oleh
manajemen puncak sebagai bagian penting dari tata kelola perusahaan.
Informasi dan hal yang mudah menyebar dari teknologi informasi semakin
meningkat dari setiap bagian aspek bisnis dan kehidupan publik.
Meningkatkan regulasi dan undang-undang atas penggunaan informasi bisnis
juga mendorong kesadaran yang tinggi akan pentingnya pengaturan yang
baik dan pengelolaan lingkungan IT.
ISACA telah mengembangkan kerangka COBIT 5 untuk membantu
perusahaan menerapkan enabler. Memang, menerapkan peningkatan tata
kelola perusahaan IT (GEIT) yang baik adalah hampir mustahil tanpa
melibatkan kerangka kerja dewan direksi yang efektif. Praktik terbaik dan
standar juga tersedia untuk mendukung COBIT 5.

Kerangka, praktik terbaik dan standar yang berguna hanya jika mereka
diadopsi dan diadaptasi secara efektif. Ada tantangan yang perlu diatasi dan
isu-isu yang perlu ditangani jika GEIT ingin dilaksanakan dengan sukses.

Elemen Utama Dalam Lingkungan Internal


Lingkungan internal (internal inviroment), atau budaya perusahaan,
memengaruhi, cara organisasi menetapkan strategi dan tujuannya,
membuat struktur aktivitas bisnis dan mengidentifikasi, dan menilai, serta
merespons resiko.
1. Filosofi Manajemen, Gaya Pengoperasian, dan Selera Resiko
Semakin bertanggung jawab filosofi dan gaya pengoperasian
manajemen, serta makin jelas mereka berkomunikasi, maka semakin
besar kemungkinan para pegawai akan bertindak dengan tanggung
jawab. Jika manajemen hanya memiliki sedikit perhatian pada
pengendalian internal dan manajemen resiko, maka pegawai akan
menjadi kurang rajin untuk mencapai tujuan pengendalian.
2. Komitmen Terhadap Intgritas, Nilai Etis, dan Kompetensi
Perusahaan mendukung integritas dengan:
Mengajarkan dan mensyaratkannya secara aktif sebagai contoh
menekankan bahwa laporan yang jujur lebih penting daripada laporan
yang disukai.
Menghindari pengharapan atau intensif yang tidak realistis, sehingga
memotivasi tindakan dusta atau illegal, seperti praktik penjualan yang
terlampau agresif, taktik negosiasi yang tidak wajar atau tidak etis,
dan pemberian bonus yang berlebihan berdasarkan hasil keuangan
yang dilaporkan.
Memberikan penghargaan atas kejujuran serta memberikan label
verbal pada perilaku jujur dan tidak jujur secara konsisten.
Mengembangkan sebuah kode etik tertulis yang menjelaskan secara
eksplisit perilaku-perilaku jujur dan tidak jujur.
Mewajibkan pegawai untuk melaporkan pegawai tindakan tidak jujur
atau illegal dan mendisiplinkan pegawai yang diketahui tidak
melaporkannya.
Membuat sebuah komitmen untuk kompetensi.
3. Pengawasan Pengendalian Internal Oleh Dewan Direksi
Dewan direksi yang terlibat mewakili pemangku kepentingandan
memberikan tinjauan independen manajemen yang bertindak seperti
sebuah pengecekan dan penyeimbangan atas tindakan tersebut. Komite

audit bertanggung jawab atas pelaporan keuangan, kepatuhan terhadap


peraturan pengendalian internal, serta perekrutan dan pengawasan baik
auditor internal maupun eksternal.
4. Struktur Organisasi
Aspek-aspek penting dari struktur organisasi menyertakan hal-hal
sebagai berikut.
Sentralisasi atau deesntralisasi wewenang.
Hubungan pengarahan atau matriks pelaporan
Organisasi berdasarkan industry, lini produk, lokasi atau jaringan
pemasaran.
Bagaimana alokasi tanggung jawab memengaruhi ketentuan informasi.
Organisasi dan garis wewenang untuk akuntansi, pengauditan, dan
fungsi system informasi.
Ukuran dan jenis aktivitas perusahaan.
5. Metode Penetapan Wewenang dan Tanggung Jawab
Wewenang dan tanggung jawab ditetapkan dan dikomunikasikan
menggunakan deskripsi pekerjaan formal, pelatihan pegawai, jadwal
pengoperasian, anggaran, kode etik serta kebijakan dan prosedur tertulis.
6.
Standar SDM
Kebijakan SDM dan praktik-praktik yang mengatur kondisi kerja, insentif
pekerjaan, dan kemajuan karier dapat menjadi kekuatan dalam
mendorong kejujuran, efisiensi dan, layanan yang loyal.
7. Pengaruh Eksternal
Pengaruh eksternal meliputi persyaratan-persyaratan yang diajukan oleh
bursa efek, financial accounting standars board (FASB), PCAOB, dan SEC.
mereka juga menyertakan persyaratan yang dipaksakan oleh badanbadan regulasi, seperti bank, utilitas, dan perusahaan asuransi.

Empat Tipe Tujuan pengendalian yang perlu ditetapkan (


Objective Setting ) yaitu :

Tujuan strategis (strategic objective ) merupakan sasaran tingkat tinggi


yang disejajarkan dengan misi perusahaan, mendukungnya, serta
menciptakan
nilai
pemegang
saham.
Manajemen
seharusnya
mengidentifikasi cara alternatif dalam pencapaian tujuan strategis;
mengidentifikasi dan menilai resiko serta dampak dari setiap alternatif;
memformulasikan strategi perusahaan; dan menetapkan tujuan operasi,
kepatuhan dan pelaporan.

Tujuan operasi (operation objective), yaitu berhubungan dengan


efektivitas dan efisiensi operasi perusahaan, menentukan cara
mengalokasi sumber daya. Tujuan ini merefleksikan prefrensi,
pertimbangan, dan gaya manajemen serta merupakan sebuah faktor
penting dalam keberhasilan perusahaan. Tujuan operasi bervariasi secara
signifikan- sebuah perusahaan mungkin memutuskan untuk menjadi
pengadopsi awal teknologi, perusahaan lain mungkin mengadopsi
teknologi ketika terbukti handal., dan yang ketiga mungkin mengadopsi
hanya setelah teknologi tersebut diterima secara umum.
Tujuan pelaporan (reporting objective) membantu memastikan ketelitian,
kelengkapan, dan keterandalan laporan perusahaan; meningkatkan
pembuatan keputusan; dan mengawasi aktivitas serta kinerja
perusahaan.
Tujuan kepatuhan (compliance objective) membantu perusahaan
mematuhi seluruh peraturan yang berlaku. Sebagian besar tujuan
kepatuhan dan banyak tujuan pelaporan dipaksakan oleh entitas
eksternal agar merespon hokum dan peraturan. Seberapa baik sebuah
perusahaan mencapai tujuan kepatuhan dan pelaporan dapat
mempengaruhi reputasi perusahaan tersebut secara signifikan.

Identifikasi Kejadian
Committee of Sponsoring Organizations (COSO) mendefenisikan
kejadian (event) sebagai sebuah insiden atau peristiwa yang berasal dari
sumber-sumber internal atau eksternal yang mempengaruhi implementasi
strategi atau pencapaian tujuan. Kejadian mungkin memiliki dampak positif
atau negatif atau keduanya. Sebuah kejadian menunjukan ketidakpastian
mungkin atau tidak mungkin terjadi. Manajemen harus mencoba untuk
mengantisipasi seluruh kemungkinan kejadian postif atau negatif;
menentukan mana yang lebih dan kurang mungkin untuk terjadi, dan
memahami hubungan timbal balik kejadian.
Perusahaan menggunakan beberapa teknik untuk mengidentifikasi
kejadian termasuk penggunaan sebuah daftar komprehensif dari kejadian
potensial, pelaksanaan sebuah analisis internal, pengawasan kejadiankejadian yang menjadi penyebab dan titik pemicu, pengadaan seminar dan
wawancara, penggunaan data mining, dan penganalisisan proses-proses
bisnis.
Penilaian Resiko (Risk Assessment)
Manajemen harus mengidentifikasi dan menganalisis resiko untuk
menentukan cara resiko-resiko seharusnya dikelola. Manajemen juga harus
mengidentifikasi dan menilai perubahan-perubahan yang dapat secara

signifikan berdampak pada sistem pengendalian internal. Resiko-resiko


sebuah kejadian yang teridentifikasi dinilai dalam beberapa cara yang
berbeda; kemungkinan, dampak positif dan negative, secara individu dan
berdasarkan kategori, dampak pada unit organisasi yang lain, serta
berdasarkan pada sifat bawaan dan residual.
Resiko bawaan (Inherent Risk) adalah kelemahan dari sebuah penetapan
akun atau peristiwa pada masalah pengendalian yang signifikan tanpa
adanya pengendalian internal. Resiko residual (residual risk) adalah
resiko yang tersisa setelah manajemen mengimplementasikan pengendalian
internal atau beberapa respons lainnya terhadap resiko. Perusahaan harus
menilai resiko bawaan, mengembangkan respons, dan kemudian menilai
resiko residual. Manajemen harus menilai kemungkinan dan dampak resiko,
serta biaya dan manfaat dari respons-respons alternatif.
Respons Resiko (Risk Response)
Manajemen dapat merespons resiko dengan salah satu dari empat cara
berikut :
Mengurangi. Mengurangi kemungkinan dan dampak resiko dengan
mengimplementasikan sistem pengendalian internal yang efektif.
Menerima. Menerima kemungkinan dan dampak resiko
Membagikan. Membagikan resiko atau mentransferkannya kepada orang
lain dengan asuransi pembelian, mengalihdayakan sebuah aktivitas, atau
masuk ke dalam peristiwa lindung nilai (hedging).
Menghindari. Menghindari resiko dengan tidak melakukan aktivitas yang
menciptakan resiko. Hal ini bisa jadi mensyaratkan perusahaan untuk
menjual sebuah divisi, keluar dari lini produk, atau tidak memperluas
perusahaan seperti yang diharapkan.

Aktivitas Pengendalian
Aktivitas pengendalian (control activities) adalah kebijakan, prosedur, dan
aturan yang memberikan jaminan memadai bahwa tujuan pengendalian
telah dicapai dan respons resiko dilakukan. Hal tesebut merupakan tanggun
jawab manajemen untuk mengembangkan sebuah sistem yang aman dan
dikendalikan dengan tepat. Manajemen harus memastikan bahwa:
1. Pengendalian dipilih dan dikembangkan untuk membantu mengurangi
resiko hingga level yang dapat diterima;
2. Pengendalian umum yang sesuai dipilih dan dikembangkan melalui
teknologi;
3. Aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan
kebijakan dan prosedur perusahaan yang telah ditentukan.

Petugas keamanan informasi dan staf operasi bertanggung jawab untuk


memastikan bahwa prosedur pengendalian yang telah diikuti. Pengendalian
akan jauh lebih efektif ketika dijalankan sejak sistem dibangun, daripada
sudah dibangun.
Prosedur pengendalian dilakukan dalam kategori-kategori berikut:
1. OTORISASI PERISTIWA DAN AKTIVITAS YANG TEPAT
Otorisasi (authorization), merupakan penetapan kebijakan bagi para
pegawai untuk diikuti dan kemudian memberdayakan mereka guna
melakukan fungsi organisasi tertentu. Otorisasi sering didokumentasikan
dengan penandatanganan, penginisiali-sasian, atau pemasukan kode
pengotorisasian pada sebuah dokumen atau catatan. Sistem komputer
dapat merekam sebuah tanda tangan digital (digital signature), yakni
simbol penandatanganan sebuah dokumen secara elektronik dengan data
yang tidak dapat dipalsukan.
Aktivitas atau peristiwa tertentu bisa jadi merupakan konsekuensi bahwa
manajemen memberikan otorisasi khusus (specific authorization), yakni
persetujuan khusus yang dibutuhkan oleh seorang pegawai agar diizinkan untuk
menangani sebuah peristiwa. Adapun istilah otorisasi umum (general
authorization), yaitu otorisasi yang diberikan kepada pegawai untuk menangani
peristiwa rutin tanpa persetujuan khusus.

2. PEMISAHAN TUGAS
Dalam sebuah sistem informasi, prosedur yang dijalankan oleh individu
berbeda dikombinasikan. Oleh karena itu, setiap yang memiliki akses yang
terbatas ke komputer, program, dan data langsung dapat melakukan serta
menyamarkan penipuan. Untuk melawan ancaman ini, organisasi
menerapkan pemisahan tugas sistem (segregation of system duties).
Wewenang dan tanggung jawab harus dibagi dengan jelas menurut fungsifungsi sebagai berikut.
1. Administrator
sistem
(system
administrator),
orang
yang
bertanggung jawab untuk memastikan bahwa sistem beroperasi
dengan lancar dan efisien.
2. Manajer jaringan (network manager), orang yang bertanggung jawab
untuk memastikan bahwa perangkat yang berlaku ditautkan ke jaringan
perusahaan dan memastikan pula bahwa jaringan beroperasi dengan
baik.
3. Manajemen keamanan (security management), orang yang
bertanggung jawab untuk memastikan bahwa sistem yang ada aman
dan terlindungi baik dari ancaman internal maupun eksternal.

4. Manajemen perubahan (change management), adalah proses untuk


memastikan perubahan dibuat dengan lancar dan efisien serta tidak
memengaruhi keterandalan, keamanan, kerahasiaan, integritas, dan
ketersediaan sistem secara negatif.
5. Pengguna (users), orang yang mencatat peristiwa, melakukan
otorisasi data untuk diproses, dan menggunakan output sistem.
6. Analisis sistem (system analysts), orang yang membantu pengguna
menentukan kebutuhan informasi mereka dan mendesain sistem agar
sesuai dengan kebutuhan tersebut.
7. Pemrogram (programmer), orang yang membuat desain analisis dan
mengembangkan, mengodekan, serta menguji program komputer.
8. Operator
komputer
(computer
operator),
orang
yang
mengoperasikan komputer perusahaan. Mereka memastikan bahwa
data dimasukkan dengan tepat, diproses dengan benar, dan output
yang diperlukan akan dihasilkan.
9. Perpustakaan sistem operasi (information system library), sebuah
koleksi database, file, dan program perusahaan yang disimpan di dalam
sebuah area penyimpanan terpisah dan dikelola oleh pustakawan
sistem.
10.Kelompok pengendalian data (data control grup), orang yang
memastikan bahwa data sumber telah disetujui dengan semestinya,
mengawasi alur kerja melalui komputer, merekonsiliasi input dan
output, memelihara catatan input untuk memastikan kebenaran dan
kepatuhan kembali, serta mendistribusikan ouput sistem.

3. PENGEMBANGAN
PROYEK
DAN
PENGENDALIAN
AKUISISI
(PEROLEHAN)
Pengendalian pengembangan sistem yang penting meliputi hal-hal
sebagai berikut.
1. Sebuah komite pengarah (steering committee), sebuah komite
tingkat eksekutif untuk merencanakan dan mengawasi fungsi sistem
informasi.
2. Sebuah rencana induk strategis (strategic master plan), sebuah
rencana multitahunan yang menjabarkan proyek perusahaan yang
harus terselesaikan untuk mencapai tujuan jangka panjangnya dan
sumber daya yang dibutuhkan untuk mencapai rencana tersebut.

3. Sebuah rencana pengembangan proyek (project development plan),


menunjukkan tugas-tugas yang dijalankan, orang yang akan
menjalankannya, biaya proyek, tanggal penyelesaian, dan tonggak
proyek (project milestones) poin-poin signifikan ketika kemajuan
ditinjau dan waktu penyelesaian aktual serta perkiraan dibandingkan.
4. Sebuah jadwal pengolahan data (data processing schedule),
menunjukkan kapan setiap tugas seharusnya dijalankan.
5. Pengukuran kinerja sistem (system performance measurement),
ditetapkan untuk mengevaluasi sistem. Pengukuran yang umum
meliputi throughput (output per unit waktu), pemanfaatan
(utilization) persentase waktu penggunaan sistem, dan waktu
respons (response time) - lamanya waktu yang diperlukan sistem
untuk merespons.
6. Sebuah tinjauan pasca-implementasi (postimplementation review),
dijalankan setelah sebuah proyek pengembangan diselesaikan untuk
menentukan apakah manfaat antisipasian tercapai.
4. MENGUBAH PENGENDALIAN MANAJEMEN
Organisasi memodifikasi sistem yang berjalan untuk merefleksikan praktikpraktik bisnis baru dan untuk memanfaatkan penguasaan TI. Mereka yang
bertugas untuk perubahan harus memastikan bahwa mereka tidak
memperkenalkan kesalahan sehingga memfasilitasi penipuan.
5. MENDESAIN DAN MENGGUNAKAN DOKUMEN DAN CATATAN
Desain dan penggunaan dokumen elektronik dan kertas yang sesuai dapat
membantu memastikan pecatatan yang akurat serta lengkap dari seluruh
data peristiwa yang relevan. Bentuk dan isinya harus sesederhana
mungkin, meminimalkan kesalahan, dan memfasilitasi tinjauan serta
verifikasi. Dokumen yang mengawali sebuah peristiwa harus menyediakan
sebuah ruang untuk otorisasi. Mereka yang mentransfer aset
membutuhkan sebuah ruang untuk tanda tangan pihak penerimaan.
Dokumen harus dinomori secara urut, sehingga masing-masing dapat
dibukukan.
6. PENGAMANAN ASET, CATATAN, DAN DATA
Sebuah perusahaan harus melindungi kas dan aset fisik beserta
informasinya. Para pegawai merupakan resiko keamanan yang lebih besar
dibandingkan orang luar.. mereka mampu menyembunyikan tindakan
ilegal mereka dengan lebih baik karena mereka mengetahui kelemahan
sistem dengan lebih baik. Penting bagi perusahaan untuk melakukan halhal sebagai berikut.

Menciptakan dan menegakkan kebijakan dan prosedur yang tepat


Memelihara catatan akurat dari seluruh aset
Membatasi akses terhadap aset
Melindungi catatan dokumen

7. PENGECEKAN KINERJA YANG INDEPENDEN


Pengecekan kinerja yang independen meliputi:
Tinjauan tingkat atas
Tinjauan analitis
Rekonsiliasi catatan-catatan yang dikelola secara independen
Perbandingan terhadap kualitas aktual dengan jumlah dicatat
Akuntansi double-entry
Tinjauan independen

Informasi dan Komunikasi


Sistem
Informasi
dan
komunikasi
haruslah
memperoleh
dan
mempertukarkan informasi yang dibutuhkan untuk mengatur, mengelola,
dan mengendalikan operasi perusahaan. Tujuan utama dari sistem informasi
akuntansi adalah untuk mengumpulkan, mencatat, memproses, menyimpan,
meringkas, dan mengomunikasikan informasi mengenai sebuah organisasi.
Komunikasi harus dilakukan secara internal dan eksternal untuk
menyediakan informasi yang dibutuhkan guna menjalankan aktivitas
pengendalian internal harian. Seluruh personel harus memahami tanggung
jawab mereka.
Kerangka IC yang diperbaharui memerinci bahwa tiga prinsip berikut
berlaku di dalam proses informasi dan komunikasi.
1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas
tinggi untuk mendukung pengendalian internal.
2. Mengomunikasikan informasi secara internal, termasuk tujuan dan
tanggun jawab yang diperlukan untuk mendukung komponen-komponen
lain dari pengendalian internal.
3. Mengomunikasikan hal-hal pengendalian internal yang relevan kepada
pihak-pihak eksternal.

Pengawasan
Sistem pengendalian internal yang dipilih atau dikembangkan harus diawasi
secara berkelanjutan, dievaluasi, dan dimodifikasi sesuai kebutuhan. Segala
kekurangan harus dilaporkan kepada manajemen senior dan dewan direksi.
Metode-metode utama dalam pengawasan kinerja dibahas pada bagian ini.

MENJALANKAN EVALUASI PENGENDALIAN INTERNAL


Efektifitas pengendalian internal diukur dengan menggunakan evaluasi
formal atau evaluasi penilaian diri. Sebuah tim dapat dibentuk untuk
melakukan evaluasi, atau hal ini dapat dilakukan dengan pengauditan
internal.
IMPLEMENTASI PENGAWASAN YANG EFEKTIF
Pengawasan yang efektif melibatkan melatih dan mendampingi pegawai,
mengawasi kinerja mereka, mengoreksi kesalahan, dan mengawasi pegawai
yang memiliki akses terhadap aset. Pengawasan terutama penting untuk
organisasi tanpa pelaporan pertanggungjawaban atau sebuah pemisahan
tugas yang memadai.
MENGGUNAKAN SISTEM AKUNTANSI PERTANGGUNGJAWABAN
Sistem akuntansi pertanggungjawaban meliputi anggaran, kuota, jadwal,
biaya standar, dan standar kualitas; perbandingan laporan kinerja aktual dan
yang direncanakan; dan prosedur untuk menyelidiki serta mengoreksi
varians yang signifikan.
MENGAWASI AKTIVITAS SISTEM
Seluruh peristiwa dan aktivitas sistem harus direkam di dalam sebuah log
yang mengindifikasi siapa mengakses data apa, kapan, dan dari perangkat
online yang mana. Log-log tersebut harus ditinjau dengan sering dan
digunakan untuk mengawasi aktivitas sistem, melacak masalah ke
sumbernya, mengevaluasi produktivitas pegawai, mengendalikan biayabiaya perusahaan, melawan serangan spionase dan hacking, serta mematuhi
ketentuan-ketentuan hukum. Sebuah perusahaan menggunakan tiga log
untuk menganalisis mengapa seorang pegawai memiliki produktivitas nyaris
nol dan menemukan bahwa ia menghabiskan 6 jam sehari mengkases situs
porno.
Privacy Foundation memperkikan bahwa sepertiga dari seluruh pekerja
Amerika menggunakan komputer yang diawasi dan jumlah tersebut
diharapkan meningkat. Perusahaan-perusahaan yang mengawasi aktivitas
sistem tidak boleh melanggar privasi pegawai. Satu cara untuk
melakukannya adalah membuat pegawai menyetujui secara tertulis
kebijakan-kebijakan tertulis yang menyertakan:

Teknologi yang digunakan oleh seorang pegawai untuk pekerjaannya


adalah milik perusahaan.
E-mail yang diterima oleh komputer perusahaan bukanlah e-mail pribadi
dan dapat dibaca oleh personal pengawas. Kebijakan ini memungkinkan

sebuah perusahaan farmasi besar untuk mengidentifikasi dan


menghentikan seorang pegawai yang mengirimkan data produksi obat
rahasia kepada seorang pihak eksternal.
Para pegawai tidak boleh menggunakan teknologi untuk berkontribusi
pada lingkungan kerja yang bermusuhan.

MELACAK PERANGKAT LUNAK DAN PERANGKAT BERGERAK YANG


DIBELI
Penigkatan jumlah perangkat bergerak (mobile) harus dilacak dan diawasi
karena kerugiannya dapat menunjukkan pengungkapan yang substansial.
Barang-barang yang dilacak adalah perangkat, siapa yang memiliki, tugas
apa yang mereka jalankan, fitur keamanan yang dipasang, dan perangkat
lunak apa yang dibutuhkan oleh perusahaan untuk memelihara sistem dan
keamanan jaringan yang memadai.
MENJALANKAN AUDIT BERKALA
Audit keamanan eksternal, internal, dan jaringan dapat menilai dan
mengawasi resiko maupun mendeteksi penipuan dan kesalahan.
Menginformasikan para pegawai audit membantu menyelesaikan masalahmasalah privasi, menghalangi penipuan, dan mengurangi kesalahan. Para
auditor harus menguji pengendalian sistem secara reguler dan menelusuri
file penggunaan sistem untuk mencari aktivitas mencurigakan secara
periodik. Selama audit keamanan sebuah perusahaan kesehatan, para
auditor berpura-pura menjadi staf pendukung komputer yang membujuk 16
dari 22 pegawai untuk mengungkapkan ID pengguna dan kata sandi mereka.
Mereka juga menemukan bahwa para pegawai menguji sebuah sistem baru
yang mengekspos jaringan perusahaan atas serangan dari luar.
Audit internal menilai keterandalan serta integritas informasi dan
operasi keuangan, mengevaluasi efektivitas pengendalian internal, dan
menilai kepatuhan pegawai dengan kebijakan dan prosedur manajemen
maupun perundangan dan peraturan yang berlaku. Fungsi audit internal
harus independen dari fungsi akuntansi dan pengoperasian secara
organisasi. Audit internal harus melapor kepada komite audit, bukan
pengawas atau CFO.
MEMPERKERJAKAN PETUGAS KEAMANAN KOMPUTER DAN CHIEF
COMPLIANCE OFFICER
Seorang computer security officer (CSO) bertugas atas keamanan
sistem, independen dari fungsi sistem informasi, dan melapor kepada chief
operating officer (COO) atau CEO. Banyaknya tugas terkait SOX atau bentuk
kepatuhan
lainnya
telah
menuntun
banyak
perusahaan
untuk

mendelegasikan seluruh masalah kepatuhan kepada seorang chief


compliance officer (CCO). Banyak perusahaan menggunakan konsultan
komputer dari luar atau tim dalam perusahaan untuk menguji dan
mengevaluasi prosedur keamanan serta sistem komputer.
MENYEWA SPESIALIS FORENSIK
Penyelidik forensik (forensic investigators), individu yang memiliki
spesialisasi dalam penipuan, sebagian besar dari mereka memiliki pelatihan
khusus dari agen-agen penegak hukum lainnya, seperti FBI atau IRS atau
memiliki sertifikat profesional seperti Certified Fraud Examiner (CFE). Untuk
menjadi seorang CFE, para kandidat harus melalui sebuah ujian selama 2
hari.
Spesialis forensik komputer (computer forensic specialist), pakar
komputer
yang
menemukan,
mengekstrasi,
mengamankan,
dan
mendokumentasi bukti komputer seperti keabsahan, akurasi, dan integritas
bahwa tidak akan menyerah pada tantangan hukum.
MEMASANG PERANGKAT LUNAK DETEKSI PENIPUAN
Para penipu mengikuti pola-pola yang berbeda dan meninggalkan petunjuk
yang dapat dilacak dengan perangkat lunak deteksi penipuan. ReliaStar
Financial menggunakan perangkat lunak dari IBM untuk mendeteksi hal-hal
sebagai berikut:

Seorang chiropractor di Los Angeles mengirimkan ratusan ribu dollar


dalam pernyataan palsu. Perangkat lunak mengidentifikasi sejumlah
pasien tidak lazim yang tinggal lebih dari 50 mil jauhnya dari kantor si
dokter dan menandai tagihan tersebut untuk penyelidikan.
Seorang dokter di Long Island mengirimkan tagihan mingguan untuk
sebuah prosedur aneh dan mahal yang biasanya dilakukan hanya sekali
atau dua kali seumur hidup.
Seorang ahli penyakit kaki menemui empat pasien dan menagih untuk 500
prosedur terpisah.

Jaringan saraf (neural network) program dengan kemampuan


pembelajaran dapat mengidentifikasi penipuan secara akurat. Sistem
komputsi yang meniru proses pembelajaran otak dengan menggunakan
jaringan prosesor yang terhubung satu sama lain dengan menjalankan
berbagai operasi secara serentak dan berinteraksi dengan dinamis.
MENGIMPLEMENTASIKAN HOTLINE PENIPUAN
Hotline penipuan, nomor telepon yang dapat dihubungi oleh para pegawai
untuk melaporkan penipuan dan penyalahgunaan secara anonim (tanpa

nama). Sebuah hotline penipuan (fraud hotline) merupakan cara yang


efektif untuk mematuhi hukum dan menyelesaikan konflik whistle blower.
Dampak negatif dari hotline adalah benyaknya panggilan yang tidak layak
untuk diselidiki; beberapa diataranya dimotivasi oleh kehendak untuk
membahas dendam, beberapa adalah laporan kesalahan yang tidak jelas,
dan lainnya tindak memilik manfaat.

DAFTAR PUSTAKA
COBIT 5
COSO Enterprise Risk Management.
COSO Interal Control Integrated Framework.
Romney, Marshall B. & Paul Jhon Steinbart. 2014. Sistem Informasi
Akuntansi. Salemba Empat, Edisi 13, Jakarta.