Sistem Informasi Dan Pengendalian Internal Bagian 1 KLP 1
Sistem Informasi Dan Pengendalian Internal Bagian 1 KLP 1
TEMU KE-5
SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
(BAGIAN 1)
Kelompok : 1
I Gede Aditya Mahendra
1607611006
Astrid Tresnanty
1607611011
1607611015
PROGRAM PPAk
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS UDAYANA
DENPASAR
2016/2017
Control Environment.
Lingkungan pengendalian adalah rangkaian standar, proses dan struktur yang menjadi
dasar dalam pelaksanaan IC di seluruh organisasi. Terdapat lima prinsip yang terkait dengan
komponen ini yaitu:
Organisasi
menetapkan
komitmen
dalam
menarik,
mengembangkan,
dan
Risk Assessment.
Penilaian risiko melibatkan proses yang dinamis dan berulang untuk mengidentifikasi
dan menganalisis risiko untuk mencapai tujuan, serta membentuk dasar mengenai bagaimana
risiko harus dikelola. Terdapat empat prinsip yang berkaitan dengan komponen ini yaitu:
Terkait dengan pengelolaan risiko, COSO telah mengeluarkan kerangka tersendiri mengenai
Enterprise Risk Management Integrated Framework (2004)
Control Activities.
Aktivitas Pengendalian merupakan tindakan yang ditetapkan dengan prosedur dan
kebijakan untuk meyakinkan bahwa manajemen telah mengarah untuk memitigasi risiko
dalam rangka pencapaian tujuan. Terdapat tiga prinsip dalam komponen ini yaitu:
Monitoring Activity.
Evaluasi berkelanjutan, terpisah, atau kombinasi keduanya untuk memastikan seluruh
komponen IC ada dan berfungsi. Terdapat dua prinsip dalam komponen ini yaitu:
3. Identifikasi kejadian
Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran
perusahaan harus diidentifikasi, meliputi risiko dengan kesempatan yang dapat
muncul.
4. Penilaian risiko
Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan
dijadikan dasar untuk menentukan perlakuan risiko.
5. Perlakuan risiko
Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance),
menerima (acceptance), mengurangi (reduction), dan membagi risiko (sharing).
Pemilihan perlakuan risiko dilakukan dengan membandingkan hasil analisis risiko
dengan risk appetite dan risk tolerance.
6. Aktivitas pengendalian
Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan
perlakuan risiko diterapkan dengan efektif.
7. Informasi dan komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk
dan waktu yang tepat agar personil dapat melakukan tanggung jawabnya dengan baik.
8. Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.
COSO ERM Integrated Framework juga mendeskripsikan peran dan tanggung
jawab dari unit-unit kerja perusahaan dalam penerapan manajemen risiko. Satu prinsip dasar
yang ditanamkan COSO ERM adalah bahwa semua bagian di dalam perusahaan memiliki
tanggung jawab terhadap ERM, yang artinya implementasi manajemen risiko harus
mencakup entity-level, division, business unit, hingga subsidiary, dan mencakup seluruh
seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat pembagian peran dan
tanggung jawab dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab
yang dijelaskan COSO ERM:
Risk officer, financial officer, dan internal audit memiliki peran kunci dalam
mendukung efektivitas penerapan manajemen risiko perusahaan;
Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam
menerapkan manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan
manajemen risiko perusahaan;
Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan
dalam value chain perusahaan) tidak memiliki tanggung jawab dalam memastikan
efektivitas ERM dari entitas, tetapi pihak-pihak tersebut berperan penting dalam
menyediakan informasi yang dapat mendukung efektivitas manajemen risiko.
Daftar Pustaka
Gondodiyoto, Sanyoto. 2007. Audit Sistem Informasi. Jakarta: Mitra Wacana Media
IT Governance Institute. 2007. COBIT ver. 4.1: Framework, Control Objective, Management Guidelines,
Maturity Models. Rolling Meadow.
Sucahyo, dkk. 2007. Audit Sistem Informasi dengan Kerangka Kerja COBITuntuk Evaluasi Manajemen TI di
Universitas XYZ. Jurnal Sistem Informasi MTI-UI.
oleh pemrosesan data yang salah, sehingga dapat mempengaruhi pengambilan keputusan
yang salah dan bisa juga dapat berakibat keamanan data tidak terjaga dan data tidak dapat
pertahankan integritasnya.
Tata kelola informasi pada proses pengelolaan data adalah manajemen pengelolaan data
yang merupakan aset penting dalam bagi perusahaan ataupun organisasi. Tata kelola
informasi pada proses pengelolaan data yang kurang baik akan menimbulkan beberapa
permasalahan yang merupakan kelemahan sehingga akan menimbulkan ancaman seperti
kejadian kehilangan, perusakan, pencurian, dan penyadapan data penting perusahaan atau
organisasi. Langkah-langkah perbaikan yang berkelanjutan terhadap tata kelola teknologi
informasi khususnya pada proses pengelolaan data diharapkan akan mampu meminimalisasi
resiko ancaman di atas. Untuk dapat melakukan perbaikan tata kelola teknologi informasi,
maka perusahaan atau organisasi tersebut terlebih dahulu harus mampu memahami tingkat
pengelolaan teknologi informasi yang diharapkan sehingga langkah-langkah perbaikan yang
dilakukan akan efektif.
Badan Pemeriksa Keuangan Republik Indonesia (BPK RI) adalah instansi pemerintahan
untuk melaksanakan pemeriksaan atas pengelolaan dan tanggung jawab keuangan negara
yang mempunyai tujuan strategis yang antara lain adalah memenuhi harapan dan pemilik
kepentingan (stakeholders) dan mendorong terwujudnya tata kelola yang baik atas
pengelolaan dan tanggung jawab keuangan Negara. BPK RI mengimplementasikan
penggunaan teknologi informasi dalam kegiatan operasionalnya seperti penggunaan Tehnik
Audit Berbasis Komputer (TABK), penggunaan aplikasi pemeriksaan, dan lain-lain. Agar
penggunaan teknologi informasi tersebut dapat mendukung tercapainya tujuan strategis, BPK
RI memerlukan pengelolaan teknologgi informasi yang baik.
B. Sekilas Tentang CobIT
COBIT~Control Objective for Information and related Technology
Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari
ISACA (Information Systems Audit and Control Association) pada tahun 1996. hingga saat
artikel ini di muat setidaknya sudah ada 5 versi COBIT yang sudah diterbitkan, versi pertama
diterbitkan pada tahun 1996, versi kedua tahun 1998, versi 3.0 di tahun 2000, Cobit 4.0 pada
tahun 2005, CObit 4.1 tahun 2007 dan yang terakhir ini adalah Cobit versi 5 yang di rilis
baru-baru saja.
COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga
disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap antara
10
kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu
organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik
digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai
serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT.
Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar
panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan
memanfaatkan TI. Cobit memberikan panduan kerangka kerja yang bisa mengenndalikan
semua kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan
pengambilan keputusan di level top dalam organisasi.
siapa saja yang menggunakan COBIT?, COBIT digunakan secara umum oleh mereka
yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang
organisasinya sangat bergantung pada kualitas,kehandalan dan penguasaan teknologi
informasi.
C. Skala Maturity dari CobIT
Maturity model adalah suatu metode untuk mengukur level pengembangan
manajemen proses, yang berarti adalah mengukur sejauh mana kapabilitas manajemen
tersebut. Seberapa bagusnya pengembangan atau kapabilitas manajemen tergantung pada
tercapainya tujuan-tujuan COBIT yang . Sebagai contoh adalah ada beberapa proses dan
sistem kritikal yang membutuhkan manajemen keamanan yang lebih ketat dibanding proses
dan sistem lain yang tidak begitu kritikal. Di sisi lain, derajat dan kepuasan pengendalian
yang dibutuhkan untuk diaplikasikan pada suatu proses adalah didorong pada selera resiko
Enterprise dan kebutuhan kepatuhan yang diterapkan.
Penerapan yang tepat pada tata kelola TI di suatu lingkungan Enterprise, tergantung
pada pencapaian tiga aspek maturity (kemampuan, jangkauan dan kontrol). Peningkatan
maturity akan mengurangi resiko dan meningkatkan efisiensi, mendorong berkurangnya
kesalahan dan meningkatkan kuantitas proses yang dapat diperkirakan kualitasnya dan
mendorong efisiensi biaya terkait dengan penggunaan sumber daya TI.
Maturity model dapat digunakan untuk memetakan :
1. Status pengelolaan TI perusahaan pada saat itu.
2. Status standart industri dalam bidang TI saat ini (sebagai pembanding)
3. status standart internasional dalam bidang TI saat ini (sebagai pembanding)
4. strategi pengelolaan TI perusahaan (ekspetasi perusahaan terhadap posisi
pengelolaan TI perusahaan)
11
mengalami
kekurangan
pengalaman
manajemen,
keuntungan
dari
untuk mengurangi variasi kinerja proses sehingga terdapat batasan yang dapat diterima.
Resiko perpindahan teknologi produk, prores manufaktur, dan pasar harus diketahui dan
diatur secara hati-hati. Proses pengembangan dapat ditentukan karena proses diukur dan
dijalankan dengan limit yang dapat diukur.
Level 5(Optimized Level); Pada level ini, seluruh organisasi difokuskan pada proses
peningkatan secara terus-menerus. Teknologi informasi sudah digunakan terintegrasi untuk
otomatisasi proses kerja dalam perusahaan, meningkatkan kualitas, efektifitas, serta
kemampuan beradaptasi perusahaan. Tim pengembangan produk menganalisis kesalahan dan
defects untuk menentukan penyebab kesalahannya. Proses pengembangan melakukan
evaluasi untuk mencegah kesalahan yang telah diketahui dan defects agar tidak terjadi lagi.
cobIT memiliki sebuah kerangka kerja yang terdiri atas beberapa arahan, yakni:
(1)
Control Objective: Terdiri atas 4 tujuan tingkat-tinggi yang terdapat dalam 4 domain,
yaitu: planing & organization, acquisition & implementation, delivery & support, dan
monitoring.
(2) Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian rinci untuk membantu
para auditor dalam memberikan management assurance dan/atau saran perbaikan.
(3)
Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai
apa-apa yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut.
a.
Sejauh mana Anda (TI) harus bergerak, dan apakah biaya IT yang dikeluarkan sesuai
b.
c.
d.
e.
f.
Information Technology (IT) security and control practices. CobIT diharapkan dapat
membantu menemukan berbagai kebutuhan manajemen yang berkaitan dengan TI,membantu
pengoptimalan
investasi
TI,
dan
menyediakan
ukuran/kriteria
ketika
terjadi
DAFTAR ISI
Gondodiyoto,Sanyoto.(2007). Audit Sistem Informasi + Pendekatan CobIT.Jakarta:Mitra Wacana Media.
Indriantoro, Nur dan Bambang Supomo. Metodologi Penelitian Bisnis Untuk Akuntansi dan Manajemen,
BPFE, Yogyakarta, 2002.
IT Governance Institute (2005). COBIT 4.0:Control Objectives,
Managements,
Guidelines,Maturity
15
COBIT