Information system (IT) governance : adalah sebuah subset tata kelola perusahaan yang
relatif baru yang fokus pada manajemen dan penilaian sumber daya IT yg strategis.
Tujuan dari It governance : adalah untuk mengurangi resiko dan memastikan bahwa
investasi pada sumber daya IT menambah nilai perusahaan
- Audit Procesure
Beberapa pengawasan keamana fisik :
Test of physical contruction
Test of the fire detection system
Test of access control
Test of RAID
Test of the uninterruptible power supply
Test of insurance coverage
Outsourcing It function
- Manfaat It oursourcing :
(1) Improved core business processes
(2) Improved IT performance
(3) Reduce It costs
- Lokasi yg mendasari outsourcing mngikuti teori kompetensi inti yg berpendapat bahwa
sebuah organisasi harus berfokus pd kompetensi bisnis intinya. Mengabaikan
perbedaan penting antara :
(1) Commodity IT asset. Tidak unik terhadap organisasi dan mudah diperoleh pada
marketplace
(2) Specific IT asset. Unik dan mendukung tujuan strategis perusahaan / organisasi
(3) Transaction Cost Economic. Menyarankan perusahaan untuk mempertahankan
spesifik asset non IT
(4) Cloud computing. Lokasi yg independen membagi pusat data yg dihosting melalui
layanan It di internet. Ada 3 kelas utama: SaaS (software as a service), IaaS
(Infrastructure as a service), Paas (Platform as a service)
(5) Virtualization. Network virtualization meningkatkan efektifitas network, optimasi
kecepatan, flexibilitas dan meningktkan skalabilitas. Storage virtualization untuk
menghitung penyimpanan fisik dari berbagai perangkat.
1. Flat files :
File sistem operasi yang record dalam filenya tidak berisi informasi tentang struktur
file atau hubungan antar record yang dikomunikasikan ke aplikasi yang
menggunakannya. (contoh : csv, yang data nya di pisah pake koma )
Cocok untuk menyimpan daftar dan data yang sederhana.
a. Sequential structure :
Mengorganisasi kumpulan record secara berurutan
Kelebihan :
- Harganya relatif murah
- Metode penyimpanan dalam memory sangat sederhana sehingga efisien
untuk menyimpan record yang besar
Kekurangan :
- Prosesnya lambat
- Tidak efisien jika hanya sebagian kecil file yang diproses
- Jika ingin mengubah data,maka semua record yang tersimpan dalam
master file harus diproses semuanya
- Tidak bisa dilakukan pembacaan secara langsung
- Sangat susah untuk mengupdate data,sebab master file hanya bisa berubah
pada saat proses berlangsung.
Sequential access method :suatu cara pengaksesan record, yang didahului
pengaksesan record-record di depannya. (Jadi akses datanya secara berurutan satu satu
dari depan, tidak loncat loncat )
Sequential storage method : data disimpan secara urut dan disortir. Media
penyimpanan : magnetic tape, cd, dvd.
virtual storage acessing method (VSAM) : suatu perusahaan dapat mengatur catatan
dalam file dalam urutan fisik (urutan bahwa mereka masuk), urutan logis menggunakan
kunci (misalnya, nomor ID karyawan), atau dengan jumlah record relatif pada perangkat
penyimpanan akses langsung (DASD).
Kelemahan: Tidak melakukan penyisipan rekaman secara efisien - memerlukan relokasi
fisik semua catatan di luar titik tersebut.
Memiliki tiga komponen fisik: indeks, prime data storage area, overflow area.
c. Hashing structure
o Hashing merupakan salah satu struktur data yang digunakan dalam penyimpanan
data sementara. ( kayak hashtag )
o Tujuan dari hashing adalah untuk mempercepat pencarian kembali dari banyak data
yang disimpan.
o Kelebihan :
o Kekurangan :
- Data yang sama mungkin kestore berkali kali
- Penggunaan hastag yang beda tapi data yang sama
d. Pointer structure
Menyimpan alamat (pointer) catatan terkait di field setiap record data, sehingga
menyediakan koneksi antara catatn dan dapat digunakan untuk menggabungkan
catatan antar file.
o Keuntungan:
- Kecepatan akses
o Kekurangan :
- Jika catatan terkait bergerak, penunjuk harus diubah. Dengan tidak adanya
hubungan logis dengan catatan yang mereka identifikasi, jika pointer hilang
atau hancur, catatan referensi juga hilang.
3. Relational database
Model inimenggunakan sekumpulan tabel berdimensi dua(yang disebut relasi atau tabel),
dengan masing-masing relasi tersusun atas tuple dan atribut.Relasi dirancang sedemikian
rupa sehinggadapat menghilangkan kemubaziran data danmenggunakan Field Kunci
(Primary Key) untukberhubungan dengan relasi lain.
Kelebihan Model Relasional
Model Relasional merupakan model data yang paling banyak digunakan saat ini. Hal ini
disebabkan oleh bentuknya yang sederhana dibandingkan dengan model jaringan/network
atau model hirarki. Bentuk yang sederhana ini membuat pekerjaan seorang programmer
menjadi lebih mudah, yaitu dalam melakukan berbagai operasi data (query, insert, update,
delete, dan lainnya).
Database anomalies
- Update anomali : Yaitu error atau kesalahan yang terjadi sebagai akibat operasi
perubahan tuple/record dari sebuah relasi.
Contoh: Jika harga obat untuk kode_obat Kd01 dinaikkan menjadi 5000, maka harus
dilakukan beberapa kali modifikasi terhadap record-record pasien yang menebus
kode_obat Kd01, agar data selalu tetap konsisten.
- Insertion anomalies : Yaitu error atau kesalahan yang terjadi sebagai akibat operasi
menyisipkan tuple/record pada sebuah relasi.
Contoh: Jika ada obat baru yang akan dimasukkan/disisipkan, maka obat tersebut tidak
dapat disisipkan ke dalam relasi sampai ada pasien yang mengambil jenis obat tersebut
Internal Audits
Audit internal adalah fungsi penilaian independen untuk memeriksa dan mengevaluasi
kegiatan di dalam, dan sebagai layanan untuk, sebuah organisasi.
Auditor internal melakukan berbagai kegiatan termasuk audit keuangan, operasional,
kepatuhan dan penipuan.
Auditor dapat bekerja untuk organisasi atau tugas yang mungkin dioutsourcing.
- Independen (Kemandirian) dipaksakan sendiri, tapi auditor mewakili kepentingan
organisasi.
External vs Internal Auditors
Auditor eksternal mewakili pihak luar sementara auditor internal mewakili kepentingan
organisasi.
Auditor internal sering bekerja sama dengan dan membantu auditor eksternal dalam
beberapa aspek audit keuangan.
-Tingkat kerjasama tergantung pada independensi dan kompetensi staf audit internal.
Auditor eksternal dapat mengandalkan sebagian bukti yang dikumpulkan oleh
departemen audit internal yang independen secara organisasi dan melapor kepada komite
audit direksi.
Fraud Audits
Kenaikan popularitas saat ini sebagai alat corporate governance.
Tujuan untuk menyelidiki anomali dan mengumpulkan bukti kecurangan yang dapat
menyebabkan hukuman kriminal.
Mungkin diprakarsai oleh manajemen yang mencurigai kecurangan karyawan atau dewan
direksi yang mencurigai kecurangan eksekutif.
Standar Pelaporan
1. Laporan auditor harus menyataklan apakah laporan keuangan telah disusun sesuai dengan
prinsip akuntansi yang berlaku umum di indonesia.
2. Laporan auditor harus menunjukkan, jika ada ketidakonsistenan penerapan prinsip
akuntansi dalam penyusunan laporan keuangan periode berjalan dibandingkan dengan
penerpan prinsip akuntansi tersebut dalam periode sebelumnya.
3. Pengungkapan informatif dalam laporan keuangan harus dipandang memadai, kecuali
dinyatakan lain dalam laporan auditor.
4. Laporan auditor harus memuat suatu pernyataan pendapat mengenai laporan keuangan
secara keseluruhan atau suatu asersi bahwa pernyataan demikian tidak dapat diberikan. Jika
pendapat secara keseluruhan tidak dapat diberikan, maka alasannya hrus dinyatakan.
Auditing Standard
Asersi manajemen dan tujuan audit:
- Keberadaan atau Keberadaan; Kelengkapan; Hak dan kewajiban; Penilaian atau
Alokasi; - Penyajian dan Pengungkapan.
- Auditor mengembangkan tujuan audit dan merancang prosedur audit berdasarkan asersi
ini.
Auditor mencari informasi rahasia yang menguatkan asersi.
Auditor harus menentukan apakah kelemahan pengendalian internal dan salah saji
bersifat material.
Auditor harus mengkomunikasikan hasil tes mereka, termasuk pendapat audit.
Audit Risk
Probabilitas auditor akan membuat opini wajar (tidak wajar) atas laporan keuangan yang
pada faktanya salah saji material.
Risiko inheren (IR) dikaitkan dengan karakteristik bisnis klien atau industri yang unik.
Kontrol risiko (CR) adalah kemungkinan struktur kontrol cacat karena kontrol tidak ada
atau tidak memadai untuk mencegah atau mendeteksi kesalahan.
Risiko pendeteksian (DR) adalah auditor risiko bersedia untuk mengambil kesalahan
yang tidak terdeteksi atau dicegah oleh struktur kontrol tidak akan terdeteksi oleh auditor.
Komponen risiko audit dalam model yang digunakan untuk menentukan cakupan, sifat
dan waktu uji substantif:
Model risiko audit: AR = IR x CR x DR
- Jika risiko audit yang dapat diterima adalah 5%, risiko pendeteksian yang direncanakan
akan tergantung pada struktur kontrol.
Semakin kuat struktur pengendalian internal, semakin rendah risiko pengendalian dan
pengujian substantif yang harus dilakukan auditor.
- Uji substantif adalah padat karya dan memakan waktu, yang mendorong biaya audit dan
menyebabkan gangguan.
- Kepentingan terbaik manajemen dilayani oleh struktur pengendalian internal yang kuat.
The IT Audit
Langkah pertama adalah perencanaan audit yang meliputi analisis risiko audit.
- Teknik pengumpulan bukti meliputi kuesioner, wawancara manajemen, review
dokumentasi sistem dan kegiatan pengamatan.
Tujuan tes kontrol adalah untuk menentukan apakah kontrol yang memadai dilakukan
dan berfungsi.
Tahap ketiga berfokus pada data keuangan dan penyelidikan terperinci mengenai saldo
dan transaksi rekening spesifik melalui uji substantif.
- File dapat diekstraksi dengan menggunakan piranti lunak Computer-Assisted-Audit
Tools and Techniques (CAATTs).
Internal Control
Manajemen diwajibkan oleh hukum untuk membangun dan memelihara sistem kontrol
internal yang memadai.
Sejarah singkat undang-undang pengendalian internal:
- SEC Act of 1933 dan 1934.
- Hukum Hak Cipta tahun 1976.
- Foreign Corrupt Practices (FCPA) tahun 1977 mengharuskan perusahaan yang terdaftar
di SEC untuk:
- Buat catatan yang cukup dan cukup mencerminkan transaksi dan posisi keuangan
perusahaan.
- Menjaga sistem pengendalian internal yang memberikan keyakinan memadai bahwa
tujuan organisasi terpenuhi.
- Komite Organisasi Sponsor 1992
Sarbanes-Oxley Act of 2002 (SOX) mewajibkan manajemen perusahaan publik untuk
menerapkan sistem pengendalian internal yang memadai atas proses pelaporan keuangan
mereka. Berdasarkan Bagian 302:
- Manajer harus mengesahkan kontrol internal organisasi setiap tiga bulan dan setiap
tahun.
- Auditor eksternal harus melakukan prosedur tertentu setiap tiga bulan untuk
mengidentifikasi modifikasi kontrol material yang mungkin berdampak pada pelaporan
keuangan.
Bagian 404 mewajibkan manajemen perusahaan publik untuk mengakses keefektifan
pengendalian internal mereka dalam sebuah laporan tahunan.
Modifying Principles
Tanggung jawab manajemen dibuat hukum oleh SOX.
Tujuan harus dicapai terlepas dari metode pengolahan data yang digunakan.
Setiap sistem memiliki keterbatasan dalam keefektifannya termasuk: kemungkinan
kesalahan, pengelakan, penanganan manajemen dan perubahan kondisi.
Sistem harus memberikan keyakinan memadai bahwa tujuan yang luas terpenuhi.
- Biaya untuk mencapai kontrol yang lebih baik seharusnya tidak melebihi manfaat.
- Biaya koreksi kelemahan material diimbangi oleh keuntungan.
Physical Controls
Otorisasi transaksi adalah memastikan semua transaksi yang diproses valid.
- Mungkin umum (penjualan hanya untuk pelanggan yang berwenang) atau spesifik
(memperluas batas kredit pelanggan).
Pemisahan tugas dirancang untuk:
- Otorisasi transaksi terpisah dari pemrosesan.
- Pisahkan hak asuh dari pencatatan.
- Pastikan kecurangan yang sukses membutuhkan kolusi antara individu dengan tanggung
jawab yang tidak sesuai.
Pengawasan adalah kontrol kompensasi bagi organisasi kecil yang tidak dapat mencapai
pemisahan tugas yang memadai.
Catatan akuntansi adalah dokumen sumber, jurnal dan buku besar yang menyediakan
jejak audit.
- Informasi yang dibutuhkan untuk operasional sehari hari dan penting dalam proses audit
keuangan.
Kontrol akses hanya memastikan personil yang berwenang telah menilai aset perusahaan.
Prosedur verifikasi adalah pemeriksaan independen untuk mengidentifikasi kesalahan dan
keliru dalam sistem akuntansi.
- Manajemen dapat menilai kinerja individu, integritas sistem pengolahan transaksi, dan
kebenaran data.
IT Controls
Kontrol aplikasi memastikan validitas, kelengkapan, dan keakuratan transaksi keuangan.
- Termasuk digit cek, balancing batch dan batas gaji.
Kontrol umum berlaku untuk semua sistem dan mencakup:
- Tata kelola TI, infrastruktur TI, keamanan dan akses ke sistem operasi dan database,
prosedur akuisisi dan pengembangan aplikasi dan program.
Kontrol umum diperlukan untuk mendukung fungsi kontrol aplikasi. Keduanya
diperlukan untuk memastikan pelaporan keuangan yang akurat.
COBIT 5 (Control Objectives for Information and related Technology 5) adalah suatu
panduan standar praktik manajemen teknologi informasi. COBIT dikeluarkan oleh IT Governance
Institute yang merupakan bagian dari ICASA. COBIT merupakan a set of best practice
(framework) bagi pengelolaan teknologi informasi (IT management) yang secara lengkap terdiri
dari: executive summary, framework, control objectives, audit guidelines, implementation tool set
serta management guidelines yang sangat berguna untuk proses system informasi strategis.
COBIT berguna bagi IT user dalam memperoleh kaakinan atas kehandalam system aplikasi
yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan saat
menyusun strategi IT plan, menentukan architecture, dan keputusan atas procurement
(pengadaan/pembelan) inventaris organisasi.
COBIT FRAMEWORK
Kerangka kerja COBIT terdiri dari beberapa guidelines (arahan):
1. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang
tercermin dalam 4 domain, yaitu: planning & organization, acquisition & implementation,
delivery & support, dan monitoring.
2. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management assurance atau saran perbaikan.
3. Management Guidelines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti dilakukan,
seperti: apa saja indicator untuk suatu kinerja yang bagus, apa saja resiko yang timbul, dan
lain-lain.
4. Maturity Models
Untuk memetakan status maturity proses-proses IT (dalam skala 0 5).
Gambar evolusi penggunaan COBIT
COBIT 5 diimplementasikan pada tahun 2012 dengan berorientasi pada governance atau
tata kelola IT pada perusahaan-perusahaan. COBIT dirancang terdiri dari 34 control objective yang
tercermin dalam 4 domain, seperti pada gambar berikut:
Keunggulan COBIT 5
Mengurangi kompleksitas dan meningkatkan efektivitas biaya karena integrasi yang lebih
baik dan lebih mudah
Meningkatkan kepuasan pengguna
Meningkatkan integrasi keamanan informasi dalam perusahaan
Menginformasikan risiko keputusan dan risk awareness
Meningkatkan pencegahan, deteksi, dan pemulihan
Mengurangi insiden atau dampak kemanan informasi
Meningkatkan dukungan untuk inovasi dan daya saing
Meningkatkan pengelolaan biaya yang berhubungan dengan fungsi kemananan informasi
Pemahaman yang lebih baik dari kemanan informasi yaitu memastikan bahwa:
Confidentiality yaitu menjaga hak akses dan penggunaan wewenang untuk
melindungi privacy dan kepemilikan informasi
Integrity yaitu menjaga informasi dari modifikasi atau perusahan dan memastikan
bahwa informasi yang ada merupakan informasi yang asli dan tidak ada penolakan
jika akan dilakukan pembuktian terhadap system.
Availability yaitu memastikan dalam hal waktu dan kehandalam dalam mengakses
dan menggunakan informasi agar selalu tersedia