2

MODUL PERKULIAHAN

P182100009 –
AUDIT SISTEM
INFORMASI
Internal Control & IT
Governance

Abstrak Sub-CPMK
Sistem Pengendalian Internal adalah Sub-CPMK 1,6,7
perencanaan yang meliputi struktur
Kemampuan akhir yang direncanakan dari akhir
organisasi dan semua metode dan alat-alat
pembelajaran adalah mahasiswa mampu memahami
yang dikoordinasikan yang digunakan
mengenai Pengertian, ruang lingkup, dan sistem kontrol
dalam perusahaan dengan tujuan untuk
internal, Pengertian dari control objectives dan control
menjaga keamanan harta milik perusahaan,
risks, Pengertian, peran, dan keterkaitan antara
memeriksa ketelitian dan kebenaran data
management control framework dan application control
akuntansi, mendorong efisiensi, dan
framework, Pengertian dari corporate IT governance dan
mendorong dipatuhinya kebijakan
implementasinya.
manajemen yang ditetapkan.Tujuan
pengendalian internal adalah menjaga
kekayaan organisasi, Memeriksa ketelitian
dan kebenaran data akuntansi, Mendorong
efisiensi, Mendorong dipatuhinya kebijakan
manajemen.
Internal Control
Konsep Internal Control telah bergulir sejak tahun 1930-an. Untuk pertama kali, George E.
Bennet menyebutkan definisi Internal Control. Namun istilah tersebut baru dinyatakan
secara institutional oleh AICPA pada tahun 1949 melalui laporan khusus yang berjudul
“Pengendalian Internal – Elemen-elemen Sistem yang Terkoordinasi dan Pentingnya
Pengendalian bagi Manajemen dan Akuntan Independen”. Selanjutnya konsep tersebut
berkembang pesat dengan yang kita kenal delapan unsur Pengendalian Internal.

Perkembangan berikutnya, pada awal tahun 80-an konsep tersebut dinilai banyak pihak
sudah tidak aplicabel lagi. Semakin kompleksnya dunia bisnis dan teknologi membuat
konsep pengendalian internal tersebut tidak efektif dalam mendorong tercapainya tujuan
perusahaan. Semakin banyak keluhan dari perusahaan dan institusi yang telah
menerapkan konsep internal control sebagaimana dikembangkan oleh American Institute
of Certified Public Accountant (AICPA), namun masih mengalami kegagalan.

Pada tahun 1992, The Commitee of Sponsoring Organization of The Treadway

Commission (COSO) menerbitkan laporan yang berjudul “Internal Control-Integrated
Framework”. Laporan COSO tersebut memberikan suatu pandangan baru tentang konsep
Internal Control yang lebih luas dan terintegrasi serta sesuai dengan perkembangan dunia
usaha untuk mencegah terjadinya penyimpangan. Jika pada konsep sebelumnya hanya
menekankan pada proses penyusunan laporan keuangan saja, maka konsep COSO
memiliki pandangan yang lebih luas yaitu dengan melakukan pengendalian atas perilaku
seluruh komponen organisasi. Konsep ini mendapat akseptasi yang luas dari berbagai
pihak.

Di Indonesia, perkembangan menarik terjadi dengan terbitnya Undang-Undang nomor 1

tahun 2004 dan Peraturan Pemerintah Nomor 58 tahun 2006. Pada ketentuan tersebut,
ditetapkan bahwa setiap instansi pemerintah harus mengembangkan Sistem
Pengendalian Intern. Penjelasan dan ketentuan lain yang menjabarkan menyebutkan
bahwa Sistem Pengendalian Intern terdiri dari 5 komponen yaitu lingkungan
pengendalian, penilaian risiko, aktivitas pengendalian, informasi dan komunikasi serta
monitoring. Hal ini mengandung arti bahwa konsep Internal Control versi COSO
diterapkan pada sektor pemerintahan di Indonesia. Sebuah langkah maju dan berani
serta menjadi tantangan yang tidak mudah bagi para auditor internal pemerintah.

2022 UI / UX
2 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
Pengertian Internal Controls

Melalui Statement of Auditing Standar (SAS), AICPA mendefinisikan Internal Control

sama dengan definisi COSO, yaitu suatu proses yang dipengaruhi oleh aktivitas
Dewan Komisaris, Manajemen dan Pegawai, yang dirancang untuk memberikan
keyakinan yang wajar atas
a) Keandalan pelaporan keuangan,
b) Efektivitas dan efisiensi operasi, dan
c) Ketaatan terhadap hukum dan peraturan yang berlaku.

Berbeda dengan definisi pertama yang hanya mengaitkan pengendalian hanya dengan
perencanaan, metode dan pengukuran, pada definisi berikutnya terkait dengan “proses
yang dipengaruhi oleh aktivitas seluruh komponen organisasi”. Definisi ini mengandung
makna yang lebih luas dari definisi sebelumnya.

Dalam teori akuntansi dan organisasi, pengendalian intern atau internal control
didefinisikan sebagai suatu proses, yang dipengaruhi oleh sumber daya manusia
dan sistem teknologi informasi, yang dirancang untuk membantu organisasi
mencapai suatu tujuan atau objektif tertentu. Pengendalian intern merupakan suatu
cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu
organisasi. Ia berperan penting untuk mencegah dan mendeteksi penggelapan (fraud)
dan melindungi sumber daya organisasi baik yang berwujud (seperti mesin dan lahan)
maupun tidak (seperti reputasi atau hak kekayaan intelektual seperti merek dagang).
Batasan pengendalian internal, sebagai suatu sistem pengendalian yang meliputi struktur
organisasi beserta semua metode dan ukuran yang diterapkan dalam perusahaan,
dengan tujuan untuk :

1) Mengamankan aktiva perusahaan.

2) Mengecek kecermatan dan ketelitian data akuntansi.
3) Meningkatkan efisiensi.
4) Mendorong agar kebijakan manajemen dipatuhi oleh segenap jajaran organisasi.

Ringkasnya bahwa pengendalian intern tidak hanya meliputii pekerjaan pengecekan

tetapi juga meliputi semua sistem kerja yang terjadi dalam perusahaan dalam upaya
mencapai tujuan perusahaan.

2022 UI / UX
3 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
Untuk menjaga agar sistem internal control ini benar-benar dapat dilaksanakan, maka
sangat diperlukan adanya internal auditor atau bagian pemeriksaan intern. Fungsi
pemeriksaan ini merupakan upaya tindakan pencegahan, penemuan penyimpangan-
penyimpangan melalui pembinaan dan pemantauan internal control secara
berkesinambungan. Bagian ini harus membuat suatu program yang sistematis dengan
mengadakan observasi langsung, pemeriksaan dan penilaian atas pelaksanaan kebijakan
pimpinan serta pengawasan sistem informasi akuntansi dan keuangan lainnya.

Dari definisi pengendalian internal yang dikemukakan tersebut diatas dapat ditemukan
beberapa konsep dasar berikut :

a) Pengendalian internal merupakan suatu proses untuk mencapai tujuan tertentu, atau
merupakan suatu rangkaian tindakan yang menjadi bagian yang tidak terpisahkan.
b) Pengendalian internal bukan hanya terdiri dari pedoman, kebijakan, formulir, namun
dijalankan oleh orang dari setiap jenjang organisasi, yang mencakup dewan
komisaris, manajemen dan personil lain.
c) Pengendalian internal diharapkan mampu memberikan keyakinan memadai, bukan
keyakinan mutlak bagi manajemen dan dewan komisaris entitas. Keterbatasan yang
melekat dalam semua sistem pengendalian intern dan pertimbangan manfaat serta
pengorbanan dalam pencapaian tujuan pengendalian, menyebabkan pengendalian
intern tidak dapat memberikan keyakinan mutlak.
d) Pengendalian internal ditujukan untuk mencapai tujuan yang saling berkaitan yaitu
pelaporan keuangan, kepatuhan dan operasi.

Prinsip Dasar Pengendalian Internal

Ada beberapa asumsi dasar yang perlu dipahami mengenai pengendalian internal bagi
suatu entitas organisasi atau perusahaan, yaitu :
a) Sistem pengendalian internal merupakan management responsibility. Artinya yang
paling berkepentingan terhadap sistem pengendalian internal suatu organisasi adalah
top management dengan mengharapkan kebijakan dipatuhi.
b) Top Management bertanggung jawab menyususn sistem pengendalian internal, yang
harus dilaksanakan oleh semua staf.
c) Sistem pengendalian internal seharusnya bersifat generik, mendasar dan dapat
diterapkan pada tiap perusahaan pada umumnya.

2022 UI / UX
4 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
d) Sifat sistem pengendalian internal adalah reasonable assurance, artinya tingkat
rancangan yang kita desain adalah yang paling optimal.
e) Sistem pengendalian internal mempunyai keterbatasan-keterbatasan atau constraints,
misalnya adalah sebaik-baiknya kontrol tetapi kalau pegawai yang melaksanakannya
tidak cakap, atau kolusi, maka tujuan pengendalian itu mungkin tidak tercapai.
f) Sistem pengendalian internal harus selalu dan terus-menerus dievaluasi, diperbaiki,
disesuaikan dengan perkembangan kondisi dan teknologi.

Internal Control Objectives

Faktor-faktor yang menyebabkan makin pentingnya sistem pengendalian internal, antara
lain adalah :
a) Perkembangan kegiatan dan skalanya menyebabkan kompleksitas struktur,
sistem dan prosedur suatu organisasi makin rumit.
b) Tanggungjawab utama untuk melindungi asset organisasi, mencegah dan
menemukan kesalahan-kesalahan serta kecurangan-kecurangan terletak pada
manajemen, sehingga manajemen harus mengatur sistem pengendalian internal
yang sesuai untuk memenuhi tanggung jawab tersebut.
c) Pengawasan oleh lebih dari satu orang (saling cek) merupakan cara yang tepat
untuk menutup kekurangan-kekurangan yang bisa terjadi pada manusia.
d) Pengawasan yang ‘built-in’ langsung pada sistem berupa pengendalian internal
yang baik dianggap lebih tepat daripada pemeriksaan secara langsung dan detail
oleh pemeriksa (khususnya yang berasal dari luar organisasi).

Pada sistem informasi berbasis teknologi informasi, system controls menjadi semakin
penting, karena :

1) Besarnya biaya dan kerugian kalau sampai data komputer hilang.

2) ‘Biaya yang harus dibayar’ bila sampai mutu keputusan buruk akibat pengolahan
data yang salah.
3) Potensi kerugian kalau terjadi kesalahan atau penyalahgunaan komputer.
4) Nilai (investasi) yang tinggi dalam pengadaan maupun perawatan mesin
(hardware & software).
5) Nilai atau biaya yang tinggi yang dikeluarkan untuk pendidikan personil.
6) Biaya yang tinggi bila terjadi computer errors.
7) Perlunya dijaga privacy, mengingat di komputer tersimpan data rahasia.

2022 UI / UX
5 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
 8) Agar perkembangan dan pertumbuhan komputerisasi dapat terkendali (controlled
evolution of computer used).

Sistem pengendaliaan internal meliputi struktur organisasi, metode, dan ukuran yang
diorganisasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan
kehandalan data akuntansi, mendorong efisiensi untuk dipatuhinya kebijakan manajemen.
Sistem pengendalian internal merupakan kebijakan, praktik, dan prosedur yang
digunakan organisasi untuk mencapai empat tujuan utama :

1) Untuk menjaga aktiva perusahaan.

2) Untuk memastikan akurasi dan dapat diandalkan catatan dan informasi akuntansi.
3) Untuk mempromosikan efisiensi operasi perusahaan.
4) Untuk mengukur kesesuaian kebijakan dan prosedur yang telah ditetapkan oleh
manajemen.

Berangkat dari tujuan diatas, maka sistem pengendalian internal dapat dikelompokkan
menjadi dua bagian, yaitu :

A. Pengendalian Internal Akuntansi (Internal Accounting Control)

Pengendalian internal akuntansi meliputi persetujuan, pemisahan antara fungsi

operasi, penyimpanan dan pencatatan serta pengawasan fisik atas kekayaan.

B. Pengendalian Internal Administrasi (Internal Administrative Control)

Pengendalian internal administrasi meliputi peningkatan efisiensi usaha, dan

mendorong dipatuhinya kebijakan pimpinan, misalnya analisis statistik, studi waktu
dan gerak, program pelatihan, dan pengendalian mutu kegiatan perusahaan.

Tujuan Sistem Pengendalian Internal

Dilihat dari manajemen, tujuannya didesainnya sistem pengendalian internal khusus (atau
tambahan) bagi sistem berbasis komputer adalah untuk membantu manajemen dalam

2022 UI / UX
6 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
mencapai tujuan kontrol internal menyeluruh, termasuk : kegiatan manual, mekanis,
terkait dengan teknologi informasi.

Tabel. 1 Berikut ini memberikan gambaran yang lebih jelas :

Management and System Objectives
a. Completeness : input/process/output
b. Accuracy : input/process/output
1 To provide reliable data c. Uniqueness
d. Reasonableness
e. Errorsare detected
a. Timeliness : captured/enter/process
To encourage adherence to prescribed
2 b. Valuation : calculation, summary, etc
accounting policies
c. Classification
a. Transaction authorized
3 To safeguard assets and records
b. Distribution of output

Sumber : Audit Sistem Informasi + Pendekatan CobIT (Sanyoto, 2007)

Types of Internal Control

Ditinjau dari sifatnya, sistem pengendalian internal dapat dibedakan dalam berbagai segi
pandang dan pengelompokkan, yaitu sebagai berikut :

1) Pengendalian internal digolongkan ke dalam preventive, detection, corrective.

a) Preventive Controls
Yaitu pengendalian internal yang dirancang dengan maksud untuk mengurangi
kemungkinan atau mencegah jangan sampai terjadi kesalahan (kekeliruan,
kelalaian, error) maupun penyalahgunaan (kecurangan, fraud). – desain formulir
yang baik, itemnya lengkap, mudah diisi.

b) Detection Controls
Yaitu pengendalian yang didesain dengan tujuan agar apabila data direkam (di-
entry) dari media sumber untuk ditransfer ke sistem komputer dapat diteksi bila
terjadi kesalahan. – Saldo minimum di ATM.

2022 UI / UX
7 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
 c) Corrective Controls
Yaitu pengendalian yang sifatnya jika terdapat data yang sebenarnya error tetapi
tidak terdeteksi oleh detection controls, atau data yang error yang terdeketsi oleh
program validasi, harus ada prosedur yang jelas tentang bagaimana melakukan
pembetulan terhadap data yang salah dengan maksud untuk mengurangi
kemungkinan kerugian atau kesalahan atau penyalahgunaan tersebut sudah
benar-benar terjadi.

2) Pengendalian internal digolongkan dalam general controls dan special atau

application controls.
a) General Controls
Yaitu pengendalian yang berlaku untuk seluruh kegiatan komputerisasi pada suatu
organisasi. Misalnya : CCTV di ATM, masuk ATM harus lepas topi,helm dsb.

b) Application Controls
Pengendalian yang dirancang khusus untuk aplikasi tertentu. Pengendalian
dengan pin atau password.

3) Pengendalian internal dikelompokkan dalam pengendalian yang bersifat wajib

(mandatory) dan yang opsional.
a) Jika ada peraturan dari PEMDA DKI bahwa setelah jam 24:00 ruang ATM harus
dikunci dalam rolling-door misalnya, maka ketentuan tersebut adalah mandatory.
b) Jika ketentuan pengamanan ruang ATM tersebut tidak harus dilakukan, maka
termasuk pengendalian yang bersifat opsional.

System of Internal Controls

2022 UI / UX
8 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
Metodologi pembangunan sistem pengendalian internal dapat digambarkan sebagai
berikut :

Gambar 1. Metodologi Perancangan Kontrol Internal

Sumber : Audit Sistem Informasi + Pendekatan CobIT (Sanyoto, 2007)

Berdasarkan metodologi pada gambar 1 diatas, bahwa di dalam mendesain sistem

pengendalian internal komputerisasi, langkah yang perlu dilaksanakan adalah :
1) Pengalaman yang lalu mengenai kejadian-kejadian kesalahan sebagai dasar
penetapan risiko yang perlu ditanggulangi (risk assessment).
2) Pertimbangan manajemen, seberapa jauh pihak pimpinan peduli (concern), keinginan
dan tujuan yang akan dicapai.
3) Menetapkan tujuan dari sistem pengendalian internal itu sendiri, sejauh mana
pertimbangan risiko-kontrol yang hendak diinginkan.
4) Menetapkan sistem pengendalian yang bersifat umum maupun khusus berlaku untuk
unit/bagian/area/fungsi/subsistem tertentu. Jadi dengan demikian kontrol didesain
karena adanya risiko, dan tigkat risiko itulah yang menentukan sistem pengendalian
internal.

Keterbatasan Sistem Pengendalian Internal

Keterbatasan sistem pengendalian internal, antara lain sebagai berikut :

1) Persengkokolan (kolusi), dengan mengharuskan giliran bertugas, keharusan
mengambil cuti dan seterusnya.
2) Perubahan, harus selalu diperbaharui sesuai dengan perkembangan kondisi dan
teknologi.
3) Kelemahan manusia, perlu pemahaman dan kompetensi untuk menjalankannya yang
merupakan salah satu unsur terpenting dalam pengendalian internal.

2022 UI / UX
9 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
4) Azas biaya-manfaat, manfaat tidak sebanding dengan biayanya (perlu dilakukan cost-
benefit analysis).

Pihak Yang Berkepentingan

Banyak pihak yang terkait atau berkepentingan terhadap sistem pengendalian internal
dalam suatu organisasi, yaitu :
a) Manajemen Perusahaan, sebagai penanggung jawab organisasi.
b) Dewan Komisaris, auditor internal, dan sebagainya.
c) Para Karyawan Perusahaan, karena sistem pengendalian internal berfungsi sebagai :
 Aturan umum yang harus dijalankan perusahaan.
 Pedoman kerja (apa yang boleh dan tidak boleh dilakukan).
d) Regulatory Body (Badan pengatur / pemerintahan atau ikatan profesi).
e) Auditor Ekstern Independen.
Bagi auditor, pemahaman terhadap pengendalian internal mempunyai manfaat :
 Untuk mempermudah dalam melakukan studi terhadap sistem informasi dari
klien yang diaudit.
 Untuk penetapan risiko yang dihadapi sebagai auditor.
 Sebagai indikantor untuk menentukan pendapatnya terhadap keterandalan
sistem yang diaudit.

Elements of Internal Controls

Kontrol internal seperti yang didefinisikan dalam Statement on Auditing Standard No. 78
(SAS 78) dimana pengendalian internal terdiri dari lima komponen yang saling berkaitan
sebagai berikut :

a) Lingkungan Pengendalian
Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi
kesadaran pengendalian orang-orangnya. Lingkungan pengendalian merupakan
dasar untuk semua komponen pengendalian intern, menyediakan disiplin dan struktur.
Lingkungan pengendalian menyediakan arahan bagi organisasi dan mempengaruhi
kesadaran pengendalian dari orang-orang yang ada di dalam organisasi tersebut.
Beberapa faktor yang berpengaruh di dalam lingkungan pengendalian antara lain
integritas dan nilai etik, komitmen terhadap kompetensi, dewan direksi dan komite

2022 UI / UX
10 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
 audit, gaya manajemen dan gaya operasi, struktur organisasi, pemberian wewenang
dan tanggung jawab, praktik dan kebijkan SDM.

Lingkungan kontrol adalah fondasi dari keempat komponen kontrol. Lingkungan

kontrol menetapkan suasana organisasi dan mempengaruhi kesadaran kontrol dari
para manajemen dan pegawainya. Elemen-elemen yang penting dari lingkungan
kontrol adalah :
1. Integritas dan nilei etika manajemen.
2. Struktur organisasi.
3. Partisipasi dewan direktur organisasi dan komite audit, jika ada.
4. Filosofi manajemen dan gaya operasi.
5. Prosedur pendelegasian tangungjawab dan otoritas.
6. Metode manajemen dalam menilai kinerja.
7. Pengaruh eksternal, seperti penilaian dari agen penentu undang-undang.
8. Kebijakan dan praktik organisasi dalam memanajemen sumber daya
manusianya
Auditor harus memperoleh pengetahuan memadai tentang lingkungan pengendalian
untuk memahami sikap, kesadaran, dan tindakan manajemen, dan dewan komisaris
terhadap lingkungan pengendalian intern, dengan mempertimbangkan baik substansi
pengendalian maupun dampaknya secarakolektif.

b) Penaksiran Risiko
Penaksiran risiko adalah identifikasi entitas dan analisis terhadap risiko yang relevan
untuk mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana
risiko harus dikelola. Penentuan risiko tujuan laporan keuangan adalah identifkasi
organisasi, analisis, dan manajemen risiko yang berkaitan dengan pembuatan laporan
keuangan yang disajikan sesuai dengan PABU.

Manajemen risiko menganalisis hubungan risiko asersi spesifik laporan keuangan

dengan aktivitas seperti pencatatan, pemrosesan, pengikhtisaran, dan pelaporan
data-data keuangan. Risiko yang relevan dengan pelaporan keuangan mencakup
peristiwa dan keadaan intern maupun ekstern yang dapat terjadi dan secara negatif
mempengaruhi kemampuan entitas untuk mencatat, mengolah, meringkas, dan
melaporkan data keuangan konsisten dengan asersi manajemen dalam laporan
keuangan. Risiko dapat timbul atau berubah karena berbagai keadaan, antara lain
perubahan dalam lingkungan operasi, personel baru, sistem informasi yang baru atau

2022 UI / UX
11 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
 yang diperbaiki, teknologi baru, lini produk, produk, atau aktivitas baru, restrukturisasi
korporasi, operasi luar negeri, dan standar akuntansi baru.

c) Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin
bahwaarahan manajemen dilaksanakan. Aktivitas tersebut membantu memastikan
bahwa tindakan yang diperlukan untuk menanggulangi risiko dalam pencapaian tujuan
entitas. Aktivitas pengendalian memiliki berbagai tujuan dan diterapkan di berbagai
tingkat organisasi dan fungsi. Umumnya aktivitas pengendalian yang mungkin relevan
dengan audit dapat digolongkan sebagai kebijakan dan prosedur yang berkaitan
dengan review terhadap kinerja, pengolahan informasi, pengendalian fisik, dan
pemisahan tugas. Aktivitas pengendalian dapat dikategorikan sebagai berikut.

 Pengendalian Pemrosesan Informasi

 Pengendalian Umum
 Pengendalian Aplikasi
 Otorisasi Yang Tepat
 Pencatatan Dan Dokumentasi
 Pemeriksaan Independen
 Pemisahan Tugas
 Pengendalian Fisik
 Telaah Kinerja

d) Informasi Dan Komunikasi

Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran
informasi dalam suatu bentuk dan waktu yang memungkinkan orang melaksanakan
tanggung jawab mereka. Sistem informasi yang relevan dalam pelaporan keuangan
yang meliputi sistem akuntansi yang berisi metode untuk mengidentifikasikan,
menggabungkan, menganalisa, mengklasikasi, mencatat, dan melaporkan transaksi
serta menjaga akuntabilitas asset dan kewajiban. Komunikasi meliputi penyediaan
deskripsi tugas individu dan tanggung jawab berkaitan dengan struktur pengendalian
intern dalam pelaporan keuangan. Auditor harus memperoleh pengetahuan memadai
tentang sistem informasi yang relevan dengan pelaporan keuangan untuk
memahami :

 Golongan transaksi dalam operasi entitas yang signifikan bagi laporan keuangan.

2022 UI / UX
12 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
  Bagaimana transaksi tersebut dimulai.
 Catatan akuntansi, informasi pendukung, dan akun tertentu dalam laporan
keuangan yang tercakup dalam pengolahan dan pelaporan transaksi.
 Pengolahan akuntansi yang dicakup sejak saat transaksi dimulai sampai dengan
dimasukkan ke dalam laporan keuangan, termasuk alat elektronik yang digunakan
untuk mengirim, memproses, memelihara, dan mengakses informasi.

e) Pemantauan / Monitoring
Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian intern
sepanjang waktu. Pemantauan mencakup penentuan desain dan operasi
pengendalian tepat waktu dan pengambilan tindakan koreksi. Proses ini dilaksanakan
melalui kegiatan yang berlangsung secara terus menerus, evaluasi secara terpisah,
atau dengan berbagai kombinasi dari keduanya.

Di berbagai entitas, auditor intern atau personel yang melakukan pekerjaan serupa
memberikan kontribusi dalam memantau aktivitas entitas. Aktivitas pemantauan dapat
mencakup penggunaan informasi dan komunikasi dengan pihak luar seperti keluhan
pelanggan dan respon dari badan pengatur yang dapat memberikan petunjuk tentang
masalah atau bidang yang memerlukan perbaikan. Komponen pengendalian intern
tersebut berlaku dalam audit setiap entitas. Komponen tersebut harus
dipertimbangkan dalam hubungannya dengan ukuran entitas, karakteristik
kepemilikan dan organisasi entitas, sifat bisnis entitas, keberagaman dan
kompleksitas operasi entitas, metode yang digunakan oleh entitas untuk mengirimkan,
mengolah, memelihara, dan mengakses informasi, serta penerapan persyaratan
hukum dan peraturan.

 Fokus Internal Coso :

1. Fokus Pengguna Utama adalah manajemen.
2. Sudut pandang atas internal control adalah kesatuan beberapa proses secara
umum.
3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian
sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta
kesesuaian dengan peraturan yang berlaku.
4. Komponen / domain yang dituju adalah pengendalian atas lingkungan,
manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi
dan komunikasi.

2022 UI / UX
13 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
 5. Fokus pengendalian dari eSAC adalah keseluruhan entitas.
6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian
tersebut diterapkan dalam poin waktu tertentu.
7. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada
manajemen.

 Kelemahan Pengendalian Internal menurut COSO :

1. Aktifitas pengendalian, sebagai komponen kerja dari struktur pengendalian
internal COSO membahas pengendalian dari sisi pelaporan keuangan dan sisi
sistem informasi (pengendalian umum dan pengendalian aplikasi).
2. Maka Pengendalian umum dan aplikasi versi COSO dijelaskan menurut
COBIT melalui pengendalian menyeluruh, pengendalian terinci dan
pengendalian aplikasi.

Pengendalian Dalam Organisasi

Pengendalian Akuntansi

a) Pengertian
Pengendalian akuntansi (accounting control) adalah suatu pengendalian yang
termasuk dalam unsur pengendalian internal yang meliputi rencana, prosedur dan
pencatatan untuk mencegah terjadinya inefisiensi. Pengendalian ini menjamin bahwa
semua transaksi dilaksanakan sesuai otorisasi manajemen. Transaksi dicatat sesuai
dengan Standar Akuntansi.

b) Implementasi
Adanya pemisahan fungsi dan tanggung jawab antar unit organisasi. Pengendalian
akuntansi mencakup semua aspek dari transaksi-transaksi keuangan seperti misalnya
pembayaran kas, penerimaan kas, arus dana, investasi yang bijaksana dan
pengamanan dana dari penggunaan yang tidak sah.

c) Tujuan
Tujuan utama dari pengendalian akuntansi adalah :
 Menjaga keamanan harta kekayaan milik perusahaan.

2022 UI / UX
14 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
  Memeriksa ketepatan dan kebenaran data akuntansi

Pengendalian akuntansi perlu dirancang sedemikian rupa, sehingga memberikan

jaminan yang cukup beralasan atau meyakinkan terhadap :
 Transaksi-transaksi dilaksanakan sesuai dengan wewenang manajemen, baik
yang sifatnya umum maupun yang sifatnya khusus.
 Transaksi-transaksi perlu dicatat untuk :
 Penyusunan laporan keuangan.
 Menjaga pertanggungjawaban atas kekayaan.
 Pemakaian harta kekayaan perusahaan hanya diijinkan bila ada
wewenang dari manajemen.
 Bahwa harta kekayaan perusahaan menurut catatan sama besarnya
dengan kekayaan riil.

d) Bentuk-bentuk Pengendalian Akuntansi

1) Pengendalian Umum
Pengendalian umum adalah suatu pengendalian terhadap semua aktivitas
pemrosesan data dengan komputer, hal ini meliputi pemisahan tanggung jawab
dan fungsi pengolahan data.

Pengendalian umum merupakan standart dan panduan yang digunakan oleh

karyawan untuk melakukan fungsinya. Unsur pengendalian umum ini meliputi:
Organisasi, prosedur dan standar untuk perubahan program, pengembangan
sistem dan pengoperasian fasilitas pengolahan data.

Yang termasuk dalam pengendalian umum diantaranya :

a) Pengendalian organisasi dan operasi.
b) Pengendalian dalam pengembangan sistem.
c) Pengendalian atas dokumentasi.
d) Pengendalian perangkat keras, perangkat lunak sistem operasi dan perangkat
lunak sistem lainnya.
e) Pengendalian penggunaan komputer, fasilitas dan datanya.

2) Pengendalian Aplikasi
Pengendalian aplikasi adalah suatu pengendalian yang mencakup semua,
pengawasan transaksi dan penggunaan program- program aplikasi dikomputer.

2022 UI / UX
15 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
 Untuk menjaga agar setiap transaksi mendapat otorisasi serta dicatat,
diklasifikasikan, diproses, dan dilaporkan dengan benar.

Tujuan dari pengendalian aplikasi adalah untuk mencegah atau mendeteksi

adanya penyelewengan akan aplikasi program yang diterapkan pada sistem
perusahaan.

Pengendalian Administrasi

a) Pengertian
Pengendalian administrasi (administrative control) adalah suatu pengendalian yang
termasuk dalam unsur pengendalian internal pada poin 3 dan 4 yang meliputi
rencana, prosedur dan pencatatan yang mendorong efisiensi dan ditaatinya kebijakan
manajemen yang ditetapkan.
b) Tujuan
Pengendalian administratif memiliki tujuan utama :
1) Meningkatkan efisiensi operasi kegiatan.
2) Mendorong ditaatinya kebijaksanaan-kebijaksanaan perusahaan.

Pengendalian administrasi dibuat untuk mendorong dilakukannya efisiensi dan

mendorong dipatuhinya kebijakkan manajemen (dikerjakan setelah adanya
pengendalian akuntansi). Pengendalian administratif mendukung pengendalian
akuntansi yang berorientasi pada manajemen.

c) Implementasi
Pemeriksaan laporan untuk mencari penyimpangan yang ada, untuk kemudian diambil
tindakan.

1) Pengendalian perencanaan, yang terdiri dari anggaran penjualan (sales budget),

perencanaan induk (master plan), perencanaan jaga-jaga (contingency plan),
peramalan arus kas (cash flow forecast) dan pengendalian persediaan (inventory
control).
2) Pengendalian personil, yang terdiri dari recruitment, pelatihan, evaluasi
pekerjaan, administrasi gaji, promosi dan transfer.
3) Pengendalian standar operasi, yang terdiri dari standar yang harus dikerjakan
dan system untuk melaporkan penyimpangan.

2022 UI / UX
16 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
d) Bentuk-Bentuk Pengendalian Administratif
1) Pengendalian Umpan Balik
Pengendalian umpan balik adalah suatu proses mengukur keluaran (output) dari
sistem yang membandingkan dengan suatu terstandar tertentu. Bilamana terjadi
perbedaan-perbedaan atau penyimpangan maka akan dikoreksi untuk
memperbaiki masukan (input) sistem selanjutnya. Pada sistem ini keluaran
(output) tidak ikut andil dalam aksi pengendalian. Di sini kinerja kontroler tidak bisa
dipengaruhi oleh input atau masukan referensi.

2) Pengendalian Umpan Maju

Pengendalian umpan maju atau disebut juga dengan istilah umpan balik positif
adalah mendorong proses dari sistem supaya menghasilkan hasil balik yang
positif. Sistem pengendalian umpan maju merupakan perkembangan dari sistem
umpan balik. Supaya suatu keluaran (output) dapat menghasilkan umpan balik
yang positif maka pengendalian tidak boleh diukur dari keluarannya tetapi diukur
dan dikendalikan dari prosesnya. Dan selama proses terjadi didalam sistem maka
selalu dilakukan pengamatan dan cepat-cepat diatasi bila mulai terjadi
penyimpangan, sebelum terlanjur fatal pada keluarannya. Pengendalian jenis ini
adalah suatu sistem pengaturan dimana sistem keluaran pengendalian ikut andil
dalam aksi kendali.

Prosedur Pengendalian
Prosedur pengendalian ditetapkan untuk menstandarisasi proses kerja sehingga
menjamin tercapainya tujuan perusahaan dan mencegah atau mendeteksi terjadinya
ketidakberesan dan kesalahan. Prosedur pengendalian meliputi hal-hal sebagai berikut :

1) Personil yang kompeten, mutasi tugas dan cuti wajib.

2) Pelimpahan tanggung jawab.
3) Pemisahan tanggung jawab untuk kegiatan terkait.
4) Pemisahan fungsi akuntansi, penyimpanan aset dan operasional.

Pemahaman prosedur pengendalian mencakup :

2022 UI / UX
17 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
1) Memahami lingkungan pengendalian.
2) Memahami disain kebijakan dan prosedur masing-masing komponen SPI
3) Mengevaluasi penerapan nkebijakan dan prosedur.

Pemahaman dilakukan dengan cara :

1) Review pengalaman dengan klien dalam penugasan audit sebelumnya.

2) Wawancara dengan manajemen, staff, serta personel pelaksana.
3) Inspeksi dokumen dan catatan.
4) Observasi aktivitas dan operasi perusahaan.

Bab 8 – General Control Objectives

Definisi Pengendalian Umum (General Control)

 Menurut Sawyer, Dittenhofer, & Scheiner (2005, hal. 549), general control consist of
those controls in the IS and user environment that are pervasive over all or most
application. They include such controls as segregation of incompatible duties, system
development procedures, data security, all administrative controls, and disaster
recovery capabilities.
 Pengendalian umum didefinisikan sebagai sistem pengendalian internal komputer
yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara
menyeluruh. Artinya ketentuan-ketentuan dalam pengendalian tersebut berlaku untuk
seluruh kegiatan komputerisasi yang digunakan di perusahaan tersebut.

Contoh Pengendalian Umum (General Control)

 Pengendalian umum juga dapat diartikan sebagai pengendalian yang tidak terkait
langsung ke suatu aplikasi tertentu.
 Misalnya dalam contoh ATM di atas, ketentuan bahwa masuk ke ruang ATM tidak
boleh memakai helm. Adanya CCTV di ruang ATM dan ketentuan adanya SATPAM
di situ adalah dapat dikategorikan dengan pengendalian umum (ketentuan-‐
ketentuan tersebut tidak langsung dengan transaksi pengambilan uang di mesin
ATM).

2022 UI / UX
18 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
Ruang Lingkup Pengendalian Umum (General Control)

 Ruang lingkup yang termasuk dalam pengendalian umum (pengendalian

perspektif manajemen) diantaranya adalah :
1) Pengendalian manajemen puncak (top management controls).
2) Pengendalian manajemen pengembangan sistem (information system
management controls).
3) Pengendalian manajemen sumber data (data resources management
controls).
4) Pengendalian manajemen operasi (operations management
controls).
5) Pengendalian manajemen keamanan (security administration
management controls).
6) Pengendalian manajemen jaminan kualitas (quality assurance management
controls).

Unsur Pengendalian Umum (General Control)

Unsur pengendalian umum terdiri dari dua hal yaitu sebagai berikut :
1) Pengendalian Manajemen Operasi (Operational Management
Controls)
Pengendalian manajemen operasi merupakan jenis pengendalian internal yang
didesain untuk pengelolaan sumber daya dan operasi IT pada suatu organisasi.
Pengendalian manajemen operasi disusun dengan tujuan untuk menciptakan
kerangka kerja organisasi, pendayagunaan sumber daya informasi, dan pembagian
tugas yang baik bagi suatu organisasi yang menggunakan sistem berbasis teknologi
informasi. Berikut ini adalah beberapa contoh pengendalian manajemen operasi di
unit Informasi dan Teknologi, yaitu sebagai berikut :

 Pemisahan tugas dan fungsi : misalnya pemisahan fungsi departeen IT

dengan non IT (users) serta pemisahan fungsi dalam departemen IT.
 Pengendalian personil misalnya, adanya prosedur penerimaan dan pemilihan
pegawai, adanya program peningkatan keahlian pegawai melalui pelatihan

2022 UI / UX
19 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
 yang berhubungan dengan bidang tugasnya, adanya evaluasi atas pekerjaan
yang dilakukan pegawai dll.
 Pengendalian perangkat keras misalnya, pengawasan terhadap akses fisik,
pengaturan lokasi fisik, penggunaan alat pengamanan, pengendalian operasi
perangkat keras, pengendalian perangkat lunak.
 Pengendalian jaringan misalnya, memulai dan menghentikan jaringan dan
proses, memonitor aktivitas jaringan, mengganti nama line komunikasi,
mengenerate statistic system, dll.
 Manajemen operasi, saat ini fungsi sistem yang sekarang
digunakan pada manajemen operasi adalah komputer mikro secara
stand alone, multi user atau jaringan (network) atau
dalam bentuk client server.
1) Service level agreements
2) Kepustakaan file.
3) Fungsi help desk.
4) Capacity planning
5) Outsource

2) Pengendalian Manajemen Keamanan (Security Management Controls)

Pengendalian internal terhadap manajemen keamanan (security management
controls) dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset
sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas penunjangnya)
serta aset tak berwujud (non fisik, misalnya data/informasi, dan program aplikasi
komputer).

 Kebijakan keamanan IT (IT Security Policy).

 Beberapa aspek serangan potensial.
 Mitos-mitos seputar keamanan komputer.
 Kebijakan-kebijakan keamanan komputer
 Personil dan kebijakan keamanan komputer.

2022 UI / UX
20 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
Program Control Objectives
Beberapa tujuan dari adaya program pengendalian internal adalah sebagai berikut :
1) Mengamankan Aset Sistem Informasi (Assets Safeguarding)
Aset informasi suatu entitas seperti perangkat keras (hardware), perangkat lunak
(software), sumber daya manusia, file/data dan fasilitas Teknologi Informasi lainnya
harus dijaga dengan sistem pengendalian internal yang baik agar tidak terjadi
misefisiensi, mis-efektifitas, dan penyalahgunaan aset entitas. Dengan demikian
sistem pengamanan aset sistem informasi merupakan suatu hal yang sangat penting
yang harus dipenuhi oleh entitas.

2) Efektifitas Sistem
Efektifitas sistem informasi entitas memiliki peranan penting dalam proses
pengambilan keputusan usaha/bisnis. Suatu sistem informasi dapat dikatakan efektif
bila sistem informasi memberikan manfaat dan ketepatgunaan teknologi informasi
dalam operasi dan administrasi.

3) Efisiensi Sistem
Efisiensi menjadi sangat penting ketika sumber daya kapasitas yang dimiliki oleh
entitas terbatas. Jika cara kerja dari sistem aplikasi komputer menurun maka pihak
manajemen, dalam hal ini mewakili entitas, harus mengevaluasi apakah efisiensi
sistem masih memadai atau harus menambah sumber daya, karena suatu sistem
dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user
dengan sumber daya informasi yang minimal.

4) Memberikan Dan Mengelola Ketersediaan Layanan Sistem Informasi

(Availability) Berhubungan dengan ketersediaan dukungan/layanan teknologi
informasi. Teknologi Informasi hendaknya dapat mendukung secara berkelanjutan
terhadap proses usaha/bisnis entitas. Makin sering terjadi gangguan (system
downtime) maka berarti tingkat ketersediaan sistem rendah.

5) Menjaga Kerahasiaan (Confidentiality)

Fokus kerahasiaan disini ialah perlindungan terhadap informasi dan supaya terlindung
dari akses dari pihak-pihak yang tidak berwenang dan bertanggungjawab.

6) Meningkatkan Kehandalan (Reability)

2022 UI / UX
21 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
 Berhubungan dengan kesesuaian dan keakuratan bagi manajemen dalam
pengelolaan organ isasi, pelaporan dan pertanggungjawaban.

7) Menjaga Integritas Data (Data Integrity)

Integritas data adalah salah satu konsep dasar sistem informasi. Data memiliki
atributatribut seperti: kelengkapan, kebenaran, dan keakuratan. Jika integritas data
tidak terpelihara, maka suatu entitas tidak akan lagi memiliki
informasi/laporan yang benar, bahkan entitas dapat menderita kerugian karena
pengawasan yang tidak tepat atau keputusan keputusan yang salah. Faktor utama
yang membuat data berharga bagi entitas dan pentingnya untuk menjaga integritas
data adalah :
a) Makna penting data/informasi bagi pengambilan keputusan adalah peningkatan
kualitas data sehingga dapat memberikan informasi bagi para pengambil
keputusan.
b) Nilai data bagi pesaing entitas, jika data tersebut berguna bagi pesaing maka
kehilangan data akan memberikan dampak buruk bagi entitas. Pesaing dapat
menggunakan data tersebut untuk mengalahkan entitas saingannya sehingga
mengakibatkan entitas menjadi kehilangan pasar, berkurangnya keuntungan, dan
sebagainya.

8) Menaati Seluruh Peraturan Dan Aturan Yang Ada Dan Berlaku Saat Ini, Baik Itu
Di Internal Dan Eksternal Organisasi / Entitas (Compliance)
Ketaatan terhadap peraturan yang berlaku baik itu didalam dan luar entitas
memberikan dampak positif dan bernilai tambah guna memberikan keyakinan yang
cukup bagi para pihak yang berkepentingan entitas khususnya para regulator bahwa
entitas menerapkan prinsip kehati-hatian dengan tidak meniadakan prinsip
biayamanfaat dalam melakukan kegiatan usaha/bisnis entitas khususnya kegiatan
teknologi informasi.

IT Governance
2022 UI / UX
22 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
Perkembangan Information of Technology (IT) mengalami kemajuan yang begitu pesat
pada saat ini. Kemajuan IT ini menjadikan setiap penggunanya dapat mengakses
berbagai data-data dan informasi-informasi yang dibutuhkan dengan mudah dan cepat.
Peningkatan peran IT dalam perusahaan yang terjadi saat ini sebenarnya juga diikuti
dengan perubahan proses bisnis perusahaan. Pengembangan strategi bisnis selalu
dikaitkan dengan pengembangan strategi IT. Terkadang, pelaksanaan strategi system
informasi tidaklah berjalan dengan baik.

Konsep Information of Technology (IT) governance adalah cara mengelola penggunaan

teknologi informasi di sebuah organisasi. IT Governance menggabungkan good practices
dari perencanaan dan pengorganisasian, pembangunan dan pengimplementasian,
delivery dan support, serta memonitor kinerja system informasi untuk memastikan kalau
informasi dan teknologi yang berhubungan mendukung tujuan dan misi organisasi. Salah
satu cara mengetahui hal tersebut adalah dengan melakukan proses audit terhadap
sistem tersebut. Audit dilakukan dengan tujuan untuk menetapkan kondisi saat ini,
mencari kekurangan- kekurangan dan merekomendasikan perbaikan agar sistem
informasi lebih berguna dalam mendukung organisasi. Audit Sistem Informasi dapat
dilakukan perusahaan untuk mengevaluasi/audit sistem yang telah ada juka terdapat
kekurangan terhadap sistem yang ada.

Pemanfaatan IT dalam dunia industri sudah sangat penting. IT memberi peluang

terjadinya transformasi dan peningkatan produktifitas bisnis. Penerapan IT membutuhkan
biaya yang cukup besar dengan resiko kegagalan yang tidak kecil, yaitu bila terjadi
gangguan pada IT yang dimiliki. Penerapan IT di dalam perusahaan dapat digunakan
secara maksimal, untuk itu dibutuhkan pemahaman yang tepat mengenai konsep dasar
dari sistem yang berlaku, teknologi yang dimanfaatkan, aplikasi yang digunakan dan
pengelolaan serta pengembangan sistem IT yang dilakukan.

Era globalisasi sekarang ini, perusahaan harus dapat mengatasi masalah dan perubahan
yang terjadi secara cepat dan sesuai sasaran. Oleh karena itu, faktor yang harus
diperhatikan tidak hanya berfokus pada pengelolaan informasi semata, melainkan juga
harus fokus untuk menjaga dan meningkatkan mutu informasi perusahaan. Dalam
konteks ini, informasi dapat dikatakan menjadi kunci untuk mendukung dan meningkatkan
manajemen perusahaan agar dapat memenangkan persaingan yang semakin lama akan
semakin meningkat.
Peningkatan kebutuhan dari para pelanggan terhadap tuntutan kinerja perusahaan yang
lebih baik semakin lama semakin tinggi. Dari satu sisi, tidak hanya melalui hasil (output)

2022 UI / UX
23 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
berupa produk atau jasa semata, tetapi dewasa ini juga telah mencakup proses yang
berhubungan dengan pelanggan. Mulai dari proses pemesanan barang, proses
pengiriman barang pelanggan, sampai ke bagian keuangan yang berhubungan dengan
pelanggan akan lebih terkendali bila terjadi pertukaran informasi secara real time. Apabila
perusahaan tidak dapat mengelola informasi dengan baik, maka pelanggan akan dengan
mudah berpindah-pindah menuju perusahaan lain.

Salah satu metode pengelolaan teknologi informasi yang digunakan secara luas adalah IT
governance yang terdapat pada COBIT (Control Objectives for Information and Related
Technology). COBIT dapat dikatakan sebagai kerangka kerja teknologi informasi yang
dipublikasikan oleh ISACA (Information System Audit and Control Association). COBIT
berfungsi mempertemukan semua bisnis kebutuhan kontrol dan isu-isu teknik. Di samping
itu, COBIT juga dirancang agar dapat menjadi alat bantu yang dapat memecahkan
permasalahan pada IT governance dalam memahami dan mengelola resiko serta
keuntungan yang behubungan dengan sumber daya informasi perusahaan.

Gambar 1. Model Struktur IT Governance Yang Perlu Dibangun Dalam Organisasi

Sumber : IBM.com
Investasi Teknologi Informasi yang sampai menghabiskan milyaran rupiah pada
perusahaan skala menengah dan besar tersebut, sepertinya sudah tidak ekonomis lagi
jika hanya ditujukan untuk meningkatkan efisiensi, efektivitas dan kecepatan kerja
organisasi. Perkembangan TI yang semakin canggih dan serba bisa tersebut, mulai

2022 UI / UX
24 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
diarahkan menjadi enabler terhadap peningkatan kinerja suatu organisasi. Yang
kemudian memunculkan kesadaran, terutama di dunia industri, bahwa tanggung jawab
pengelolaan TI tidak bisa sepenuhnya diserahkan ke unit/bagian/divisi yang hanya khusus
menangani TI secara teknikal (IT Function) sebagaimana pendekatan manajemen
konvensional, melainkan juga harus menjadi tanggung jawab berbagai pihak manajemen
dalam suatu organisasi. Hal inilah yang kemudian melahirkan konsep dan paradigma baru
dalam mengelola Teknologi Informasi yang disebut dengan IT Governance (Tata Kelola
Teknologi Informasi).

IT Governance merupakan suatu komitmen, kesadaran dan proses pengendalian

manajemen organisasi terhadap sumber daya TI / sistem informasi yang dibeli dengan
harga mahal tersebut, yang mencakup mulai dari sumber daya komputer (software,
brainware, database dan sebagainya) hingga ke Teknologi Informasi dan Jaringan
LAN/Internet. Lalu, apa sih sebenarnya yang dimaksud dengan Tata Kelola (Governance)
itu? Kenapa akhir-akhir ini semakin popular ?

“Governance” merupakan turunan dari kata “government”, yang artinya membuat

kebijakan (policies) yang sejalan/selaras dengan keinginan/aspirasi masyarakat atau
kontituen (Handler & Lobba, 2005). Sedangkan penggunaan pengertian “governance”
terhadap Teknologi Informasi (IT Governance) maksudnya adalah, penerapan kebijakan
TI di dalam organisasi agar pemakaian TI (berikut pengadaan dan pelayanannya)
diarahkan sesuai dengan tujuan organisasi tersebut.
Menurut Sambamurthy and Zmud (1999), IT Governance dimaksudkan sebagai pola dari
otoritas/kebijakan terhadap aktivitas TI (IT Process). Pola ini diantaranya adalah :
membangun kebijakan dan pengelolaan IT Infrastructure, penggunaan TI oleh end-
user secara efisien, efektif dan aman, serta proses IT Project Management yang
efektif. Standar COBIT dari lembaga ISACA di Amerika Serikat mendefinisikan IT
Governance as a “structure of relationships and processes to direct and control the
enterprise in order to achieve the entreprise’s goals by value while balancing risk versus
return over IT and its processes”.

Sedangkan Oltsik (2003) mendefinisikan IT Governance sebagai kumpulan kebijakan,

proses/aktivitas dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan
dengan strategi bisnis (strategi organisasi). Ruang lingkup IT Governance di
perusahaan skala besar biasanya mencakup hal-hal yang berkaitan dengan Change

2022 UI / UX
25 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
Management, Problem Management, Release Management, Availability
Management dan bahkan Service-Level Management. Lebih lanjut Oltsik mengatakan
bahwa IT Governance yang baik harus berkualitas, well-defined dan bersifat “repeatable
processes” yang terukur (metric). IT Governance yang dikembangkan dalam suatu
organisasi modern berfungsi pula mendefinisikan (outline) kebijakan-kebijakan TI,
pmenetapkan prosedur penting IT Process, dokumentasi aktivitas TI, termasuk
membangun IT Plan yang efektif berdasarkan perubahan lingkungan perusahaan dan
perkembangan TI.

Good Governance

Good governane bagi perusahaan korporat atau organisasi pada umumnya

diimplementasikan dalam bentuk penguatan transparansi dan akuntabilitas, penguatan
regulasi (menyangkut pengaturan, pengawasan yang pruden, manajemen risiko, dan
penegakannya), mendorong integritas pasar, memperkuat kerja sama, serta reformasi
institusi perusahaan atau organisasi. Sementara itu, definisi governance pada tatanan IT
governance menurut Henderi et. All (2008) adalah sebagai suatu kumpulan manajemen,
perencanaan dan laporan kinerja, dan tinjauan proses-proses yang berhubungan dengan
keputusan yang benar dan tepat, menetapkan kontrol, dan pengukuran kinerja diatas
kunci penanam modal, pelayanan operasional, pengiriman dan meng-otorisasi perubahan
peluang baru atau pemenuhannya sesuai peraturan, hukum dan kebijakan-kebijakan.

Kunci utama memahami good governance adalah pemahaman atas prinsip-prinsip di

dalamnya. Bertolak dari prinsip-prinsip ini akan didapatkan tolak ukur kinerja suatu
pemerintahan. Baik-buruknya pemerintahan bisa dinilai bila ia telah bersinggungan
dengan semua unsur prinsip-prinsip good governance. Menyadari pentingnya masalah ini,
prinsip-prinsip good governance diurai satu persatu sebagaimana tertera di bawah ini :

1) Partisipasi Masyarakat
Semua warga masyarakat mempunyai suara dalam pengambilan keputusan, baik
secara langsung maupun melalui lembaga-lembaga perwakilan sah yang mewakili
kepentingan mereka. Partisipasi menyeluruh tersebut dibangun berdasarkan
kebebasan berkumpul dan mengungkapkan pendapat, serta kapasitas untuk
berpartisipasi secara konstruktif.
2) Tegaknya Supremasi

2022 UI / UX
26 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
 Hukum Kerangka hukum harus adil dan diberlakukan tanpa pandang bulu, termasuk
di dalamnya hukum-hukum yang menyangkut hak asasi manusia.
3) Transparansi
Tranparansi dibangun atas dasar arus informasi yang bebas. Seluruh proses
pemerintahan, lembaga-lembaga dan informasi perlu dapat diakses oleh pihak-pihak
yang berkepentingan, dan informasi yang tersedia harus memadai agar dapat
dimengerti dan dipantau.
4) Peduli pada Stakeholder
Lembaga-lembaga dan seluruh proses pemerintahan harus berusaha melayani semua
pihak yang berkepentingan.
5) Berorientasi pada Konsensus
Tata pemerintahan yang baik menjembatani kepentingan-kepentingan yang berbeda
demi terbangunnya suatu konsensus menyeluruh dalam hal apa yang terbaik bagi
kelompok-kelompok masyarakat, dan bila mungkin, konsensus dalam hal kebijakan-
kebijakan dan prosedur-prosedur.
6) Kesetaraan
Semua warga masyarakat mempunyai kesempatan memperbaiki atau
mempertahankan kesejahteraan mereka.
7) Efektifitas dan Efisiensi
Proses-proses pemerintahan dan lembaga-lembaga membuahkan hasil sesuai
kebutuhan warga masyarakat dan dengan menggunakan sumber-sumber daya yang
ada seoptimal mungkin.
8) Akuntabilitas
Para pengambil keputusan di pemerintah, sektor swasta dan organisasi-organisasi
masyarakat bertanggung jawab baik kepada masyarakat maupun kepada lembaga-
lembaga yang berkepentingan. Bentuk pertanggung jawaban tersebut berbeda satu
dengan lainnya tergantung dari jenis organisasi yang bersangkutan.
9) Visi Strategis
Para pemimpin dan masyarakat memiliki perspektif yang luas dan jauh ke depan atas
tata pemerintahan yang baik dan pembangunan manusia, serta kepekaan akan apa
saja yang dibutuhkan untuk mewujudkan perkembangan tersebut. Selain itu mereka
juga harus memiliki pemahaman atas kompleksitas kesejarahan, budaya dan sosial
yang menjadi dasar bagi perspektif tersebut.

Tujuan dan Karakteristik IT Governance dan Good Governance

2022 UI / UX
27 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
Untuk memberikan gambaran bentuk dukungan IT governance terhadap prinsip dan cara
kerja good governance dapat dijelaskan dalam bentuk tabel relasi antara tujuan IT
governance, karakteristik dan tujuan good governance sebagai berikut :
Tabel 2. Perbandingan Tujuan IT Governance dengan Tujuan dan
Karakteristik Good Governane

No. Tujuan IT Governance (Henderi, et. All: 2008) Tujuan dan 8 Karakteristik Utama Good Governance
(Anonim, 2007)

1. Meningkatkan peranan IT terhadap kinerja organisasi Menciptakan tata kelola atau sistem pengelolaan
dalam mencapai tujuan dan sasarannya organisasi (perusahaan, pemerintahan atau
organisasi) secara baik
Partisipatif. Meningkatkan keterlibatan dan peranan
2. Menyelaraskan investasi IT dan prioritas-prioritas masyarakat, mendengarkan keluhan, dan banyak
bisnis dengan lebih teliti berinteraksi dengan masyarakat
Rule of law. Penegakan hukum yang adil bagi semua
Mengelola, mengevaluasi, membuat prioritas, pihak tanpa pengecualian, menjunjung tinggi HAM dan
3. membiayai, mengukur dan mengamati permintaan- memperhatikan nilai-nilai yang hidup dalam masyarakat
permintaan pelayanan IT dan hasil kerja dan
memenuhinya, dengan lebih konsisten dan berulang
sesuai dengan behavior yang dapat mengoptimalkan
keuntungan bisnis.
Keterbukaan. Menjamin penyediaan informasi dan
4. Mengelola utilisasi pertanggung jawaban sumber daya kemudahan di dalam memperoleh informasi yang akurat
dan aset dan memadai sehingga tercipta kepercayaan timbal-balik
antara pemerintah dan masyarakat
melalui.

Responsif. Meningkatkan kepekaan para penyelenggara

5. Menjamin penyediaan dan penyelesaian IT sesuai pemerintahan terhadap aspirasi masyarakat tanpa
dengan perencanaan, pembiayaan dan tanggung terkecuali
jawab

Membuat, menetapkan dan menjelaskan keadaan Berorientasi konsensus. Mengambil keputusan

6. yang diminta untuk dipertanggun-jawabkan dan berdasarkan kesepakatan dan hasil musyawarah
diputuskan secara benar (mendefinisikan dan bersama
mengotorisasi peraturan secara jelas).
Kesetaraan. Memberi peluang yang sama bagi setiap
7. Mengelola resiko, tantangan dan kemungkinan secara anggota masyarakat untuk meningkatkan
proaktif kesejahteraannya
Memperbaiki kinerja organisasi IT, memenuhi Efektif dan efisien. Menjamin terselenggaranya
8. permohonan, mengembangkan dan mendewasakan pelayanan kepada masyarakat dengan menggunakan
staf. sumber daya yang tersedia secara
optimal dan bertanggungjawab.

9. Memperbaiki pelayanan dan mau mendengarkan Akuntabilitas. Meningkatkan akuntabilitas para

pelanggan secara keseluruhan pengambil keputusan dalam segala bidang yang
menyangkut kepentingan masyarakat luas

Tujuan IT Governance

IT Governance bertujuan untuk mengarahkan IT dan memastikan pencapaian kinerja

sesuai dengan tujuan yang diinginkan, antara lain :

a) IT menjadi searah dengan perusahaan dan manfaat yang dijanjikan dapat terealisasi.

2022 UI / UX
28 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
b) IT memungkinkan perusahaan memanfaatkan peluang dan memaksimalkan
keuntungan.
c) Sumber daya IT digunakan secara bertanggung jawab.
d) IT berkaitan erat dengan resiko yang harus diatur dengan baik.

Sasaran IT Governance

Secara umum sasaran aktivitas IT Governance adalah untuk memahami isu dan
pentingnya IT yang strategis, untuk memastikan sebuah perusahaan dapat
mendukung operasinya dan untuk memastikan perusahaan dapat menerapkan
strategi yang diperlukan untuk memperluas aktivitasnya menuju masa depan.
Praktek IT Governance mengarah dpada kepastian perkiraan untuk IT yang
dikembangkan, kinerja IT dapat diukur, sumber dayanya dapat diatur dan resiko dapat
dikurangi.

Area Focus IT Governance

Fokus area IT Governance antara lain :

a) Strategic alignment, dengan focus pada arah bisnis dan solusi kolaboratif.
b) Value delivery, focus pada optimasi biata dan membuktikan nilai dari IT.
c) Risk management, menunjukkan perlindungan asset IT, penanggulangan bencana,
dan operasi kontinuitas.
d) Resource Management, optimisasi pengetahuan dan infrastruktur IT.
e) Performance measurement, pengecekan pengembangan proyek dan monitor
pelayanan IT.

Daftar Pustaka
2022 UI / UX
29 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/
 R. Cascarino, Auditor’s Guide to Information System Auditing 2nd Edition, John Wiley
and Sons: 2012.
 Anne Kohke, Daniel P. Shoemaker, Ken Sigler, The Complete Guide to Cybersecurity
Risks and Controls (Internal Audit and IT Audit) 1st Edition, Auerbach Publications :
2016.
 R. Weber, Information Systems Control and Audit 1st Edition, Pearson College Div :
1998.
 Sanyoto G. Diyoto, Audit Sistem Informasi Pendekatan Cobit, Mitra Wacana Media :
2007
 Gallegos, Frederick, Information Technology Control and Audit, CRC Press LLC, 2015
 Cascarino, Richard, Information Systems Auditing, Wiley, 2007.
 CISA REVIEW Manual Book, ISACA, 2010
 Gallegos, Frederick, Information Technology Control and Audit, CRC Press LLC,
2004.
 Gondodiyoto, Sanyoto, “Audit Sistem Informasi + Pendekatan CobIT”, Edisi Revisi,
Mitra Wacana Media, 2007.
 W. Thomas Porter dan William E. Perry (1992), “EDP: Pengendaliandan auditing”,
Erlangga, Jakarta
 Dr. Suhono Harso Supangkat, Dr, Jaka Sembiring, Basuki Rahmad, MT, CISA, CIS.
2007. IT Governance Nasional : Urgensi & Kerangka Konstruksi, [e-book] Diakses dari
:< http://emansetiawan.dosen.narotama.ac.id/files/2011/12/2.-Tatakelola-
TI.pdf>[Diakses tanggal 7 April 2013]
 Utomo, Agus Prasetyo., Novita Mariana. 2011. Analisis Tata Kelola
Teknologi Informasi ( It Governance ) pada Bidang Akademik
 https://id.wikipedia.org/wiki/Pengendalian_intern

2022 UI / UX
30 Riri Fajriah, S.Kom, MM
Biro Bahan Ajar E-learning dan MKCU
http://pbael.mercubuana.ac.id/