PENGENDALIAN INTERNAL
1
SISTEM INFORMASI
2
Sistem, serangkaian komponen yang saling
berhubungan dan berinteraksi untuk
mencapai suatu tujuan.
Romney and Steinbart
3
Karakteristik Sistem
Setiap sistem merupakan Setiap sistem mempunyai Mempunyai batasan yang
satu kesatuan proses (a lingkup sendiri dan tidak terkait dipusatkan untuk
unit, an entitiy) dengan sistem lain melakukan sistem tsb
5
Model Umum Sistem Informasi
Model menggambarkan bagaimana informasi dihasilkan suatu
sistem terlepas dari perubahan dan perkembangan teknologi
informasi yang berubah cepat sebagai alat untuk melakukan
proses yang lebih cepat, akurat, dan stabil.
Pengendalian
10
1. Access restricted: limit access to
authorized parties
2. Accurate: accurate, correct, and free of
error
Karakteristik 3. Available: available to users when needed
Informasi 4.
5.
Reputable: perceived as true and credible
Complete: does not omit important
aspects of events or activities
yang Baik 6. Concise: clear, succinct, brief, but
comprehensive
7. Consistent: presented in the same format
over time
8. Current: up to the present data and time
9. Objective: unbiased, unprejudiced, and
impartial
Mendukung:
Berguna untuk: a. Proses bisnis
a. Operational - day to day b. Pengambilan keputusan operasional dan
b. Tactical / managerial level manajer
c. Executive / strategic level c. Strategi mendapatkan keuntungan kompetitif
Arus Informasi dan Komunikasi dalam Organisasi
Sistem pendukung operasional digunakan untuk melaksanakan operasional organisasi sehari-hari, yaitu menangkap transaksi sebagai input data,
melakukan proses, dan menghasilkan laporan yang baku/standar/terformat.
Biasanya mempunyai subsistem Sistem Proses Transaksi (Transaction Process System) untuk menangkap, mengumpulkan, menyimpan, dan
memproses data transaksi dasar/umum/peristiwa ekonomi dari organisasi.
15
Kebutuhan Informasi
Dalam Organisasi
Setiap bagian membutuhkan informasi yang
berbeda, misalnya bagian pembelian membutuhkan
informasi jumlah dan jenis barang. Namun manajer
pembelian membutuhkan informasi kinerja setiap
pemasok.
Semi terstruktur
Permasalahan Permasalahan
atau semi tidak
terstruktur tidak terstruktur
terstruktur
19
SISTEM INFORMASI
AKUNTANSI
20
Definisi
A I S adalah sistem yang mengumpulkan, mencatat, menyimpan, dan memproses
data untuk menghasilkan informasi bagi para pengambil keputusan.
Terdiri dari
- Orang yang menggunakan system
- Proses (prosedur dan instruksi)
- Teknologi (data, perangkat lunak, dan teknologi informasi)
- Kontrol untuk mengamankan informasi
24
Definisi
• Sistem yang dapat memberikan informasi penting dan kunci yang berasal dari
sumber internal dan eksternal bagi eksekutif senior dan manager
• Sistem ini menjalankan fungsi pendukung pengambilan keputusan, komunikasi
informasi dan mendorong kepedulian.
• Contoh : Executive Information System, Decision Support System, dll
Elemen
Fitur interface basis data
• Ketersediaan basis data
• Basis data multi dimensi
• Ketepatan waktu data
• Soft information (bukan berasal dari data hasil operasi proyeksi masa depan
Fitur tampilan
• Grafis
• Natural language
• Input device
• Communication
Lain-lain
• Drill down
• Spreadsheet
• Knowledge discovery
• Analytical tools
Keuntungan dan keterbatasan
KEUNTUNGAN KETERBATASAN
• Information integration • Security system
• Specialized display • Keterkaitan data
• Rapid development • Informasi hanya untuk eksekutif
• Exception reporting • Drill down focus ke data detail
• Increase communication • Limited integrated view
• Strategic benefit in sales • Kurangnya keterlibatan eksekutif
• Competitive advantage • Dukungan jaringan
• Biaya
DATA PROCESSING &
ENTERPRISE RESOURCE
PLANNING (ERP)
28
DATA PROCESSING
29
Data Processing Cycle
Data Input
Langkah-langkah dalam Memproses Input adalah: Data Source:
• Capturing data transaksi yang dipicu oleh aktivitas
• Paper source documents
bisnis (peristiwa).
• Pastikan data yang diambil akurat dan lengkap. • Turnaround documents
• Pastikan kebijakan perusahaan diikuti (misalnya,
• Source data automation (captured data from
persetujuan transaksi).
machines, e.g., point-of-sale scanners)
31
Data Storage
• Chart of accounts
• Transaction journals (e.g., Sales)
• Subsidiary ledgers (e.g., Accounts
receivable)
• General ledger
32
Data Storage - Coding
Sequential—item yang diberi nomor secara berurutan untuk
menjelaskan semua item (yaitu, formulir yang diberi nomor sebelumnya)
Block Code—blok angka yang dicadangkan untuk kategori data tertentu
(mis., nomor produk yang dimulai dengan 2 adalah lemari es)
Group Code—dua atau lebih subgrup digit yang digunakan untuk kode
item (mis., mobil VIN#’s)
Mnemonic Code—huruf dan angka untuk mengidentifikasi item (yaitu
Dry300W05 adalah low end (300), pengering putih (W) (D R Y) yang
dibuat oleh Sears (05))
33
Data Processing - CRUD
Creating new records (e.g., adding a
customer)
Reading existing data
Updating previous record or data
Deleting data
34
Output
• Online (soft copy)
• Printed out (hard copy)
Document (e.g., sales invoice)
Report (e.g., monthly sales report)
Query (question for specific information in a database,
e.g., Which division had the most sales for the month?)
35
ENTERPRISE RESOURCE
PLANNING (ERP)
36
Gambaran Umum
Komponen ERP
People
Process
Hardware
Software
Database
Motivasi Menerapkan ERP (ISACA)
ASPEK BISNIS
• Kepuasan pelanggan
• Proses yang lebih efisien
• Memenuhi persyaratan BPR
• Memenuhi tantangan pasar yang kompetitif
• Kekurangan tenaga kerja
• Biaya tinggi
• Waktu implementasi yang panjang
• Perubahan pada proses bisnis
• Kompleksitas
• Resistensi
Perencanaan dan keputusan Penerapan ERP
45
Business Process
46
Proses Bisnis Dasar
Transaksi antara organisasi bisnis dan pihak eksternal pada dasarnya
melibatkan pertukaran "memberi-mendapatkan". Proses bisnis dasar ini
adalah:
47
System Documentation Techniques
Kartu Absensi
DEPARTEMEN KANTOR
PAJAK
Slip Gaji Karyawan
1.0 2.0 Cek Gaji
Update Bayar
File Gaji
Gaji Kary. Gaji Kary. Data
Pencairan
5.0
Update
File File Buku
Karyawan Buku Besar
(Pengajian) Besar
BANK
Data
3.0 4.0 Pencairan
Pajak
Siapkan Bayar
H.R.D Laporan Pajak MANAJEMEN
Laporan
Pembayaran Pajak
Laporan Penggajian
48
System Documentation Techniques
Sales Clerk Cash Receipts Clerk Accounts Receivable Clerk
From 1 2
Customer
Start
Payment Invoice Remittance
Advice N
Prepare Check
Sales customer Endorse check
Invoice credit prepare Record
remittance
Transaction
transaction
advice and update Journal
Sales 1
Invoice 2 3 ledger
Remittance1
advice 2 Accounts
3
1 Receivable
N
Ledger
2
N Customer
Customer
N
Document Flowchart
49
Proses Bisnis Dasar
50
Siklus Pendapatan
Serangkaian aktivitas bisnis dan pemrosesan operasi yang terus menerus dengan
menyediakan barang dan jasa kepada pelanggan dan menerima kas atas
pembayaran atas pendapatan tersebut.
Tujuan utama siklus pendapatan adalah menyediakan produk yang tepat, pada
tempat uang tepat, di saat yang tepat, dan dengan harga yang tepat.
Order yang tidak valid Adanya validitas order dari pelanggan Memeriksa sampel dokumen
berupa tanda tangan / digital signature sales order untuk memastikan
sudah mendapat persetujuan
pelanggan
Order yang menyebabkan a. Batas kredit diinput ke dalam master Memeriksa sampel dokumen
kredit pelanggan melebihi file pelanggan memastikan bahwa pesanan
batas kredit b. Otorisasi atas penjualan kredit oleh yang diterima adalah dari
manajer kredit pelanggan yang memenuhi
syarat credit limit
52
Penerimaan Order Penjualan
Risiko Pengendalian Pengujian Pengendalian
54
Pengiriman Barang
Risiko Pengendalian Pengujian Pengendalian
Barang telah dikirim a. Prosedur untuk penomoran secara berurutan a. Memeriksa dan menguji prosedur
namun pendapatan dokumen pengiriman dan faktur penjualan akuntansi dalam menerapkan penomoran
belum dicatat b. Dokumen pengiriman dibandingkan dengan dokumen secara berurutan
faktur penjualan b. Menelusuri sampel dokumen pengiriman
c. Rekonsiliasi faktur penjualan dengan laporan ke faktur dan jurnal penjualan
penjualan harian c. Pengujian atas sampel rekonsiliasi harian
d. Arsip open order dibuat dan ditinjau secara d. Pemeriksaan open order untuk pesanan
periodik yang tidak terpenuhi
Barang telah dikirim Prosedur yang tepat untuk otorisasi kredit dan Memeriksa prosedur pemberian kredit ke klien
untuk konsumen yang pengiriman barang.
memiliki risiko kredit
buruk
Pengiriman telah Daftar harga yang diotorisasi dan persyaratan a. Memeriksa pesanan penjualan sebagai
dilakukan pada harga tertentu untuk perdagangan bukti persetujuan kredit yang benar
dan syarat yg tidak b. Membandingkan harga dan syarat faktur
diotorisasi dengan yang diotorisasi.
55
Penagihan
Open-invoice method Balance-forward method
56
Penagihan
Risiko Pengendalian Pengujian Pengendalian
Tidak melakukan Secara reguler melakukan review laporan perbandingan antara Melakukan pengecekkan laporan
penagihan order penjualan, picking ticket, bill of lading dengan faktur piutang untuk memastikan piutang
penjualan jatuh tempo sudah di follow-up
Kesalahan dalam a. Menggunakan master file persediaan untuk meminimalkan Melakukan pengecekkan transaksi
penagihan kesalahan harga, dimana akses ubah data oleh karyawan penjualan dengan faktur, dokumen
dibatasi. pengiriman barang, dan credit memo
b. Bagian penagihan tidak memiliki akses mengubah data
piutang usaha.
Kesalahan posting a. Faktur penjualan yang bernomor urut tercetak Memeriksa bahwa control account
ke rekening b. Secara berkala bagian kredit mencetak laporan umur piutang telah direkonsiliasi secara rutin dengan
piutang usaha usaha total saldo piutang di buku besar.
57
Penerimaan Kas
Risiko Pengendalian Pengujian Pengendalian
Potongan tunai Prosedur penentuan kebijakan potongan tunai Menguji sampel transaksi
diberikan dengan penerimaan kas untuk potongan
tidak sah tunai yang benar
Penerimaan kas Laporan penerimaan harian yang rekonsiliasi untuk Meninjau dan menguji rekonsiliasi
dicatat dengan mengendalikan daftar penerimaan kas
jumlah yg salah
Penerimaan kas Menggunakan prosedur pengendalian untuk menyetor Menguji setoran harian
dicatat pada periode penerimaan kas harian penerimaan kas
yg salah
58
Risiko dalam Siklus Pendapatan
Risiko Pengendalian Pengujian Pengendalian
Pendapatan a. Penjualan dicatat hanya jika pesanan pelanggan a. Menguji sampel faktur penjualan dan
dicatat, namun dan dokumen pengiriman diotorisasi keberadaan barang
barang tidak b. Prosedur akuntansi yang menerapkan faktur b. Memeriksa dan menguji prosedur akuntansi
dikirim penjualan yang bernomor scr berurutan yang menerapkan faktur bernomor urut
c. Laporan bulanan mengenai pelangan dan c. Memeriksa dan menguji prosedur
pengaduan yang ditangan secara bulanan penanganan pengaduan terkait laporan
bulanan
Kesalahan a. Faktur penjualan direkonsiliasi dengan laporan a. Pemeriksaan rekonsiliasi faktur penjualan
pencatatan penjualan harian dengan laporan penjualan harian
transaksi b. Posting harian kejurnal penjualan direkonsiliasi b. Pemeriksaan rekonsiliasi entry jurnal
pendapatan pada dengan posting di buku pembantu penjualan dengan buku pembantu
jurnal penjualan. c. Buku pembantu direkonsiliasi dengan akun buku c. Tinjauan rekonsiliasi buku pembantu dan
Akun pelanggan di besar buku besar
buku pembantu,
atau buku besar
piutang
59
Siklus
Pembelian
Serangkaian aktivitas bisnis dan pemrosesan
informasi terkait pembelian dan pembayaran
barang atau jasa.
Data persediaan a. Menerapkan metode pencatatan persediaan a. Melakukan pengecekan secara berkala untuk
tidak akurat yang perpetual sehingga saldo terkini dapat diketahui memastikan tidak terjadi kesalahan data
menyebabkan b. Menerapkan sistem barcoding entry
kekurangan c. Perhitungan persediaan fisik scr periodik b. Melakukan observasi saat input persediaan
persediaan dan dan stock opname
hilangnya
pendapatan
Pemasok tidak dapat diandalkan a. Membeli dari pemasok yang memiliki sertifikasi
kualitas
b. Mengumpulkan dan mengawasi data kinerja
pengiriman pemasok
Penyuapan yang dilakukan a. Melarang penerimaan hadiah dari pemasok Melakukan audit pemasok
pemasok agar dipilih oleh bagian b. Memberikan punishment bagi karyawan yang
pembelian ketahuan menerima suap
c. Rotasi jabatan dan liburan wajib bagi karyawan
pengadaan
Pembelian barang/jasa pada Prosedur penawaran kompetitif wajib dijalankan Memeriksa prosedur penawaran kompetitif
harga/syarat yg tidak terotorisasi
Pembelian barang/jasa yag tidak a. Prosedur mengenai batas kewenangan persetujuan a. Memeriksa prosedur batas kewenangan
terotorisasi pembelian dan batasan nilai pembelian untuk persetujuan pembelian
b. Dokumen permintaan pembelian dan pesanan b. Memeriksa dokumen permintaan
pembelian wajib disetujui pembelian & pesanan pembelian telah
mendapat persetujuan yg tepat.
62
Barang Masuk dan Pencatatan Faktur
Risiko Pengendalian Pengujian Pengendalian
Pencurian a. Menyimpan persediaan di lokasi yang aman dan akses Melakukan observasi dan evaluasi
persediaan terbatas terhadap lokasi penyimpanan
b. Dokumentasi seluruh transfer persediaan antara bagian persediaan, proses strock opname
penerimaan dan bagian gudang persediaan, dan pelaksanaan pemisahan
c. Perhitungan persediaan fisik berkala dan membandingkan fungsi bagian penerimaan dna
dengan pencatatan persediaan penyimpanan barang.
d. Pemisahan fungsi antara bagian penerimaan barang dengan
bagian penyimpanan persediaan
63
Menyetujui Faktur Pemasok
Risiko Pengendalian Pengujian Pengendalian
Kesalahan dalam a. Melakukan verifikasi terhadap keakuratan faktur dan Melakukan perhitungan ulang akurasi
faktur pemasok: dibandingkan dengan order pembelian dan laporan matematis faktur dari pemasok
kesalahan harga penerimaan barang
atau kesalahan b. pembatasan akses ke database induk pemasok
penjumlahan
Kesalahan dalam Rekonsiliasi catatan utang yang detail dengan akun kontrol Memeriksa laporan rekonsiliasi pada laporan
memposting ke buku besar umum utang dagang harian dan rekonsiliasi input
akun utang usaha pada jurnal pembelian
64
Pengeluaran Kas
Risiko Pengendalian Pengujian Pengendalian
Kegagalan untuk a. Filling faktur yg telah diotorisasi diurutkan berdasarkan tgl Melakukan pemeriksaan filling dokumen
memanfaatkan jatuh tempo faktur
diskon dengan b. Sistem didesain untuk dapat melacak tanggal jatuh tempo
membayar tepat faktur dan memberikan reminder otomatis
waktu c. Mencetak secara periodik daftar faktur yang belum dibayar
d. Membuat anggaran kas untuk memastikan ketersediaan
kas
Pembayaran Mensyaratkan seluruh faktur pemasok dicocokan dengan Sampling untuk memastikan faktur
barang yang tdk dokumen pendukung yang telah diakui oleh bagian penerimaan pemasok yang telah dibayar, nilainya
diterima atau bagian pengendalian persediaan cocok dengan yang tercantum dalam
laporan penerimaan barang
Duplikasi a. Membutuhkan stempel ‘Lunas’ pada faktur, order Memeriksa dokumen faktur, order
pembayaran ke pembelian, dan laporan penerimaan yang telah dibayar pembelian, laporan penerimaan yang
pemasok b. Kebijakan yang mewajibkan pembayaran hanya dapat telah dilakukan pembayaran
dilakukan untuk salinan asli atas faktur pemasok
65
Pengeluaran Kas
Risiko Pengendalian Pengujian Pengendalian
Pengeluaran a. Rekonsiliasi laporan pengeluaran kas harian dengan cek yang Memeriksa laporan rekonsilias
kas dicatat diterbitkan atau bukti transfer
dijumlah yg b. Rekonsiliasi laporan vendor dengan catatan uang dagang
keliru
66
Sistem Penggajian
Akun terkait: kas, beban gaji, utang gaji, iuran, dan PPh 21
67
Sistem Penggajian
68
Siklus Penggajian
69
Pencatatan Upah, Gaji, dan Pemotongan
Risiko Pengendalian Pengujian Pengendalian
Perubahan yang tidak a. Adanya pembatasan akses ke master file Menguji pengendalian dan keandalan
terotorisasi terhadap b. Semua perubahan master filehnarus direview sistem terkait pembatasan akses
master file penggajian oleh supervisor/pihak yang berwenang
dan perubahan master
file yang tidak akurat
Pencatatan data a. Sumber data yang diotomatisasi untuk capture a. Menguji pengendalian dan
kehadiran dan jam kerja data keandalan dalam sistem capture
yang tidak akurat b. Menggunakan biometric authentication seperti data
finger print b. Review dan menguji prosedur
c. Adanya prosedur yang mewajibkan validasi dan terkait validasi dan review data
review data kehadiran atau jam kerja oleh kehadiran/jam kerja
masing-masing manajer
70
Menghitung Gaji
Risiko Pengendalian Pengujian Pengendalian
Kesalahan perhitungan a. Memverifikasi jumlah penggajian dan Review dan menguji prosedur
kompensasi karyawan perhitungan tunjangan verifikasi jumlah penggajian dan
dan pengurangan gaji b. Review register penggajian untuk jumlah yang perhitungan tunjangan
karyawan tidak benar
71
Pembayaran Upah dan Gaji
Pencurian atau a. Pembatasan akses fisik terhadap cek penggajian a. Review dan menguji
kecurangan dan akses sistem penggajian pengendalian aplikasi dan
b. Adanya pemisahan fungsi antara kasir dan prosedur pembatasan akses
penggajian b. Melakukan observasi dan
c. Semua transaksi transfer bank harus disertai evaluasi pemisahan tugas
dokumen pendukung c. Melakukan pemeriksaan sampel
bukti transaksi transfer beserta
dokumen pendukungnya
Kegagalan pembayaran Konfigurasi sistem untuk melakukan pembayaran gaji Review dan menguji pengendalian
gaji dan pembayaran yg dengan menggunakan aplikasi terkini aplikasi
tidak tepat waktu
72
Pembayaran Upah dan Gaji
Pembayaran yang tidak Prosedur otorisasi untuk: Review dan menguji prosedur
terotorisasi dibuat untuk a. Perekrutan dan pemberhentian karyawan otorisasi untuk setiap poin otorisasi
karyawan dan b. Waktu kerja dalam siklus penggajian
pembayaran/tunjangan c. Tarif upah, gaji, dan komisi
dibuat untuk karyawan d. Pemotongan
pada tarif yang tidak e. Tunjangan
terotorisasi f. Mengeluarkan cek penggajian
73
Data Analytics
74
Big Data
kumpulan data yang sangat besar dan kompleks sehingga sulit (jika
bukan tidak mungkin) untuk memprosesnya menggunakan
perangkat lunak tradisional.
Contoh:
New York Stock Exchange menghasilkan lebih dari satu terabyte data
perdagangan baru setiap hari
Facebook menyimpan lebih dari 10 miliar foto yang menempati satu petabyte
(1024 terabyte) penyimpanan
75
Big Data
76
Data Analytics
Types of Analytics
77
Apa yang Harus Dikuasai
78
Internal Control
over
Financial Reporting
79
AGENDA
1. Apakah itu ICoFR?
2. Mengapa kita menerapkan ICoFR ?
3. Apakah itu Internal Control?
4. Internal Control COSO
80
Apakah itu ICoFR ?
81
ICoFR (Definisi SEC)
• Suatu proses yang dirancang oleh, atau di bawah pengawasan,
eksekutif utama emiten dan pejabat keuangan utama, atau orang-
orang yang melakukan fungsi serupa, dan
• dilakukan oleh dewan direksi, manajemen, dan personel lain entitas,
• untuk memberikan jaminan yang wajar mengenai keandalan
pelaporan keuangan dan penyusunan laporan keuangan untuk tujuan
eksternal sesuai dengan prinsip akuntansi yang diterima secara umum
(GAAP) dan mencakup kebijakan dan prosedur yang:
82
ICoFR (Definisi SEC)
Berkenaan dengan pemeliharaan catatan yang secara terperinci
masuk akal akurat dan adil, mencerminkan transaksi dan disposisi
aset emiten;
Memberikan jaminan yang masuk akal bahwa transaksi dicatat
sebagaimana diperlukan untuk memungkinkan penyusunan laporan
keuangan sesuai dengan GAAP, dan bahwa penerimaan dan
pengeluaran emiten dilakukan hanya sesuai dengan otorisasi
manajemen dan direktur emiten; dan
Memberikan jaminan yang masuk akal mengenai pencegahan atau
deteksi tepat waktu atas akuisisi, penggunaan, atau pelepasan aset
emiten yang tidak sah yang dapat memiliki dampak material pada
laporan keuangan.
83
Mengapa kita menerapkan ICoFR ?
84
Mengapa kita membahas ICoFR ?
85
DAFTAR ISI SOX
•I : Public Company Accounting Oversight Board
• II : Auditor Independence
• III : Corporate Responsibility
• IV : Enhanced Financial Disclosures
•V : Analyst Conflicts Of Interest
• VI : Commission Resources And Authority
• VII : Studies And Reports
• VIII : Corporate And Criminal Fraud Accountability
• IX : White-collar Crime Penalty Enhancements
•X : Corporate Tax Returns
• XI : Corporate Fraud And Accountability
86
PASAL KHUSUS TTG IC:
87
Penerapan SOX di Indonesia
SOX 302
88
Penerapan SOX di Indonesia
89
Apakah itu Internal Control?
90
Trade-off antara Risiko dan Imbal
Hasil
91
Where is an opportunity, there is a risk
Risk
Opportunity
CONTROL
92
High Risk High Return
(or the opposite)
93
Bisnis =
Meraih peluang, Mengelola risiko
94
Bisnis =
Meraih peluang, Mengelola risiko
95
Risk Appetite Setiap Orang Berbeda
96
Semakin pandai mengelola risiko *)
semakin besar manfaat diterima
97
RISIKO
98
*] Definisi Risiko
• KBBI: akibat yang kurang menyenangkan dari suatu perbuatan atau tindakan
• Bisnis: Kejadian yang, apabila terjadi, mengurangi keberhasilan pencapaian tujuan
bisnis.
99
Risiko dalam Bisnis
100
Hubungan Risiko dan pengendalian
101
DEFINISI CONTROL (risk
response/treatment)
102
Control dalam Bisnis
103
Control dalam Bisnis
104
Control dalam Bisnis
105
INTERNAL CONTROL
FRAUD
pengendalian
pengendalian EDUKATIF: pengendalian
pengendalian PREVENTIF: KOREKTIF: RESTORATIF:
1. Pembangunan kultur
1. Pengendalian internal 1. Audit investigasi 1. Pendidikan paska fraud
2. Membangun integritas 2. Sistem dan prosedur pengendalian DETEKTIF:
2. Audit forensik 2. Pemberian efek jera
setiap individu 3. Menilai risiko fraud 1. Unit compliance
3. Penelusuran asset
2. Deteksi dini/red flags 3. Rekonstruksi system
3. Organisasi yang ‘bersih’ 4. ‘Control activities’: 4. Penindakan/sanksi
3. Audit internal (jikalau perlu)
4. Tone at the top Reduce, transfer, accept, 5. Penuntutan
avoid, exploit 4. Whistle blowing & tips
5. ‘Control environment’ 5. Sistem IT
6. Penanganan o/ APH
5. Direction control
(target/arahan/standar) 6. Monitoring manajemen
7. Continuous auditing
8. Analitical procedures
106
Preventive Control
107
DETECTIVE CONTROLS
108
Risk Categories Taxonomy
Strategic Entity Level Risks
109
Strategic / Entity Level Risks
1. Perubahan ekspektasi konsumen
2. Revolusi pasar global
3. Kehancuran supply chains
4. Kesulitan memperoleh modal
5. Perubahan peraturan
6. Perubahan gaya hidup, perubahan sosial
7. Risiko reputasi
8. Teknologi baru atau inovasi kompetitor
9. Pengaruh emosional terhadap brand / produk tertentu
10. Perubahan filosofi strategi organisasi
110
Functional Level Risks:
1. SDM 7. IT
2. Kompensasi dan benefit 8. Komunikasi
3. Pengembangan produk 9. Layanan pelanggan
4. Rekayasa 10.Kepatuhan terhadap
5. Rantai pasokan prosedur
6. Transportasi 11.Treasury
12.Pelaporan (keuangan)
111
Inherent Risks Control Residual
Risks
112
Control Freak (over & less control)
113
Keterbatasan Control
114
Kerangka Pengendalian Internal
115
COSO
Internal Control – Risk Management
2013
2017
??
116
2017
117
COSO ERM - 2017
118
COSO ERM - 2017
119
ISO
120
AUDIT SISTEM INFORMASI
121
TUJUAN
• Keamanan secara keseluruhan
• Pengembangan dan akuisisi program
• Modifikasi program
• Pemrosesan computer
• Sumber data
• Arsip data
122
Langkah Risk-based Audit
• Memahami ancaman yang dihadapi (Fraud/error)
• Identifikasi pengendalian preventive, detective atau corrective terkait
ancaman yang ada
• Evaluasi prosedur pengendalian (Review dan uji pengendalian)
• Jika risiko terlalu tinggi, harus lebih banyak bukti yang dikumpulkan
termasuk compensating control
123
Audit Tools
• Audit program
• Generalised Audit software
124
COBIT FRAMEWORK
125
Control Objective for Information and
Related Technology (COBIT)
• COBIT (Control Objectives for Information and Related Technology)
merupakan sekumpulan dokumentasi dan panduan yang
mengarahkan pada IT governance yang dapat membantu auditor,
manajemen, dan pengguna (user) untuk menjembatani pemisah
antara resiko bisnis, kebutuhan kontrol, dan permasalahan-
permasalahan teknis.
• COBIT dikembangkan oleh IT governance Institute (ITGI) yang
merupakan bagian dari Information Systems Audit and Control
Association (ISACA)
126
COBIT
• COBIT merupakan suatu cara untuk menerapkan IT governance.
127
128
COBIT FRAMEWORK
• Plan and Organise (PO) :
Domain ini menitikberatkan pada proses perencanaan dan
penyelarasan strategi TI dengan strategi perusahaan, mencakup
masalah strategi, taktik dan identifikasi cara terbaik IT untuk
memberikan kontribusi maksimal terhadap pencapaian tujuan
bisnis organisasi
• Acquire & Implement ( AI ) :
Domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam
proses bisnis organisasi, juga meliputi perubahan dan perawatan yang
dibutuhkan sistem yang sedang berjalan untuk memastikan daur
hidup sistem tersebut tetap terjaga
• Delivery & Support ( DS ):
Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem,
kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan
pemenuhan proses data yang sedang berjalan
• Monitor & Evaluate ( ME) :
Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam
organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari
proses pemeriksaan yang dilakukan
129
PLAN & ORGANISE (PO)
• Domain ini mencakup strategi dan taktik, serta fokus pada identifikasi cara
terbaik agar TI dapat memberikan kontribusi pada pencapaian tujuan bisnis
perusahaan
Implementasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola
dalam beberapa perspektif yang berbeda. Sebuah organisasi yang tepat serta
pemilihan infrastruktur TI harus diletakkan pada tempatnya.
130
ACQUIRE AND IMPLEMENT (AI)
• Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan, diperoleh, dan
diimplementasikan serta terintegrasi ke dalam proses bisnis. Selain itu, perubahan dan
pemeliharaan sistem yang ada dilindungi oleh domain ini untuk memastikan solusi terus
memenuhi tujuan bisnis.
• Apakah proyek baru memiliki kemungkinan untuk memberikan solusi yang sesuai dengan
kebutuhan bisnis?
• Apakah proyek baru dapat terdeliver tepat waktu dan sesuai anggaran?
• Apakah sistem baru ini bekerja dengan baik bila diterapkan?
• Apakah perubahan dapat dilakukan tanpa mengganggu continuitas operasi bisnis.
131
DELIVERY & SUPPORT (DS)
• Domain ini berkaitan dengan delivery jasa yang dibutuhkan, yang meliputi
pelayanan, Manajemen Security dan kontinuitas layanan, dukungan
layanan ( Service Support ) bagi user, dan manajemen data dan fasilitas
operasional. Domain ini biasanya membahas pertanyaan manajemen
berikut:
133
COBIT Framework
COBIT® 2019. © 2019 ISACA® All rights reserved. Used by permission of ISACA.
COMPUTER FRAUD & ABUSE
136
Hacking
• Hijacking
• Gaining control of a computer to carry out illicit activities
• Botnet (robot network)
• Zombies
• Bot herders
• Denial of Service (DoS) Attack
• Spamming
• Spoofing
• Makes the communication look as if someone else sent it so as to gain confidential
information.
137
Hacking with Computer Code
• Cross-site scripting (XSS)
• Uses vulnerability of Web application that allows the Web site to get injected
with malicious code. When a user visits the Web site, that malicious code is
able to collect data from the user.
• Buffer overflow attack
• Large amount of data sent to overflow the input memory (buffer) of a
program causing it to crash and replaced with attacker’s program instructions.
• SQL injection (insertion) attack
• Malicious code inserted in place of a query to get to the database information
138
Other Types of Hacking
• Man in the middle (MITM)
• Hacker is placed in between a client (user) and a host (server) to read, modify, or
steal data.
• Masquerading/impersonation
• Piggybacking
• Password cracking
• War dialing and driving
• Phreaking
• Data diddling
• Data leakage
• Podslurping
139
Social Engineering Techniques
• Identity theft • URL hijacking
• Assuming someone else’s identity • Takes advantage of typographical
• Pretexting errors entered in for Web sites
and user gets invalid or wrong
• Using a scenario to trick victims
Web site
to divulge information or to gain
access • Scavenging
• Posing • Searching trash for confidential
• Creating a fake business to get information
sensitive information • Shoulder surfing
• Phishing • Snooping (either close behind the
• Sending an e-mail asking the person) or using technology to
victim to respond to a link that snoop and get confidential
appears legitimate that requests information
sensitive data • Skimming
• Pharming • Double swiping credit card
• Redirects Web site to a spoofed • Eavesdropping
Web site
Malware
• Spyware • Trap door
• Secretly monitors and collects • Set of instructions that allow the
information user to bypass normal system
• Can hijack browser, search requests controls
• Adware, Scareware • Packet sniffer
• Ransomware • Captures data as it travels over
• Locks you out of all your programs the Internet
and data using encryption • Virus
• Keylogger • A section of self-replicating code
• Software that records user that attaches to a program or file
keystrokes requiring a human to do
• Trojan Horse something so it can replicate
itself
• Malicious computer instructions in
an authorized and properly • Worm
functioning program • Stand alone self replicating
program
Pengendalian untuk Keamanan
Informasi
142
Security Life Cycle
Security Approach
• Time-based model, security is effective if:
• P > D + C where
• P is time it takes an attacker to break through preventive controls
• D is time it takes to detect an attack is in progress
• C is time it takes to respond to the attack and take corrective action
144
How to Mitigate Risk of Attack
Preventive Controls Detective Controls
146
Processing Integrity Controls
• Input Process Stage
• Forms design
• Sequentially prenumbered
• Turnaround documents
• Cancelation and storage of source documents
• Data entry controls
147
Processing Integrity: Data Entry Controls
• Field check • Size check
• Characters in a field are proper • Input data fits into the field
type • Completeness check
• Sign check • Verifies that all required data is
• Data in a field is appropriate sign entered
(positive/negative) • Validity check
• Limit check • Compares data from transaction file to
• Tests numerical amount against a that of master file to verify existence
fixed value • Reasonableness test
• Range check • Correctness of logical relationship
• Tests numerical amount against between two data items
lower and upper limits • Check digit verification
• Recalculating check digit to verify data
entry error has not been made
Data Entry Controls - Lanjutan
• Batch processing • Prompting
• Sequence check • System prompts you for input
• Test of batch data in proper (online completeness check)
numerical or alphabetical
sequence
• Closed-loop verification
• Batch totals • Checks accuracy of input data by
using it to retrieve and display
• Summarize numeric values other related information (e.g.,
for a batch of input records customer account # retrieves the
• Financial total customer name)
• Hash total
• Record count
Processing Controls
• Data matching • Cross-footing
• Two or more items must be • Verifies accuracy by comparing
matched before an action takes two alternative ways of
place calculating the same total
• File labels • Zero-balance tests
• Ensures correct and most • For control accounts (e.g., payroll
updated file is used clearing)
• Recalculation of batch totals • Write-protection mechanisms
• Protect against overwriting or
erasing data
• Concurrent update controls
• Prevent error of two or more
users updating the same record
at the same time
Output Controls
• User review of output
• Reconciliation procedures
• Procedures to reconcile to control reports (e.g., general ledger A/R account
reconciled to Accounts Receivable Subsidiary Ledger)
• External data reconciliation
• Data transmission controls
• Checksums
• Parity bits
151
Availability Controls
• Preventive maintenance • Backup procedures
• Incremental
• Fault tolerance • Copies only items that have
• Use of redundant components changed since last partial
backup
• Data center location and • Differential backup
design • Copies all changes made
• Raised floor since last full backup
• Fire suppression • Disaster recovery plan (DRP)
• Air conditioning • Procedures to restore
• Uninterruptible power supply organization’s IT function
(UPS) • Cold site
• Hot site
• Surge protection
• Business continuity plan (BCP)
• Training • How to resume all operations,
not just IT
• Patch management and
antivirus software
TERIMA KASIH
Twitter @IAINews
153