AUDIT SISTEM INFORMASI

MANAJEMEN CONTROL
FRAMEWORK
Disusun Oleh:
Milawati
Pratiwi Margareth S.D
Erick Radjawane

MANAGEMENT CONTROL
FRAMEWORK
Pengendalian umum (general controls) adalah system
pengendalian intern computer yang berlaku umum
meliputi

seluruh

kegiatan

organisasi

secara

ketentuan

yang diatur

komputerisasi

menyeluruh,
dalam

dimana

sebuah

ketentuan-

pengendalian intern

tersebut, berlaku untuk seluruh kegiatan komputerisasi

pada organisasi/ perusahaan tersebut.

PENGENDALIAN PERSPEKTIF
MANAJEMEN
Menurut Miklos A. Vasarhelyi dan Thomas W. Lin, Advanced Auditing: Fundamental
of EDP and Statistical Audit Technology,kategori pegendalian dan jenis pengendalian
umum, sbb:
1) Organisasi dan manajemen
2) Piranti lunak dan keras
3) Pengendalian Akses
4) Data dan prosedur
5) Pengembangan system baru
6) Pemeliharaan program
7) Dokumentasi

Karena pengendalian umum ini menyangkut seluruh

kegiatan komputerisasi pada suatu organisasi, maka
yang berwenang menentukan struktur pengendalian
adalah

pimpinan

organisasi

tersebut,

atau

dalam

prakteknya wewenang tersebut didelegasikan kepada

kepala unit computer (chief of information officier/ CIO).
Keputusan pengendalian jenis ini merupakan wewenang
atau

domain

framework).

manajemen

(bersifat

management

PENGENDALIAN MANAJEMEN
PUNCAK
Pengendalian manajemen puncak adalah system pengendalian intern yang ada pada
suatu organisasi yang mendorong keterlibatan, kepedulian dan tanggung jawab
puncak pimpinan organisasi terhadap kegiatan TI (Teknologi Informasi) pada
organisasi tersebut, berikut semua konsekuensi, dampak dan syarat-syarat yang
harus dipenuhi demi berjalannya system secara memadai.
Seperti layaknya tugas pokok dan fungsi manajemen pada umumnya, berkaitan
dengan fungsi/ unit system informasi, manajemen puncak mempunyai tugas sbb :
a) melakukan planning,
b) organizing,
c) actuating,
d) controlling .

1.PLANNING
Dimana manajemen puncak harus menentukan tujuan dan sasaran
yang ingin dicapai oleh unit system informasi perusahaan tersebut
dan bagaimana mencapainya. Unit SI harus menjabarkan rencana
strategis menjadi perencanaan operasionalnya dalam dua dimensi,
yaitu:
a. Dukungan TI apa yang dapat dan/atau perlu diberikan ke unit lain.
b. Bagaimana unit ini, seperti unit lainnya, dapat mengelola sumber
daya informasi yang dimiliki secara optimal, efektif, efisien, dan
ekonomis.

Manajemen puncak bertanggung jawabuntuk membuat master-plan

system informasi, meliputi rencana jangka anjang dan jangka
pendek. Penyusunan rencana meliputi tiga hal, yaitu:
a.Mengetahui kesempatan dan masalah yang dihadapi organisasi
sehingga teknologi informasi dan system informasi dapat digunakan
secara efektif.
b.Mengidentifikasi

sumber

daya

yang

diperlukan

untuk

menyediakan teknologi dan system informasi yang diperlukan.

c.Membuat strategi dan taktik yang diperlukan untuk memperoleh
sumber daya tersebut.

2. ORGANIZING
Fungsi dari pengorganisasian adalah menemukan, alokasi, dan
mendapatkan sumber daya yang diperlukan untuk mendapatkan
sumber daya yang diperlukan untuk mencapai tujuanseperti
ditetapkan pada fungsi perencanaan. Tanggung jawab utama
manajemen puncak adalah memperoleh sumber daya yang
diperlukan untuk mencapai tujuan yang telah ditetapkan pada
rencana system informasi. Sumber daya tersebut meliputi hardware,
software, personnel, dana serta facilities.

3. ACTUATING
Dimanass Pemimpin Harus melakukan actuating, leading dalam bentuk memberikan pengarahan,
perhatian, pembinaan, mendorong motivasi, memberi kesempatan pelatihan dan sebagianya
hingga personil dapat bekerja sebaik baiknya.perlu diketahui baha personil unit komputer adalah
knowledge worker. Yaitu pegawai yang memunyai karakteristik spesifik(mempunyai keahlian
khusus. Bukan pegawai administrasi biasa atau tenaga kerja kasar pelaksana.

Kepemimpinan dibidang sistem informasi mungkin lebih rumit karena lingkungan teknis,
profesional yang perlu perlakuan tertentu pada maching leadership styles with information sistems
personnel and their jobs. Manager ini perlu memiliki ciri kepemimpinan yang efektif memiliki
karakter tertentu yakni:
a.Awarness(sadar)
b.Empathy(memiliki rasa simpati)
c.Objektif(dapat menganalisa secara objektif)
d.Self knowledge(sadar akan hasil yang terjadi akan tindakanya)
e.Mempunyai keinginan untuk pencapaian tinggi, bertanggung jawab, pintar dan kreatif.

4.

CONTROLLING
Pimpinan harus melakukan pengawasan dalam arti memonitor
apakah realisasi kegiatan unit sudah sesuai rencana atau tidak.
Ketika top manajemen mecoba untuk mellakukan analisa terhadap
keseluruhan fungsi sistem informasi, akan timbul pertanyaan
seberapa besar dana yang harus dikeluarkan pada fungsi dan
apakah organisasi memperoleh hasil berupa uang dari fungsi SI.
Untuk mengevaluasi apakah fungsi SI telah efektif perlu dilakukan
evaluasi seberapa baik top manajemen memonitor fungsi SI.
Kemampuan dan kemauan top manajemen untuk melakukan kontrol
terhadap fungsi SI pada organisasinya tergantung pada bagaimana
teknologi informasi implementasikan pada organisasinya.

Jika top manajer memliih cara control terhadap pemakaia jasa SI melalui Transfer
Pricing maka dua keputusan harus dibuat :
a)

Mereka harus menentukan cara provider melihat jasa SI

b)

Jenis Transfer Prizing yang spesific atau pembebanan biaya ditentukan beberapa
cost.
Auditor SI harus megevaluasi apakah top manajemen telah melakukan kontrol
terhadap jasa SI ini berjalan efektif. Masalah yang perlu di evaluasi adalah masalah
sentralisasi atau desentralisasi SI. Tiga hal yang harus diperhatikan ketika
memutuskan untuk melakukan sentralisasi atau desentralisasi adalah :
1.Kontrol; tanggung jawab untuk mengambil keputusan terhadap fungsi SI
2.Lokasi Hardware Software; ditempatkan pada satu tempat atau tersebar
3.Fungsi pengembangan SI, operasional dan maintenance nya dapat dilakukan oleh
seorang personel pada bagian tertentu atau personel pada banyak bagian pada
organisasi

AUDIT SISTEM INFORMASI

BERBASIS KOMPUTER
Pengendalian (controlling) merupakan salah satu fungsi manajemen dalam mencapai
tujuan organisasi, yang merupakan manifestasi dari usaha manajemen untuk
mengurangi resiko kerugian dan penyimpangan dalam suatu organisasi. Dalam
menganalisis sebuah sistem pengendalian, hal pertama dan terpenting yang harus
dilakukan adalah menentukan tujuan pengendalian itu sendiri. Setelah mengetahui
tujuan pengendalian, tahapan berikutnya adalah menentukan pendekatan yang
digunakan un/tuk mengembangkan kerangka pengendalian internal. Pendekatan
yang umumnya dilakukan terbagi menjadi 3 (tiga), yaitu :
(1)COBIT Framework,
(2)COSO Internal Control Integrated Framework, dan
(3)COSO Interprise Risk Management (ERM) Framework

COBIT Framework
Fokus Pengguna Utama adalah manajemen, operator
dan auditor sistem informasi. Sudut pandang atas
internal control adalah kesatuan beberapa proses yang
terdiri atas kebijakan, prosedur, penerapan serta struktur
organisasi. Tujuan yang ingin dicapai dari sebuah
internal control adalah pengoperasian sistem yang
efektif dan efisien, kerahasiaan, kesatuan dan
ketersediaan informasi yang dilengkapi dengan sistem
pelaporan keuangan yang handal disesuaikan dengan
peraturan yang berlaku. Komponen/domain yang dituju
adalah perencanaan dan pengorganisasian, pemaduan
dan penerapan, pengawasan atas dukungan serta
pendistribusian. Fokus pengendalian dari COBIT adalah
sisi teknologi informasi. Evaluasi atas internal control
ditujukan atas seberapa efektif pengendalian tersebut
diterapkan dalam periode waktu yang sudah ditetapkan.

Secara singkat COBIT memiliki kerangka kerja yang terdiri atas beberapa arahan
(guidelines), yakni :
a. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang
tercermin dalam 4 domain, yaitu : planning & organization, acquisition &
implementation, delivery & support, dan monitoring.
b. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk
membantu para auditor dalam memberikan management assurance atau saran
perbaikan.
c. Management Guidelines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti
dilakukan, seperti : apa saja indicator untuk suatu kinerja yang bagus, apa saja resiko
yang timbul, dan lain-lain.
d. Maturity Models
Untuk memetakan status maturity proses-proses IT

COSO Internal Control Integrate Framework,

Pada tahun 1992, COSO menyusun dan menerbitkan
internal control integrated framework yang berisi
rumusan definisi pengendalian intern, pedoman
penilaian, serta perbaikan terhadap sistem pengendalian
intern.
COSO mendefinisikan pengendalian intern sebagai,
sebuah proses yang dipengaruhi oleh dewan komisaris,
manajemen dan pegawai perusahaan lainnya yang
dibentuk untuk menyediakan keyakinan yang
memadai/wajar berkaitan dengan pencapaian tujuan
dalam kategori berikut:
a. Efektifitas dan efisiensi aktivitas operasi.
b. Kehandalan pelaporan keuangan.
c. Ketaatan terhadap hukum dan peraturan yang berlaku.
d. Pengamanan aset entitas.

Menurut COSO framework, Internal control terdiri dari 5 komponen

yang saling terkait, yaitu:
1. Control Environment
erdapat lima prinsip yang terkait dengan komponen ini yaitu:
1) Organisasi menunjukkan komitmen terhadap integritas dan nilainilai etika
2) Board of directors menunjukkan independensi dari manajemen
dan melaksanakan pengawasan terhadap pengembangan dan
pelaksanaan IC.
3) Dengan pengawasan Board, manajemen menetapkan struktur,
bentuk pelaporan, tanggung jawab dan otoritas yang diperlukan
dalam rangka pencapaian tujuan.
4) Organisasi menetapkan komitmen dalam menarik,
mengembangkan, dan mempertahankan individu yang kompeten
dalam rangka pencapaian tujuan.
5) Organisasi memegang individu yang bertanggungjawab dalam IC
dalam rangka pencapaian tujuan.

2. Risk Assessment
Terdapat empat prinsip yang berkaitan dengan komponen ini yaitu:
1)Organisasi menentukan tujuan yang spesifik sehingga
memungkinkan untuk dilakukan identifikasi dan penilaian risiko yang
terkait dengan tujuan.
2)Organisasi mengidentifikasi risiko yang terkait dengan pencapaian
tujuan di seluruh entitas dan menganalisis risiko untuk menjadi
dasar bagaimana risiko akan diperlakukan.
3)Organisasi mempertimbangkan potensi fraud dalam penilaian
risiko.
4)Organisasi mengidentifikasi dan menilai perubahan yang akan
memengaruhi sistem pengendalian internal secara signifikan.

3. Control Activities
Terdapat tiga prinsip dalam komponen ini yaitu:
1)Organisasi memilih dan mengembangkan aktivitas
pengendalian yang berkontribusi terhadap mitigasi risiko
sampai pada tingkat yang dapat diterima dalam rangka
pencapaian tujuan.
2)Organisasi memilih dan mengembangkan aktivitas
pengendalian secara umum terkait teknologi dalam
rangka pencapaian tujuan.
3)Organisasi menyebarkan aktivitas pengendalian melalui
kebijakan dan prosedur dalam pengimplementasiannya.

4. Information and communication

Terdapat tiga prinsip dalam komponen ini yaitu:
1)Organisasi memperoleh dan menggunakan informasi
yang berkualitas dan relevan dalam rangka mendukung
fungsi dari komponen lain dalam IC.
2)Organisasi secara internal mengomunikasikan informasi,
termasuk tujuan dan tanggung jawab IC dalam rangka
mendukung fungsi dari komponen lain dari IC.
3)Organisasi berkomunikasi dengan pihak eksternal terkait
hal yang mempengaruhi fungsi dari komponen lain
dalam IC.
5.

5.Internal Environment
Terdapat dua prinsip dalam komponen ini
yaitu:
1)Organisasi memilih, mengembangkan,
dan melaksanakan evaluasi berkelanjutan
dan/atau terpisah untuk memastikan
seluruh komponen IC ada dan berfungsi.
2)Organisasi mengevaluasi dan
mengomunikasikan defisiensi IC pada
pihak yang bertanggung jawab agar
diambil tindakan korektif.

COSO Interprise Risk Management (ERM) Framework

Pada tahun 2004, COSO mengembangkan internal control
integrated framework dengan menambahkan cakupan tentang
manajemen dan strategi risiko yang selanjutnya dikenal dengan
pendekatan enterprise risk management (ERM). Menurut kerangka
tersebut, pengendalian intern merupakan bagian integral dari
manajemen risiko.
Munculnya COSO ERM Framework muncul dikarenakan adanya
beberapa kelemahan dari COSO IC Framework, diantaranya :
1)Menguji pengendalian tanpa melihat pada tujuan dan risiko di
dalam proses bisnis dan hanya memberikan sedikit penjelasan
dalam evaluasi hasilnya.
2)Sulit untuk mengetahui sistem pengendalian yang mana yang
paling penting, apakah pengendalian yang dijalankan mampu
mengatasi risiko yang dihadapi dan apakah tidak ada pengendalianpengendalian yang penting.

Menurut COSO (2004) definisi Enterprise Risk

Management adalah proses, yang dipengaruhi
oleh dewan entitas direksi, managemen dan
personil lainnya, yang diterapkan adalah strategi
pengaturan dan seluruh perusahaan, yang
dirancang untuk mengidentifikasi kejadian
potensial yang dapat mempengaruhi entitas,
dan mengelola risiko berada dalam risk appetite
(selera terhadap risiko)-nya, untuk memberikan
keyakinan memadai tentang pencapaian tujuan
entitas.

Atas dasar definisi tersebut, kita dapat mensintesiskan Enterprise Risk

Management ke dalam beberapa konsep yang fundamental, antara
lain meliputi:
1)Suatu proses, yang berjalan dan mengalir di dalam suatu entitas atau
organisasi..
2)Diperngaruhi oleh individu pada semua tingkatan manajerial di dalam
organisasi.
3)Dapat dipergunakan untuk kepentingan formulasi strategi.
4)Dapat diaplikasikan pada semua tingaktan manajerial, unit bsinis,
termasuk penentuan portofolio risiko.
5)Dirancang untuk mengidentifikasikan peristiwa potensial, bilamana
terjadi, yang dapat mempengaruhi entitas dan mengelola risiko.
6)Mampu memberikan jaminan yang rasional bagi manajemen dan
diwan direksi suatu entitas.
7)Diarahkan untuk mewujudkan tujuan yang terpisah akan tetapi dalam
kategori yang tumpang tindih.

TERIMA KASIH