Embed Size (px)
DESCRIPTION
SPI
Citation preview
SISTEM PENGENDALIAN INTERNAL
RESUME MATERI :
PEMBANDINGAN RERANGKA PENGENDALIAN INTERNAL
DAN PENGENDALIAN SISTEM INFORMASI
Oleh:
Ni Luh Nyoman Sherina Devi (1506315016)
PROGRAM PENDIDIKAN PROFESI AKUNTANSI
PROGRAM PASCASARJANA
UNIVERSITAS UDAYANA
DENPASAR
2015
RESUME PERTEMUAN 3:
PEMBANDINGAN RERANGKA PENGENDALIAN INTERNAL
Pengendalian internal merupakan proses yang diterapkan untuk menyediakan keyakinan
yang memadai bahwa tujuan-tujuan pengendalian dapat dicapai. Kerangka kerja yang dapat
digunakan untuk mengembangkan pengendalian internal adalah COSO Internal Control-
Integrated Framework, COSO Enterprise Risk Management Framework, dan COBIT.
1. COSO Internal Control-Integrated Framework (COSO IC-IF)
Committee of Sponsoring Organizations of the Treadway Commission
(COSO) merupakan suatu inisiatif gabungan yang terdiri dari 5 (lima) organisasi
profesional dengan tujuan menyumbangkan pemikiran melalui pengembangan
kerangka dan panduan dalam manajemen risiko perusahaan, pengendalian internal,
dan mencegah terjadinya kerugian. Organisasi tersebut terdiri dari American
Accounting Association, the American Instititute of Certified Public Accountants, the
Institute of Internal Auditors, the Instititute of Management Accountants, dan
Financial Executives Institute.
COSO menerbitkan Internal Control-Integrated Framework pada tahun 1992
sebagai panduan kerangka pengendalian internal. COSO IC-IF memiliki lima
komponen utama, yaitu:
1) Lingkungan Pengendalian. Inti dari setiap bisnis adalah orang-orang
yang berada di dalamnya dan lingkungan di mana bisnis itu berada.
2) Aktivitas Pengendalian. Kebijakan dan prosedur pengendalian membantu
memastikan bahwa tindakan-tindakan yang diperlukan telah diidentifikasi
oleh manajemen untuk menangani risiko dan mencapai sasaran organisasi
secara efektif.
3) Penilaian Risiko. Organisasi harus mengidentifikasi, menganalisis, dan
mengelola risiko-risikonya, serta harus menetapkan sasaran.
4) Informasi dan Komunikasi. Sistem informasi dan komunikasi
menangkap dan mendistribusikan informasi yang diperlukan untuk
kegiatan operasional organisasi.
5) Monitoring. Seluruh proses harus dimonitor dan bila perlu dilakukan
modifikasi, sehingga sistem dapat berubah jika kondisinya memerlukan.
1
2. COSO Enterprise Risk Management (COSO ERM)
Pendekatan COSO Internal Control Framework menguji pengendalian tanpa
melihat pada tujuan dan risiko dalam proses bisnis dan hanya memberikan sedikit
penjelasan dalam evaluasi hasilnya. COSO Enterprise Risk Management
dikembangkan dengan maksud untuk meningkatkan proses-proses pengelolaan risiko
di dalamnya.
Kerangka pengendalian COSO ERM yang komprehensif menggunakan
pendekatan berbasis manajemen risiko, bukan pendekatan pengendalian. ERM
menambahkan tiga elemen tambahan di samping lima elemen pengendalian COSO
IC-IF, yaitu: penetapan sasaran, mengidentifikasi kejadian yang berdampak pada
perusahaan, dan mengembangkan respon terhadap risiko yang sedang dinilai. Dengan
demikian, pengendalian menjadi fleksibel dan relevan.
Berikut ini merupakan komponen pengendalian COSO ERM:
1) Lingkungan Internal (Internal Environment)
Lingkungan pengendalian berisi seperangkat standar, proses, prosedur, dan
struktur yang menjadi dasar bagi organisasi dalam melaksanakan
pengendalian internal. Elemen dasar dalam lingkungan pengendalian
terdiri dari:
a. Filosofi, Gaya Operasi, dan Risk Appetite dari Manajemen. Semakin
bertanggung jawab filosofi dan gaya operasi manajemen, dan semakin
jelas hal tersebut dikomunikasikan, maka makin besar kemungkinan
karyawan juga akan memiliki perilaku bertanggung jawab. Jika
manajemen hanya sedikit menaruh perhatian pada pengendalian
internal dan manajemen risiko, maka para karyawan akan semakin
tidak berhati-hati dalam mencapai sasaran pengendalian internal.
b. Dewan Direksi. Keterlibatan pemegang saham dan anggota independen
dalam jajaran dewan direksi akan memberi pandangan objektif bagi
manajemen dalam rangka menjalankan fungsi check and balance.
c. Komitmen terhadap Integritas, Nilai-nilai Etika, dan Kompetensi.
Budaya yang menekankan pada integritas dan komitmen terhadap
nilai-nilai etika dan kompetensi diperlukan bagi organisasi yang akan
berdampak pada setiap keputusan yang diambil dalam aktivitas
organisasi.
2
d. Struktur Organisasi. Struktur organisasi memberikan kerangka untuk
melakukan perencanaan, pelaksanaan strategi, pengendalian, dan
memonitor operasi perusahaan. Aspek penting dari struktur organisasi
mencakup otoritas, hubungan pelaporan, dasar pembentukan struktur,
alokasi tanggung jawab, serta ukuran dan sifat aktivitas perusahaan.
e. Metode Penetapan Otoritas dan Tanggung Jawab. Metode penetapan
ini sangat penting khususnya dalam mengidentifikasi siapa yang
bertanggungjawab terhadap keamanan informasi perusahaan.
f. Standar Kebijakan Sumber Daya Manusia. Kebijakan dan praktik
sumber daya manusia akan menentukan kondisi kerja, insentif
pekerjaan, dan kemajuan karir yang dapat menjadi alat yang berguna
untuk mendorong praktik kejujuran, efisiensi, dan kesetiaan.
g. Pengaruh Eksternal. Pengaruh eksternal termasuk ketentuan yang
diharuskan oleh otoritas bursa, penyusun standar akuntansi keuangan,
badan pengawas pasar modal, dan pemerintah.
2) Penetapan Sasaran Organisasi (Objective Setting)
Penentuan sasaran organisasi meliputi empat aspek berikut ini:
a. Sasaran strategis, merupakan sasaran tingkat tinggi yang sejalan
dengan visi dan misi perusahaan.
b. Sasaran operasi, terkait dengan efektivitas dan efisiensi kegiatan
operasional perusahaan dan alokasi sumber daya perusahaan.
c. Sasaran pelaporan, membantu memastikan akurasi, kelengkapan, dan
keandalan laporan perusahaan, meningkatkan pengambilan keputusan,
dan memonitor aktivitas dan kinerja perusahaan.
d. Sasaran kepatuhan, memastikan perusahaan mematuhi seluruh
peraturan dan hukum yang berlaku.
3) Identifikasi Risiko (Risk Identification)
COSO mengidentifikan kejadian (event) sebagai “kejadian atau insiden
yang berasal dari sumber internal atau eksternal yang mempengaruhi
implementasi strategi atau pencapaian sasaran. Manajemen harus mencoba
untuk mengantisipasi semua kejadian positif dan negatif, menentukan
mana yang paling mungkin terjadi dan yang paling kecil kemungkinannya
terjadi dan memahami hubungan antar kejadian.
3
4) Penilaian Risiko (Risk Assessment)
Risiko merupakan kemungkinan bahwa suatu kejadian akan terjadi dan
berdampak negatif terhadap pencapaian sasaran organisasi. Risiko melekat
(inherent risk) muncul sebelum manajemen melakukan langkah apapun
untuk mengendalikan kemungkinan atau dampak suatu kejadian. Risiko
residual (residual risk) merupakan apa yang terjadi setelah manajemen
menerapkan pengendalian internal atau respon risiko lainnya. Manajemen
dapat merespon risiko dengan menerapkan salah satu dari empat cara yaitu
mengurangi, menerima, membagi, dan menghindar.
5) Aktivitas Pengendalian (Control Activities)
Aktivitas pengendalian merupakan kebijakan dan prosedur yang
memberikan keyakinan yang memadai bahwa sasaran pengendalian dapat
dipenuhi dan respon terhadap risiko telah dijalankan. Prosedur aktivitas
pengendalian terdiri dati tujuh kategori berikut:
a. Otorisasi atas transaksi dan aktivitas secara memadai;
b. Pemisahan tugas;
c. Pengendalian atas pengembangan proyek dan akuisisi;
d. Pengendalian atas manajemen perubahan;
e. Perancangan dan penggunaan dokumen dan catatan-catatan;
f. Perlindungan atas aset, catatan, dan data, dan
g. Pemeriksaan dan pengerjaan secara independen.
6) Informasi dan Komunikasi (Information and Communication)
Hal ini terkait langsung dengan tujuan utama sistem informasi akuntansi
yaitu untuk mendapatkan, mencatat, memproses, menyimpan,
mengikhtisarkan, dan mengkomunikasikan informasi mengenai suatu
organisasi.
7) Pemantauan (Monitoring)
ERM harus dimonitor secara berkala dan dimodifikasi bila diperlukan, dan
kekurangan yang ditemukan harus dilaporkan kepada manajemen. Metode
utama dalam memonitor kinerja terdiri dari:
a. Melaksanakan evaluasi atas ERM
b. Menerapkan supervisi yang efektif
c. Menggunakan sistem akuntansi pertanggungjawaban
4
d. Memonitor aktivitas sistem
e. Melacak pembelian piranti lunak dan piranti mobile
f. Melakukan audit secara berkala
g. Mempekerjakan pegawai khusus yang menangani keamanan computer
dan memiliki Chief Compliance Officer
h. Menugaskan spesialis/ahli forensik
i. Memasang piranti lunak yang mampu mendeteksi kecurangan
j. Membuka fraud hotline
3. Control Objectives for Information and Related Technology (COBIT)
Control Objectives for Information and Related Technology (COBIT) yang
dikembangkan oleh Information System Audit and Control Association (ISACA)
merupakan kerangka yang menyusun standar pengendalian dari 36 sumber yang
berbeda ke dalam satu kerangka tunggal, yang memungkinkan untuk (1) menjadi
acuan bagi manajemen untuk melakukan praktik pengamanan dan pengendalian dari
lingkungan teknologi informasi (TI), (2) digunakan oleh pengguna untuk memastikan
terdapat pengaman dan pengendalian TI yang memadai, dan (3) digunakan oleh
auditor untuk menghasilkan opini audit serta untuk memberikan masukan-masukan
dalam hal yang terkait dengan keamanan dan pengendalian TI.
Kerangka pengendalian COBIT menekankan tugas aspek penting berikut:
1) Sasaran bisnis. Informasi harus sesuai dengan tujuh kategori kriteria
pengendalian yang ditetapkan oleh COSO;
2) Sumber daya TI. Hal ini mencakup orang, sistem aplikasi, teknologi,
fasilitas, dan data;
3) Proses TI. Terbagi ke dalam empat aspek, yaitu perencanaan dan
organisasi, akuisisi dan implementasi, pelaksanaan dan dukungan, serta
monitoring dan evaluasi.
Tujuh kriteria utama dalam kerangka pengendalian COBIT yaitu:
1) Efektivitas – informasi harus relevan dan tepat waktu
2) Efisiensi – informasi harus dihasilkan dengan cara yang paling hemat
biaya
3) Kerahasiaan – informasi sensitif harus dilindungi dari pengungkapan
informasi yang tidak sah
4) Integritas – informasi harus akurat, lengkap, dan valid
5
5) Ketersediaan – informasi harus tersedia kapanpun diperlukan
6) Kepatuhan – pengendalian harus memastikan kepatuhan dengan kebijakan
internal dan dengan ketentuan hukum dan perundang-undangan
7) Keandalan – manajemen harus memiliki akses ke dalam informasi yang
diperlukan untuk melakukan aktivitas sehari-hari untuk menjalankan
amanahnya dan tanggung jawab tata kelola.
Berdasarkan kerangka pengendalian COBIT, proses TI umum yang harus
dikelola dan dikendalikan dengan baik dalam rangka menghasilkan informasi
yang memenuhi tujuh kriteria tersebut dikelompokkan ke dalam empat
aktivitas manajemen berikut:
1) Perencanaan dan organisasi (plan and organizes)
2) Perolehan dan implementasi (acquire and implement)
3) Pelaksanaan dan dukungan (delivery and support)
4) Monitor dan evaluasi
6
RESUME PERTEMUAN 4:
PENGENDALIAN SISTEM INFORMASI
1. Pengendalian Preventif, Korektif, dan Detektif
1.1. Pengendalian Preventif
Pengendalian ini bertujuan untuk mencegah agar masalah tidak terjadi. Organisasi
biasanya membatasi akses terhadap sumber-sumber daya informasi sebagai
pengendalian preventif atas keamanan teknologi informasi (TI). Lebih spesifiknya,
contoh tindakan preventif yang dapat dilakukan dalam rangka mengendalikan
keamanan sumber TI adalah:
- Pelatihan
- Kendali atas akses para pengguna (autentifikasi dan otorisasi)
- Kendali atas akses fisik
- Kendali atas akses jaringan
- Kendali atas piranti keras dan piranti lunak
1.2. Pengendalian Korektif
Pengendalian ini bertujuan untuk mengidentifikasi dan menyelesaikan masalah maupun
memperbaiki keadaan ketika masalah telah terjadi. Pengendalian korektif lebih banyak
mengandalkan penilaian manusia. Konsekuensinya adalah efektivitasnya tergantung
pada sejauh mana perencanaan dan persiapan sudah dilakukan. Oleh karenanya,
karakteristik insiden keamanan harus diidentifikasikan dan dikomunikasikan supaya
dapat memfasilitasi klasifikasi dan perlakuan yang tepat.
1.3. Pengendalian Detektif
Pengendalian ini bertujuan untuk menemukan masalah yang timbul ketika masalah ini
belum dapat dicegah untuk terjadi. Pengendalian detektif meningkatkan keamanan
dengan cara memonitor efektivitas pengendalian preventif dan mendeteksi insiden yang
berhasil ditangani oleh pengendalian preventif. Pengendalian detektif berkaitan dengan
pengendalian sistem informasi antara lain:
- Analisis log : log atau catatan berisikan siapa saja yang mengakses sistem dan
tindakan spesifik yang dilakukan pengguna sistem, sehingga dapat membentuk jejak
audit atas akses sistem.
- Intrusion Detection System (IDS) : IDS berisi seperangkat sensor dan unit
monitoring pusat yang menghasilkan catatan trafik jaringan yang telah diizinkan
7
untuk melewati firewall dan kemudian menganalisis catatan tersebut untuk
mendeteksi adanya tanda-tanda usaha untuk melakukan intruksi/gangguan atau
gangguan yang sudah terjadi.
- Laporan manajemen : Kerangka COBIT memberikan panduan bagi manajemen
untuk mengidentifikasi factor kunci keusuksesan yang terkait dengan setiap tujuan
pengendalian dan menyarankan indikator kinerja kunci yang dapat digunakan oleh
manajemen dalam memonitor dan menilai efektivitas pengendalian.
- Pengujian keamanan : COBIT control objective DS 5.5 mencatat perlunya dilakukan
pengujian secara berkala atas efektivitas prosedur pengamanan yang saat ini sudah
ada. Salah satunya adalah dengan menggunakan vulnerability scanner untuk
mengidentifikasi potensi kelemahan dalam konfigurasi system.
2. Pengendalian Umum dan Aplikasi
2.1. Pengendalian Umum
Merupakan pengendalian yang dijalankan untuk memastikan bahwa lingkungan
pengendalian pada tingkat organisasi berada pada keadaan yang stabil dan dikelola
dengan baik, misalnya keamanan, infrastruktur teknologi informasi, pembelian
perangkat lunak, pengembangan, serta perawatan. Secara sederhana, pengendalian
umum adalah semua bentuk pengendalian yang tidak terkait langsung dengan aplikasi
komputer. Pengendalian umum meliputi:
1) Pengendalian organisasi. Struktur organisasi yang dirancang sedemikian rupa
sehingga menghasilkan organisasi independen akan memisahkan wewenang dan
tanggung jawab (pemisahan tugas) serta menciptakan pengendalian melalui
monitoring.
2) Pengendalian dokumentasi. Dokumentasi yang baik berguna untuk efisiensi dalam
memperbaiki bug system, pengembangan tambahan aplikasi baru, serta untuk
pelatihan karyawan dalam mengenalkan sistem aplikasi.
3) Pengendalian akuntanbilitas aset. Pengendalian ini dapat dilakukan dengan cara
penggunaan buku pembantu dalam catatan akuntansi dan rekonsiliasi atas catatan
dengan perhitungan fisik aset.
4) Pengendalian praktik manajemen. Pengendalian ini meliputi kebijakan dan praktik
sumber daya manusia, komitmen terhadap kompetensi, praktik perencanaan, audit,
dan pengendalian pengembangan sistem aplikasi (prosedur perubahan sistem dan
prosedur pengembangan sistem baru)
8
5) Pengendalian operasi pusat informasi
6) Pengendalian otorisasi.
7) Pengendalian akses.
2.2. Pengendalian Aplikasi
Pengendalian ini dijalankan untuk memastikan bahwa transaksi diproses secara benar,
hal menjadi fokus dalam pengendalian ini adalah: keakuratan, kelengkapan, validitas,
dan otorisasi dari data yang direkam, dimasukkan, diproses, dan dikirimkan ke sistem
yang lain maupun yang dilaporkan. Secara sederhana, pengendalian aplikasi adalah
semua pengendalian yang terkait dengan aplikasi (piranti lunak) tertentu. Pengendalian
aplikasi meliputi:
1) Pengendalian Masukan. Pengendalian aplikasi input yang lazim diterapkandalam
suatu peranti lunak antara lain: otoritas, approval (persetujuan), menandai
dokumen, pengecekan format, pengecekan kelengkapan user, test reasonableness,
validity cek, readback, dan batch control total.
2) Pengendalian Proses. Pengendalian proses adalah pengendalian intern untuk
mendeteksi jangan sampai data menjadi salah karena adalanya kesalahan proses.
Kemungkinan yang paling besar untuk menimbulkan terjadinya eror adalah
kesalahan logika program, salah rumus, salah urutan program, ketidakterpaduan
antara subsistem ataupun keslahan teknik lainnya.
3) Pengendalian Keluaran. Pengendalian keluaran adalah pengendalian intern untuk
mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap,
tidak mutakhir datanya, atau didistribusikan kepada orang-orang yang tidak berhak.
3. Kerahasiaan dan Privasi
Organisasi harus melindungi informasi yang sensitif seperti rencana strategis, rahasia
dagang, informasi biaya, dokumen-dokumen hukum dan perbaikan proses. Tindakan
yang harus dilakukan untuk melindungi kerahasiaan informasi sensitif perusahan antara
lain:
1) Indentifikasi dan klasifikasi informasi yang harus dilindungi
2) Melindungi kerahasiaan dengan enksripsi
3) Pengendalian akses terhadap informasi yang sensitif
4) Pelatihan
Langkah pertama dalam melindungan privasi informasi personal yang didapatkan dari
pelanggan adalah untuk mengidentifikasi informasi apa yang didapatkan, di mana
9
disimpan informasi tersebut dan siapa saja yang boleh mengakses informasi tersebut.
Dua fokus utama dalam perlindungan atas privasi data terkait pelanggan adalah spam
dan pencurian identitas.
4. Integritas dan Keandalan Proses
Prinsip kerangka privasi The Trust Service terkarit erat dengan prinsip kerahasiaan,
namun perbedaan mendasarnya adalah privasi lebih menekankan pada perlindungan
atas informasi personal mengenai pelanggan daripada data organisasi. Akibatnya,
pengendalian yang perlu diterapkan untuk melindungi privasi adalah perlindungan yang
sama seperti perlindungan atas kerahasiaan, yaitu: identifikasi informasi yang harus
dilindungi, enkripsi, kendali atas akses dan pelatihan.
10
