Elemen Pengendalian Internal (versi) COBIT

Definisi Pengendalian Internal menurut COBIT

COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”. Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control objective)dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.

Ringkasan Konsep Pengendalian Internal COBIT dilihat dari berbagai sudut pandang

Pengguna Utama

COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :

·    Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.

·      User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT  yang disediakan oleh pihak internal atau pihak ketiga.

·   Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.

Tujuan Pengendalian Internal bagi Organisasi

Operasi yang efektif dan efisien

Keefektifan berkenaan dengan informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten, dan bermanfaat. Sedangkan keefisienan berkaitan dengan penyediaan informasi melalui sumber daya (yang paling produktif dan ekonomis) yang optimal.

Kerahasiaan

Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak berwenang.

Integritas

Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai nilai-nilai dan harapan bisnis.

Ketersedian Informasi

Berkaitan dengan informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik sekarang maupun di masa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang perlu dan kemampuan yang terkait.

Pelaporan keuangan yang handal

Berkaitan dengan pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan juga pemenuhan kewajiban mereka untuk membuat pelaporan keuangan.

Ketaatan terhadap ketentuan hukum dan peraturan

Terkait dengan pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian kontrak, dimana dalam hal ini proses bisnis dipandang sebagai suatu subjek.

Domain

1.       Planning and organization

Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya.

2.       Acquisition dan implementation

Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sisteem ini.

3.       Delivery and Support

Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.

4.       Monitoring

Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber anternatif lainnya.

http://billymerkava.blogspot.co.id/2013/01/apa-yang-anda-ketahui-mengenai-cobit.html

Pengendalian Internal (vesi) COSO

Definisi internal control menurut COSO

Internal Control menurut COSO adalah suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:

§  Efektifitas dan efisiensi operasional

§  Reliabilitas pelaporan keuangan

§  Kepatuhan atas hukum dan peraturan yang berlaku

Pengendalian intern terdiri dari lima komponen yang saling berkaitan sebagai berikut:

§  Lingkungan Pengendalian

Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi kesadaran pengendalian orang-orangnya. Lingkungan pengendalian merupakan dasar untuk semua komponen pengendalian intern, menyediakan disiplin dan struktur. Lingkungan pengendalian menyediakan arahan bagi organisasi dan mempengaruhi kesadaran pengendalian dari orang-orang yang ada di dalam organisasi tersebut. Beberapa faktor yang berpengaruh di dalam lingkungan pengendalian antara lain integritas dan nilai etik, komitmen terhadap kompetensi, dewan direksi dan komite audit, gaya manajemen dan gaya operasi, struktur organisasi, pemberian wewenang dan tanggung jawab, praktik dan kebijkan SDM. Auditor harus memperoleh pengetahuan memadai tentang lingkungan pengendalian untuk memahami sikap, kesadaran, dan tindakan manajemen, dan dewan komisaris terhadap lingkungan pengendalian intern, dengan mempertimbangkan baik substansi pengendalian maupun dampaknya secarakolektif.

§  Penaksiran Risiko

Penaksiran risiko adalah identifikasi entitas dan analisis terhadap risiko yang relevanuntuk

mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana risiko harus dikelola. Penentuan risiko tujuan laporan keuangan adalah identifkasi organisasi, analisis, dan manajemen risiko yang berkaitan dengan pembuatan laporan keuangan yang disajikan sesuai dengan PABU. Manajemen risiko menganalisis hubungan risiko asersi spesifik laporan keuangan dengan aktivitas seperti pencatatan, pemrosesan, pengikhtisaran, dan pelaporan data-data keuangan. Risiko yang relevan dengan pelaporan keuangan mencakup peristiwa dan keadaan intern maupun ekstern yang dapat terjadi dan secara negatif mempengaruhi kemampuan entitas untuk mencatat, mengolah, meringkas, dan melaporkan data keuangan konsisten dengan asersi manajemen dalam laporan keuangan. Risiko dapat timbul atau berubah karena berbagai keadaan, antara lain perubahan dalam lingkungan operasi, personel baru, sistem informasi yang baru atau yang diperbaiki, teknologi baru, lini produk, produk, atau aktivitas baru, restrukturisasi korporasi, operasi luar negeri, dan standar akuntansi baru.

§  Aktivitas Pengendalian

Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin bahwaarahan manajemen dilaksanakan. Aktivitas tersebut membantu memastikan bahwa tindakan yang diperlukan untuk menanggulangi risiko dalam pencapaian tujuan entitas. Aktivitas pengendalian memiliki berbagai tujuan dan diterapkan di berbagai tingkat organisasi dan fungsi. Umumnya aktivitas pengendalian yang mungkin relevan dengan audit dapat digolongkan sebagai kebijakan dan prosedur yang berkaitan dengan review terhadap kinerja, pengolahan informasi, pengendalian fisik, dan pemisahan tugas. Aktivitas pengendalian dapat dikategorikan sebagai berikut.

1.      a) Pengendalian Pemrosesan Informasi

§  pengendalian umum

§  pengendalian aplikasi

§  otorisasi yang tepat

§  pencatatan dan dokumentasi

§  pemeriksaan independen

1.      b) Pemisahan tugas

2.      c) Pengendalian fisik

3.      d) Telaah kinerja

§  Informasi Dan Komunikasi

Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran informasi dalam suatu bentuk dan waktu yang memungkinkan orang melaksanakan tanggung jawab mereka. Sistem informasi yang relevan dalam pelaporan keuangan yang meliputi sistem akuntansi yang berisi metode untuk mengidentifikasikan, menggabungkan, menganalisa, mengklasikasi, mencatat, dan melaporkan transaksi serta menjaga akuntabilitas asset dan kewajiban. Komunikasi meliputi penyediaan deskripsi tugas individu dan tanggung jawab berkaitan dengan struktur pengendalian intern dalam pelaporan keuangan. Auditor harus memperoleh pengetahuan memadai tentang sistem informasi yang relevan dengan pelaporan

keuangan untuk memahami :

a) Golongan transaksi dalam operasi entitas yang signifikan bagi laporan keuangan

b) Bagaimana transaksi tersebut dimulai

c) Catatan akuntansi, informasi pendukung, dan akun tertentu dalam laporan keuangan yang tercakup dalam   pengolahan dan pelaporan transaksi

d) Pengolahan akuntansi yang dicakup sejak saat transaksi dimulai sampai dengan dimasukkan ke dalam laporan keuangan, termasuk alat elektronik yang digunakan untuk mengirim, memproses, memelihara, dan mengakses informasi.

§  Pemantauan / Monitoring

Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian intern sepanjang waktu. Pemantauan mencakup penentuan desain dan operasi pengendalian tepat waktu dan pengambilan tindakan koreksi. Proses ini dilaksanakan melalui kegiatan yang berlangsung secara terus menerus, evaluasi secara terpisah, atau dengan berbagai kombinasi dari keduanya. Di berbagai entitas, auditor intern atau personel yang melakukan pekerjaan serupa memberikan kontribusi dalam memantau aktivitas entitas. Aktivitas pemantauan dapat mencakup penggunaan informasi dan komunikasi dengan pihak luar seperti keluhan pelanggan dan respon dari badan pengatur yang dapat memberikan petunjuk tentang masalah atau bidang yang memerlukan perbaikan. Komponen pengendalian intern tersebut berlaku dalam audit setiap entitas. Komponen tersebut harus dipertimbangkan dalam hubungannya dengan ukuran entitas, karakteristik kepemilikan dan organisasi entitas, sifat bisnis entitas, keberagaman dan kompleksitas operasi entitas, metode yang digunakan oleh entitas untuk mengirimkan, mengolah, memelihara, dan mengakses informasi, serta penerapan persyaratan hukum dan peraturan

Fokus Internal Coso:

1.      Fokus Pengguna Utama adalah manajemen.

2.      Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.

3.      Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku.

4.      Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.

5.      Fokus pengendalian dari eSAC adalah keseluruhan entitas.

6.      Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu.

7.      Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada manajemen.

kelemahan pengendalian internal menurut COSO :

 Aktifitas pengendalian, sebagai komponen kerja dari struktur pengendalian internal COSO membahas pengendalian dari sisi pelaporan keuangan dan sisi sistem informasi (pengendalian umum dan pengendalian aplikasi)

https://rumahsemesta22.wordpress.com/2014/11/18/pengendalian-internal-menurut-coso-tugas-ke-1/

COBIT

COBIT

Cobit  adalah Control – Objectives for Information and related technology yang merupakan audit sitem informasi dan dasar pengendalian yang di buat oleh ISACA Information System Auditand ITGI pada tahun 1992 . Cobit di dasari oleh analisis dan harmonisasi dari standar teknologi informasi dan best practices yang ada serta sesuai dengan prinsip governance yang di terima secara umum.
      Untuk mencapai kesalarasan dari best practices terhadap kebutuhan bisnis, sangat di sarankan agar menggunakan COBIT pada highest level, menyediakan control framework berdasarkan model proses teknologi informasi yang seharusnya cocok.

COBIT framework

Kerangka kerja Cobit terdiri dari beberapa guidelines, yaitu :

·         Control Objectives

Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang tercermin dalam 4 domain, yaitu : planning & organization, acquisition & implementation, delivery & support, dan monitoring.

·         Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed control objectives) untuk membantu para auditor dalam memberikan management assurance atau saran perbaikan.

·         Management Guidelines

Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang mesti dilakukan, seperti : apa saja indicator untuk suatu kinerja yang bagus, apa saja resiko yang timbul, dan lain-lain.

·         Maturity Models 

       Untuk memetakan status maturity proses-proses IT (dalam skala 0 – 5).

http://irmaseptyani.blogspot.co.id/2013/01/coso-dan-cobit_1029.html

About COSO

COSO
Coso merupakan kepanjangan dari Committee Of Sponsoring Organizations of the Treadway Comission. Yang artinya, Komite Organisasi komisi sponsor treadway.
Sejarahnya, coso di kaitan dengan FCPA yang di keluarkan pada tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika pada saat itu. Coso adalah suatu inisiatif dari sector swasta yang di bentuk pada tahun 1985. Misi utama coso adalah memperbaiki/meningkatkan kualitas laporan keuangan entilitas melalui etika bisnis, pengendalian internal yang efektif dan cooperate governance. Naah, coso ini sendiri merupakan inisiatif dari sektor swasta.

            Sector swasta inilah yang membentuk “The Treadway Commission”. (Treadway itu sendiri diambil dari nama ketua pertamanya James C. Treadway J). Komisi ini disponsori oleh 5 professional association yaitu: AICPA, AAA, FEI, IIA,IMA. Komisi ini mengeluarkan report pertamanya pada tahun 1987, isinya: merekomendasikan report komprehensif tentanng: Internal Control. Kemudian, pada tahun 1992, Cooper & Lybrand mengeluarkan report itu pada tahun 1994 dengan judul “ internal Control – Integrated Framework”.

Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:

·         Control Environment

·         Risk Assessment

·         Control Activities

·         Information and communication 

·         Internal Environment 

            Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:

·         Internal Environment

·         Objective Setting

·         Event Identification

·         Risk Assessment

·         Risk Response

·         Control Activities

·         Information and Communication

·         Monitoring  

http://irmaseptyani.blogspot.co.id/2013/01/coso-dan-cobit_1029.html

Hambatan Pasif

Hambatan pasif

Hambatan pasif adalah hambatan yang disebabkan secara tidak sengaja. Contoh ancaman pasif adalah sistim bermasalah, seperti karena bencana alam. Sistem bermasalah juga karena kegagalan-kegagalan peralatan dan komponen. Berbeda dengan hambatan aktif yang secara sengaja menghambat sistem, hambatan pasif biasanya diakibatkan oleh ketidaksengajaan atau tidak direncanakannya hambatan tersebut. hambatan pasif mencakup kesalahan-kesalahan system, termasuk gangguan alam, seperti gempa bumi, banjir, kebakaran, dan badai. Kesalahan system mewakili kegagalan peralatan komponen seperti kelemahan disk, kekurangan tenaga, dan sebagainya. Untuk mencegah hal-hal yang tidak diinginkan padahambatan pasif yaitu pada perangkat keras dapat dilakukan dengan cara full backup data.

·         Kegagalan Sistem

Kegagalan sistem ini terdiri dari antara lain:

1.      Gangguan listrik

2.      Kegagalan peralatan

3.      Kegagalan fungsi perangkat lunak

·         Kesalahan Manusia

Hambatan pasif yang disebabkan oleh kegagalan manusia yaitu antara lain :

1.      Kesalahan pemasukan data

2.      Kesalahan penghapusan data

3.      Kesalahan operator (kesalahan memberikan label pada pita magnetik)

·         Bencana Alam

Hambatan pasif yang terjadi karena bencana alam memang tidaklah bisa dihindari dan diduga karena bisa saja terjadi sewaktu-waktu tanpa kita sadari. Contohnya yaitu :

1.      Gempa Bumi

2.      Banjir

3.      Kebakaran

4.      Perang dsb

https://yunizainisyah.wordpress.com/tugas/sistem-informasi-akuntansi/2-1-hambatan-pasif-dan-contohnya/

Hambatan Aktif

Hambatan Aktif

Hambatan adalah eksploitasi potensial dari kerentanan.Hambatan  aktif mencakup kecurangan sistem informasi dan sabotase komputer.

Metode yang dapat digunakan dalam melakukan kecurangan sistem informasi:

·         Manipulasi input

Manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpamemiliki pengetahuan mengenai cara operasi sistem komputer.

·         Mengubah program

Merubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karenadibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas.Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapatdigunakan untuk mendeteksi adanya perubahan dalam program

·         Mengubah file secara langsung

Dalam nenerapa kasus, individu-individu tertentu menemukan cara untuk memotong

(bypass) proses normal untuk menginputkan data ke dalam program computer. Jika hal ituterjadi, hasil yang dituai adalah bencana

·         Pencurian data

Sejumlah informasi ditransmisikan antarperusahaan melalui internet. Informasi ini rentanterhadap pencurian pada saat transmisi. Informasi bisa saja disadap. Ada juga kemungkinanuntuk mencuri disket atau CD dengan cara menyembunyikan disket atau CD ke dalamkantong atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukkan ke dalam kotak sampah.

·         Sabotase

Seorang penyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit danmembingungkan untuk diungkapkan. Penyusup mengubah database akuntansi dan kemudian mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadapharddisk atau media lain.

http://mymuse7.blogspot.co.id/2014/11/hambatan-aktif-dan-contohnya.html