Aspek Pada Management Control Framework dan Contohnya

Aspek Management Control Framework

1. Planning and Organization
2. Acquisition and Implementation
3. Delivery and Support
4. Monitoring

Application control framework

Boundary controls

A. Cryptographic control

• Transposition ciphers: menggunakan permutasi urutan karakter dari sederet string
• Subtitution ciphers: mengganti karakter dengan karakter lain sesuai aturan tertentu
• Product ciphers: kombinasi transposition dan subtitution ciphers

B. Access control

• Acccess controls yang digunakan dan kemungkinan masalahnya
• Ukuran proteksi yang ditekankan pada mekanisme access controls
• Apakah organisasi menggunakan access controls yang disediakan dalam paket perangkat lunak

C. Personal Identification Numbers (PIN)

• Generasi PIN
• Penerbitan dan penyampaian PIN kepada pengguna
• Validasi PIN
• Transmisi PIN di seluruh jalur komunikasi
• Pemrosesan PIN
• Penyimpanan PIN
• Perubahan PIN
• Penggantian PIN
• Penghentian PIN

D. Digital signature

pengujian sistem manajemen yang digunakan untuk mengelola tanda tangan digital, penggunaan dan penyebarannya


E. Plastic cards

• Pengajuan kartu
• Persiapan kartu
• Penerbitan kartu
• Penggunaan kartu
• Pengembalian/ penghancuran kartu

Sumber :
https://faizulhamdi.wordpress.com/2013/10/28/application-control-framework/

Kendali Internal, Ruang Lingkup Kendali Internal & Sistem Kendali Internal, Control Objectives, Control Risks, Management Control Framework & Application Control Framework, Corporate IT Governance

A. Kontrol Internal, Ruang Lingkup Kontrol internal & Sistem Kontrol Internal

     - Pengendalian intern (internal control) adalah untuk membantu manajemen dengan tujuan tercapainya mekanisme kerja yang lebih efisien dan efektif. Struktur pengendalian intern sebagai suatu tipe pengawasan diperlukan karena adanya keharusan untuk mendelegasikan wewenang dan tanggung jawab dalam suatu organisasi.

     - Ruang lingkup audit sistem informasi dibatasi pada pengendalian internal, sementara ruang lingkup audit operasional lebih luas, melintasi seluruh aspek manajemen sistem informasi.

Prosedur pengumpulan buktinya ?

1. Mengamati fungsi – fungsi dan kegiatan operasional.

2. Memeriksa rencana dan laporan keuangan serta operasional

3. Menguji akurasi informasi operasional

4. Menguji pengendalian

- Control is a system that prevents, detects, or corects unlawful events

1. A system : komponen-komponen yang saling berkaitan untuk

mencapai tujuan bersama

Evaluasi terhadap kontrol harus mempertimbangkan

keterkaitannya dari perspektif sistem (= IS / organization

perspective)

2. Focus on unlawful events (=kejadian tdk sah/tdk benar).

Unlawful events : unauthorized, inaccurate, incomplete,

redundant, ineffective, or inefficient input enters the system

3. Controls are used to prevents, detects, or corects unlawful

events.

Untuk mengurangi kerugian yang mungkin terjadi karena

kemunculan unlawful events dalam sistem.

B. Control Objectives, Control Risk

- Control objectives ialah sekumpulan best practices (framework) untukmanajemen IT, berupa sekumpulan ukuran, indikator, proses dan best practives untuk memaksimalkan manfaat penggunaan IT, dan melakukan tata kelola serta kontrol IT dalam perusahaan

- Control Risk audit sistem informasi tidak dapat mendeteksi kelemahan kendali

C.Management Control Framework & Application Control Framework

    Management control adalah melindungi terhadap akses tidak sah atau kerusakan data & memadai backup data. Adapun control tersebut meliputi kontrol terhadap:

1. access – encryption, user authorization tables, inference controls and biometric devices are a few examples

2. backup – grandfather-father-son and direct access backup; recovery procedures

     Application control adalah sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan.

Tujuan pengendalian aplikasi :

1. Input data akurat, lengkap, terotorisasi dan benar

2. Data diproses sebagaimana mestinya dalam periode waktu yang tepat

3. Data disimpan secara tepat dan lengkap

4. Output yang dihasilkan akurat dan lengkap

5. Adanya catatan mengenai pemrosesan data dari input sampai menjadi output

D. Corporate IT Governance

     IT Governance adalah tanggung jawab dewan direksi dan manajemen eksekutif dan merupakan bagian integral dari tata kelola perusahaan. IT governance terdiri dari kepemimpinan dan organisasi struktur dan proses yang memastikan bahwa organisasi IT ini menopang dalam arti luas strategi dan tujuan organisasi.

Sumber :

https://xmeizafitrianax.wordpress.com/2010/10/30/auditor-internal-perusahaan-dan-sistem-pengendalian-internal/

Konsep Dasar Kontrol dan Audit SI, Prinsip Dasar Proses Audit SI, Standar Panduan Audit SI

A. Konsep Dasar Kontrol dan Audit Sistem Informasi

Audit sistem informasi berbasis kendali merupakan  suatu sistem yang mencegah, mendeteksi atau memperbaiki kejadian yang tidak dibenarkan (unlawfulevents) seperti: unautorized (tidak nyambung), innacurrete(kurang baik), incomplete(tidak komplet/tidak sesuai), redundant(mubazir), ineffective, ineffeicient event.tujuanya yaitu untuk mengurangi kesalahan yang mungkin terjadi dari kejadian yang dibenarkan.

Berdasarkan standar manajemen yang dikeluarkan  oleh Internasional Standar Organization (ISO) yaitu ISO 9001-2000, penilaian kondisi sistem mutu mempunyai 4 skala yaitu:

• P (Poor) yaitu sistem mutu praktis belum terbentuk. Disarankan untuk meninjau ulang keseluruhan proses.
• W (Weak) yaitu masih banyak elemen sistem manajemen mutu yang tidak sesuai standar.
• F (Fair) yaitu beberapa elemen sistem telah sesuai standar tetapi masih ada yang belum sesuai bahkan tidak ada sama sekali.
• S (Strong) yaitu Sebagian besar persyaratan ISO 9001-2000 telah dapat dipenuhi oleh sistem.

B. Prinsip – prinsip Dasar Proses Audit SI

1. Audit dititik beratkan pada objek audit yang mempunyai peluang untuk diperbaiki.
2. Prasyarat Penilaian terhadap kegiatan objek audit.
3. Pengungkapan dalam laporan adanya temuan-temuan yang bersifat positif.
4. Identifikasi individu yang bertanggung jawab terhadap kekurangan-kekurangan yang terjadi.
5. Penentuan tindakan terhadap petugas yang seharusnya bertanggung jawab.
6. Pelanggaran hukum.
7. Penyelidikan dan pencegahan kecurangan.

C. Standar dan Panduan Audit SI

Panduan yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian intern (internal controls model/framework) lazimnya adalah COBIT. Audit objectives dalam audit terhadap

IT governance (menurut COBIT adalah: effectiveness, confidentiality, data integrity, availability, efficiency, dan realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu sendiri. Karena itu istilah audit arround the computer dan audit through the computer tidak relevan lagi di sini.

Standar Audit SI ada 3, yaitu :

1. ISACA
2. COBIT
3. ISO 1799

sumber : http://muhammadadlins.blogspot.com/2019/10/konsep-dasar-kontrol-audit-si-prinsip.htm

Kelebihan & Kekurangan Standart Audit SI

Berikut ini adalah beberapa kelebihan dan kekurangan dari standart audit SI

ITIL (Information Technology Infrastructure Library)
Kelebihan	Kekurangan
· Bukan merupakan standard yang memberikan prescription tetapi lebih kepada merekomendasikan, oleh karena itu implementasi antara satu organisasi dengan organisasi lain dapat dipastikan terdapat perbedaan. Dengan demikian kita tidak bisa membandingkan / melakukan benchmark secara pasti. · Memberi deskripsi rinci sejumlah praktik penting TI dan menyediakan daftar komprehensif tugas dan prosedur	· Buku-buku ITIL sulit terjangkau bagi pengguna non komersial, ITIL bersifat holistic yang mencakup semua kerangka kerja untuk tatakelola TI, pelaksanaan pedoman dalam buku ITIL memerlukan pelatihan khusus dan biaya pelatihan atau sertifikasi ITIL terlalu tinggi.

ISO/IEC 38500
Kelebihan	Kekurangan
·  Menjamin akuntabilitas  diberikan untuk semua Resiko IT dan aktivitasnya · Memberikan panduan kepada advisor perusahaan	· Tidak cocok digunakan sebagai IT management framework

COBIT
Kelebihan	Kekurangan
·        Rahasia ·        Integritas ·       Dapat memberi proteksi terhadap informasi yang sensitive dari akses orang tidak bertanggung jawab	· Cobit hanya berfokus pada kendali dan pengukuran ·  Cobit hanya memberikan panduan kendali dan tidak memberikan panduan implementasi operasional

Sumber : http://evangelino.weebly.com/blog/tugas-2-manajemen-layanan-sistem-informasi-perbandingan-framework

Lembaga Audit Sistem Informasi Di Indonesia

Lembaga Audit Sistem Informasi yang ada di Indonesia.

Di Indonesia ada banyak lembaga audit Sistem Infomasi, berikut ini saya mencantumkan beberapa contoh lembaga audit sistem informasi yang ada di Indonesia.

·        Lembaga Pengembangan Auditor Internal (LPAI)

LPAI (Lembaga Pengembangan Auditor Internal) adalah lembaga yang concern terhadap pengembangan SDM bidang audit internal. Sebagai salah satu divisi training dari Proesdeem Indonesia - lembaga konsultan manajemen yang sejak 1995 memfokuskan kegiatannya pada pelatihan manajemen - LPAI menyelenggarakan pelatihan internal audit dan fraud audit secara lengkap, terprogram-berkesinambungan, serta kurikulum berkualitas. Pelatihan yang diselenggarakan oleh LPAI senantiasa dievaluasi dan diupdate - mengacu pada perkembangan pengetahuan dan praktek bisnis paling mutakhir - dimana benchmarknya adalah lembaga-lembaga internal audit dan fraud audit yang sudah dikenal baik reputasinya di dunia.

Selain itu program pelatihan yang diselenggarakan oleh LPAI didukung oleh tenaga instruktur berpengalaman, baik sebagai instruktur maupun sebagai auditor ataupun praktisi manajemen lainnya serta memiliki background pendidikan S2 dan Ph.D. dari dalam dan luar negeri. Sebagian besar instruktur LPAI adalah praktisi audit yang memiliki sertifikat keahlian atau profesi seperti CIA, CFE, CISA, dan sebagainya.

·     Badan Pemeriksa Keuangan (BPK)

Badan Pemeriksa Keuangan Republik Indonesia (disingkat BPK RI) adalah lembaga tinggi negara dalam sistem ketatanegaraan Indonesia yang memiliki wewenang memeriksa pengelolaan dan tanggung jawab keuangan negara. Menurut UUD 1945, BPK merupakan lembaga yang bebas dan mandiri. Badan Pemeriksa Keuangan Republik Indonesia (disingkat BPK RI) adalah lembaga tinggi negara dalam sistem ketatanegaraan Indonesia yang memiliki wewenang memeriksa pengelolaan dan tanggung jawab keuangan negara. Menurut UUD 1945, BPK merupakan lembaga yang bebas dan mandiri.

·        Badan Pengawasan Keuangan Dan Pembangunan(BPKP)

Badan Pengawasan Keuangan dan Pembangunan, atau yang disingkat BPKP, adalah Lembaga pemerintah nonkementerian Indonesia yang melaksanakan tugas pemerintahan di bidang pengawasan keuangan dan pembangunan yang berupa Audit, Konsultasi, Asistensi, Evaluasi, Pemberantasan KKN serta Pendidikan dan Pelatihan Pengawasan sesuai dengan peraturan yang berlaku.

Hasil pengawasan keuangan dan pembangunan dilaporkan kepada Presiden selaku kepala pemerintahan sebagai bahan pertimbangan untuk menetapkan kebijakan-kebijakan dalam menjalankan pemerintahan dan memenuhi kewajiban akuntabilitasnya. Hasil pengawasan BPKP juga diperlukan oleh para penyelenggara pemerintahan lainnya termasuk pemerintah provinsi dan kabupaten/kota dalam pencapaian dan peningkatan kinerja instansi yang dipimpinnya.

·          Assessment & Certification (ASACERT)

ASACERT menyediakan layanan assessment dan sertifikasi di berbagai sektor khusus profesional - dengan keahlian dalam, hidrologi, penerbangan, telekomunikasi kekuatan sipil dan industri minyak dan gas. ASACERT memiliki staf teknis khusus untuk tujuan bidang Asuransi, mereka adalah para profesional dengan pengetahuan sektoral khusus dan budaya sehingga dapat membantu dan mendukung perusahaan dalam kegiatan evaluasi asuransi.

 Sumber: 

http://maulanayf.blogspot.com/2017/10/lembaga-lembaga-audit-di-indonesia.html

https://aditiyep.blogspot.com/2018/10/lembaga-audit-sistem-informasi-Indonesia11.html

Standar dan Panduan Audit Sistem Informasi

Standar dan Panduan Audit Sistem Informasi

1.       ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

·         Sifat khusus audit sistem informasi, keterampilan dan pengetahuan yang diperlukan untukmelakukan audit SI memerlukan standar yang berlaku secara global

·         ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan

·         Dalam famework ISACA terkait, audit sistem informasi terdapat Standards, Guidelines and procedures

·         Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor.

·         Guidelines memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.

·         Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.

·         Namun, IS auditor harus menggunakan pertimbangan profesional ketika menggunakan pedoman dan prosedur.

2.     IIA COSO:

Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) dan The Institute of Management Accountants (IMA).

pengendalian intern, yang penggunaannya mencakup penentuan tujuan pengendalian pelaporan keuangan dan proses operasional dalam konteks organisasional, sehingga perbaikan dan kontrol dapat dilakukan secara menyeluruh.

3.   ISO 1799

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:

• pengorganisasian keamanan informasi;
• manajemen aset;
• keamanan sumber daya manusia;
• keamanan fisik dan lingkungan;
• komunikasi dan manajemen operasi;
• kontrol akses;
• akuisisi sistem informasi, pengembangan dan pemeliharaan;
• manajemen insiden keamanan informasi;
• manajemen kontinuitas bisnis;
• pemenuhan.

Sumber :

https://id.wikipedia.org/wiki/ISACA

https://id.wikipedia.org/wiki/COSO

https://www.iso.org/standard/39612.html

Analisi Risiko

PENGERTIAN ANALISIS RISIKO

RISIKO ( RISK) adalah bentuk keadaan ketidakpastian tentang suatu keadaan yang akan terjadi di masa depan dengan keputusan yang diambil berdasarkan berbagai pertimbangan pada saat ini.

Analisis Risiko adalah suatu metode analisis yang meliputi faktor penilaian, karakterisasi, komunikasi, manajemen dan kebijakan yang berkaitan dengan risiko tersebut.

Manajemen Risiko adalah usaha yang secara rasional ditujukan untuk mengurangi kemungkinan terjadinya kerugian dari risiko yang dihadapi.

Jenis – jenis Risiko

Jenis risiko terbagi menjadi 2 yaitu :

·        SPECULATIVE RISK

Adalah risiko yang mengandung dua kemungkinan yaitu kemungkinan yang menguntungkan atau kemungkinan yang merugikan.

Misal : Judi, pembelian saham, pembelian valas.

·        PURERISK

Adalah risiko yang hanya mengandung satu kemungkinan, yaitu kemungkinan rugi saja.

Misal : bencana alam, resesi ekonomi.

Jenis-jenis Risiko, Tingkatan dan Cara Menanggulangi Risiko.

Menurut sifat dibedakan dalam:

·  Risiko Murni, yatu risiko yang terjadi pasti akan menimbulkan kerugian, dan terjadinya tanpa disengaja.

·   Risiko Speculatif, yaitu risiko yang sengaja di timbulkan oleh yang bersangkutan agar memberikan keuntungkan bagi pihak tertentu.

·     Risiko Fundamental, yaitu risiko yang penyebabnya tidak bisa dilimpahkan kepada seseorang da menderita cukup banyak.

·  Risiko Khusus, yaitu risiko yang bersumber pada peristiwa tabg mandiri dan umumnya mudah di ketahui penyebabnya.

·  Risiko Dinamis, yaitu risiko yang timbul karena perkembangan dan kemajuan masyarakat dibidang ekonomi, ilmu pengetahuan dan teknologi.

Menurut Dapat Tidaknya Risiko Dialihkan Kepada Pihak Lain (Diasuransikan).

·   Risiko yang dapat dialihkan pada pihak lain, dengan mempertanggungkan suatu obyek yang akan terkena risiko pada perusahaan asuransi.

·      Risiko yang tidak dapat dialihkan pada pihak lain, missal barang-barang purbakala, barang bersejarah.

Menurut Sumber Atay Penyebab Timbulnya.

·      Risiko Intern, yaitu risiko yang berasal dari dalam perusahaan itu sendiri, 

   contohnya : kekuasaan aktiva karena kesalahan karyawan itu sendri (kecelakaan kerja).

·      Risiko Ekstern, yaitu risiko yang berasal dari luar perusahaan itu, misal : pencurian, persaingan bisnis, fluktuasi harga dsb.

Upaya Penanggulan atau Meminimumkan Risiko Berdasarkan Pada Sifat Dan Obyek Yang Terkena Risiko.

· Dengan Mengadakan pencegahan dan pengurangan kemungkinan terjadinya peristiwa yang menimbulkan kerugian.

·      Melakukan Retensi, yakni mentolerir terjadinya kerugian.

·      Melakukan pengendalian terhadap risiko.

·   Mengalihkan risiko kepada pihak lain (untuk harta kekayaan kepada ASURANSI KERUGIAN dan untuk karyawannya kepada ASURANSI JAMSOSTEK).

Risiko Jangka Pendek

Risiko yang bersifat jangka pendek ( short term risk ) adalah risiko yang disebabkan karena ketidakmampuan suatu perusahaan memnuhi dan menyelesaikan kewajibannya yang bersifat jangka pendek terutama kewajiban likuiditas.

Jenis- Jenis Pembiayaan Jangka Pendek :

·        Pendanaan Spontan (Spontaneous Financing)

Adalah jenis pendanaan yang berubah secara otomatis dengan berubahnya tingkat kegiatan perusahaan atau meruakan jenis sumber pembiayaan meliputi hutang dagang dan kewajiban yang masih harus dibayar.

·        Pendanaan Tidak Spontan (Non Spontaneous Financing)

Adalah jenis pendanaan yang tidak berubah secara otomatis dengan berubahnya tingkat perusahaan.

Risiko Jangka Panjang

Ketidakmampuan perusahaan menyelesaikan berbagai kewajibannya yang bersifat jangka panjang, seperti kegagalan untuk menyelesaikan utang perusahaan yang bersifat jangka panjang dan juga kemampuan untuk menyelesaikan proyek hingga tuntas.

Jenis – Jenis Risiko Jangka Panjang :

·    Pinjaman berjangka adalah suatu pinjaman yang diberikan oleh lembaga keuangan kepada perusahaan yang jatuh temponya lebih dari satu tahun)

·  Obligasi Perusahaan ( merupakan instrument hutang yang menyatakan bahwa perusahaan meminjam uang dari suatu lembaga atau perorangan dan berjanji akan membayar kembali di masa yang akan datang dengan atran-aturan yang jelas).

Pendanaan Jangka Panjang :

Pendanaan jangka panjang merupakan salah satu jenis pendanaan yang bisa dimanfaatkan oleh perusahaan dalam jangka waktu yang relatif lebih lama dibandingkan dengan alternatif jenis pendanaan lainnya dalam memenuhi kebutuhan pembelanjaan perusahaan. Jenis pendanaan jangka panjang yang umum kita kenal antara lain : Kredit Investasi, Hipotek ( Mortgage ), Obligasi.

·        Kredit Investasi

Kredit investasi adalah merupakan alternatif pendanaan jangka panjang yang umumnya disediakan oleh kalangan perbankan selain kredit modal kerja ( pendanaan jangka pendek ) yang selama ini kita kenal.

·        Hipotek ( Mortgage )

Hipotek adalah merupakan alternatif pendanaan jangka panjang dalam bentuk hutang yang biasanya harus disertai dengan agunan berupa aktiva tidak bergerak ( tanah, bangunan ). Dalam hal terjadinya likuidasi perusahaan yang mempunyai hutang, maka kewajiban kreditur harus dipenuhi terlebih dahulu dari hasil penjualan aktiva yang dijadikan sebagai agunan tersebut.

·        Obligasi

merupakan surat tanda hutang, dan umumnya tidak dijamin dengan aktiva tertentu. Oleh karenanya kalau perusahaan bangkrut, pemegang obligasi akan diperlakukan sebagai kreditur umum.

·        Obligasi Konversi

Obligasi konversi ( Convertible Bonds / CB ) merupakan obligasi yang dapat dikonversikan ( dirubah ) menjadi saham biasa. Pemilik obligasi konversi akan memiliki obligasi dan opsi call atas saham perusahaan.

Sumber : https://www.slideshare.net/hestywhite/presentasi-28603928?from_action=save