Minggu, 09 November 2014

2.5 COBIT

Control Objective for Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009).
COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).

COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.

1.   Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:
  • ·         Control Objectives

Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang terbagi dalam 4 domain, yaitu : Planning & Organization , Acquisition & Implementation , Delivery & Support , dan Monitoring & Evaluation.
  • ·         Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives) untuk membantu para auditor dalam memberikanmanagement assurance dan/atau saran perbaikan.
  • ·         Management Guidelines

Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
Ø  Sejauh mana TI harus bergerak atau digunakan, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
Ø  Apa saja indikator untuk suatu kinerja yang bagus.
Ø  Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors ).
Ø  Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan.
Ø  Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan.
Ø  Bagaimana mengukur keberhasilan dan bagaimana pula membandingkannya.

2.   Manfaat dan Pengguna COBIT
Secara manajerial target pengguna COBIT dan manfaatnya adalah :
  • ·         Direktur dan Eksekutif

  Untuk memastikan manajemen mengikuti dan mengimplementasikan strategi searah dan sejalan                     dengan TI.
  • ·         Manajemen

Ø  Untuk mengambil keputusan investasi TI.
Ø  Untuk keseimbangan resiko dan kontrol investasi.
Ø  Untuk benchmark lingkungan TI sekarang dan masa depan.
  • ·         Pengguna

Untuk memperoleh jaminan keamanan dan control produk dan jasa yang dibutuhkan secara internal maupun eksternal.
  • ·         Auditors

Ø  Untuk memperkuat opini untuk manajemen dalam control internal.
Ø  Untuk memberikan saran pada control minimum yang diperlukan.


2.4 Komponen Pengendalian Intern versi. COSO

Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
• Efektifitas dan efisiensi operasional
• Reliabilitas pelaporan keuangan
• Kepatuhan atas hukum dan peraturan yang berlaku

Dokumen COSO menyatakan bahwa pihak-pihak yang terlibat terkait PengendalianInternal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yangmendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawabatas penetapan, penjagaan, dan pengawasan sistem Pengendalian Internal adalahtanggung jawab manajemen.

Komponen Struktur Pengendalian Intern
Untuk mencapai suatu pengendalian intern yang benar-benar memadai, terdapat  komponen dasar kebijakan yang dirancang dan digunakan oleh manajemen.

Komponen pengendalian intern menurut COSO (The Committee of  Sponsoring Organizations)oleh Wing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” Ada lima, yaitu:
    “1.   Control environment atau lingkungan pengendalian
      2.   Control activities atau kegiatan pengendalian
Risk assessment atau pemahaman risiko
Information and communication atau informasi dan komunikasi
Monitoring atau pemantauan”.
Menurut kutipan diatas dapat diuraikan sebagai berikut:
Lingkungan pengendalian
Lingkungan pengendalian merupakan sarana dan prasarana yang ada di dalam organisasi atau perusahaan untuk menjalankan struktur pengendalian intern yang baik. Beberapa komponen yang mempengaruhi lingkungan pengendalian intern adalah:
  • Komitmen manajemen terhadap integritas dan nilai-nilai etika      (Commitment to integrity and ethical values).
  • Filosofi yang dianut oleh manajemen dan gaya operasional yang dipakai   oleh manajemen (Manajement’s philosophy and operating style).
  • Struktur organisasi (Organizational structure).
  • Komite Audit untuk Dewan Direksi (The audit committee of the board of directors).
  • Metode pembagian tugas dan tanggung jawab (Methods of assigning authority and responsibility).
  • Kebijakan dan praktik yang menyangkut sumber daya manusia (Human resources policies and practices).
  • Pengaruh dari luar (External influences).

Kegiatan pengendalian
Kegiatan pengawasan merupakan berbagai proses dan upaya yang dilakukan oleh manajemen perusahaan untuk menegakkan pengawasan atau pengendalian operasi perusahaan. COSO mengidentifikasi setidak-tidaknya ada lima hal yang dapat diterapan oleh perusahaan, yaitu:
  • Pemberian otorisasi atas transaksi dan kegiatan (Proper authorization of transactions and activities).
  • Pembagian tugas dan tanggung jawab (Segregation of duties).
  • Rancangan dan penggunaan dokumen dan catatan yang baik (Design and use of adequate documents and records).
  • Perlindungan yang cukup terhadap kekayaan dan catatan perusahaan (Adequate safeguards of assets and records).
  • Pemeriksaan independen terhadap kinerja perusahaan (Independent checks on performance).

Pemahaman risiko
Manajemen perusahaan harus dapat mengidentifikasi berbagai risiko yang dihadapi oleh perusahaan. Dengan memahami risiko, manajemen dapat mengambil tindakan pencegahan, sehingga perusahaan dapat menghindari kerugian yang besar. Ada tiga kelompok risiko yang dihadapi perusahaan, yaitu:
  • Risiko strategis, yaitu mengerjakan sesuatu dengan cara yang salah (misalnya: harusnya dikerjakan dengan komputer ternyata dikerjakan secara manual).
  • Risiko finansial, yaitu risiko menghadapi kerugian keuangan. Hal ini dapat disebabkan karena uang hilang, dihambur-hamburkan, atau dicuri.
  • Risiko informasi, yaitu menghasilkan informasi yang tidak relevan, atau informasi yang keliru, atau bahkan sistem informasinya tidak dapat dipercaya.

Informasi dan Komunikasi
Perancang sistem informasi perusahaan dan manajemen puncak harus mengetahui hal-hal di bawah ini:
a. Bagaimana transaksi diawali
b.   Bagaimana data dicatat ke dalam formulir yang siap di-input ke sistem komputer atau langsung dikonversi ke sistem komputer.
c.   Bagaimana file data di baca di organisasi dan diperbaharui isinya
d.   Bagaimana data diproses agar menjadi informasi dan informasi diproses lagi    menjadi informasi yang lebih berguna bagi pembuat keputusan
e.   Bagaimana informasi yang baik dilakukan
f.    Bagaimana transaksi berhasil
Pemantauan
Pemantauan adalah kegiatan untuk mengikuti jalannya sistem informasi akuntansi, sehingga apabila ada sesuatu berjalan tidak seperti yang diharapkan, dapat diambil tindakan segera. Berbagai bentuk pemantaun di dalam perusahaan dapat dilaksanakan dengan salah satu atau semua proses berikut ini:
  • Supervisi yang efektif  (effective supervision) yaitu manajemen yang lebih atas mengawasi manajemen dan karyawan di bawahnya.

  • Akuntansi pertanggungjawaban (responsibility accounting) yaitu perusahaan menerapkan suatu system akuntansi yang dapat digunakan untuk menilai kinerja masing-masing manajer, masing-masing departemen, dan masing-masing proses yang dijalankan oleh perusahaan.
  • Audit internal (internal auditing) yaitu pengauditan yang dilakukan oleh auditor di dalam perusahaan.

Dari uraian di atas dapat disimpulkan bahwa komponen pengendalian intern terdiri dari:
lingkungan pengendalian, kegiatan pengawasan, pemahaman risiko, informasi dan komunikasi sreta pemantauan.

Kegiatan Pengendalian Intern
Menurut Wing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” kegiatan pengendalian intern terdiri dari:
    “1    Pemberian otorisasi atas transaksi dan kegiatan
      2.   Pembagian tugas dan tanggung jawab
      3.   Perancangan dan penggunaan dokumen dan catatan yang baik
      4.   Perlindungan yang cukup terhadap kekayaan dan catatan perusahaan
      5.   Pemeriksaan independen terhadap kinerja perusahaan”.

Menurut kutipan diatas dapat diuraikan sebagai berikut:
1.   Pemberian otorisasi atas transaksi dan kegiatan
Otorisasi adalah pemberian sebagian kekuasaan manajemen kepada karyawan untuk melakukan kegiatan dan mengambil keputusan. Hal ini perlu dilakukan karena manajemen tidak akan mampu membuat semua keputusan dan menjalankan semua kegiatan di dalam perusahaan.
2.   Pembagian tugas dan tanggung jawab
Tidak ada satu karyawan atau satu bagian pun yang dapat menyelesaikan suatu transaksi tanpa campur tangan pihak lain. Wewenang dan tanggung jawab di bagi atas tiga fungsi, yaitu:
  • Fungsi penyimpanan
  • Fungsi pencatatan
  • Fungsi pemberian otorisasi

3.   Perancangan dan penggunaan dokumen dan catatan yang baik
Dokumen akan disimpan dalam waktu yang lama. Oleh karenanya, bahan yang digunakan untuk membuat dokumen juga harus merupakan bahan yang tahan lama dan berkualitas baik.
4.   Perlindungan yang cukup terhadap kekayaan dan catatan perusahaan
Perlindungan yang dapat dilakukan oleh perusahaan, agar tidak terjadi pencurian dan penggunaan tanpa otorisasi, diantaranya dengan melakukan hal-hal di bawah ini:
Pengawasan dan pembagian tugas dan tanggung jawab yang baik
Penyelenggaraan catatan aktiva dan penyajian informasi yang akurat
Pembatasan akses fisik terhadap kas dan berbagai dokumen penting
Penyediaan tempat penyimpanan yang baik
Pembatasan akses ruang-ruang penting
5.   Pemeriksaan independent terhadap kinerja perusahaan
Pemeriksaan kinerja ini dapat dilakukan dengan salah satu langkah berikut:
a. Melakukan rekonsiliasi antara dua catatan yang terpisah atau berbeda mengenai suatu rekening
b. Membandingkan antara jumlah unit persediaan di gudang dengan jumlah menurut catatan persediaan
c. Menyelenggarakan double entry bookkeeping, yaitu metode pencatatan   yang selalu melibatkan setidak-tidaknya dua rekening untuk mencatat satu transaksi
d. Menjumlah berbagai hitungan dengan cara batch totals, yaitu penjumlahan  dari atas ke bawah.
Dari uraian di atas dapat disimpulkan bahwa kegiatan pengendalian intern meliputi pemberian otorisasi transaksi dan kegiatan, pembagian tugas dan tanggung jawab, perancangan dan penggunaan dokumen dan catatan yang baik, perlindungan yang cukup terhadap kekayaan dan catatan perusahaan, dan pemeriksaan independent terhadap kinerja perusahaan.

Keterbatasan Pengendalian Intern
Menurut Azhar Susanto dalam bukunya ‘Sistem Informasi Akuntansi” menyatakan bahwa ada beberapa keterbatasan dari pengendalian intern, sehingga pengendalian intern tidak dapat berfungsi, yaitu:
1.   Kesalahan
2.   Kolusi
3.   Penyimpangan Manajemen
4.   Manfaat dan Biaya
Menurut kutipan diatas dapat diuraikan sebagai berikut:
1.  Kesalahan muncul ketika karyawan melakukan pertimbangan yang salah atau perhatiannya selama bekerja terpisah.
2. Kolusi terjadi ketika dua atau lebih karyawan berkonspirasi untuk melakukan   pencurian (korupsi) di tempat mereka bekerja.
3. Penyimpangan manajemen muncul karena manajer suatu organisasi memiliki lebih banyak otoritas dibandingkan karyawan biasa, proses pengendalian efektif pada tingkat manajemen bawah dan tidak efektif pada tingkat atas.
4.  Manfaat dan biaya, konsep jaminan yang meyakinkan atau masuk akal mengandung arti bahwa biaya pengendalian intern tidak melebihi manfaat yang dihasilkan.
Dari uraian di atas dapat disimpulkan bahwa keterbatasan pengendalian intern meliputi: Kesalahan, kolusi, penyimpangan manajemen, serta manfaat dan biaya.

Struktur Pengendalian Intern Penjualan
Struktur pengendalian intern penjualan merupakan hal pokok untuk lebih diperhatikan oleh seorang pimpinan perusahaan karena struktur pengendalian intern penjualan merupakan alat untuk mengetahui apakah aktivitas penjualan yang dilakukan oleh perusahaan sudah cukup baik atau belum, sehingga dapat diketahui besar volume penjualan yang telah dilakukan oleh perusahaan dalam suatu periode. Struktur pengendalian intern juga merupakan proses untuk mencapai tujuan tertentu.
Komponen struktur pengendalian intern yang seharusnya ada dalam siklus penjualan dirancang untuk mencapai tujuan pokok pengendalian administratif, menjaga kekayaan perusahaan, dan menjamin ketelitian serta keandalan data akuntansi. Tujuan  pengendalian intern juga harus mencapai hal-hal yang berkaitan dengan masalah yang dihadapi dan ditunjukkan sebagai pelaksanaan dan tindakan pengamanan terhadap harta yang dimiliki. Adapun komponen dari struktur pengendalian intern menurut COSO (The Committee of  Sponsoring Organizations) olehWing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” Ada lima, yaitu:
    “1.   Control environment atau lingkungan pengendalian
      2.   Control activities atau kegiatan pengendalian
      3.   Risk assessment atau pemahaman risiko
      4.   Information and communication atau informasi dan komunikasi
      5.   Monitoring atau pemantauan”.
Berdasarkan uraian tersebut dapat diungkapkan bahwa apabila komponen-komponen struktur pengendalian intern tersebut dijalankan dengan baik, maka tujuan dari suatu perusahaan pun akan tercapai.
Aktivitas penjualan merupakan pendapatan utama perusahaan, karenanya jika aktivitas penjualan barang tidak dikelola dengan baik maka secara langsung akan merugikan perusahaan. Hal ini disebabkan oleh sasaran penjualan yang diharapkan tidak tercapai dan pendapatan perusahaan pun berkurang, maka dari itu dalam melakukan aktivitas penjualan pengendalian intern penjualan sangatlah diperlukan.


2.3 Sistem Pengendalian Intern

Sistem pengendalian intern adalah suatu perencanaan yang meliputi struktur organisasi dan semua metode dan alat-alat yang dikoordinasikan yang digunakan di dalam perusahaan dengan tujuan untuk menjaga keamanan harta milik perusahaan, memeriksa ketelitian dan kebenaran data akuntansi, mendorong efisiensi, dan membantu mendorong dipatuhinya kebijakan manajemen yang telah ditetapkan.

Dari definisi di atas dapat kita lihat bahwa tujuan adanya pengendalian intern :
1. Menjaga kekayaan organisasi.
2. Memeriksa ketelitian dan kebenaran data akuntansi.
3. Mendorong efisiensi.
4. Mendorong dipatuhinya kebijakan manajemen.

Dilihat dari tujuan tersebut maka sistem pengendalian intern dapat dibagi menjadi dua yaitu Pengendalian Intern Akuntansi (Preventive Controls) dan Pengendalian Intern Administratif (Feedback Controls).

Pengendalian Intern Akuntansi dibuat untuk mencegah terjadinya inefisiensi yang tujuannya adalah menjaga kekayaan perusahaan dan memeriksa keakuratan data akuntansi. Contoh : adanya pemisahan fungsi dan tanggung jawab antar unit organisasi.

Pengendalian Administratif dibuat untuk mendorong dilakukannya efisiensi dan mendorong dipatuhinya kebijakkan manajemen.(dikerjakan setelah adanya pengendalian akuntansi) 
Contoh : pemeriksaan laporan untuk mencari penyimpangan yang ada, untuk kemudian diambil tindakan.


2.2 Hambatan Aktif dan Contohnya

Hambatan aktif adalah hambatan yang diterima oleh sistem secara langsung oleh si penghambat tersebut. Terdapat sedikitnya enam metode yang dapat dipakai oleh orang untuk melakukan penggelapan computer. Metode yang dapat digunakan dalam melakukan kecurangan sistem informasi yaitu:
1. Manipulasi input
Manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
2. Mengubah program
Merubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat digunakan untuk mendeteksi adanya perubahan dalam program.
3. Mengubah file secara langsung
Dalam nenerapa kasus, individu-individu tertentu menemukan cara untuk memotong (bypass) proses normal untuk menginputkan data ke dalam program computer. Jika hal itu terjadi, hasil yang dituai adalah bencana.
4. Pencurian data
Sejumlah informasi ditransmisikan antar perusahaan melalui internet. Informasi ini rentan terhadap pencurian pada saat transmisi. Informasi bisa saja disadap. Ada juga kemungkinan untuk mencuri disket atau CD dengan cara menyembunyikan disket atau CD ke dalam kantong atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukkan ke dalam kotak sampah.
5. Sabotase
Seorang penyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit dan membingungkan untuk diungkapkan. Penyusup mengubah database akuntansi dan kemudian mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadap harddisk atau media lain.
6. Penyalahgunaan atau pencurian sumber daya informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.
Cara utama untuk mencegah hambatan aktif terkait dengan kecurangan dan sabotase adalah dengan menerapkan tahap-tahap pengendalian akses yakni pengendalian akses lokasi, akses sistem dan akses file.
Orang yang menimbulkan hambatan dalam sistem komputer:
1.       KARYAWAN SISTEM KOMPUTER
Mereka adalah yang menginstalasikan perengkat keras, perangkat lunak, memperbaiki perangkat keras dan memperbaiki kesalahan kecil pada perangkat lunak. Dalam banyak kasus, orang-orang ini harus memiliki akses atas pengamanan tingkat tinggi computer, guna memperlancar pekerjaan mereka. Sebagai contoh, orang yang menginstalasikan bersi baru program akuntansi seirngkali diberikan akses yang lengkap ke catalog berkas yang memuat sistem akuntansi dan berkas-berkas data yang berkaitan.

2.       PEMROGRAM
Pemrogram sistem seringkali menuliskan programnya untuk memodifikasi atau memperbaiki sistem operasi. Orang-orang itu umumnya memiliki akses khusus ke seluruh berkas perusahaan. Pemrogram aplikasi dapat membuat modifikasi yang menganggu program-program yang ada, atau menuliskan program baru yang tidak memuaskan.

3.       OPERATOR KOMPUTER
Orang-orang yang merencanakan dan memonitor operasi computer dan jaringan komunikasi disebut operator computer dan operator jaringan

4.       KARYAWAN ADMINSITRATIF SISTEM INFORMASI DAN KOMPUTER
Penyedia sistem merupakan orang yang mempunyai posisi dengan kepercayaan besar. Orang-orang ini secara normal memiliki akses ke pengamanan rahasia, berkas, program, dan sebagainya.

5.       KLERK PENGENDALIAN DATA
Mereka yang bertanggungjawab atas pemasukan data secra manual maupun terotomasi ke sistem computer disebut klerk-klerk pengendalian data. Orang-orang ini berada dalam posisi yang menungkinkan untuk memanipulasi pemasukan data.
Hambatan aktif contohnya penipuan dalam sebuah komponen-komponen dari komputer dan sabotase.


2.1 Hambatan Pasif dan Contohnya

Hambatan atau Ancaman adalah suatu eksploitasi potensial dari kerentanan sebuah sistem.
Hambatan Pasif adalah hambatan yang disebabkan secara tidak sengaja.

Contoh Ancaman Pasif adalah system yang bermasalah, seperti bencana alam.
Sistem bermasalah juga karena kegagalan-kegagalan peralatan dan komponen.
Berbeda dengan hambatan aktif yang secara sengaja menghambat sistem, hambatan pasif diakibatkan oleh ketidaksengajaan. 
Hambatan pasif mencakupi system, termasuk gangguan alam, seperti gempa bumi, banjir, kebakaran, dan badai. Kesalahan system yang mewakili kegagalan peralatan komponen seperti kelemahan disk, kekurangan tenaga, dan sebagainya. Untuk mencegah hal-hal yang tidak diinginkan pada hambatan pasif yaitu pada perangkat keras dapat dilakukan dengan cara full backup data.

Ø  Kegagalan Sistem
Kegagalan sistem ini terdiri dari antara lain:
·         Gangguan listrik
·         Kegagalan peralatan
·          Kegagalan fungsi perangkat lunak
Ø  Kesalahan Manusia
Hambatan pasif yang disebabkan oleh kegagalan manusia yaitu antara lain :
·         Kesalahan pemasukan data
·         Kesalahan penghapusan data
·         Kesalahan operator (kesalahan memberikan label pada pita magnetik)
Ø  Bencana Alam
Hambatan pasif yang terjadi karena bencana alam memang tidaklah bisa dihindari dan diduga karena bisa saja terjadi sewaktu-waktu tanpa kita sadari. Contohnya yaitu :
·         Gempa Bumi
·         Banjir
·         Kebakaran
·         Perang
Sumber :  
http://dewiuwie.wordpress.com/2013/11/22/3-3-hambatan-pasif-dan-contohnya/