Rkm Cobit.docx
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Rkm Cobit.docx as PDF for free.
More details
- Words: 1,766
- Pages: 7
Audit SI dan Pendekatan CobIT (274-295)
PENGANTAR IT GOVERNANCE—COBIT COBIT, CONTROL OBJECTIVES FOR INFORMATION & RELATED TECHNOLOGY CobIT merupakan sebuah framework bagi IT management. CobIT disusun oleh the IT Governance Intitute (ITGI) dan Information System Audit and Control Association (ISACA). CobIT dan ISO/IEC 17799:2005 merupakan standard yang sekarang banyak digunakan, dan keduanya bersifat saling melengkapi. Ruang ling ISO/IEC 17799:2005 adalah aspek security, sedangkan CobIT lebih luas, merupakan kombinasi dari prinsip-prinsip yang telah ditanaman dan dikenal sebagai acuan model, dan disejajarkan dengan standard industry, CobIT juga dilengkapi dengan IT balanced scorecard. CobIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, user, dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalah-masalah teknis IT. CobIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT controls issues. CobIT berguna bagi para IT users
karena
memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan investasi dibidang TI serta infrastrukturnya, menyusun strategic IT Plan, menentukan information architecture, dan keputusan atas procurement mesin. CobIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan IT Governance pada suatu perusahaan. CobIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara risiko bisnis, kebutuhan control dan masalah-masalah teknis TI, serta menyediakan referensi best business practices yang mencakup keseluruhan teknis TI dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif. CobIT mendukung manajemen dalam mengoptimumkan investasi TI nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau risiko akan atau sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas control individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perushaan.
Kriteria kerja CobIT meliputi:
Dalam
implementasi
corporate
governance
harus
diparikan adanya due diligence yang dilakukan oleh setiap individu yang terlibat dalam pengelolaan, penggunaan,
rancang-bangun,
pengembangan,
dan
pemeliharaan atau operasional TI perusahaan. Control objective TI adalah pernyataan mengenai hasil atau tujuan yang harus dicapai melalui penerapan prosedur kendali dalam aktivitas TI tertentu. IT governance memastikan adanya pengukuran yang efisien dan efektif terhadap peningkatan proses bisnis perusahaan melalui struktur yang menautkan proses-proses TI, sumberdaya TI dan informasi ke arah dan tujuan strategis perusahaan. IT governance memadukan dan melembagakan best practices dari proses perencanaan, pengelolaan, penerapan, pelaksanaan dan pendukung, serta pengawasan kinerja TI, untuk memastikan informasi perusahaan dan teknologi yang terkait lainnya benar-benar menjadi pendukung bagi pencapaian sasaran perusahaan. Dengan keterpaduan tersebut, diharapkan perusahaan mampu mendayagunakan informasi yang dimilikinya sehingga dapat mengoptimumkan segala sumberdaya dan proses bisnis mereka untuk menjadi lebih kompetitif. Adanya IT governance membuat proses bisnis perusahaan menjadi lebih transparan, tanggungjawab serta akuntabilitas tiap fungsi/individu semakin jelas. Menurut CobIT, keputusan bisnis yang baik harus didasarkan pada knowledge yang berasal dari informasi yang relevan, komprehensif, dan tepat waktu. Kunci utama untuk mengelola bisnis secara menguntungkan pada kondisi lingkungan yang berubah pesat, khususnya perkembangan teknologi, adalah bagaimana kita mengelola control. CobIT merupakan IT governance yang membantu auditor, manajemen, user untuk menjembatani aspek bisnis, kebutuhan control dan aspek teknis TI. Kerangka kerja CobIT terdiri dari beberapa arahan, yakni:
Control Objectives Terdiri atas 4 tujuan pengendalian tingkat tinggi yang tercermin dalam 4 domain: planning & organization, acquisition & implementation, delivery & support, dan monitoring.
Audit Guidelines Berisi sebanyak 318 tujuan-tujuan pengendalian rinci untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.
Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:
Sejauh mana TI harus bergerak, apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
Apa saja indicator untuk suatu kinerja yang bagus?
Apa saja factor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factor)?
Apa saja risiko yang timbul bila sasaran yang ditentukan tak tercapai?
Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan?
Bagaimana anda mengukur keberhasilan dan menilainya?
CobIT diharapkan dapat membantu menemukan berbagai kebutuhan manajemen berkaitan dengan TI, membantu pengoptimalan investasi, dan menyediakan ukuran/kriteria ketika terjadi penyelewengan/penyimpangan, serta dapat diterapkan da diterima sebagai standard keamanan TI dan praktek kendali untuk mendukung kebutuhan manajemen dalam menentukan dan monitoring tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka. CobIT adalah standard yang terbuka untuk pengendalian internal TI. Control objective CobIT memberikan pegertian yang diperlukan untuk menggambarkan kebijakan kendali TI secara jelas, bersih dan praktek yang baik. CobIT framework mencakup tujuan pengendalian yang terdiri dari 4 domain:
Planning and Organization Mencakup pembahasan tentang identifikasi dan strategi investasi TI yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategis perlu direncanakan, dikomunikasikan, dan diatur pelaksanaannya.
Acquisition an Implementation Untuk merealisasikan strategi TI, perlu diatur kebutuhan TI, diidentifikasi, dikembangnkan, atau diimplementasikan secara terpadu dalam proses bisnis perusahaan.
Delivery and Support Domain ini dipusatkan pada ukuran tentang aspek dukungan TI terhadap kegiatan operasional bisnis dan aspek urutan.
Monitoring Semua proses yang perlu dinilai secara berkala agar kualitas tujuan dukungan TI tercapai, dan kelengkapannya berdasarkan pada syarat control internal yang baik.
CobIT dan Sarbanes Oxley Perusahaan-perusahaan go public yang menjadi subyek UU SOX 2002 diwajibkan mengadopsi COSO internal control integrated framework, dan/atau CobIT dalam hal perusahaan menggunakan teknologi informasi. Namun jika harus memilih, otoritas pasar modal Amerika mendahulukan COSO daripada CobIT. Ruang lingkup CobIT mendekati informasi dalam arti luas, bukan hanya sebatas finansial information. Disamping itu COSO
hanya
menitikberatkan
pada
aspek-aspek
effectiveness, efficiency of operations, reliable of financial reporting, dan compliance with laws and regulations. Sedangan CobIT lebih luas dengan menambahkan aspek-aspek quality, dan security, menjadi: effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability of information. Perbedaan yang lain ialah bahwa COSO untuk manajemen secara luas, sedangkan CobIT lebih ke IT controls untuk manajemen, users, maupun auditor.
Kaitannya dengan Audit Dalam penugasan tertentu, dapat dimulai dengan memilih proses yang relevan dari proses-proses
tersebut.
memakai
Audit
tambahan
materi
Auditor
Guidelines untuk
dapat sebagai
merancang
prosedur audit. Auditor dapat memeriksa apakah
tiap-tiap
high
level
control
objective telah disusun atau ditetapkan atau dijalankan, apakah kriteria telah ditetapkan, dan apakah sudah mencakup aspek-aspek yang terkait.
Ilustrasi dari konsep CobIT/framework
SAC (SYSTEMS ASSURANCE AND CONTROL) SAC dipublikasikan pada tahun 1977 oleh the Institute of Internal Auditors (IIA), dan diupdates 1991 dan 1994. SAC sangat bermanfaat bagi profesi audit dan jasa assuarance pada umumnya dan bidang IS management. Bagi profesi audit, pengetahuan mengenai teknologi informasi sangat penting untuk membedakan pengertian effectiveness dengan obsolescences. SAC membantu para executive management, corporate governance entities, dan auditor untuk memahami, memonitor, dan menghindari technology risks. Dengan berkembangnya e-business dan electronic delivery, maka ditambahkan electronis pada judul sehingga menjadi e-SAC. Dengan bantuan hibah dari IBM, IIA kemudian dapat membentuk kontrak penugasan kepada Stanford Research Institute (SRI) untuk melakukan kajian secara independen yang kemudian menghasilkan laporan: executive summary, data processing control practices, dan data procesing audit practices. Pada tahun 1975 IIA telah menyadari makin pentingnya pengendalian intern pada sistem berbasis komputer, oleh karena itu tujuan kajian adalah:
Mengkaji secara komprehesif mengenai kondisi dan perkembangan teknologi informasi, kebutuhan kontrol dan auditnya.
Mendorong peningkatan kesadaran pimpinan tentang pengelolaan lingkungan teknologi informasi, dampaknya terhadap kontrol dan audit internal.
Meletakkan dasar-dasar kontrol internal TI dalam prespektifnya.
Pemutakhiran SAC yang pertama diterbitkan pada tahun 1991, dan merupakan suatu blockbuster dalam hal memberikan pedoman pada profesi auditing dan organisasi yang dilayani auditor berkitan dengan teknologi informasi, security nya, control dan auditing. Pada zaman yang serba elektronik saat ini, SAC menyediakan assurance untuk memahami pentingnya pengelolaan, baik dalam suatu organisasi itu sendiri maupun antar partner bisnis, untuk menjamin efektifitas keamanan, auditability, dan pengendalian informasi. Dalam pandangan SAC, pengendalian intern teknologi informasi mencakup tiga area:
Computer based information systems controls
Computer service center controls
Systems development controls
Berbagai indikator menandakan kecepatan perkembangnan, khusunya dibidang TI dan dampaknya dalam dua sisi: peluang dan risiko. TI kini tidak hanya sekedar sebagai pendukung strategi organisasi; tetapi sudah merupakan bagian integral darinya.
a. SAC adalah body of knowledge yang didesain untuk membantu internal auditor meningkatkan control dengan cara menjelaskan teknologi dan hal-hal berkaitan dengan audit tapi tidak menspesifikan pada audit detail. b. SAC mengajarkan auditor tidak hanya bagaimana cara mengembangkan audit, tapi juga bagaimana membentuk pengendalian intern. c. Laporan SAC mendifinisikan sistem pengendalian intern, menggambarkan komponenkomponennya, menyediakan klasifikasi kontrol, menggambarakan tujuan kontrol dan risikonya, dan menjelaskan peranan internal auditor. d. Laporan SAC inimemberikan pedoman dalam menggunaka, mengelola, dan mengamnakan sumber daya teknologi informasi dan mendiskusikan pengaruh-pengaruh end-user computing, telekomunikasi, dan kecanggihan teknologi. e. Laporan SAC menjelaskan sistem internal control sebagai sejumlah proses, fungsi, aktivitas, subsistem, dan orang-orang yang dikelompokkan bersama atau sengaja dipisahkan untuk menjamin efektivitas pencapaian sasaran dan tujuan. f. Sistem internal control terdiri dari tiga komponen yaitu: control environment, manual and automated systems, dan control procedures. Control environment mencakup struktur organisasi, control framework, kebijakan dan prosedur, serta pengaruh-pengaruh eksternal. Automated systems terdiri dari sistem dan aplikasi software. Control procedures terdiri dari general, application, dan compensating conrol. g. SAC memberikan lima skema internal control dalam sistem informasi: (a) preventive, detective, dan corrective, (b) discretionary dan non-dicretionary, (c) voluntary dan mandated, (d) manual and automated, (e) application maupun general controls. h. Salah satu SAC’s achievements adalah sensible definition of risks nya yang mencakup fraud, business interuption, errors, customer dissatisfaction, poor public image, dan ineffective dan inefficient use of resources. i. Control objectives mengurangi risiko-risiko tersebut dan menjamin integritas informasi, keamanan dan ketaatan. j. Tanggungjaawab
auditor
internal
mencakup
pemastian
memadai/tidaknya
sistem
pengenadlian intern, realibilitas data, dan penggunaan sumberdaya organisasi secara efisien. Internal
auditor
juga
terkait
dalam
pencegahan
dan
pendeteksian
fraud,
dan
mengkoordinasikan kegiatan dengan auditor eksternal. k. Integrasi audit dan keahlian dalam sistem informasi serta pemahaman dalam pengaruh teknologi informasi pada audit, adalah penting bagi internal auditor.
l. SAC membebankan tanggungjawab kepada internal auditor dalam mengevaluasi apakah control yang tepat telah berada pada tempatnya dan apakah kontrol itu berfungsi sebagaimana mestinya. m. Internal auditor mengumpulkan hasil audit keuangan, operasional dan sistem informasi pada manajemen dan komite audit. Internal audit juga mengartikulasikan biaya dan manfaat perubahan yang diusulkan untuk memperbaiki defisiensi sistem internal control. n. SAC tampaknya lebih mendukung dilaksanakannya evaluasi internal control setiap periode waktu tertentu, bukannya pada waktu tertentu. o. Menurut SAC, yang bertanggungjaawab terhadap pelaksanaan sistem internal control adalah manajemen. p. Primary audience untuk model SAC ini adalah internal auditor dan SAC juga lebih fous pada masalah berkaitan dengan teknologi informasi. q. Saat ini SAC klasik ini telah diperbaharui sehubungan dengan makin canggihnya teknologi informasi dan makin semaraknya penggunaan internet didunia, yang dikenal dengan nama electronic systems assurance and control dan disingkat e-SAC.
DAFTAR PUSTAKA Gandodiyoto, Sanyoto. (2007). Audit Sistem Informasi + Pendekatan CobIT. Edisi Revisi. Jakarta: Mitra Wacana Media.
PENGANTAR IT GOVERNANCE—COBIT COBIT, CONTROL OBJECTIVES FOR INFORMATION & RELATED TECHNOLOGY CobIT merupakan sebuah framework bagi IT management. CobIT disusun oleh the IT Governance Intitute (ITGI) dan Information System Audit and Control Association (ISACA). CobIT dan ISO/IEC 17799:2005 merupakan standard yang sekarang banyak digunakan, dan keduanya bersifat saling melengkapi. Ruang ling ISO/IEC 17799:2005 adalah aspek security, sedangkan CobIT lebih luas, merupakan kombinasi dari prinsip-prinsip yang telah ditanaman dan dikenal sebagai acuan model, dan disejajarkan dengan standard industry, CobIT juga dilengkapi dengan IT balanced scorecard. CobIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, user, dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalah-masalah teknis IT. CobIT bermanfaat bagi auditor karena merupakan teknik yang dapat membantu dalam identifikasi IT controls issues. CobIT berguna bagi para IT users
karena
memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan investasi dibidang TI serta infrastrukturnya, menyusun strategic IT Plan, menentukan information architecture, dan keputusan atas procurement mesin. CobIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan IT Governance pada suatu perusahaan. CobIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara risiko bisnis, kebutuhan control dan masalah-masalah teknis TI, serta menyediakan referensi best business practices yang mencakup keseluruhan teknis TI dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif. CobIT mendukung manajemen dalam mengoptimumkan investasi TI nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau risiko akan atau sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas control individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perushaan.
Kriteria kerja CobIT meliputi:
Dalam
implementasi
corporate
governance
harus
diparikan adanya due diligence yang dilakukan oleh setiap individu yang terlibat dalam pengelolaan, penggunaan,
rancang-bangun,
pengembangan,
dan
pemeliharaan atau operasional TI perusahaan. Control objective TI adalah pernyataan mengenai hasil atau tujuan yang harus dicapai melalui penerapan prosedur kendali dalam aktivitas TI tertentu. IT governance memastikan adanya pengukuran yang efisien dan efektif terhadap peningkatan proses bisnis perusahaan melalui struktur yang menautkan proses-proses TI, sumberdaya TI dan informasi ke arah dan tujuan strategis perusahaan. IT governance memadukan dan melembagakan best practices dari proses perencanaan, pengelolaan, penerapan, pelaksanaan dan pendukung, serta pengawasan kinerja TI, untuk memastikan informasi perusahaan dan teknologi yang terkait lainnya benar-benar menjadi pendukung bagi pencapaian sasaran perusahaan. Dengan keterpaduan tersebut, diharapkan perusahaan mampu mendayagunakan informasi yang dimilikinya sehingga dapat mengoptimumkan segala sumberdaya dan proses bisnis mereka untuk menjadi lebih kompetitif. Adanya IT governance membuat proses bisnis perusahaan menjadi lebih transparan, tanggungjawab serta akuntabilitas tiap fungsi/individu semakin jelas. Menurut CobIT, keputusan bisnis yang baik harus didasarkan pada knowledge yang berasal dari informasi yang relevan, komprehensif, dan tepat waktu. Kunci utama untuk mengelola bisnis secara menguntungkan pada kondisi lingkungan yang berubah pesat, khususnya perkembangan teknologi, adalah bagaimana kita mengelola control. CobIT merupakan IT governance yang membantu auditor, manajemen, user untuk menjembatani aspek bisnis, kebutuhan control dan aspek teknis TI. Kerangka kerja CobIT terdiri dari beberapa arahan, yakni:
Control Objectives Terdiri atas 4 tujuan pengendalian tingkat tinggi yang tercermin dalam 4 domain: planning & organization, acquisition & implementation, delivery & support, dan monitoring.
Audit Guidelines Berisi sebanyak 318 tujuan-tujuan pengendalian rinci untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.
Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:
Sejauh mana TI harus bergerak, apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
Apa saja indicator untuk suatu kinerja yang bagus?
Apa saja factor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factor)?
Apa saja risiko yang timbul bila sasaran yang ditentukan tak tercapai?
Bagaimana dengan perusahaan lainnya, apa yang mereka lakukan?
Bagaimana anda mengukur keberhasilan dan menilainya?
CobIT diharapkan dapat membantu menemukan berbagai kebutuhan manajemen berkaitan dengan TI, membantu pengoptimalan investasi, dan menyediakan ukuran/kriteria ketika terjadi penyelewengan/penyimpangan, serta dapat diterapkan da diterima sebagai standard keamanan TI dan praktek kendali untuk mendukung kebutuhan manajemen dalam menentukan dan monitoring tingkatan yang sesuai dengan keamanan dan kendali organisasi mereka. CobIT adalah standard yang terbuka untuk pengendalian internal TI. Control objective CobIT memberikan pegertian yang diperlukan untuk menggambarkan kebijakan kendali TI secara jelas, bersih dan praktek yang baik. CobIT framework mencakup tujuan pengendalian yang terdiri dari 4 domain:
Planning and Organization Mencakup pembahasan tentang identifikasi dan strategi investasi TI yang dapat memberikan yang terbaik untuk mendukung pencapaian tujuan bisnis. Selanjutnya identifikasi dan visi strategis perlu direncanakan, dikomunikasikan, dan diatur pelaksanaannya.
Acquisition an Implementation Untuk merealisasikan strategi TI, perlu diatur kebutuhan TI, diidentifikasi, dikembangnkan, atau diimplementasikan secara terpadu dalam proses bisnis perusahaan.
Delivery and Support Domain ini dipusatkan pada ukuran tentang aspek dukungan TI terhadap kegiatan operasional bisnis dan aspek urutan.
Monitoring Semua proses yang perlu dinilai secara berkala agar kualitas tujuan dukungan TI tercapai, dan kelengkapannya berdasarkan pada syarat control internal yang baik.
CobIT dan Sarbanes Oxley Perusahaan-perusahaan go public yang menjadi subyek UU SOX 2002 diwajibkan mengadopsi COSO internal control integrated framework, dan/atau CobIT dalam hal perusahaan menggunakan teknologi informasi. Namun jika harus memilih, otoritas pasar modal Amerika mendahulukan COSO daripada CobIT. Ruang lingkup CobIT mendekati informasi dalam arti luas, bukan hanya sebatas finansial information. Disamping itu COSO
hanya
menitikberatkan
pada
aspek-aspek
effectiveness, efficiency of operations, reliable of financial reporting, dan compliance with laws and regulations. Sedangan CobIT lebih luas dengan menambahkan aspek-aspek quality, dan security, menjadi: effectiveness, efficiency, confidentiality, integrity, availability, compliance, dan reliability of information. Perbedaan yang lain ialah bahwa COSO untuk manajemen secara luas, sedangkan CobIT lebih ke IT controls untuk manajemen, users, maupun auditor.
Kaitannya dengan Audit Dalam penugasan tertentu, dapat dimulai dengan memilih proses yang relevan dari proses-proses
tersebut.
memakai
Audit
tambahan
materi
Auditor
Guidelines untuk
dapat sebagai
merancang
prosedur audit. Auditor dapat memeriksa apakah
tiap-tiap
high
level
control
objective telah disusun atau ditetapkan atau dijalankan, apakah kriteria telah ditetapkan, dan apakah sudah mencakup aspek-aspek yang terkait.
Ilustrasi dari konsep CobIT/framework
SAC (SYSTEMS ASSURANCE AND CONTROL) SAC dipublikasikan pada tahun 1977 oleh the Institute of Internal Auditors (IIA), dan diupdates 1991 dan 1994. SAC sangat bermanfaat bagi profesi audit dan jasa assuarance pada umumnya dan bidang IS management. Bagi profesi audit, pengetahuan mengenai teknologi informasi sangat penting untuk membedakan pengertian effectiveness dengan obsolescences. SAC membantu para executive management, corporate governance entities, dan auditor untuk memahami, memonitor, dan menghindari technology risks. Dengan berkembangnya e-business dan electronic delivery, maka ditambahkan electronis pada judul sehingga menjadi e-SAC. Dengan bantuan hibah dari IBM, IIA kemudian dapat membentuk kontrak penugasan kepada Stanford Research Institute (SRI) untuk melakukan kajian secara independen yang kemudian menghasilkan laporan: executive summary, data processing control practices, dan data procesing audit practices. Pada tahun 1975 IIA telah menyadari makin pentingnya pengendalian intern pada sistem berbasis komputer, oleh karena itu tujuan kajian adalah:
Mengkaji secara komprehesif mengenai kondisi dan perkembangan teknologi informasi, kebutuhan kontrol dan auditnya.
Mendorong peningkatan kesadaran pimpinan tentang pengelolaan lingkungan teknologi informasi, dampaknya terhadap kontrol dan audit internal.
Meletakkan dasar-dasar kontrol internal TI dalam prespektifnya.
Pemutakhiran SAC yang pertama diterbitkan pada tahun 1991, dan merupakan suatu blockbuster dalam hal memberikan pedoman pada profesi auditing dan organisasi yang dilayani auditor berkitan dengan teknologi informasi, security nya, control dan auditing. Pada zaman yang serba elektronik saat ini, SAC menyediakan assurance untuk memahami pentingnya pengelolaan, baik dalam suatu organisasi itu sendiri maupun antar partner bisnis, untuk menjamin efektifitas keamanan, auditability, dan pengendalian informasi. Dalam pandangan SAC, pengendalian intern teknologi informasi mencakup tiga area:
Computer based information systems controls
Computer service center controls
Systems development controls
Berbagai indikator menandakan kecepatan perkembangnan, khusunya dibidang TI dan dampaknya dalam dua sisi: peluang dan risiko. TI kini tidak hanya sekedar sebagai pendukung strategi organisasi; tetapi sudah merupakan bagian integral darinya.
a. SAC adalah body of knowledge yang didesain untuk membantu internal auditor meningkatkan control dengan cara menjelaskan teknologi dan hal-hal berkaitan dengan audit tapi tidak menspesifikan pada audit detail. b. SAC mengajarkan auditor tidak hanya bagaimana cara mengembangkan audit, tapi juga bagaimana membentuk pengendalian intern. c. Laporan SAC mendifinisikan sistem pengendalian intern, menggambarkan komponenkomponennya, menyediakan klasifikasi kontrol, menggambarakan tujuan kontrol dan risikonya, dan menjelaskan peranan internal auditor. d. Laporan SAC inimemberikan pedoman dalam menggunaka, mengelola, dan mengamnakan sumber daya teknologi informasi dan mendiskusikan pengaruh-pengaruh end-user computing, telekomunikasi, dan kecanggihan teknologi. e. Laporan SAC menjelaskan sistem internal control sebagai sejumlah proses, fungsi, aktivitas, subsistem, dan orang-orang yang dikelompokkan bersama atau sengaja dipisahkan untuk menjamin efektivitas pencapaian sasaran dan tujuan. f. Sistem internal control terdiri dari tiga komponen yaitu: control environment, manual and automated systems, dan control procedures. Control environment mencakup struktur organisasi, control framework, kebijakan dan prosedur, serta pengaruh-pengaruh eksternal. Automated systems terdiri dari sistem dan aplikasi software. Control procedures terdiri dari general, application, dan compensating conrol. g. SAC memberikan lima skema internal control dalam sistem informasi: (a) preventive, detective, dan corrective, (b) discretionary dan non-dicretionary, (c) voluntary dan mandated, (d) manual and automated, (e) application maupun general controls. h. Salah satu SAC’s achievements adalah sensible definition of risks nya yang mencakup fraud, business interuption, errors, customer dissatisfaction, poor public image, dan ineffective dan inefficient use of resources. i. Control objectives mengurangi risiko-risiko tersebut dan menjamin integritas informasi, keamanan dan ketaatan. j. Tanggungjaawab
auditor
internal
mencakup
pemastian
memadai/tidaknya
sistem
pengenadlian intern, realibilitas data, dan penggunaan sumberdaya organisasi secara efisien. Internal
auditor
juga
terkait
dalam
pencegahan
dan
pendeteksian
fraud,
dan
mengkoordinasikan kegiatan dengan auditor eksternal. k. Integrasi audit dan keahlian dalam sistem informasi serta pemahaman dalam pengaruh teknologi informasi pada audit, adalah penting bagi internal auditor.
l. SAC membebankan tanggungjawab kepada internal auditor dalam mengevaluasi apakah control yang tepat telah berada pada tempatnya dan apakah kontrol itu berfungsi sebagaimana mestinya. m. Internal auditor mengumpulkan hasil audit keuangan, operasional dan sistem informasi pada manajemen dan komite audit. Internal audit juga mengartikulasikan biaya dan manfaat perubahan yang diusulkan untuk memperbaiki defisiensi sistem internal control. n. SAC tampaknya lebih mendukung dilaksanakannya evaluasi internal control setiap periode waktu tertentu, bukannya pada waktu tertentu. o. Menurut SAC, yang bertanggungjaawab terhadap pelaksanaan sistem internal control adalah manajemen. p. Primary audience untuk model SAC ini adalah internal auditor dan SAC juga lebih fous pada masalah berkaitan dengan teknologi informasi. q. Saat ini SAC klasik ini telah diperbaharui sehubungan dengan makin canggihnya teknologi informasi dan makin semaraknya penggunaan internet didunia, yang dikenal dengan nama electronic systems assurance and control dan disingkat e-SAC.
DAFTAR PUSTAKA Gandodiyoto, Sanyoto. (2007). Audit Sistem Informasi + Pendekatan CobIT. Edisi Revisi. Jakarta: Mitra Wacana Media.
Related Documents
Rkm 7b.docx
May 2020 2
Rkm Cobit.docx
December 2019 3
Rkm (autosaved).docx
May 2020 5
Juknis Rkm 2019-draft.docx
June 2020 13
7. Rkm R.15.docx
December 2019 15
20090329- Becoming Better - 32s - Rkm
April 2020 19More Documents from "viswanadham vangapally"