3.7. Elemen Sistem Pengendalian Intern (SPI) Versi COSO

KOMPONEN (ELEMEN) SPI – COSO

COSO (Committee of Sponsoring Organization) adalah suatu organisasi di US yang anggotanya terdiri dari AAA (the American Accounting Association), AICPA, IIA (the Institute of Internal Auditors), IMA (the Institute of Management Accountants), dan FEI (the Financial Executives Institute).

Komponen SPI Versi COSO

1.Lingkungan Pengendalian (control environment)

2.Aktivitas pengendalian (control activities)

3.Pengukuran risiko (risk assessment)

4.Sistem informasi dan komunikasi (information and communication system)

5.Pemantauan (monitoring)

LINGKUNGAN PENGENDALIAN

•Aspek terpenting atau fondasi utama dalam setiap organisasi adalah SDM, yang mencakup integritas, pemahaman etika, dan tingkat kompetensinya. Sikap mental dan prilaku SDM sangat dipengaruhi oleh lingkungannya, yang terdiri dari beberapa faktor sbb.:

1.Komitmen terhadap integritas dan etika profesional

2.Filosofi manajemen dan gaya operasi organisasi

3.Struktur ogranisasi, untuk mempertegas garis otoritas dan tanggungjawab,  memberikan pedoman untuk perencanaan, pengarahan, dan pengendalian operasi.

4.Efektifitas peran dewan komisaris dan komite audit. Komite audit bertanggungjawab mengawasi struktur pengendalian interen perusahaan, proses pelaporan keuangan, serta kepatuhan perusahaan terhadap undang-undang, peraturan, serta berbagai ketentuan yang berlaku.

5.Metode penetapan otoritas dan tanggungjawab

6.Kebijakan dalam bidang sumber daya manusia (SDM)

7.Pengaruh eksteren.

AKTIVITAS PENGENDALIAN (CONTROL ACTIVITIES)

1.Ketepatan otorisasi transaksi. Klasifikasi otorisasi:

a.Otorisasi khusus (specific authorization), otorisasi yang diberikan secara terbatas untuk melaksanakan transaksi atau aktivitas yang bersifat khusus dan tidak terjadi secara rutin.

b.Otorisasi umum (general authorization), yaitu otorisasi yang diberikan secara penuh tanpa diperlukan persetujuan khusus untuk melaksanakan transaksi atau kegiatan rutin.

2.Pemisahan fungsi, mencakup fungsi:

a.Otorisasi

b.Pencatatan (recording)

c.Penyimpanan (custody)

4.Pembatasan akses terjadap aset, catatan, dan informasi.

5.Pengecekan independen, bisa mencakup:

a.   Rekonsiliasi dua catatan (record) secara independen.

b.   Audit, untuk pembandingan data/laporan dengan fakta.

c.  Double-Entry Accounting, debit harus sama dengan kredit.

d.  Batch totals atau jumlah kelompok, dalam hal data diproses secara kelompok.

1.  Mengidentifikasi ancaman, dalam bentuk:

a.   Ancaman strategik, seperti melakukan hal yang salah.

b.  Ancaman operasional, seperti melakukan hal yang benar dengan cara yang salah.

c.  Ancaman finansial, seperti pemborosan dan hilangnya asset.

d.  Ancaman informasi, seperti informasi yang salah atau tidak relevan.

 

2.   Jika perusahaan menggunakan EDI (electronic data interchange), ancaman atau risiko bisa dalam bentuk:

a.Ketidaktepatan pemilihan teknologi.

b.Akses sistem tanpa otorisasi

c.Gangguan transmisi data

d.Gangguan integritas data

e.Transaksi tidak terlaksana dengan sempurna

f.Kerusakan sistem

g.Sistem tidak kompatibel

 

Sumber: http://webcache.googleusercontent.com/search?q=cache:ckmnciJgfjcJ:akuntansiku.yolasite.com/resources/SIA_STIE/CH%25207%2520CONTROL%2520%2526%2520AIS.pptx+&cd=30&hl=en&ct=clnk

3.3. HAMBATAN PASIF dan CONTOHNYA

Hambatan/Ancaman itu adalah suatu eksploitasi potensial dari kerentanan sebuah sistem.

Hambatan pasif adalah hambatan yang disebabkan secara tidak sengaja.Contoh ancaman pasif adalah sistim bermasalah, seperti karena bencana alam. Sistem bermasalah juga karena kegagalan-kegagalan peralatan dan komponen. Berbeda dengan hambatan aktif yang secara sengaja menghambat sistem, hambatan pasif biasanya diakibatkan oleh ketidaksengajaan atau tidak direncanakannya hambatan tersebut. hambatan pasif mencakup kesalahan-kesalahan system, termasuk gangguan alam, seperti gempa bumi, banjir, kebakaran, dan badai. Kesalahan system mewakili kegagalan peralatan komponen seperti kelemahan disk, kekurangan tenaga, dan sebagainya. Untuk mencegah hal-hal yang tidak diinginkan pada hambatan pasif yaitu pada perangkat keras dapat dilakukan dengan cara full backup data.

Sumber: http://rnurinaramadhani.blogspot.com/2013_01_01_archive.html

3.6. PENGENDALIAN INTERN (COSO)

Definisi internal control menurut COSO

Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:

• Efektifitas dan efisiensi operasional

• Reliabilitas pelaporan keuangan

• Kepatuhan atas hukum dan peraturan yang berlaku

 

Dokumen COSO menyatakan bahwa pihak-pihak yang terlibat terkait PengendalianInternal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yangmendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawabatas penetapan, penjagaan, dan pengawasan sistem Pengendalian Internal adalahtanggung jawab manajemen.

 

 Komponen Struktur Pengendalian Intern

Untuk mencapai suatu pengendalian intern yang benar-benar memadai, terdapat  komponen dasar kebijakan yang dirancang dan digunakan oleh manajemen.

Komponen pengendalian intern menurut COSO (The Committee of  Sponsoring Organizations) oleh Wing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” Ada lima, yaitu:

    “1.   Control environment atau lingkungan pengendalian

      2.   Control activities atau kegiatan pengendalian

2. Risk assessment atau pemahaman risiko
3. Information and communication atau informasi dan komunikasi
4. Monitoring atau pemantauan”.

Menurut kutipan diatas dapat diuraikan sebagai berikut:

1. Lingkungan pengendalian

Lingkungan pengendalian merupakan sarana dan prasarana yang ada di dalam organisasi atau perusahaan untuk menjalankan struktur pengendalian intern yang baik. Beberapa komponen yang mempengaruhi lingkungan pengendalian intern adalah:

1. Komitmen manajemen terhadap integritas dan nilai-nilai etika      (Commitment to integrity and ethical values).
2. Filosofi yang dianut oleh manajemen dan gaya operasional yang dipakai   oleh manajemen (Manajement’s philosophy and operating style).
3. Struktur organisasi (Organizational structure).
   1. Komite Audit untuk Dewan Direksi (The audit committee of the board of directors).
   2. Metode pembagian tugas dan tanggung jawab (Methods of assigning authority and responsibility).
   3. Kebijakan dan praktik yang menyangkut sumber daya manusia (Human resources policies and practices).
   4. Pengaruh dari luar (External influences).
   5. Kegiatan pengendalian

Kegiatan pengawasan merupakan berbagai proses dan upaya yang dilakukan oleh manajemen perusahaan untuk menegakkan pengawasan atau pengendalian operasi perusahaan. COSO mengidentifikasi setidak-tidaknya ada lima hal yang dapat diterapan oleh perusahaan, yaitu:

1. Pemberian otorisasi atas transaksi dan kegiatan (Proper authorization of transactions and activities).
2. Pembagian tugas dan tanggung jawab (Segregation of duties).
   1. Rancangan dan penggunaan dokumen dan catatan yang baik (Design and use of adequate documents and records).
   2. Perlindungan yang cukup terhadap kekayaan dan catatan perusahaan (Adequate safeguards of assets and records).
   3. Pemeriksaan independen terhadap kinerja perusahaan (Independent checks on performance).
3. Pemahaman risiko

Manajemen perusahaan harus dapat mengidentifikasi berbagai risiko yang dihadapi oleh perusahaan. Dengan memahami risiko, manajemen dapat mengambil tindakan pencegahan, sehingga perusahaan dapat menghindari kerugian yang besar. Ada tiga kelompok risiko yang dihadapi perusahaan, yaitu:

1. Risiko strategis, yaitu mengerjakan sesuatu dengan cara yang salah (misalnya: harusnya dikerjakan dengan komputer ternyata dikerjakan secara manual).
2. Risiko finansial, yaitu risiko menghadapi kerugian keuangan. Hal ini dapat disebabkan karena uang hilang, dihambur-hamburkan, atau dicuri.
3. Risiko informasi, yaitu menghasilkan informasi yang tidak relevan, atau informasi yang keliru, atau bahkan sistem informasinya tidak dapat dipercaya.

4.   Informasi dan Komunikasi

Perancang sistem informasi perusahaan dan manajemen puncak harus mengetahui hal-hal di bawah ini:

1. Bagaimana transaksi diawali

b.   Bagaimana data dicatat ke dalam formulir yang siap di-input ke sistem komputer atau langsung dikonversi ke sistem komputer.

c.   Bagaimana file data di baca di organisasi dan diperbaharui isinya

d.   Bagaimana data diproses agar menjadi informasi dan informasi diproses lagi    menjadi informasi yang lebih berguna bagi pembuat keputusan

e.   Bagaimana informasi yang baik dilakukan

f.    Bagaimana transaksi berhasil

4.   Pemantauan

Pemantauan adalah kegiatan untuk mengikuti jalannya sistem informasi akuntansi, sehingga apabila ada sesuatu berjalan tidak seperti yang diharapkan, dapat diambil tindakan segera. Berbagai bentuk pemantaun di dalam perusahaan dapat dilaksanakan dengan salah satu atau semua proses berikut ini:

1. Supervisi yang efektif  (effective supervision)

yaitu manajemen yang lebih atas mengawasi manajemen dan karyawan di bawahnya.

1. Akuntansi pertanggungjawaban (responsibility accounting)

yaitu perusahaan menerapkan suatu system akuntansi yang dapat digunakan untuk menilai kinerja masing-masing manajer, masing-masing departemen, dan masing-masing proses yang dijalankan oleh perusahaan.

1. Audit internal (internal auditing)

yaitu pengauditan yang dilakukan oleh auditor di dalam perusahaan.

Dari uraian di atas dapat disimpulkan bahwa komponen pengendalian intern terdiri dari: lingkungan pengendalian, kegiatan pengawasan, pemahaman risiko, informasi dan komunikasi sreta pemantauan.

2.2.3        Kegiatan Pengendalian Intern

Menurut Wing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” kegiatan pengendalian intern terdiri dari:

    “1    Pemberian otorisasi atas transaksi dan kegiatan

      2.   Pembagian tugas dan tanggung jawab

      3.   Perancangan dan penggunaan dokumen dan catatan yang baik

1. 4.      Perlindungan yang cukup terhadap kekayaan dan catatan perusahaan
2. 5.      Pemeriksaan independen terhadap kinerja perusahaan”.

Menurut kutipan diatas dapat diuraikan sebagai berikut:

1.   Pemberian otorisasi atas transaksi dan kegiatan

Otorisasi adalah pemberian sebagian kekuasaan manajemen kepada karyawan untuk melakukan kegiatan dan mengambil keputusan. Hal ini perlu dilakukan karena manajemen tidak akan mampu membuat semua keputusan dan menjalankan semua kegiatan di dalam perusahaan.

2.   Pembagian tugas dan tanggung jawab

Tidak ada satu karyawan atau satu bagian pun yang dapat menyelesaikan suatu transaksi tanpa campur tangan pihak lain. Wewenang dan tanggung jawab di bagi atas tiga fungsi, yaitu:

1. Fungsi penyimpanan
2. Fungsi pencatatan
3. Fungsi pemberian otorisasi

3.   Perancangan dan penggunaan dokumen dan catatan yang baik

Dokumen akan disimpan dalam waktu yang lama. Oleh karenanya, bahan yang digunakan untuk membuat dokumen juga harus merupakan bahan yang tahan lama dan berkualitas baik.

4.   Perlindungan yang cukup terhadap kekayaan dan catatan perusahaan

Perlindungan yang dapat dilakukan oleh perusahaan, agar tidak terjadi pencurian dan penggunaan tanpa otorisasi, diantaranya dengan melakukan hal-hal di bawah ini:

1. Pengawasan dan pembagian tugas dan tanggung jawab yang baik
2. Penyelenggaraan catatan aktiva dan penyajian informasi yang akurat
3. Pembatasan akses fisik terhadap kas dan berbagai dokumen penting
4. Penyediaan tempat penyimpanan yang baik
5. Pembatasan akses ruang-ruang penting

5.   Pemeriksaan independent terhadap kinerja perusahaan

Pemeriksaan kinerja ini dapat dilakukan dengan salah satu langkah berikut:

1. Melakukan rekonsiliasi antara dua catatan yang terpisah atau berbeda mengenai suatu rekening
2. Membandingkan antara jumlah unit persediaan di gudang dengan jumlah menurut catatan persediaan

c.  Menyelenggarakan double entry bookkeeping, yaitu metode pencatatan   yang selalu melibatkan setidak-tidaknya dua rekening untuk mencatat satu transaksi

d.   Menjumlah berbagai hitungan dengan cara batch totals, yaitu penjumlahan  dari atas ke bawah.

Dari uraian di atas dapat disimpulkan bahwa kegiatan pengendalian intern meliputi pemberian otorisasi transaksi dan kegiatan, pembagian tugas dan tanggung jawab, perancangan dan penggunaan dokumen dan catatan yang baik, perlindungan yang cukup terhadap kekayaan dan catatan perusahaan, dan pemeriksaan independent terhadap kinerja perusahaan.

2.2.5    Keterbatasan Pengendalian Intern

Menurut Azhar Susanto dalam bukunya ‘Sistem Informasi Akuntansi” menyatakan bahwa ada beberapa keterbatasan dari pengendalian intern, sehingga pengendalian intern tidak dapat berfungsi, yaitu:

1.   Kesalahan

2.   Kolusi

3.   Penyimpangan Manajemen

4.   Manfaat dan Biaya

Menurut kutipan diatas dapat diuraikan sebagai berikut:

1.  Kesalahan muncul ketika karyawan melakukan pertimbangan yang salah atau perhatiannya selama bekerja terpisah.

2. Kolusi terjadi ketika dua atau lebih karyawan berkonspirasi untuk melakukan   pencurian (korupsi) di tempat mereka bekerja.

3. Penyimpangan manajemen muncul karena manajer suatu organisasi memiliki lebih banyak otoritas dibandingkan karyawan biasa, proses pengendalian efektif pada tingkat manajemen bawah dan tidak efektif pada tingkat atas.

4.  Manfaat dan biaya, konsep jaminan yang meyakinkan atau masuk akal mengandung arti bahwa biaya pengendalian intern tidak melebihi manfaat yang dihasilkan.

Dari uraian di atas dapat disimpulkan bahwa keterbatasan pengendalian intern meliputi: Kesalahan, kolusi, penyimpangan manajemen, serta manfaat dan biaya.

2.3       Struktur Pengendalian Intern Penjualan

Struktur pengendalian intern penjualan merupakan hal pokok untuk lebih diperhatikan oleh seorang pimpinan perusahaan karena struktur pengendalian intern penjualan merupakan alat untuk mengetahui apakah aktivitas penjualan yang dilakukan oleh perusahaan sudah cukup baik atau belum, sehingga dapat diketahui besar volume penjualan yang telah dilakukan oleh perusahaan dalam suatu periode. Struktur pengendalian intern juga merupakan proses untuk mencapai tujuan tertentu.

Komponen struktur pengendalian intern yang seharusnya ada dalam siklus penjualan dirancang untuk mencapai tujuan pokok pengendalian administratif, menjaga kekayaan perusahaan, dan menjamin ketelitian serta keandalan data akuntansi. Tujuan  pengendalian intern juga harus mencapai hal-hal yang berkaitan dengan masalah yang dihadapi dan ditunjukkan sebagai pelaksanaan dan tindakan pengamanan terhadap harta yang dimiliki. Adapun komponen dari struktur pengendalian intern menurut COSO (The Committee of  Sponsoring Organizations) oleh Wing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” Ada lima, yaitu:

    “1.   Control environment atau lingkungan pengendalian

      2.   Control activities atau kegiatan pengendalian

3.   Risk assessment atau pemahaman risiko

4.   Information and communication atau informasi dan komunikasi

5.   Monitoring atau pemantauan”.

      Berdasarkan uraian tersebut dapat diungkapkan bahwa apabila komponen-komponen struktur pengendalian intern tersebut dijalankan dengan baik, maka tujuan dari suatu perusahaan pun akan tercapai.

Aktivitas penjualan merupakan pendapatan utama perusahaan, karenanya jika aktivitas penjualan barang tidak dikelola dengan baik maka secara langsung akan merugikan perusahaan. Hal ini disebabkan oleh sasaran penjualan yang diharapkan tidak tercapai dan pendapatan perusahaan pun berkurang, maka dari itu dalam melakukan aktivitas penjualan pengendalian intern penjualan sangatlah diperlukan.

Sumber: http://www.scribd.com/doc/60065655/Internal-Control-Menurut-COSO

                 http://elib.unikom.ac.id/download.php?id=1338

3.5. COBIT

COBIT (Control Objective for Information Related Tecnology)

(weber, p57) COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance.

Cobit dikenal luas sebagai standard defacto untuk kerangka kerja tata kelola TI (IT Governance) dan yang terkait dengannya. Di sisi lain standard/framework ini terus berevolusi sejak pertama kali diluncurkan di 1996 hingga rilis terakhir yaitu CobiT 5 yang diluncurkan pada Juni 2012 yang lalu. Pada setiap rilisnya, kerangka kerja ini melakukan pergeseran-pergeseran beberapa paradigma.

COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool).

COBIT  telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian dan keamanan.

COBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen COBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT.

Alat-alat tersebut yaitu :

1. Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI)
2. Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari tiap proses TI
3. Model maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan

Komponen COBIT terdiri dari Executive Summary, Framework, Control Objectives, Audit Guidelines, Implemenation Tool Set, Management Guidelines

COBIT memiliki misi melakukan riset, mengembangkan, mempublikasikan, dan mempromosikan makalah-makalah, serta meng-update tatanan atau ketentuan TI controls objective yang dapat diterima umum (generally accepted control objectives) berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya.

Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi informasi (Information Technology Governance).

 

Kerangka Kerja COBIT

(Calder, p147) Kerangka kerja COBIT, terdiri dari tujuan pengendalian tingkat tinggi dan struktur klasifikasi keseluruhan. Terdapat tiga tingkat (level) usaha pengaturan TI yang menyangkut manajemen sumberdaya TI. Mulai dari bawah, yaitu kegiatan dan tugas (activities and tasks) yang diperlukan untuk mencapai hasil yang dapat diukur. Dalam Aktivitas terdapat konsep siklus hidup yang di dalamnya terdapat kebutuhan pengendalian khusus. Kemudian satu lapis di atasnya terdapat proses yang merupakan gabungan dari kegiatan dan tugas (activities and tasks) dengan keuntungan atau perubahan (pengendalian) alami. Pada tingkat yang lebih tinggi, proses biasanya dikelompokan bersama kedalam domain.

Pengelompokan ini sering disebut sebagai tanggung jawab domain dalam struktur organisasi dan yang sejalan dengan siklus manajemen atau siklus hidup yang dapat diterapkan pada proses TI.

 Gambar 5. Tiga tingkat usaha pengaturan TI

Selanjutnya, konsep kerangka kerja dapat dilihat dari tiga sudut pandang, yaitu (1) kriteria informasi (information criteria), (2) sumberdaya TI (IT resources), dan (3) proses TI (IT processes).

Ketiga sudut pandang tersebut digambarkan dalam kubus COBIT sebagai berikut :

Gambar 6.  Kubus COBIT

Dalam kerangka kerja sebelumnya, domain diidentifikasikan dengan memakai susunan manajemen yang akan digunakan dalam kegiatan harian organisasi. Kemudian empat domain yang lebih luas diidentifikasikan, yaitu PO, AI, DS, dan ME.

Definisi keempat domain tersebut, dimasukan dalam klasifikasi tingkat tinggi sebagai berikut :

1. PO,   domain ini mencakup level strategis dan taktis, dan konsennya pada identifikasi cara TI  yang dapat menambah pencapaian terbaik tujuan-tujuan bisnis.
2. AI,  untuk merealisasikan strategi TI,  solusi TI yang perlu diidentifikasikan, dikembangkan atau diperlukan, juga diimplementasikan dan diintegrasikan dalam proses bisnis.
3. DS,  domain ini menyangkut penyampaian aktual dari layanan yang diperlukan, dengan menyusun operasi tradisional terhadap keamanan dan aspek kontinuitas sampai pada pelatihan,  domain ini termasuk proses data aktual melalui sistem aplikasi, yang sering diklasifikasikan dalam pengendalian aplikasi.
4. ME, semua proses TI perlu dinilai secara teratur atas suatu waktu untuk kualitas dan pemenuhan kebutuhan pengendalian. Domain ini mengarahkan kesalahan manajemen pada proses pengendalian organisasi dan penjaminan independen  yang disediakan oleh audit internal dan eksternal atau diperolah dari sumber alternatif.

Proses-proses TI ini dapat diterapkan pada tingkatan yang berbeda dalam organisasi, misalnya tingkat perusahaan, tingkat fungsi dan lain-lain.

Jelas bahwa semua ukuran pengendalian perlu memenuhi kebutuhan bisnis yang berbeda untuk informasi pada tingkat yang sama.

Pertama adalah tingkat tujuan pengendalian yang diterapkan secara langsung mempengaruhi kriteria informasi terkait.

Kedua adalah tingkat tujuan pengendalian yang ditetapkan hanya memenuhi tujuan pengendalian atau secara tidak langsung kriteria informasi terkait.

Blank dapat diterapkan namun kebutuhannya lebih memenuhi kriteria lain dalam proses ini atau yang lainnya.

Agar organisasi mencapai tujuannya, pengaturan TI harus dilaksanakan oleh organisasi untuk menjamin sumberdaya TI yang dijalankan oleh seperangkat proses TI

Dari pengertian IT governance dapat kita simpulkan bahwa IT governance memastikan penggunaan TI dapat diukur dan dihitung (accountable). Artinya suatu keberhasilan TI harus dapat diukur dan dihitung keberhasilannya. Governance mendefinisikan tanggung jawab dan aturan dalam penerbitan kebijakan dan membuat keputusan ketika beberapa partai terlibat dalam suatu relasi bisnis. Governance berfokus pada strategi, peningkatan performa, segi-segi ekonomi dan resolusi konflik.

Dalam sebuah IT governance terdapat beberapa pemangku kepentingan. Dibawah ini dapat kita lihat pemangku kepentingan dan peranan-peranannya:

1. Board and Executive

Menentukan arah pada TI, memantau hasil dan memastikan ketepatan implementasi

1. Business management

Menguraikan kebutuhan-kebutuhan bisnis untuk TI dan memastikan nilai-nilai tersebut dikirimkan dan resiko terkelola.

1. IT management

Memberikan dan meningkatkan pelayanan TI seperti yang dibutuhkan pada bisnis.

1. IT audit

Menyediakan kepastian yang independen untuk mendemonstrasikan bahwa TI menyediakan apa yang diperlukan.

1. Risk and compliance

Mengukur kepatuhan pada aturan-aturan dan focus pada resiko yang mungkin muncul.

Kelima pemangku IT governance diatas haruslah saling bekerja sama dan berkontribusi dalam mengontrol dan mengendalikan implementasi dari TI.

IT governance memiliki 2 tujuan yang berkaitan yakni:

1. Conformance objective( penyesuaian) – berfokus pada “corporate governance”

IT berfungsi sebagai pengiriman dan pelaporan data, dalam hal ini IT harus dapat memastikan:

Integritas informasi

Ketepatan waktu untuk mempercepat pengambilan keputusan

Menyediakan laporan untuk keperluan pimpinan

Mengotomatisasi penangkapan data.

1. Performance objective –  berfokus pada “bisnis governance”. Meliputi

IT value delivery

Strategic Alignment of IT

IT resource management

IT risk management

IT performance management

(Moeller, p167) Tujuan dari IT governance secara umum adalah memastikan pengimplementasian IT dalam perusahaan berjalan sesuai dengan rencana strategis IT yang ditetapkan di awal dan memantau penggunaannya.

IT Governance memiliki focus pada:

1. Strategic Alignment (kesesuaian strategi), memiliki focus dalam memastikan hubungan antara bisnis dan rencana TI; menentukan, merawat dan memvalidasikan IT value proposition; dan pada aligning IT operation.
2. Value delivery (penyampaian nilai) adalah mengenai menjalankan value proposition  disemua bagian.
3. Resource management, berhubungan dengan optimalisasi dari pengetahuan dan infrastuktur yang ada.
4. Risk management, membutuhkan pengetahuan mengenai resiko oleh pimpinan.
5. Performance measurement, elacak dan memantau implementasi terhadap strategi, penyelesaian projek, penggunaan sumber daya, dan  performa proyek

COBIT Framework

COBIT Framework berdasarkan pada pernyataan bahwa IT harus mengirimkan informasi yang dibutuhkan perusahaan untuk mencapai suatu tujuan dan sasaran.

 Gambar 7. Arah pengiriman nilai TI

Dari gambar diatas dapat kita lihat bahwa informasi digunakan untuk mencapai sasaran bisnis. Untuk menciptakan sebuah informasi yang baik dan berintegritas tinggi diperlukan penangkapan data dari proses kemudian data tersebut dilah menjadi informasi. Informasi digunakan untuk membantu proses bisnis, pengambilan keputusan, dan lain sebagainya. Bisnis proses dilakukan secara simultan sesuai untuk mencapai sasaran bisnis.

Sebuah TI yang baik adalah TI yang dapat menyediakan informasi ketika dibutuhkan, dan informasi itu benar-benar berguna untuk peningkatan efektivitas proses bisnis. Apabila TI tidak bisa mencapai tujuan dan sasarannya maka yang terjadi adalah kegagalan proyek TI. COBIT Framework membantu meluruskan TI dan bisnis dengan cara memfokuskan kebutuhan informasi pada bisnis dan mengelola sumber daya IT. COBIT menyediakan framework dan tata cara untuk mengimplementasikan IT Governance.

Prinsip dasar dari COBIT Framework adalah untuk menghubungkan ekspektasi manajemen TI dengan tanggung jawab manajemen TI. Tujuan utamanya adalah untuk memfasilitasi IT governance untuk mengirimkan nilai TI untuk menanggulangi resiko TI.

Gambar 8. Hubungan antara Informasi dan Proses Bisnis

(Alvin, p189) Informasi adalah hasil pemrosesan data dari IT resources dan IT proses. Dalam sebuah tata kelola TI yang baik informasi yang dihasilkan harus berintegritas dan dapat mendukung proses bisnis. Pada skema diatas adalah skema hubungan informasi dan proses bisnis.

COBIT menjelaskan siklus hidup IT dengan 4 domain:

1. Perencanaan dan pengorganisasian
2. Pengumpulan dan implemen
3. Pengiriman dan dukungan
4. Pemantauan dan evaluasi

Pada domain perencanaan dan pengorganisasian strategi dan taktik diformulasikan, mengidentifikasi bagaimana TI dapat memberikan kontribusi yang besar dalam mencapai sasaran bisnis, merencanakan, mengkomunikasian dan mengatur realisasi dari visi strategi, dan mengimplementasikan infrastruktur organisasi dan teknologi.

Hal-hal yang dilakukan dalam perencanaan dan pengorganisasian:

1. Menentukan strategi perencanaan TI.
2. Mendefinisikan struktur informasi.
3. Menentukan arah teknologi.
4. Menentukan proses TI, organisasi dan relasi.
5. Mengkomunikasikan sasaran dan arah manajemen.
6. Mengatur sumber daya manusia TI
7. Mengatur kualitas
8. Menilai dan mengatur resiko
9. Mengatur proyek.

Pada domain kedua yakni pengumpulan dan implement sasaran yang ingin dicapai adalah mengindentifikasi, mengembangkan atau mengumpulkan, mengimplementasi dan mengintegrasikan solusi TI. Perubahan dalam dan mengelola sistem yang ada.

Hal-hal yang dilakukan dalam domain ini adalah:

1. Mengidentifikasi solusi otomatisasi
2. Mengumpulkan dan merawat aplikasi software
3. Memperbolehkan operasi dan penggunaan
4. Mendapatkan sumber daya IT
5. Mengatur perubahan
6. Menginstalasi dan mengakui solusi dan perubahan

Pada domain ketiga ini, yakni pengiriman dan dukungan. Sasaran yang inigin dicapai adalah pengiriman dari kebutuhan pelayanan, manajemen keamanan, kontinuitas, data dan fasilitas operasional, dan dukungan pelayanan untuk pengguna.

Hal-hal yang dilakukan dalam domain ini adalah:

1. Mendefinisikan dan mengatur level pelayanan
2. Mengatur pelayanan pihak ketiga
3. Mengatur performa dan kapasitas
4. Memastikan kontinuitas pelayanan
5. Memastikan keamanan sistem.
6. Mengidentifikasi dan alokasi biaya
7. Mengajari penggunaan sistem kepada user
8. Mengatur service desk dan incidents
9. Mengatur konfigurasi
10. Mengatur masalah
11. Mengatur data
12. Mengatur lingkungan fisik
13. Mengatur operasi

(Calder, p177) Sasaran pada domain pemantauan dan evaluasi adalah manajemen performa, memantau pengendalian internal, mengontrol kepatuhan, dan penguasaan.

Hal-hal yang dilakukan dalam domain ini adalah:

1. Memantau dan mengevaluasi performa TI
2. Memantau dan mengevaluasi pengendalian internal
3. Memastikan kepatuhan dari tuntutan
4. Menyediakan IT Governance

(Calder,h.180) COBIT memiliki criteria informasi yang baik, yakni:

1. Efektif dan Efisiensi

Berhubungan dengan informasi yang relevan dan berkenaan dengan proses bisnis, dan sebaik mungkin informasi dikirim tepat waktu, benar, konsisten, dan berguna.

1. Rahasia

Proteksi terhadap informasi yang sensitive dari akses yang tidak bertanggung jawab.

1. Integritas

Berhubungan dengan ketepatan dan kelengkapan dari sebuah informasi.

1. Ketersediaan

Berhubungan dengan tersedianya informasi ketika dibutuhkan oleh proses bisnis sekarang dan masa depan.

1. Kepatuhan
2. Nyata

Sumber: http://manajemen-ti.com/tata-kelola-audit/197-dulu-cobit-4-1-sekarang-cobit-5-apa-bedanya.html

https://www.google.com/#q=related:learn-cobit.blogspot.com/2010/10/apa-itu-cobit.html+apa+yang+dimaksud+COBIT

http://sigma.ac.id/tata-kelola-teknologi-informasi-menggunakan-cobit.html

3.4. COSO

Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keungan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.

Tahun 1992, COSO menyusun dan menerbitkan internal control integrated framework yang berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern. Kerangka ini diterima sebagai acuan umum pengendalian intern, yang penggunaannya mencakup penentuan tujuan pengendalian pelaporan keuangan dan proses operasional dalam konteks organisasional, sehingga perbaikan dan kontrol dapat dilakukan secara menyeluruh. Struktur pengendalian intern menurut COSO mencakup aktivitas pengendalian terkait pengendalian dengan pemrosesan informasi yaitu pengendalian umum dan pengendalian aplikasi.

Pada tahun 2004, COSO mengembangkan internal control integrated framework dengan menambahkan cakupan tentang manajemen dan strategi risiko yang selanjutnya dikenal dengan pendekatan enterprise risk management (ERM). Menurut kerangka tersebut, pengendalian intern merupakan bagian integral dari manajemen risiko.

Tujuan Pembentukan

COSO mendefinisikan pengendalian intern sebagai, sebuah proses yang dipengaruhi oleh dewan komisaris, manajemen dan pegawai perusahaan lainnya yang dibentuk untuk menyediakan keyakinan yang memadai/wajar berkaitan dengan pencapaian tujuan dalam kategori berikut:

➢ Efektifitas dan efisiensi aktivitas operasi

Kendali ini dimaksudkan untuk mendorong penggunaan yang efektif dan efisien atas sumber daya organisasi, hal ini mencakup personil untuk mengotimalkan sasaran perusahaan. Bagian penting dari kendali ini adalah informasi yang akurat untuk pengambilan keputusan internal.

➢ Kehandalan pelaporan keuangan

Secara legal dan profesional manajemen bertanggungjawab untuk menyiapkan laporan keuangan bagi investor, kreditur, dan para pemakai lainnya. Dalam rangka memenuhi tanggung jawab tersebut maka diperlukan adanya kendali untuk memastikan bahwa informasi tersebut disiapkan secara wajar menurut prinsip akuntansi yang berlaku secara umum (PAYBU).

➢ Ketaatan terhadap hukum dan peraturan yang berlaku

Konsekuensi logis dari pendirian suatu organisasi yang berorientasi publik adalah kewajiban legal, organisasi diwajibkan untuk mematuhi aturan hukum dan berbagai peraturan yang berlaku (misal, UU Pajak dan peraturan Bursa Efek). Kendali ini memiliki nilai penting dalam rangka memastikan bahwa oraganisasi dalam kelangsungan telah mematuhi dan taat terhadap hukum dan peraturan tersebut.

➢ Pengamanan aset entitas

Terkait dengan tujuan pelaporan publik manajemen, ditambahkan kategori baru yaitu pengamanan aset entitas. Nilai penting dari kendali ini adalah mencegah terjadinya akuisisi, penggunaan atau pemindahan aset yang tidak terotorisasi yang dapat memiliki efek material terhadap laporan keuangan.

Stakeholder

Setiap personel berperan dalam implementasi pengendalian internal perusahaan, tetapi tanggung jawab penyedia dan pelaksana pengendalian internal adalah manajemen senior, dalam hal ini CEO dan CFO. CEO berperan sebagai “pemberi warna” dan juga memberikan contoh kepada anggota lain. Sedangkan CFO dan manajemen senior lainnya berperan dalam proses desain, implementasi dan monitoring sistem pelaporan keuangan perusahaan.

Dewan komisaris dan komite audit menyediakan, panduan dan pengawasan. Anggota dewan komisaris dan komite audit harus objektif, mampu, dan kritis. Mereka juga harus menitikberatkan pada peran pengawasan, selain itu mereka juga harus mengetahui lingkungan bisnis perusahaan, aktifitas pelaporan dan sistem pengendalian internal.

Secara garis besar stakeholder atas COSO yaitu Entitas; regulator; penyusun standar; organisasi profesi; intitusi pendidikan. Namun, pihak yang bertanggung jawab dan terbebani yaitu Dewan Komisaris, manajemen dan pegawai lainnya, sedangkan pihak yang diuntungkan adalah entitas dan pengguna informasi.

Overview COSO

Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:

1. Lingkungan pengendalian

2. Penilaian resiko

3. Aktifitas pengendalian

4. Informasi dan komunikasi

5. Pemantauan

1. Lingkungan Pengendalian

Lingkungan pengendalian menempatkan kualitas dalam organisasi, mempengaruhi kesadaran pengendalian terhadap pegawainya. Hal ini juga merupakan dasar bagi komponen pengendalian internal yang lain, menyiapkan disiplin dan struktur. Faktor lingkungan pengendalian meliputi integritas, nilai etis, gaya operasi manajemen, sistem pelimpahan wewenang, serta proses untuk mengatur dan mengembangkan sumber daya manusia dalam organisasi.

1. Integritas dan Nilai etika

1. Ada dan diterapkannya kode etik

2. Bekerjasama dengan karyawan, pemasok dan lain-lain dengan integritas yang tinggi

3. Tekanan mencapai target yang tidak realistis dan target ini dipakai sebagai ukuran kinerja

2. Komitmen atas kompetensi

1. Deskripsi pekerjaan formal atau informal

2. Analisis mengenai kompetensi dalam mengisi formasi pegawai

3. Dewan Komisaris/Komite Audit

1. Independen dari manajemen

2. Frekuensi dan ketepatan pertemuan dengan CFO, internal auditor maupun eksternal auditor

3. Penyediaan informasi yang penting dan tepat waktu untuk memungkinkan pemantauan atas tujuan dan strategi manajemen, performa keuangan perusahaan dan syarat-syarat atas perjanjian penting

4. Filosofi Manajemen dan Gaya Operasi

1. Resiko bisnis yang diterima, ini bisa berbentuk risk adverse atau risk taker

2. Frekuensi pertemuan manajemen puncak dan manajemen operasi, terutama ketika beroperasi dalam wilayah geografis yang berbeda

3. Sikap dan tindakan berkaitan dengan pelaporan keuangan termasuk juga mengenai perbedaan pendapat atas perlakuan akuntansi yang diterima.

5. Struktur organisasi

1. Kelayakan struktur organisasi dan tersedianya jalur informasi yang layak

2. Kecukupan pembagian tanggung jawab diantara manajer

3. Kemampuan dan pengalaman manajer dalam memenuhi tanggung jawabnya

6. Kewenangan dan Tanggung Jawab

1. Pendelegasian wewenang dan tanggung jawab disesuaikan dengan keperluan pencapaian tujuan perusahaan, peraturan yang berlaku, atau tujuan operasional.

2. Kecukupan standar dan prosedur yang berkaitan dengan pengendalian, termasuk juga deskripsi pekerjaan.

3. Kecukupan kuantitas dan kualitas pegawai dalam bidang akuntansi dan pemrosesan data disesuaikan dengan kompleksitas, sifat dan ukuran entitas.

7. Kebijakan dan praktek berkaitan dengan manajemen SDM

1. Adanya kebijakan dan prosedur berkaitan dengan penerimaan, pelatihan dan promosi pegawai.

2. Untuk kasus yang tidak sesuai dengan kebijakan yang berlaku, maka prosedurnya harus diulang

3. Kecukupan pengecekan mengenai latar belakang pegawai

4. Kecukupan kriteria promosi dan teknik-teknik pengumpulan informasi berkaitan dengan kode etik pegawai.

II. Penilaian Risiko

Setiap organisasi dalam mencapai tujuannya menghadapi berbagai macam risiko baik eksternal maupun internal. Resiko ini bermacam-macam dilihat dari dampak ataupun tingkat keseringan terjadinya, misalkan resiko kebakaran tentu berbeda dengan resiko pencurian dana kas di cash register tentu berbeda dampak dan frekuensi terjadinya. Penilaian risiko merupakan tindakan yang penting untuk menentukan pengelolaan risiko. Aspek-aspek penilaian resiko adalah sebagai berikut:

1. Tujuan

Tujuan entitas dapat bersifat eksplisit atau implisit, biasanya tercermin dalam misi atau nilai entitas. Lebih spesifik lagi, tujuan terdapat dalam rencana strategis perusahaan yang merupakan tujuan tingkat entitas. Tujuan ini kemudian dikaitkan dengan tujuan tingkat aktifitas. Kategori tujuan terdiri dari :

1. Tujuan operasi, memasukkan unsur efektif dan efisien termasuk juga tujuan kinerja dan tujuan laba dan pengamanan terhadap sumber daya.

2. Tujuan pelaporan keuangan, yang menitikberatkan pada penyusunan laporan keuangan yang andal sesuai dengan standar.

3. Tujuan kepatuhan, yang menitikberatkan pada ketaatan kepada hukum dan peraturan yang berlaku.

2. Identifikasi dan analisa resiko

Identifikasi dan analisa resiko harus bisa mencakup semua resiko yang signifikan dalam pencapaian tujuan. Proses identifikasi dan analisa resiko biasanya berulang-ulang dan terintegrasi dalam proses perencanaan.

1. Resiko tingkat entitas

Resiko ini bersumber dari internal dan eksternal perusahaan, entitas harus bisa mendeteksi resiko semacam ini, berikut resiko-resiko entitas baik internal maupun eksternal.

2. Resiko tingkat aktifitas

Semua aktifitas yang signifikan harus diidentifikasikan resiko yang mungkin timbul. Resiko aktifitas sendiri mungkin signifikan atau tidak, relevan atau tidak. Dalam identifikasi dan analisis resiko penting untuk memperhatikan dampak yang ditimbulkan resiko dan frekuensi resiko terjadi.

3. Manajemen perubahan

Setiap entitas harus mempunyai sebuah prosedur, baik formal atau informal, untuk mengidentifikasikan kondisi-kondisi yang menghalangi kemampuan perusahaan dalam mencapai tujuannya. Mekanisme ini harus mampu mengantisipasi perubahan yang signifikan untuk dapat menghindari masalah atau memanfaatkan peluang yang muncul dari perubahan itu.

III.Aktivitas Pengendalian

Aktivitas pengendalian adalah kebijakan dan prosedur yang memastikan arahan manajemen dilaksanakan. Aktivitas pengendalian terjadi di seluruh bagian organisasi, baik pada berbagai tingkatan maupun berbagai fungsi yang meliputi otorisasi, verifikasi, rekonsiliasi, review kinerja operasi, keamanan aset, pemisahan wewenang dan tanggung jawab. Aktifitas pengendalian dapat bersifat preventif atau detektif, manual atau otomatis, atau review manajemen.

Aspek-aspek aktifitas pengendalian:

1. Prosedur dan Kebijakan

Kebijakan berfungsi menetapkan apa yang harus dilakukan sedangkan prosedur adalah tindakan personel untuk menjalankan kebijakan. Keduanya membantu memastikan bahwa arahan manajemen mengenai resiko dijalankan. Kebijakan dan prosedur dapat dibagi menjadi 3 kategori yaitu operasi, pelaporan keuangan dan ketaatan.

Berbagai jenis pengendalian dapat diterapkan untuk memastikan bahwa tujuan akan terpenuhi. Aktifitas pengendalian dapat diklasifikasikan menjadi :

1. Pengendalian preventif

2. Pengendalian detektif

3. Pengendalian manual

4. Pengendalian otomatis

5. Pengendalian manajemen

2. Sistem pengendalian Informasi

Terdiri dari 2 macam pengendalian yaitu : pengendalian umum dan pengendalian khusus. Pengendalian ini berlaku baik bagi mainframe ataupun komputer pengguna.

1. Pengendalian umum

• Operasi pusat data, meliputi tindakan backup, pengesetan dan pengecekan komputer, dan tindakan-tindakan kontijensi ketika terjadi bencana atas pusat data.

• Software sistem, pengendalian atas perolehan, penggunaan dan perawatan software baik sistem operasi maupun software pendukung lainnya termasuk software keamanan, basis data dan yang lain.

• Keamanan akses, semua akses ke sistem harus diotorisasi yang dapat berupa id khusus dengan password atau nomor-nomor tertentu.

• Metodologi pengembangan sistem, mencakup desain sistem dan implementasi sistem, fase-fase pengembangan, dokumentasi yang diharuskan, pengesahan dan pengujian untuk menekan biaya pengembangan sistem.

2. Pengendalian aplikasi

Pengendalian aplikasi didesain untuk memastikan kelengkapan dan akurasi pemrosesan transaksi, otorisasi dan validasi. Dalam banyak kasus, pengecekan komputer dapat mencegah terjadinya kesalahan dan mendeteksi serta mengkoreksi kesalahan.

Pengendalian umum diperlukan untuk mendukung pelaksanaan pengendalian aplikasi, sedangkan pengendalian aplikasi diperlukan untuk memastikan pemrosesan transaksi yang akurat dan lengkap.

3. Pengendalian entitas khusus

Karena masing-masing entitas memiliki tujuan dan strategi masing-masing, maka aktifitas pengendalian mungkin akan berbeda satu sama lain. Faktor-faktor yang mempengaruhi desain pengendalian internal adalah : kemampuan dan penilaian manajemen, lingkungan dan industri beroperasinya, kompleksitas dan sifat organisasi, penyebaran asset dan karyawan serta tingkat kerumitan operasi dan pemrosesan informasi.

IV. Informasi dan Komunikasi

Sistem informasi berperan dalam sistem pengendalian internal sebagai penghasil laporan, termasuk operasional, finansial, dan ketaatan, sehingga memungkinkan karyawan untuk melakukan aktifitas pengendalian dan juga untuk memperoleh informasi serta mengkomunikasikannya secara tepat waktu maupun tepat bentuknya. Ini akan memudahkan manajemen untuk melakukan dan mengendalikan bisnis dengan efektif.

V.Pemantauan

Pemantauan (monitoring) merupakan suatu proses yang menilai kualitas dari kinerja suatu sistem dalam suatu waktu. Sistem pengendalian internal harus dimonitor untuk mengetahui kualitas sistem pengendalian internal dari waktu ke waktu. Ketika monitoring diatur dengan baik perusahaan cenderung diuntungkan karena perusahaan akan dapat :

1. Mengidentifikasikan dan memperbaiki pengendalian internal pada waktu yang tepat.

2. Menyediakan informasi yang lebih akurat dan dapat diandalkan untuk pengambilan keputusan.

3. Menyediakan laporan keuangan yang akurat dan tepat waktu.

4. Berada dalam posisi kesiapan menyatakan pendapat mengenai kemampuan pengendalian internal.

 

Sumber: http://dc179.4shared.com/doc/jpR34Snj/preview.html

http://id.wikipedia.org/wiki/COSO

3.2. HAMBATAN AKTIF dan CONTOHNYA

Hambatan aktif dalam sistem adalah ancaman eksploitasi yang dilakukan oleh sekelompok orang atau perorangan yang tidak bertanggung jawab dalam penyalahgunaan sistem dengan memanipulasi prosedur yang sudah diatur. Tujuannya yaitu untuk kepuasan dari sang peminta/konsumen dan sang keuntungan sang pelaku pembuatnya.
Contohnya seperti penipuan dari komponen /isi dala komputer yang sudah dirubah secara semestina oleh oknum yang tidak bertanggung jawab demi keuntungan pribadi.

Contoh lain dari hambatan aktif yaitu adalah :

•   Data Tampering atau Data Diddling

Data Tampering adalah merubah data sebelum, atau selama proses dan sesudah proses dari sistem informasi.

Data diubah sebelum diproses yaitu pada waktu data ditangkap di dokumen dasar atau pada saat diverifikasi sebelum dimasukkan ke sistem informasi.

Data diubah pada saat proses sistem informasi biasanya dilakukan pada saat dimasukkan ke dalam sistem informasi.

Data diubah setelah proses sistem informasi yaitu dengan mengganti nilai keluarannya. Data diubah dapat diganti, dihapus atau ditambah.

Kegiatan data tampering ini biasanya banyak dilakukan oleh orang dalam perusahaan itu sendiri.

 

• Penyelewengan Program (Programming Fraud)

Dengan cara ini, program komputer dimodifikasi untuk maksud kejahatan tertentu. Teknik-teknik yang termasuk dalam kategori ini adalah virus, worm. trojan horse, round down technique, salami slicing, trapdoor, super zapping, logic bomb atau time bomb.

 

• Penetrasi ke Sistem Informasi

– Piggybacking

Piggybacking adalah menyadap jalur telekomunikasi dan ikut masuk ke dalam sistem komputer bersama-sama dengan pemakai sistem komputer yang resmi.

– Masquerading atau Impersonation

Masquerading atau Impersonation yaitu penetrasi ke sistem komputer dengan memakai identitas dan password dari orang lain yang sah. Identitas dan password ini biasanya diperoleh dari orang dalam.

– Scavenging

Scavenging yaitu penetrasi ke sistem komputer dengan memperoleh identitas dan password dari mencari di dokumen-dokumen perusahaan. Data identitas dan password diperoleh dari beberapa cara mulai dari mencari dokumen di tempat sampah sampai dengan mencarinya di memori-memori komputer.

– Eavesdropping

Eavesdropping adalah penyadapan informasi di jalur transmisi privat.

 

•  Pemanipulasian Masukkan

Dalam banyak kecurangan terhadap komputer, pemanipulasian masukkan merupakan metode yang paling banyak digunakan, mengingat hal ini dapat dilakukan tanpa memerlukan ketrampilan teknis yang tinggi.

• Penggantian Program

Pemanipulasian melalui program dapat dilakukan oleh para spesialis teknologi informasi.

• Penggantian Berkas Secara Langsung

Pengubahan berkas secara langsung umum dilakukan oleh orang yang punya akses secara langsung terhadap basis data.

• Pencurian Data

Pencurian data seringkali dilakukan oleh “orang dalam” untuk dijual.

Salah satu kasus yang terjadi pada Encyclopedia Britanica Company. Perusahaan ini menuduh seorang pegawainya menjual daftar nasabah ke sebuah pengiklan direct mail seharga $3 juta.

• Sabotase

Sabotase dapat dilakukan dengan berbagai cara oleh Hacker atau Cracker.
Hacker       : para ahli komputer  yang  memiliki  kekhususan  dalam
menjebol keamanan  sistem  komputer  dengan  tujuan
publisitas
Cracker    : penjebol sistem komputer yang bertujuan untuk melakukan pencurian atau merusak sistem.
Hambatan aktif sendiri dilakukan oleh oknum-oknum yang tidak bertanggung jawab dalam melakukan sebuah pekerjaan,
dan menyalahgunakan prosedur yang ada, dengan mengiming-imingi suatu hal untuk sebuah kepuasan konsumen.

Tiga kategori individu yang bisa menimbulkan serangan ke sistem informasi:
1.Karyawan sistim informasi
2.Para pemakai
3.Pengganggu

Hambatan aktif contohnya penipuan dalam sebuah komponen-komponen dari komputer dan sabotase.

Sumber :  http://rnurinaramadhani.blogspot.com/2013/01/32-jelaskan-hambatan-aktif-dan-contohnya.html

http://brisingrraudhr.blogspot.com/2012/11/hambatan-aktif-dan-contohnya.html

3.1. KERENTANAN SISTEM

Kerentanan adalah kondisi-kondisi yang ditentukan oleh faktor fisik, sosial, ekonomi, dan lingkungan atau proses-proses, yang meningkatkan kerentanan masyarakat terhadap dampak bahaya.

Kombinasi dari semua kekuatan dan sumber daya yang tersedia dalam sebuah komunitas, masyarakat atau organisasi yang dapat mengurangi tingkat risiko atau dampak dari bencana. Kapasitas dapat meliputi cara-cara fisik, institusional, sosial atau ekonomi, begitu juga personil yang kelengkapan keahlian personil atau kolektif, seperti kepemimpinan dan manajemen. Kapasitas juga dapat dijelaskan sebagai kapabilitas. (Sumber: Terminologi UN/ISDR).

Kerentanan: Sosial dan Organisasi

• Struktur keluarga: kuat atau lemah (family structures: strong/weak)
• Struktur administrasi dan peraturan perudang-undangan (legislation and administrative structures)
• Struktur pembuat keputusan/pengambil kebijakan: siapa terlibat, efektifitas (decision-making structures: who left in, out effectiveness)
• Tingkat partisipasi: oleh siapa? (participation levels: by whom?)
• Perpecahan/konflik: etnis, kelas, kasta, agama, ideologi, kelompok politik, kelompok sebahasa, dan struktur untuk menengahi konflik (divisions/conflicts: ethnic, class, caste, religion, ideology, political group, language group, and structures for mediating conflicts)
• Derajat keadilan/ketidakadilan, kesetaraan, akses terhadap proses politik (degree of justice/injustice, equality, access to political process)
• Organisasi masyarakat: formal/informal, tradisional, atau kepemerintahan (community organizations: formal/informal, traditional or governmental)
• Hubungan dengan pemerintah (relationship to government)
• Keterisolasian atau tidak ada hubungan dengan dunia luar (isolation or connectedness)

KERENTANAN DAN PENYALAH GUNAAN SISTEM

1. Pengamanan (security) merujuk pada kebijakan, prosedur dan pengukuran teknik yang digunakan untuk mencegah akses yang tidak sah, penggantian, pencurian atau kerusakan fisik pada sistem informasi

2. Pengendalian (control) terdiri atas semua metode, kebijakan, dan prosedur organisasi yang menjamin keselamatan aset-aset organisasi, ketepatan dan keandalan catatan rekeningnya serta kepatuhan operasional pada standar-standar manajemen.

HUBUNGAN ANTARA KERENTANAN, RISIKO DAN   BAHAYA

Konsep-konsep tentang kerentanan, bahaya, dan resiko berhubungan secara dinamis.

Hubungan elemen-elemen ini juga dapat di ungkapkan sebagai suatu rumus sederhana yang menggambarkan konsep tersebut dimana lebih besar peristiwa potensial dari suatu bahaya dan lebih mudah rentan suatu populasi, maka lebih besar resikonya.

SISTEM INFORMASI PERLU DILINDUNGI

1. Ketika terkonsentrasinya data dalam bentuk elektronik

2. Prosedur yang tidak tampak lagi karena otomatisasi proses

3. Sistem informasi rentan terhadap perusakan, penyalahgunaan, kesalahan (error), kecurangan dan gangguan pada hardware dan software.

4. Sistem informasi berbasis web merupakan sistem yang paling rentan karena dapat diakses oleh semua orang sehinga lebih mudah mendapat serangan dari pihak luar.

5. Tantangan pengamanan jaringan Nirkabel (Wi-Fi)

6. Adanya Software berbahanya ; Virus, Worm, Trojan Horse dan Spyware

7. Adanya Hacker/Cracker dan Vandalisme Maya (Cybervandalism) seperti :  Spoffing dan Sniffing, Serangan penolakan Layanan (Denial of Service)

8. Kejahatan Komputer dan Terorisme Maya seperti Pencurian Indetitas seperti Phising dan Pharming

9. Adanya Ancaman Internal seperti Karyawan.

10. Adanya Kerentanan Software (Malware) seperti Windows

TEKNOLOGI DAN PERANGKAT PENGAMANAN

1.  Menggunakan Kontrol Akses (acess control) terdiri atas semua kebijakan dan prosedur yang digunakan perusahaan untuk mencegah akses tanpa izin kesistem yang dilakukan oleh pihak internal dan pihak luar.

2. Menggunakan Autentikasi (authentication) adalah kemampuan untuk mengetahui siapa pengguna itu. Teknologi yang dipakai seperti : Token, Smart Card dan Biometrik.

3. Menggunakan Firewall merupakan kombinasi Hardware dan software yang mengendalikan arus lalu lintas jaringan yang masuk dan keluar. Secara umum diletakan antara jaringan internal pribadi organisasi dan jaringan ekternal yang tidak dipercaya seperti Internet.

4. Sistem Deteksi Ganguan (Network Detection System) menggunakan perangkat yang selalu aktif melakukan pemantauan yang diletakan dititik-titik yang paling rentan dalam jaringan perushaaan untuk secara kontinyu mendeteksi dan menghalangi para penyusup

5. Mengunakan Software antivirus dan Antispyware

6. Mengamankan Jaringan Nirkabel menggunakan WEP (wired Equivalent Privacy) dan VPN (Virtual Private Network)

7. Enkripsi dan Infrastruktur Kunci Publik

8. Enkripsi adalah proses mengubah teks atau data biasa menjadi teks bersandi rahasia (chipper) sehingga tidak dapat dibaca oleh siapapun selain pengirim dan penerima yang dimaksudkan.

9. Data diekripsi menggunakan kode numerik rahasia yang dinamakan kunci enkripsi. Pesan harus dideskripsi oleh penerima

10. Dua Metode Enkripsi dalam Web adalah SSL (Secure socket layer) , TLS (Transport Layer Security) dan S-HTTP (Secure Hypertext Transfer protocol)

11. Menggunakan Setifikat Digital mengkombinasikannya dengan enkripsi kunci publik untuk memberikan perlindungan lebih pada saat transaksi elektronik dengan cara mengautentikasi indentitas seorang pengguna.

Sumber : http://piba.tdmrc.org/content/kerentanan-dan-kapasitas

related:xa.yimg.com/kq/groups/24042178/1614655768/name/MIS06.ppt kerentanan sistem adalah