BAB IV : ANALISA DAN PEMBAHASAN

TINJAUAN PUSTAKA

2.4 Dasar Teor

2.4.3 Control Framework

Control Framework adalah struktur data yang mengatur dan mengkategorikan pengendalian internal organisasi, seperti praktik dan prosedur yang ditetapkan untuk menciptakan nilai bisnis dan meminimalkan risiko. Standar yang digunakan pada penelitian ini adalah COSO, COBIT 5, ISO 27002:2005, dan NIST 800-53.

2.4.3.1COSO

COSO diselenggarakan pada tahun 1985 untuk mensponsori The National Commission on Fraudulent Financial Reporting, sebuah inisiatif sektor swasta independen yang mempelajari faktor-faktor yang dapat menyebabkan kecurangan pelaporan keuangan. Komisi Nasional disponsori bersama oleh lima asosiasi profesional utama yang berkantor pusat di Amerika Serikat. Awalnya, komite tersebut dinamai berdasarkan nama kepalanya, yaitu Treadway, akan tetapi akhirnya proyek tersebut lebih dikenal sebagai COSO yang merupakan singkatan dari Committee of Sponsoring Organizations (komite pendukung organisasi).

Pengendalian Internal menurut COSO adalah suatu proses yang dilakukan oleh dewan entitas direksi, manajemen, dan personil lainnya yang dirancang untuk memberikan keyakinan memadai tentang pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan. Definisi tersebut menekankan bahwa kontrol internal adalah:

1. Pencapaian tujuan diarahkan dalam satu atau lebih kategori seperti operasi, pelaporan, dan kepatuhan.

2. Pengendalian internal yaitu proses yang terdiri dari tugas-tugas dan kegiatan yang sedang berlangsung.

3. Pengendalian internal dipengaruhi bukan hanya tentang kebijakan dan prosedur manual, dan sistem tetapi tentang orang-orang dan tindakan yang diambil pada setiap tingkat organisasi untuk mempengaruhi pengendalian internal.

4. Pengendalian internal mampu memberikan jaminan yang wajar.

5. Pengendalian internal beradaptasi dengan struktur entitas artinya fleksibel dalam penerapan untuk seluruh entitas atau anak perusahaan, divisi, unit operasi, atau proses bisnis tertentu.

Tujuan dari kerangka Pengendalian Internal adalah untuk membantu manajemen mengendalikan organisasi yang lebih baik dan memberikan dewan direksi kemampuan tambahan untuk mengawasi pengendalian internal. Pengendalian internal memungkinkan organisasi untuk menangani secara efektif akan perubahan ekonomi dan lingkungan yang kompetitif, kepemimpinan, prioritas, perkembangan model bisnis.

Model yang dikeluarkan COSO memiliki persamaan dengan model pengendalian internal dalam lingkungan pemerintah sebagaimana diatur dalam Peraturan Pemerintah (PP) No. 60 Tahun 2008 mengenai Sistem Pengendalian Internal Pemerintah (SPIP) yaitu sistem pengendalian intern yang diselenggarakan secara menyeluruh di lingkungan pemerintah pusat dan pemerintah daerah. Kedua model tersebut memiliki tujuan yang sama yaitu menciptakan keandalan di dalam pelaporan keuangan, efektivitas dan efisiensi kegiatan operasi, pengamanan aset serta kepatuhan terhadap peraturan yang berlaku.

COSO memberikan penjelasan mengenai kelima komponen pengendalian internal dalam COSO Internal Control Integrated Framework Executive Summary, antara lain:

1. Lingkungan Pengendalian

Lingkungan pengendalian adalah kondisi yang ada didalam suatu organisasi yang akan mempengaruhi efektivitas pengendalian internal secara menyeluruh karena komponen ini berpengaruh pada kesadaran masing-masing personil organisasi akan pentingnya pengendalian.

2. Penilaian Risiko

Penilaian risiko adalah proses identifikasi dan analisis risiko-risiko yang berdampak terhadap pencapaian tujuan organisasi serta menentukan tindakan yang tepat untuk menghadapi risiko-risiko tersebut. Tujuan yang ingin dicapai dari penilaian risiko adalah agar manajemen dapat mengidentifikasi risiko-risiko serta dapat menetapkan pengendalian-pengendalian yang efektif untuk mengendalikan risiko yang telah diidentifikasi.

3. Aktivitas Pengendalian

Aktivitas pengendalian adalah semua kebijakan dan prosedur yang dilakukan untuk memastikan bahwa arahan manajemen telah dijalankan.

4. Informasi dan Komunikasi

Informasi yang dibutuhkan harus diidentifikasi, diterima, dan dikomunikasikan dalam bentuk-bentuk dan periode yang memungkinkan para pegawai agar dapat memenuhi tanggungjawabnya. Komunikasi yang efektif harus terjadi dalam lingkup yang luas dan mampu menciptakan alur informasi yang lancar dari berbagai lini di dalam organisasi baik dari atasan ke bawahan maupun sebaliknya.

5. Pemantauan

Manajemen memiliki kepentingan untuk melakukan pemantauan atas pengendalian internal, agar dapat menentukan apakah komponen-komponen pengendalian internal yang dijalankan di dalam organisasi telah berjalan dengan efektif.

COSO berisi lima komponen yang sudah dijelaskan sebelumnya dan untuk mengurangi kekakuan dari pemahaman masing-masing komponen tersebut maka terdapat poin fokus yang disediakan dalam kerangka pengendalian internal, seperti ditunjukkan pada Tabel 2.2 dibawah ini:

Tabel 2.2 Poin Fokus pada Komponen COSO

Control Environment

Prinsip Poin Fokus

1 Organisasi menunjukkan komitmen untuk integritas dan nilai-nilai etika.

1 Set the tone at the top

2 Menetapkan standar perilaku

3 Mengevaluasi kepatuhan terhadap standar perilaku

4 Menegur penyimpangan pada waktu yang tepat

2 Dewan direksi

menunjukkan kemandirian dari manajemen dan menjalankan fungsi pengawasan terhadap perkembangan dan kinerja pengendalian internal

5 Menetapkan tanggung jawab pengawasan

6 Menerapkan keahlian yang Relevan

7 Beroperasi secara independen 8 Memberikan pengawasan pada

Pengendalian Lingkungan, Penilaian Risiko, Kegiatan Pengendalian, Informasi dan Komunikasi, dan Pemantauan

3 Manajemen menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan pihak yang berwenang dan tanggung jawab dalam pengejaran

tujuan

9 Mempertimbangkan semua struktur entitas

10 Menetapkan garis pelaporan

11 Mendefinisikan, pihak yang ditunjuk, dan batas-batas kewenangan dan tanggung jawab

4 Organisasi menunjukkan Komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten sejalan dengan tujuan

12 Menetapkan kebijakan dan praktik 13 Mengevaluasi kompetensi dan

kekurangan

14 Menarik, mengembangkan dan mempertahankan orang

15 Rencana dan persiapan untuk kesuksesan

5 Organisasi memegang individu

bertanggung jawab atas pengendalian internal mereka

dalam mengejar tanggung jawab dan tujuan

16 Menjalankan tanggung jawab melalui struktur dan otoritas

17 Menetapkan ukuran kinerja, insentif dan imbalan

18 Mengevaluasi ukuran kinerja, insentif dan imbalan untuk relevansi yang sedang berlangsung

19 Mempertimbangkan tekanan yang berlebihan

20 Mengevaluasi kinerja dan disiplin individu

Risk Assesment

Prinsip Poin Fokus

6 Organisasi menentukan tujuan dengan kejelasan yang cukup untuk

memungkinkan identifikasi dan penilaian risiko

berkaitan dengan tujuan:

- Tujuan Operasi 21a Mencerminkan pilihan manajemen 22a Mempertimbangkan toleransi risiko 23 tujuan operasi dan kinerja keuangan 24 Bentuk dasar untuk melakukan sumber

daya - Tujuan Pelaporan

Keuangan Eksternal

21b Sesuai dengan standar akuntansi yang berlaku

22b Mempertimbangkan materialitas 25 Mencerminkan aktivitas entitas - Tujuan Pelaporan

Keuangan Non- Eksternal

21c Sesuai dengan standar dan kerangka yang ditetapkan secara eksternal 22c Mempertimbangkan tingkat ketelitian 25 Mencerminkan aktivitas entitas -Tujuan Pelaporan Internal 21a Mencerminkan pilihan manajemen

22c Mempertimbangkan tingkat yang diperlukan presisi

25 Mencerminkan aktivitas entitas

-Tujuan Kepatuhan 21d Mencerminkan hukum dan peraturan eksternal

22a Mempertimbangkan toleransi risiko 7 Organisasi

mengidentifikasi risiko pencapaian tujuan

di entitas dan analisis risiko sebagai dasar untuk

menentukan bagaimana risiko harus dikelola

26 Termasuk entitas, anak perusahaan, divisi, unit operasi, dan tingkat fungsional

27 Menganalisa faktor internal dan eksternal

28 Melibatkan tingkat yang tepat dari manajemen

29 Perkiraan signifikansi risiko yang teridentifikasi

30 Menentukan bagaimana merespon risiko

8 Organisasi menganggap potensi penipuan dalam menilai risiko untuk pencapaian tujuan

31 Mempertimbangkan berbagai jenis penipuan

32 Menilai insentif dan tekanan 33 Menilai peluang

34 Menilai sikap dan rasionalisasi

dan menilai perubahan yang bisa berdampak signifikan pada sistem control internal

eksternal

36 Menilai perubahan dalam model bisnis 37 Menilai perubahan dalam

kepemimpinan

Control Activities

Prinsip Poin Fokus

10 Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi pada risiko untuk pencapaian tujuan tingkat yang dapat diterima

38 Terintegrasi dengan penilaian risiko 39 Mempertimbangkan faktor-faktor

entitas tertentu

40 Menentukan proses bisnis yang relevan

41 Mengevaluasi campuran kontrol jenis kegiatan

42 Mempertimbangkan apa tingkat aktivitas yang diterapkan

43 Menetapkan pemisahan tugas 11 Organisasi memilih dan

mengembangkan kegiatan pengendalian umum melalui teknologi untuk mendukung pencapaian tujuan

44 Menentukan ketergantungan antara penggunaan teknologi dalam proses bisnis dan kontrol teknologi umum 45 Menetapkan teknologi yang relevan

untuk kegiatan pengendalian 46 Menetapkan proses manajemen

keamanan yang relevan untuk kegiatan pengendalian

47 Menetapkan akuisisi teknologi yang relevan, pengembangan pemerintah, dan proses pemeliharaan dalam kegiatan pengendalian

12 Organisasi menyebarkan kontrol kegiatan melalui kebijakan dan prosedur

48 Menetapkan kebijakan dan prosedur untuk mendukung arahan manajemen 49 Menetapkan tanggung jawab untuk

melaksanakan kebijakan dan prosedur 50 Melakukannya pada waktu yang tepat 51 Mengambil tindakan korektif

52 Penyelenggaraanya menggunakan personel yang kompeten

53 Menetapkan kembali kebijakan dan prosedur

Information and Communication

Prinsip Poin Fokus

13 Organisasi memperoleh atau menghasilkan dan menggunakan kualitas informasi yang relevan untuk mendukung fungsi

54 Mengidentifikasi kebutuhan informasi 55 Menangkap sumber internal dan

eksternal data

56 Memproses data yang relevan menjadi informasi

lainnya dari komponen pengendalian internal

57 Mempertahankan kualitas seluruh proses

58 Mempertimbangkan biaya dan manfaat

14 Organisasi secara internal mengkomunikasikan informasi, termasuk tujuan dan tanggung jawab pengendalian internal, diperlukan untuk mendukung

fungsi komponen lain dari pengendalian internal

59 Mengkomunikasikan informasi pengendalian internal

60 Berkomunikasi dengan dewan direksi 61 Menyediakan jalur komunikasi yang

terpisah

62 Memilih metode komunikasi yang relevan

15 Organisasi berkomunikasi dengan pihak eksternal mengenai hal-hal

yangmempengaruhi fungsi lainnya dari

komponen pengendalian internal

63 Berkomunikasi dengan pihak eksternal 64 Memungkinkan komunikasi yang

masuk

65 Berkomunikasi dengan dewan direksi 66 Menyediakan jalur komunikasi yang

terpisah

67 Memilih metode komunikasi yang relevan

Monitoring Activities

Prinsip Poin Fokus

16 Organisasi memilih, mengembangkan, dan menunjukkan secara langsung atau terpisah untuk memastikan apakah komponen control internal hadir dan berfungsi

68 Mempertimbangkan campuran evaluasi berkelanjutan dan terpisah 69 Mempertimbangkan laju perubahan 70 Menetapkan pemahaman dasar

71 Menggunakan pengetahuan seseorang 72 Terintegrasi dengan proses bisnis 73 Mengatur ruang lingkup dan frekuensi 74 Obyektif mengevaluasi

17 Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian internal pada waktu yang tepat untuk pihak-pihak yang bertanggung jawab dalam mengambil tindakan korektif,termasuk

manajemen senior dan dewan direksi yang sesuai.

75 Menilai hasil

76 Mengkomunikasikan kekurangan kepada pihak yang bertanggung jawab untuk tindakan korektif termasuk manajemen senior dan dewan direksi 77 Memantau tindakan korektif

(Sumber : Protiviti 2013, The Updated COSO Internal Control Framework Second Edition, h. 7- 10)

Penelitian ini menempatkan COSO sebagai standar atau pedoman kontrol internal yang layak pada suatu organisasi atau instansi dalam hal ini adalah Universitas Udayana.

2.4.3.2COBIT 5

Control Objectives for Information and related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat membantu auditor, manajemen dan pengguna untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan permasalahan teknis lainnya. COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information System Audit and Control Association (ISACA). COBIT saat ini yang dipakai yaitu COBIT 5.0 yang merupakan versi terbaru dari COBIT sebelumnya yaitu COBIT 4.1.

Gambar 2.6 Domain Proses COBIT 5

Gambar 2.6 diatas menjelaskan domain proses pada COBIT 5 yang terbagi ke dalam 2 area yaitu governance dan manajemen. Kedua area ini total terdiri dari 5 domain dan 37 proses yaitu Governance of Enterprise IT meliputi Evaluate, Direct and Monitor (EDM) memiliki 5 proses dan Management of Enterprise IT meliputi Align, Plan and Organise (APO) memiliki 13 proses, Build, Acquire and Implement (BAI) memiliki 10 proses, Deliver, Service and Support (DSS) memiliki 6 proses, dan Monitor, Evaluate and Assess (MEA) memiliki 3 proses dapat dilihat pada tabel 2.3 dibawah ini:

Tabel 2.3 Domain dan Proses TI pada COBIT 5

Evaluate, Direct and Monitor (EDM)

Domain Proses TI

EDM01 Memastikan Pengaturan dan pemeliharaan kerangka Tata Kelola

EDM02 Memastikan penyampaian yang bermanfaat EDM03 Memastikan optimisasi resiko

EDM04 Memastikan optimisasi sumber daya EDM05 Memastikan transparansi stakeholder

Align, Plan and Organise (APO)

Domain Proses TI

AP001 Mengelola manajemen kerangka kerja IT AP002 mengelola Strategi

AP003 mengelola arsitektur perusahaan

AP004 mengelola inovasi

AP005 mengelola Portofolio

AP006 Mengelola Anggaran dan Biaya AP007 mengelola sumber daya manusia

AP008 mengelola Hubungan

AP009 mengelola persetujuan service/layanan

AP010 Mengelola suppliers

AP011 mengelola kualitas

AP012 mengelola Risiko

AP013 mengelola Keamanan

Build, Acquire and Implement (BAI)

Domain Proses TI

BAI01 mengelola program dan proyek BAI02 mengelola definisi persyaratan

BAI03 mengelola identifikasi solusi dan pembangunan BAI04 mengelola ketersediaan dan kapasitas

BAI06 mengelola Perubahan

BAI07 mengelola penerimaan terhadap perubahan dan transisi

BAI08 mengelola Pengetahuan

BAI09 mengelola Aset atau Modal BAI10 mengelola Konfigurasi

Deliver, Service and Support (DSS)

Domain Proses TI

DSS01 mengelola Operasi

DSS02 mengelola permintaan service/layanan dan insiden

DSS03 mengelola masalah

DSS04 Mengelola kontinuitas

DSS05 Mengelola pelayanan keamanan DSS06 Mengelola pengendalian proses bisnis

Monitor, Evaluate and Assess (MEA)

Domain Proses TI

MEA01 memonitor, mengevaluasi dan mengukur kinerja dan kesesuaian

MEA02 memonitor, mengevaluasi dan mengukur sistem dari pengendalian internal

MEA03 memonitor, mengevaluasi dan mengukur kecocokan dengan kebutuhan eksternal atau luar Persyaratan

(Sumber : COBIT 5 - A Business Framework for the Governance and Management of Enterprise IT)

Penelitian ini menempatkan COBIT 5 sebagai pedoman dalam mengetahui dan menganalisa tingkat kepentingan dan tingkat kesenjangan dari sistem layanan kemahasiswaan di Universitas Udayana serta menentukan ruang lingkup dari kajian yang dilakukan.

2.4.3.3NIST 800-53

NIST 800-53 merupakan update yang paling komprehensif untuk kontrol keamanan sejak didirikan pada tahun 2005. NIST 800-53 memiliki tujuan untuk menyediakan satu set kontrol keamanan yang dapat memenuhi kebutuhan keamanan yang dikenakan pada organisasi. NIST 800-53 dapat secara efektif digunakan untuk melindungi informasi dan sistem informasi dari ancaman terus- menerus pada operasional tradisional. Kontrol juga dapat digunakan untuk menunjukkan kepatuhan dengan berbagai persyaratan keamanan pemerintah, organisasi, atau lembaga. Organisasi memiliki tanggung jawab untuk memilih

kontrol keamanan yang sesuai, menerapkan kontrol dengan benar, dan menunjukkan efektivitas dari kontrol yang diterapkan.

Implementasi kontrol keamanan sistem informasi dan organisasi merupakan tugas penting yang dapat memiliki implikasi besar pada operasional dan aset organisasi serta kesejahteraan individu dan Bangsa. Kontrol keamanan adalah perlindungan terhadap sistem informasi atau organisasi yang dirancang untuk: melindungi kerahasiaan, integritas, dan ketersediaan informasi yang diproses, disimpan, dan dikirimkan oleh sistem-sistem atau organisasi dan memenuhi kebutuhan untuk kemanan. Kontrol framework NIST 800-53 yang digunakan pada penelitian ini ditunjukkan pada Tabel 2.4 dibawah ini:

Tabel 2.4Security Family dan Identifier NIST 800-53 Revision 4

Identifier Family

AC Kontrol akses

AT Kesadaran dan Pelatihan AU Audit dan Akuntabilitas

CA Keamanan Penilaian dan Otorisasi CM Manajemen konfigurasi

CP Perencanaan Kontinjensi IA Identifikasi dan Otentikasi IR Respon terhadap Insiden MA Pemeliharaan

MP Perlindungan terhadap Media PE Perlindungan Lingkungan dan Fisik PL Perencanaan

PS Personil Keamanan RA Perkiraan Risiko

SA Akuisisi Sistem dan Jasa

SC Perlindungan Sistem dan Komunikasi SI Integritas Sistem dan Informasi PM Manajemen Program

(Sumber: NIST Special Publication 800-53 Revision 4 Security and Privacy Controls for Federal Information Systems and Organizations)

Penelitian ini menempatkan NIST 800-53 Revision 4 sebagai pedoman dalam memberikan saran serta perbaikan terhadap sistem layanan kemahasiswaan di Universitas Udayana yang berhasil ditemukan melalui kajian dengan pedoman COSO dan COBIT 5.

2.4.3.4ISO 27002:2005

Standar ISO/IEC 27002:2005 pada penelitian ini digunakan sebagai pedoman dalam memberikan saran dan perbaikan terhadap temuan dari sistem layanan akademik di Universitas Udayana, karena memiliki panduan kontrol keamanan sistem informasi yang lengkap sedangkan ISO/IEC 27001:2005 memiliki poin-poin kontrol kemanan yang sama dengan ISO/IEC 27002:2005 namun tidak dilengkapi dengan panduan implementasinya. Standar ISO/IEC 27001:2005 dan ISO/IEC 27002:2005 diuraikan dibawah ini:

1. ISO/IEC 27001: 2005 - Requirements

ISO/IEC 27001:2005 berisi penjelasan tentang syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara serta mendokumentasikan SMKI dalam konteks resiko bisnis organisasi. SMKI yang baik akan membantu memberikan perlindungan terhadap gangguan pada aktivitasaktivitas bisnis dan melindungi proses bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi (Syafrizal, 2009). Implementasi SMKI juga akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak lama. Dalam ISO 27001 ada 11 aspek atau yang biasa disebut sebagai clauses, dimana di dalamnya terbagi lagi menjadi 133 kontrol yang harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan konsep keamanan informasi. Kontrol dalam hal ini adalah hal-hal berupa proses, prosedur, kebijakan maupun tool yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak dikehendaki oleh adanya konsep keamanan informasi. Standar ISO/IEC 27001:2005 telah menyediakan model terkait bagaimana mulai dari membangun, implementasi, operasional, memonitor, mengkaji ulang, memelihara dan mengembangkan ISMS.

2. ISO/IEC 27002 –Code of Practice for ISMS

ISO/IEC 27002 berisi panduan yang menjelaskan contoh penerapan keamanan informasi dengan menggunakan bentuk-bentuk kontrol tertentu agar mencapai sasaran kontrol yang ditetapkan. Bentuk-bentuk kontrol yang disajikan

seluruhnya menyangkut 11 area pengamanan sebagaimana ditetapkan dalam ISO/IEC 27001.

ISO/IEC 27002 tidak mengharuskan bentuk-bentuk kontrol yang tertentu tetapi menyerahkan kepada pengguna untuk memilih dan menerapkan kontrol yang tepat sesuai kebutuhannya, dengan mempertimbangkan hasil kajian risiko yang telah dilakukannya. Pengguna juga dapat memilih kontrol di luar daftar kontrol yang dimuat standar ini sepanjang sasaran kontrolnya dipenuhi.