SISTEM INFORMASI DAN PENGENDALIAN INTERNAL (SI-PI) MEMBANDINGKAN KERANGKA PENGENDALIAN INTERNAL

Dosen :

Prof. Dr. Ir. Hapzi Ali, MM, CMA

Oleh :

YOHANES AGUNG NUGROHO 55516120049

FAKULTAS MAGISTER AKUNTANSI UNIVERSITAS MERCU BUANA MERUYA

JAKARTA 2017

A. Pengertian

TI dan interaksi bisnis yang terpusat pada teknologi. Istilah ITSM tidak berasal dari suatu organisasi, pengarang, atau pemasok tertentu dan awal penggunaan frasa inipun tidak jelas kapan dimulainya.

gambar konsep ITSM. Source : link

ITSM berfokus pada proses dan karenanya terkait dan memiliki minat yang sama dengan kerangka kerja dan metodologi gerakan perbaikan proses (seperti TQM, Six Sigma,Business Process Management, dan CMMI). Disiplin ini tidak memedulikan detail penggunaan produk suatu pemasok tertentu atau detail teknis suatu sistem yang dikelola, melainkan berfokus pada upaya penyediaan kerangka kerja untuk menstrukturkan aktivitas yang terkait dengan TI dan interaksi antara personel teknis TI dengan pengguna teknologi informasi.

ITSM umumnya menangani masalah operasional manajemen teknologi informasi (kadang disebut

operations architecture, arsitektur operasi) dan bukan pada pengembangan teknologinya sendiri. Contohnya, proses pembuatan perangkat lunak komputer untuk dijual bukanlah fokus dari disiplin ini, melainkan sistem komputer yang digunakan oleh bagian pemasaran dan pengembangan bisnis di perusahaan perangkat lunak-lah yang merupakan fokus perhatiannya. Banyak pula perusahaan non-teknologi, seperti pada industri keuangan, ritel, dan pariwisata, yang memiliki sistem TI yang berperan penting, walaupun tidak terpapar langsung kepada konsumennya.

Sesuai dengan fungsi ini, ITSM sering dianggap sebagai analogi disiplin ERP pada TI, walaupun sejarahnya yang berakar pada operasi TI dapat membatasi penerapannya pada aktivitas utama TI lainnya seperti

manajemen portfolio TI dan rekayasa perangkat lunak. Beberapa proses dari ITSM itu yaitu :

Bagaimana menjaga keseimbangan antara bisnis layanan teknologi informasi sesuai dengan apa yang dibutuhkan customer

Membina kerjasama yang baik antara pihak suplier dan customer dengan tidak saling mengecewakan dan dapat memberikan layanan yang terbaik

Membina dan melayani dengan tingkat kemampuan melayani sebaik- baiknya customer yang nantinya akan mempengaruhi terhadap kepuasan yang akan didapatkan customer tersebut

Di sini juga ada hal yang mempengaruhi tantangan dalam manajemen layanan teknologi informasi, yaitu: Menjaga jalannya layanan TI setiap saat

Mengoptimalkan biaya TI

Mengelola resiko dan kompleksitas TI Mencapai kepatuhan hukum dan peraturan Mengelola perubahan volume yang lebih tinggi Menyelaraskan layanan TI dengan kebutuhan bisnis B. Macam-macam Frameworks

Kerangka kerja (framework) yang dianggap dapat memberikan contoh penerapan ITSM di antaranya : Information Technology Infrastructure Library (ITIL)

Control Objectives for Information and Related Technology (COBIT) Software Maintenance Maturity Model

PRM-IT IBM's Process Reference Model for IT Application Services Library (ASL)

Business Information Services Library (BISL) Microsoft Operations Framework (MOF)

E-Sourcing Capability Model for Service Providers (eSCM-SP) dan eSourcing Capability Model for Client Organizations (eSCM-CL) dari ITSqc for Sourcing Management.

C. Framework COBIT

Gambar Logo COBIT. Source : link

Disusun oleh Information Systems Audit and Control Foundation (ISACF®) pada tahun 1996. Edisi kedua dari COBIT diterbitkan pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 oleh ITGI (Information Technology Governance Institute) dan COBIT 4.0 pada tahun 2005. Rilis terakhir COBIT 4.1 dirilis pada tahun 2007.

COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional

tersebut.Target pengguna dari framework COBIT adalah organisasi/perusahaan dari berbagai latar belakang dan para profesional external assurance. Secara manajerial target pengguna COBIT adalah manajer,

pengguna dan profesional TI serta pengawas/pengendali profesional. Secara resmi tidak ada sertifikasi profesional resmi yang diterbitkan oleh ITGI atau organisasi manapun sebagai penyusun standar COBIT. Di Amerika Serikat standar COBIT sering digunakan dalam standar sertifikasi Certified Public Accountants (CPAs) danChartered Accountants (CAs) berdasarkan Statement on Auditing Standards (SAS) No. 70 Service Organisations review, Systrust certification or Sarbanes-Oxley compliance.

Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

EffectivenessMenitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.

EfficiencyMenitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.

ConfidentialityMenitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis. IntegrityMenitikberatkan pada integritas data/informasi dalam sistem.

AvailabilityMenitikberatkan pada ketersediaan data/informasi dalam sistem informasi. ComplianceMenitikberatkan pada kesesuaian data/informasi dalam sistem informasi.

Framework COBIT terdiri dari 34 high-level control objective, dimana tiap-tiap IT proses dikelompokkan dalam empat domain utama :

Planning and OrganizationMencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.

PO1 Define a strategic information technology plan PO2 Define the information architecture

PO3 Determine the technological direction PO4 Define the IT organisation and relationships PO5 Manage the investment in information technology PO6 Communicate management aims and direction PO7 Manage human resources

PO8 Ensure compliance with external requirements PO9 Assess risks

PO10 Manage projects PO11 Manage quality

Acquisition and Implementationidentifikasi solusi TI dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis untuk mewujudkan strategi TI.

AI1 Identify automated solutions

AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Develop and maintain IT procedures

AI5 Install and accredit systems AI6 Manage changes

Delivery and SupportDomain yang berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan pengadaan training. DS1 Define and manage service levels

DS3 Manage performance and capacity DS4 Ensure continuous service

DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Assist and advise customers DS9 Manage the configuration

DS10 Manage problems and incidents DS11 Manage data

DS12 Manage facilities DS13 Manage operations

Monitoringsemua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol

M1 Monitor the process

M2 Assess internal control adequacy M3 Obtain independent assurance M4 Provide for independent audit

COSO Enterprise Risk Management — Integrated Framework (COSO ERM) adalah kerangka kerjamanajemen risiko korporasi (MRK) yang diterbitkan olehCommittee of Sponsoring Organizations of the Treadway CommissionAmerika Serikat pada tahun 2004. COSO ERM merupakan pengembangan dari kerangka kerja COSO untuk pengendalian internal yang diterbitkan pada tahun 1992. Kerangka kerja COSO ERM terdiri atas delapan komponen dan empat kategori sasaran yang divisualisasikan dalam bentuk kubus.

1. Lingkungan internal (internal environment) 2. Penentuan sasaran (objective setting) 3. Identifikasi peristiwa (event identification) 4. Penilaian risiko (risk assessment)

5. Tanggapan risiko (risk response)

6. Aktivitas pengendalian (control activities)

7. Informasi dan komunikasi (information and communication) 8. Pemantauan (monitoring)

COSO ERM – Integrated Framework 2004

Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai proyek untuk mengembangkan sebuah kerangka kerja manajemen risiko yang dapat digunakan untuk mengevaluasi dan meningkatkan efektivitas ERM. Kerjasama ini membuahkan hasil pada tahun 2004 dengan dirilisnya COSO ERM – Integrated Framework, yang mendefinisikan manajemen risiko sebagai:

“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan, dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan mengelola risiko selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar terhadap pencapaian sasaran dari entitas.”

Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat menentukan terlebih dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:

1. Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan. 2. Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan. 3. Pelaporan: keterpercayaan dari pelaporan.

4. Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.

· Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan pemantauan terhadap penerapan manajemen risiko, dengan turut memperhitungkan risk appetite dari entitas;

· Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan berjalannya ERM yang efektif pada keseluruhan perusahaan;

· Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan mengelola risiko di ranah kewenangannya agar konsisten dengan risk tolerance yang dimilikinya;

· Risk officer, financial officer, dan internal audit memiliki peran kunci dalam mendukung efektivitas penerapan manajemen risiko perusahaan;

· Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam menerapkan manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan manajemen risiko perusahaan;

· Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang berperan dalam value chainperusahaan) tidak memiliki tanggung jawab dalam memastikan efektivitas ERM dari entitas, tetapi pihak-pihak tersebut berperan penting dalam menyediakan informasi yang dapat mendukung efektivitas manajemen risiko.

Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling terkait, yaitu: 1. Lingkungan internal

Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahannya, serta pandangan entitas terhadap risiko dan manajemen risiko.

2. Penetapan sasaran

Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan, serta konsisten denganrisk appetite perusahaan.

3. Identifikasi kejadian

Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran perusahaan harus diidentifikasi, meliputi risiko dengan kesempatan yang dapat muncul.

4. Penilaian risiko

Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko akan dijadikan dasar untuk menentukan perlakuan risiko.

5. Perlakuan risiko

Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance), menerima (acceptance), mengurangi (reduction), dan membagi risiko (sharing). Pemilihan perlakuan risiko dilakukan dengan membandingkan hasil analisis risiko dengan risk appetite dan risk tolerance.

Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan perlakuan risiko diterapkan dengan efektif.

7. Informasi dan komunikasi

Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam bentuk dan waktu yang tepat agar personil dapat melakukan tanggung jawabnya dengan baik.

8. Pemantauan

Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.

Pengendalian internal pada ditempat saya bekerja meliputi pengendalian keuangan dan pengendalian operasional.

Pengendalian keuangan terdiri dari struktur organisasi, prosedur-prosedur dan sistem pencatatan yang berkaitan dengan pengelolaan dan pengamanan harta kekayaan Perusahaan dan dapat dipercayanya catatan keuangan serta konsekuensinya. Struktur organisasi, prosedur dan sistem pencatatan itu disusun untuk memberikan jaminan yang cukup dalam arti:

1. Transaksi-transaksi dilaksanakan sesuai dengan pengesahan (otorisasi) manajemen yang telah ditentukan sesuai tugas dan tanggung jawabnya.

2. Transaksi-transaksi dicatat untuk

a. memungkinkan penyusunan laporan keuangan yang sesuai dengan prinsip auntansi sesuai standar akuntansi yang berlaku atau kriteriakriteria lain yang perlu untuk laporan laporan tersebut dan

b. menunjukkan pertanggungjawaban atas pengelolaan harta kekayaan perusahaan.

3. Penggunaan harta kekayaan Perusahaan hanya diperbolehkan bila sesuai dengan otorisasi Manajemen. 4. Tanggung jawab atas pencatatan harta kekayaan Perusahaan dibandingkan dengan harta kekayaan yang ada setiap waktu tertentu dan diambil tindakan yang perlu bila ada perbedaan- perbedaan.

Pengesahan/otorisasi tersebut merupakan fungsi manajemen yang secara langsung berhubungan dengan tanggung jawab untuk mencapai tujuan – tujuan perusahaan dan merupakan titik awal untuk menyusun pengawasan keuangan atas transaksi -transaksi.

Implementasi pengendalian internal yang dilakukan ditempat saya bekerja antara lain meliputi lingkungan pengendalian, pengukuran risiko, aktivitas pengendalian, teknologi informasi dan komunikasi serta pemantauan.

Lingkungan Pengendalian

Lingkungan pengendalian merupakan komponen yang terpenting karena membentuk budaya dan perilaku manusia menjadi sadar akan pentingnya pengendalian. Untuk menciptakan lingkungan pengendalian yang dapat mendukung efektivitas pengendalian internal, maka perusahaan telah melakukan berbagai kebijakan antara lain:

1. Memastikan bahwa semua anggota perusahaan memiliki integritas dan nilai etika yang tinggi.

2. Menetapkan filosofi perusahaan yang disosialisasikan dan diterapkan kepada seluruh komponen di dalam perusahaan

3. Membuat struktur organisasi yang memungkinkan dilakukannya pengendalian secara efektif 4. Menetapkan tugas dan tanggung jawab yang jelas di antara unit organisasi

5. Menetapkan kebijakan pengembangan sumber daya manusia, sehingga sumber daya manusia perusahaan memiliki integritas yang tinggi.

6. Mendorong peran aktif komite untuk melakukan pengawasan dan memberikan saran/masukan agar pengendalian internal berjalan dengan efektif dan baik

Pengukuran Risiko

Penilaian risiko merupakan identifikasi dan menilai risiko-risiko yang dihadapi dalam mencapai tujuan. Perusahaan semakin dituntut untuk dapat mengenali dan mengelola risiko-risiko kegiatan yang dihadapinya hingga ke tingkat yang dapat diterima.Untuk pengukuran resiko perusahaan secara berkelanjutan melakukan analisa untuk mengidentifikasikan risiko-risiko yang sedang dan akan dihadapi oleh perusahaan, merumuskan rekomendasi tingkat risiko yang dapat diambil oleh Manajemen dan tingkat toleransi dari tiap risiko dan merumuskan kebijakan pengelolaan risiko untuk menjaga tingkat risiko perusahaan.

Aktivitas pengendalian adalah segala kebijakan dan prosedur untuk menyakinkan bahwa tindakan yang diperlukan untuk mengatasi risiko-risiko benarbenar dilaksanakan dalam rangka mencapai tujuan organisasi. Efektivitas aktivitas pengendalian akan tergantung dari ketepatan dalam mengidentifikasi dan mengukur risiko yang dilakukan perusahaan.

Beberapa kebijakan yang diambil perusahaan dalam melakukan aktivitas pengendalian antara lain : 1. Mempersiapkan pencatatan data dan penyimpanan dokumen dengan baik.

2. Mempersiapkan pengamanan data dan dokumen dengan baik.

3. Memberikan tugas, tanggung jawab dan kewenangan sesuai dengan fungsi dari masing - masing unit organisasi.

4. Melakukan penilaian atau pemeriksaan atas kinerja perusahaan oleh pihak diluar perusahaan yang independensinya tidak diragukan

Teknologi Informasi dan Komunikasi

Perusahaan menyadari bahwa komponen pengendalian internal (lingkungan pengendalian, penilaian risiko, aktivitas pengendalian, pemantauan) akan mudah direalisasikan jika terdapat sistem informasi dan komunikasi yang baik dan andal dalam perusahaan atau organisasi. Perusahaan telah memiliki kebijakan sebagai pedoman teknologi informasi dan komunikasi.

Kebijakan tersebut antara lain penggunaan sarana e-mail, intranet dan internet, penanganan pengamanan sistem informasi untuk mengurangi risiko kerugian sebagai akibat dari kelalaian atau kesalahan dalam penggunaan sistem informasi. Kebijakan ini dibuat pengelolaan sistem informasi dan komunikasi dapat berjalan dengan efektif, tepat, dapat diandalkan dan terlindungi atau aman.

Pemantauan

Keseluruhan proses kegiatan perusahaan harus dipantau dan dibuat seditkit perubahan atau modifikasi bila diperlukan . Maka akan terdapat pengendalian internal yang dinamis yang berubah sesuai dengan kondisi yang ada.

Pemantauan adalah usaha berkelanjutan untuk menyakinkan bahwa setiap gerak perusahaan secara sinergis sedang mengarah kepada usaha pencapaian tujuan. Hal ini dilakukan dengan menilai kembali kekuatan lingkungan pengendalian, usaha-usaha penilaian risiko dan pemilihan aktivitas pengendalian. Menjadi unsur penting dalam pemantauan adalah pelaporan terhadap penyimpangan dan kekurangan

Pemantauan dan evaluasi yang dilakukan perusahaan antara lain

2. Sistem pertanggungjawaban dan penilaian yang memungkinkan untuk melakukan penilaian terhadap setiap anggota manajemen dan unit dalam organisasi

3. Supervisi dari tiap tingkatan level manajemen

4. Pengawasan oleh Komite Audit, khususnya berkaitan dengan pencatatan keuangan

5. Pengawasan yang berkaitan dengan aktivitas operasional dan kepatuhan perusahaan terhadap peraturan /undang – undang yang berlaku

6. Pengawasan dari level Top Management 7. Pengawasan semua aktivitas manajemen

Referensi

Kusuma, Charvin, 2014, Perbandingan Coso Erm-Integrated Framework Dengan Iso31000: 2009 Risk Management – Principles And Guidelines : http://crmsindonesia.org/knowledge/crms-articles/perbandingan-coso-erm-integrated-framework-dengan-iso31000-2009-risk-managem, diakses tanggal 11 Mei 2017 pukul 17.30

Hapzi Ali, 2015, Modul perkulihan Sistem Informasi dan Pengendalian Internal : Membandingkan kerangka pengendalian internal : 1. COSO internal control integrated framework 2. COSO enterprise risk management 3. COBIT, Jakarta.

Prayogo, Aditya, 2012, COSO dan COBIT :http://apraysjournal.blogspot.co.id/2012/12/coso-dan-cobit.html, diakses tanggal 11 Mei 2017 pukul 15.50.

Kartika, Sari, 2017, Melindungi SI, Konsep & Komponen Pengendalian Internal :https://www.slideshare.net/SariKartika5/sipi-sari-kartika-hapzi-ali-melindungi-si-konsep-komponen-pengendalian-internal-universitas-mercu-buana-2017, diakses tanggal 11 Mei 2017 pukul 15.00.

Riadi, Muchlisin, 2014, Pengertian, Sejarah dan Komponen COBIT : http://www.kajianpustaka.com/2014/02/pengertian-sejarah-dan-komponen-cobit.html, diakses tanggal 11 Mei 2017 pukul 16.10.

Wendi Dwi Asmoro, 2015, Pengertian cobit overview : http://wendydw.blogspot.co.id/2015/05/pengertian-cobit-overview.html, diakses tanggal 11 Mei 2017 pukul 14.10.

Santoso, Dwi, 2015, Makalah Manfaat Penggunaan

Cobit :http://www.kompasiana.com/dwisantoso_vcc/makalah-manfaat-penggunaan-cobit_567fe81390fdfd5d0956ffba, diakses tanggal 11 Mei 2017 pukul 14.10.

Samuel Lasmana (Salas), 2015, Pentingnya IT Governance (COBIT) Pada Perusahaan : https://samuellasmana.wordpress.com/2015/02/05/pentingnya-it-governance-cobit-pada-perusahaan/, diakses tanggal 11 Mei 2017 pukul 14.30.

Website :

1. Wikipedia. ITSM. [Online] Maret 2016. Link Website : https://id.wikipedia.org/wiki/ITSM. [Diakses pada : 20 Maret 2016]