Diberdayakan oleh Blogger.
RSS

IT GOVERNANCE dan RISK MANAGEMENT


IT GOVERNANCE dan RISK MANAGEMENT

1.     Aspek - aspek pada Risk Management:

a.     Tataran Korporasi. Aspek ini  terdiri atas tiga hal.
Pertama, kecukupan modal minimum. Kedua, batasan portofolio investasi. Ketiga, pemisahan rekening perusahaan dan nasabah. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan korporasi (corporate crime).

b.     Tataran Pengelola Perusahaan. Aspek ini terdiri atas tiga hal juga. Pertama, kompetensi manajemen berupa pengalaman dan keahlian. Kedua, integritas pengurus berupa rekam jejak yang tidak tercela. Ketiga, tata pengelolaan yang baik dan transparan. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan pimpinan perusahaan (white collar crime). 

c.     Tataran Pelaksana Lapangan Perusahaan. Aspek ini terdiri atas tiga hal. Pertama, pengenalan selera risiko nasabah (risk appetite). Kedua, pengetahuan tenaga penjual akan produk investasi yang dijualnya. Ketiga, transparansi dalam menjelaskan risiko investasi. Pengaturan aspek ini dimaksudkan untuk mencegah kejahatan tenaga pelaksana (blue collar crime).

2.     Audit IT pada domain EDM (Evaluate, Direct, and Monitor)

Proses tata kelola EDM berurusan dengan tujuan stakeholder dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada IT dan pemantauan hasilnya.

3.     Audit IT pada domain APO (Align, Plan, and Organise)

Proses manajemen APO memberikan arah untuk penyampaian solusi (BAI) dan penyediaan layanan dan dukungan (DSS). Domain ini mencakup strategi dan taktik, dan identifikasi cara terbaik agar IT dapat berkontribusi pada pencapaian tujuan bisnis.

4.     Audit IT pada domain BAI (Build, Acquire, and Implement)

Proses manajemen BAI memberikan solusi dan mengimplementasikannya sehingga berubah menjadi layanan. Untuk mewujudkan strategi IT, solusi IT perlu diidentifikas ikan, dikembangkan, serta diimplementasikan dan di integrasikan ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga tercakup dalam domain ini, untuk memastikan bahwa solusi dapat memenuhi tujuan bisnis.

5.     Audit IT pada domain DSS (Deliver, Service, and Support)

Proses manajemen DSS menyampaikan solusi yang dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan penyampaian dan dukungan layanan aktual yang dibutuhkan, yang meliputi pelayanan serta pengelolaan keamanan dan keberlangsungan dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional.

6.     Audit IT pada domain MEA (Monitor, Evaluate, Assess)

Proses manajemen MEA memonitor semua proses untuk memastikan bahwa pengarahan yang disediakan domain yang sebelumnya diikuti. Semua proses IT perlu dinilai secara teratur dari waktu ke waktu untuk mengontrol kualitas dan kepatuhannya. Domain ini merujuk pada manajemen kinerja, pemantauan pengendalian internal, kepatuhan terhadap peraturan dan tata kelola.

  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS

audit si


Perbandingan kelebihan dan kekurangan Standar audit Sistem Informasi
Kelebihan
Kekurangan
  1. Cara paling efektif dengan pendekatan biaya. Karena biaya yang terkait dalam pelaksanaannya kecil.
  2. Pelaksanaan audit lebih sederhana, lebih mudah dan dimengerti oleh semua orang.
  3. Auditor yang memiliki pengetahuan minimal di bidang computer dapat dilatih dengan mudah untuk melaksanakan audit.
  4. Tidak ada resiko terhadap kemungkinan hancurnya data sesungguhnya.
5.     pelaksanaan audit lebih sederhana.
6.     auditor yang memiliki pengetahuan minimal di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.
  1. Jenis aplikasi computer yang digunakan dengan baik sangat terbatas.
  2. Pendekatan ini tidak memberikan informasi tentang kemampuan system untuk mengatasi perubahan.
  3. Jika lingkungan berubah maka kemungkinan system itupun akan berubah dan perlu penyesuaian system atau program-programnya, bahkan mungkin struktur data/file, sehigga auditor tidak dapat menilai /menelaah apakah system masih berjalan baik.
  4. Database biasanya dalam jumlah data yang banyak dan sulit untuk dilacak secara manual.
  5. Auditor tidak akan memahami operasional didalam system computer.
  6. Adanya pengabaian pada system pengolahan computer sehingga rawan adanya kesalahan potensial di dalam system.
  7. Kemampuan computer sebagai fasilitas penunjang pelaksanaan audit menjadi tidak ada.
  8. Tidak menyelesaikan maksud dan tujuan proses audit secara keseluruhan.
I.      jika lingkungan berubah, maka kemungkinan sistem itupun akan berubah dan perlu penyesuaian sistem atau program-programnya, bahkan mungkin struktur data/file, sehingga auditor tidak dapat menilai/menelaah apakah sistem masih berjalan baik.






KONSEP DASAR KONTROL DAN AUDIT SISTEM INFORMASI


            Menurut Wishnu AP dalam Saputri (2015), Audit adalah proses pemeriksaan yang dilakukan secara sistematis untuk mengetahui bagaimana sesungguhnya pelaksanaan kualitas diterapkan. Hasil audit akan di dokumentasi dan evaluasi secara berkala. Sedangkan menurut Frans m. Royan Audit bertujuan untuk mempermudah pemilik melakukan kontrol dan menghindari penyelewengan serta manipulasi data. Sedangkan pengertian audit sistem informasi merupakan suatu kegiatan pemeriksaan yang dilakukan oleh seorang audit internal perusahaan dalam pengumpulan bukti-bukti dan pengevaluasian pengendalian perusahaan untuk mencapai tujuan perusahaan dan sesuai dengan kriteria yang ditentukan.
Sedangkan pegertian control disebut juga pengendalian yang berarti sebuah sistem  
(a control is a system) dengan kata lain merupakan sekumpulan komponen yang saling berelasi yang berfungsi secara bersama-sama untuk menyelesaikan suatu maksud atau tujuan, keabsahan / kebenaran dari suatu kegiatan (unlawful events), dan pemeriksaan.

5 Siklus Audit Akunting Sistem Informasi
1.     Revienue Cycle (sales and cloction)
2.     Expenditure Cycle (tentang bagaimana membeli barang)
3.     Production Cycle ( Bagaimana Menghasilan Barang)
4.     HRM
5.     General Regent and Reporting System
Audit Internal
Audit internal adalah fungsi penilai independen untuk memeriksa dan mengevaluasi kegiatan dalam dan sebagai layanan untuk, sebuah organisasi. auditor internal melakukan berbagai kegiatan termasuk keuangan, operasional, kepatuhan dan audit penipuan. Auditor dapat bekerja untuk organisasi atau tugas dapat outsourcing. Kemerdekaan adalah diri dikenakan, namun auditor mewakili kepentingan organisasi.
Eksternal vs Auditor Internal
Auditor eksternal merupakan pihak luar sementara auditor internal mewakili kepentingan organisasi. auditor internal sering bekerja sama dengan dan membantu auditor eksternal dalam beberapa aspek audit keuangan. Jangkauan kerja sama tergantung pada independensi dan kompetensi staf audit internal. auditor eksternal dapat mengandalkan sebagian pada bukti yang dikumpulkan oleh departemen audit internal yang organisatoris independen dan laporan kepada dewan komite audit direksi.
Peran Komite Audit
Subkomite dari dewan direksi
·        Biasanya tiga anggota yang luar.
·        SOX membutuhkan setidaknya satu anggota harus menjadi "ahli keuangan".
Berfungsi sebagai independen "check and balance" untuk fungsi audit internal.
SOX mengamanatkan bahwa auditor eksternal melaporkan kepada komite audit:
·        karyawan komite dan kebakaran auditor dan menyelesaikan sengketa.
Standar auditing
pernyataan manajemen dan tujuan audit:
1.     Keberadaan atau Terjadinya; Kelengkapan; Hak dan kewajiban; Valuasi atau Alokasi; Penyajian dan Pengungkapan.
2.     Auditor mengembangkan tujuan audit dan prosedur audit desain berdasarkan pernyataan ini.
3.     Auditor mencari materi bukti yang menguatkan pernyataan.
4.     Auditor harus menentukan apakah kelemahan pengendalian internal dan salah saji yang material.
5.     Auditor harus mengkomunikasikan hasil tes mereka, termasuk opini audit.
Risiko Audit
Probabilitas bahwa auditor akan membuat tidak memenuhi syarat opini (bersih) dari laporan keuangan yang, pada kenyataannya, salah saji material. risiko yang melekat (IR) dikaitkan dengan karakteristik unik dari bisnis klien atau industri. pengendalian risiko (CR) adalah kemungkinan struktur pengendalian cacat karena kontrol tidak ada atau tidak memadai untuk mencegah atau mendeteksi kesalahan. Risiko deteksi (DR) adalah auditor risiko bersedia untuk mengambil bahwa kesalahan tidak terdeteksi atau dicegah oleh struktur pengendalian tidak akan terdeteksi oleh auditor. komponen risiko audit dalam model yang digunakan untuk menentukan ruang lingkup, sifat dan waktu pengujian substantif:
model risiko audit: AR = IR x CR x DR
Jika risiko audit yang dapat diterima adalah 5%, risiko deteksi yang direncanakan akan tergantung pada struktur pengendalian.
Semakin kuat struktur pengendalian internal, semakin rendah risiko kontrol dan kurang substantif pengujian auditor harus dilakukan.
pengujian substantif adalah biaya audit padat karya dan memakan waktu, yang mendorong dan menyebabkan gangguan.
kepentingan manajemen dilayani oleh struktur pengendalian internal yang kuat.
Pengendalian internal
Manajemen diwajibkan oleh hukum untuk membangun dan memelihara sistem yang memadai kontrol internal.
Sejarah singkat undang-undang pengendalian internal:
1.     SEC Kisah 1933 dan 1934.
2.     Hukum hak cipta dari tahun 1976.
3.     Praktik Korupsi Asing (FCPA) 1977 mengharuskan perusahaan yang terdaftar dengan SEC untuk:
      I.         ·        Menyimpan catatan yang cukup dan cukup mencerminkan transaksi perusahaan dan posisi keuangan.
    II.         ·        Memelihara sistem pengendalian internal yang memberikan jaminan yang wajar bahwa tujuan organisasi terpenuhi.
Committee of Sponsoring Organizations – 1992
      I.         ·        Sarbanes-Oxley Act of 2002 (SOX) mengharuskan manajemen perusahaan publik untuk menerapkan sistem pengendalian internal yang memadai atas proses pelaporan keuangan mereka. Berdasarkan Bagian 302:
    II.         ·        Manajer harus menyatakan kontrol internal organisasi triwulan dan tahunan.
  III.         ·        auditor eksternal harus melakukan prosedur tertentu kuartalan untuk mengidentifikasi modifikasi kontrol material yang dapat mempengaruhi pelaporan keuangan.
Pasal 404 mengharuskan manajemen perusahaan publik untuk mengakses efektivitas pengendalian internal mereka dalam laporan tahunan.
Sistem Pengendalian Intern
sistem pengendalian intern terdiri dari kebijakan, praktik, dan prosedur untuk mencapai empat tujuan yang luas:
Menjaga aset perusahaan.
Memastikan akurasi dan keandalan catatan akuntansi dan informasi.
Mempromosikan efisiensi dalam operasi perusahaan.
Mengukur kepatuhan terhadap kebijakan dan prosedur yang ditentukan manajemen.
Standar umum

            Standar umum adalah prinsip di mana IS audit dan jaminan profesional beroperasi. Mereka berlaku untuk pelaksanaan semua tugas dan kesepakatan dengan audit IS dan jaminan etika profesional, independensi, objektivitas dan hati-hati, serta pengetahuan, kompetensi dan keterampilan.

Dalam melakukan suatu IS audit atau penugasan assurance audit dan jaminan profesional IS akan diminta untuk menilai sejumlah keputusan penting mengenai materi pelajaran yang akan diaudit dan kriteria yang pokok yang akan dinilai. Dengan demikian, IS audit dan jaminan profesional akan perlu mempertimbangkan benchmark terhadap yang tugas yang harus dilakukan (standar) dan dikompensasi dengan materi pelajaran yang akan dinilai (kriteria).


                                             prinsip-prinsip :

Kerahasiaan (Confidentiality)
Audit berkewajiban untuk menjaga banyak rahasia – rahasia organisasi/perusahaan, rahasia para staff dan rahasia pribadi. Audit juga harus menjaga informasi rahasia ini tersembunyi dan mendapat kepercayaan dari user / pegawai , kolega, dan regulator setiap hari.

Integritas (Integrity)
Audit harus bertindak dengan integritas serta mampu mengembangkan kebijakan yang sehat dan menegakkan / menjaga user tanpa bias. Audit juga harus menunjukkan kesalahan dan kesalahan, dengan tenang dan objektif dalam rangka menegakkan kebaikan bersama. Audit harus mencari dan membela kebenaran dalam segala situasii untuk menemukan jati dirinya.

ketersediaan (Availability)
Bahkan ketika kita mungkin merasa terlalu lelah untuk melakukannya, kita harus tersedia untuk konsultasi ke pengusaha dan kolega kita. Terdapat terlalu sedikit profesional keamanan data dan diperlukan nasihat kita sering, terutama ketika nasihat yang dicari memiliki nilai tinggi hasil.

Menjadi tersedia berarti kita harus mengatur waktu kita dengan baik, untuk memastikan bahwa kita bekerja pada tugas-tugas yang benar-benar penting dan tidak semata-mata yang mendesak. Risiko profesional influencer dan kita harus yakin untuk mempengaruhi hasil dalam situasi yang benar-benar penting.

Etika secara umum didefinisikan sebagai perangkat moral dan nilai. Dari definisi tersebut dapat dikatakan bahwa etika berkaitan erat dengan moral dan nilai-nilai yang berlaku. Contoh Auditor sesuai dengan etika adalah

Para akuntan diharapkan oleh masyarakat untuk berlaku jujur, adil dan tidak memihak serta mengungkapkan laporan keuangan sesuai dengan kondisi sebenarnya.

Sistem pengendalian intern (internal control)

            Audit internal adalah fungsi penilai independen untuk memeriksa dan mengevaluasi kegiatan dalam dan sebagai layanan untuk, sebuah organisasi. auditor internal melakukan berbagai kegiatan termasuk keuangan, operasional, kepatuhan dan audit penipuan. Auditor dapat bekerja untuk organisasi atau tugas dapat outsourcing. Kemerdekaan adalah diri dikenakan, namun auditor mewakili kepentingan organisasi.

terdiri dari beberapa komponen yaitu:
  1. separation of duties (pemisahan tugas/fungsi)
  2. delegation of authority and responsibility (pembagian wewenang dan tanggung jawab).
  3. competent and trustworthy personnel (pegawai yang terlatih/cakap dan dapat di percaya).
  4. system of authorization (otorisasi)
  5. adequate document and records (pencatatan dan dokumentasi yang memadai)
  6. physical control over assets and records (kontrol antara catatan dengan sumber daya secara fisik yang ada)
  7. adequate management supervision (pengawasan manajemen yang memadai)
  8. idenpendent checks on performance (pemeriksaan terhadap kinerja oleh pihak luar organisasi)
  9. comparing recorded accountability with assets (rekonsiliasi catatan dengan fisik/harta yang sesungguhnya ada).




Control Objectives

                  COBIT (Control Objectives for Information and Related Technology) adalah sebuah proses model yang dikembangkan untuk membantu perusahaan dalam pengelolaan sumber daya teknologi informasi (IT). Proses model ini difokuskan pada pengendalian terhadap masing-masing dari 34 proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan memenuhi ekspektasi bisnis dari IT.

            COBIT menciptakan sebuah jembatan antara manajemen TI dan para eksekutif bisnis. COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan semakin besarnya perhatian yang diberikan terhadapcorporate governance dan kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit meskipun ketika terjadi kondisi ekonomi yang sulit.

            Fokus utama dari COBIT ini adalah harapan bahwa melaui adopsi COBIT ini, perusahaan akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi resiko-resiko inheren yang teridentifikasi didalamnya.

            COBIT dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). Saat ini pengembangan terbaru dari standar ini adalah COBIT Edisi 5.0.

            COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap negara dibangun chapter yang dapat mengelola para profesional tersebut.

Audit Risks

             Audit Risk adalah Resiko bahwa informasi / laporan keuangan mungkin berisi materi kesalahan yang mungkin tak terdeteksi selama audit
Resiko auditor mengeluarkan pendapat wajar tanpa pengecualian padahal dalam laporan tersebut terdapat salah saji yang material

Model Audit risk terdiri dari :

       Inherent risk adalah Resiko dari salah saji material menganggap perusahaan tidak memiliki kontrol internal dimana resiko yang terkait dengan sifat kegiatan, Faktor yang relevan (aturan-aturan yang rumit pada formulir klaim, kurangnya bimbingan-bimbingan)

        Control risk adalah Resiko bahwa salah saji material tidak terdeteksi oleh kontrol internal. Dalam pengertian luas, pengendalian risiko adalah resiko bahwa salah saji material dalam informasi tidak diaudit tidak akan terdeteksi dan dikoreksi oleh manajemen prosedur pengendalian internal secara tepat waktu.

       Detection risk adalah Resiko bahwa auditor tidak akan mendeteksi salah saji material menggunakan prosedur analisis atau pengujian substantif

        Overall audit risk adalah digunakan untuk menggambarkan risiko bahwa auditor akan mengeluarkan opini yang tidak pantas

Aplication Control

Aplication control adalah sistem pengendalian intern komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah ditentukan.
Tujuan pengendalian aplikasi :

1.    Input data akurat, lengkap, terotorisasi dan benar
2.    Data diproses sebagaimana mestinya dalam periode waktu yang tepat
3.    Data disimpan secara tepat dan lengkap
4.    Output yang dihasilkan akurat dan lengkap
5.    Adanya catatan mengenai pemrosesan data dari input sampai menjadi output

Aplication Control berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi, termasuk : suntingan data, pemisahan fungsi bisnis ( misalnya , transc inisiasi terhadap otorisasi ) , menyeimbangkan total pengolahan , transc logging , dan pelaporan kesalahan .

Teknik untuk aplikasi komputer audit dibagi ke dalam dua kelas :
1 ) teknik untuk pengendalian aplikasi pengujian
2 ) teknik untuk memeriksa rincian transaksi dan saldo akun - substantif pengujian

Testing Aplication Control

       Black Box Approach - understanding flowcharts, input procedures, & output results
       White Box Approach - understanding the internal logic of the application : authenticity (access) tests, accuracy tests, completeness tests, redundancy tests, audit trail tests, rounding error tests
·      Ø Metode pengujian Data : pengujian untuk logika atau kontrol masalah - baik untuk sistem baru  atau sistem yang telah mengalami perawatan baru-baru ini
       Base Case System Evaluation  ( BCSE ) - menggunakan seperangkat transaksi uji
       tracing - menunjukkan elektronik logika internal aplikasi
·      Ø Uji Metode Data are not fool - proof
       snapshot - satu titik dalam pemeriksaan kali
       tingginya biaya pengembangan data uji yang memadai
·      White Box Testing Techniques
       Integrated Test Facility ( ITF ) : sebuah otomatis , on- akan teknik yang memungkinkan auditor untuk menguji logika aplikasi dan kontrol selama operasi normal
       Parallel Simulation : auditor menulis program simulasi dan menjalankan transaksi yang sebenarnya dari klien melalui sistem

Substantive Test

Substantive Test Techniques

·      Ø  Menelusuri kewajiban yang tidak tercatat
·      Ø  Konfirmasi piutang untuk memastikan mereka tidak dilebih-lebihkan
·      Ø  Menentukan nilai yang benar dari persediaan , dan memastikan mereka tidak dilebih-lebihkan
·       Ø  Menentukan ketepatan akrual untuk biaya yang dikeluarkan , namun belum menerima ( juga pendapatan jika sesuai )

Embedded Audit Module
·      Ø  Modul yang sedang berlangsung yang menyaring transaksi non - materi
·      Ø  Dipilih , transaksi material yang digunakan untuk pengambilan sampel dalam tes substantif
·      Ø  Membutuhkan sumber daya tambahan komputasi oleh klien
·      Ø  Sulit untuk mempertahankan sistem dengan pemeliharaan yang tinggi


Generalized Audit Software (GAS)
Ø  Very popular & widely used
Ø  Can access data files & perform operations on them:
·         screen data
·         statistical sampling methods
·         foot & balance
·         format reports
·         compare files and fields
·         recalculate data fields


IT Governance
            Penerapan TI di perusahaan akan dapat dilakukan dengan baik apabila ditunjang dengan suatu pengelolaan TI (IT Governance) dari mulai perencanaan sampai implementasinya. Definisi IT Governance menurut ITGI adalah: “Suatu bagian terintegrasi dari kepengurusan perusahaan serta mencakup kepemimpinan dan struktur serta proses organisasi yang memastikan bahwa TI perusahaan mempertahankan dan memperluas strategi dan tujuan organisasi.”
Kegunaan IT Governance adalah untuk mengatur penggunaan TI, dan memastikan performa TI sesuai dengan tujuan berikut ini :
  1.  Keselarasan TI dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan dari penerapan TI.
  2. Penggunaan TI agar memungkinkan perusahaan mengekploitasi kesempatan yang ada dan memaksimalkan keuntungan.
  3.  Penggunaan sumber daya TI yang bertanggung jawab.
  4.  Penanganan manajemen risiko yang terkait TI secara tepat.

Manajemen Framework

COBIT adalah framework untuk informasi manajemen Risiko IT, atau merupakan "kerangka kerja dan tool set pendukung yang memungkinkan manajer untuk menjembatani kesenjangan antara kebutuhan pengendalian permasalahan teknis dan risiko bisnis, pertama dirilis 1996 oleh Information System Audit and Control Association (ISACA). Versi terbarunya adalah COBIT 5.
Tujuan utama COBIT adalah menyediakan kebijakan yang jelas dan best practice untuk IT governance, membantu manajemen senior dalam memahami dan mengelola risiko yang berhubungan dengan IT

Sumber :





  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS