3.7 Elemen Pengendalian Internal Model COSO

Menurut COSO framework, pengendalian internal atau internal control terdiri dari 5 (lima) komponen yang saling terkait, yaitu:

      1.     Control Environment

      2.    Risk Assessment

      3.    Control Activities

      4.    Information and Communication

      5.    Monitoring

Kelima komponen/elemen tersebut dapat dijabarkan dalam penjelasan berikut :

     1.     Control Environment / Lingkungan Pengendalian
    Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi kesadaran pengendalian orang-orangnya. Lingkungan pengendalian merupakan dasar untuk semua komponen pengendalian internal, menyediakan disiplin dan struktur. Lingkungan pengendalian menyediakan arahan bagi organisasi dan mempengaruhi kesadaran pengendalian dari orang-orang yang ada di dalam organisasi tersebut.

     2.    Risk Assessment / Penaksiran Risiko

         Penaksiran risiko adalah identifikasi entitas dan analisis terhadap risiko yang relevan untuk mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana risiko harus dikelola. Penentuan risiko tujuan laporan keuangan adalah identifkasi organisasi, analisis, dan manajemen risiko yang berkaitan dengan pembuatan laporan keuangan yang disajikan sesuai dengan PABU. Manajemen risiko menganalisis hubungan risiko asersi spesifik laporan keuangan dengan aktivitas seperti pencatatan, pemrosesan, pengikhtisaran, dan pelaporan data-data keuangan.

     3.    Control Activities / Aktivitas Pengendalian
    Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin bahwa arahan manajemen dilaksanakan. Aktivitas tersebut membantu memastikan bahwa tindakan yang diperlukan untuk menanggulangi risiko dalam pencapaian tujuan entitas.

    Aktivitas pengendalian dapat dikategorikan sebagai berikut.
      a. Pengendalian Pemrosesan Informasi
          - Pengendalian umum
          - Pengendalian aplikasi
          - Otorisasi yang tepat
          - Pencatatan dan dokumentasi
          - Pemeriksaan independen
      b. Pemisahan tugas
      c. Pengendalian fisik
      d. Telaah kinerja

   

    4.    Information and Communication / Informasi dan Komunikasi
   Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran informasi dalam suatu bentuk dan waktu yang memungkinkan orang melaksanakan tanggung jawab mereka. Sistem informasi yang relevan dalam pelaporan keuangan yang meliputi sistem akuntansi yang berisi metode untuk mengidentifikasikan, menggabungkan, menganalisa, mengklasikasi, mencatat, dan melaporkan transaksi serta menjaga akuntabilitas asset dan kewajiban.

    5.    Monitoring / Pemantauan
   Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian intern sepanjang waktu. Pemantauan mencakup penentuan desain dan operasi pengendalian tepat waktu dan pengambilan tindakan koreksi. Proses ini dilaksanakan melalui kegiatan yang berlangsung secara terus menerus, evaluasi secara terpisah, atau dengan berbagai kombinasi dari keduanya.

   Di berbagai entitas, auditor intern atau personel yang melakukan pekerjaan serupa memberikan kontribusi dalam memantau aktivitas entitas. Aktivitas pemantauan dapat mencakup penggunaan informasi dan komunikasi dengan pihak luar seperti keluhan pelanggan dan respon dari badan pengatur yang dapat memberikan petunjuk tentang masalah atau bidang yang memerlukan perbaikan.

Sumber :

http://fajarmarthanugraha.blogspot.com/2013/04/internal-control-menurut-coso.html

3.6 Pengertian Pengendalian Internal Model COSO

Model COSO adalah salah satu model pengendalian internal yang banyak digunakan oleh para auditor sebagai dasar untuk mengevaluasi dan mengembangkan pengendalian internal.

Internal Control / Pengendalian Internal menurut COSO adalah suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff untuk membuat reasonable assurance mengenai :

   Ø  Efektifitas dan efisiensi operasional

   Ø  Reliabilitas pelaporan keuangan

   Ø  Kepatuhan atas hukum dan peraturan yang berlaku

Sumber : 
·  http://zainabmustaqimah.blogspot.com/2013/01/pengendalian-internal-coso-dan-cobit.html
·  http://fajarmarthanugraha.blogspot.com/2013/04/internal-control-menurut-coso.html

3.5 Pengertian COBIT

COBIT adalah a set of best practices (framework) bagi pengelolaan teknologi informasi. COBIT adalah sekumpulan dokumentasi best practice untuk IT governance yang dapat membantu auditor, pengguna, dan manajemen untuk menjembatani gap antara risiko bisnis, kebutuhan control, dan masalah-masalah teknis IT

COBIT merupakan panduan yang paling lengkap dari praktik-praktik terbaik untuk manajemen TI yang mencakup 4 domain :

Perencanaan dan organisasi
Mencakup pembahasan tentang identifikasi dan strategi investasi TI yang dapat memberikan yang terbaik untuk mencapai tujuan bisnis. Kemudian direncanakan, dikomunikasikan, dan diatur pelaksanaannya dari berbagai perspektif.

Perolehan dan implementasi
Yaitu  untuk merealisasikan strategi TI perlu diatur kebutuhan TI. Diidentifikasi, dikembangkan, atau diimplementasikan secara terpadu dalam proses bisnis organisasi.

Penyerahan dan pendukung
Domain ini lebih dipusatkan pada ukuran tentang aspek dukungan TI terhadap kegiatan operasional bisnis.

Monitoring
Yaitu semua proses TI yang perlu dinilai secara berkala agar kualitas dan tujuan dukungan TI tercapai, dan kelengkapannya berdasarkan pada syarat kontrol internal yang baik.

Sumber : http://yokoisvip.blogspot.com/2013/11/softskill-tugas-35-pengertian-cobit.html

3.4 Jelaskan Apa Itu Coso

COSO kepanjangannya Committee of Sponsoring Organizations of the Treadway Commission.
Sejarahnya, COSO ini ada kaitannya sama FCPA yang dikeluarkan sama SEC dan US Congress di tahun 1977 untuk melawan fraud dan korupsi yang marak di Amerika tahun 70-an. Bedanya, kalo FCPA adalah inisiatif dari eksekutif-legislatif, nah kalo COSO ini lebih merupakan inisiatif dari sektor swasta.

Sektor swasta ini membentuk ‘National Commission on Fraudulent Financial Reporting’ atau dikenal juga dengan ‘The Treadway Commission’ di tahun 1985. Komisi ini disponsori oleh 5 professional association yaitu: AICPA, AAA, FEI, IIA, IMA. Tujuan komisi ini adalah melakukan riset mengenai fraud dalam pelaporan keuangan (fraudulent on financial reporting) dan membuat rekomendasi2 yang terkait dengannya untuk perusahaan publik, auditor independen, SEC, dan institusi pendidikan.

Walaupun disponsori sama 5 professional association, tapi pada dasarnya komisi ini bersifat independen dan orang2 yang duduk di dalamnya berasal dari beragam kalangan: industri, akuntan publik, Bursa Efek, dan investor. Nama ‘Treadway’ sendiri berasal dari nama ketua pertamanya yaitu James C. Treadway, Jr.
Komisi ini mengeluarkan report pertamanya pada 1987. Isi reportnya di antaranya adalah merekomendasikan dibuatnya report komprehensif tentang pengendalian internal (integrated guidance on internal control). Makanya terus dibentuk COSO, yang kemudian bekerjasama dengan Coopers & Lybrand (Ehm, kira2 bisa dibilang mbahnya PwC gitu) untuk membuat report itu.

Coopers & Lybrand mengeluarkan report itu pada 1992, dengan perubahan minor pada 1994, dengan judul ‘Internal Control – Integrated Framework’. Report ini berisi definisi umum internal control dan membuat framework untuk melakukan penilaian (assessment) dan perbaikan (improvement) atas internal control. Gunanya report ini salah satunya adalah untuk mengevaluasi FCPA compliance di suatu perusahaan.
Poin penting dalam report COSO ‘Internal Control – Integrated Framework’ (1992):
Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
• Efektifitas dan efisiensi operasional
• Reliabilitas pelaporan keuangan
• Kepatuhan atas hukum dan peraturan yang berlaku

Menurut COSO framework, Internal control terdiri dari 5 komponen yang saling terkait, yaitu:
• Control Environment
• Risk Assessment
• Control Activities
• Information and communication
• Monitoring

Di tahun 2004, COSO mengeluarkan report ‘Enterprise Risk Management – Integrated Framework’, sebagai pengembangan COSO framework di atas. Dijelaskan ada 8 komponen dalam Enterprise Risk Management, yaitu:
• Internal Environment
• Objective Setting
• Event Identification
• Risk Assessment
• Risk Response
• Control Activities
• Information and Communication
• Monitoring

Sumber : http://mukhsonrofi.wordpress.com/2008/10/14/pengertian-atau-definisi-coso/ 

3.3. Hambatan Pasif Dan Contohnya

Setelah membahas tentang hambatan aktif yang ada di dalam suatu sistem informasi, maka tidaklah heran kalau ada yang namanya hambatan pasif. Hambatan pasif ini biasanya mencakup kegagalan sistem, kesalahan manusia dan bencana alam.

Kegagalan Sistem

Kegagalan sistem ini terdiri dari antara lain:
• Gangguan listrik
• Kegagalan peralatan

• Kegagalan fungsi perangkat lunak

Kesalahan Manusia

Hambatan pasif yang disebabkan oleh kegagalan manusia yaitu antara lain :
• Kesalahan pemasukan data
• Kesalahan penghapusan data
• Kesalahan operator (kesalahan memberikan label pada pita magnetik)

Bencana Alam

Hambatan pasif yang terjadi karena bencana alam memang tidaklah bisa dihindari dan diduga karena bisa saja terjadi sewaktu-waktu tanpa kita sadari. Contohnya yaitu :
• Gempa Bumi
• Banjir
• Kebakaran
• Perang
• Dsb

Sumber :  http://brisingrraudhr.blogspot.com/2012/11/hambatan-pasif-dan-contohnya.html

3.2 Hambatan Aktif Dan Contohnya

Terdapat dua kategori hambatan : hambatan aktif dan hambatan pasif.

Hambatan  aktif mencakup kecurangan sistem informasi dan sabotase komputer.
Metode yang dapat digunakan dalam melakukan kecurangan sistem informasi:

1. Manipulasi input
Manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan
kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpamemiliki pengetahuan mengenai cara operasi sistem komputer.

2.Mengubah program
Merubah program mungkin merupakan metode yang paling jarang digunakan untuk
melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karenadibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas.Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapatdigunakan untuk mendeteksi adanya perubahan dalam program

3.Mengubah file secara langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong
(bypass) proses normal untuk menginputkan data ke dalam program computer. Jika hal ituterjadi, hasil yang dituai adalah bencana

4.Pencurian data
Sejumlah informasi ditransmisikan antarperusahaan melalui internet. Informasi ini rentanterhadap pencurian pada saat transmisi. Informasi bisa saja disadap. Ada juga kemungkinanuntuk mencuri disket atau CD dengan cara menyembunyikan disket atau CD ke dalamkantong atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukkan ke dalam kotak sampah.

5.Sabotase
Seorang penyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit danmembingungkan untuk diungkapkan. Penyusup mengubah database akuntansi dan
kemudian mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadapharddisk atau media lain.

6.Penyalahgunaan atau pencurian sumber daya informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan
menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.

Cara utama untuk mencegah hambatan aktif terkait dengan kecurangan dan sabotase adalah dengan menerapkan tahap-tahap pengendalian akses yakni pengendalian akses lokasi,  akses sistem dan akses file.

Sumber : http://adesaptosaputro.blogspot.com/2013/11/32-hambatan-aktif-dan-contohnya.html

3.1 Kerentanan Sistem

Kerentanan adalah kelemahan dalam sistem, Kerentanan dan Penyalahgunaan sistem ketika sejumlah data penting dalam bentuk digital, maka data tersebut rentan terhadap berbagai jenis ancaman, dari pada data yang tersimpan secara manual. ancaman-ancaman tersebut bisa saja berasal dari faktor teknis, organisasi, dan lingkungan yang diperparah oleh akibat keputusan manajemen yang buruk.

Kemajuan dalam telekomunikasi dan perangkat lunak dan keras computer secara signifikan juga memberikan kontribusi atas meningkatnya kerentanan dan gangguan terhadap sistem informasi. Melalui jaringan telekomunikasi, informasi disebarkan atau dihubungkan ke berbagai lokasi. Kemungkinan adanya akses yang tidak sah, gangguan atau kecurangan dapat saja terjadi baik di satu atau beberapa lokasi yang terhubung. Semakin kompleksnya perangkat keras juga menciptakan kemungkinan terjadinya peluang untuk penetrasi dan manipulasi penggunaan sistem informasi.

Pertumbuhan dan penggunaan yang pesat internet dalam berbagai aktivitas juga mengundang timbulnya berbagai gangguan terhadap system informasi. Dua hal yang menjadi perhatian di sini adalah masalah hackersdan virus. Hacker adalah seseorang yang melakukan akses yang tidak sah ke jaringan komputer untuk tujuan mencari keuntungan, kriminal, atau hanya untuk sekedar kesenangannya. Sedangkan virus adalah program yang mengganggu dan merusak file yang ada dalam komputer, serta sulit untuk dideteksi. Virus ini dapat cepat sekali menyebar, menghancurkan file, dan mengganggu pemrosesan dan memory sistem informasi. Umumnya, untuk mencegah penyebaran virus yang menyerang, digunakan program khususanti virus yang didesain untuk mengecek sistem computer dan file yang ada dari kemungkinan terinfeksi oleh virus komputer. Seringkali, anti virusini mampu untuk mengeliminasi virus dari area yang terinfeksi. Namun, program antivirus ini hanya dapat untuk mengeliminasi atas virus-virus komputer yang sudah ada.

Beberapa ancaman dan gangguan yang mungkin terjadi dan berpengaruh terhadap sistem informasi, adalah sebagai berikut:

1. Kerusakan perangkat keras.

2. Perangkat lunak tidak berfungsi.

3. Tindakan-tindakan personal.

4. Penetrasi akses ke terminal.

5. Pencurian data atau peralatan.

6. Kebakaran.

7. Permasalahan listrik.

8. Kesalahan-kesalahan pengguna.

9. Program berubah.

10. Permasalahan-permasalahan telekomunikasi.

Oleh karenanya, para pengguna komputer disarankan untuk secara berkala memperbarui program anti virus mereka. Semakin meningkatnya kerentanan dan gangguan terhadap teknologi informasi telah membuat para pengembang dan pengguna system informasi untuk menempatkan perhatian yang khusus, terutama terhadap permasalahan-permasalahan yang dapat menjadi kendala untuk penggunaan sistem informasi secara memadai.

Sumber : http://tulisansegar.blogspot.com/2012/11/kerentanan-sistem.html