Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
• Efektifitas dan efisiensi operasional
• Reliabilitas pelaporan keuangan
• Kepatuhan atas hukum dan peraturan yang berlaku
Dokumen COSO menyatakan bahwa pihak-pihak yang terlibat terkait PengendalianInternal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yangmendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawabatas penetapan, penjagaan, dan pengawasan sistem Pengendalian Internal adalahtanggung jawab manajemen.
Komponen Struktur Pengendalian Intern
Untuk mencapai suatu pengendalian intern yang benar-benar memadai, terdapat komponen dasar kebijakan yang dirancang dan digunakan oleh manajemen.
Komponen pengendalian intern menurut COSO (The Committee of Sponsoring Organizations) oleh Wing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” Ada lima, yaitu:
“1. ControKOMPONEN (ELEMEN) SPI – COSO
COSO (Committee of Sponsoring Organization) adalah suatu organisasi di US yang anggotanya terdiri dari AAA (the American Accounting Association), AICPA, IIA (the Institute of Internal Auditors), IMA (the Institute of Management Accountants), dan FEI (the Financial Executives Institute).
Komponen SPI Versi COSO
1.Lingkungan Pengendalian (control environment)
2.Aktivitas pengendalian (control activities)
3.Pengukuran risiko (risk assessment)
4.Sistem informasi dan komunikasi (information and communication system)
5.Pemantauan (monitoring)
LINGKUNGAN PENGENDALIAN
•Aspek terpenting atau fondasi utama dalam setiap organisasi adalah SDM, yang mencakup integritas, pemahaman etika, dan tingkat kompetensinya. Sikap mental dan prilaku SDM sangat dipengaruhi oleh lingkungannya, yang terdiri dari beberapa faktor sbb.:
1.Komitmen terhadap integritas dan etika profesional
2.Filosofi manajemen dan gaya operasi organisasi
3.Struktur ogranisasi, untuk mempertegas garis otoritas dan tanggungjawab, memberikan pedoman untuk perencanaan, pengarahan, dan pengendalian operasi.
4.Efektifitas peran dewan komisaris dan komite audit. Komite audit bertanggungjawab mengawasi struktur pengendalian interen perusahaan, proses pelaporan keuangan, serta kepatuhan perusahaan terhadap undang-undang, peraturan, serta berbagai ketentuan yang berlaku.
5.Metode penetapan otoritas dan tanggungjawab
6.Kebijakan dalam bidang sumber daya manusia (SDM)
7.Pengaruh eksteren.
AKTIVITAS PENGENDALIAN (CONTROL ACTIVITIES)
1.Ketepatan otorisasi transaksi. Klasifikasi otorisasi:
a.Otorisasi khusus (specific authorization), otorisasi yang diberikan secara terbatas untuk melaksanakan transaksi atau aktivitas yang bersifat khusus dan tidak terjadi secara rutin.
b.Otorisasi umum (general authorization), yaitu otorisasi yang diberikan secara penuh tanpa diperlukan persetujuan khusus untuk melaksanakan transaksi atau kegiatan rutin.
2.Pemisahan fungsi, mencakup fungsi:
a.Otorisasi
b.Pencatatan (recording)
c.Penyimpanan (custody)
4.Pembatasan akses terjadap aset, catatan, dan informasi.
5.Pengecekan independen, bisa mencakup:
a. Rekonsiliasi dua catatan (record) secara independen.
b. Audit, untuk pembandingan data/laporan dengan fakta.
c. Double-Entry Accounting, debit harus sama dengan kredit.
d. Batch totals atau jumlah kelompok, dalam hal data diproses secara kelompok.
1. Mengidentifikasi ancaman, dalam bentuk:
a. Ancaman strategik, seperti melakukan hal yang salah.
b. Ancaman operasional, seperti melakukan hal yang benar dengan cara yang salah.
c. Ancaman finansial, seperti pemborosan dan hilangnya asset.
d. Ancaman informasi, seperti informasi yang salah atau tidak relevan.
2. Jika perusahaan menggunakan EDI (electronic data interchange), ancaman atau risiko bisa dalam bentuk:
a.Ketidaktepatan pemilihan teknologi.
b.Akses sistem tanpa otorisasi
c.Gangguan transmisi data
d.Gangguan integritas data
e.Transaksi tidak terlaksana dengan sempurna
f.Kerusakan sistem
g.Sistem tidak kompatibel
Sumber: http://webcache.googleusercontent.com/search?q=cache:ckmnciJgfjcJ:akuntansiku.yolasite.com/resources/SIA_STIE/CH%25207%2520CONTROL%2520%2526%2520AIS.pptx+&cd=30&hl=en&ct=clnkl environment atau lingkungan pengendalian
Monday, January 6, 2014
Pengendalian Internal COSO
Definisi internal control menurut COSO
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
• Efektifitas dan efisiensi operasional
• Reliabilitas pelaporan keuangan
• Kepatuhan atas hukum dan peraturan yang berlaku
Dokumen COSO menyatakan bahwa pihak-pihak yang terlibat terkait PengendalianInternal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yangmendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawabatas penetapan, penjagaan, dan pengawasan sistem Pengendalian Internal adalahtanggung jawab manajemen.
Komponen Struktur Pengendalian Intern
Untuk mencapai suatu pengendalian intern yang benar-benar memadai, terdapat komponen dasar kebijakan yang dirancang dan digunakan oleh manajemen.
Komponen pengendalian intern menurut COSO (The Committee of Sponsoring Organizations) oleh Wing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” Ada lima, yaitu:
Suatu proses yang dijalankan oleh dewan direksi, manajemen, dan staff, untuk membuat reasonable assurance mengenai:
• Efektifitas dan efisiensi operasional
• Reliabilitas pelaporan keuangan
• Kepatuhan atas hukum dan peraturan yang berlaku
Dokumen COSO menyatakan bahwa pihak-pihak yang terlibat terkait PengendalianInternal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yangmendukung pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawabatas penetapan, penjagaan, dan pengawasan sistem Pengendalian Internal adalahtanggung jawab manajemen.
Komponen Struktur Pengendalian Intern
Untuk mencapai suatu pengendalian intern yang benar-benar memadai, terdapat komponen dasar kebijakan yang dirancang dan digunakan oleh manajemen.
Komponen pengendalian intern menurut COSO (The Committee of Sponsoring Organizations) oleh Wing Wahyu Winarno dalam buku ”Sistem Informasi Akuntansi” Ada lima, yaitu:
- Control environment atau lingkungan pengendalian
- Control activities atau kegiatan pengendalian
- Risk assessment atau pemahaman risiko
- Information and communication atau informasi dan komunikasi
- Monitoring atau pemantauan
COBIT
COBIT (Control Objective for Information Related Tecnology)
(weber, p57) COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance.
Cobit dikenal luas sebagai standard defacto untuk kerangka kerja tata kelola TI (IT Governance) dan yang terkait dengannya. Di sisi lain standard/framework ini terus berevolusi sejak pertama kali diluncurkan di 1996 hingga rilis terakhir yaitu CobiT 5 yang diluncurkan pada Juni 2012 yang lalu. Pada setiap rilisnya, kerangka kerja ini melakukan pergeseran-pergeseran beberapa paradigma.
COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool).
COBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian dan keamanan.
COBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen COBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT.
Alat-alat tersebut yaitu :
Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI)
Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari tiap proses TI
Model maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan
Komponen COBIT terdiri dari Executive Summary, Framework, Control Objectives, Audit Guidelines, Implemenation Tool Set, Management Guidelines
COBIT memiliki misi melakukan riset, mengembangkan, mempublikasikan, dan mempromosikan makalah-makalah, serta meng-update tatanan atau ketentuan TI controls objective yang dapat diterima umum (generally accepted control objectives) berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya.
Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi informasi (Information Technology Governance).
sumber http://dewiuwie.wordpress.com/2013/11/22/3-4-cobit/
(weber, p57) COBIT dapat diartikan sebagai tujuan pengendalian untuk informasi dan teknologi terkait dan merupakan standar terbuka untuk pengendalian terhadap teknologi informasi yang dikembangkan dan dipromosikan oleh Institut IT Governance.
Cobit dikenal luas sebagai standard defacto untuk kerangka kerja tata kelola TI (IT Governance) dan yang terkait dengannya. Di sisi lain standard/framework ini terus berevolusi sejak pertama kali diluncurkan di 1996 hingga rilis terakhir yaitu CobiT 5 yang diluncurkan pada Juni 2012 yang lalu. Pada setiap rilisnya, kerangka kerja ini melakukan pergeseran-pergeseran beberapa paradigma.
COBIT pertama sekali diperkenalkan pada tahun 1996 adalah merupakan alat (tool) yang disiapkan untuk mengatur teknologi informasi (IT Governance tool).
COBIT telah dikembangkan sebagai sebuah aplikasi umum dan telah diterima menjadi standar yang baik bagi praktek pengendalian dan keamanan TI yang menyediakan sebuah kerangka kerja bagi pengelola, user, audit sistem informasi, dan pelaksana pengendalian dan keamanan.
COBIT, di terbitkan oleh Institut IT Governance. Pedoman COBIT memungkinkan perusahaan untuk mengimplementasikan pengaturan TI secara efektif dan pada dasarnya dapat diterapkan di seluruh organisasi. Khususnya, komponen pedoman manajemen COBIT yang berisi sebuah respon kerangka kerja untuk kebutuhan manajemen bagi pengukuran dan pengendalian TI dengan menyediakan alat-alat untuk menilai dan mengukur kemampuan TI perusahaan untuk 34 proses TI COBIT.
Alat-alat tersebut yaitu :
Elemen pengukuran kinerja (pengukuran hasil dan kinerja yang mengarahkan bagi seluruh proses TI)
Daftar faktor kritis kesuksesan (CSF) yang disediakan secara ringkas, praktek terbaik non teknis dari tiap proses TI
Model maturity untuk membantu dalam benchmarking dan pengambilan keputusan bagi peningkatan kemampuan
Komponen COBIT terdiri dari Executive Summary, Framework, Control Objectives, Audit Guidelines, Implemenation Tool Set, Management Guidelines
COBIT memiliki misi melakukan riset, mengembangkan, mempublikasikan, dan mempromosikan makalah-makalah, serta meng-update tatanan atau ketentuan TI controls objective yang dapat diterima umum (generally accepted control objectives) berikut panduan pelengkap yang dikenal sebagai Audit Guidelines yang memungkinkan penerapan framework dan control objectives dapat berjalan mudah. Tatanan atau ketentuan tersebut selanjutnya digunakan oleh para manajer dunia usaha maupun auditor dalam menjalankan profesinya.
Sedangkan visi dari COBIT adalah dijadikan COBIT sendiri sebagai satu-satunya model pengurusan dan pengendalian teknologi informasi (Information Technology Governance).
sumber http://dewiuwie.wordpress.com/2013/11/22/3-4-cobit/
COSO
Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keungan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.
Tahun 1992, COSO menyusun dan menerbitkan internal control integrated framework yang berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern. Kerangka ini diterima sebagai acuan umum pengendalian intern, yang penggunaannya mencakup penentuan tujuan pengendalian pelaporan keuangan dan proses operasional dalam konteks organisasional, sehingga perbaikan dan kontrol dapat dilakukan secara menyeluruh. Struktur pengendalian intern menurut COSO mencakup aktivitas pengendalian terkait pengendalian dengan pemrosesan informasi yaitu pengendalian umum dan pengendalian aplikasi.
Pada tahun 2004, COSO mengembangkan internal control integrated framework dengan menambahkan cakupan tentang manajemen dan strategi risiko yang selanjutnya dikenal dengan pendekatan enterprise risk management (ERM). Menurut kerangka tersebut, pengendalian intern merupakan bagian integral dari manajemen risiko.
Tujuan Pembentukan
COSO mendefinisikan pengendalian intern sebagai, sebuah proses yang dipengaruhi oleh dewan komisaris, manajemen dan pegawai perusahaan lainnya yang dibentuk untuk menyediakan keyakinan yang memadai/wajar berkaitan dengan pencapaian tujuan dalam kategori berikut:
➢ Efektifitas dan efisiensi aktivitas operasi
Kendali ini dimaksudkan untuk mendorong penggunaan yang efektif dan efisien atas sumber daya organisasi, hal ini mencakup personil untuk mengotimalkan sasaran perusahaan. Bagian penting dari kendali ini adalah informasi yang akurat untuk pengambilan keputusan internal.
➢ Kehandalan pelaporan keuangan
Secara legal dan profesional manajemen bertanggungjawab untuk menyiapkan laporan keuangan bagi investor, kreditur, dan para pemakai lainnya. Dalam rangka memenuhi tanggung jawab tersebut maka diperlukan adanya kendali untuk memastikan bahwa informasi tersebut disiapkan secara wajar menurut prinsip akuntansi yang berlaku secara umum (PAYBU).
➢ Ketaatan terhadap hukum dan peraturan yang berlaku
Konsekuensi logis dari pendirian suatu organisasi yang berorientasi publik adalah kewajiban legal, organisasi diwajibkan untuk mematuhi aturan hukum dan berbagai peraturan yang berlaku (misal, UU Pajak dan peraturan Bursa Efek). Kendali ini memiliki nilai penting dalam rangka memastikan bahwa oraganisasi dalam kelangsungan telah mematuhi dan taat terhadap hukum dan peraturan tersebut.
➢ Pengamanan aset entitas
Terkait dengan tujuan pelaporan publik manajemen, ditambahkan kategori baru yaitu pengamanan aset entitas. Nilai penting dari kendali ini adalah mencegah terjadinya akuisisi, penggunaan atau pemindahan aset yang tidak terotorisasi yang dapat memiliki efek material terhadap laporan keuangan.
Stakeholder
Setiap personel berperan dalam implementasi pengendalian internal perusahaan, tetapi tanggung jawab penyedia dan pelaksana pengendalian internal adalah manajemen senior, dalam hal ini CEO dan CFO. CEO berperan sebagai “pemberi warna” dan juga memberikan contoh kepada anggota lain. Sedangkan CFO dan manajemen senior lainnya berperan dalam proses desain, implementasi dan monitoring sistem pelaporan keuangan perusahaan.
Dewan komisaris dan komite audit menyediakan, panduan dan pengawasan. Anggota dewan komisaris dan komite audit harus objektif, mampu, dan kritis. Mereka juga harus menitikberatkan pada peran pengawasan, selain itu mereka juga harus mengetahui lingkungan bisnis perusahaan, aktifitas pelaporan dan sistem pengendalian internal.
Secara garis besar stakeholder atas COSO yaitu Entitas; regulator; penyusun standar; organisasi profesi; intitusi pendidikan. Namun, pihak yang bertanggung jawab dan terbebani yaitu Dewan Komisaris, manajemen dan pegawai lainnya, sedangkan pihak yang diuntungkan adalah entitas dan pengguna informasi.
Overview COSO
Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:
Lingkungan pengendalian
Penilaian resiko
Aktifitas pengendalian
Informasi dan komunikasi
Pemantauan
Lingkungan Pengendalian
Lingkungan pengendalian menempatkan kualitas dalam organisasi, mempengaruhi kesadaran pengendalian terhadap pegawainya. Hal ini juga merupakan dasar bagi komponen pengendalian internal yang lain, menyiapkan disiplin dan struktur. Faktor lingkungan pengendalian meliputi integritas, nilai etis, gaya operasi manajemen, sistem pelimpahan wewenang, serta proses untuk mengatur dan mengembangkan sumber daya manusia dalam organisasi.
1. Integritas dan Nilai etika
Ada dan diterapkannya kode etik
Bekerjasama dengan karyawan, pemasok dan lain-lain dengan integritas yang tinggi
Tekanan mencapai target yang tidak realistis dan target ini dipakai sebagai ukuran kinerja
2. Komitmen atas kompetensi
Deskripsi pekerjaan formal atau informal
Analisis mengenai kompetensi dalam mengisi formasi pegawai
3. Dewan Komisaris/Komite Audit
Independen dari manajemen
Frekuensi dan ketepatan pertemuan dengan CFO, internal auditor maupun eksternal auditor
Penyediaan informasi yang penting dan tepat waktu untuk memungkinkan pemantauan atas tujuan dan strategi manajemen, performa keuangan perusahaan dan syarat-syarat atas perjanjian penting
4. Filosofi Manajemen dan Gaya Operasi
Resiko bisnis yang diterima, ini bisa berbentuk risk adverse atau risk taker
Frekuensi pertemuan manajemen puncak dan manajemen operasi, terutama ketika beroperasi dalam wilayah geografis yang berbeda
Sikap dan tindakan berkaitan dengan pelaporan keuangan termasuk juga mengenai perbedaan pendapat atas perlakuan akuntansi yang diterima.
5. Struktur organisasi
Kelayakan struktur organisasi dan tersedianya jalur informasi yang layak
Kecukupan pembagian tanggung jawab diantara manajer
Kemampuan dan pengalaman manajer dalam memenuhi tanggung jawabnya
6. Kewenangan dan Tanggung Jawab
Pendelegasian wewenang dan tanggung jawab disesuaikan dengan keperluan pencapaian tujuan perusahaan, peraturan yang berlaku, atau tujuan operasional.
Kecukupan standar dan prosedur yang berkaitan dengan pengendalian, termasuk juga deskripsi pekerjaan.
Kecukupan kuantitas dan kualitas pegawai dalam bidang akuntansi dan pemrosesan data disesuaikan dengan kompleksitas, sifat dan ukuran entitas.
7. Kebijakan dan praktek berkaitan dengan manajemen SDM
Adanya kebijakan dan prosedur berkaitan dengan penerimaan, pelatihan dan promosi pegawai.
Untuk kasus yang tidak sesuai dengan kebijakan yang berlaku, maka prosedurnya harus diulang
Kecukupan pengecekan mengenai latar belakang pegawai
Kecukupan kriteria promosi dan teknik-teknik pengumpulan informasi berkaitan dengan kode etik pegawai.
II. Penilaian Risiko
Setiap organisasi dalam mencapai tujuannya menghadapi berbagai macam risiko baik eksternal maupun internal. Resiko ini bermacam-macam dilihat dari dampak ataupun tingkat keseringan terjadinya, misalkan resiko kebakaran tentu berbeda dengan resiko pencurian dana kas di cash register tentu berbeda dampak dan frekuensi terjadinya. Penilaian risiko merupakan tindakan yang penting untuk menentukan pengelolaan risiko. Aspek-aspek penilaian resiko adalah sebagai berikut:
1. Tujuan
Tujuan entitas dapat bersifat eksplisit atau implisit, biasanya tercermin dalam misi atau nilai entitas. Lebih spesifik lagi, tujuan terdapat dalam rencana strategis perusahaan yang merupakan tujuan tingkat entitas. Tujuan ini kemudian dikaitkan dengan tujuan tingkat aktifitas. Kategori tujuan terdiri dari :
Tujuan operasi, memasukkan unsur efektif dan efisien termasuk juga tujuan kinerja dan tujuan laba dan pengamanan terhadap sumber daya.
Tujuan pelaporan keuangan, yang menitikberatkan pada penyusunan laporan keuangan yang andal sesuai dengan standar.
Tujuan kepatuhan, yang menitikberatkan pada ketaatan kepada hukum dan peraturan yang berlaku.
2. Identifikasi dan analisa resiko
Identifikasi dan analisa resiko harus bisa mencakup semua resiko yang signifikan dalam pencapaian tujuan. Proses identifikasi dan analisa resiko biasanya berulang-ulang dan terintegrasi dalam proses perencanaan.
Resiko tingkat entitas
Resiko ini bersumber dari internal dan eksternal perusahaan, entitas harus bisa mendeteksi resiko semacam ini, berikut resiko-resiko entitas baik internal maupun eksternal.
Resiko tingkat aktifitas
Semua aktifitas yang signifikan harus diidentifikasikan resiko yang mungkin timbul. Resiko aktifitas sendiri mungkin signifikan atau tidak, relevan atau tidak. Dalam identifikasi dan analisis resiko penting untuk memperhatikan dampak yang ditimbulkan resiko dan frekuensi resiko terjadi.
3. Manajemen perubahan
Setiap entitas harus mempunyai sebuah prosedur, baik formal atau informal, untuk mengidentifikasikan kondisi-kondisi yang menghalangi kemampuan perusahaan dalam mencapai tujuannya. Mekanisme ini harus mampu mengantisipasi perubahan yang signifikan untuk dapat menghindari masalah atau memanfaatkan peluang yang muncul dari perubahan itu.
III.Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang memastikan arahan manajemen dilaksanakan. Aktivitas pengendalian terjadi di seluruh bagian organisasi, baik pada berbagai tingkatan maupun berbagai fungsi yang meliputi otorisasi, verifikasi, rekonsiliasi, review kinerja operasi, keamanan aset, pemisahan wewenang dan tanggung jawab. Aktifitas pengendalian dapat bersifat preventif atau detektif, manual atau otomatis, atau review manajemen.
Aspek-aspek aktifitas pengendalian:
1. Prosedur dan Kebijakan
Kebijakan berfungsi menetapkan apa yang harus dilakukan sedangkan prosedur adalah tindakan personel untuk menjalankan kebijakan. Keduanya membantu memastikan bahwa arahan manajemen mengenai resiko dijalankan. Kebijakan dan prosedur dapat dibagi menjadi 3 kategori yaitu operasi, pelaporan keuangan dan ketaatan.
Berbagai jenis pengendalian dapat diterapkan untuk memastikan bahwa tujuan akan terpenuhi. Aktifitas pengendalian dapat diklasifikasikan menjadi :
Pengendalian preventif
Pengendalian detektif
Pengendalian manual
Pengendalian otomatis
Pengendalian manajemen
2. Sistem pengendalian Informasi
Terdiri dari 2 macam pengendalian yaitu : pengendalian umum dan pengendalian khusus. Pengendalian ini berlaku baik bagi mainframe ataupun komputer pengguna.
Pengendalian umum
Operasi pusat data, meliputi tindakan backup, pengesetan dan pengecekan komputer, dan tindakan-tindakan kontijensi ketika terjadi bencana atas pusat data.
Software sistem, pengendalian atas perolehan, penggunaan dan perawatan software baik sistem operasi maupun software pendukung lainnya termasuk software keamanan, basis data dan yang lain.
Keamanan akses, semua akses ke sistem harus diotorisasi yang dapat berupa id khusus dengan password atau nomor-nomor tertentu.
Metodologi pengembangan sistem, mencakup desain sistem dan implementasi sistem, fase-fase pengembangan, dokumentasi yang diharuskan, pengesahan dan pengujian untuk menekan biaya pengembangan sistem.
Pengendalian aplikasi
Pengendalian aplikasi didesain untuk memastikan kelengkapan dan akurasi pemrosesan transaksi, otorisasi dan validasi. Dalam banyak kasus, pengecekan komputer dapat mencegah terjadinya kesalahan dan mendeteksi serta mengkoreksi kesalahan.
Pengendalian umum diperlukan untuk mendukung pelaksanaan pengendalian aplikasi, sedangkan pengendalian aplikasi diperlukan untuk memastikan pemrosesan transaksi yang akurat dan lengkap.
3. Pengendalian entitas khusus
Karena masing-masing entitas memiliki tujuan dan strategi masing-masing, maka aktifitas pengendalian mungkin akan berbeda satu sama lain. Faktor-faktor yang mempengaruhi desain pengendalian internal adalah : kemampuan dan penilaian manajemen, lingkungan dan industri beroperasinya, kompleksitas dan sifat organisasi, penyebaran asset dan karyawan serta tingkat kerumitan operasi dan pemrosesan informasi.
IV. Informasi dan Komunikasi
Sistem informasi berperan dalam sistem pengendalian internal sebagai penghasil laporan, termasuk operasional, finansial, dan ketaatan, sehingga memungkinkan karyawan untuk melakukan aktifitas pengendalian dan juga untuk memperoleh informasi serta mengkomunikasikannya secara tepat waktu maupun tepat bentuknya. Ini akan memudahkan manajemen untuk melakukan dan mengendalikan bisnis dengan efektif.
V.Pemantauan
Pemantauan (monitoring) merupakan suatu proses yang menilai kualitas dari kinerja suatu sistem dalam suatu waktu. Sistem pengendalian internal harus dimonitor untuk mengetahui kualitas sistem pengendalian internal dari waktu ke waktu. Ketika monitoring diatur dengan baik perusahaan cenderung diuntungkan karena perusahaan akan dapat :
Mengidentifikasikan dan memperbaiki pengendalian internal pada waktu yang tepat.
Menyediakan informasi yang lebih akurat dan dapat diandalkan untuk pengambilan keputusan.
Menyediakan laporan keuangan yang akurat dan tepat waktu.
Berada dalam posisi kesiapan menyatakan pendapat mengenai kemampuan pengendalian internal.
Sumber: http://dc179.4shared.com/doc/jpR34Snj/preview.html
http://id.wikipedia.org/wiki/COSO
Tahun 1992, COSO menyusun dan menerbitkan internal control integrated framework yang berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern. Kerangka ini diterima sebagai acuan umum pengendalian intern, yang penggunaannya mencakup penentuan tujuan pengendalian pelaporan keuangan dan proses operasional dalam konteks organisasional, sehingga perbaikan dan kontrol dapat dilakukan secara menyeluruh. Struktur pengendalian intern menurut COSO mencakup aktivitas pengendalian terkait pengendalian dengan pemrosesan informasi yaitu pengendalian umum dan pengendalian aplikasi.
Pada tahun 2004, COSO mengembangkan internal control integrated framework dengan menambahkan cakupan tentang manajemen dan strategi risiko yang selanjutnya dikenal dengan pendekatan enterprise risk management (ERM). Menurut kerangka tersebut, pengendalian intern merupakan bagian integral dari manajemen risiko.
Tujuan Pembentukan
COSO mendefinisikan pengendalian intern sebagai, sebuah proses yang dipengaruhi oleh dewan komisaris, manajemen dan pegawai perusahaan lainnya yang dibentuk untuk menyediakan keyakinan yang memadai/wajar berkaitan dengan pencapaian tujuan dalam kategori berikut:
➢ Efektifitas dan efisiensi aktivitas operasi
Kendali ini dimaksudkan untuk mendorong penggunaan yang efektif dan efisien atas sumber daya organisasi, hal ini mencakup personil untuk mengotimalkan sasaran perusahaan. Bagian penting dari kendali ini adalah informasi yang akurat untuk pengambilan keputusan internal.
➢ Kehandalan pelaporan keuangan
Secara legal dan profesional manajemen bertanggungjawab untuk menyiapkan laporan keuangan bagi investor, kreditur, dan para pemakai lainnya. Dalam rangka memenuhi tanggung jawab tersebut maka diperlukan adanya kendali untuk memastikan bahwa informasi tersebut disiapkan secara wajar menurut prinsip akuntansi yang berlaku secara umum (PAYBU).
➢ Ketaatan terhadap hukum dan peraturan yang berlaku
Konsekuensi logis dari pendirian suatu organisasi yang berorientasi publik adalah kewajiban legal, organisasi diwajibkan untuk mematuhi aturan hukum dan berbagai peraturan yang berlaku (misal, UU Pajak dan peraturan Bursa Efek). Kendali ini memiliki nilai penting dalam rangka memastikan bahwa oraganisasi dalam kelangsungan telah mematuhi dan taat terhadap hukum dan peraturan tersebut.
➢ Pengamanan aset entitas
Terkait dengan tujuan pelaporan publik manajemen, ditambahkan kategori baru yaitu pengamanan aset entitas. Nilai penting dari kendali ini adalah mencegah terjadinya akuisisi, penggunaan atau pemindahan aset yang tidak terotorisasi yang dapat memiliki efek material terhadap laporan keuangan.
Stakeholder
Setiap personel berperan dalam implementasi pengendalian internal perusahaan, tetapi tanggung jawab penyedia dan pelaksana pengendalian internal adalah manajemen senior, dalam hal ini CEO dan CFO. CEO berperan sebagai “pemberi warna” dan juga memberikan contoh kepada anggota lain. Sedangkan CFO dan manajemen senior lainnya berperan dalam proses desain, implementasi dan monitoring sistem pelaporan keuangan perusahaan.
Dewan komisaris dan komite audit menyediakan, panduan dan pengawasan. Anggota dewan komisaris dan komite audit harus objektif, mampu, dan kritis. Mereka juga harus menitikberatkan pada peran pengawasan, selain itu mereka juga harus mengetahui lingkungan bisnis perusahaan, aktifitas pelaporan dan sistem pengendalian internal.
Secara garis besar stakeholder atas COSO yaitu Entitas; regulator; penyusun standar; organisasi profesi; intitusi pendidikan. Namun, pihak yang bertanggung jawab dan terbebani yaitu Dewan Komisaris, manajemen dan pegawai lainnya, sedangkan pihak yang diuntungkan adalah entitas dan pengguna informasi.
Overview COSO
Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:
Lingkungan pengendalian
Penilaian resiko
Aktifitas pengendalian
Informasi dan komunikasi
Pemantauan
Lingkungan Pengendalian
Lingkungan pengendalian menempatkan kualitas dalam organisasi, mempengaruhi kesadaran pengendalian terhadap pegawainya. Hal ini juga merupakan dasar bagi komponen pengendalian internal yang lain, menyiapkan disiplin dan struktur. Faktor lingkungan pengendalian meliputi integritas, nilai etis, gaya operasi manajemen, sistem pelimpahan wewenang, serta proses untuk mengatur dan mengembangkan sumber daya manusia dalam organisasi.
1. Integritas dan Nilai etika
Ada dan diterapkannya kode etik
Bekerjasama dengan karyawan, pemasok dan lain-lain dengan integritas yang tinggi
Tekanan mencapai target yang tidak realistis dan target ini dipakai sebagai ukuran kinerja
2. Komitmen atas kompetensi
Deskripsi pekerjaan formal atau informal
Analisis mengenai kompetensi dalam mengisi formasi pegawai
3. Dewan Komisaris/Komite Audit
Independen dari manajemen
Frekuensi dan ketepatan pertemuan dengan CFO, internal auditor maupun eksternal auditor
Penyediaan informasi yang penting dan tepat waktu untuk memungkinkan pemantauan atas tujuan dan strategi manajemen, performa keuangan perusahaan dan syarat-syarat atas perjanjian penting
4. Filosofi Manajemen dan Gaya Operasi
Resiko bisnis yang diterima, ini bisa berbentuk risk adverse atau risk taker
Frekuensi pertemuan manajemen puncak dan manajemen operasi, terutama ketika beroperasi dalam wilayah geografis yang berbeda
Sikap dan tindakan berkaitan dengan pelaporan keuangan termasuk juga mengenai perbedaan pendapat atas perlakuan akuntansi yang diterima.
5. Struktur organisasi
Kelayakan struktur organisasi dan tersedianya jalur informasi yang layak
Kecukupan pembagian tanggung jawab diantara manajer
Kemampuan dan pengalaman manajer dalam memenuhi tanggung jawabnya
6. Kewenangan dan Tanggung Jawab
Pendelegasian wewenang dan tanggung jawab disesuaikan dengan keperluan pencapaian tujuan perusahaan, peraturan yang berlaku, atau tujuan operasional.
Kecukupan standar dan prosedur yang berkaitan dengan pengendalian, termasuk juga deskripsi pekerjaan.
Kecukupan kuantitas dan kualitas pegawai dalam bidang akuntansi dan pemrosesan data disesuaikan dengan kompleksitas, sifat dan ukuran entitas.
7. Kebijakan dan praktek berkaitan dengan manajemen SDM
Adanya kebijakan dan prosedur berkaitan dengan penerimaan, pelatihan dan promosi pegawai.
Untuk kasus yang tidak sesuai dengan kebijakan yang berlaku, maka prosedurnya harus diulang
Kecukupan pengecekan mengenai latar belakang pegawai
Kecukupan kriteria promosi dan teknik-teknik pengumpulan informasi berkaitan dengan kode etik pegawai.
II. Penilaian Risiko
Setiap organisasi dalam mencapai tujuannya menghadapi berbagai macam risiko baik eksternal maupun internal. Resiko ini bermacam-macam dilihat dari dampak ataupun tingkat keseringan terjadinya, misalkan resiko kebakaran tentu berbeda dengan resiko pencurian dana kas di cash register tentu berbeda dampak dan frekuensi terjadinya. Penilaian risiko merupakan tindakan yang penting untuk menentukan pengelolaan risiko. Aspek-aspek penilaian resiko adalah sebagai berikut:
1. Tujuan
Tujuan entitas dapat bersifat eksplisit atau implisit, biasanya tercermin dalam misi atau nilai entitas. Lebih spesifik lagi, tujuan terdapat dalam rencana strategis perusahaan yang merupakan tujuan tingkat entitas. Tujuan ini kemudian dikaitkan dengan tujuan tingkat aktifitas. Kategori tujuan terdiri dari :
Tujuan operasi, memasukkan unsur efektif dan efisien termasuk juga tujuan kinerja dan tujuan laba dan pengamanan terhadap sumber daya.
Tujuan pelaporan keuangan, yang menitikberatkan pada penyusunan laporan keuangan yang andal sesuai dengan standar.
Tujuan kepatuhan, yang menitikberatkan pada ketaatan kepada hukum dan peraturan yang berlaku.
2. Identifikasi dan analisa resiko
Identifikasi dan analisa resiko harus bisa mencakup semua resiko yang signifikan dalam pencapaian tujuan. Proses identifikasi dan analisa resiko biasanya berulang-ulang dan terintegrasi dalam proses perencanaan.
Resiko tingkat entitas
Resiko ini bersumber dari internal dan eksternal perusahaan, entitas harus bisa mendeteksi resiko semacam ini, berikut resiko-resiko entitas baik internal maupun eksternal.
Resiko tingkat aktifitas
Semua aktifitas yang signifikan harus diidentifikasikan resiko yang mungkin timbul. Resiko aktifitas sendiri mungkin signifikan atau tidak, relevan atau tidak. Dalam identifikasi dan analisis resiko penting untuk memperhatikan dampak yang ditimbulkan resiko dan frekuensi resiko terjadi.
3. Manajemen perubahan
Setiap entitas harus mempunyai sebuah prosedur, baik formal atau informal, untuk mengidentifikasikan kondisi-kondisi yang menghalangi kemampuan perusahaan dalam mencapai tujuannya. Mekanisme ini harus mampu mengantisipasi perubahan yang signifikan untuk dapat menghindari masalah atau memanfaatkan peluang yang muncul dari perubahan itu.
III.Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang memastikan arahan manajemen dilaksanakan. Aktivitas pengendalian terjadi di seluruh bagian organisasi, baik pada berbagai tingkatan maupun berbagai fungsi yang meliputi otorisasi, verifikasi, rekonsiliasi, review kinerja operasi, keamanan aset, pemisahan wewenang dan tanggung jawab. Aktifitas pengendalian dapat bersifat preventif atau detektif, manual atau otomatis, atau review manajemen.
Aspek-aspek aktifitas pengendalian:
1. Prosedur dan Kebijakan
Kebijakan berfungsi menetapkan apa yang harus dilakukan sedangkan prosedur adalah tindakan personel untuk menjalankan kebijakan. Keduanya membantu memastikan bahwa arahan manajemen mengenai resiko dijalankan. Kebijakan dan prosedur dapat dibagi menjadi 3 kategori yaitu operasi, pelaporan keuangan dan ketaatan.
Berbagai jenis pengendalian dapat diterapkan untuk memastikan bahwa tujuan akan terpenuhi. Aktifitas pengendalian dapat diklasifikasikan menjadi :
Pengendalian preventif
Pengendalian detektif
Pengendalian manual
Pengendalian otomatis
Pengendalian manajemen
2. Sistem pengendalian Informasi
Terdiri dari 2 macam pengendalian yaitu : pengendalian umum dan pengendalian khusus. Pengendalian ini berlaku baik bagi mainframe ataupun komputer pengguna.
Pengendalian umum
Operasi pusat data, meliputi tindakan backup, pengesetan dan pengecekan komputer, dan tindakan-tindakan kontijensi ketika terjadi bencana atas pusat data.
Software sistem, pengendalian atas perolehan, penggunaan dan perawatan software baik sistem operasi maupun software pendukung lainnya termasuk software keamanan, basis data dan yang lain.
Keamanan akses, semua akses ke sistem harus diotorisasi yang dapat berupa id khusus dengan password atau nomor-nomor tertentu.
Metodologi pengembangan sistem, mencakup desain sistem dan implementasi sistem, fase-fase pengembangan, dokumentasi yang diharuskan, pengesahan dan pengujian untuk menekan biaya pengembangan sistem.
Pengendalian aplikasi
Pengendalian aplikasi didesain untuk memastikan kelengkapan dan akurasi pemrosesan transaksi, otorisasi dan validasi. Dalam banyak kasus, pengecekan komputer dapat mencegah terjadinya kesalahan dan mendeteksi serta mengkoreksi kesalahan.
Pengendalian umum diperlukan untuk mendukung pelaksanaan pengendalian aplikasi, sedangkan pengendalian aplikasi diperlukan untuk memastikan pemrosesan transaksi yang akurat dan lengkap.
3. Pengendalian entitas khusus
Karena masing-masing entitas memiliki tujuan dan strategi masing-masing, maka aktifitas pengendalian mungkin akan berbeda satu sama lain. Faktor-faktor yang mempengaruhi desain pengendalian internal adalah : kemampuan dan penilaian manajemen, lingkungan dan industri beroperasinya, kompleksitas dan sifat organisasi, penyebaran asset dan karyawan serta tingkat kerumitan operasi dan pemrosesan informasi.
IV. Informasi dan Komunikasi
Sistem informasi berperan dalam sistem pengendalian internal sebagai penghasil laporan, termasuk operasional, finansial, dan ketaatan, sehingga memungkinkan karyawan untuk melakukan aktifitas pengendalian dan juga untuk memperoleh informasi serta mengkomunikasikannya secara tepat waktu maupun tepat bentuknya. Ini akan memudahkan manajemen untuk melakukan dan mengendalikan bisnis dengan efektif.
V.Pemantauan
Pemantauan (monitoring) merupakan suatu proses yang menilai kualitas dari kinerja suatu sistem dalam suatu waktu. Sistem pengendalian internal harus dimonitor untuk mengetahui kualitas sistem pengendalian internal dari waktu ke waktu. Ketika monitoring diatur dengan baik perusahaan cenderung diuntungkan karena perusahaan akan dapat :
Mengidentifikasikan dan memperbaiki pengendalian internal pada waktu yang tepat.
Menyediakan informasi yang lebih akurat dan dapat diandalkan untuk pengambilan keputusan.
Menyediakan laporan keuangan yang akurat dan tepat waktu.
Berada dalam posisi kesiapan menyatakan pendapat mengenai kemampuan pengendalian internal.
Sumber: http://dc179.4shared.com/doc/jpR34Snj/preview.html
http://id.wikipedia.org/wiki/COSO
Hambatan Pasif
Hambatan/Ancaman itu adalah suatu eksploitasi potensial dari kerentanan sebuah sistem.
Hambatan pasif adalah hambatan yang disebabkan secara tidak sengaja.Contoh ancaman pasif adalah sistim bermasalah, seperti karena bencana alam. Sistem bermasalah juga karena kegagalan-kegagalan peralatan dan komponen. Berbeda dengan hambatan aktif yang secara sengaja menghambat sistem, hambatan pasif biasanya diakibatkan oleh ketidaksengajaan atau tidak direncanakannya hambatan tersebut. hambatan pasif mencakup kesalahan-kesalahan system, termasuk gangguan alam, seperti gempa bumi, banjir, kebakaran, dan badai. Kesalahan system mewakili kegagalan peralatan komponen seperti kelemahan disk, kekurangan tenaga, dan sebagainya. Untuk mencegah hal-hal yang tidak diinginkan pada hambatan pasif yaitu pada perangkat keras dapat dilakukan dengan cara full backup data.
Sumber http://dewiuwie.wordpress.com/2013/11/22/3-3-hambatan-pasif-dan-contohnya/
Hambatan pasif adalah hambatan yang disebabkan secara tidak sengaja.Contoh ancaman pasif adalah sistim bermasalah, seperti karena bencana alam. Sistem bermasalah juga karena kegagalan-kegagalan peralatan dan komponen. Berbeda dengan hambatan aktif yang secara sengaja menghambat sistem, hambatan pasif biasanya diakibatkan oleh ketidaksengajaan atau tidak direncanakannya hambatan tersebut. hambatan pasif mencakup kesalahan-kesalahan system, termasuk gangguan alam, seperti gempa bumi, banjir, kebakaran, dan badai. Kesalahan system mewakili kegagalan peralatan komponen seperti kelemahan disk, kekurangan tenaga, dan sebagainya. Untuk mencegah hal-hal yang tidak diinginkan pada hambatan pasif yaitu pada perangkat keras dapat dilakukan dengan cara full backup data.
Sumber http://dewiuwie.wordpress.com/2013/11/22/3-3-hambatan-pasif-dan-contohnya/
Hambatan Aktif
Hambatan aktif dalam sistem adalah ancaman eksploitasi yang dilakukan oleh sekelompok orang atau perorangan yang tidak bertanggung jawab dalam penyalahgunaan sistem dengan memanipulasi prosedur yang sudah diatur. Tujuannya yaitu untuk kepuasan dari sang peminta/konsumen dan sang keuntungan sang pelaku pembuatnya.
Contohnya seperti penipuan dari komponen /isi dala komputer yang sudah dirubah secara semestina oleh oknum yang tidak bertanggung jawab demi keuntungan pribadi.
Contoh lain dari hambatan aktif yaitu adalah :
Data Tampering atau Data Diddling
Data Tampering adalah merubah data sebelum, atau selama proses dan sesudah proses dari sistem informasi.
Data diubah sebelum diproses yaitu pada waktu data ditangkap di dokumen dasar atau pada saat diverifikasi sebelum dimasukkan ke sistem informasi.
Data diubah pada saat proses sistem informasi biasanya dilakukan pada saat dimasukkan ke dalam sistem informasi.
Data diubah setelah proses sistem informasi yaitu dengan mengganti nilai keluarannya. Data diubah dapat diganti, dihapus atau ditambah.
Kegiatan data tampering ini biasanya banyak dilakukan oleh orang dalam perusahaan itu sendiri.
Penyelewengan Program (Programming Fraud)
Dengan cara ini, program komputer dimodifikasi untuk maksud kejahatan tertentu. Teknik-teknik yang termasuk dalam kategori ini adalah virus, worm. trojan horse, round down technique, salami slicing, trapdoor, super zapping, logic bomb atau time bomb.
Penetrasi ke Sistem Informasi
- Piggybacking
Piggybacking adalah menyadap jalur telekomunikasi dan ikut masuk ke dalam sistem komputer bersama-sama dengan pemakai sistem komputer yang resmi.
- Masquerading atau Impersonation
Masquerading atau Impersonation yaitu penetrasi ke sistem komputer dengan memakai identitas dan password dari orang lain yang sah. Identitas dan password ini biasanya diperoleh dari orang dalam.
- Scavenging
Scavenging yaitu penetrasi ke sistem komputer dengan memperoleh identitas dan password dari mencari di dokumen-dokumen perusahaan. Data identitas dan password diperoleh dari beberapa cara mulai dari mencari dokumen di tempat sampah sampai dengan mencarinya di memori-memori komputer.
- Eavesdropping
Eavesdropping adalah penyadapan informasi di jalur transmisi privat.
Pemanipulasian Masukkan
Dalam banyak kecurangan terhadap komputer, pemanipulasian masukkan merupakan metode yang paling banyak digunakan, mengingat hal ini dapat dilakukan tanpa memerlukan ketrampilan teknis yang tinggi.
Penggantian Program
Pemanipulasian melalui program dapat dilakukan oleh para spesialis teknologi informasi.
Penggantian Berkas Secara Langsung
Pengubahan berkas secara langsung umum dilakukan oleh orang yang punya akses secara langsung terhadap basis data.
Pencurian Data
Pencurian data seringkali dilakukan oleh “orang dalam” untuk dijual.
Salah satu kasus yang terjadi pada Encyclopedia Britanica Company. Perusahaan ini menuduh seorang pegawainya menjual daftar nasabah ke sebuah pengiklan direct mail seharga $3 juta.
Sabotase
Sabotase dapat dilakukan dengan berbagai cara oleh Hacker atau Cracker.
Hacker : para ahli komputer yang memiliki kekhususan dalam
menjebol keamanan sistem komputer dengan tujuan
publisitas
Cracker : penjebol sistem komputer yang bertujuan untuk melakukan pencurian atau merusak sistem.
Hambatan aktif sendiri dilakukan oleh oknum-oknum yang tidak bertanggung jawab dalam melakukan sebuah pekerjaan,
dan menyalahgunakan prosedur yang ada, dengan mengiming-imingi suatu hal untuk sebuah kepuasan konsumen.
Tiga kategori individu yang bisa menimbulkan serangan ke sistem informasi:
Hambatan aktif contohnya penipuan dalam sebuah komponen-komponen dari komputer dan sabotase.
Sumber : http://rnurinaramadhani.blogspot.com/2013/01/32-jelaskan-hambatan-aktif-dan-contohnya.html
Contohnya seperti penipuan dari komponen /isi dala komputer yang sudah dirubah secara semestina oleh oknum yang tidak bertanggung jawab demi keuntungan pribadi.
Contoh lain dari hambatan aktif yaitu adalah :
Data Tampering atau Data Diddling
Data Tampering adalah merubah data sebelum, atau selama proses dan sesudah proses dari sistem informasi.
Data diubah sebelum diproses yaitu pada waktu data ditangkap di dokumen dasar atau pada saat diverifikasi sebelum dimasukkan ke sistem informasi.
Data diubah pada saat proses sistem informasi biasanya dilakukan pada saat dimasukkan ke dalam sistem informasi.
Data diubah setelah proses sistem informasi yaitu dengan mengganti nilai keluarannya. Data diubah dapat diganti, dihapus atau ditambah.
Kegiatan data tampering ini biasanya banyak dilakukan oleh orang dalam perusahaan itu sendiri.
Penyelewengan Program (Programming Fraud)
Dengan cara ini, program komputer dimodifikasi untuk maksud kejahatan tertentu. Teknik-teknik yang termasuk dalam kategori ini adalah virus, worm. trojan horse, round down technique, salami slicing, trapdoor, super zapping, logic bomb atau time bomb.
Penetrasi ke Sistem Informasi
- Piggybacking
Piggybacking adalah menyadap jalur telekomunikasi dan ikut masuk ke dalam sistem komputer bersama-sama dengan pemakai sistem komputer yang resmi.
- Masquerading atau Impersonation
Masquerading atau Impersonation yaitu penetrasi ke sistem komputer dengan memakai identitas dan password dari orang lain yang sah. Identitas dan password ini biasanya diperoleh dari orang dalam.
- Scavenging
Scavenging yaitu penetrasi ke sistem komputer dengan memperoleh identitas dan password dari mencari di dokumen-dokumen perusahaan. Data identitas dan password diperoleh dari beberapa cara mulai dari mencari dokumen di tempat sampah sampai dengan mencarinya di memori-memori komputer.
- Eavesdropping
Eavesdropping adalah penyadapan informasi di jalur transmisi privat.
Pemanipulasian Masukkan
Dalam banyak kecurangan terhadap komputer, pemanipulasian masukkan merupakan metode yang paling banyak digunakan, mengingat hal ini dapat dilakukan tanpa memerlukan ketrampilan teknis yang tinggi.
Penggantian Program
Pemanipulasian melalui program dapat dilakukan oleh para spesialis teknologi informasi.
Penggantian Berkas Secara Langsung
Pengubahan berkas secara langsung umum dilakukan oleh orang yang punya akses secara langsung terhadap basis data.
Pencurian Data
Pencurian data seringkali dilakukan oleh “orang dalam” untuk dijual.
Salah satu kasus yang terjadi pada Encyclopedia Britanica Company. Perusahaan ini menuduh seorang pegawainya menjual daftar nasabah ke sebuah pengiklan direct mail seharga $3 juta.
Sabotase
Sabotase dapat dilakukan dengan berbagai cara oleh Hacker atau Cracker.
Hacker : para ahli komputer yang memiliki kekhususan dalam
menjebol keamanan sistem komputer dengan tujuan
publisitas
Cracker : penjebol sistem komputer yang bertujuan untuk melakukan pencurian atau merusak sistem.
Hambatan aktif sendiri dilakukan oleh oknum-oknum yang tidak bertanggung jawab dalam melakukan sebuah pekerjaan,
dan menyalahgunakan prosedur yang ada, dengan mengiming-imingi suatu hal untuk sebuah kepuasan konsumen.
Tiga kategori individu yang bisa menimbulkan serangan ke sistem informasi:
- 1.Karyawan sistim informasi
- 2.Para pemakai
- 3.Pengganggu
Hambatan aktif contohnya penipuan dalam sebuah komponen-komponen dari komputer dan sabotase.
Sumber : http://rnurinaramadhani.blogspot.com/2013/01/32-jelaskan-hambatan-aktif-dan-contohnya.html
Kerentanan Sistem
Kerentanan adalah kondisi-kondisi yang ditentukan oleh faktor fisik, sosial, ekonomi, dan lingkungan atau proses-proses, yang meningkatkan kerentanan masyarakat terhadap dampak bahaya.
Kombinasi dari semua kekuatan dan sumber daya yang tersedia dalam sebuah komunitas, masyarakat atau organisasi yang dapat mengurangi tingkat risiko atau dampak dari bencana. Kapasitas dapat meliputi cara-cara fisik, institusional, sosial atau ekonomi, begitu juga personil yang kelengkapan keahlian personil atau kolektif, seperti kepemimpinan dan manajemen. Kapasitas juga dapat dijelaskan sebagai kapabilitas. (Sumber: Terminologi UN/ISDR).
Kerentanan: Sosial dan Organisasi
Struktur keluarga: kuat atau lemah (family structures: strong/weak)
Struktur administrasi dan peraturan perudang-undangan (legislation and administrative structures)
Struktur pembuat keputusan/pengambil kebijakan: siapa terlibat, efektifitas (decision-making structures: who left in, out effectiveness)
Tingkat partisipasi: oleh siapa? (participation levels: by whom?)
Perpecahan/konflik: etnis, kelas, kasta, agama, ideologi, kelompok politik, kelompok sebahasa, dan struktur untuk menengahi konflik (divisions/conflicts: ethnic, class, caste, religion, ideology, political group, language group, and structures for mediating conflicts)
Derajat keadilan/ketidakadilan, kesetaraan, akses terhadap proses politik (degree of justice/injustice, equality, access to political process)
Organisasi masyarakat: formal/informal, tradisional, atau kepemerintahan (community organizations: formal/informal, traditional or governmental)
Hubungan dengan pemerintah (relationship to government)
Keterisolasian atau tidak ada hubungan dengan dunia luar (isolation or connectedness)
KERENTANAN DAN PENYALAH GUNAAN SISTEM
HUBUNGAN ANTARA KERENTANAN, RISIKO DAN BAHAYA
Konsep-konsep tentang kerentanan, bahaya, dan resiko berhubungan secara dinamis.
Hubungan elemen-elemen ini juga dapat di ungkapkan sebagai suatu rumus sederhana yang menggambarkan konsep tersebut dimana lebih besar peristiwa potensial dari suatu bahaya dan lebih mudah rentan suatu populasi, maka lebih besar resikonya.
SISTEM INFORMASI PERLU DILINDUNGI
TEKNOLOGI DAN PERANGKAT PENGAMANAN
Sumber : http://piba.tdmrc.org/content/kerentanan-dan-kapasitas
Kombinasi dari semua kekuatan dan sumber daya yang tersedia dalam sebuah komunitas, masyarakat atau organisasi yang dapat mengurangi tingkat risiko atau dampak dari bencana. Kapasitas dapat meliputi cara-cara fisik, institusional, sosial atau ekonomi, begitu juga personil yang kelengkapan keahlian personil atau kolektif, seperti kepemimpinan dan manajemen. Kapasitas juga dapat dijelaskan sebagai kapabilitas. (Sumber: Terminologi UN/ISDR).
Kerentanan: Sosial dan Organisasi
Struktur keluarga: kuat atau lemah (family structures: strong/weak)
Struktur administrasi dan peraturan perudang-undangan (legislation and administrative structures)
Struktur pembuat keputusan/pengambil kebijakan: siapa terlibat, efektifitas (decision-making structures: who left in, out effectiveness)
Tingkat partisipasi: oleh siapa? (participation levels: by whom?)
Perpecahan/konflik: etnis, kelas, kasta, agama, ideologi, kelompok politik, kelompok sebahasa, dan struktur untuk menengahi konflik (divisions/conflicts: ethnic, class, caste, religion, ideology, political group, language group, and structures for mediating conflicts)
Derajat keadilan/ketidakadilan, kesetaraan, akses terhadap proses politik (degree of justice/injustice, equality, access to political process)
Organisasi masyarakat: formal/informal, tradisional, atau kepemerintahan (community organizations: formal/informal, traditional or governmental)
Hubungan dengan pemerintah (relationship to government)
Keterisolasian atau tidak ada hubungan dengan dunia luar (isolation or connectedness)
KERENTANAN DAN PENYALAH GUNAAN SISTEM
- 1. Pengamanan (security) merujuk pada kebijakan, prosedur dan pengukuran teknik yang digunakan untuk mencegah akses yang tidak sah, penggantian, pencurian atau kerusakan fisik pada sistem informasi
- 2. Pengendalian (control) terdiri atas semua metode, kebijakan, dan prosedur organisasi yang menjamin keselamatan aset-aset organisasi, ketepatan dan keandalan catatan rekeningnya serta kepatuhan operasional pada standar-standar manajemen.
HUBUNGAN ANTARA KERENTANAN, RISIKO DAN BAHAYA
Konsep-konsep tentang kerentanan, bahaya, dan resiko berhubungan secara dinamis.
Hubungan elemen-elemen ini juga dapat di ungkapkan sebagai suatu rumus sederhana yang menggambarkan konsep tersebut dimana lebih besar peristiwa potensial dari suatu bahaya dan lebih mudah rentan suatu populasi, maka lebih besar resikonya.
SISTEM INFORMASI PERLU DILINDUNGI
- 1. Ketika terkonsentrasinya data dalam bentuk elektronik
- 2. Prosedur yang tidak tampak lagi karena otomatisasi proses
- 3. Sistem informasi rentan terhadap perusakan, penyalahgunaan, kesalahan (error), kecurangan dan gangguan pada hardware dan software.
- 4. Sistem informasi berbasis web merupakan sistem yang paling rentan karena dapat diakses oleh semua orang sehinga lebih mudah mendapat serangan dari pihak luar.
- 5. Tantangan pengamanan jaringan Nirkabel (Wi-Fi)
- 6. Adanya Software berbahanya ; Virus, Worm, Trojan Horse dan Spyware
- 7. Adanya Hacker/Cracker dan Vandalisme Maya (Cybervandalism) seperti : Spoffing dan Sniffing, Serangan penolakan Layanan (Denial of Service)
- 8. Kejahatan Komputer dan Terorisme Maya seperti Pencurian Indetitas seperti Phising dan Pharming
- 9. Adanya Ancaman Internal seperti Karyawan.
- 10. Adanya Kerentanan Software (Malware) seperti Windows
TEKNOLOGI DAN PERANGKAT PENGAMANAN
- 1. Menggunakan Kontrol Akses (acess control) terdiri atas semua kebijakan dan prosedur yang digunakan perusahaan untuk mencegah akses tanpa izin kesistem yang dilakukan oleh pihak internal dan pihak luar.
- 2. Menggunakan Autentikasi (authentication) adalah kemampuan untuk mengetahui siapa pengguna itu. Teknologi yang dipakai seperti : Token, Smart Card dan Biometrik.
- 3. Menggunakan Firewall merupakan kombinasi Hardware dan software yang mengendalikan arus lalu lintas jaringan yang masuk dan keluar. Secara umum diletakan antara jaringan internal pribadi organisasi dan jaringan ekternal yang tidak dipercaya seperti Internet.
- 4. Sistem Deteksi Ganguan (Network Detection System) menggunakan perangkat yang selalu aktif melakukan pemantauan yang diletakan dititik-titik yang paling rentan dalam jaringan perushaaan untuk secara kontinyu mendeteksi dan menghalangi para penyusup
- 5. Mengunakan Software antivirus dan Antispyware
- 6. Mengamankan Jaringan Nirkabel menggunakan WEP (wired Equivalent Privacy) dan VPN (Virtual Private Network)
- 7. Enkripsi dan Infrastruktur Kunci Publik
- 8. Enkripsi adalah proses mengubah teks atau data biasa menjadi teks bersandi rahasia (chipper) sehingga tidak dapat dibaca oleh siapapun selain pengirim dan penerima yang dimaksudkan.
- 9. Data diekripsi menggunakan kode numerik rahasia yang dinamakan kunci enkripsi. Pesan harus dideskripsi oleh penerima
- 10. Dua Metode Enkripsi dalam Web adalah SSL (Secure socket layer) , TLS (Transport Layer Security) dan S-HTTP (Secure Hypertext Transfer protocol)
- 11. Menggunakan Setifikat Digital mengkombinasikannya dengan enkripsi kunci publik untuk memberikan perlindungan lebih pada saat transaksi elektronik dengan cara mengautentikasi indentitas seorang pengguna.
Sumber : http://piba.tdmrc.org/content/kerentanan-dan-kapasitas
Subscribe to:
Posts (Atom)