Berikut berbagai macam standar dan panduan untuk audit
sistem informasi:
ISACA
IT Standards, Guidelines, and Tools and Techniques for Audit
and Assurance and Control Professionals
IIA
International Professional Practices Framework / IPPF
IASII
Standar Audit Sistem Informasi
BI
Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB
BPPT
Framework, Kode Etik & Standar, Pedoman Umum Audit
Teknologi
COSO
Kerangka konseptual pengendalian internal (COSO) sekarang
telah menjadi standar di seluruh dunia untuk membangun pengendalian internal.
The Committee of Sponsoring Organizations of the Treadway Commission’s
didirikan pada tahun 1985, yang merupakan aliansi dari lima organisasi profesi
di antaranya :
•Financial Executives International (FEI)
•The American Accounting Association (AAA)
•The American Institute of Certified Public Accountants
(AICPA)
•The Institute of Internal Auditors (IIA)
•The Institute of Management Accountants (IMA) (formerly the
National Association of Accountants).
Misi utama dari COSO adalah “Memperbaiki/meningkatkan
kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal
yang efektif, dan corporate governance.”
Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO
mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian
internal. Pada tahun 1992, menyelesaikan studi tersebut dengan memperkenalkan
sebuah “kerangka kerja pengendalian internal” yang akhirnya menjadi sebuah
pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar,
organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk
mengukur efektifitas pengendalian internal mereka.
COSO 2013 tidak mengubah lima komponen pengendalian intern
yang telah dipakai sejak COSO 1992. Tentu saja penjelasannya tetap mengalami
penyempurnaan. Penjelasan singkat dari komponen-komponen tersebut adalah
sebagai berikut:
1. Lingkungan Pengendalian (Control Environment)
Merupakan susunan dari standar, proses dan struktur yang
menyediakan dasar untuk terlaksananya pengendalian internal dalam organisasi.
Lingkungan pengendalian mencakup standar, proses, dan struktur yang menjadi
landasan terselenggaranya pengendalian internal di dalam organisasi secara
menyeluruh. Lingkungan pengendalian tercermin dari suasana dan kesan yang
diciptakan dewan komisaris dan manajemen puncak mengenai pentingnya
pengendalian internal dan standar perilaku yang diharapkan. Manajemen
mempertegas harapan atau ekspektasi itu pada berbagai tingkatan organisasi.
Sub-komponen lingkungan pengendalian mencakup integritas dan nilai etika yang
dianut organisasi; parameter-parameter yang menjadikan dewan komisaris mampu
melaksanakan tanggung jawab tata kelola; struktur organisasi serta pembagian
wewenang dan tanggung jawab; proses untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja,
insentif, dan imbalan untuk mendorong akuntabilitas kinerja. Lingkungan
pengendalian berdampak luas terhadap sistem pengendalian internal secara
keseluruhan.
2. Penilaian Risiko (Risk Assessment)
Penilaian risiko melibatkan proses yang dinamis dan berulang
(iterative) untuk mengidentifikasi dan menganalisis risiko terkait pencapaian
tujuan. COSO 2013 merumuskan definisi risiko sebagai kemungkinan suatu
peristiwa akan terjadi dan berdampak merugikan bagi pencapaian tujuan. Risiko
yang dihadapi organisasi bisa bersifat internal (berasal dari dalam) ataupun eksternal
(bersumber dari luar). Risiko yang teridentifikasi akan dibandingkan dengan
tingkat toleransi risiko yang telah ditetapkan. Penilaian risiko menjadi dasar
bagaimana risiko organisasi akan dikelola. Salah satu prakondisi bagi penilaian
risiko adalah penetapan tujuan yang saling terkait pada berbagai tingkat
organisasi. Manajemen harus menetapkan tujuan dalam katagori operasi,
pelaporan, dan kepatuhan dengan jelas sehingga risiko-risiko terkait bisa
diidentifikasi dan dianalisa. Manajemen juga harus mempertimbangkan kesesuaian
tujuan dengan organisasi. Penilaian risiko mengharuskan menajemen untuk
memperhatikan dampak perubahan lingkungan eksternal serta perubahan model
bisnis organisasi itu sendiri yang berpotensi mengakibatkan ketidakefektifan
pengendalian intern yang ada.
3. Kegiatan Pengendalian (Control Activities)
Kegiatan pengendalian mencakup tindakan-tindakan yang
ditetapkan melalui kebijakan dan prosedur untuk membantu memastikan
dilaksanakan arahan manajemen dalam rangka meminimalkan risiko atas pencapaian
tujuan. Kegiatan pengendalian dilaksanakan pada semua tingkat organisasi, pada
berbagai tahap proses bisnis, dan pada konteks lingkungan teknologi. Kegiatan
pengendalian ada yang bersifat preventif atau detektif dan ada yang bersifat
manual atau otomatis. Contoh kegiatan pengendalian adalah otorisasi dan
persetujuan, verivikasi, rekonsiliasi, dan revie kenerja. Dalam memilih dan
mengembangkan kegiatan pengendalian, biasanya melekat konsep pemisahan fungsi
(segregation of duties). Jika pemisah fungsi tersebut dianggap tidak praktis,
manajemen harus memilih dan mengembangka altenatif kegiatan pengendalian
sebagai kompensasinya.
4. Informasi dan komunikasi (information and communication)
Organisasi memerlukan informasi demi terselenggaranya fungsi
pengendalian intern dalam mendukung pencapaian tujuan. . Manajemen harus
memperoleh, menghasilkan, dan menggunakan informasi yang relevan dan
berkualitas, baik yang berasal dari sumber internal maupun eksternal, untuk
mendukung komponen-komponen pengendalian internal lainnya berfungsi sebagaimana
mestinya. Komunikasi sebagaimana yang dimaksud dalam kerangka pengendalian
internal COSO adalah proses iteratif dan berkelanjutan untuk memperoleh,
membagikan, dan menyediakan informasi. Komunikasi internal harus menjadi sarana
diseminasi informasi di dalam organisasi, baik dari atas ke bawah, dari bawah
ke atas, maupun lintas fungsi.
5. Kegiatan Pemantauan (Monitoring Activites)
Komponen ini merupakan satu-satunya komponen yang berubah
nama. Sebelumnya komponen ini hanya disebut pemantau (monitoring). Perubahan
ini dimaksudkan untuk memeprluas persepsi pemantauan sebagai rangkaian
aktivitas yang dilakukan sendiri dan juga sebagai bagian dari masing-masing
empat komponen pengendalian intern lainnya. Kegiatan pemantauan mencakup
evaluasi berkelanjutan, evaluasi terpisah, atau kombinasi dari keduanya yang
digunakan untuk memastikan masing-masing komponen pengendlaian intern ada dan
berfungsi sebagaimana mestinya. Evaluasi berkelanjutan dibagun di dalam proses
bisnis pada tingkat yang berbeda-beda guna menyajikan informasi tepat waktu.
Evaluasi terpisah dilakukan secara periodic, bervariasi lingkup dan
frekuensinya tergantung pada hasil penilian risiko, efektivitas evaluasi
berkelanjutan, dan pertimbangan manajemen lainnya.
Kelebihan dan Kekurangan Internal Control menurut COSO
Kelebihan
1. Pengendalian internal dapat membantu suatu entitas
mencapai kinerja dan profitabilitas target dan mencegah hilangnya sumber daya.
2. Dapat membantu memastikan pelaporan keuangan yang dapat
diandalkan.
3. Dapat membantu memastikan bahwa perusahaan sesuai dengan
peraturan perundang-undangan
4. Menghindari kerusakan reputasi dan lainnya.
Kekurangan
Pengendalian intern dapat memastikan keberhasilan entitas
yaitu, ia akan memastikan tercapainya dasar tujuan bisnis atau setidaknya
menjamin kelangsungan hidup. Pengendalian yang efektif hanya dapat membantu
entitas mencapai tujuan tersebut. Hal ini memberikan manajemen informasi
tentang kemajuan entitas, atau kurang dari itu terhadap prestasi mereka. Tapi
pengendalian intern tidak dapat mengubah manajer inheren buruk menjadi baik.
Dan pergeseran kebijakan atau program pemerintah, tindakan pesaing atau kondisi
ekonomi dapat melampaui control manajemen. Control internal tidak menjamin
keberhasilan atau bahkan bertahan hidup.
Evaluasi keefektifan Pengendalian Internal
Meskipun COSO menekankan Pengendalian Internal sebagai suatu
“proses” namun keefektifan dari pelaksanaannya dinyatakan sebagai sebuah
kondisi dalam suatu titik waktu tertentu. Jika defisiensi Pengendalian Internal
telah dikoreksi/dibetulkan pada saat pelaporan, COSO menyetujui apabila laporan
manajemen pada pihak luar menyatakan bahwa Pengendalian Internal telah berjalan
efektif.
Bagaimana pelaporan masalah Pengendalian Internal
COSO mendiskusikan bagaimana manajemen memperoleh dan
mengolah informasi jika terjadi defisiensi Pengendalian Internal. COSO
merekomendasikan kepada personil yang mengidentifikasi terjadinya defisiensi
untuk segera melaporkannya kepada atasan langsungnya, namun jika informasinya
sensitive maka perlu adanya jalur khusus penyampaian informasi.
ISO 17799: 2005
ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum
untuk memulai, menerapkan, memelihara, dan meningkatkan manajemen keamanan
informasi dalam suatu organisasi. Tujuan yang diuraikan memberikan panduan umum
tentang tujuan yang umum diterima dari manajemen keamanan informasi. ISO / IEC
17799: 2005 berisi praktik terbaik dari tujuan kontrol dan kontrol dalam bidang
manajemen keamanan informasi berikut:
kebijakan keamanan;
organisasi keamanan informasi;
manajemen aset;
keamanan sumber daya manusia;
keamanan fisik dan lingkungan;
komunikasi dan manajemen operasi;
kontrol akses;
akuisisi, pengembangan, dan pemeliharaan sistem informasi;
manajemen insiden keamanan informasi;
manajemen kesinambungan bisnis;
pemenuhan.
Tujuan dan kontrol kontrol dalam ISO / IEC 17799: 2005
dimaksudkan untuk diimplementasikan untuk memenuhi persyaratan yang
diidentifikasi oleh penilaian risiko. ISO / IEC 17799: 2005 dimaksudkan sebagai
dasar umum dan pedoman praktis untuk mengembangkan standar keamanan organisasi
dan praktik manajemen keamanan yang efektif, dan untuk membantu membangun
kepercayaan dalam kegiatan antar organisasi.
Sumber:
