Standar dan Panduan untuk Audit Sistem Informasi
Berikut berbagai macam standar dan panduan untuk audit sistem informasi:
ISACA
IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals
IIA
International Professional Practices Framework / IPPF
IASII
Standar Audit Sistem Informasi
BI
Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB
BPPT
Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi
COSO
Kerangka konseptual pengendalian internal (COSO) sekarang telah menjadi standar di seluruh dunia untuk membangun pengendalian internal. The Committee of Sponsoring Organizations of the Treadway Commission’s didirikan pada tahun 1985, yang merupakan aliansi dari lima organisasi profesi di antaranya :
•Financial Executives International (FEI)
•The American Accounting Association (AAA)
•The American Institute of Certified Public Accountants (AICPA)
•The Institute of Internal Auditors (IIA)
•The Institute of Management Accountants (IMA) (formerly the National Association of Accountants).
Misi utama dari COSO adalah “Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance.”
Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tahun 1992, menyelesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal mereka.
COSO 2013 tidak mengubah lima komponen pengendalian intern yang telah dipakai sejak COSO 1992. Tentu saja penjelasannya tetap mengalami penyempurnaan. Penjelasan singkat dari komponen-komponen tersebut adalah sebagai berikut:
1. Lingkungan Pengendalian (Control Environment)
Merupakan susunan dari standar, proses dan struktur yang menyediakan dasar untuk terlaksananya pengendalian internal dalam organisasi. Lingkungan pengendalian mencakup standar, proses, dan struktur yang menjadi landasan terselenggaranya pengendalian internal di dalam organisasi secara menyeluruh. Lingkungan pengendalian tercermin dari suasana dan kesan yang diciptakan dewan komisaris dan manajemen puncak mengenai pentingnya pengendalian internal dan standar perilaku yang diharapkan. Manajemen mempertegas harapan atau ekspektasi itu pada berbagai tingkatan organisasi. Sub-komponen lingkungan pengendalian mencakup integritas dan nilai etika yang dianut organisasi; parameter-parameter yang menjadikan dewan komisaris mampu melaksanakan tanggung jawab tata kelola; struktur organisasi serta pembagian wewenang dan tanggung jawab; proses untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten; serta kejelasan ukuran kinerja, insentif, dan imbalan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian berdampak luas terhadap sistem pengendalian internal secara keseluruhan.
2. Penilaian Risiko (Risk Assessment)
Penilaian risiko melibatkan proses yang dinamis dan berulang (iterative) untuk mengidentifikasi dan menganalisis risiko terkait pencapaian tujuan. COSO 2013 merumuskan definisi risiko sebagai kemungkinan suatu peristiwa akan terjadi dan berdampak merugikan bagi pencapaian tujuan. Risiko yang dihadapi organisasi bisa bersifat internal (berasal dari dalam) ataupun eksternal (bersumber dari luar). Risiko yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang telah ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola. Salah satu prakondisi bagi penilaian risiko adalah penetapan tujuan yang saling terkait pada berbagai tingkat organisasi. Manajemen harus menetapkan tujuan dalam katagori operasi, pelaporan, dan kepatuhan dengan jelas sehingga risiko-risiko terkait bisa diidentifikasi dan dianalisa. Manajemen juga harus mempertimbangkan kesesuaian tujuan dengan organisasi. Penilaian risiko mengharuskan menajemen untuk memperhatikan dampak perubahan lingkungan eksternal serta perubahan model bisnis organisasi itu sendiri yang berpotensi mengakibatkan ketidakefektifan pengendalian intern yang ada.
3. Kegiatan Pengendalian (Control Activities)
Kegiatan pengendalian mencakup tindakan-tindakan yang ditetapkan melalui kebijakan dan prosedur untuk membantu memastikan dilaksanakan arahan manajemen dalam rangka meminimalkan risiko atas pencapaian tujuan. Kegiatan pengendalian dilaksanakan pada semua tingkat organisasi, pada berbagai tahap proses bisnis, dan pada konteks lingkungan teknologi. Kegiatan pengendalian ada yang bersifat preventif atau detektif dan ada yang bersifat manual atau otomatis. Contoh kegiatan pengendalian adalah otorisasi dan persetujuan, verivikasi, rekonsiliasi, dan revie kenerja. Dalam memilih dan mengembangkan kegiatan pengendalian, biasanya melekat konsep pemisahan fungsi (segregation of duties). Jika pemisah fungsi tersebut dianggap tidak praktis, manajemen harus memilih dan mengembangka altenatif kegiatan pengendalian sebagai kompensasinya.
4. Informasi dan komunikasi (information and communication)
Organisasi memerlukan informasi demi terselenggaranya fungsi pengendalian intern dalam mendukung pencapaian tujuan. . Manajemen harus memperoleh, menghasilkan, dan menggunakan informasi yang relevan dan berkualitas, baik yang berasal dari sumber internal maupun eksternal, untuk mendukung komponen-komponen pengendalian internal lainnya berfungsi sebagaimana mestinya. Komunikasi sebagaimana yang dimaksud dalam kerangka pengendalian internal COSO adalah proses iteratif dan berkelanjutan untuk memperoleh, membagikan, dan menyediakan informasi. Komunikasi internal harus menjadi sarana diseminasi informasi di dalam organisasi, baik dari atas ke bawah, dari bawah ke atas, maupun lintas fungsi.
5. Kegiatan Pemantauan (Monitoring Activites)
Komponen ini merupakan satu-satunya komponen yang berubah nama. Sebelumnya komponen ini hanya disebut pemantau (monitoring). Perubahan ini dimaksudkan untuk memeprluas persepsi pemantauan sebagai rangkaian aktivitas yang dilakukan sendiri dan juga sebagai bagian dari masing-masing empat komponen pengendalian intern lainnya. Kegiatan pemantauan mencakup evaluasi berkelanjutan, evaluasi terpisah, atau kombinasi dari keduanya yang digunakan untuk memastikan masing-masing komponen pengendlaian intern ada dan berfungsi sebagaimana mestinya. Evaluasi berkelanjutan dibagun di dalam proses bisnis pada tingkat yang berbeda-beda guna menyajikan informasi tepat waktu. Evaluasi terpisah dilakukan secara periodic, bervariasi lingkup dan frekuensinya tergantung pada hasil penilian risiko, efektivitas evaluasi berkelanjutan, dan pertimbangan manajemen lainnya.
Kelebihan dan Kekurangan Internal Control menurut COSO
Kelebihan
1. Pengendalian internal dapat membantu suatu entitas mencapai kinerja dan profitabilitas target dan mencegah hilangnya sumber daya.
2. Dapat membantu memastikan pelaporan keuangan yang dapat diandalkan.
3. Dapat membantu memastikan bahwa perusahaan sesuai dengan peraturan perundang-undangan
4. Menghindari kerusakan reputasi dan lainnya.
Kekurangan
Pengendalian intern dapat memastikan keberhasilan entitas yaitu, ia akan memastikan tercapainya dasar tujuan bisnis atau setidaknya menjamin kelangsungan hidup. Pengendalian yang efektif hanya dapat membantu entitas mencapai tujuan tersebut. Hal ini memberikan manajemen informasi tentang kemajuan entitas, atau kurang dari itu terhadap prestasi mereka. Tapi pengendalian intern tidak dapat mengubah manajer inheren buruk menjadi baik. Dan pergeseran kebijakan atau program pemerintah, tindakan pesaing atau kondisi ekonomi dapat melampaui control manajemen. Control internal tidak menjamin keberhasilan atau bahkan bertahan hidup.
Evaluasi keefektifan Pengendalian Internal
Meskipun COSO menekankan Pengendalian Internal sebagai suatu “proses” namun keefektifan dari pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik waktu tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada saat pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar menyatakan bahwa Pengendalian Internal telah berjalan efektif.
Bagaimana pelaporan masalah Pengendalian Internal
COSO mendiskusikan bagaimana manajemen memperoleh dan mengolah informasi jika terjadi defisiensi Pengendalian Internal. COSO merekomendasikan kepada personil yang mengidentifikasi terjadinya defisiensi untuk segera melaporkannya kepada atasan langsungnya, namun jika informasinya sensitive maka perlu adanya jalur khusus penyampaian informasi.
ISO 17799: 2005
ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan meningkatkan manajemen keamanan informasi dalam suatu organisasi. Tujuan yang diuraikan memberikan panduan umum tentang tujuan yang umum diterima dari manajemen keamanan informasi. ISO / IEC 17799: 2005 berisi praktik terbaik dari tujuan kontrol dan kontrol dalam bidang manajemen keamanan informasi berikut:
- kebijakan keamanan;
- organisasi keamanan informasi;
- manajemen aset;
- keamanan sumber daya manusia;
- keamanan fisik dan lingkungan;
- komunikasi dan manajemen operasi;
- kontrol akses;
- akuisisi, pengembangan, dan pemeliharaan sistem informasi;
- manajemen insiden keamanan informasi;
- manajemen kesinambungan bisnis;
- pemenuhan.
Tujuan dan kontrol kontrol dalam ISO / IEC 17799: 2005 dimaksudkan untuk diimplementasikan untuk memenuhi persyaratan yang diidentifikasi oleh penilaian risiko. ISO / IEC 17799: 2005 dimaksudkan sebagai dasar umum dan pedoman praktis untuk mengembangkan standar keamanan organisasi dan praktik manajemen keamanan yang efektif, dan untuk membantu membangun kepercayaan dalam kegiatan antar organisasi.
http://reza_chan.staff.gunadarma.ac.id/Downloads/files/56563/Pertemuan+2+-+Standar+Audit+SI.pdf
https://medium.com/@khristdamay/kerangka-pengendalian-coso-f4ecca22a10f
https://www.iso.org/standard/39612.html