29 0 796 KB
A. MANAGEMENT CONTROL FRAMEWORK a) Definisi Management Control Framework Management control framework adalah mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan. Sasaran utama dari management control framework yaitu untuk mengevaluasi apakah manajemen fungsi SI telah dilakukan dengan baik. b) Alasan dilakukannya management control framework antara lain:
Untuk memahami struktur internal controls dalam organisasi
Sebagai bahan pertimbangan untuk mengandalkan/ mengabaikan management controls.
c) Kesulitan utama dalam management control framework Kesulitan utamanya yaitu mengetahui apakah ada/tidaknya manajemen mempengaruhi pencapaian sasaran perlindungan aset, integritas data, serta efektivitas dan efisiensi sistem. d) Jenis-jenis management control framework 1. Top Management Para manajer senior yang bertanggung jawab atas fungsi SI menghadapi berbagai tantangan yaitu perkembangan teknologi dan pentingnya peran SI dalam organisasi.
a) Planning Strategic plan (planning jangka panjang) misalnya 3-5 tahun:
Penilaian aset.
Arahan strategis.
Strategis pengembangan.
Operational plan (planning jangka pendek) misalnya 1-3 tahun:
Progress report.
Initiative tobe undertaken.
Rencana implentasi.
McFarlan’s strategic grid model
Sullivan’s infusion-difusion model
Untuk menjamin perencanaan SI yang sesuai dengan kebutuhan organisasi, perlu dibentuk IS steering committee (SC) sesuai strategi penggunaan SI di organisasi. Contoh:
Organisasi strategic – SC diketuai oleh CEO.
Organisasi support – SC terdiri atas perwakilan manajemen menengah.
b) Organization
Fungsi pengorganisasian mengumpulkan, mengalokasi, dan mengelola struktur sumber daya untuk menjamin pencapaian tujuan dan sasaran.Sumber daya, meliputi perangkat keras, perangkat lunak, staf, keuangan, dan fasilitas.Ketepatan manajer dalam memilih dan mengelola staf sangat penting, karena:
Efektivitas fungsi SI bergantung pada kualitas staf.
Staf SI yang berkualitas sulit didapat karena intense competition dan high turnover.
Staf merupakan pihak yang paling berpotensi menimbulkan irregularities.
Contoh basic control procedures tentang pemilihan staf: 1. Pengecekan latar belakang (referensi, resume, keilmuan). 2. Pengecekan kesehatan fisik dan mental. 3. Keterikatan antar staf utama. 4. Penjelasan tentang aturan organisasi yang perlu diketahui. 5. Indoktrinasi organisasional umum. Performansi staf perlu ditinjau secara rutin untuk: 1. Menilai kelayakan staf memperoleh promosi. 2. Identifikasi peluang pelatihan dan pendidikan bagi staf. 3. Identifikasi kekuatan dan kelemahan staf. Contoh control procedures: 1. Saat seorang staf diberi kabar pemberhentian, top management dan supervisor harus diberi tahu dan sepakat tentang alasan pemberhentian. 2. Saat pemberhentian, pastikan bahwa:
Kunci dan kartu identitas ditarik.
Password staf dibatalkan; Distribution lists diubah.
Laporan, buku, dokumentasi, dll diserahkan.
Seluruh fasilitas dikembalikan.
3. Jika pemberhentian dilakukan dengan baik-baik, staf dapat diminta untuk memberikan pelatihan bagi staf pengganti.
4. Jika perlu, lakukan wawancara kepada staf yang keluar. Hal- hal yang dilakukan dalam organization diantaranya :
Mengumpulkan, Mengalokasikan dan mengelola SDA.
Ketepatan manager dalam memilih dan mengelola staf Preformansi staf ditinjau secara rutin.
Penghentian staf secara hormat maupun tidak hormat.
c) Leading Tujuan leading untuk menjaga agar sasaran individu atau kelompok sebaiknya tidak bertentangan dengan sasaran organisasi. Hal itu dapat dilakukan dengan cara :
Mengecek kualitas pemimpin dari akibatnya, seperti : staf turnover, kegagalan project.
Melihat efektifitas komunikasi antara manager dengan staf dapat digunakan bukti yaitu Formal : rencana SI, dokumentasi standar dan kebijakan, minutes of meeting, memo yang disebarkan ke staf dan Informal : wawancara dengan staf, observasi langsung.
Karakteristik manajer yang memiliki gaya kepemimpinan efektif:
Awareness: memahami pentingnya motivasi dan kepemimpinan.
Empathy: dapat menempatkan diri dalam posisi staf.
Objectivity: dapat mengevaluasi kejadian tanpa emosi.
Self-knowledge: mengetahui akibat dari setiap tindakan.
Auditor dapat mengecek kualitas kepemimpinan dari akibatnya: staff turnover, kegagalan proyek untuk memenuhi anggaran, dll. Sedangkan untuk mengevaluasi efektivitas komunikasi manajer dengan staf, dapat digunakan bukti:
Formal: rencana SI, dokumentasi standar dan kebijakan, minutes of meetings, dan memo yang disebarkan ke staf SI.
Informal: wawancara dengan staf, observasi langsung, serta penilaian tentang kesadaran staf tentang proses dan tingkat kepentingannya.
d) Controlling Tujuan untuk melihat apakah proses aktual sudah sesuai dengan apa yang telah direncanakan. Proses controlling dapat dilakukan dengan menetapkan kebijakan dan standar untuk setiap aktivitas yang berkaitan dengan fungsi SI. 2. System development management control Meliputi :
Analisis design.
Pembangunan.
Implementasi.
Pemeliharaan SI.
3 pendekatan auditor :
Concurrent audit , ikut serta bersama tim dalam proses pengembangan SI (auditor internal).
Post
implementasion
audit,
mengaudit
SI
yang
telah
diimplementasikan (auditor internal).
General audit, evaluasi pengembangan SI secara umum. (auditor external).
Model normatif untuk mengevaluasi proses pengembangan sistem:
System development life-cycle approach Feasibility study Information analysis
System design Program development Procedures and forms development Acceptance testing Conversion Operation and maintenance
Sociotechnical design approach Untuk mengatasi kendala behavioral yang seringkali muncul saat menerapkan pendekatan system development life cycle.Libatkan pengguna dalam setiap tahap pengembangan system.
Political approach Keterlibatan
pengguna
kadang
justru
menimbulkan
masalah.Pengembangan sistem baru dapat mempengaruhi power structure dalam 3 cara, yaitu: meningkatkan kualitas kerja, menggantikan pengguna, atau meningkatkan image pengguna.
Soft-systems approach Recognize the problem situation
Identify desirable and feasible changes
Express the problem situation
Compare conceptual models with problem situation
Produce root definitions of relevant systems
Develop conceptual models of relevant systems
Take action to improve situation
Prototyping approach Seiring dengan berkembangnya metodologi pembangunan sistem serta meningkatnya pengetahuan pengguna tentang pembangunan sistem, muncul pendekatan prototyping yang menjanjikan siklus yang lebih singkat untuk menghasilkan produk yang dapat digunakan. Bagi auditor, perubahan penting akibat pendekatan ini adalah bergesernya tanggung jawab pengembangan sistem yang jadi lebih cepat berpindah dari pengembang ke pengguna.
Contingency approach Ide:Mengidentifikasi faktor-faktor yang mempengaruhi efektivitas berbagai pendekatan:
o Pengaruh sistem sosial o Pengaruh sistem task o Ukuran sistem o Kesamaan o Ketidakpastian requirements o Ketidakpastian teknologi Evaluasi fase-fase utama proses pengembangan sistem, yaitu meliputi:
Problem/ opportunity definition
Management of the change process
Entry and feasibility assessment
Analysis of the existing system
Formulation of strategic requirements
Organizational and job design
Information processing systems design
Application software acquisition and development
Hardware/ system software acquisition
Procedures development
Acceptance testing
Conversion
Operation and maintenance
3. Programming Management Control Program development life cycle : a) Planning Apakah perencaan sudah sesuai dengan karakteristik perangkat lunak. Seberapa baik perencanaan telah dilakukan. b) Control Apakah karakteristik aktivitas control sudah sesuai dengan berbagai tipe perangkat lunak yang akan dibangun. Apakah prosedur kontrol sudah dilakukan dan dapat diandalkan.
c) Design Apakah pendekatan yang digunakan oleh programmer sudah sistematis dan sesuai dengan kebutuhan system. Mencari bukti proses pengendalian selama proses peracangan dilakukan. d) Coding Apakah pemilihan strategi dan integrasi sudah tepat. Apakah strategi coding yang dipilih sudah terstruktur dan diikuti dengan baik. Apakah ada fasilitas otomatis yang digunakan. Apakah dokumentasi program berkualitas dengan baik. e) Testing Menguji modul secara individu. Menguji kelompok modul yang sudah terkait. Menguji secara keseluruhan. f) Operation and maintenance Apakah operational dan pemeliharaan sudah dilakukan dengan baik 4. Data Resource Management Control Mengelola data sebagai sumber daya kritis Solusi :
Teknis, DBMS dan data repository system (DRS)
Administratif, data administration (DA) dan DBA
Cara mengudit yaitu memastikan apakah 5 aspek berikut sudah berjalan dengan baik atau belum yaitu :
Defining, creating, redefining, retiring data (dengan wawancara, observasi)
Membuat database tersedia untuk semua user
Menginformasikan dan melayani user
Memelihara integritas data
Monitoring operations
5. Security Management Control Langkah-langkah pengadaan program keamanan:
Mempersiapkan rencana proyek
Indentifikasi aset
Penilaian aset
Identifikasi ancaman (api, banjir, gangguan listrik, bencana alam, polusi, penyadapan, virus dan worm )
Menaksir kemungkinan dari ancaman
Menganalisa keterbukaan
Membuat control
Mempersiapkan laporan keamanan
Disaster recovery plan , terdiri dari 4 bagian yaitu:
Emergency plan
Backup plan
Recovery plan
Test plan
6. Operation Management Control Control yang diperlukan meliputi : Computer operation a) Apakah operasi otomatis sudah akurat, lengkap dan otentik b) Apakah ada penjadwalan produksi yang diacu c) Apakah pemeliharaan sudah efektif dan efisien d) Network operation 1. reliabilitas kontrol operasi network control terminal 2. reliabilitas kontrol operasi file servers 3. Data preparation and entry
Apakah ada standar yang diterapkan untuk persiapan dan entri data
Dokumen yang menunjukkan kesesuaian pelaksanaan persiapan dan entri data dengan standar yang diacu
Production control Apakah file telah disiapkan dan terdokumentasi sesuai standar Dengan wawancara pengguna dan staf operasi tentang SLA Catatan komplain dan aksi penyelesaiannya Akurasi, kelengkapan, kebaruan dan keamanan dari dokumentasi fungsi transfer-pricing file library Memastikan apakah file sudah digunakan, disimpan dipelihara dan dimusnahkan dengan baik
a) Documentation and program library Memastikan apakah dokumentasi sudah dilakukan dan dikelola dengan aman serta sudah digunakan oleh pihak yang berwenang. 1. Technical support
Mencari tahu kepuasan pengguna akhir
Observasi bagaimana staf merespon permintaan pengguna akhir
Melihat log/ laporan akurasi, kelengkapan dan waktu respon staf
Capacity planning and performance monitoring Apakah
manajer
operasi
telah
mengawasi
performansi dengan baik Apakah keputusan yang diambil terkait perencanaan kapasitas sudah sesuai dengan statistik performansi Outsourced operation dapat dilakukan dengan evaluasi terus-menerus tentang kelayakan keuangan pihak penyedia outsource, memastikan kesesuaian dengan syarat dan ketentuan kontrak outsourcing, memastikan keandalan berkelanjutan dari kontrol dalam operasi penyedia outsource dan mengelola
prosedur
disaster
recovery dengan
penyedia outsource. 7. Quality Assurance Management Control a) Developing quality goals
Apakah sudah ada charter dan definisi sasaran untuk fungsifungsi SI
Apakah tujuan dan ukuran kualitas telah ditentukan untuk setiap SI spesifik yang digunakan dalam organisasi
Level awareness staf QA dan SI tentang tujuan kualitas
Opini stakeholders (termasuk manajemen) tentang tujuan kualitas yang ditentukan oleh staf QA
b) Developing, promulgating, and maintaining standards for the IS function c) Monitoring compliance with QA standards d) Identifying areas for improvement e) Reporting to management f) Training in QA standards and procedures
Sumber : https://faizulhamdi.wordpress.com/2013/10/28/management-control-framework/ http://dwifarhanug.blogspot.com/2017/11/kontrol-internal-ruang-lingkup-kontrol.html