Blogger templates

Map

31 Des 2013

Pengendalian Internal Menurut COBIT

Definisi Pengendalian Internal menurut COBIT
COBIT mengadopsi definisi pengendalian dari COSO yaitu : “Kebijakan, prosedur, dan praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau dideteksi dan diperbaiki”. Sedangkan COBIT mengadaptasi definisi tujuan pengendalian (control objective)dari SAC yaitu : “Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.
Komponen tujuan pengendalian (control objectives) COBIT ini terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu : planning & organization acquisition & implementation ,delivery & support , dan monitoring.
Ringkasan Konsep Pengendalian Internal COBIT dilihat dari berbagai sudut pandang
Pengguna Utama
COBIT di rancang untuk digunakan oleh tiga pengguna yang berbeda yaitu :
  • Manajemen : untuk membantu mereka menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi.
  • User : untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT  yang disediakan oleh pihak internal atau pihak ketiga.
  • Auditor : untuk medukung/memperkuat opini yang dihasilkan dan/atau untuk memberikan saran kepada manajemen atas pengendalian internal yang ada.
Tujuan Pengendalian Internal bagi Organisasi
Operasi yang efektif dan efisien
Keefektifan berkenaan dengan informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat diperoleh tepat waktu, benar, konsisten, dan bermanfaat. Sedangkan keefisienan berkaitan dengan penyediaan informasi melalui sumber daya (yang paling produktif dan ekonomis) yang optimal.
Kerahasiaan
Menyangkut perhatian atas perlindungan informasi yang sensitif dari pihak-pihak yang tidak berwenang.
Integritas
Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga validitasnya sesuai nilai-nilai dan harapan bisnis.
Ketersedian Informasi
Berkaitan dengan informasi harus dapat tersedia ketika dibutuhkan oleh suatu proses bisnis baik sekarang maupun di masa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang perlu dan kemampuan yang terkait.
Pelaporan keuangan yang handal
Berkaitan dengan pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan juga pemenuhan kewajiban mereka untuk membuat pelaporan keuangan.
Ketaatan terhadap ketentuan hukum dan peraturan
Terkait dengan pemenuhan sesuai dengan ketentuan hukum, peraturan, perjanjian kontrak, dimana dalam hal ini proses bisnis dipandang sebagai suatu subjek.
Domain
  1. Planning and organization
Domain ini mencakup strategi dan taktik, dan perhatian atas identifikasi bagaimana IT secara maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi dari visi strategis perlu direncanakan, dikomunikasikan, dan dikelola untuk berbagai perspektif yang berbeda. Terakhir, sebuah pengorganisasian yang baik serta infrastruktur teknologi harus di tempatkan di tempat yang semestinya.
  1. Acquisition dan implementation
Untuk merealisasikan strategi IT, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan, dan terintegrasi ke dalam proses bisnis. Selain itu, perubahan serta pemeliharaan sistem yang ada harus di cakup dalam domain ini untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sisteem ini.
  1. Delivery and Support
Domain ini memberikan fokus utama pada aspek penyampaian/pengiriman dari IT. Domain ini mencakup area-area seperti pengoperasian aplikasi-aplikasi dalam sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini termasuk isu/masalah keamanan dan juga pelatihan.
  1. Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk menjaga kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta penilaian independen yang dilakukan baik auditor internal maupun eksternal atau diperoleh dari sumber-sumber anternatif lainnya.
Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:
Control Objectives : Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization acquisition & implementation delivery & support , dan monitoring .
Audit Guidelines : Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives ) untuk membantu para auditor dalam memberikanmanagement assurance dan/atau saran perbaikan.
Management Guidelines : Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :
  • Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
  • Apa saja indikator untuk suatu kinerja yang bagus?
  • Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (critical success factors )?
  • Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
  • Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
  • Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.
The COBIT Framework memasukkan juga hal-hal berikut ini:
  • Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices
  • Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
  • Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements
  • Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan denganprocess goals.
Satu dari prinsip dalam COBIT 5 ini adalah pembedaan yang dibuat antara tata kelola (governance) dan pengelolaan (management). Selaras dengan prinsip ini, setiap organisasi diharapkan untuk melaksanakan sejumlah proses tata kelola dan sejumlah proses pengelolaan untuk menyediakan tata kelola dan pengelolaan enterprise IT yang komprehensif.
Ketika mempertimbangkan proses untuk tata kelola dan pengelolaan dalam konteks enterprise, perbedaan antara jenis-jenis proses tergantung kepada tujuan dari proses tersebut, antara lain :
  1. Proses tata kelola berhubungan dengan tujuan tata kelola, yaitu value delivery; manajemen resiko dan penyeimbangan sumber daya; serta termasuk praktik dan aktivitas yang dituju sesuai evaluasi pilihan strategis yang menyediakan arahan kepada IT dan memantau outcome (hal ini sesuai dengan konsep standar ISO 38500).
  2. Selaras dengan definisi pengelolaan, praktik dan aktivitas dari proses pengelolaan (management process) melingkupi tanggung jawab area perencanaan, pembangunan, pelaksanaan, dan pemantauan dari enterprise IT. Proses pengelolaan juga menyediakan cakupan end-to-end dari IT.
Walau outcome kedua jenis proses berbeda dan dimaksudkan untuk audience yang berbeda, secara internal, contohnya dari konteks prosesnya sendiri, semua proses membutuhkan aktivitas perencanaan, pembangunan (atau implementasi), eksekusi, dan pemantauan.
COBIT 5 tidaklah menentukan tetapi dari penjelasan di atas jelas bahwa COBIT 5 mendukung organisasi mengimplementasi proses tata kelola dan pengelolaan pada area yang dicakupi seperti yang dijelaskan pada gambar di bawah.
Dalam teorinya, perusahaan dapat mengorganisasi prosesnya apabila memungkinkan selama tujuan dasar tata kelola dan pengelolaan tercakupi. Perusahaan kecil memiliki proses yang lebih sedikit sedangkan perusahaan yang lebih besar atau rumit memiliki proses yang banyak. Semuanya mencakupi tujuan yang sama. Meskipun begitu, COBIT 5 juga menyertakan sebuah model referensi proses yang mendefinisikan dan menjelaskan secara rinci sejumlah proses tata kelola dan pengelolaan. Model referensi proses merepresentasikan semua proses yang secara normal ditemukan dalam sebuah perusahaan yang berhubungan dengan kegiatan IT dengan demikian menyediakan sebuah model referensi umum yang dapat dimengerti untuk manajer bisnis dan It yang beroperasi dan juga auditor maupun penasehat.
Menggabungkan model operasional dan membuat sebuah bahasa umum untuk semua bagian bisnis yang terlibat dalam kegiatan IT merupakan salah satu hal yang paling penting dan langkah kritis menuju tata kelola yang baik (good governance). Selain itu, model referensi proses menyediakan kerangka kerja untuk mengukur dan memantau kinerja IT, mengomunikasikan dengan penyedia layanan, serta menyatukan praktik-praktik pengelolaan terbaik.
Model referensi proses COBIT 5 membagi proses tata kelola dan pengelolaan perusahaan IT ke dalam dua domain, yaitu domain tata kelola dan domain pengelolaan.
  1. Domain tata kelola mengandung lima proses tata kelola yang di dalam setiap prosesnya praktik evaluasi, pengarahan, dan pemantauan didefinisikan.
  2. Domain pengelolaan ada empat yang selaras dengan wilayah tanggung jawab perencanaan, pembangunan, pelaksanaan, dan pemantauan.
  3. Dalam COBIT 5, proses-proses juga mencakupi lingkup penuh dari kegiatan bisnis dan IT yang berhubungan dengan tata kelola dan pengelolaaan enterprise IT. Dengan demikian membuat model proses benar-benar enterprise-wide.
Model referensi proses COBIT 5 adalah penerus proses model COBIT 4.1 dengan mengintegrasikan proses model Risk IT dan Val IT. Gambar di bawah menggambarkan himpunan lengkap dari proses tata kelola dan pengelolaan dalam COBIT 5.

pengendalian internal menurut coso

Pengendalian Internal menurut COSO?

Pendalian Internal menurut COSO yaitu :
Internal control is process, affected by entility’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories: Effectiveness and efficiency of operations, Realibillty of Financial Reporting, Compliance with Applicable laws and regulations.
atau dalam terjemahan bebasnya adalah sebagai berikut : sistem pengendalian internal merupakan suatu proses yang melibatkan dewan komisaris, manajemen, dan personil lain, yang dirancang untuk memberikan keyakinan memadai tentang pencapaian tiga tujuan berikut ini: Efektivitas dan efisiensi operasi, Keandalan pelaporan keuangan, Kepetuhan kerhadap hukum dan peraturan yang berlaku).



Komponen pengendalian internal menurut  COSO adalah :
  1. Lingkungan pengendalian (control environment)Lingkungan pengendalian merupakan dasar untuk semua komponen pengendalian internal. Faktor-faktor lingkungan pengendalian mencakup integritas, nilai etis, dan kompetensi dari orang dan entitas, filosofi manajemen dan gaya operasi, cara manajemen memberikan otoritas dan tanggung jawab serta mengorganisasikan dan mengembangkan orangnya, perhatian dan pengarahan yang diberikan oleh board.
  2. Penaksiran risiko (risk assessment). Mekanisme yang ditetapkan untuk mengindentifikasi, menganalisis, dan mengelola risiko-risiko yang berkaitan dengan berbagai aktivitas di mana organisasi beroperasi.
  3. Aktivitas pengendalian (control activities). Pelaksanaan dari kebijakan-kebijakan dan prosedur-prosedur yang ditetapkan oleh manajemen untuk membantu memastikan bahwa tujuan dapat tercapai.
  4. Informasi dan komunikasi (informasi and communication). Sistem yang memungkinkan orang atau entitas, memperoleh dan menukar informasi yang diperlukan untuk melaksanakan, mengelola, dan mengendalikan operasinya.
  5. Pemantauan (monitoring). Sistem pengendalian internal perlu dipantau, proses ini bertujuan untuk menilai mutu kinerja sistem sepanjang waktu. Ini dijalankan melalui aktivitas pemantauan yang terus-menerus, evaluasi yang terpisah atau kombinasi dari keduanya

Kelima komponen IC di atas memiliki hubungan yang erat satu sama lain. Larry F Konrath (1999) menggambarkan kelima komponen tersebut bagaikan sebuah bangunan rumah dimana Lingkungan Pengendalian menjadi pondasinya. Penilaian risiko, aktivitas pengendalian dan informasi dan komunkasi menjadi pilar-pilarnya. Sedangkan Monitoring menjadi atapnya. Dengan demikian, sebuah IC akan berjalan secara efektif jika kelima unsur tersebut terbangun dengan baik dan beroperasi sesuai proporsinya masing-masing.

Menurut COSO, semua orang dalam organisasi yaitu Manajemen, Dewan direksi, Komite Audit, dan Personel lainnya bertanggung jawab terhadap pengendalian internal, karena semua orang dalam organisasi memiliki peran dalam pengendalian internal, sehingga pengendalian internal tidak dapat berjalan dengan baik apabila ada salah satu anggota yang tidak menjalankan perannya dalam pengendalian internal. 
Pihak-pihak luar seringkali memberikan kontribusi terhadap pencapaian tujuan perusahaan, seperti Auditor eksternal, Badan Regulasi dan legislatif, customer, analis keuangan, dan media massa. Namun demikian pihak ketiga tersebut tidak bertanggung jawab terhadap pengendalian internal karena mereka bukan bagian dari organisasi maupun bukan bagian dari sistem pengendalian internal.

Pengertian COBIT

COBIT Control Objective for Information and related Technology Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari ISACA (Information Systems Audit and Control Association) pada tahun 1996. hingga saat artikel ini di muat setidaknya sudah ada 5 versi COBIT yang sudah diterbitkan, versi pertama diterbitkan pada tahun 1996, versi kedua tahun 1998, versi 3.0 di tahun 2000, Cobit 4.0 pada tahun 2005, CObit 4.1 tahun 2007 dan yang terakhir ini adalah Cobit versi 5 yang di rilis baru-baru saja.

COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT.

Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan TI. Cobit memberikan panduan kerangka kerja yang bisa mengenndalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di level top dalam organisasi.

siapa saja yang menggunakan COBIT?, COBIT digunakan secara umum oleh mereka yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang organisasinya sangat bergantung pada kualitas,kehandalan dan penguasaan teknologi informasi.

Cobit memiliki 4 Cakupan Domain :

1. Perencanaan dan Organisasi (Plan and organise)
• Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.

2. Pengadaan dan implementasi (Acquirw and implement)
• Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.

3. Pengantaran dan dukungan (Deliver and Support)
• Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.

4. Pengawasan dan evaluasi (Monitor and Evaluate)
• Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan kebutuhan kontrol.

source : http://cobitindo.blogspot.com/2011/10/sekilas-tentang-control-objective-for.html#more

Pengertian COSO

Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka.

Misi utama dari COSO adalah  “Memperbaiki/meningkatkan kualitas laporan keuangan entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate governance.”
Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tehun 1992, telah diselesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para eksekutif, dewan direksi, regulator, penyusun standar, organisasi profesi , dan lainnya sebagai kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal mereka.



Hambatan Pasif dan contoh dalam sistem informasi

      Hambatan pasif adalah hambatan yang terjadi karna tidak disengaja. Hambatan pasif bisa terjadi karna kesalahan yang dilakukan manusia, atau bisa juga karna faktor alam. Contoh dari hambatan pasif adalah terjadinya bencana alam yang menyebabkan rusaknya komponen komponen terkait.

      Hambatan pasif bisa juga terjadi karena kegagalan komponen yang disebabkan kurangnya komponen pendukung, seperti komputer yang mati tiba-tiba karena panasnya processor pada CPU. Backup data untuk mencegah hal-hal yang tidak diinginkan pada hambatan pasif.

Hambatan Pasif dan contoh dalam sistem informasi

      Hambatan pasif adalah hambatan yang terjadi karna tidak disengaja. Hambatan pasif bisa terjadi karna kesalahan yang dilakukan manusia, atau bisa juga karna faktor alam. Contoh dari hambatan pasif adalah terjadinya bencana alam yang menyebabkan rusaknya komponen komponen terkait.

      Hambatan pasif bisa juga terjadi karena kegagalan komponen yang disebabkan kurangnya komponen pendukung, seperti komputer yang mati tiba-tiba karena panasnya processor pada CPU. Backup data untuk mencegah hal-hal yang tidak diinginkan pada hambatan pasif.

Hambatan Pasif dan contoh dalam sistem informasi

      Hambatan pasif adalah hambatan yang terjadi karna tidak disengaja. Hambatan pasif bisa terjadi karna kesalahan yang dilakukan manusia, atau bisa juga karna faktor alam. Contoh dari hambatan pasif adalah terjadinya bencana alam yang menyebabkan rusaknya komponen komponen terkait.

      Hambatan pasif bisa juga terjadi karena kegagalan komponen yang disebabkan kurangnya komponen pendukung, seperti komputer yang mati tiba-tiba karena panasnya processor pada CPU. Backup data untuk mencegah hal-hal yang tidak diinginkan pada hambatan pasif.

Hambatan Pasif dan contoh dalam sistem informasi

      Hambatan pasif adalah hambatan yang terjadi karna tidak disengaja. Hambatan pasif bisa terjadi karna kesalahan yang dilakukan manusia, atau bisa juga karna faktor alam. Contoh dari hambatan pasif adalah terjadinya bencana alam yang menyebabkan rusaknya komponen komponen terkait.

      Hambatan pasif bisa juga terjadi karena kegagalan komponen yang disebabkan kurangnya komponen pendukung, seperti komputer yang mati tiba-tiba karena panasnya processor pada CPU. Backup data untuk mencegah hal-hal yang tidak diinginkan pada hambatan pasif.

Hambatan Pasif dan contoh dalam sistem informasi

      Hambatan pasif adalah hambatan yang terjadi karna tidak disengaja. Hambatan pasif bisa terjadi karna kesalahan yang dilakukan manusia, atau bisa juga karna faktor alam. Contoh dari hambatan pasif adalah terjadinya bencana alam yang menyebabkan rusaknya komponen komponen terkait.

      Hambatan pasif bisa juga terjadi karena kegagalan komponen yang disebabkan kurangnya komponen pendukung, seperti komputer yang mati tiba-tiba karena panasnya processor pada CPU. Backup data untuk mencegah hal-hal yang tidak diinginkan pada hambatan pasif.

Hambatan Pasif dan contoh dalam sistem informasi

      Hambatan pasif adalah hambatan yang terjadi karna tidak disengaja. Hambatan pasif bisa terjadi karna kesalahan yang dilakukan manusia, atau bisa juga karna faktor alam. Contoh dari hambatan pasif adalah terjadinya bencana alam yang menyebabkan rusaknya komponen komponen terkait.

      Hambatan pasif bisa juga terjadi karena kegagalan komponen yang disebabkan kurangnya komponen pendukung, seperti komputer yang mati tiba-tiba karena panasnya processor pada CPU. Backup data untuk mencegah hal-hal yang tidak diinginkan pada hambatan pasif.

hambatan aktif dan contoh dalam sistem informasi

Hambatan  adalah eksploitasi potensial dari kerentanan.Hambatan aktif mencakup penggelapan terhadap computer dan sabotase terhadap computer.
Orang yang menimbulkan hambatan dalam sistem komputer:

KARYAWAN SISTEM KOMPUTER
Mereka adalah yang menginstalasikan perengkat keras, perangkat lunak, memeperbaiki perangkat keras, dan memperbaiki kesalahan kecil pada perangkat lunak. Dalam banyak aksus, orang-orang ini harus memiliki akses atas pengamanan tingkat tinggi computer, guna memperlancar pekerjaan mereka. Sebagai contoh, orang yang menginstalasikan bersi baru program akuntansi seirngkali diberikan akses yang lengkap ke catalog berkas yang memuat sistem akuntansi dan berkas-berkas data yang berkaitan.

PEMROGRAM
Pemrogram sistem seringkali menuliskan programnya untuk memodifikasi atau memperbaiki sistem operasi. Orang-orang itu umumnya memiliki akses khusus ke seluruh berkas perusahaan. Pemrogram aplikasi dapat membuat modifikasi yang menganggu program-program yang ada, atau menuliskan program baru yang tidak memuaskan.

OPERATOR KOMPUTER
Orang-orang yang merencanakan dan memonitor operasi computer dan jaringan komunikasi disebut operator computer dan operator jaringan

KARYAWAN ADMINSITRATIF SISTEM INFORMASI DAN KOMPUTER
Penyelia sistem merupakan orang yang mempunyai posisi dengan kepercayaan besar. Orang-orang ini secara normal memiliki akses ke pengamanan rahasia, berkas, program, dan sebagainya

KLERK PENGENDALIAN DATA
Mereka yang bertanggungjawab atas pemasukan data secra manual maupun terotomasi ke sistem computer disebut klerk-klerk pengendalian data. Orang-orang ini berada dalam posisi yang menungkinkan untuk memanipulasi pemasukan data.

source : http://jamil15.wordpress.com/2012/11/18/hambatan-aktif-beserta-contoh/

Pengertian Kerentanan Sistem

     Sistem adalah sekumpulan benda yang memiliki hubungan di antara mereka.Sedangkan Kerentanan adalah suatu kelemahan di dalam suatu sistem.Setiap sistem pasti mempunyai kekurangan dan kelebihannya masing-masing.Sistem informasi dalam bentuk elektronika sangat rentan terhadap acaman yang akan timbul yang diakibatkan oleh faktor-faktor tertentu .

    Disini saya mengambil contoh dari kerentanan sistem informasi dimana Sistem merupakan suatu komponen- komponen yang kompleks, oleh karena itu suatu sistem pasti akan terdapat suatu kerentanan atau gangguan di dalam sistem tersebut . Penggunaan system informasi di organisasi bukannya tanpa risiko. Penggunaan atau akses yang tidak sah, perangkat lunak yang tidak berfungsi, kerusakan pada perangkat keras, gangguan dalam komunikasi, bencana alam, dan kesalahan yang dilakukan oleh petugas merupakan beberapa contoh dari kerentanan dari sistem informasi .