Analisa Kebutuhan Pengendalian Internal
|
|
|
- Handoko Muljana
- 7 tahun lalu
- Tontonan:
Transkripsi
1 BAB III Analisa Kebutuhan Pengendalian Internal III.1 Pengendalian Internal Terhadap Laporan Keuangan Berbasiskan Teknologi Informasi III.1.1 Pengendalian Internal Terhadap Laporan Keuangan menurut SOX Untuk menjawab kebutuhan pengendalian internal berdasarkan SOX, standar PCAOB no 2 memberikan pendekatan yang lebih spesifik melalui pengendalian internal terhadap laporan keuangan (internal control over financial reporting,icfr) (PCAOB, 2004). PCAOB no 2 mendefinisikan bahwa pengendalian internal terhadap laporan keuangan adalah Proses yang didesain oleh, atau dilakukan di bawah pengawasan petinggi organisasi, petinggi bagian keuangan, atau karyawan yang melakukan pekerjaan yang berhubungan atau serupa untuk menciptakan keyakinan yang memadai (reasonable assurance) mengenai keabsahan dari laporan keuangan dan persiapan laporan keuangan publik untuk keperluan di luar organisasi berdasarkan prinsip - prinsip akuntansi yang diakui secara umum yang mencakup kebijaksanaan dan prosedur: a. Menjaga tingkat kedetilan yang dapat diterima, akurat dan secara wajar mencerminkan transaksi transaksi yang terjadi dan penempatan dari aset yang dimiliki perusahaan. b. Menyediakan keyakinan yang memadai (reasonable assurance) terhadap laporan keuangan, hal ini dapat tercapai dengan melakukan pencatatan yang layak terhadap transaksi transaksi keuangan sesuai dengan standar akuntansi yang berlaku. Setiap pemasukan dan pengeluaran yang penting\berarti dilakukan dengan mekanisme otorisasi oleh manajemen yang berwenang. c. Menyediakan keyakinan yang memadai (reasonable assurance) terhadap pencegahan atau deteksi dari unauthorized acquisition, penggunaan atau disposition dari aset yang dimiliki oleh perusahaan yang dapat berpengaruh terhadap financial statement. 38
2 III.1.2 COSO Sebagai Framework Pengendalian Internal Manajemen perlu untuk mencari panduan dalam menilai efektivitas pengendalian internal terhadap laporan keuangan yang sesuai dan diakui sebagai sebuah framework pengendalian internal (internal control framework), panduan tersebut haruslah dikeluarkan oleh lembaga yang memiliki keahlian mengenai pengendalian internal serta telah dinilai oleh ahli - ahli pengendalian internal secara luas. Dengan kata lain framework tersebut dapat dipergunakan dalam menilai dan memperbaiki pengendalian internal apabila telah memenuhi kriteria - kriteria seperti di bawah ini (PCAOB, 2004): a. Tidak berat sebelah/bebas dari prasangka prasangka. b. Dapat digunakan untuk menilai pengendalian internal yang berhubungan dengan laporan keuangan. c. Dapat memberikan penilaian yang bersifat qualitative dan quantitative terhadap pengendalian internal yang berhubungan dengan laporan keuangan. Di dalam standar PCAOB no 2 disebutkan bahwa perusahaan dapat menggunakan framework Integrated Internal Control yang dikeluarkan oleh COSO (lebih lanjut mengenai COSO dapat dibaca pada bab 2). Secara garis besar COSO menjelaskan pengendalian internal dan komponen komponen yang membangunnya. Framework COSO mendefinisikan lima komponen yang dapat digunakan sebagai panduan dalam penerapan pengendalian internal. III.1.3 Pengendalian Internal berbasiskan TI berdasarkan COSO Seperti yang tertulis di bab 2, tidak ada satu kata di dalam SOX yang mewajibkan organisasi untuk menerapkan atau menilai pengendalian internal pada sistem yang berbasiskan teknologi informasi. Saat ini sebagian besar perusahaan sangat bergantung pada TI untuk mengelola data - data perusahaan, termasuk salah satunya data - data transaksi keuangan. Tujuan penggunaan TI dalam menunjang kegiatan operasional perusahaan adalah untuk meningkatkan efektivitas dan efisien dari proses bisnis perusahaan agar dapat bersaing lebih baik dibandingkan dengan pesaingnya. 39
3 Setiap kegiatan pastilah memiliki risiko, begitu juga dengan penggunaan TI dalam mengelola data - data transaksi keuangan. SEC sebagai lembaga yang berwenang mengawasi implementasi dari SOX, dalam panduan PCAOB standar no 5 yang dikeluarkan pada 24 Mei 2007 pada paragraf ke 36 menekankan bahwa "The auditor also should understand how IT affects the company's flow of transactions". untuk memperjelas pernyataan yang tertulis pada paragraf tersebut SEC memberikan catatan kaki yang berbunyi "The identification of risks and controls within IT is not a separate evaluation. Instead, it is an integral part of the top-down approach used to identify significant accounts and disclosures and their relevant assertions, and the controls to test, as well as to assess risk and allocate audit effort as described by this standard.". Apabila dihubungkan dengan pengendalian internal terhadap laporan keuangan berbasiskan TI, COSO sebagai framework yang disarankan oleh SEC menyebutkan bahwa pengendalian internal berbasiskan TI terbagi menjadi dua bagian (COSO, 1992): a. IT General Control, IT General control (Pengendalian umum TI) adalah struktur, kebijaksanaan dan prosedur yang berpengaruh terhadap komponen komponen utama sumber daya informasi yang bertujuan untuk memastikan integritas dan ketersediaan layanan teknologi informasi. b. Application Control, Application control (Pengendalian Aplikasi) adalah struktur, kebijaksanaan dan prosedur yang dilakukan secara otomatis atau manual di dalam aplikasi. Pengendalian aplikasi secara umum didesain untuk mencegah, mendeteksi dan memperbaiki kesalahan dan ketidakberesan pada tingkatan aplikasi. COSO mendefinisikan lima komponen pengendalian internal. Kelima komponen tersebut bersifat general. Untuk mempermudah memahami kebutuhan pengendalian internal berdasarkan framework COSO, berikut ini akan dijabarkan kelima komponen pengendalian internal dilihat dari sudut pandang TI: a. Control Environment (Lingkungan Pengendalian), Lingkungan yang mendukung pegawai/karyawan menunjang keberhasilan penerapan 40
4 pengendalian internal. Lingkungan Pengendalian menjelaskan kebijaksanaan dan prosedur yang dapat mendukung upaya upaya mengurangi risiko penggunaan TI terhadap integritas dari laporan keuangan. b. Risk Assessment (Penilaian Risiko), dalam pembuatan tata kelola TI. Manajemen terlebih dahulu melakukan penilaian dan memahami wilayah wilayah yang berisiko di mana dapat mengganggu integritas dari laporan keuangan. Penilaian tersebut harus dilakukan terhadap sistem sesuai dengan standar keamanan informasi yang diakui secara luas. Penilaian tersebut bertujuan untuk menunjang perbaikan terhadap sistem yang telah ada ataupun terhadap sistem baru yang akan diimplementasikan. c. Control Activities (Aktivitas Pengendalian), Desain, implementasi dan jaminan kualitas (quality assurance) dari aktivitas pengendalian yang terdapat pada tata kelola TI harus dibuat seindependen mungkin. Tata kelola TI harus berisikan aktivitas aktivitas pengendalian yang berorientasi untuk mengurangi risiko dari penggunaan TI yang dapat mengganggu integritas dari laporan keuangan. d. Monitoring (Pengawasan), Tata kelola TI harus berisikan rencana dan jadwal audit TI terhadap sumber daya teknologi informasi yang digunakan untuk mendukung layanan sistem informasi akuntansi, manajemen harus paham dan mengerti tindak lanjut yang perlu diambil sesuai dengan hasil audit yang telah dilakukan. e. Information and Communication (Informasi dan Komunikasi), Tanpa adanya informasi yang akurat, manajemen akan sulit menjalankan aktivitas pengendalian internal. Tata kelola TI harus berisikan mekanisme pengambilan, pemrosesan dan pendistribusian informasi yang menunjang keberhasilan penerapan pengendalian internal. Tata kelola TI harus dapat menunjukkan peran dari departemen TI terhadap keberhasilan penyebaran informasi yang berkaitan dengan pengendalian internal. 41
5 III.2 Analisa Risiko Pemrosesan Keuangan Berbasiskan TI III.2.1 Penilaian Risiko Dari Atas ke Bawah (Top Down Risk Assessment) Menurut standar PCAOB no 2 (PCAOB, 2004), TI merupakan salah satu sumber risiko yang dapat mengganggu integritas dari laporan keuangan, pernyataan tersebut dipertegas oleh standar PCAOB no 5 yang dikeluarkan pada tahun 2007 bahwa proses penilaian risiko TI merupakan salah satu proses dari penilaian risiko perusahaan secara menyeluruh (PCAOB, 2007). Penilaian risiko dari atas ke bawah (SOX Top Down Risk Assessment) atau disingkat TDRA merupakan panduan resmi yang dikeluarkan oleh PCAOB untuk menilai penerapan pengendalian internal yang sesuai dengan ketentuan SOX bagian 404. TDRA digunakan untuk menentukan ruang lingkup dan bukti - bukti yang diperlukan dalam melakukan tes/audit terhadap penerapan pengendalian internal berdasarkan SOX bagian 404. TDRA merupakan metodologi yang bersifat hierarchical berdasarkan objek yang dilindungi dan risiko dalam menentukan ruang lingkup dan bukti yang diperlukan untuk mendukung penilaian penerapan pengendalian internal, langkah - langkah yang terdapat pada TDRA adalah: a. Identifikasi elemen - elemen laporan keuangan yang penting (rekening dan transaksi keuangan). b. Identifikasi sumber - sumber risiko pada pernyataan keuangan berdasarkan rekening dan transaksi keuangan yang teridentifikasi pada langkah pertama. c. Tentukan entity level control yang akan menanggulangi risiko yang teridentifikasi pada tahap kedua. d. Tentukan transaction level control yang akan menanggulangi risiko yang teridentifikasi pada tahap dua sebagai penjabaran dari entity level control (tahap ketiga). e. Tentukan sifat, dampak dan kemungkinan waktu terjadinya dari bukti bukti risiko yang didapat dalam penilaian ini. 42
6 Meskipun TDRA merupakan sebuah metodologi penilaian penerapan implementasi pengendalian internal yang telah berjalan, pendekatan yang terdapat pada TDRA dapat dipergunakan sebagai landasan dalam melakukan penilaian kebutuhan pengendalian internal. Pada TDRA, untuk menentukan pengendalian internal yang akan dinilai\audit. Auditor pertama - tama melakukan penilaian terhadap rekening dan transaksi keuangan yang berhubungan dengan pernyataan keuangan. penilaian tersebut bertujuan untuk menentukan rekening - rekening yang memiliki risiko tinggi. Setelah diketahui rekening - rekening yang memiliki risiko tinggi, langkah berikutnya adalah menganalisa transaksi - transaksi yang berpengaruh terhadap rekening - rekening tersebut. pada tahap ini auditor harus jeli dalam melihat segala kelemahan atau ancaman yang mungkin dapat mengganggu integritas dari transaksi - transaksi tersebut. tahap ini penting karena pada tahap ini dikumpulkan informasi mengenai ancaman dan risiko yang nantinya akan digunakan sebagai dasar dalam menentukan bentuk dan jenis pengendalian internal yang cocok untuk menanggulangi risiko - risiko yang dapat mengganggu integritas dari laporan keuangan. III.2.2 Risiko Penggunaan TI Terhadap Integritas Laporan Keuangan Pada sistem informasi akuntansi yang berbasiskan teknologi informasi, terdapat berbagai macam risiko yang mungkin dapat mengganggu kualitas dari informasi seperti pada saat inisiasi, otorisasi, proses-proses, simpan dan pembuatan laporan transaksi keuangan. Risiko tersebut dapat bersumber dari pengguna, teknologi atau lingkungan. Untuk memberikan gambaran yang lebih jelas, berikut adalah contoh dari risiko penggunaan TI yang dapat mengganggu kualitas dari informasi yang dipergunakan dalam membuat laporan keuangan : Tabel III.1 Risiko penggunaan sistem yang berinteraksi dengan laporan keuangan Proses Initiated (1 memulai, memprakarsai. 2 meresmikan, Sumber Daya Yang Terlibat Manusia (pengguna sistem) Risiko 1. Pemalsuan transaksi 2. Salah Memasukan Data 43
7 menginisiasikan (club, fraternity). 3 mengajukan.) Authorized (Pengesahan) Aplikasi Manusia (pengguna sistem) Aplikasi Recorded (penyimpanan) Manusia (pengguna sistem) Processes (pemrosesan) Reported (Pelaporan) Aplikasi Manusia (pengguna sistem) Aplikasi Manusia (pengguna sistem) Aplikasi 3. Penyalahgunaan wewenang 4. Membuat transaksi yang tidak perlu 5. Kesalahan dalam melakukan perhitungan 1. Mengesahkan transaksi yang tidak semestinya disahkan. 2. Konflik kepentingan 3. Penyalahgunaan wewenang 4. Kesalahan pengesahan 5. Salah melakukan perhitungan 1. Merusak media penyimpanan 2. Pencurian data/informasi 3. Merubah data yang telah disimpan 4. Kegagalan aplikasi 5. Kesalahan menyimpan data 1. Merubah data data transaksi 2. Memasukan transaksi palsu 3. Memasukan informasi palsu mengenai hasil transaksi 4. Salah melakukan perhitungan 5. Kesalahan Pembulatan 6. Kesalahan logika program 1. Kekeliruan dalam menggunakan asumsi. 2. Salah menyajikan laporan 3. Manipulasi laporan 4. Menggunakan data yang salah 5. Menyampaikan informasi yang tidak tepat 44
8 Tabel III.2 Risiko penggunaan infrastruktur TI terhadap integritas dari laporan keuangan Infrastruktur Jaringan Pusat Data (Data Center) Sistem Operasi (Operating System) Risiko 1. Data dirubah di tengah jalan. 2. Data tidak dapat terbaca (corrupt). 1. Salah memberikan data. 2. Hilangnya data - data yang telah tersimpan. 3. Pencurian media penyimpanan data. 4. Kegagalan sistem. 1. Sabotase terhadap sistem operasi. 2. Merubuh logika program. 3. Gangguan terhadap proses perhitungan. 4. Kegagalan sistem. III.3 Kebutuhan pengendalian internal pada Sistem Informasi Akuntansi III.3.1 Penilaian kebutuhan pengendalian internal berdasarkan risiko penggunaan sumber daya Teknologi Informasi Berdasarkan analisa risiko penggunaan teknologi informasi terhadap integritas dari laporan keuangan. Risiko penggunaan teknologi informasi dilihat dari sifat prosesnya dapat bersumber dari dua tipe proses: a. Otomatis, proses yang terjadi tanpa campur tangan operator/manusia. Proses jenis ini terjadi ketika telah tercapainya suatu kondisi tertentu (trigger) yang mengakibatkan aplikasi/komputer untuk melakukan suatu pekerjaan sesuai dengan apa yang telah ditentukan. b. Manual, Proses manual adalah proses yang memerlukan penilaian dari staf ahli atau yang memiliki wewenang dalam menentukan hal hal penting (essential) yang sangat berpengaruh terhadap keberhasilan suatu proses. Untuk proses proses yang bersifat Otomatis risiko dari penggunaan teknologi informasi dapat dikurangi dengan cara menerapkan pengendalian internal pada tata kelola sumber daya teknologi informasi. Menurut COBIT versi 4 sumber daya teknologi informasi dikelompokkan menjadi (ITGC, 2006): a. Aplikasi (application) b. Informasi (information) c. Infrastruktur (Infrastructure) d. Manusia (people) 45
9 III.3.2 Pengendalian Internal Terhadap Risiko Penggunaan Aplikasi Salah satu kelebihan dari penggunaan sistem informasi akuntansi dibandingkan dengan proses manual adalah sistem informasi akuntansi dapat mengerjakan suatu pekerjaan secara otomatis dengan kecepatan,ketepatan dan hasil yang relatif konstan. Keunggulan ini dapat dipandang sebagai suatu kelebihan yang tidak dimiliki oleh sistem manual, akan tetapi keunggulan ini dapat menjadi bumerang ketika terjadi kesalahan logika pada proses pembuatan program dan terus terbawa sampai dengan proses operasional. Kesalahan logika tersebut merupakan risiko yang dapat mempengaruhi integritas dari laporan keuangan karena dapat dipastikan setiap perhitungan yang dilakukan akan mengeluarkan nilai yang salah di mana kesalahan tersebut akan diulang terus menerus sampai kesalahan tersebut diperbaiki. Oleh karena itu untuk menjaga integritas dari sebuah sistem informasi akuntansi maka diperlukan penerapan pengendalian internal dalam tahap pembuatan (application development) dan pemeliharaan sistem (maintenance). III.3.3 Pengendalian Internal Terhadap Risiko Penggunaan Infrastruktur dan Manusia. Infrastruktur TI dan sumber daya manusia merupakan sumber daya teknologi informasi yang bersifat umum (general). Kedua sumber daya tersebut tidak terikat terhadap sistem informasi manapun. Karena perannya yang menjadi tulang punggung suatu layanan TI (IT Service) maka tata kelola infrastruktur dan sumber daya manusia merupakan salah satu kunci keberhasilan layanan TI. Integritas dari informasi yang dikelola dan disimpan pada Sistem informasi akuntansi sangat bergantung dari integritas (integrity), kerahasiaan (confidentiality) dan ketersediaan (Availability) dari infrastruktur dan sumber daya manusia yang mengelola layanan TI. Infrastruktur TI dan sumber daya manusia yang mengelolanya dapat dipandang sebagai sebuah risiko yang dapat mengganggu integritas dari informasi yang digunakan dalam membuat laporan keuangan. Oleh karena itu untuk menjaga integritas laporan keuangan maka diperlukan penerapan pengendalian internal dalam mengelola infrastruktur TI seperti pusat data (data center), jaringan (network), sistem informasi (operating system) serta sumber daya manusia yang mengelolanya. 46
10 III.3.4 Pengendalian internal terhadap risiko penggunaan Informasi Kualitas dari informasi yang dihasilkan oleh sistem informasi akuntansi mempengaruhi integritas dari laporan keuangan. Sangatlah penting untuk diperhatikan bagaimana informasi yang dihasilkan dari sistem informasi akuntansi memiliki kandungan informasi yang dapat dipertanggungjawabkan untuk membuat sebuah laporan keuangan. Kualitas dari informasi untuk membuat sebuah laporan keuangan dapat dinilai dari (COSO, 1992): a. Kesesuaian kandungan informasi (apakah mengandung informasi yang dibutuhkan). b. Informasi diberikan tepat waktu (dapatkah diberikan sewaktu - waktu ketika diperlukan). c. Informasi merupakan informasi terbaru (Apakah ini informasi yang terbaru). d. Informasinya akurat (Apakah informasi ini benar). e. Informasi tersedia bagi yang membutuhkan (Dapatkah informasi ini tersedia dengan mudah bagi yang membutuhkan). Untuk dapat mencapai keempat kriteria dari informasi yang berkualitas menurut panduan framework COSO, sangatlah penting untuk memastikan kualitas dari pengendalian internal pada TI yang bersifat umum (general control). Apabila pengendalian internal yang bersifat umum telah dapat diterapkan dengan baik, langkah berikutnya adalah memastikan bagaimana informasi tersebut dikelola\dijaga di dalam sebuah sistem informasi. Untuk mencapai hal tersebut langkah yang perlu diambil adalah dengan menerapkan pengendalian internal yang sesuai dengan karakteristik dari sistem. Tujuan dari penerapan pengendalian aplikasi (application control) adalah untuk menjamin : akurasi (accuracy), Keterselesaian (Completeness), validitas (Validity) dan otorisasi (authorization) dari sebuah transaksi yang diproses oleh sistem informasi akuntansi. III.4 Analisa Kebutuhan Framework Pengendalian Internal pada Sistem Informasi Akuntansi III.4.1 Analisa Tatacara Penilaian & Perbaikan Pengendalian Internal 47
11 Pada bagian sebelumnya telah dilakukan analisa terhadap keterhubungan antara konsep - konsep yang akan melandasi perancangan framework pengendalian internal pada sistem informasi akuntansi. Alasan utama yang mendasari diperlukannya framework pengendalian internal adalah risiko yang bersumber dari penggunaan teknologi informasi yang dapat mengganggu integritas dari informasi yang digunakan dalam membuat laporan keuangan. Menurut COBIT sumber daya TI terdiri dari (ITGC, 2006): aplikasi, informasi, infrastruktur dan manusia. Setiap sumber daya TI memiliki risiko risiko yang unik sesuai dengan karakteristik yang dimilikinya. Keunikan tersebut menyebabkan tidak adanya suatu pendekatan yang bersifat umum dalam menanggulangi risiko risiko yang berasal dari penggunaan TI. Menurut COSO, pengendalian internal terhadap laporan keuangan pada sistem informasi terbagi menjadi : IT General Control dan Application Control. Sedangkan menurut SEC pengendalian internal pada laporan keuangan terbagi menjadi: entity level control, transaction level control dan action level control. Berdasarkan hasil analisa risiko penggunaan teknologi informasi terhadap integritas dari informasi yang digunakan dalam membuat laporan keuangan, pengendalian internal terhadap sistem informasi akuntansi pada penelitian ini akan terbagi menjadi: a. Pengendalian tingkat entiti (Entity Level Control) b. Pengendalian umum TI (IT General Control) c. Pengendalian aplikasi (Application Control) Penelitian ini akan memfokuskan pada pengendalian internal yang bertujuan untuk mencegah (preventive) dan mendeteksi (detection) risiko risiko yang mungkin mengganggu integritas dari informasi yang digunakan dalam membuat laporan keuangan. Untuk mencapai kedua hal tersebut penelitian ini akan menurunkan kelima komponen pengendalian internal yang terdapat pada COSO integrated internal control framework menjadi pengendalian internal yang akan diterapkan pada sistem informasi akuntansi berbasiskan teknologi informasi. 48
12 Tabel di bawah ini menjelaskan Tatacara dari framework pengendalian internal pada sistem informasi akuntansi yang diajukan pada penelitian ini. Seperti telah disebutkan sebelumnya, dasar dari framework pada penelitian ini adalah risiko dari penggunaan sumber daya teknologi informasi. Hubungan risiko dan laporan keuangan dihubungkan dengan penilaian risiko risiko yang berhubungan langsung dengan rekening dan transaksi keuangan. Pendekatan ini diambil agar pengguna dari framework ini fokus terhadap risiko - risiko yang berhubungan langsung dengan integritas dari laporan keuangan. Tabel III.3 Tahapan penilaian dan perbaikan Pengendalian Internal pada Sistem Informasi Akuntansi No Langkah 1 Identifikasi rekening & transaksi keuangan yang penting. 2 Identifikasi Sumber Daya TI dan Pengendalian Internal yang ada. Deskripsi 1. Identifikasi rekening rekening penting. 2. Identifikasi transaksi transaksi penting. 1. Inventaris sumber daya TI dan pengendalian internal yang digunakan dalam mendukung SIA. 2. Review dokumen proses keuangan untuk mengidentifikasi pengendalian - pengendalian yang tergantung dari TI. 3 Menilai risiko penggunaan TI 1. Menilai risiko dari penggunaan sumber daya TI (impact & likelihood). 2. Identifikasi Ancaman (Thread). 3. Identifikasi Kelemahan (Vulnerability) 4 Penilaian dan Perbaikan Pengendalian Internal. 1. Perbaikan Kekosongan Pengendalian Internal. 2. Perbaikan Secara Sistematis Berdasarkan Maturity Level. III.4.2 Analisa Model Aktivitas Pengendalian Internal III Model dari Aktivitas Pengendalian Internal Berdasarkan pemaparan yang terdapat pada bab ini dibandingkan dengan pengendalian internal pada sistem informasi yang terdapat pada framework COSO maka aktivitas pengendalian internal berbasiskan teknologi informasi dibagi menjadi tiga kelompok :Pengendalian tingkat entiti (Entity Level Control), 49
13 Pengendalian umum TI (IT General Control) dan Pengendalian aplikasi (Application Control). Tabel III.4 Pengelompokan Pengendalian Internal. Tipe Pengendalian Internal Pengendalian tingkat entiti (Entity Level Control) : Pengendalian umum TI (IT General Control) : Pengendalian aplikasi (Application Control) : Aktivitas Pengendalian Internal 1. Pengendalian akses. 2. Keamanan jaringan. 3. Rencana Kelangsungan Layanan Sistem Informasi Akuntansi. 4. Audit Sistem Informasi Akuntansi. 5. Pusat Data 6. Operasional Komputer. 7. Tatacara Pengembangan Sistem. 8. Pengendalian Aplikasi Tabel III.5 Pengendalian internal pada Sistem Informasi Akuntansi. Sumber Risiko (IT Infrastructure) Aplikasi (application) Infrastruktur & Manusia Informasi (information) Aktivitas Pengendalian Internal 1. Tatacara Pengembangan Sistem. 2. Pengendalian Aplikasi. 1. Pusat Data 2. Operasional Komputer 3. Keamanan Jaringan 1. Audit Sistem Informasi Akuntansi 2. Pengendalian Akses dan Wewenang 3. Pengendalian Aplikasi 50
14 Gambar III.1 Framework Aktivitas Pengendalian Internal. Aktivitas pengendalian internal pada sistem informasi akuntansi pada tesis ini terbagi menjadi : a. Pengendalian tingkat entity (Entity Level Control) Pengendalian tingkat entity adalah pengendalian yang menyatu dan berpengaruh langsung di dalam organisasi. Pengendalian tingkat entity memberikan dasar dalam menjaga integritas dari sistem informasi akuntansi. Pengendalian tingkat entity diterapkan dalam mengatur/mengarahkan pengendalian internal Terhadap sumber daya TI yang digunakan dalam mendukung sistem informasi akuntansi. b. Pengendalian umum TI (IT General Control) Pengendalian umum TI adalah struktur, kebijaksanaan dan prosedur yang berpengaruh langsung terhadap komponen komponen utama sumber daya teknologi informasi. Tujuan dari pengendalian umum TI adalah memastikan integritas dan ketersediaan layanan teknologi informasi. 51
15 c. Pengendalian aplikasi (Application Control) Pengendalian aplikasi adalah struktur, kebijaksanaan dan prosedur yang diterapkan di dalam sistem informasi akuntansi. Pengendalian ini secara khusus didesain untuk mencegah, mendeteksi dan memperbaiki kesalahan dan ketidakbenaran informasi yang diproses oleh sistem informasi akuntansi. Gambar III.2Model dari Aktivitas Pengendalian internal pada Sistem Informasi Akuntansi Aktivitas Pengendalian internal tersebut akan bertujuan untuk mencapai : d. Kerahasiaan (Confidentiality) - aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. e. Integritas (Integrity) - aspek yang menjamin bahwa data tidak dirubah tanpa adanya izin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integritas ini. f. Ketersediaan (Availability) - aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan pengguna yang berhak dapat 52
16 menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan). III Aktivitas Pengendalian Internal Tabel III.6 Aktivitas Pengendalian Internal Jenis Pengendalian Internal Entity Level Control IT General Control Aktivitas Pengendalian Internal 1. Pengendalian Akses dan Wewenang 2. Keamanan Jaringan 3. Kelangsungan Layanan Sistem Informasi Akuntansi 4. Audit Sistem Informasi Akuntansi Kerahasiaan (Confidentiality) Tujuan Integritas (Integrity) 5. Pusat Data Ketersediaan (Availability) Application Control 6. Operasional Komputer 7. Tatacara Pengembanga n Sistem 8. Pengendalian Aplikasi = Primary Objective = Secondary Objective 53
17 Aktor : Peran Tanggung Jawab. Pengendalian : Maturity Level. Table Perbaikan. Tujuan Pengendalian (Control Objective) 5 Komponen Pengendalian Internal Gambar III.3 Penjabaran dari Setiap Aktivitas Pengendalian Internal Framework pengendalian internal pada sistem informasi akuntansi berisikan 8 aktivitas pengendalian yang terbagi ke dalam 3 tipe pengendalian internal (Entity level control, IT General Control, Application Control). Isi dari setiap aktivitas pengendalian internal adalah : a. Tujuan pengendalian (Control Objective) Tujuan pengendalian merupakan dasar dari pengendalian internal karena di dalam tujuan pengendalian terdapat tujuan (objective) dan petunjuk (guideline) penerapan pengendalian internal. Tujuan pengendalian dapat digunakan sebagai petunjuk dalam melakukan penilaian dan perbaikan pengendalian internal. Tujuan pengendalian merupakan dasar dari Maturity Level dan tabel rekomendasi. b. Maturity Level Maturity level digunakan sebagai alat ukur dalam menilai pengendalian internal dan juga sebagai dasar dalam melakukan perbaikan. Terdapat enam tingkatan dalam maturity level (0 s/d 5), ke enam tingkatan tersebut mencerminkan pencapaian penerapan pengendalian internal. Level terendah adalah 0 yang berarti pengendalian internal belum diimplementasikan, sedangkan level tertinggi 5 menjelaskan bahwa pengendalian internal telah diterapkan dan senantiasa dilakukan perbaikan untuk meningkatkan kualitas dari penerapan pengendalian internal. c. Role & Responsibility Peran dan tanggung jawab dalam menjalankan pengendalian internal, prinsip prinsip akuntabilitas, pemisahan 54
18 kekuasaan check and balance adalah prinsip prinsip yang harus dijunjung dalam menjalankan pengendalian internal. d. Tabel Rekomendasi Tabel rekomendasi berisikan rekomendasi perbaikan berdasarkan enam tingkatan penerapan pengendalian internal sesuai dengan yang terdapat pada maturity level (poin b). Perbaikan yang direkomendasikan akan dikelompokkan sesuai dengan komponen pengendalian internal yang terdapat pada framework COSO. e. Kuesioner Kuesioner diturunkan dari enam tingkatan pengendalian internal, kuesioner tersebut terbagi menjadi lima kelompok pertanyaan berdasarkan lima komponen pengendalian internal yang dikemukakan oleh COSO. Dari setiap kelompok pertanyaan akan ditanyakan dua pertanyaan di mana pertanyaan pertama menanyakan pencapaian penerapan pengendalian internal saat ini, sedangkan pertanyaan kedua akan menanyakan tentang harapan/keinginan pencapaian penerapan pengendalian internal. Jawaban untuk setiap kelompok pertanyaan berisikan enam pilihan sesuai dengan tingkatan maturity level. Dasar dari ketiga aktivitas pengendalian internal tersebut adalah 5 komponen pengendalian internal yang terdapat pada framework COSO : a. Lingkungan pengendalian (Control Environment), Lingkungan yang mendukung pegawai/karyawan menunjang keberhasilan penerapan pengendalian internal. Lingkungan pengendalian menjelaskan kebijaksanaan dan prosedur yang dapat mendukung upaya upaya mengurangi risiko penggunaan TI terhadap integritas dari laporan keuangan. b. Penilaian risiko (Risk Assessment), dalam pembuatan tata kelola TI. Manajemen terlebih dahulu melakukan penilaian dan memahami wilayah wilayah berisiko yang dapat mengganggu integritas dari laporan keuangan. Penilaian tersebut harus dilakukan terhadap sistem sesuai dengan standar keamanan informasi yang diakui secara luas. Penilaian tersebut bertujuan untuk menunjang perbaikan terhadap sistem yang telah ada ataupun terhadap sistem baru yang akan diimplementasikan. 55
19 c. Aktivitas Pengendalian (Control Activities). Desain, implementasi dan jaminan kualitas (quality assurance) dari aktivitas pengendalian yang terdapat pada tata kelola TI harus dibuat semandiri mungkin. Tata kelola TI harus berisikan aktivitas aktivitas pengendalian yang berorientasi untuk mengurangi risiko dari penggunaan TI yang dapat mengganggu integritas dari laporan keuangan. d. Informasi dan Komunikasi (Information and Communication). Tanpa adanya informasi yang akurat, manajemen akan sulit menjalankan aktivitas pengendalian internal. Tata kelola TI harus berisikan mekanisme pengambilan, pemrosesan dan pendistribusian informasi yang menunjang keberhasilan penerapan pengendalian internal. Tata kelola TI harus dapat menunjukkan peran dari departemen TI terhadap keberhasilan penyebaran informasi yang berkaitan dengan pengendalian internal. e. Pengawasan (Monitoring), Tata kelola TI harus berisikan rencana dan jadwal audit TI terhadap sumber daya teknologi informasi yang digunakan untuk mendukung layanan sistem informasi akuntansi, manajemen harus paham dan mengerti tindak lanjut yang perlu diambil sesuai dengan hasil audit yang telah dilakukan. III.5 Analisa Kebutuhan Aktivitas Pengendalian Internal III.5.1 Analisa Kebutuhan Pengendalian Akses dan Wewenang Pada lingkungan multi pengguna (multi user) harus terdapat pengendalian atau kontrol yang membatasi akses dan wewenang setiap pengguna atau pengelolanya. Risiko bawaan dari lingkungan multi pengguna dapat terjadi ketika seorang pengguna mengotorisasi atau merubah suatu transaksi yang bukan merupakan wewenangannya, apabila hal ini terjadi (penyalahgunaan akses dan wewenang) maka mekanisme pengawasan dan pengecekan dalam suatu transaksi atau proses bisnis dapat dengan mudah dilewati. Tabel III.7 Risiko dari lingkungan multi pengguna (Multi User) Risiko dari Jenis Risiko Contoh Risiko Akses dan Wewenang Inherent Risk 1. Akses yang tidak sah pada sistem. 56
20 Control Risk 2. Akses Langsung pada perangkat keras (hardware). 3. Penyalahgunaan hak akses pada suatu informasi tertentu. 4. Pemalsuan transaksi (transaksi fiktif). 1. Pemberian hak akses dari pemilik yang sah ke pihak ketiga. 2. Pemalsuan transaksi dengan cara permainan antara yang melakukan dan yang mengotorisasi. 3. Terdapat permainan antara petugas penjaga dan pengawas. 4. Penyalahgunaan informasi (menjual, memberikan) yang dilakukan oleh yang memiliki hak akses sah. Pengendalian akses dan wewenang harus dapat memberikan keyakinan yang memadai bahwa setiap pengguna atau pengelola sistem informasi akuntansi tidak memiliki akses dan wewenang penuh terhadap suatu transaksi atau proses bisnis. Pengendalian dapat dilakukan dengan menerapkan pengawasan terhadap fungsi fungsi seperti di bawah ini pada suatu transaksi atau proses bisnis. Gambar III.4 Pemisahan Kekuasaan (segregations of duties) (Perelsona dkk, 2001). Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen 57
21 pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian Terdapat kebijakan dan standar yang mengatur mekanisme pemberian dan pencabutan akses dan wewenang pada sistem informasi akuntansi. b. Penilaian Risiko Pemberian akses dan wewenang dilakukan berdasarkan analisa risiko untuk mencegah terjadinya penyalahgunaan wewenang atau untuk menghindari terjadinya konflik kepentingan. c. Aktivitas Pengendalian Kebijakan atau standar pengendalian akses dan wewenang haruslah mengatur bagaimana prosedur yang harus dilalui, bagian yang melakukan dan pejabat yang mengotorisasi setiap pemberian dan pencabutan akses dan wewenang. d. Informasi dan Komunikasi terdapat jalur komunikasi antara bagian TI, keuangan dan SDM dalam mengatur pemberian akses dan wewenang pada sistem informasi akuntansi. e. Pengawasan Penggunaan akses dan wewenang oleh pengguna sistem informasi akuntansi senantiasa tercatat dan diawasi untuk menghindari terjadinya penyalahgunaan akses dan wewenang. 58
22 Tabel III.8 Maturity Level dari Pengendalian Akses Level 1 Level 2 Level 3 Control Environment Risk Assessment Control Activities Information & Communication Organisasi sudah mulai Penilaian risiko terkait Karena tidak didasarkan atas Informasi yang menyadari pentingnya dengan risiko dari analisa risiko maka penerapan berhubungan dengan pengendalian akses untuk penyalahgunaan akses dan pengendalian akses pada sistem pengendalian akses dan menghindari wewenang pada sistem informasi akuntansi masih wewenang belum dapat penyalahgunaan akses dan informasi akuntansi belum terbatas berdasarkan inisiatif dikomunikasikan dengan wewenang pada sistem dilakukan secara formal. analis\pengembang sistem baik karena pelaksanaan informasi akuntansi. informasi akuntansi. pengendalian akses dan wewenang masih bersifat Organisasi mulai memahami pentingnya pengendalian akses. standar dan prosedur pengendalian akses telah dibuat meskipun belum mencakup seluruh tujuan pengendalian (control objective) pengendalian akses. Telah ada bagian\individu yang bertanggung jawab mengatur pengendalian akses dan wewenang pada sistem informasi akuntansi beserta sumber daya TI yang mendukungnya. Penilaian risiko secara formal terhadap penyalah gunakan akses dan wewenang mulai dilakukan. Meskipun demikian organisasi masih menganggap bahwa penyalahgunaan akses dan wewenang pada sistem informasi akuntansi semata mata merupakan masalah pada domain TI semata. Organisasi telah sadar akan besarnya dampak risiko yang ditimbulkan dari kesalahan akses pada sistem informasi akuntansi, penilaian risiko telah dilakukan untuk Pada tahap pengembangan sistem informasi akuntansi, pengendalian akses telah menjadi salah satu kebutuhan (requirements) selain kebutuhan fungsionalitas dari sistem informasi akuntansi. Pemberian akses dan wewenang pada sistem informasi akuntansi dilakukan berdasarkan prinsip prinsip akuntansi dengan tujuan untuk menghindari penyalahgunaan wewenang. intuitif. Informasi yang berhubungan dengan pengendalian akses telah didokumentasikan meskipun belum mencakup seluruh tujuan pengendalian (control objective) pengendalian akses. Standar dan prosedur pengendalian akses dan wewenang telah terdefinisi dengan baik akan tetapi ketersediaan Informasi untuk melakukan pengawasan Monitoring Pengawasan terhadap penggunaan password, akses dan wewenang serta pengendalian fisik sistem informasi akuntansi mulai dilakukan meskipun pelaksanaannya belum sepenuhnya mendapatkan dukungan dari organisasi. Pengawasan sudah mulai dilakukan secara terstruktur sesuai dengan standar/prosedur yang ada. Telah dilakukan mekanisme pengawasan pengendalian akses pada sistem informasi akuntansi, Pada saat ini mekanisme pengawasan masih dilakukan dengan semi-otomatis. 59
23 Level 4 Level 5 Koordinasi antara bagian IT, keuangan dan SDM dalam mengatur pengendalian akses pada sistem informasi akuntansi dan sumber daya TI yang mendukungnya telah mulai dibangun meskipun pelaksanaannya masih tumpang tindih. Koordinasi departemen TI, keuangan dan SDM dalam pemberian dan pengawasan akses dan wewenang yang ada pada sistem informasi akuntansi beserta sumber daya TI yang mendukungnya telah terjalin dengan baik di mana peran dan tanggung jawab tiap tiap departemen telah terdefinisi dengan baik. melihat dampak dari kesalahan akses pada integritas transaksi yang ada pada sistem informasi akuntansi Organisasi telah memiliki ukuran ukuran tertentu dalam melakukan penilaian risiko, ukuran ukuran tersebut berisikan pengukuran risiko kesalahan akses dilihat dari sudut pandang TI dan Akuntansi. Risiko dari penyalah gunakan akses dan wewenang pada sistem informasi akuntansi telah dikategorikan sebagai risiko yang dapat mengganggu integritas dari sistem informasi akuntansi. Setiap permohonan pengguna baru atau penambahan/pengurangan wewenang pada sistem informasi akuntansi dilakukan secara tertulis dan diotorisasi pelaksanaannya oleh yang berwenang. Proses pengendalian akses dan wewenang senantiasa dilakukan perbaikan menyesuaikan dengan perubahan kondisi internal dan eksternal (regulasi, standar akuntansi). masih belum tersedia dengan cepat dan terstruktur. Telah dilakukan pencatatan perilaku akses (profile) yang dilakukan untuk mendukung proses pengawasan dan penyidikan.. Informasi yang dibutuhkan untuk melakukan pengawasan telah terdefinisi dengan baik dan didistribusikan dengan cepat kepada yang membutuhkannya. Hasil dari pencatatan tersebut kemudian dianalisa secara otomatis atau manual untuk mengetahui\mencegah apabila terjadi penyalahgunaan akses atau wewenang. Pengawasan akses dan wewenang dilakukan bersama sama antara departemen TI, departemen keuangan dan SDM. Proses pengawasan yang bersifat otomatis diimbangi dengan pengawasan manual (audit) yang telah dilakukan terkoordinasi dengan proses audit organisasi secara menyeluruh. 60
24 Pada sistem informasi akuntansi terdapat dua lingkungan pengendalian akses dan wewenang yang harus dikendalikan, kedua pengendalian akses dan wewenang tersebut adalah pengendalian akses dan wewenang yang bersifat logika dan pengendalian akses dan wewenang yang bersifat fisik. Pengendalian logika pada sistem informasi akuntansi bertujuan untuk membatasi akses dan wewenang pengguna sistem informasi akuntansi dalam menjalankan pekerjaan\tugas sehari harinya. Sedangkan pengendalian fisik lebih ditujukan kepada pengelola layanan sistem informasi akuntansi agar dalam pengelolaan layanan sistem informasi akuntansi tidak merusak integritas data dan layanan yang terdapat pada sistem informasi akuntansi. Tabel III.9 Tujuan Pengendalian Tatakelola Peran dan Tanggung Jawab Komponen Penilaian Risiko Lingkungan Pengendalian Aktivitas Pengendalian internal Informasi & Komunikasi Pengawasan Tatakelola Peran dan Tanggung Jawab a. Risiko yang terkait langsung dengan peran dan wewenang pada transaksi transaksi penting. b. Penilaian risiko terhadap wewenang dan peran yang telah diberikan. a. Terdapat prosedur Pemberian & Pencabutan akses dan wewenang. b. Ada bagian\individu yang mengawasi dan mengotorisasi setiap peran & tanggung jawab yang ada pada sistem informasi akuntansi dan sumber daya TI yang mendukungnya. a. Setiap ada permohonan terhadap akses dan wewenang dilakukan secara tertulis dan diotorisasi. b. Dilakukan pencatatan untuk setiap kegiatan dari pengguna sistem informasi. a. Koordinasi dengan bagian SDM apabila ada pegawai yang baru masuk, keluar, pindah divisi atau mendapatkan promosi. a. Dilakukan pengawasan terhadap setiap transaksi pada sistem informasi akuntansi terutama yang berhubungan dengan transaksi dan rekening penting. Tabel III.10 Tujuan Pengendalian Tatakeloa Password Komponen Penilaian Risiko Lingkungan Pengendalian Pengendalian Tatakelola Password a. Risiko yang terkait langsung dengan akses terhadap transaksi yang berhubungan langsung dengan rekening penting. a. Memiliki standar dari penggunaan password. 61
25 Aktivitas Pengendalian internal Informasi & Komunikasi Pengawasan a. Mengatur penggunaan password seperti panjang minimal, kombinasi, dan sebagainya. b. Secara otomatis sistem menolak penggunaan password yang tidak sesuai dengan standar. a. Senantiasa diberikan penyuluhan terkait dengan akibat yang mungkin terjadi apabila menggunakan password yang tidak aman. b. Pengguna diinformasikan apabila password yang digunakan tidak diganti untuk jangka waktu tertentu. a. Pengawasan penggunaan password dilakukan secara otomatis untuk menghindari penyalahgunaan. Tabel III.11 Tujuan Pengendalian Keamanan Fisik Komponen Penilaian Risiko Lingkungan Pengendalian Aktivitas Pengendalian internal Informasi & Komunikasi Keamanan Fisik a. Identifikasi terhadap sumber daya TI yang rawan dan memiliki hubungan dengan rekening dan transaksi penting. b. Menilai kondisi lingkungan sekitar dari sumber daya teknologi informasi yang digunakan oleh sistem informasi akuntansi. a. Terdapat prosedur yang menjelaskan siapa saja yang dapat mengakses fisik dari sistem informasi akuntansi. b. Standar keamanan fisik yang digunakan dalam menjaga fisik dari sistem informasi akuntansi. a. Dilakukan pencatatan setiap individu yang mengakses perangkat keras sistem informasi akuntansi, b. Terdapat perlindungan dari gangguan yang disebabkan oleh lingkungan seperti kebakaran, banjir dan sebagainya. a. Setiap kejadian yang mangganggu keamanan fisik dicatat dan dilaporkan. b. Dilakukan koordinasi dengan bagian keamanan gedung untuk bersama sama menjalankan keamanan fisik. Pengawasan a. Dilakukan audit untuk menilai pelaksanaan keamanan fisik. b. Informasi tentang status keamanan fisik tersedia secara realtime. 62
26 III.5.2 Analisa Kebutuhan Pengendalian Keamanan Jaringan Sistem informasi akuntansi merupakan sistem multi pengguna (multi user) yang menggunakan media komunikasi elektronik. Penggunaan internet dan protokol TCP/IP memungkinkan pengguna saling berinteraksi sesuai dengan peran dan tanggung jawab yang dimilikinya. Terlepas dari segala kemudahan yang ditawarkannya, penggunaan jaringan harus mendapatkan perhatian lebih karena jaringan merupakan pintu utama dan juga pertahanan pertama sistem informasi akuntansi. Risiko bawaan dari penggunaan jaringan seperti pencurian\manipulasi data, usaha - usaha sabotase terhadap sistem dan ancaman - ancaman lainnya harus mendapatkan perhatian karena dapat mempengaruhi integritas dari informasi yang terdapat pada sistem informasi akuntansi. Tabel III.12 Risiko dari Penggunaan Jaringan Risiko dari Jenis Risiko Contoh Risiko Keamanan Jaringan Inherent Risk 1. Sabotase Terhadap Jaringan. 2. Akses yang tidak sah melalui akses jarak jauh. 3. Pencurian atau manipulasi data melalui jaringan Control Risk 1. Sabotase terhadap jaringan masih dapat dilakukan karena administrator lalai melakukan perbaikan (patch). 2. Pemberian hak akses yang sah kepada pihak ketiga. 3. Pencurian atau manipulasi yang dilakukan oleh administrator jaringan. Pengendalian keamanan jaringan harus dapat memberikan keyakinan yang memadai bahwa penggunaan jaringan tidak mengganggu integritas dan ketersediaan layanan sistem informasi akuntansi. Terdapat berbagai macam cara untuk menerapkan pengendalian keamanan jaringan, beberapa cara yang idalam adalah dengan menerapkan : mekanisme otentifikasi, firewall, enkripsi dan sebagainya. 63
27 Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian keamanan jaringan dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian Terdapat dukungan dari pihak manajemen untuk melindungi integritas dan kelangsungan layanan sistem informasi akuntansi dari gangguan gangguan yang berasal dari luar organisasi, b. Penilaian Risiko Penilaian risiko tidak dilakukan hanya terfokus pada infrastruktur jaringan sistem informasi akuntansi, penilaian risiko dilakukan juga terhadap aspek non teknis seperti kesiapan\pemahaman penggunan sistem informasi akuntansi terkait dengan keamanan informasi. c. Aktivitas Pengendalian Terdapat mekanisme otentifikasi yang handal dalam penggunaan akses jarak jauh sistem informasi akuntansi. Komunikasi elektronik dari antara sistem dan pengguna dilakukan secara terkunci (encryption) sesuai dengan standar keamanan elektronik yang dimiliki organisasi. d. Informasi dan Komunikasi Pengembang, departemen TI dan departemen keuangan saling berkomunikasi menentukan mekanisme pengendalian komunikasi dan akses jarak jauh. Pengguna sistem informasi akuntansi senantiasa diberikan pelatihan\informasi terkait dengan praktek praktek keamanan akses jarak jauh. e. Pengawasan Dilakukan pengawasan dan pencatatan terhadap usaha usaha sabotase sistem informasi akuntansi yang berasal dari jaringan. Pengawasan sebaiknya dilakukan secara otomatis seperti dengan menggunakan intrusion detection system (IDS). 64
28 Tabel III.13 Maturity Level Keamanan Jaringan Lv Control Objective Risk Assessment Control Activities Information and Communication 1 Mulai terbentuknya pemahaman Penilaian risiko dari keamanan jaringan Pelaksanaan pengendalian Komunikasi terkait dengan akan pentingnya penerapan telah mulai dilakukan meskipun keamanan jaringan telah keamanan jaringan mulai terbentuk pengendalian keamanan jaringan pelaksanaannya tidak menyeluruh dan diterapkan tetapi masih bersifat tetapi tidak ada tindak lanjut dari pada organisasi. berkesinambungan. khusus. komunikasi tersebut karena tidak jelasnya mekanisme pengendalian 2 Telah ada yang bertanggung jawab dan mengatur pelaksanaan pengendalian keamanan jaringan. 3 Organisasi telah memiliki standar dan prosedur yang mengatur keamanan komunikasi dan mekanisme akses jarak jauh. 4 Telah dibentuknya tim keamanan jaringan yang berisikan gabungan antara departemen TI dan departemen Keuangan. Tugas dari tim tersebut adalah mengawasi dan merancang kebijaksanaan keamanan jaringan. 5 Manajemen telah dapat memastikan bahwa kegagalan keamanan jaringan tidak akan mengganggu operasional dari sistem informasi akuntansi. Telah dilakukan penilaian risiko terhadap keamanan jaringan pada sistem informasi akuntansi meskipun pelaksanaannya masih terfokus hanya terhadap kondisi infrastruktur jaringan. Manajemen telah sadar akan risiko yang ditimbulkan dari penggunaan media komunikasi elektronik, penilaian risiko telah dilakukan dengan menggabungkan antara aspek teknis (infrastruktur jaringan) dan non teknis (nilai data). Penilaian risiko telah dilakukan dengan terencana mencakup hampir sebagian besar infrastruktur jaringan yang ada, penilaian risiko secara rutin dilakukan dan dilakukan berdasarkan standar/framework tertentu. Tes dan penilaian risiko yang bersifat global telah dilakukan dimana hasil dari tes tersebut dijadikan masukan untuk melakukan perbaikan pengendalian keamanan jaringan. Pelaporan masih bersifat asal asalan, tidak lengkap dan masih terfokus kepada masalah teknis semata. Standar dan prosedur pengendalian keamanan jaringan telah mulai diimplementasikan tetapi belum dilakukan pengukuran. Telah dibuat Target dan matris keamanan jaringan akan tetapi proses pelaksanaan dan pengukuran belum dilakukan dengan konsisten. Point point dari kebijaksanaan keamanan jaringan telah dilakukan sepenuhnya dan secara berkala dilakukan pembandingan (benchmark) dengan pihak luar. keamanan jaringan. Dokumentasi dari pengendalian keamanan jaringan masih sulit untuk ditemukan. Standar dan prosedur keamanan jaringan telah didokumentasikan berdasarkan kebutuhan pengendalian internal pada sistem informasi akuntansi. Manajemen senantiasa mengomunikasikan program program keamanan jaringan baik dengan cara pembuatan pamflet/buletin atau dengan melakukan pelatihan. Pelatihan formal tentang pengendalian keamanan jaringan telah senantiasa dilakukan, informasi yang berhubungan dengan kondisi keamanan jaringan telah tersedia secara real time. Monitoring Respons terhadap gangguan keamanan jaringan masih bersifat reaktif. Pengawasan hanya berdasarkan laporan yang ada tidak dilakukan secara real time. Pengawasan terhadap kejadian (incident) keamanan jaringan telah mulai dilakukan secara real time. Pengawasan terhadap keamanan jaringan telah dilakukan menggunakan ukuran ukuran tertentu yang dapat menggambarkan kondisi keadaan keamanan jaringan saat ini. Target dan metrik telah dilakukan penilaian dan pengukuran dengan konsisten. 65
29 Sistem informasi akuntansi harus dilindungi dari ancaman ancaman yang dilakukan melalui media jaringan (network). Salah satu cara yang dapat dilakukan adalah dengan membatasi akses langsung terhadap sistem. Untuk menghindari pencurian dan manipulasi data yang ditransmisikan melalui jaringan, data yang ditransmisikan wajib dilakukan encryption. Sebisa mungkin sistem informasi akuntansi tidak dapat diakses oleh jaringan publik, apabila hal ini tidak dapat dihindarkan maka penggunaan virtual private network harus dilakukan sesuai dengan kebijakan keamanan komunikasi dan kebijakan akses jarak jauh. Tabel III.14 Tujuan Pengendalian Keamanan Komunikasi Komponen Pengendalian Keamanan Komunikasi Penilaian Risiko a. Terdapat standar yang mengatur pelaksanaan keamanan komunikasi melalui jaringan elektronik. b. Terdapat bagian\individu yang bertugas mengawasi dan menjalankan pengendalian keamanan komunikasi. Lingkungan a. Penerapan keamanan komunikasi didasari atas hasil Pengendalian analisa risiko penggunaan media komunikasi elektronik. b. Aktivitas pengendalian keamanan komunikasi dilakukan berdasarkan analisa risiko terhadap Aktivitas Pengendalian internal Informasi & Komunikasi informasi informasi yang melalui media elektronik. a. Setiap data yang melalui media komunikasi elektronik telah dienkripsi. b. Keamanan komunikasi pada sistem informasi akuntansi telah dimasukkan ke dalam salah satu kebutuhan (requerment) dari pembangunan arsitektur keamanan jaringan. a. Setiap kejadian yang berhubungan dengan keamanan komunikasi elektronik tercatat dan dikomunikasikan kepada manajemen. Pengawasan a. Pengawasan terhadap pelaksanaan keamanan komunikasi dilakukan secara manual melalui audit dan juga dilakukan secara otomatis melalui penggunaan perkakas elektronik. Tabel III.15 Tujuan Pengendalian Akses Jarak Jauh Komponen Penilaian Risiko Pengendalian Akses jarak jauh a. Telah tersedia prosedur dan standar yang mengatur akses jarak jauh pada sistem informasi akuntansi. b. Telah tersedia standar\tatacara penggunaan sistem 66
30 Lingkungan Pengendalian Aktivitas Pengendalian internal Informasi & Komunikasi Pengawasan informasi akuntansi yang dilakukan melalui akses jarak jauh. a. Pelaksanaan dari layanan akses jarak jauh pada sistem informasi akuntansi dilakukan berdasarkan penilaian risiko yang dapat mengganggu integritas dari sistem informasi akuntansi. a. Terdapat mekanisme otentifikasi dan otorisasi khusus untuk menangani penggunaan akses jarak jauh pada sistem informasi akuntansi. a. Setiap usaha sabotase\akases tidak sah pada sistem informasi akuntansi yang dilakukan melalui akses jarak jauh dilakukan dokumentasi dan dikomunikasikan agar dapat dicari solusinya. a. Setiap akses jarak jauh dicatat dan dianalisa kewajarannya. III.5.3 Analisa Kebutuhan Pengendalian Kelangsungan layanan Sistem Informasi Akuntansi Tidak ada tempat di dunia ini yang bebas dari risiko\bencana, pengelolaan sistem informasi akuntansi harus memperhitungkan kemungkinan terjadinya bencana, baik yang disebabkan oleh alam ataupun manusia. Pasca terjadinya bencana pengelola sistem informasi akuntansi harus dapat mengembalikan kondisi dari informasi atau data yang terdapat pada sistem informasi akuntansi sedekat mungkin dengan informasi atau data sebelum terjadinya bencana. Pada saat perbaikan harus diperhatikan integritas dari informasi atau data seperti kebenaran, kelengkapan, waktu dan yang melaksanakannya. Proses perbaikan pasca terjadinya bencana membawa beberapa risiko bawaan seperti ketidak siapan sarana dan prasarana cadangan, rusaknya media penyimpanan cadangan (backup), risiko risiko bawaan ini harus dikelola dengan baik untuk mencegah hilangnya integritas dari data atau informasi pasca terjadinya bencana. Pengendalian kelangsungan layanan sistem informasi akuntansi harus dapat memberikan keyakinan yang memadai bahwa pasca terjadinya bencana data atau informasi yang terdapat pada sistem informasi dapat diperbaiki mendekati kondisi pasca terjadinya bencana, serta kehilangan data dapat teridentifikasi dan diperbaiki dengan sebaik baiknya. Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan 67
31 mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian Kelangsungan layanan sistem informasi akuntansi telah dianggap sebagai salah satu risiko yang dapat mengganggu integritas dari informasi keuangan. b. Penilaian Risiko Dilakukan penilaian risiko dari kelangsungan layanan sistem informasi akuntansi melalui penilaian akibatnya terhadap bisnis (business impact assessment) dan penilaian kelemahan (vulnerability assessment). c. Aktivitas Pengendalian Organisasi memiliki rencana kelangsungan layanan sistem informasi akuntansi beserta rencana perbaikan pasca bencana (disaster recovery plan). d. Informasi dan Komunikasi Telah terdefinisi jalur komunikasi pasca terjadinya bencana e. Pengawasan Dilakukan penilaian atau audit terhadap kesiapan perangkat dan petugas dalam menghadapi kejadian kejadian yang dapat mengganggu layanan sistem informasi akuntansi. Patuh terhadap SOX bagian 404 mengharuskan organisasi untuk dapat menjamin data atau informasi yang terdapat pada sistem informasi akuntansi tetap benar meskipun terjadi bencana atau musibah. Dalam prosesnya organisasi perlu untuk mengidentifikasi dan mendokumentasikan seluruh transaksi dan proses bisnis yang ada pada sistem informasi akuntansi. Dalam prakteknya rencana kelangsungan layanan sistem informasi akuntansi dibangun berdasarkan : a. Penilaian risiko (risk assessments) identifikasi dan evaluasi ancaman dan kelemahan yang dapat mengakibatkan terhambat\terganggu layanan sistem informasi akuntansi. b. Analisa dampak bisnis (Business Impact Analysis) mengevaluasi dan memperkirakan dampak risiko terhadap kelangsungan bisnis. c. Strategy and Plan Development: Synthesize Risk Assessment dan Business Impact Analysis. 68
32 Tabel III.16 Maturity Level Kelangsungan Layanan Sistem Informasi Lv Control Environment Risk Assessment Control Activities Information & Communication Monitoring 1 Manajemen mulai membicarakan dan membahas bentuk dari kelangsungan layanan sistem informasi akuntansi. 2 Manajemen telah sadar akan pentingnya kelangsungan layanan sistem informasi akuntansi. Telah mulai dibuat standar atau prosedur untuk menunjang kelangsungan layanan sistem informasi akuntansi. 3 Telah ada yang bertanggung jawab dan memelihara kelangsungan layanan sistem informasi akuntansi. 4 Telah terjadi koordinasi antara departemen TI dan departemen Keuangan untuk menjalankan dan memelihara rencana kelangsungan layanan sistem informasi akuntansi. Penilaian risiko terhadap kelangsungan layanan sistem informasi akuntansi telah dilakukan tetapi masih berasal dari inisiatif perorangan. Secara berkala telah dilakukan pengujian dan pelaporan terhadap kesiapan keberlangsungan layanan sistem informasi akuntansi. Pemeliharaan rencana kelangsungan layanan sistem informasi akuntansi dilakukan berdasarkan hasil tes dan penilaian risiko. Rencana kelangsungan layanan sistem informasi akuntansi telah dibuat dan dirawat berdasarkan analisa akibat terhadap bisnis (business impact analysis). Tanggung jawab kelangsungan layanan masih diterapkan secara informal dan wewenang yang dimiliki masih terbatas. Telah dibuat Rencana kelangsungan layanan sistem informasi akuntansi, akan tatapi pelaksanaannya masih tergantung pada individu individu tertentu. Telah tersedia peralatan peralatan untuk menghadapi keadaan darurat sesuai dengan apa yang terdapat pada rencana kelangsungan bisnis Kejadian yang menyebabkan terhentinya layanan telah diklasifikasikan dan penyebabnya telah dipelajari agar tidak terulang kembali, organisasi telah memiliki lokasi alternatif untuk menjalankan sistem informasi akuntansi. Komunikasi yang terkait dengan kelangsungan layanan sistem informasi akuntansi mulai terbentuk tetapi tidak jelas tindak lanjut dari komunikasi tersebut. Dokumen Kelangsungan layanan belum tersedia seluruhnya, meskipun telah ada komitmen untuk memberikan layanan di saat darurat. Telah ada rencana Kelangsungan layanan sistem informasi akuntansi yang dibuat berdasarkan kegentingan dari layanan akuntansi dan akibat terhadap bisnis secara menyeluruh. Pelatihan formal telah dilakukan untuk mendukung keberlangsungan layanan sistem informasi akuntansi. Pengawasan akan kelangsungan layanan telah dilakukan tetapi masih terbatas pada cara cara manual. Pelaporan masih bersifat sporadis, tidak menyeluruh dan belum ada analisa dampak terganggunya kelangsungan sistem informasi terhadap bisnis. Tujuan dan metrik untuk kelangsungan layanan telah dibuat akan tetapi pengukurannya dilakukan masih belum konsisten. Pengukuran Goal dan metrik untuk keberlangsungan layanan sistem informasi akuntansi telah dilakukan secara konsisten dan sistematik. 5 Kesadaran akan pentingnya kelangsungan layanan telah terbentuk, seluruh komponen organisasi telah mengerti akan peran dan tanggung jawabnya dalam melaksanakan rencana kelangsungan bisnis. Setiap proses perubahan pada sistem informasi akuntansi dilakukan dengan menyertakan analisa risiko dari perubahan tersebut, analisa risiko tersebut merupakan dasar dari perubahan rencana layanan kelangsungan sistem informasi akuntansi. Kelangsungan layanan sistem informasi akuntansi telah tereintegrasi dengan rencana kelangsungan layanan bisnis dan secara rutin dilakukan perawatan. Rantai komunikasi pasca terjadinya bencana telah terbentuk, dokumen SOP pasca terjadinya bencana telah terdistribusi kepada yang berkepentingan. Tes dan pelatihan telah dilakukan secara rutin dimana masukan dari kedua proses tersebut menjadi dasar untuk melakukan perbaikan. Pengawasan terhadap pengendalian kelangsungan layanan sistem informasi akuntansi telah dilakukan menyatu dengan pengawasan kelangsungan layanan bisnis organisasi. 69
33 Tabel III.17 Tujuan Pengendalian Kelangsungan Layanan dan Penilaian Risiko Komponen Penilaian Risiko Lingkungan Pengendalian Aktivitas Pengendalian internal Informasi & Komunikasi Pengawasan Pengendalian Kelangsungan Layanan dan Penilaian Risiko a. Penerapan pengendalian keberlangsungan layanan sistem informasi akuntansi dilakukan berdasarkan hasil dari analisa risiko terhadap komponen komponen sistem informasi akuntansi. a. Telah ada kebijaksanaan atau prosedur yang mengatur jalanya layanan sistem informasi akuntansi. a. Telah ada rencana kelangsungan layanan sistem informasi akuntansi di mana minimal berisikan panduan, peran dan tanggung jawab, prosedur serta mekanisme komunikasi. b. Dilakukan latihan secara berkala untuk melatih kesiapan apabila sewaktu waktu terjadi bencana terjadinya bencana. c. Organisasi telah memiliki lokasi alternatif (manusia & perangkat keras) untuk menjalankan layanan sistem informasi akuntansi. a. Secara terjadwal dilakukan pelaporan terhadap kondisi dan kesiapan dari peralatan darurat b. Setiap personel yang berperan dalam rencana kelangsungan bisnis telah memiliki standar operasional (Soft copy & hard copy) sesuai dengan perannya. a. Dilakukan pengecekan secara terjadwal untuk memastikan kondisi dari fasilitas cadangan agar sewaktu waktu apabila terjadi keadaan darurat peralatan tersebut dapat berfungsi dengan semestinya. Tabel III.18 Tujuan Pengendalian Pengujian, Pemeliharaan dan Penilaian ulang Rencana Kelangsungan Layanan Komponen Penilaian Risiko Lingkungan Pengendalian Aktivitas Pengendalian Pengujian, pemeliharaan dan Penilaian ulang Rencana Kelangsungan Layanan a. Rencana kelangsungan layanan sistem informasi akuntansi telah dibuat dan dirawat berdasarkan analisa akibat terhadap bisnis (business impact analysis). a. Organisasi menyadari bahwa rencana kelangsungan bisnis bukanlah merupakan suatu rencana yang bersifat statis sehingga harus senantiasa diperbaharui. a. Setiap perubahan pada sistem informasi akuntansi 70
34 Pengendalian internal Informasi & Komunikasi dilakukan dengan berkoordinasi untuk menjamin kelangsungan layanan sistem informasi akuntansi. b. Rencana kelangsungan bisnis senantiasa diperbaharui sejalan dengan hasil dari analisa risiko serta ketersediaan teknologi yang ada. a. Setiap perubahan dari rencana kelangsungan layanan sistem informasi akuntansi dikomunikasikan kepada pengguna sistem informasi akuntansi, sosialisasi dilakukan untuk memberitahukan perubahan yang terjadi. Pengawasan a. Dilakukan audit untuk menguji rencana kelangsungan layanan sistem informasi akuntansi. III.5.4 Analisa Kebutuhan Pengendalian Audit Sistem Informasi Akuntansi SOX mewajibkan manajemen\direksi untuk memberikan keyakinan yang memadai akan penempatan dan efektivitas dari pengendalian internal. Untuk organisasi yang menggunakan sistem informasi akuntansi, sebagian besar pengendalian internal yang diperlukan untuk menjamin penerapan dan efektivitas dari pengendalian internal berada pada layanan teknologi informasi. Oleh karena itu risiko kegagalan dari pengendalian internal pada sistem informasi akuntansi dapat sangat berpengaruh terhadap kebenaran, integritas dan ketersediaan data atau informasi transaksi keuangan. Audit sistem informasi akuntansi adalah suatu proses pemeriksaan terhadap keberadaan dan kinerja dari pengendalian internal. Proses dari audit sistem informasi akuntansi dilakukan dengan cara mengumpulkan data dan mengevaluasi bukti bukti dari pelaksanaan tatakelola, praktek dan operasional dari pengendalian internal. Kualitas hasil audit sangat tergantung pada bukti bukti urutan kejadian (chronological sequence) atau lebih dikenal juga dengan Audit Log. Audit Log mencatat siapa saja yang mengakses sistem informasi akuntansi dan apa saja yang dilakukannya dalam jangka waktu tertentu. Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : 71
35 a. Lingkungan Pengendalian Audit carter telah berisikan peran, wewenang dalam melakukan audit sistem informasi akuntansi, audit komite telah dibentuk untuk mengawasi jalannya proses audit sistem informasi akuntansi. b. Penilaian Risiko Dengan dimasukkannya audit sistem informasi akuntansi dalam audit carter berarti bahwa organisasi telah menempatkan risiko sistem informasi akuntansi pada tingkat organisasi. c. Aktivitas Pengendalian Proses audit dilakukan untuk menilai keberadaan, substansi dan kepatuhan dari pengendalian internal pada sistem informasi akuntansi d. Informasi dan Komunikasi Terdapat forum yang menjembatani komunikasi dan pertukaran informasi antara Pemilik proses dan auditor. Senantiasa dilakukan penyuluhan\pelatihan untuk menanamkan budaya-budaya yang mendukung penerapan pengendalian internal. e. Pengawasan Audit komite bertugas untuk menilai kewajaran dan akuntabilitas dari proses dan hasil audit. 72
36 Tabel III.19 Maturity Level Audit Sistem Informasi Akuntansi Lv Control Environment Risk Assessment Control Activities Information & Communication 1 Organisasi mulai menyadari Pelaksanaan Audit tidak didasari Proses audit terhadap Komunikasi dalam melakukan kebutuhan akan audit sistem atas hasil analisa risiko, sistem informasi akuntansi audit belum berjalan dengan baik informasi akuntansi, mulai pelaksanaan audit masih telah dilakukan tetapi meskipun telah ada kesadaran dikumpulkannya sumber daya yang dilakukan secara informal. masih merupakan inisiatif akan pentingnya audit sistem akan digunakan untuk melaksanakan dari perorangan (bukan informasi akuntansi. audit. tuntutan organisasi). 2 Organisasi telah memiliki bagian\individu yang bertugas untuk merencanakan dan menjalankan audit sistem informasi akuntansi. 3 Telah terbentuk audit komite yang mengontrol pelaksanaan audit sistem informasi akuntansi. 4 Komitmen dari organisasi untuk melakukan audit TI dengan sebaik baiknya ditindak lanjuti dengan dukungan keuangan, sumber daya manusia serta pemberian wewenang yang diperlukan mendukung dalam pelaksanaan audit sistem informasi akuntansi. 5 Telah terjadi koordinasi antara departemen TI, keuangan dan komite audit dalam merencanakan, membuat dan melaksanakan audit sistem informasi akuntansi. Hasil dari audit merupakan dasar manajemen untuk melakukan perbaikan penerapan pengendalian internal. Meskipun telah ada kesadaran akan risiko dari kegagalan audit teknologi informasi, rencana audit teknologi informasi belum membahas tentang kegagalan dari proses audit. Prioritas dari Pelaksanaan audit dilakukan terhadap bagian\komponen yang memiliki risiko tinggi, audit telah dianggap sebagai salah satu cara untuk mengurangi risiko. Telah dilakukan upaya upaya untuk memperkecil risiko kegagalan audit teknologi informasi, Salah satunya adalah dengan mendatangkan konsultan yang membantu merancang strategi perbaikan. Telah adanya ukuran ukuran yang menjelaskan tingkat kesulitan dan risiko dari proses audit, semakin tinggi kesulitan melakukan audit maka semakin besar sumber daya yang dikerahkan untuk melakukan audit tersebut. Proses audit telah dilakukan dengan terencana berdasarkan risiko risiko yang mungkin timbul dari penggunaan teknologi informasi. Proses Audit telah didukung melalui audit carter yang berisikan peran, wewenang dan tanggung jawab dalam melakukan audit sistem informasi akuntansi. Tatacara dan tujuan (objective) audit teknologi informasi telah terdokumentasi, tata cara tersebut telah berisikan ukuran dan tatacara pengukurannya. Proses audit teknologi informasi merupakan salah satu komponen penting dalam menunjang perbaikan organisasi secara menyeluruh. Peran, wewenang dan tanggung jawab dalam melakukan audit teknologi informasi pada sistem informasi akuntansi telah mulai dirumuskan dalam piagam audit (audit carter) meskipun belum lengkap dan terkadang tidak konsisten dalam pelaksanaannya. Pemilik proses telah diberikan penyuluhan/pelatihan tentang kepatuhan (compliance) dalam menjalankan proses yang menjadi tanggung jawabnya. Telah terjalin komunikasi antara internal auditor dan eksternal auditor dalam mengomunikasikan proses dan hasil audit sistem informasi akuntansi. Telah terjadi komunikasi dua arah antara pemilik proses dan auditor, perbaikan senantiasa dilakukan agar sesuai dengan kebutuhan bisnis dengan mengedepankan prinsip prinsip kepatuhan. Monitoring Belum adanya format standar pelaporan audit teknologi informasi, hal ini dikarenakan belum jelasnya standar dan prosedur audit sistem informasi akuntansi. Telah dilakukan pengawasan terhadap rencana dan proses audit sistem informasi akuntansi, pengawasan tersebut masih terbatas karena kurangnya wewenang. Telah ada dukungan langsung terhadap audit TI dengan dibentuknya komite audit yang mengawasi langsung jalannya proses audit teknologi informasi pada sistem informasi akuntansi. Audit komite telah berperan aktif dalam merencanakan, membuat, dan melaksanakan audit sistem informasi akuntansi. Hasil dari Audit sistem informasi akuntansi Telah menjadi salah satu komponen dalam audit sistem akuntansi, untuk industri industri tertentu audit sistem informasi akuntansi telah menjadi salah satu syarat yang harus dipenuhi. 73
37 Untuk menjamin keberlangsungan layanan sistem informasi akuntansi sebaiknya dilakukan audit terhadap seluruh komponen yang berinteraksi seperti peran dan tanggung jawab dalam penggunaan dan pengelolaan sistem informasi akuntansi, integritas dari proses proses yang ada pada sistem informasi akuntansi serta yang tidak kalah pentingnya adalah kualitas dari pengendalian internal yang ada didalamnya. Untuk memudahkan audit\pengawasan setiap kegiatan pada sistem informasi akuntansi sebaiknya dilakukan pencatatan. Pencatatan tersebut penting untuk mendeteksi kesalahan baik yang disengaja ataupun tidak disengaja. Tabel III.20 Tujuan Pengendalian Audit Sistem Informasi Akuntansi Komponen Penilaian Risiko Lingkungan Pengendalian Aktivitas Pengendalian internal Informasi & Komunikasi Pengawasan Pengendalian Audit Sistem Informasi Akuntansi a. Audit terhadap sistem informasi akuntansi telah menjadi bagian dalam pelaksanaan audit organisasi secara keseluruhan. b. Telah ada bagian khusus yang melaksanakan audit terhadap sistem informasi akuntansi dan layanan sumber daya TI yang digunakannya. a. Pelaksanaan audit diprioritaskan berdasarkan hasil dari analisa risiko untuk komponen komponen yang memiliki risiko tinggi. a. Terdapat audit carter yang berisikan peran, wewenang dan tanggung jawab dalam melakukan audit sistem informasi akuntansi. b. Proses audit terhadap sistem informasi akuntansi dan sumber daya TI telah dilakukan secara terjadwal. a. Hasil audit dikomunikasikan kepada manajemen, audit komite dan eksternal auditor a. Telah dibentuk audit komite yang khusus mengawasi pelaksanaan audit sistem informasi akuntansi. Tabel III.21 Tujuan Pengendalian Tatakelola Log File Komponen Pengendalian Tatakelola Log File Penilaian Risiko a. Manajemen menganggap penting pencatatan aktivitas pengguna sistem informasi akuntansi, pencatatan pada log file tidak lagi dianggap sebagai kegiatan yang tidak berguna. Lingkungan Pengendalian a. Prioritas pencatatan pada log file diprioritaskan untuk komponen komponen yang memiliki risiko tinggi berdasarkan hasil analisa risiko pada sistem informasi akuntansi. Aktivitas a. Setiap aktivitas yang berisiko mengganggu integritas 74
38 Pengendalian internal Informasi & Komunikasi Pengawasan dari sistem informasi akuntansi tercatat dan disimpan untuk jangka waktu tertentu. b. Log file disimpan untuk jangka waktu tertentu dan baru dapat Dihancurkan/dihapus apabila telah melewati jangka waktu tersebut. a. Hasil pencatatan aktivitas pengguna sistem informasi akuntansi dilaporkan secara berkala kepada bagian audit. a. Dilakukan pengawasan terhadap pencatatan aktivitas pengguna akses dan wewenang pada sistem informasi akuntansi untuk memastikan kesesuaian antara kegiatan yang tercatat dan aktivitas yang sebenarnya. III.5.5 Analisa Kebutuhan Pengendalian Pusat Data Setiap data data transaksi keuangan yang diproses oleh sistem informasi akuntansi akan disimpan di pusat data (data center). Bagi organisasi organisasi tertentu, pusat data atau lazim juga disebut data center berfungsi menyimpan perangkat keras (hardware) yang digunakan untuk memproses sistem informasi akuntansi. Penggunaan pusat data membawa risiko bawaan yang harus dikelola sebaik mungkin untuk menjamin ketersediaan dan integritas dari sistem informasi akuntansi. Sistem informasi akuntansi merupakan salah satu sistem informasi penting pada organisasi, organisasi yang tergantung pada sistem informasi akuntansi dalam memproses data data transaksi keuangan harus memperhatikan fasilitas dari pusat data untuk menjamin integritas dan kelangsungan layanan sistem informasi akuntansi. Uptime Institute mendefinisikan empat tingkatan dari pusat data. Empat tingkatan dari pusat data menurut Uptime Institute adalah : 1. Tier I Hanya memiliki satu jalur dari listrik, ventilasi dan pendingin. Tidak memiliki perangkat cadangan, memiliki tingkat ketersediaan %. 2. Tier II Hanya memiliki satu jalur dari listrik, ventilasi dan pendingin. Telah memiliki perangkat cadangan, memiliki tingkat ketersediaan %. 3. Tier III Telah memiliki lebih dari satu jalur listrik, ventilasi dan pendingin meskipun hanya satu yang aktif. Telah memiliki perangkat cadangan dan secara bersamaan dipelihara. Memiliki tingkat ketersediaan %. 4. Tier IV Telah memiliki lebih dari satu jalur listrik, ventilasi dan pendingin di mana kesemua jalur tersebut aktif dapat dipergunakan sewaktu waktu. 75
39 Telah memiliki perangkat cadangan dan dapat seketika menggantikan perangkat utama. Memiliki tingkat ketersediaan %. Gambar III.5 Keamanan Pusat Data (Davis, 2007) Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : f. Lingkungan Pengendalian Organisasi sebaiknya memiliki standar dan prosedur yang berkaitan dengan tatakelola pengendalian pusat data. Pusat data telah dianggap sebagai salah satu risiko yang dapat mengganggu integritas dari informasi keuangan. g. Penilaian Risiko Penerapan pengendalian didasarkan atas risiko yang mungkin dihadapi oleh komponen komponen pusat data. h. Aktivitas Pengendalian Dilakukan pengawasan terhadap kondisi lingkungan (suhu, kelembaban, curah hujan, dll) serta pasokan listrik dari pusat data. Proses backup sebaiknya telah dilakukan secara otomatis dan didistribusikan ke lebih dari satu tempat. i. Informasi dan Komunikasi Informasi tentang kondisi dari pusat data telah tersedia secara real time. Telah terbentuk jalur komunikasi untuk menghadapi gangguan yang mungkin terjadi. j. Pengawasan Dilakukan penilaian atau audit terhadap kesiapan perangkat dan petugas dalam menghadapi kejadian kejadian yang dapat mengganggu layanan sistem informasi akuntansi. 76
Perancangan dan Pengujian
BAB IV Perancangan dan Pengujian IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal Rekening & Transaksi Penting Sumber Daya TI & Pengendalian Internal Risiko Penilaian dan Perbaikan Identifikasi
BAB I Pendahuluan I.1 Latar Belakang
BAB I Pendahuluan I.1 Latar Belakang Pada tanggal 23 Januari 2002, kongres Amerika Serikat melakukan pengesahan terhadap Sarbanes-Oxley Act (SOX). Undang Undang tersebut bertujuan untuk melindungi investor
Dr. Imam Subaweh, SE., MM., Ak., CA
Dr. Imam Subaweh, SE., MM., Ak., CA Pengertian Pengendalian Internal Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang dirancang untuk memberikan manajemen kepastian yang layak bahwa
BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE
BAB 4 EVALUASI TERHADAP PENGENDALIAN SISTEM INFORMASI PELAYANAN PADA BENGKEL GAC AUTO SERVICE Pada bab ini akan dibahas mengenai temuan yang didapat setelah melakukan wawancara dan observasi, yang hasilnya
COSO ERM (Enterprise Risk Management)
Audit Internal (Pertemuan ke-4) Oleh: Bonny Adhisaputra & Herbayu Nugroho Sumber: Brink's Modern Internal Auditing 7 th Edition COSO ERM (Enterprise Risk Management) COSO Enterprise Risk Management adalah
BAB 1 PENDAHULUAN. Dengan adanya mobilitas fasilitas elektronik dan on-line menyebabkan setiap
BAB 1 PENDAHULUAN 1.1 Latar Belakang Kemajuan penggunaan teknologi informasi sekarang ini menuntut fasilitas yang serba elektronik dan on-line. Banyak hal yang ditawarkan dari fasilitas elektronik dan
INTEGRITAS DAN KEAMANAN DATA. Gentisya Tri Mardiani, S.Kom., M.Kom
INTEGRITAS DAN KEAMANAN DATA Gentisya Tri Mardiani, S.Kom., M.Kom Integritas Data Integritas data mengacu pada konsistensi dan akurasi data yang disimpan di dalam basis data. Batasan Integritas Data (Data
TUGAS E-LEARNING ADMINISTRASI BISNIS INTERNAL CONTROL
TUGAS E-LEARNING ADMINISTRASI BISNIS INTERNAL CONTROL OLEH: ERWIN FEBRIAN (14121005) PROGRAM STUDI SISTEM INFORMASI FAKULTAS TEKNOLOGI INFORMASI UNIVERSITAS MERCUBUANA YOGYAKARTA 2015 1 A. PENGENDALIAN
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Dalam pengukuran risiko yang dilakukan pada PT National Label, kami telah mengumpulkan dan mengolah data berdasarkan kuisioner
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Dalam pengukuran risiko yang dilakukan pada PT Informasi Komersial Bisnis, kami mengolah data berdasarkan wawancara kepada
Standar Audit SA 402. Pertimbangan Audit Terkait dengan Entitas yang Menggunakan Suatu Organisasi Jasa
SA 0 Pertimbangan Audit Terkait dengan Entitas yang Menggunakan Suatu Organisasi Jasa SA Paket 00.indb //0 0::0 AM STANDAR AUDIT 0 PERTIMBANGAN AUDIT TERKAIT DENGAN ENTITAS YANG MENGGUNAKAN SUATU ORGANISASI
BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto
BEST PRACTICES ITG di Perusahaan Titien S. Sukamto Beberapa Best Practices Guideline untuk Tata Kelola TI 1. ITIL (The Infrastructure Library) ITIL dikembangkan oleh The Office of Government Commerce (OGC),
Implementasi E-Bisnis e-security Concept And Aplication Part-11
Implementasi E-Bisnis e-security Concept And Aplication Part-11 Pendahuluan E-Business sistem alami memiliki risiko keamanan yang lebih besar daripada sistem bisnis tradisional, oleh karena itu penting
DAFTAR ISTILAH SISTEM APLIKASI PERBANKAN
HOME DAFTAR ISI DAFTAR ISTILAH SISTEM APLIKASI PERBANKAN Accuracy Audibilitas (audibility) Authorisation Availability Back Up data Check digit verification Completeness Control environment Control procedures
Cobit memiliki 4 Cakupan Domain : 1. Perencanaan dan Organisasi (Plan and organise)
COBIT Control Objective for Information and related Technology Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari ISACA (Information Systems Audit and Control Association)
BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER
BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER A. Sifat Audit Asosiasi akuntansi Amerika mendefinisikan auditing sebagai berikut : Auditing adalah sebuah proses sistemeatis untuk secara obyektif mendapatkan
BAB II TINJAUAN PUSTAKA. tujuan tertentu melalui tiga tahapan, yaitu input, proses, dan output. yang berfungsi dengan tujuan yang sama.
BAB II TINJAUAN PUSTAKA 2.1. Tinjauan Teoritis 2.1.1. Sistem Nugroho Widjajanto (2001:2) mengartikan sistem sebagai sesuatu yang memiliki bagian-bagian yang saling berinteraksi untuk mencapai tujuan tertentu
Pemodelan Framework Pengendalian Internal Pada Sistem Informasi Akuntansi (Studi Kasus: PT. Telekomunikasi Indonesia TBK) TESIS
Pemodelan Framework Pengendalian Internal Pada Sistem Informasi Akuntansi (Studi Kasus: PT. Telekomunikasi Indonesia TBK) TESIS Karya tulis sebagai salah satu syarat untuk memperoleh gelar Magister dari
AUDIT SISTEM INFORMASI BERBASIS KOMPUTER
AUDIT SISTEM INFORMASI BERBASIS KOMPUTER N. Tri Suswanto Saptadi 5/11/2016 nts/sia 1 Sifat Pemeriksaan Asosiasi akuntansi Amerika mendefinisikan auditing sebagai berikut : Auditing adalah sebuah proses
COBIT dalam Kaitannya dengan Trust Framework
COBIT dalam Kaitannya dengan Trust Framework A. Mengenai COBIT Remote devices adalah pengelolaan data menggunakan aplikasi, dimana data terletak pada server atau host. Di dalam remote device klien berkomunikasi
BAB IV PEMBAHASAN. fungsi penjualan pada PT.APTT. Dalam melaksanakan audit kecurangan, dilakukan
BAB IV PEMBAHASAN IV. Tahap-Tahap Audit Kecurangan IV.1. Perencanaan Audit Pada bab ini akan dijelaskan mengenai pelaksanaan audit kecurangan terhadap fungsi penjualan pada PT.APTT. Dalam melaksanakan
Menurut commitee of sponsoring organization (COSO) pengertian pengendalian internal dalam buku Sistem Informasi Akuntansi (Romney:230) adalah :
5 Komponen Sistem Pengendalian Internal Menurut COSO Menurut commitee of sponsoring organization (COSO) pengertian pengendalian internal dalam buku Sistem Informasi Akuntansi (Romney:230) adalah : Suatu
BAB IV PEMBAHASAN. Audit operasional dilaksanakan untuk menilai efisiensi, efektifitas dan
BAB IV PEMBAHASAN Audit operasional dilaksanakan untuk menilai efisiensi, efektifitas dan keekonomisan suatu perusahaan. Untuk memulai suatu pemeriksaan, seorang auditor harus terlebih dahulu mengadakan
STUDI PENERAPAN IT GOVERNANCE UNTUK MENUNJANG IMPLEMENTASI APLIKASI PENJUALAN DI PT MDP SALES
STUDI PENERAPAN IT GOVERNANCE UNTUK MENUNJANG IMPLEMENTASI APLIKASI PENJUALAN DI PT MDP SALES Dafid Sistem Informasi, STMIK GI MDP Jl Rajawali No.14 Palembang dafid@stmik-mdp.net Abstrak Layanan penjualan
Taryana Suryana. M.Kom
COBIT Control Objectives for Information & Related Technology Taryana Suryana. M.Kom E-mail:taryanarx@yahoo.com COBIT Control Objectives for Information and Related Technology (COBIT) dapat definisikan
BAB II LANDASAN TEORI Pengertian Sistem Pengendalian Intern. Sistem menurut James A Hall (2007: 32). Sistem adalah kelompok dari dua
11 BAB II LANDASAN TEORI 2.1. Sistem Pengendalian Intern 2.1.1. Pengertian Sistem Pengendalian Intern Sistem menurut James A Hall (2007: 32). Sistem adalah kelompok dari dua atau lebih komponen atau subsistem
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem IT dan internet, maka risiko dalam sistem-sistem
Manajemen Keamanan Informasi
RAPAT KERJA NASIONAL LPSE 2015 Manajemen Keamanan Informasi Dipaparkan oleh Lembaga Sandi Negara Jakarta, 11 November 2015 Definisi TIK Teknologi Informasi & Komunikasi Terdiri dari dua aspek yaitu Teknologi
BAB I PENDAHULUAN. I.1 Latar Belakang
BAB I PENDAHULUAN I.1 Latar Belakang Kehadiran teknologi informasi pada zaman sekarang telah menjadi hal mutlak bagi siapapun. Teknologi informasi menghadirkan pilihan bagi setiap orang untuk dapat terhubung
BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana
BAB 4 HASIL PENELITIAN DAN EVALUASI 4.1 Temuan dan Rekomendasi Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang terdapat dalam OCTAVE-S yang meliputi : 1. Kesadaran keamanan dan pelatihan
Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat
L1 Lampiran Checklist Pengendalian Manajemen Operasional No. Pertanyaan Y T Keterangan 1 Apakah terhadap seluruh operasi komputer telah dilakukan penjadwalan sehingga dapat diselesaikan tepat waktu dan
BERITA NEGARA REPUBLIK INDONESIA
No.955, 2012 BERITA NEGARA REPUBLIK INDONESIA PUSAT PELAPORAN DAN ANALISIS TRANSAKSI KEUANGAN. Sistem Pengendalian Intern Pemerintah. Pedoman. PERATURAN KEPALA PUSAT PELAPORAN DAN ANALISIS TRANSAKSI KEUANGAN
BAB II TINJAUAN PUSTAKA
BAB II TINJAUAN PUSTAKA 2.1 Pengertian Auditing Auditing merupakan ilmu yang digunakan untuk melakukan penilaian terhadap pengendalian intern dimana bertujuan untuk memberikan perlindungan dan pengamanan
DAFTAR ISI CHAPTER 5
DAFTAR ISI DAFTAR ISI 2 CHAPTER 5 ANOTHER INTERNAL CONTROL FRAMEWORK : CobiT 5.1 Pengantar COBIT... 3 5.2 Kerangka COBIT 4 5.3 Menggunakan COBIT untuk Menilai Pengendalian Intern... 6 5.4 Langkah-langkah
2/5/2015. Internal Control Concepts. CDG4I3 / Audit Sistem Informasi. Angelina Prima K Gede Ary W. KK SIDE Overview
Internal Control Concepts CDG4I3 / Audit Sistem Informasi Angelina Prima K Gede Ary W. KK SIDE - 2014 Overview 1. Definition 2. Systems of Internal Control 3. Elements of Internal Control 4. Control Objectives
HASIL DAN PEMBAHASAN. Langkah awal dalam tahap perencanaan audit sistem informasi menghasilkan
BAB IV HASIL DAN PEMBAHASAN 4.1 Hasil Perencanaan Audit Sistem Informasi Langkah awal dalam tahap perencanaan audit sistem informasi menghasilkan beberapa tahap perencanaan audit. Hasil perencanaan audit
DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah
DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI PENJUALAN DENGAN MENGGUNAKAN FRAMEWORK COBIT Studi Kasus Pada PT. COCA-COLA BOTTLING INDONESIA UNIT JATENG AI1 : Identify Automated Solutions 1. Apakah
BAB V SIMPULAN, IMPLIKASI, SARAN, DAN KETERBATASAN PENELITIAN
BAB V SIMPULAN, IMPLIKASI, SARAN, DAN KETERBATASAN PENELITIAN 5.1 Simpulan Dari hasil analisis data dan pembahasan dari bab sebelumnya mengenai kajian peran audit internal dan pengaruhnya terhadap efektivitas
PASAL DEMI PASAL. Pasal 1 Cukup jelas.
PENJELASAN ATAS PERATURAN OTORITAS JASA KEUANGAN NOMOR 75 /POJK.03/2016 TENTANG STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH I. UMUM Peran
PERATURAN BUPATI SUKOHARJO NOMOR : 54 TAHUN 2010 TENTANG
PERATURAN BUPATI SUKOHARJO NOMOR : 54 TAHUN 2010 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH DI LINGKUNGAN PEMERINTAH KABUPATEN SUKOHARJO DENGAN RAHMAT TUHAN YANG MAHA ESA BUPATI SUKOHARJO,
BAB I PENDAHULUAN. menjaga aset perusahaan dari kemungkinan-kemungkinan yang tidak. diinginkan, seperti penyalahgunaan aset ataupun pencurian aset.
BAB I PENDAHULUAN 1.1. Latar Belakang Masalah Pengendalian internal merupakan bagian yang tidak dapat dipisahkan dan akan selalu dibutuhkan oleh sebuah organisasi dalam rangka mencapai tujuan. Risiko-risiko
PANDUAN AUDIT SISTEM INFORMASI
PANDUAN AUDIT SISTEM INFORMASI N. Tri Suswanto Saptadi POKOK BAHASAN 1. Pengertian Pengendalian Internal. 2. Metodologi Audit. 3. Jenis jenis Prosedur Audit. 4. Lapisan Pengendali Aplikasi. 5. Resiko Sistem
DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)
LAMPIRAN 119 120 DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT) Studi Kasus Pada PT. SURYA RENGO CONTAINERS - DEMAK NAMA RESPONDEN
BAB 4 PEMBAHASAN. Sebuah perusahaan dalam pelaksanaan kegiatan operasionalnya harus memiliki
BAB 4 PEMBAHASAN Sebuah perusahaan dalam pelaksanaan kegiatan operasionalnya harus memiliki pengendalian internal yang memadai, terutama pada siklus pendapatannya. Siklus pendapatan terdiri dari kegiatan
BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah
BAB I PENDAHULUAN 1.1 Latar Belakang Masalah Kehidupan sosial selalu mengalami perubahan dan perkembangan. Salah satunya perkembangan dalam bidang teknologi dan informasi. Semakin banyak teknologi yang
PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )
Media Indormatika Vol. 8 No. 3 (2009) PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A ) Hartanto Sekolah Tinggi
Tulis yang Anda lewati, Lewati yang Anda tulis..
Tulis yang Anda lewati, Lewati yang Anda tulis.. Penyelenggaraan LPSE Undang-Undang Republik Indonesia No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik Undang-Undang Republik Indonesia No.
BUPATI GARUT DENGAN RAHMAT TUHAN YANG MAHA ESA
BUPATI GARUT P E R A T U R A N B U P A T I G A R U T NOMOR 504 TAHUN 2011 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH (SPIP) DI LINGKUNGAN PEMERINTAH DAERAH KABUPATEN GARUT DENGAN RAHMAT
BAB IV PEMBAHASAN. IV.1. Tahap Penelitian. Tahapan penelitian dibagi menjadi beberapa bagian yaitu: a. Tahap Pendahuluan
BAB IV PEMBAHASAN IV.1. Tahap Penelitian Tahapan penelitian dibagi menjadi beberapa bagian yaitu: a. Tahap Pendahuluan Pada tahap ini dikumpulkan informasi mengenai sistem pembelian dan pengelolaan persediaan
1.1 Latar Belakang Masalah
BAB 1. PENDAHULUAN 1.1 Latar Belakang Masalah Hotel X merupakan hotel berbintang empat yang berada di kawasan bisnis dan pertokoan di kota Pekanbaru dan berdiri pada tanggal 26 Desember 2005 di bawah manajemen
Nama : Putri Syaharatul Aini Nim : Uas : Sistem Informasi Akuntansi Soal : ganjil
Nama : Putri Syaharatul Aini Nim : 120462201017 Uas : Sistem Informasi Akuntansi Soal : ganjil 1. Pada dasarnya definisi audit manual dan audit EDP tidak ada perbedaan secara khusus dimana batasan batasan
ANALISIS TATA KELOLA TEKNOLOGI INFORMASI PADA BAGIAN LOGISTIK PERGURUAN TINGGI (STUDI KASUS: UKSW SALATIGA)
ANALISIS TATA KELOLA TEKNOLOGI INFORMASI PADA BAGIAN LOGISTIK PERGURUAN TINGGI (STUDI KASUS: UKSW SALATIGA) Imanuel Susanto 1, Agustinus Fritz Wijaya 2, Andeka Rocky Tanaamah 3 1,2,3 Program Studi Sistem
LAMPIRAN SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 35 /SEOJK.03/2017 TENTANG PEDOMAN STANDAR SISTEM PENGENDALIAN INTERN BAGI BANK UMUM
LAMPIRAN SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 35 /SEOJK.03/2017 TENTANG PEDOMAN STANDAR SISTEM PENGENDALIAN INTERN BAGI BANK UMUM - 1 - DAFTAR ISI I. LATAR BELAKANG... 2 II. RUANG LINGKUP SISTEM PENGENDALIAN
Audit Teknologi Sistem Informasi. Pertemuan 1 Pengantar Audit Teknologi Sistem Informasi
Audit Teknologi Sistem Informasi Pertemuan 1 Pengantar Audit Teknologi Sistem Informasi CAPAIAN PEMBELAJARAN Sikap Ketrampilan Umum Pengetahuan Ketrampilan Khusus Mampu menunjukkan kinerja mandiri, bermutu
I. BAB I PENDAHULUAN I.1 Latar Belakang
I. BAB I PENDAHULUAN I.1 Latar Belakang Teknologi informasi (TI) dalam perusahaan saat ini tidak lagi dipandang hanya sebagai penyedia layanan saja, tetapi lebih jauh lagi penerapan teknologi informasi
PENGENDALIAN INTERN 1
PENGENDALIAN INTERN 1 Pengertian Pengendalian Intern Standar pekerjaan lapangan yang kedua (PSA No. 01 (SA 150)) menyebutkan Pemahaman memadai atas pengendalian intern harus diperoleh untuk merencanakan
Internal Control Framework: The COSO Standard
Audit Internal (Pertemuan ke-3) Oleh: Bonny Adhisaputra & Herbayu Nugroho Sumber: Brink's Modern Internal Auditing 7 th Edition Internal Control Framework: The COSO Standard Committee of Sponsoring Organizations
Konsep Dasar Audit Sistem Informasi
Konsep Dasar Audit Sistem Informasi Sifat Pemeriksaan Asosiasi akuntansi Amerika mendefinisikan auditing sebagai berikut : Auditing adalah sebuah proses sistemeatis untuk secara obyektif mendapatkan dan
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Dalam melakukan manajemen risiko pada PT Saga Machie, penulis mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan
PROTEKSI ASET INFORMASI ASIH ROHMANI,M.KOM
PROTEKSI ASET INFORMASI ASIH ROHMANI,M.KOM INTRODUCTION DEFINISI ASET INFORMASI Aset informasi adalah sesuatu yang terdefinisi dan terkelola sebagai satu unit informasi sehingga dapat dipahami, dibagi,
II. PERAN DAN TANGGUNG JAWAB DIREKSI
Yth. 1. Penyelenggara Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi; dan 2. Pengguna Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi, di tempat. SALINAN SURAT EDARAN OTORITAS JASA
Daftar Pertanyaan Penelitian. Berilah tanda (checklist) untuk menjawab pertanyaan berikut ini: KUESIONER VARIABEL INDEPENDEN (Pengendalian Internal)
Lampiran Daftar Pertanyaan Penelitian Bapak/Ibu yang terhormat, saya ingin mengetahui tentang Peranan Pengendalian Internal Gaji dan Upah dalam Menunjang Pembayaran Gaji dan Upah di PT Cibaligo Indah Untuk
Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan
Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan Control Objectives for Information and related Technology (COBIT) adalah seperangkat praktik terbaik (kerangka) untuk teknologi informasi
BUPATI CILACAP PERATURAN BUPATI CILACAP NOMOR 88 TAHUN 2013 TENTANG
BUPATI CILACAP PERATURAN BUPATI CILACAP NOMOR 88 TAHUN 2013 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH DI LINGKUNGAN PEMERINTAH KABUPATEN CILACAP DENGAN RAHMAT TUHAN YANG MAHA ESA BUPATI
Internal Audit Charter
SK No. 004/SK-BMD/ tgl. 26 Januari Pendahuluan Revisi --- 1 Internal Audit Charter Latar Belakang IAC (Internal Audit Charter) atau Piagam Internal Audit adalah sebuah kriteria atau landasan pelaksanaan
IV.1.1 Evaluasi Lingkungan Pengendalian ( Control Environment)
BAB IV PEMBAHASAN IV.1 Evaluasi Pengendalian Internal pada Pencatatan dan Pelaporan Keuangan Dalam pelaksaan kegiatan operasionalnya, perusahaan pusat harus memiliki pengendalian yang memadai terhadap
b. Pengendalian Komunikasi Data Review yang berkaitan dengan pengendalian komunikasi dapat diarahkan pada hal-hal berikut ini: a. Batches logging and
SOAL MODEL B Mata Kuliah : Sistem Informasi Akuntansi Prodi/Semester : Akuntansi / V (lima) Jumlah SKS : 3 SKS Dosen : Tumpal Manik, M.Si Jenjang/Prodi : S1 /Akuntansi 1. Pada dasarnya definisi audit manual
Pemahaman Pengendalian Internal
Modul ke: 02 Dewi Fakultas EKONOMI DAN BISNIS Pemahaman Pengendalian Internal Rosaria, SE.,Msi.,Ak.,CA Program Studi AKUNTANSI Mengenal Istilah Pengendalian internal 1947 AICPA Internal Control Internal
PERATURAN TERKAIT PENGENDALIAN INTERNAL
REGULASI PERATURAN TERKAIT PENGENDALIAN INTERNAL Kondisi global teknologi dan bisnis memaksa adanya standar dan regulasi yang mengatur bagaimana perusahaan bekerja dan pembagian informasi. Baik nasional,
PEMAHAMAN STRUKTUR PENGENDALIAN INTERN
PEMAHAMAN STRUKTUR PENGENDALIAN INTERN Pengendalian Intern : Rencana organisasi dan semua metode, prosedure serta kebijaksanaan, yang terkoordinasi dalam suatu unit usaha, dengan tujuan : a. Mengamankan
BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.
BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA 4.1 Prosedur Evaluasi Evaluasi terhadap sistem informasi penjualan pada PT. Bangunan Jaya adalah merupakan suatu proses evaluasi
BAB 1 PENDAHULUAN Latar Belakang
BAB 1 PENDAHULUAN Dalam bab ini menjelaskan tentang latar belakang masalah, identifikasi masalah, tujuan tugas akhir, lingkup tugas akhir, metodlogi tugas akhir, dan sistematika penulisan laporan tugas
PERATURAN DEPARTEMEN AUDIT INTERNAL
PERATURAN DEPARTEMEN AUDIT INTERNAL Bab I KETENTUAN UMUM Pasal 1 Tujuan Peraturan ini dibuat dengan tujuan menjalankan fungsi pengendalian internal terhadap kegiatan perusahaan dengan sasaran utama keandalan
BAB IV PEMBAHASAN. 1. Mengevaluasi lima komponen pengendalian internal berdasarkan COSO, komunikasi, aktivitas pengendalian, dan pemantauan.
BAB IV PEMBAHASAN IV.1. Perencanaan Evaluasi IV.1.1. Ruang Lingkup Evaluasi Ruang lingkup pengendalian internal atas siklus pendapatan adalah : 1. Mengevaluasi lima komponen pengendalian internal berdasarkan
PENENTUAN RISIKO DAN PENGENDALIAN INTERN-PERTIMBANGAN DAN KARAKTERISTIK SISTEM INFORMASI KOMPUTER
SA Seksi 314 PENENTUAN RISIKO DAN PENGENDALIAN INTERN-PERTIMBANGAN DAN KARAKTERISTIK SISTEM INFORMASI KOMPUTER Sumber: PSA No. 60 PENDAHULUAN 01. Dalam Seksi 335 [PSA No. 57] Auditing dalam Lingkungan
BUPATI BANYUMAS, TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH. menetapkann. Sistem
BUPATI BANYUMAS PERATURAN BUPATI BANYUMAS NOMOR 64 TAHUN 2010 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH DI LINGKUNGAN PEMERINTAH KABUPATEN BANYUMAS DENGAN N RAHMAT TUHAN YANG MAHA ESA
PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER
PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER A. TUJUAN PEMBELAJARAN Pada pertemuan ini akan dijelaskan mengenai Pengendalian pengamanan system informasi berbasis computer ini meliputi: pengendalian
BAB 4 PEMBAHASAN. dimulai dengan survei pendahuluan. Tahap ini merupakan langkah awal
BAB 4 PEMBAHASAN 4.1. Survei Pendahuluan Pelaksanaan audit manajemen pada PT. MJPF Farma Indonesia akan dimulai dengan survei pendahuluan. Tahap ini merupakan langkah awal dalam mempersiapkan dan merencanakan
COBIT (Control Objectives for Information and Related Technology)
COBIT (Control Objectives for Information and Related Technology) Pengertian Cobit COBIT (Control Objectives for Information and Related Technology) adalah sekumpulan dokumentasi best practices untuk IT
KUESIONER. Saya bernama Natalia Elisabeth (mahasiswi fakultas ekonomi Universitas
LAMPIRAN I KUESIONER Responden yang terhormat, Saya bernama Natalia Elisabeth (mahasiswi fakultas ekonomi Universitas Kristen Maranatha) mohon bantuan dan kesediaan Bapak/Ibu untuk mengisi kuesioner mengenai
BAB III METODOLOGI PENELITIAN
BAB III METODOLOGI PENELITIAN Pada subbab ini akan dibahas mengenai perencanaan dalam melaksanakan audit sistem dan teknologi informasi. Pembahasan mencakup semua aktivitas dari awal kegiatan hingga hasil
BERITA DAERAH KOTA BEKASI NOMOR : SERI : E PERATURAN WALIKOTA BEKASI NOMOR 30 TAHUN 2010 TENTANG
BERITA DAERAH KOTA BEKASI NOMOR : 30 2010 SERI : E PERATURAN WALIKOTA BEKASI NOMOR 30 TAHUN 2010 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH DI LINGKUNGAN PEMERINTAH KOTA BEKASI DENGAN
Dimensi Kelembagaan. Kebijakan Kelembagaan 1. Perencanaan 0.5
Dimensi Kelembagaan Perencanaan Kebijakan 5 4.5 4 3.5 3 2.5 2 1.5 1 0.5 0 Kelembagaan Aplikasi Infrastruktur 1 KONSEP KELEMBAGAAN 2 Pembentukan Organisasi: Elemen-Elemen Utama Elemen-elemen yang perlu
BAB III METODE PENELITIAN. Pada Bab III akan dilakukan pembahasan dimulai dengan profil
BAB III METODE PENELITIAN Pada Bab III akan dilakukan pembahasan dimulai dengan profil perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapantahapan audit yang akan dilaksanakan. 3.1
BUPATI PENAJAM PASER UTARA
a BUPATI PENAJAM PASER UTARA PERATURAN BUPATI PENAJAM PASER UTARA NOMOR 31 TAHUN 2012 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH DI LINGKUNGAN PEMERINTAH KABUPATEN PENAJAM PASER UTARA
BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS
BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS 4.1 Perencanaan Audit Sebelum melakukan audit terhadap sistem aplikasi penjualan kredit di PT. Rodamas, kami terlebih dahulu membuat
DAFTAR TABEL. Variable Dependen dan Skala Pengukuran. yang memadai dalam akuntansi. dan pengetahuan yang memadai dalam akuntansi
DAFTAR TABEL Tabel 3.1 Tabel 3.2 Tabel 4.1 Variable Independen dan Skala Pengukuran Variable Dependen dan Skala Pengukuran Tanggapan responden mengenai Controller mempunyai dasar teknis yang memadai dalam
BERITA DAERAH KOTA SUKABUMI TAHUN 2011 NOMOR 16 PERATURAN WALIKOTA SUKABUMI
BERITA DAERAH KOTA SUKABUMI TAHUN 2011 NOMOR 16 PERATURAN WALIKOTA SUKABUMI TANGGAL : 12 SEPTEMBER 2011 NOMOR : 16 TAHUN 2011 TENTANG : PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH (SPIP) DI LINGKUNGAN
EVALUASI PENGENDALIAN INTERNAL PEMBIAYAAN SECARA KREDIT DAN PENAGIHAN PIUTANG PADA PT KRESNA REKSA FINANCE
EVALUASI PENGENDALIAN INTERNAL PEMBIAYAAN SECARA KREDIT DAN PENAGIHAN PIUTANG PADA PT KRESNA REKSA FINANCE Della Shu PT.Kresna Reksa Finance,perum.sbs blok c24/1,08989802899,della shu Abstrak Sistem pengendalian
MATERI 03 : KEAMANAN INFORMASI
MATERI 03 : KEAMANAN INFORMASI INFORMATION SECURITY Hastha Sunardi Universitas IGM Teknik Komputer Pertemuan [1.02-02] Keamanan Informasi Keamanan informasi digunakan untuk menggambarkan perlindungan terhadap
PERATURAN PRESIDEN REPUBLIK INDONESIA NOMOR... TAHUN 2008 TENTANG PELAKSANAAN E-GOVERNMENT DI INSTANSI PEMERINTAH PUSAT DAN DAERAH
PERATURAN PRESIDEN REPUBLIK INDONESIA NOMOR... TAHUN 2008 TENTANG PELAKSANAAN E-GOVERNMENT DI INSTANSI PEMERINTAH PUSAT DAN DAERAH DENGAN RAHMAT TUHAN YANG MAHA ESA PRESIDEN REPUBLIK INDONESIA Menimbang:
PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI
PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI 1/total Outline PENDAHULUAN ANCAMAN-ANCAMAN ATAS SIA TINJAUAN MENYELURUH KONSEP-KONSEP LINGKUNGAN PENGENDALIAN AKTIVITAS-AKTIVITAS PENGENDALIAN PENILAIAN RISIKO
KEAMANAN JARINGAN KOMPUTER ` MODUL 1 DASAR DASAR KEAMANAN KOMPUTER. DISUSUN OLEH Kundang K.Juman,Ir, MMSI
KEAMANAN JARINGAN KOMPUTER ` MODUL 1 DASAR DASAR KEAMANAN KOMPUTER DISUSUN OLEH Kundang K.Juman,Ir, MMSI UNIVERSITAS INDONUSA ESA UNGGUL 2008 \ 1 Pengertian keamanan sistem komputer Keamanan sistem komputer
BAB II LANDASAN TEORI. struktur organisasi, metode dan ukuran ukuran yang dikoordinasikan untuk
BAB II LANDASAN TEORI A. Pengertian dan Tujuan Pengendalian Intern 1. Pengertian Pengendalian Intern Menurut Mulyadi ( 2005 : 163 ) sistem pengendalian intern meliputi struktur organisasi, metode dan ukuran
BERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG
BERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH (SPIP) DI LINGKUNGAN PEMERINTAH KOTA BOGOR DENGAN
BERITA DAERAH KOTA SALATIGA NOMOR 34 TAHUN 2011 PERATURAN WALIKOTA SALATIGA NOMOR 34 TAHUN 2011
BERITA DAERAH KOTA SALATIGA NOMOR 34 TAHUN 2011 PERATURAN WALIKOTA SALATIGA NOMOR 34 TAHUN 2011 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH DENGAN RAHMAT TUHAN YANG MAHA ESA WALIKOTA
Sistem Pengendalian Intern
Sistem Pengendalian Intern Sistem Pengendalian Intern Suatu perencanaan yang meliputi struktur organisasi dan semua metode dan alat-alat yang dikoordinasikan yang digunakan di dalam perusahaan dengan tujuan
PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA
PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA KEPALA BADAN INFORMASI GEOSPASIAL, Menimbang : a. bahwa
PEMAHAMAN PENGENDALIAN INTERN INTERNAL CONTROL
PEMAHAMAN PENGENDALIAN INTERN INTERNAL CONTROL 1 Pengertian Pengendalian Intern Internal control adalah suatu proses, dijalankan oleh dewan komisaris, managemen, dan karyawan lain dari suatu entitas, dirancang
Langkah langkah FRAP. Daftar Risiko. Risk
L1 Langkah langkah FRAP Daftar Risiko Risk Risiko Tipe Prioritas Awal # 1 Kerusakan Database dikarenakan kegagalan INT B hardware 2 Staff internal sengaja memodifikasi data untuk INT C keuntungan kelompok