Perancangan dan Pengujian

Transkripsi

1 BAB IV Perancangan dan Pengujian IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal Rekening & Transaksi Penting Sumber Daya TI & Pengendalian Internal Risiko Penilaian dan Perbaikan Identifikasi rekening dan transasi keuangan Penting Identifikasi sumber daya TI dan pengendalian Internal Penilaian Risiko Penilaian dan Perbaikan Pengendalian Internal Identifikasi Rekening Penting Identifikasi Transaksi Penting Audit Entity Level Control Inventaris Sumber Daya TI yang Digunakan Dalam Mendukung Sistem Informasi Akuntansi Mengkaji Dokumen Proses Keuangan Menentukan Ruang Lingkup Penilaian Identifikasi Ancaman (Thread Identification) Determine Potential Vulnebilities Penilaian Risiko (Risk Rating) Perbaikan Kekosongan Aktivitas Pengendalian Internal Perbaikan Proses Pengendalian Internal Berdasarkan Maturity Level Kuistioner Appendik 1 Identifikasi Rekening. Kuistioner Inventaris Sumber Daya TI. Identifikasi Pengendalian Internal. Kuistioner Penilaian Risiko. Kuistioner Perbaikan Kekosongan Pengendalian Internal. Perbaikan Secara Sistematis Berdasarkan Maturity Level. Inventaris Sumber Daya TI Struktur Organisasi Departement TI. Tinjauan Teknologi Sistem Informasi Akuntansi. Tinjauan Teknologi Jaringan, Akses Jarak Jauh dan Internet. Penilaian Risiko Penilaian Kemungkinan Terjadinya Risiko. Pengukuran Akibar dari Risiko. Matrik Risiko. Maturity Level Pengendalian Akses dan Wewenang. Keamanan Jaringan - Network Security. Kelangsungan layanan Sistem Informasi Akuntansi. Audit Sistem Informasi Akuntansi. Pusat Data. Operasional Komputer. Metodelogi Pengembangan Sistem. Pengendalian Aplikasi. Gambar IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal Tatacara yang akan dipergunakan dalam menilai dan menentukan perbaikan pengendalian internal pada sistem informasi akuntansi adalah : 1. Identifikasi rekening dan transaksi yang berpengaruh terhadap laporan keuangan Berdasarkan hasil analisa pada analisa risiko dari atas ke bawah (SOX Top Down Risk Analysis), diketahui bahwa objek yang harus dilindungi dari pengendalian internal adalah rekening dan transaksi penting yang berpengaruh terhadap laporan keuangan. Untuk dapat membuat framework pengendalian internal yang sesuai dengan SOX, tesis ini akan menggunakan pendekatan yang sama dengan 93

2 menempatkan rekening dan transaksi penting yang berpengaruh terhadap laporan keuangan sebagai objek yang harus dilindungi. 2. Identifikasi sumber daya TI dan pengendalian Internal Sistem informasi akuntansi tidak akan lepas dari penggunaan layanan Teknologi Informasi dan pengendalian internal yang telah ada sebelumnya. Dengan mengetahui layanan Teknologi Informasi dan pengendalian internal yang digunakan untuk mendukung sistem informasi akuntansi maka dapat diketahui pengendalian internal yang ada sehingga dapat dilakukan analisa terhadap ancaman dan kelemahan (thread and vulnerability) yang dapat mengganggu integritas dari sistem informasi akuntansi. 3. Penilaian Risiko Seperti telah dijelaskan sebelumnya penggunaan teknologi informasi memiliki risiko yang dapat mempengaruhi integritas informasi yang digunakan dalam membuat laporan keuangan. Penilaian risiko merupakan langkah awal dalam melakukan penerapan pengendalian internal.setelah diketahui risiko risiko yang dapat mengganggu integritas dari rekening dan transaksi maka barulah dapat dibuat rencana penerapan atau perbaikan pengendalian internal. Penilaian risiko pada tahap ini dilakukan berdasarkan hasil identifikasi sumber daya TI dan pengendalian internal yang telah dilakukan pada tahap sebelumnya. 4. Penilaian dan perbaikan Pengendalian Internal Untuk melakukan penerapan atau perbaikan, pertama tama dilakukan penilaian terhadap kinerja dan keberadaan pengendalian internal yang telah ada juga harapan kedepan dari penerapan pengendalian internal. Setelah diketahui kinerja, keberadaan dan harapan dari penerapan pengendalian internal yang ingin dicapai, langkah selanjutnya adalah merancang perbaikan pengendalian internal berdasarkan tabel perbaikan yang dibuat mengikuti tingkatan tingkatan yang terdapat pada maturity level. 94

3 IV.1.1 Identifikasi Rekening dan Transaksi Keuangan yang Signifikan Identifikasi Rekening dan Transaksi Keuangan Penting Identifikasi Sumber Daya TI dan Pengendalian Internal Penilaian Risiko Penilaian dan Perbaikan Pengendalian Internal IV Identifikasi Rekening Penting Rekening merupakan alat untuk mencatat transaksi keuangan, dengan rekening laporan keuangan disusun. Di dalam rekening semua data keuangan akan dicatat dan dengan rekening inilah akan dapat diketahui jumlah nilai transaksi yang terjadi seperti besarnya jumlah piutang perusahaan, biaya - biaya perusahaan, jumlah utang, jumlah laba dan lain sebagainya. Banyaknya jumlah rekening yang akan digunakan di dalam perusahaan sangat tergantung dari kebutuhan serta kompleksitas transaksi yang terjadi. Logikanya semakin besar sebuah perusahaan akan semakin banyak pula jenis transaksi yang akan terjadi sehingga jumlah rekening yang akan digunakan juga semakin banyak, demikian pula sebaliknya jika transaksi keuangan suatu perusahaan tidak begitu kompleks maka jumlah rekening yang digunakan relatif tidak banyak. Pada dasarnya rekening terbagi menjadi dua yaitu: a. rekening-rekening neraca atau rekening riil, akan disajikan ke dalam neraca terdiri dari rekening-rekening: aktiva,modal,kewajiban (sesuai dengan isi neraca). b. rekening- rekening rugi laba atau rekening nominal, digunakan untuk menyusun laporan laba rugi terdiri dari rekening-rekening: pendapatan dan biaya. 95

4 Rekening atau keterbukaan informasi (corporate disclosure) dikatakan signifikan/berarti/penting apabila terdapat kemungkinan salah saji (misstatement) yang secara individual atau kumpulan memiliki efek materialitas terhadap laporan keuangan (financial statements). Proses pencarian rekening - rekening penting dapat dimulai dari laporan keuangan. Hal yang penting untuk diperhatikan adalah risiko overstatement atau understatement. Dalam menilai rekening - rekening yang penting, penilaian harus dilakukan tanpa mempertimbangkan efektivitas dari pengendalian internal terhadap rekening - rekening tersebut. Ketika menentukan suatu apakah sebuah rekening penting atau tidak, sangat penting untuk auditor mengevaluasi faktor besarnya (quantitative) dan kualitasnya (qualitative), Beberapa yang termasuk diantaranya adalah : (PCAOB, 2004): a. Ukuran dan komposisi dari rekening. b. Kerentangan akan kehilangan dikarenakan kesalahan atau penipuan (froud). c. Banyaknya aktivitas, kompleksitas dari rekening dan sub-rekening yang diproses. d. Sifat dasar dari rekening. e. Standar akuntansi yang digunakan dan kompleksitas pelaporan dari rekening. f..aktivitas dari hutang hutang yang direpresentasikan dalam suatu rekening. g. Keberadaan transaksi yang dilakukan oleh unit usaha lain yang terdapat pada rekening. h. Perubahan karakteristik rekening dari waktu ke waktu. Tabel IV.1 Skala\ukuran penilaian rekening penting Ukuran dan komposisi dari rekening Kerentangan akan terjadinya kesalahan atau penipuan banyaknya aktivitas, kompleksitas dan homogeneity dari individual transaksi sampai kepada rekening yang bersangkutan. Sifat dasar dari rekening (contoh suspense account generally warrant greater attention) Tinggi Rekening Besar volume yang besar, transaksi yang kompleks, memiliki variasi yang banyak dari transaksi ditentukan berdasarkan pendapat Rekening Kecil Rendah Volume yang kecil, keseragaman yang rendah. ditentukan berdasarkan pendapat 96

5 exposure terhadap kehilangan (losses) yang direpresentasikan oleh rekening (kehilangan akurasi berhubungan dengan proses konsolidasi ) Kemungkinan dari significant contingent liabilities yang ditimbulkan dari aktivitas yang direpresentasikan oleh rekening adanya related party transaction di dalam rekening Berubahnya karakteristik dari rekening Kompleksitas dari mekanisme akuntansi yang dipergunakan dan sistem pelaporan Kerugian lebih besar dari remote possibility. Tidak adanya transaksi dari pihak ketiga yang tercatat pada rekening. Seringnya terjadi perubahan yang mendasar dari sifat rekening. Mekanisme akuntansi yang standar dan pelaporan yang sederhana. Sama dengan remote possibility. Tidak adanya transaksi dari pihak ketiga yang tercatat pada rekening. Sifat rekening relatif stabil dari waktu ke waktu. IV Identifikasi Transaksi Penting Pada PCAOB standar no 2, setiap auditor yang melakukan audit terhadap pengendalian internal harus melakukan identifikasi terhadap proses - proses untuk setiap transaksi - transaksi keuangan yang utama di mana memiliki dampak yang signifikan terhadap rekening atau sekumpulan rekening - rekening. transaksi keuangan yang utama adalah transaksi yang berpengaruh signifikan terhadap laporan keuangan yang dikeluarkan oleh perusahaan. Setiap kelompok/jenis transaksi - transaksi utama memiliki tingkatan risiko bawaan (inherent risk) yang berbeda sehingga memerlukan penanganan yang berbeda pula. Standar PCAOB no 2 mengategorikan transaksi - transaksi utama berdasarkan tipe dari transaksi: a. Transaksi rutin adalah kegiatan keuangan yang senantiasa berulang dari waktu ke waktu. Transaksi jenis ini mencerminkan kegiatan sehari hari yang dilakukan oleh organisasi (contoh: penjualan, pembelian, penerimaan kas, gaji, dll). b. Transaksi tidak rutin adalah kegiatan yang dilakukan dengan tidak teratur (contoh: perhitungan depresiasi, akuisisi, penyesuaian kurs, dll). Ciri khas dari transaksi tidak rutin adalah data yang digunakan tidak merupakan bagian dari aliran data pada transaksi rutin. Sebagian besar proses melakukan berbagai macam aktivitas seperti memasukan data, mengurutkan data, perhitungan, perbaharuan terhadap master file. dilihat dari sudut pengendalian internal, hal penting yang harus diperhatikan adalah bagaimana 97

6 transaksi tersebut dimulai (initiate), diotorisasi (authorize), disimpan (record), diproses (process) dan pelaporan (report transactions). Untuk setiap proses bisnis yang penting, beberapa hal yang harus diperhatikan adalah: a. Pemahaman atas aliran transaksi, termasuk bagaimana transaksi dimulai, otorisasi, simpan, proses dan laporkan. b. Identifikasi kemungkinan terjadinya penyelewengan yang dapat mengganggu integritas dari transaksi. c. Identifikasi pengendalian yang telah diterapkan untuk menanggulangi risiko tersebut (poin b). IV.1.2 Identifikasi Sumber Daya TI dan Pengendalian Internal Identifikasi Rekening dan Transaksi Keuangan Penting Identifikasi Sumber Daya TI dan Pengendalian Internal Penilaian Risiko Penilaian dan Perbaikan Pengendalian Internal IV Audit Entity Level Control Pengendalian tingkat entity (Entity Level Control) Pengendalian tingkat entity adalah pengendalian yang menyatu dan berpengaruh langsung terhadap organisasi. Pengendalian tingkat entity memberikan dasar dalam menjaga integritas dari sistem informasi akuntansi. Pengendalian tingkat entity diterapkan dalam mengatur/mengarahkan pengendalian internal Terhadap sumber daya TI yang digunakan dalam mendukung sistem informasi akuntansi. 98

7 Pengendalian tingkat entity merupakan fondasi dari lingkungan pengendalian dalam menjaga integritas sumber daya teknologi informasi. Keberadaan pengendalian tingkat entity menegaskan bahwa organisasi menganggap penting pengendalian internal. Lingkungan pengendalian internal yang kuat berasal dari implementasi Pengendalian tingkat entity, lemahnya penerapan pengendalian tingkat entity mengakibatkan meningkatnya risiko dari penggunaan teknologi informasi dikarenakan tidak adanya landasan yang kuat untuk pengendalian umum TI dan pengendalian aplikasi agar dapat bekerja seperti yang diharapkan. Lemahnya pengendalian tingkat entity akan dapat menimbulkan ketidakkonsistenan penerapan pengendalian internal. Tata cara penilaian pada tahap ini tidak harus dilakukan dengan cara mengecek penerapan pengendalian internal secara teknis di lapangan, penilaian cukup dilakukan dengan cara mempelajari dokumen - dokumen yang menjadi dasar penerapan pengendalian internal yang dimiliki oleh organisasi, selain daripada itu dilakukan juga kuesioner untuk mengetahui sejauh mana penerapan pengendalian tingkat entity. Maksud dari penilaian ini adalah untuk mencatat dan menilai keberadaan dari pengendalian tingkat entity yang telah diterapkan dalam menjaga integritas dari sumber daya TI. Dengan mengetahui pengendalian tingkat entity yang telah diterapkan maka dapat diketahui kekurangan dan kelebihan dari pengendalian tingkat entity yang telah ada di mana hal tersebut merupakan dasar dalam melakukan perbaikan dari penerapan pengendalian internal agar dapat menjaga integritas dari sumber daya TI di dalam mendukung sistem informasi akuntansi. IV Inventaris Sumber Daya TI yang Digunakan Dalam Mendukung Sistem Informasi Akuntansi Pengendalian umum TI (IT General Control) Pengendalian umum TI adalah struktur, kebijaksanaan dan prosedur yang berpengaruh langsung terhadap komponen komponen utama sumber daya teknologi informasi. Tujuan dari pengendalian umum TI adalah memastikan integritas dan ketersediaan layanan teknologi informasi. Langkah pertama dari tahap ini adalah mendata/mencatat sumber daya TI yang digunakan dalam menunjang kegiatan sistem informasi akuntansi, kegunaan dari 99

8 inventaris ini adalah untuk membuat daftar sumber daya TI yang digunakan untuk mendukung sistem informasi akuntansi beserta pengendalian internal yang ada di dalamnya. Dengan memiliki catatan penggunaan sumber daya TI dan pengendalian internal yang ada di dalamnya, dapat diketahui risiko dari sumber daya TI yang dapat mengganggu integritas dari informasi yang terdapat pada sistem informasi akuntansi. Proses ini juga dapat membantu departemen TI agar lebih mengerti bagaimana sistem informasi akuntansi bekerja sehingga dapat diidentifikasi proses - proses yang membutuhkan perbaikan layanan TI (IT Service). IV Mengkaji Dokumen Proses Keuangan Pengendalian aplikasi (Application Control) Pengendalian aplikasi adalah struktur, kebijaksanaan dan prosedur yang diterapkan di dalam sistem informasi akuntansi. Pengendalian ini secara didesain untuk mencegah, mendeteksi dan memperbaiki kesalahan dan ketidaknormalan informasi yang diproses oleh sistem informasi akuntansi. Organisasi memiliki banyak bisnis proses dan kontrol - kontrol yang menjaganya, untuk patuh terhadap SOX organisasi hanya perlu memfokuskan terhadap kontrol - kontrol yang berhubungan langsung dari pelaporan keuangan. Sangatlah penting departemen TI berperan serta dalam penerapan pengendalian internal pada sistem informasi akuntansi agar sesuai terhadap SOX. Banyak cara yang dapat ditempuh untuk memahami penerapan pengendalian internal pada sistem informasi akuntansi, salah satunya adalah dengan mempelajari dokumen bisnis proses yang berhubungan dengan keuangan. 100

9 IV.1.3 Penilaian Risiko Identifikasi Rekening dan Transaksi Keuangan Penting Identifikasi Sumber Daya TI dan Pengendalian Internal Penilaian Risiko Penilaian dan Perbaikan Pengendalian Internal Tujuan dari penilaian risiko adalah untuk menilai risiko dari penggunaan teknologi informasi dalam mendukung layanan sistem informasi akuntansi. Untuk menilai ancaman atau kelemahan dari penggunaan teknologi informasi dapat dilakukan melalui: a. Kemungkinan dari sumber ancaman menggunakan kelemahan yang ada. b. Akibat yang ditimbulkan apabila sumber ancaman berhasil menggunakan kelemahan yang ada. c. Implementasi dari pengendalian internal dalam melindungi kelemahan. IV Menentukan Ruang Lingkup Penilaian Tujuan dari tahap ini adalah untuk mengidentifikasi risiko - risiko yang dapat mengganggu integritas dari informasi yang digunakan dalam membuat laporan keuangan pada sistem informasi akuntansi. Penting untuk diperhatikan bahwa risiko - risiko tersebut dapat terjadi di berbagai lokasi atau tingkatan dalam organisasi. Penilaian risiko yang akan dilakukan pada tahap ini diasumsikan dapat terjadi pada : 1. Tingkatan Rekening 2. Tingkatan Transaksi 101

10 Risiko terhadap tingkatan rekening atau tingkatan transaksi merupakan risiko yang berdampak terhadap integritas dari rekening atau transaksi. Sebelumnya telah dilakukan identifikasi terhadap rekening dan transaksi transaksi penting di mana rekening dan transaksi transaksi tersebut memiliki pengaruh lebih dibandingkan dengan rekening dan transaksi lainnya. Rekening dan transaksi penting yang telah teridentifikasi merupakan patokan dalam melakukan penilaian risiko. Dalam melakukan penilaian risiko framework ini akan menggunakan pendekatan Top Down yang akan digunakan untuk membatasi ruang lingkup dari penilaian risiko penggunaan sistem informasi akuntansi yang berpengaruh terhadap integritas dari laporan keuangan. Penilaian Top Down yang digunakan pada tahap ini berguna untuk membatasi ruang lingkup dari penilaian agar fokus terhadap risiko risiko yang mengganggu integritas dari laporan keuangan. Penilai ini dimulai dengan menilai rekening dan transaksi yang berpengaruh langsung terhadap laporan keuangan. Selanjutnya dari rekening dan transaksi tersebut diidentifikasi proses bisnis yang berpengaruh terhadap rekening dan transaksi tersebut. Untuk setiap proses bisnis akan dilakukan identifikasi risiko risiko yang mungkin timbul terutama risiko risiko yang disebabkan oleh penggunaan teknologi informasi, dalam tahap ini dilakukan juga penilaian terhadap risiko yang ditimbulkan dari kegagalan pengendalian internal yang dapat mengakibatkan terjadinya penipuan/kecurangan (fraud). Langkah terakhir dari penilaian risiko secara Top Down adalah dengan memberikan penilaian\pembobotan terhadap risiko risiko yang telah teridentifikasi berdasarkan intensitas kejadian dan dampak yang mungkin ditimbulkan. IV Identifikasi Ancaman (Thread Identification) Untuk menilai ancaman (Thread) dari penggunaan sistem informasi akuntansi, pendekatan yang digunakan akan bersifat top down dengan mendasarkan atas ancaman ancaman yang mungkin mengganggu integritas dari rekening dan transaksi yang telah diidentifikasi pada tahap sebelumnya. Proses penentuan ancaman yang dilakukan pada tahap ini dilakukan berdasarkan hasil analisa ruang lingkup (scope) yang telah dilakukan sebelumnya agar menghasilkan daftar ancaman yang berpengaruh langsung terhadap integritas dari laporan keuangan. 102

11 Berikut ini adalah pendekatan top down dalam mengidentifikasi ancaman ancaman yang dapat mengganggu integritas dari laporan keuangan : 1. Menentukan rekening dan transaksi penting yang berpengaruh terhadap laporan keuangan. 2. Menentukan ancaman yang dapat mengganggu integritas dari rekening dan transaksi. 3. Menentukan ancaman ancaman yang bersifat teknik, fisik dan administratif. Tujuan dari identifikasi ancaman adalah mengidentifikasi sumber dari ancaman. sumber ancaman adalah suatu keadaan atau kejadian yang berpotensi menyebabkan terjadinya keraguan atas integritas dari informasi yang terdapat/diproses pada sistem informasi akuntansi. Secara umum sumber ancaman terhadap sistem informasi akuntansi adalah: a. Alam - Banjir, gempa, angin puting beliung, longsor. b. Manusia - Kejadian yang disebabkan oleh pengguna atau bukan pengguna dapat berupa sesuatu yang tidak disengaja (pemasukan data yang tidak hati - hati), ataupun yang sengaja (penyerangan terhadap jaringan, akses ilegal terhadap data yang dilindungi, virus). c. Lingkungan - Mati listrik, polusi, zat/gas kimia beracun. IV Menentukan Kelemahan yang Potensial Berbeda dengan proses identifikasi ancaman (thread) yang dilakukan berdasarkan rekening dan transaksi penting yang berpengaruh terhadap integritas dari laporan keuangan. Identifikasi kelemahan (vulnerabilities) dilakukan berdasarkan ancaman penggunaan teknologi informasi dan pengendalian internal yang telah ada. Pendekatan yang diambil untuk menilai kelemahan bersifat dari bawah ke atas (bottom up) bertolak belakang dengan proses identifikasi kelemahan (top down). Pendekatan dari bawah ke atas (bottom up) bermula dari identifikasi pengendalian internal yang telah ada dalam menjaga/mengurangi risiko dari ancaman ancaman yang telah diidentifikasi pada tahap sebelumnya. 103

12 Berikut ini adalah pendekatan dari bawah ke atas yang digunakan dalam mengidentifikasi kelemahan yang dapat mengganggu integritas dari rekening dan transaksi yang digunakan dalam membuat laporan keuangan : 1. Identifikasi pengendalian internal yang berhubungan langsung dengan ancaman. 2. Menetapkan kekurangan atau ketiadaan pengendalian internal untuk menjaga suatu risiko tertentu. 3. Membuat bagan risiko. 4. Mengelompokkan kekurangan atau ketiadaan pengendalian internal berdasarkan kompleksitasnya. Dalam mengidentifikasi kelemahan penggunaan teknologi informasi dalam mendukung sistem informasi akuntansi, perlu untuk dilihat sifat dan kompleksitas dari pengendalian. Kelemahan tersebut timbul dari kesalahan atau kelemahan prosedur, desain dan implementasi pengendalian internal yang ada. Pengendalian internal pada sistem informasi akuntansi memiliki keunikan dibanding dengan pengendalian internal konvensional karena pengendalian internal pada sistem informasi akuntansi dibuat berdasarkan penggunaan teknologi informasi. Oleh karena itu dalam melakukan identifikasi perhatian harus lebih ditekankan pada pengendalian internal yang bersifat otomatis karena memiliki kompleksitas dan dampak yang lebih tinggi dibandingkan pengendalian yang bersifat manual. IV Penilaian Risiko (Risk Rating) Untuk menentukan nilai kemungkinan (likelihood rating) yang mencerminkan kemungkinan kelemahan yang berpotensi merusak integritas dari sistem informasi akuntansi. Berikut ini beberapa faktor yang dapat menjadi perhatian dalam menentukan nilai kemungkinan : a. Motivasi, keahlian dan kesempatan dari sumber ancaman. b. Sifat bawaan dari kelemahan. c. Keberadaan dan efektivitas dari pengendalian internal. Kemungkinan dari kelemahan yang potensi menjadi ancaman dapat dikategorikan menjadi tinggi, sedang dan rendah. Berikut ini adalah penjelasannya : 104

13 Tabel IV.2 Skala Penilaian Kemungkinan Risiko Tingkat Kemungkinan Tinggi Sedang Rendah Penjelasan Sumber ancaman sangat termotivasi dan memiliki kemampuan sedangkan pengendalian yang ada berjalan tidak Efektif dalam melindungi kelemahan yang ada. Sumber ancaman sangat termotivasi dan memiliki kemampuan, pengendalian yang ada dirasakan dapat menghambat dipergunakannya kelemahan yang ada. Sumber ancaman kurang memiliki motivasi dan kemampuan, atau pengendalian yang ada dapat mencegah atau mengurangi dipergunakannya kelemahan yang ada. Langkah berikutnya dalam menilai sebuah risiko adalah dengan memperkirakan dampak dari risiko tersebut. Secara umum akibat dari kegagalan pengendalian internal adalah terjadinya kehilangan (loss), penurunan (degradation) atau kombinasi di antara keduanya dalam hal integritas, ketersediaan dan kerahasiaan (integrity, availability dan confidentiality) dari sistem informasi akuntansi. Berikut ini adalah deskripsi singkat dari: a. Hilangnya integritas Integritas sistem dan data merupakan sebuah kebutuhan yang mengharuskan terlindunginya informasi dari perubahan atau kehilangan yang dilakukan secara tidak sah. Integritas dari sistem informasi akuntansi dikatakan hilang apabila terjadi perubahan terhadap informasi yang tersimpan pada sistem informasi akuntansi baik dilakukan dengan sengaja atau tidak sengaja. b. Hilangnya Kerahasiaan Menjaga kerahasiaan dari sistem dan data merupakan usaha untuk melindungi informasi dari pengungkapan yang tidak semestinya. Akibat dari pengungkapan yang tidak sah tersebut dapat berupa rusaknya citra individu, organisasi atau kelompok di muka publik. c. Hilangnya ketersediaan Hilangnya ketersediaan layanan sistem informasi akuntansi dapat mengganggu produktivitas sistem akuntansi. Hilangnya ketersediaan layanan tidak berpengaruh langsung terhadap integritas dari sistem informasi akuntansi, akan tetapi apabila tidak ditangani dengan serius maka dampak dari risiko tersebut akan menjalar mempengaruhi integritas dari sistem informasi akuntansi. 105

14 Tabel IV.3 Skala Ukuran Dampak dari Risiko Dampak Tinggi Sedang Rendah Penjelasan Mengakibatkan hilangnya integritas dari sistem informasi akuntansi. Hal ini mengakibatkan untuk sementara waktu dihentikannya layanan sistem informasi akuntansi. Pada tingkatan ini terkadang aspek kerahasiaan (confidentiality) dan ketersediaan (availability) sudah tidak dapat dipertahankan. Tidak dapat atau terganggunya layanan sistem informasi akuntansi, terdapat kehilangan aset aset fisik ataupun sumber daya informasi. Integritas dari sistem informasi akuntansi masih dapat terjaga tetapi aspek kerahasiaan (confidentiality) dan ketersediaan (availability) mulai terganggu. Mengakibatkan terganggunya atau tidak bisa diberikannya layanan sistem informasi akuntansi. Risiko tersebut tidak berpengaruh terhadap integritas dari sistem informasi akuntansi hanya mempengaruhi ketersediaan (availability) layanan sistem informasi akuntansi. Setelah diketahui kemungkinan (likelihood) dan akibat dari risiko, langkah selanjutnya adalah dengan membuat metrik risiko (risk matrix) berdasarkan : a. Kemungkinan terjadinya risiko (Likelihood). b. Dampak dari risiko tersebut. Tingkatan skala risiko merupakan hasil perkalian antara kemungkinan terjadinya risiko dan dampak dari risiko tersebut. tabel risiko adalah tabel 3x3 yang berisikan skala kemungkinan (tinggi, sedang, rendah) dan skala dari dampak risiko (tinggi, sedang, rendah). tabel risiko tidak terbatas hanya 3x3, tabel risiko dapat pula berupa tabel 4x4 atau 5x5. Tabel IV.4 Matrik Penilaian Risiko Kemungkinan Risiko (likelihood) Tinggi (1.0) Sedang (0.5) Rendah (0.1) Rendah (10) Rendah 10 x 1.0 = 1 Rendah 10 x 0.5 = 5 Rendah 10 x 0.1 = 1 Akibat (impact) Sedang (50) Sedang 50 x 1.0 = 50 Sedang 50 x 0.5 = 25 Rendah 50 x 0.1 = 5 Tinggi (100) Tinggi 100 x 1.0 = 100 Sedang 100 x 0.5 = 50 Rendah 100 x 0.1 = 10 Contoh tabel risiko pada tabel menggunakan skala tinggi, sedang dan rendah. penentuan skala ini merupakan sesuatu yang subjektif. Skala tersebut sebenarnya menunjukkan justifikasi dari tingkat kemungkinan terjadinya risiko atau dampak yang 106

15 mungkin ditimbulkan. Perkalian dari nilai kemungkinan terjadinya risiko dan nilai akibat dari risiko tersebut menunjukkan nilai kegentingan (urgency) dari sebuah risiko. IV.1.4 Perbaikan Pengendalian Internal Identifikasi Rekening dan Transaksi Keuangan Penting Identifikasi Sumber Daya TI dan Pengendalian Internal Penilaian Risiko Penilaian dan Perbaikan Pengendalian Internal IV Perbaikan Kekosongan Aktivitas Pengendalian Internal Setelah mengetahui tingkatan risiko dari ancaman dan kelemahan penggunaan teknologi informasi, dalam menerapkan pengendalian internal sebaiknya dilakukan analisa terlebih dahulu keuntungan dan kerugiannya. : a. Menentukan dampak implementasi/perbaikan dari pengendalian internal. b. Menentukan dampak apabila tidak dilakukan implementasi/perbaikan dari pengendalian internal. c. Perkirakan biaya implementasi/perbaikan pengendalian internal. d. Menilai biaya implementasi/perbaikan dibandingkan dengan manfaat yang didapat terhadap sistem informasi akuntansi. Dalam menerapkan pengendalian internal terhadap risiko yang ditimbulkan oleh manusia, beberapa pertimbangan perlu dilakukan sebelum mengimplementasikan/perbaikan pengendalian internal. Risiko yang ditimbulkan oleh manusia dipengaruhi oleh motivasi untuk melakukan dan biaya yang dikeluarkannya. Suatu kelemahan apabila tidak menarik (tidak termotivasi) dan memerlukan biaya 107

16 yang besar untuk melakukannya cenderung lebih aman dibandingkan dengan kelemahan yang memiliki nilai komersial dan memerlukan biaya yang relatif murah. Dalam menentukan pengendalian internal sebaiknya manajemen mengikuti urutan langkah langkah proses di bawah ini : a. Menentukan prioritas - Berdasarkan tingkatan risiko hasil dari penilaian risiko sebelumnya, tentukan prioritas risiko implementasi\perbaikan berdasarkan tingkat risiko yang dimilikinya. b. Mengevaluasi rekomendasi pengendalian internal - Dikarenakan sifat dan karakteristik yang berbeda-beda dari setiap risiko, risiko yang memiliki tingkat risiko tinggi tidak langsung diterapkan pengendalian internal. Evaluasi terhadap penerapan pengendalian internal dilakukan berdasarkan analisa biaya dan manfaat terhadap penerapan pengendalian internal tersebut. c. Tentukan Pengendalian Internal - Setelah melakukan analisa biaya dan manfaat, manajemen menentukan pengendalian yang dirasa paling efektif dalam mengurangi risiko dari penggunaan teknologi informasi. Pengendalian yang dipilih haruslah merupakan pengendalian yang sesuai dengan kebijakan dan prosedur yang ada pada organisasi. d. Tentukan yang bertanggung Jawab - Tentukan individu yang memiliki pengalaman dan keahlian dalam mengimplementasi dan menjalankan pengendalian internal. Individu tersebut dapat berasal dari internal organisasi atau didapatkan dengan cara alih daya (outsourcing). e. Implementasikan pengendalian internal Melakukan implementasi dari pengendalian internal. IV Perbaikan Secara Sistematis Berdasarkan Maturity Level Selain memperbaiki kekosongan pengendalian internal berdasarkan hasil dari analisa risiko, diperlukan juga suatu mekanisme perbaikan yang bersifat menyeluruh tidak terbatas hanya kepada aspek teknis semata. Apabila perbaikan hanya difokuskan untuk mengisi kekosongan pengendalian internal, perbaikan tersebut hanya bersifat sebagai suatu respons dari sebuah kejadian (accidental). Perbaikan dengan cara mengisi kekosongan pengendalian semata tidaklah dapat disebut sebagai suatu pengendalian internal karena seyogianya suatu pengendalian internal dibangun 108

17 berdasarkan COSO. lima komponen pengendalian internal seperti yang dijabarkan pada Untuk mengatasi permasalahan tersebut, Diperlukan suatu Tatacara penerapan pengendalian internal yang berisikan tata cara penilaian, ukuran dan panduan perbaikan pengendalian internal. Penerapan pengendalian internal dapat dikelompokkan menjadi suatu maturity level yang berkisar antara non-existent (level 0) sampai dengan Optimized (level 5), pendekatan ini diambil dari maturity level yang dimiliki oleh Software Engineering Institute (SEI). Penggunaan maturity level bertujuan untuk membantu - Manajemen dalam melakukan benchmark dan selfassessment yang bertujuan untuk mengetahui penerapan pengendalian internal. a. Membandingkan penerapan pengendalian internal dengan organisasi yang lain. b. Membantu menentukan kekurangan dan merancang perbaikan yang sesuai dengan yang dibutuhkan. Maturity level didesain sebagai profil dari aktivitas pengendalian internal yang menggambarkan kondisi saat ini dan perbaikan yang harus dilakukan. Maturity level bukanlah merupakan sebuah batas batas tertentu (threshold) yang harus dipenuhi. Maturity level membantu dalam mengidentifikasi kekurangan dari penerapan pengendalian internal dan memberikan panduan dalam menentukan prioritas dari perbaikan yang harus dilakukan. Maturity level merupakan sebuah tingkatan kematangan yang dapat digunakan sebagai ukuran dalam menilai penerapan pengendalian internal. Maturity Level terdiri dari enam tingkatan mulai dari nonexistent (level 0) sampai dengan Optimized (level 5). Keenam tingkatan tersebut apabila dilihat dari sudut pandang pengendalian internal adalah : a. Level 1 - Pengendalian internal telah mulai untuk diterapkan. Kinerja dari pengendalian internal ini belum direncanakan dan dinilai dengan baik. Kinerja masih tergantung terhadap pengetahuan dan usaha perindividu. Kinerja dari pengendalian internal masih diasosiasikan dengan kinerja perorangan. telah ada kesadaran bahwa diperlukan penerapan pengendalian internal. b. Level 2 - Kinerja dari pengendalian internal telah direncanakan dan tercatat. Kinerja merupakan hasil dari sebuah prosedur baku yang dimiliki organisasi. 109

18 Pengendalian telah mengikuti standar dan kebutuhan (requirements) yang diakui keberadaannya. Telah dilakukan Penilaian untuk mengawasi pengendalian internal. Perbedaan mendasar dengan level 1 adalah kinerja dari pengendalian internal telah direncanakan dan dikelola. c. Level 3 - Pengendalian internal telah dilakukan berdasarkan standar yang diakui dan telah disesuaikan dengan keadaan organisasi. perbedaan utama dengan level 2 adalah pengendalian internal telah direncanakan dan dikelola pada tingkatan organisasi. d. Level 4 - Pengukuran dari kinerja pengendalian internal. telah dilakukan dan dianalisa. proses ini mengarahkan kepada pengertian kuantitatif dari proses pengendalian internal dan keahlian untuk memperkirakan bagaimana cara untuk meningkatkan kinerja dari pengendalian internal. Tujuan dari kinerja telah dikelola, dan kualitas dari hasil pengendalian internal telah diukur secara kuantitatif. Perbedaan dengan level 3 adalah pengendalian internal telah diukur secara kuantitatif dan terkendali. e. Level 5- Telah ada target kuantitatif dari kinerja dan efisien pengendalian internal yang dibuat berdasarkan tujuan umum pengendalian internal. Perbaikan yang berkesinambungan terhadap tujuan dari pengendalian internal dilakukan berdasarkan timbal balik dari pelaksanaan proses yang terdefinisi dan berdasarkan inovasi - inovasi dan teknologi. Perbedaan mendasar dengan level 4 adalah proses pengendalian internal yang telah terdefinisi dilakukan perbaikan yang berkelanjutan berdasarkan pengertian dampak yang terukur dari perubahan proses pada pengendalian internal. IV.2 Aktivitas Pengendalian Internal IV.2.1 Pengendalian akses Integritas dari sistem informasi akuntansi bergantung pada pengendalian akses terhadap peran dan wewenang yang ada pada sistem informasi akuntansi dan sumber daya teknologi informasi (IT Resource), Untuk membatasi akses terhadap sistem informasi akuntansi diperlukan pengendalian yang bertujuan mencegah terjadinya penyalah gunakan wewenang. Pengendalian yang akan diterapkan adalah dengan 110

19 melakukan manajemen identitas,pengendalian wewenang dan tanggung jawab pada sistem informasi akuntansi dan sumber daya TI yang mendukungnya. IV Tujuan Pengendalian (Control Objective) a. Tatakelola Peran dan Tanggung Jawab - Integritas dari sebuah transaksi sangat ditentukan oleh proses pengawasan, idealnya fungsi pengawasan dan fungsi pelaksanaan dilakukan oleh dua kelompok yang berbeda. Untuk mencegah terjadinya penyalah gunakan wewenang, harus ada prosedur formal dalam melakukan registrasi dan deregistrasi pengguna sistem untuk mengatur pemberian dan pengambilan akses/wewenang. Audit terhadap akses-akses dan wewenang untuk setiap pengguna sistem sebaiknya dilakukan secara berkala menggunakan prosedur formal. Setiap pengguna harus memiliki identitas yang unik, tidak dapat digunakan secara bersama - sama. Setiap kali pengguna masuk kepada sistem, sistem mencatat setiap aktivitas yang dianggap penting yang nantinya dapat digunakan sebagai bukti atau bahan penilaian. b. Password Pengguna (End User Password) - Tersedianya standar penggunaan password yang menjelaskan bagaimana standarisasi password yang dapat dipergunakan pada sistem informasi akuntansi. Standar tersebut minimal menjelaskan komposisi minimal dari password (lebar minimal, kombinasi huruf dan angka), lamanya password tersebut dapat dipergunakan, Banyak kesalahan dalam memasukan password. Mekanisme pengawasan terhadap penggunaan password sebaiknya dilakukan secara otomatis untuk menghindari kekeliruan atau penyalah gunakan. c. Keamanan Identitas - Akses kepada Sistem informasi akuntansi dan infrastruktur teknologi informasi harus dikontrol oleh prosedur yang mengutamakan keamanan. Apabila menggunakan password maka mekanisme penggunaannya mengikuti kebijakan password management yang telah ada. Setiap pengguna harus memiliki identitas yang unik, tidak dapat digunakan secara bersama - sama. Setiap kali pengguna masuk ke sistem, sistem mencatat setiap aktivitas yang dianggap penting yang nantinya dapat digunakan sebagai bukti atau bahan pengawasan. d. Keamanan Akses Fisik - Pengendalian fisik sistem informasi akuntansi haruslah dapat mencegah atau menghalangi sabotase terhadap perangkat keras pemrosesan dan penyimpanan sistem informasi akuntansi. Harus ada yang bertanggung jawab 111

20 memastikan keamanan fisik sistem informasi akuntansi, koordinasi harus senantiasa dilakukan antara departemen TI dan penanggung jawab keamanan gedung\fasilitas. Pengendalian fisik sistem informasi akuntansi mengatur pihak pihak yang dapat mengaksesnya serta prosedur pengaksesannya. Tidak semua orang dapat mengakses langsung infrastruktur dari sistem informasi akuntansi IV Maturity Level Level 1 - Penilaian risiko terkait dengan risiko dari penyalah gunakan akses dan wewenang pada sistem informasi akuntansi belum dilakukan secara formal. Karena tidak didasarkan atas analisa risiko maka penerapan pengendalian akses pada sistem informasi akuntansi masih terbatas berdasarkan inisiatif pengembang sistem informasi akuntansi. Informasi yang berhubungan dengan pengendalian akses dan wewenang belum dapat dikomunikasikan dengan baik karena pelaksanaan pengendalian akses dan wewenang masih bersifat intuitif. Level 2 - Organisasi mulai memahami pentingnya pengendalian akses. standar dan prosedur pengendalian akses telah dibuat meskipun belum mencakup seluruh tujuan pengendalian (control objective) pengendalian akses. Penilaian risiko secara formal terhadap penyalah gunakan akses dan wewenang mulai dilakukan. Meskipun demikian organisasi masih menganggap bahwa penyalahgunaan akses dan wewenang pada sistem informasi akuntansi semata mata merupakan masalah pada domain TI semata. Pada tahap pengembangan sistem informasi akuntansi, pengendalian akses telah menjadi salah satu kebutuhan (requirements) selain kebutuhan fungsionalitas dari sistem informasi akuntansi. Level 3 - Telah ada bagian atau individu yang bertanggung jawab mengatur pengendalian akses dan wewenang pada sistem informasi akuntansi beserta sumber daya TI yang mendukungnya. Pemberian akses dan wewenang pada sistem informasi akuntansi dilakukan berdasarkan prinsip prinsip akuntansi dengan tujuan untuk menghindari penyalahgunaan wewenang. Standar dan prosedur pengendalian akses dan wewenang telah terdefinisi dengan baik akan tetapi ketersediaan Informasi untuk melakukan pengawasan masih belum tersedia dengan cepat dan terstruktur. Telah dilakukan mekanisme pengawasan pengendalian akses pada sistem informasi 112

21 akuntansi, Pada saat ini mekanisme pengawasan masih dilakukan dengan semiotomatis. Level 4 - Koordinasi antara bagian IT, keuangan dan SDM dalam mengatur pengendalian akses pada sistem informasi akuntansi dan sumber daya TI yang mendukungnya telah mulai dibangun meskipun pelaksanaannya masih tumpang tindih. Risiko dari penyalah gunakan akses dan wewenang pada sistem informasi akuntansi telah dikategorikan sebagai risiko yang dapat mengganggu integritas dari sistem informasi akuntansi. Setiap permohonan pengguna baru atau penambahan/pengurangan wewenang pada sistem informasi akuntansi dilakukan secara tertulis dan diotorisasi pelaksanaannya oleh yang berwenang. Telah dilakukan pencatatan perilaku akses (profile) yang dilakukan untuk mendukung proses pengawasan dan penyidikan. Hasil dari pencatatan tersebut kemudian dianalisa secara otomatis atau manual untuk mengetahui\mencegah apabila terjadi penyalahgunaan akses atau wewenang. Level 5 - Koordinasi departemen TI, keuangan dan SDM dalam pemberian dan pengawasan akses dan wewenang yang ada pada sistem informasi akuntansi beserta sumber daya TI yang mendukungnya telah terjalin dengan baik di mana peran dan tanggung jawab tiap tiap departemen telah terdefinisi dengan baik. Proses pengendalian akses dan wewenang senantiasa dilakukan perbaikan menyesuaikan dengan perubahan kondisi internal dan eksternal (regulasi, standar akuntansi). Informasi yang dibutuhkan untuk melakukan pengawasan telah terdefinisi dengan baik dan didistribusikan dengan cepat kepada yang membutuhkannya. Pengawasan akses dan wewenang dilakukan bersama sama antara departemen TI, departemen keuangan dan SDM, proses pengawasan yang bersifat otomatis diimbangi dengan pengawasan manual (audit) yang telah dilakukan terkoordinasi dengan proses audit organisasi secara menyeluruh. IV Peran dan Tanggung Jawab a. Kepala Layanan Sistem Informasi membuat standar/prosedur pengendalian akses pada sistem informasi akuntansi. b. Kepala Keamanan Informasi membuat standar dan prosedur pengendalian akses sumber daya informasi (jaringan, database, server). Merancang mekanisme 113

22 otentifikasi sistem informasi akuntansi dan sumber daya informasi yang mendukungnya. c. Petugas Keamanan Informasi - menjalankan dan mengotorisasi setiap permohonan pemberian akses sumber daya informasi. Melakukan analisa risiko terhadap akses yang akan atau telah diberikan. d. Kepala Keamanan Gedung berkoordinasi dengan keamanan informasi untuk mengatur keamanan fisik fasilitas fasilitas pendukung sistem informasi akuntansi. IV.2.2 Keamanan Jaringan Sistem informasi akuntansi harus dilindungi dari ancaman - ancaman yang dilakukan melalui media jaringan (network). Salah satu cara yang dapat dilakukan adalah dengan membatasi akses langsung terhadap sistem. Untuk menghindari pencurian dan manipulasi data yang ditransmisikan melalui jaringan wajib dilakukan encryption. Sebisa mungkin sistem informasi akuntansi tidak dapat diakses oleh jaringan publik, apabila hal ini tidak dapat dihindarkan maka penggunaan virtual private network harus dilakukan sesuai dengan kebijakan keamanan komunikasi dan kebijakan akses jarak jauh. IV Tujuan Pengendalian (Control Objective) a. Keamanan komunikasi - Setiap informasi yang melalui jaringan wajib diencryption, Standar encryption yang digunakan mengikuti kebijaksanaan keamanan informasi yang telah ada. Penggunaan standar encryption di luar dari yang telah ditetapkan tidak dibenarkan. b. Akses jarak jauh (Remote Access) - Terdapat kebijaksanaan yang mengatur mekanisme akses jarak jauh. Kebijaksanaan tersebut minimal mengatur bagaimana memulai dan mengakhiri sebuah hubungan (connection) pada sistem informasi akuntansi, teknologi yang digunakan, mekanisme otentifikasi, batas waktu sebuah koneksi dalam keadaan kosong (idle) dan juga batas waktu lamanya sebuah koneksi dilakukan. Selain daripada itu dijelaskan juga tanggung jawab dan wewenang dalam pengelolaan akses jarak jauh. IV Maturity Level Level 1 - Penilaian risiko dari keamanan jaringan telah mulai dilakukan meskipun pelaksanaannya tidak menyeluruh dan berkesinambungan. Pelaksanaan pengendalian 114

23 keamanan jaringan masih bersifat khusus. Respons terhadap gangguan keamanan jaringan masih bersifat reaktif. Level 2 - Telah ada yang bertanggung jawab dan mengatur pelaksanaan pengendalian keamanan jaringan. Telah dilakukan penilaian risiko keamanan jaringan pada sistem informasi akuntansi meskipun pelaksanaannya masih terfokus pada infrastruktur jaringan yang ada. Pelaporan masih bersifat asal-asalan, tidak lengkap dan masih terfokus kepada masalah teknis semata. Dokumentasi dari pengendalian keamanan jaringan masih sulit untuk ditemukan. Dokumentasi dari pengendalian keamanan jaringan masih sulit untuk ditemukan. Pengawasan hanya berdasarkan laporan yang ada tidak dilakukan secara real time. Level 3 - Organisasi telah memiliki standar dan prosedur yang mengatur keamanan komunikasi dan mekanisme akses jarak jauh. Manajemen telah sadar akan risiko yang ditimbulkan dari penggunaan media komunikasi elektronik, penilaian risiko telah dilakukan dengan menggabungkan antara aspek teknis (infrastruktur jaringan) dan non teknis (nilai data). Standar dan prosedur pengendalian keamanan jaringan telah mulai diimplementasikan tetapi belum dilakukan pengukuran. Standar dan prosedur keamanan jaringan telah didokumentasikan berdasarkan kebutuhan pengendalian internal pada sistem informasi akuntansi. Pengawasan terhadap kejadian (incident) keamanan jaringan telah mulai dilakukan secara real time. Level 4 - Telah dibentuknya tim keamanan jaringan yang berisikan gabungan antara departemen TI dan departemen Keuangan. Tugas dari tim tersebut adalah mengawasi dan merancang kebijaksanaan keamanan jaringan. Penilaian risiko telah dilakukan dengan terencana mencakup hampir sebagian besar infrastruktur jaringan yang ada, penilaian risiko secara rutin dilakukan dan dilakukan berdasarkan standar/framework tertentu. Manajemen senantiasa mengomunikasikan program program keamanan jaringan baik dengan cara pembuatan pamflet/buletin atau dengan melakukan pelatihan. Telah dibuat Target dan metrik keamanan jaringan akan tetapi proses pelaksanaan dan pengukuran belum dilakukan dengan konsisten. Level 5 - Manajemen telah dapat memastikan bahwa kegagalan keamanan jaringan tidak akan mengganggu operasional dari sistem informasi akuntansi. Tes dan 115

24 penilaian risiko yang bersifat global telah dilakukan dimana hasil dari tes tersebut dijadikan masukan untuk melakukan perbaikan pengendalian keamanan jaringan. Poin - poin dari kebijaksanaan keamanan jaringan telah dilakukan sepenuhnya dan secara berkala dilakukan pembandingan (benchmark) dengan pihak luar. Target dan metrik telah dilakukan penilaian dan pengukuran dengan konsisten. IV Peran dan Tanggung Jawab a. Kepala Keamanan Informasi & Jaringan Membuat kebijaksanaan (polesi) pengendalian keamanan jaringan, mengawasi jalannya penerapan pengendalian keamanan jaringan. b. Kepala Keamanan Informasi berkoordinasi dengan kepala keamanan sistem dan jaringan untuk menentukan prioritas dari penerapan pengendalian keamanan jaringan Merancang mekanisme otentifikasi penggunaan sistem informasi akuntansi secara jarak jauh. c. Analis Keamanan Jaringan Melakukan analisa kebutuhan keamanan komunikasi dan pengendalian akses jarak jauh. Melakukan analisa terhadap risiko dan ancaman yang mungkin terjadi. Melakukan validasi terhadap penerapan dari pengendalian keamanan jaringan. d. Admin Jaringan atau Petugas Keamanan Informasi Melakukan komunikasi dengan kepala keamanan sistem dan jaringan atas penilaian risiko dan ancaman dari keamanan pengendalian jaringan. Menjalankan standar dan prosedur pengendalian keamanan jaringan. Melakukan konfigurasi infrastruktur keamanan komunikasi serta konfigurasi pengendalian akses jarak jauh. IV.2.3 Kelangsungan Layanan Sistem Informasi Akuntansi Untuk menjamin kelangsungan sistem informasi akuntansi, diperlukan rencana untuk menghadapi kejadian - kejadian yang mengganggu kelangsungan layanan sistem informasi akuntansi. Rencana tersebut haruslah bersifat menyeluruh mencakup seluruh komponen - komponen penunjang sistem informasi akuntansi. IV Tujuan Pengendalian (Control Objective) a. Kelangsungan Layanan dan penilaian risiko - Harus dilakukan identifikasi terhadap kejadian yang dapat mengganggu kelangsungan sistem informasi akuntansi, dilakukan juga penilaian kemungkinan terjadi dan dampak yang 116

25 ditimbulkannya (business impact analysis). Rencana kelangsungan layanan sistem informasi akuntansi harus tetap menjunjung tinggi prinsip prinsip akuntabilitas. Minimal isi dari rencana kelangsungan layanan sistem informasi akuntansi berisikan panduan, peran dan tanggung jawab, prosedur serta mekanisme komunikasi pasca terjadinya bencana. b. Pengujian, pemeliharaan dan penilaian ulang Rencana Kelangsungan Layanan - Rencana kelangsungan layanan sistem informasi akuntansi bukanlah merupakan sesuatu yang statis, harus senantiasa dilakukan pelatihan dan juga perbaikan untuk memastikan kesiapan dalam menghadapi bencana. Rencana kelangsungan sistem informasi akuntansi harus senantiasa dilakukan pengujian dan perbaikan (update) untuk memastikan efektivitas dan keterkinian. Simulasi bencana juga harus dilakukan dengan mengikut sertakan pengguna sistem informasi akuntansi, tujuan dari simulasi tersebut adalah untuk melatih pengguna sistem informasi akuntansi peran dan tanggung jawab yang harus dilakukan pasca terjadinya bencana. IV Maturity Level Level 1 - Manajemen telah sadar akan pentingnya kelangsungan layanan sistem informasi akuntansi. Akan tetapi pelaksanaan dari pengendalian kelangsungan layanan sistem informasi akuntansi masih terbatas karena kurangnya dukungan sumber daya (resource). Tanggung jawab kelangsungan layanan masih diterapkan secara informal dan wewenang yang dimiliki masih terbatas Pengawasan akan kelangsungan layanan telah dilakukan tetapi masih terbatas pada cara - cara manual. Level 2 - Telah dibuat Rencana kelangsungan layanan sistem informasi akuntansi, akan tatapi pelaksanaannya masih tergantung pada individu individu tertentu. Dokumen Kelangsungan layanan belum tersedia seluruhnya, meskipun telah ada komitmen untuk memberikan layanan di saat darurat. Pelaporan masih bersifat asal - asalan, tidak menyeluruh dan belum ada analisa dampak terganggunya kelangsungan sistem informasi terhadap bisnis. Level 3 - Telah ada yang bertanggung jawab dan memelihara kelangsungan layanan sistem informasi akuntansi. Secara berkala telah dilakukan pengujian dan pelaporan terhadap kesiapan keberlangsungan layanan sistem informasi akuntansi. Telah tersedia peralatan peralatan untuk menghadapi keadaan darurat sesuai dengan apa 117

26 yang terdapat pada rencana kelangsungan bisnis. Telah ada rencana Kelangsungan layanan sistem informasi akuntansi yang dibuat berdasarkan kegentingan dari layanan akuntansi dan akibat terhadap bisnis secara menyeluruh. Target dan metrik untuk keberlangsungan layanan telah dibuat tetapi pengukurannya dilakukan secara tidak konsisten. Level 4 - Telah terjadi koordinasi antara departemen TI dan departemen Keuangan untuk menjalankan dan memelihara rencana kelangsungan layanan sistem informasi akuntansi. Pemeliharaan rencana kelangsungan layanan sistem informasi akuntansi dilakukan berdasarkan hasil tes dan penilaian risiko. Kejadian yang menyebabkan terhentinya layanan telah diklasifikasikan dan penyebabnya telah dipelajari agar tidak terulang kembali, organisasi telah memiliki lokasi alternatif untuk menjalankan sistem informasi akuntansi. Pelatihan formal telah dilakukan untuk mendukung keberlangsungan layanan sistem informasi akuntansi. Level 5 - Kesadaran akan pentingnya kelangsungan layanan telah terbentuk, seluruh komponen organisasi telah mengerti akan peran dan tanggung jawabnya dalam melaksanakan rencana kelangsungan bisnis. Rencana kelangsungan layanan sistem informasi akuntansi telah dibuat dan dirawat berdasarkan analisa akibat terhadap bisnis (business impact analysis). Kelangsungan layanan sistem informasi akuntansi telah terintegrasi dengan rencana kelangsungan layanan bisnis dan secara rutin dilakukan perawatan. Pengukuran Target dan metrik untuk keberlangsungan layanan sistem informasi akuntansi telah dilakukan secara sistematik. IV Peran dan Tanggung Jawab a. Kepala Operasional Bisnis Berkoordinasi dengan bagian layanan informasi bisnis menentukan proses bisnis proses bisnis yang harus dapat segera tersedia pasca terjadinya bencana. mengomunikasikan rencana kelangsungan layanan sistem informasi kepada para pemilik proses. Melakukan latihan bersama untuk mengevaluasi rencana kelangsungan bisnis sekaligus melatih kesiapan pasca terjadinya bencana. b. Kepala Layanan Informasi - Berkoordinasi dengan bagian lainnya untuk merancang rencana kelangsungan layanan sistem informasi akuntansi, membuat standar operasional prosedur pasca terjadinya bencana. Melakukan analisa 118