Pemodelan Framework Pengendalian Internal Pada Sistem Informasi Akuntansi (Studi Kasus: PT. Telekomunikasi Indonesia TBK) TESIS

Transkripsi

1 Pemodelan Framework Pengendalian Internal Pada Sistem Informasi Akuntansi (Studi Kasus: PT. Telekomunikasi Indonesia TBK) TESIS Karya tulis sebagai salah satu syarat untuk memperoleh gelar Magister dari Institut Teknologi Bandung Oleh M Hendra Herviawan NIM : (Program Studi Magister Informatika) INSTITUT TEKNOLOGI BANDUNG 2009

2 ABSTRAK Pemodelan Framework Pengendalian Internal Pada Sistem Informasi Akuntansi (Studi Kasus: PT. Telekomunikasi Indonesia TBK) Oleh M Hendra Herviawan NIM : (Program Studi Magister Informatika) Di awal tahun 2000 terjadi skandal keuangan pada perusahaan- perusahaan besar di Amerika seperti Enron, Tyco International, WorldCom. Skandal tersebut berupa kesalahan dalam proses penyampaian transaksi keuangan sehingga laporan audit transaksi keuangan perusahaan tersebut bersifat tidak bisa diandalkan (unreliable financial report). Untuk memulihkan kepercayaan investor, pada tanggal 23 Januari 2002 kongres Amerika Serikat mengesahkan undang - undang Public Company Accounting Reform and Investor Protection Act of 2002 atau undang - undang perlindungan investor dan pengaturan akuntansi perusahaan publik, saat ini undang - undang ini lebih terkenal dengan nama SOX atau Sarbox mengambil inisial dari pencetus undang - undang ini Paul Sarbanes dan G.Oxley. SOX terdiri atas 11 judul utama dengan 69 pasal. Terdapat dua bagian dalam SOX yang mewajibkan manajemen untuk dapat memberikan keyakinan yang memadai terkait dengan penerapan pengendalian internal. Bagian pertama adalah bagian 302, corporate responsibility for financial report. Bagian kedua yang memiliki implikasi dengan internal control adalah bagian 404, Management assessment of internal control. SOX 302 & 404 menyebabkan perusahaan memiliki kewajiban hukum melaporkan pengendalian internal terhadap proses pelaporan keuangan. Petunjuk pelaksanaan SOX bagian 302 & 404 yang dikeluarkan oleh SEC menyarankan untuk menggunakan pengendalian internal berbasiskan TI karena memiliki sifat konsisten dan otomatis, oleh karena itu pengendalian internal pada TI menjadi penting untuk menjaga kualitas dan integritas dari informasi yang dihasilkan oleh sistem informasi akuntansi. Pengendalian internal adalah sebuah proses yang diprakarsai oleh dewan direksi, manajemen dan pihak lainnya yang didisain untuk mendapatkan keyakinan yang memadai (reasonable assurance) agar tercapainya (1) Efektivitas dan efisien dalam operasional, (2) Reabilitas dari laporan keuangan, (3) Patuh terhadap hukum dan aturan aturan. Dalam membangun pengendalian internal COSO mendefinisikan lima komponen yang dapat digunakan sebagai panduan dalam penerapan pengendalian internal. Kelima komponen tersebut adalah (1) Lingkungan Pengendalian (Control ii

3 environment), (2) Penilaian risiko (Risk assessment), (3) Aktivitas Pengendalian (Control Activity), (4) Informasi dan Komunikasi (Information and Communication) dan (5). Pengawasan (Monitoring). Untuk dapat memberikan keyakinan yang memadai terhadap integritas dari sistem informasi akuntansi, framework pada tesis ini secara garis besar berisikan (1) Tatacara penilaian dan perbaikan pengendalian internal, (2) 8 Aktivitas pengendalian internal pada sistem informasi akuntansi. Tatacara yang akan dipergunakan dalam menilai dan melakukan perbaikan pengendalian internal pada sistem informasi akuntansi adalah : (1) Identifikasi rekening dan transaksi yang berpengaruh terhadap laporan keuangan, (2) Identifikasi sumber daya TI dan pengendalian Internal, (3) Penilaian Risiko, (4)Perbaikan Pengendalian Internal. Framework pengendalian internal pada sistem informasi akuntansi berisikan 8 aktivitas pengendalian yang terbagi ke dalam 3 tipe pengendalian internal (Entity level control, IT General Control, Application Control). Isi dari setiap aktivitas pengendalian internal adalah : (1) Tujuan pengendalian (Control Objective), (2) Maturity Level, (3) Kuesioner, (4) Tabel Perbaikan, (5) Peran dan Tanggung Jawab. Untuk menguji pengendalian internal yang diusulkan pada framework ini dilakukan penilaian dengan cara menyebarkan kuesioner terhadap penerapan pengendalian internal berdasarkan framework yang ada pada tesis ini. Penyebaran kuesioner dilakukan di PT Telekomunikasi Indonesia TBK (PT Telkom), kuesioner dibagikan kepada bagian Internal Audit yang berlokasi di Lantai 5 GKP PT Telekomunikasi Indonesia jalan Japati no 1 Bandung, Jawa Barat. Hasil dari penilaian tersebut menunjukkan bahwa isi dari framework pengendalian internal pada sistem informasi akuntansi yang diusulkan pada tesis ini dianggap penting dan sesuai dengan kebutuhan pengendalian internal pada PT. Telkom. Lebih jauh lagi bahwa hasil penilaian pengendalian internal pada PT. Telkom menyebutkan bahwa pengendalian Entity Level Control memiliki hubungan langsung terhadap keberhasilan penerapan pengendalian internal (dibandingkan dengan pengendalian IT General Control, Application Control). Dari hasil observasi terhadap PT. Telkom dapat disimpulkan bahwa pada PT. Telkom pengendalian Entity Level Control merupakan dasar yang menunjang keberhasilan penerapan pengendalian IT General Control dan Application Control. Kata Kunci: Sarbanes Oxley Act, risiko, Penilaian risiko dari atas ke bawah, Pengendalian Internal, Sistem Informasi Akuntansi, Framework, Entity level control, IT General Control, Application Control. Control Objective, Maturity Level, Kuesioner, Tabel Perbaikan, Peran dan Tanggung Jawab. iii

4 ABSTRACT Modeling Internal Control Framework For Accounting Information System (Case Study: PT. Telekomunikasi Indonesia TBK) By M Hendra Herviawan NIM : (Informatic Master Programme) In early 2000 there are financial scandal at the big companies in America such as Enron, Tyco International, WorldCom. The scandal was a mistake in the delivery process of financial transactions so that the audit report the company's financial transactions are not reliable (unreliable financial report). To restore public investing, in 23 January 2002 US congress approve Public Company Accounting Reform and Investor Protection Act of 2002 or SOX. SOX consist of 11 major titles with 69 chapters. There are two parts of SOX that requires management to provide adequate confidence associated with the implementation of internal control. the first was the 302, the corporate responsibility for financial reports. The second part of which has implications for the internal control is part of 404, Management assessment of internal control. SOX 302 & 404 cause the company have a legal obligation to report on internal control financial reporting process. Instructions implementing SOX section 302 & 404 issued by the SEC advised to use IT-based internal control because it has a consistent and automated nature, therefore the internal controls in IT is important to maintain the quality and integrity of information generated by the accounting information system. Internal control is a process initiated by the board of directors, management and other parties are designed to obtain sufficient confidence (reasonable assurance) that the achievement of (1) effectiveness and efficiency in operations, (2) reliability of financial reporting, (3) Obey the laws and rules - rules. COSO defines five internal control components that can be used as a guide in the implementation of internal control. five components are: (1) Control environment, (2) risk assessment, (3) Control Activity, (4) Information and Communication and (5). Monitoring. In order to provide sufficient confidence for the integrity of accounting information systems, this framework contains an outline of (1) Methodology assessment and improvement of internal controls, (2) 8 activity in the internal control of accounting information systems. The Methodology that will be used in assessing and improvement of internal controls on accounting information systems are: (1) Identify the accounts and transactions affecting the financial statements, (2) Identify the IT iv

5 resources and internal controls, (3) Risk Assessment, (4) Internal Control Improvements. Internal control framework for accounting information system contains 8 control activities that are divided into 3 types of internal controls (Entity-level controls, IT General Control, Application Control). The contents of any internal control activities are: (1) Destination control (Control Objective), (2) Maturity Level, (3) questionnaires, (4) Table Repair, (5) The Role and Responsibilities. To test the internal control framework proposed in the assessment by disseminating a questionnaire on the implementation of internal control based on the framework in this thesis. Questionnaires carried out at PT Telekomunikasi Indonesia Tbk (PT Telkom), a questionnaire distributed to the Internal Audit section which is located at 5th Floor GKP PT Telekomunikasi Indonesia street Japati No. 1 Bandung, West Java. The results from these assessments indicate that the contents of the internal control framework on accounting information system proposed in this thesis are considered important and in accordance with internal control requirements at PT. Telkom. Further that the results of the assessment of internal controls at PT. Telkom said that the Control Level Control Entity has a direct relationship to the successful implementation of internal controls (compared with control IT General Control, Application Control). From the observation of PT. Telkom can be concluded that the PT. Telkom controls Entity Level Control is the foundation to support successful implementation of IT General Control Control and Application Control. Keyword: Internal Control, Sarbanes Oxley Act, Risk, Top Down Risk Assessment, Accounting Information System, Framework, Entity level control, IT General Control, Application Control. Control Objective, Maturity Level, Questioner, Recommendation table, Role and Responsibility. v

6 Pemodelan Framework Pengendalian Internal Pada Sistem Informasi Akuntansi (Studi Kasus: PT. Telekomunikasi Indonesia TBK) Oleh M Hendra Herviawan NIM : (Program Studi Magister Informatika) Institut Teknologi Bandung Menyetujui Pembimbing Tanggal.. (Kridanto Surendro, M.Sc., Ph.D) vi

7 PEDOMAN PENGGUNAAN TESIS Tesis S2 yang tidak dipublikasikan terdaftar dan tersedia di Perpustakaan Institut Teknologi Bandung, dan terbuka untuk umum dengan ketentuan bahwa hak cipta ada pada pengarang dengan mengikuti aturan HaKI yang berlaku di Institut Teknologi Bandung. Referensi kepustakaan diperkenankan dicatat, tetapi pengutipan atau peringkasan hanya dapat dilakukan seizin pengarang dan harus disertai dengan kebiasaan ilmiah untuk menyebutkan sumbernya. Memperbanyak atau menerbitkan sebagian atau seluruh tesis haruslah seizin Direktur Program Pascasarjana, Institut Teknologi Bandung. vii

8 KATA PENGANTAR Alhamdulillah, segala puji dan syukur kepada Allah SWT atas segala rahmat dan karunia-nya sehingga penulis dapat menyelesaikan tesis ini sebagai salah satu syarat untuk kelulusan program magister pada Program Studi Magister Informatika ITB. Untuk itu penulis menyampaikan terima kasih dan penghargaan yang setinggitingginya kepada pihak-pihak yang telah banyak membantu dalam penyelesaian tesis ini, yaitu : 1. Bapak Ir. Kridanto Surendro, M.Sc., Ph.D. sebagai Pembimbing dan sebagai dosen wali, terima kasih atas segala saran, bimbingan dan nasehat Bapak sehingga tesis ini dapat diselesaikan dengan sebaik-baiknya. 2. Bapak Dr. Ir. Husni S. Sastramihardja, MT, selaku dosen tesis dan dosen penguji seminar, terima kasih atas segala masukan dan saran Bapak. 3. Ibu Dra. Cristine Suryadi, MT, Dr.Nur Ulfa Mauli Devi, ST., MSC dan Fazat Nur Azizah, S.T., MSC sebagai dosen penguji, terima kasih atas masukan dan koreksi Ibu. 4. Dosen-dosen STEI ITB, terima kasih atas bimbingan Bapak/Ibu selama mengikuti perkuliahan di jalur Sistem Informasi STEI ITB. 5. Staf Tata Usaha Program Studi Magister Informatika ITB yaitu Pak Ade, Mbak Nur, staf dukungan teknis dan staf perpustakaan yang telah membantu proses administrasi dan menyediakan fasilitas bagi Penulis untuk menyelesaikan studi dan tesis ini. 6. PT Telekomunikasi Indonesia TBK (PT Telkom) bagian Internal Audit GKP Lantai 5 PT Telekomunikasi Indonesia jalan terima kasih atas dukungan dan bantuannya dalam mengisi kuesioner penerapan pengendalian internal. 7. Papa, mama dan adik-adik tercinta, terima kasih atas doa, dukungan, dan semangatnya sehingga penulis dapat menyelesaikan pendidikan ini. 8. Teman-teman Program Studi Magister Informatika Jalur Sistem Informasi Angkatan 2007, terima kasih atas kekompakan dan kebersamaan yang indah. Semoga segala bantuan dan dukungan mendapatkan balasan yang berlimpah dari Tuhan Yang Maha Esa. Amin. Penulis menyadari bahwa dalam penyusunan tesis ini masih memiliki banyak kekurangan, oleh karena itu segala kritik dan saran yang membangun akan menjadi penyempurna bagi tesis ini. viii

9 DAFTAR ISI ABSTRAK... ii ABSTRACT... iv PEDOMAN PENGGUNAAN TESIS... vii KATA PENGANTAR...viii DAFTAR ISI... vii DAFTAR LAMPIRAN... xi DAFTAR GAMBAR DAN ILUSTRASI... xii DAFTAR TABEL...xiii DAFTAR ISTILAH... xv BAB I Pendahuluan... 1 I.1 Latar Belakang... 1 I.2 Rumusan Masalah... 3 I.3 Tujuan... 3 I.4 Batasan Masalah... 3 I.5 Kegunaan Hasil... 4 I.6 Metodologi... 4 BAB II Tinjauan Pustaka... 6 II.1 Pengendalian Internal (Internal Control)... 6 II.1.1 Definisi Pengendalian Internal... 6 II.1.2 Tujuan Pengendalian Internal... 7 II.1.3 Pengendalian internal dan Risiko... 8 II.1.4 Contoh penerapan Pengendalian Internal... 8 II.1.5 Pengelompokan Pengendalian Internal... 9 II.2 Sarbanes Oxley Act... 9 II.2.1 Sarbanes Oxley Act Bagian II.2.2 Pengendalian Internal pada Teknologi Informasi II.3 COSO Internal Control Framework II.3.1 Definisi dan Tujuan II.3.2 Lima komponen pengendalian internal II.3.3 Proses Pengendalian Internal II.4 Sistem Informasi Akuntansi vii

10 II.4.1 Sistem informasi dalam prospektif akuntansi II.4.2 Subsistem informasi akuntansi II.4.3 Akuntansi, akuntabilitas dan GCC II.4.4 Akuntabilitas sistem informasi akuntansi II.5 Manajemen Risiko II.5.1 Definisi Risiko II.5.2 Definisi Manajemen Risiko II.5.3 Ancaman (thread) & Kelemahan (vulnerabilities) II.5.4 Motivasi dan kegiatan ancaman II.5.5 Strategi penanggulangan risiko II.6 Keamanan Informasi (Information Security) II.6.1 Definisi Keamanan Informasi II.6.2 Prinsip prinsip Keamanan Informasi II.6.3 Risiko dari Sistem informasi II.6.4 Aktivitas Keamanan Informasi II.6.5 Kebijaksanaan (policies), Standar (standard) dan Panduan (Guideline) 27 II.6.6 Keamanan Informasi, Sistem informasi dan Pengendalian Internal II.6.7 Framework Keamanan Informasi ISO: II.7 Framework Yang Berkaitan Dengan Pengendalian Teknologi Informasi II.7.1 Internal Control Objective For Sarbanes Oxley 2nd II.7.2 Guide to the Assessment of IT (GAIT) BAB III Analisa Kebutuhan Pengendalian Internal III.1 Pengendalian Internal Terhadap Laporan Keuangan Berbasiskan Teknologi Informasi III.1.1 Pengendalian Internal Terhadap Laporan Keuangan menurut SOX III.1.2 COSO Sebagai Framework Pengendalian Internal III.1.3 Pengendalian Internal berbasiskan TI berdasarkan COSO III.2 Analisa Risiko Pemrosesan Keuangan Berbasiskan TI III.2.1 Penilaian Risiko Dari Atas ke Bawah (Top Down Risk Assessment) III.2.2 Risiko Penggunaan TI Terhadap Integritas Laporan Keuangan III.3 Kebutuhan pengendalian internal pada Sistem Informasi Akuntansi III.3.1 Penilaian kebutuhan pengendalian internal berdasarkan risiko penggunaan sumber daya Teknologi Informasi viii

11 III.3.2 Pengendalian Internal Terhadap Risiko Penggunaan Aplikasi III.3.3 Pengendalian Internal Terhadap Risiko Penggunaan Infrastruktur dan Manusia III.3.4 Pengendalian internal terhadap risiko penggunaan Informasi III.4 Analisa Kebutuhan Framework Pengendalian Internal pada Sistem Informasi Akuntansi III.4.1 Analisa Tatacara Penilaian & Perbaikan Pengendalian Internal III.4.2 Analisa Model Aktivitas Pengendalian Internal III.5 Analisa Kebutuhan Aktivitas Pengendalian Internal III.5.1 Analisa Kebutuhan Pengendalian Akses dan Wewenang III.5.2 Analisa Kebutuhan Pengendalian Keamanan Jaringan III.5.3 Analisa Kebutuhan Pengendalian Kelangsungan layanan Sistem Informasi Akuntansi III.5.4 Analisa Kebutuhan Pengendalian Audit Sistem Informasi Akuntansi.. 71 III.5.5 Analisa Kebutuhan Pengendalian Pusat Data III.5.6 Analisa Kebutuhan Pengendalian Operasional Komputer III.5.7 Analisa Kebutuhan Pengendalian Tatacara Pengembangan Sistem III.5.8 Analisa Kebutuhan Pengendalian Aplikasi BAB IV Perancangan dan Pengujian IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal IV.1.1 Identifikasi Rekening dan Transaksi Keuangan yang Signifikan IV.1.2 Identifikasi Sumber Daya TI dan Pengendalian Internal IV.1.3 Penilaian Risiko IV.1.4 Perbaikan Pengendalian Internal IV.2 Aktivitas Pengendalian Internal IV.2.1 Pengendalian akses IV.2.2 Keamanan Jaringan IV.2.3 Kelangsungan Layanan Sistem Informasi Akuntansi IV.2.4 Audit Sistem Informasi Akuntansi IV.2.5 Pusat Data IV.2.6 Operasional Komputer IV.2.7 Tatacara Pengembangan Sistem IV.2.8 Pengendalian Aplikasi IV.3 Pengujian Framework Pengendalian Internal ix

12 IV.3.1 Tatacara Pengujian IV.3.2 Analisa Hasil Pengujian IV.3.3 Penyempurnaan model BAB V Penutup V.1 Kesimpulan V.2 Saran Daftar pustaka x

13 DAFTAR LAMPIRAN Lampiran A: Kuesioner Penilaian dan Perbaikan Pengendalian Internal pada Sistem Informasi Akuntansi Lampiran B: Hasil Survei xi

14 DAFTAR GAMBAR DAN ILUSTRASI Gambar II.1. Proses Pengendalian Internal (COSO, 2006) Gambar II.2 Aktivitas Keamanan Informasi Gambar II.3. SOX Cobit jalan menuju kepatuhan (ITGI, 2006) Gambar II.4. Pengendalian Internal pada SOX Cobit (ITGI, 2006) Gambar II.5 Penilaian Risiko dari Atas Ke Bawah Menurut GAIT (IIA, 2007) Gambar III.1 Framework Aktivitas Pengendalian Internal Gambar III.2Model dari Aktivitas Pengendalian internal pada Sistem Informasi Akuntansi Gambar III.3 Penjabaran dari Setiap Aktivitas Pengendalian Internal Gambar III.4 Pemisahan Kekuasaan (segregations of duties) (Perelsona dkk, 2001). 57 Gambar III.5 Keamanan Pusat Data (Davis, 2007) Gambar III.6 Contoh Pengendalian Pusat Data Gambar IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal xii

15 DAFTAR TABEL Tabel II.1 Motivasi dan Risiko (Gary dkk, 2002) Tabel II.2 Dua Belas pengendalian internal pada SOX Cobit (ITGI, 2006) Tabel III.1 Risiko penggunaan sistem yang berinteraksi dengan laporan keuangan Tabel III.2 Risiko penggunaan infrastruktur TI terhadap integritas dari laporan keuangan Tabel III.3 Tahapan penilaian dan perbaikan Pengendalian Internal pada Sistem Informasi Akuntansi Tabel III.4 Pengelompokan Pengendalian Internal Tabel III.5 Pengendalian internal pada Sistem Informasi Akuntansi Tabel III.6 Aktivitas Pengendalian Internal Tabel III.7 Risiko dari lingkungan multi pengguna (Multi User) Tabel III.8 Maturity Level dari Pengendalian Akses Tabel III.9 Tujuan Pengendalian Tatakelola Peran dan Tanggung Jawab Tabel III.10 Tujuan Pengendalian Tatakeloa Password Tabel III.11 Tujuan Pengendalian Keamanan Fisik Tabel III.12 Risiko dari Penggunaan Jaringan Tabel III.13 Maturity Level Keamanan Jaringan Tabel III.14 Tujuan Pengendalian Keamanan Komunikasi Tabel III.15 Tujuan Pengendalian Akses Jarak Jauh Tabel III.16 Maturity Level Kelangsungan Layanan Sistem Informasi Tabel III.17 Tujuan Pengendalian Kelangsungan Layanan dan Penilaian Risiko Tabel III.18 Tujuan Pengendalian Pengujian, Pemeliharaan dan Penilaian ulang Rencana Kelangsungan Layanan Tabel III.19 Maturity Level Audit Sistem Informasi Akuntansi Tabel III.20 Tujuan Pengendalian Audit Sistem Informasi Akuntansi Tabel III.21 Tujuan Pengendalian Tatakelola Log File Tabel III.22 Maturity Level Pengendalian Pusat Data Tabel III.23 Tujuan Pengendalian Fasilitas Tabel III.24 Tujuan Pengendalian Backup Tabel III.25 Maturity Level Pengendalian Pusat Data Tabel III.26 Tujuan Pengendalian Virus\worm\spyware (kode jahat) Tabel III.27 Tujuan Pengendalian Penanggulangan Masalah dan Kejadian Tabel III.28 Maturity Level Pengendalian Pengembangan Sistem Tabel III.29 Tujuan Pengendalian Pengadaan dan Perawatan Tabel III.30 Tujuan Pengendalian Tatakelola Perubahan Tabel III.31 Tujuan Pengendalian Tatakelola Konfigurasi Tabel III.32 Maturity Level Pengendalian Aplikasi Tabel III.33 Tujuan Pengendalian Validasi Masukan Tabel III.34 Tujuan Pengendalian Pemrosesan Tabel III.35 Tujuan Pengendalian Validasi Keluaran Tabel IV.1 Skala\ukuran penilaian rekening penting Tabel IV.2 Skala Penilaian Kemungkinan Risiko Tabel IV.3 Skala Ukuran Dampak dari Risiko Tabel IV.4 Matrik Penilaian Risiko Tabel IV.5 Hasil survei entity level control, it general control, application control, pengendalian internal xiii

16 Tabel IV.6 Hasil survei entity level control dan it general control Tabel IV.7 Hasil survei entity level control dan application control Tabel IV.8 Hasil survei it general control dan application control Tabel IV.9 Hasil Pengujian xiv

17 DAFTAR ISTILAH Istilah Keterangan COSO Committee of sponsoring organization of the treadway commission (COSO) adalah organisasi nirlaba didirikan pada Pada tahun 1992 COSO mengeluarkan internal control framework yang berisikan panduan dalam membuat dan menjalankan pengendalian internal. Material Statement Kesalahan pada informasi dapat mempengaruhi pengambilan keputusan. Pengukuran dari material error dilakukan Pengendalian (control). Pengendalian Internal (Internal Control) Pengendalian Tingkat Entiti (Entity Level Control) Pengendalian umum TI (IT General Control). Pengendalian Aplikasi (application control). PCAOB berdasarkan penilaian seorang ahli. Tindakan - tindakan yang diambil oleh manajemen, dewan direksi dan pihak lainnya yang dilakukan untuk mengelola risiko dan meningkatkan kemungkinan tercapainya tujuan dan goal- goal yang telah ditetapkan. Pengendalian internal adalah sebuah proses yang diprakarsai oleh dewan direksi, manajemen dan pihak lainnya yang didisain untuk mendapatkan keyakinan yang memadai (reasonable assurance) agar tercapainya[4]: a. Efektif dan efisien dalam operasional. b. Reabilitas dari laporan keuangan. c. Patuh terhadap hukum dan aturan aturan. Pengendalian yang mendasari proses pengendalian internal, Pengendalian tingkat entity memberikan dasar dalam menjaga integritas dari sistem informasi akuntansi. Struktur, kebijaksanaan dan prosedur yang berpengaruh terhadap komponen komponen utama sumber daya informasi yang bertujuan untuk memastikan integritas dan ketersediaan layanan teknologi informasi. Pengendalian yang bertujuan untuk menanggulangi risiko pada tingkat aplikasi, dapat berupa pengendalian yang bersifat otomatis (berada pada kode program) ataupun bersifat manual (standar, prosedur, kebijaksanaan). The Public Company Accounting Oversight Board, adalah organisasi yang tidak berorientasi pada keuntungan (non profit coorporation) yang diciptakan sesuai dengan amanat yang terdapat pada undang undang SOX. Organisasi ini bertujuan untuk xv

18 Risiko Bawaan (inherent risk) Risiko Pengendalian (control risk) SEC Top Down Risk Assessment (TDRA) melindungi kepentingan investor dan lebih jauh melindungi kepentingan umum terkait dengan proses persiapan informasi\laporan keuangan dan independensi dari hasil audit melalui pembuatan standar standar proses audit laporan keuangan. Suatu ukuran atas penilaian auditor akan kemungkinan terdapat suatu kesalahan salah saji yang material dalam suatu segmen sebelum mempertimbangkan efektivitas pengendalian internal Suatu ukuran atas penilaian auditor akan kemungkinan terdapatnya suatu salah saji yang melebihi nilai salah saji yang masih dapat diterima pada suatu segmen yang tidak tercegah atau terdeteksi oleh pengendalian internal. The United states securities and exchange commission (SEC) adalah badan\departement yang ada di bawah pemerintah Amerika bertugas untuk mengawasi dan menerapkan undang undang atau peraturan pemerintah terkait dengan surat surat berharga. Metodologi penilaian risiko dan penentuan ruang lingkup dalam menilai\audit pengendalian internal yang dikeluarkan oleh PCAOB berkenaan dengan undang undang SOX bagian 404. xvi