Analisa Kebutuhan Pengendalian Internal

dokumen-dokumen yang mirip
Perancangan dan Pengujian

BAB I Pendahuluan I.1 Latar Belakang

Dr. Imam Subaweh, SE., MM., Ak., CA

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

COSO ERM (Enterprise Risk Management)

BAB 1 PENDAHULUAN. Dengan adanya mobilitas fasilitas elektronik dan on-line menyebabkan setiap

INTEGRITAS DAN KEAMANAN DATA. Gentisya Tri Mardiani, S.Kom., M.Kom

TUGAS E-LEARNING ADMINISTRASI BISNIS INTERNAL CONTROL

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Standar Audit SA 402. Pertimbangan Audit Terkait dengan Entitas yang Menggunakan Suatu Organisasi Jasa

BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto

Implementasi E-Bisnis e-security Concept And Aplication Part-11

DAFTAR ISTILAH SISTEM APLIKASI PERBANKAN

Cobit memiliki 4 Cakupan Domain : 1. Perencanaan dan Organisasi (Plan and organise)

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

BAB II TINJAUAN PUSTAKA. tujuan tertentu melalui tiga tahapan, yaitu input, proses, dan output. yang berfungsi dengan tujuan yang sama.

Pemodelan Framework Pengendalian Internal Pada Sistem Informasi Akuntansi (Studi Kasus: PT. Telekomunikasi Indonesia TBK) TESIS

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

COBIT dalam Kaitannya dengan Trust Framework

BAB IV PEMBAHASAN. fungsi penjualan pada PT.APTT. Dalam melaksanakan audit kecurangan, dilakukan

Menurut commitee of sponsoring organization (COSO) pengertian pengendalian internal dalam buku Sistem Informasi Akuntansi (Romney:230) adalah :

BAB IV PEMBAHASAN. Audit operasional dilaksanakan untuk menilai efisiensi, efektifitas dan

STUDI PENERAPAN IT GOVERNANCE UNTUK MENUNJANG IMPLEMENTASI APLIKASI PENJUALAN DI PT MDP SALES

Taryana Suryana. M.Kom

BAB II LANDASAN TEORI Pengertian Sistem Pengendalian Intern. Sistem menurut James A Hall (2007: 32). Sistem adalah kelompok dari dua

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

Manajemen Keamanan Informasi

BAB I PENDAHULUAN. I.1 Latar Belakang

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

BERITA NEGARA REPUBLIK INDONESIA

BAB II TINJAUAN PUSTAKA

DAFTAR ISI CHAPTER 5

2/5/2015. Internal Control Concepts. CDG4I3 / Audit Sistem Informasi. Angelina Prima K Gede Ary W. KK SIDE Overview

HASIL DAN PEMBAHASAN. Langkah awal dalam tahap perencanaan audit sistem informasi menghasilkan

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

BAB V SIMPULAN, IMPLIKASI, SARAN, DAN KETERBATASAN PENELITIAN

PASAL DEMI PASAL. Pasal 1 Cukup jelas.

PERATURAN BUPATI SUKOHARJO NOMOR : 54 TAHUN 2010 TENTANG

BAB I PENDAHULUAN. menjaga aset perusahaan dari kemungkinan-kemungkinan yang tidak. diinginkan, seperti penyalahgunaan aset ataupun pencurian aset.

PANDUAN AUDIT SISTEM INFORMASI

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

BAB 4 PEMBAHASAN. Sebuah perusahaan dalam pelaksanaan kegiatan operasionalnya harus memiliki

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )

Tulis yang Anda lewati, Lewati yang Anda tulis..

BUPATI GARUT DENGAN RAHMAT TUHAN YANG MAHA ESA

BAB IV PEMBAHASAN. IV.1. Tahap Penelitian. Tahapan penelitian dibagi menjadi beberapa bagian yaitu: a. Tahap Pendahuluan

1.1 Latar Belakang Masalah

Nama : Putri Syaharatul Aini Nim : Uas : Sistem Informasi Akuntansi Soal : ganjil

ANALISIS TATA KELOLA TEKNOLOGI INFORMASI PADA BAGIAN LOGISTIK PERGURUAN TINGGI (STUDI KASUS: UKSW SALATIGA)

LAMPIRAN SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 35 /SEOJK.03/2017 TENTANG PEDOMAN STANDAR SISTEM PENGENDALIAN INTERN BAGI BANK UMUM

Audit Teknologi Sistem Informasi. Pertemuan 1 Pengantar Audit Teknologi Sistem Informasi

I. BAB I PENDAHULUAN I.1 Latar Belakang

PENGENDALIAN INTERN 1

Internal Control Framework: The COSO Standard

Konsep Dasar Audit Sistem Informasi

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

PROTEKSI ASET INFORMASI ASIH ROHMANI,M.KOM

II. PERAN DAN TANGGUNG JAWAB DIREKSI

Daftar Pertanyaan Penelitian. Berilah tanda (checklist) untuk menjawab pertanyaan berikut ini: KUESIONER VARIABEL INDEPENDEN (Pengendalian Internal)

Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan

BUPATI CILACAP PERATURAN BUPATI CILACAP NOMOR 88 TAHUN 2013 TENTANG

Internal Audit Charter

IV.1.1 Evaluasi Lingkungan Pengendalian ( Control Environment)

b. Pengendalian Komunikasi Data Review yang berkaitan dengan pengendalian komunikasi dapat diarahkan pada hal-hal berikut ini: a. Batches logging and

Pemahaman Pengendalian Internal

PERATURAN TERKAIT PENGENDALIAN INTERNAL

PEMAHAMAN STRUKTUR PENGENDALIAN INTERN

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

BAB 1 PENDAHULUAN Latar Belakang

PERATURAN DEPARTEMEN AUDIT INTERNAL

BAB IV PEMBAHASAN. 1. Mengevaluasi lima komponen pengendalian internal berdasarkan COSO, komunikasi, aktivitas pengendalian, dan pemantauan.

PENENTUAN RISIKO DAN PENGENDALIAN INTERN-PERTIMBANGAN DAN KARAKTERISTIK SISTEM INFORMASI KOMPUTER

BUPATI BANYUMAS, TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH. menetapkann. Sistem

PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER

BAB 4 PEMBAHASAN. dimulai dengan survei pendahuluan. Tahap ini merupakan langkah awal

COBIT (Control Objectives for Information and Related Technology)

KUESIONER. Saya bernama Natalia Elisabeth (mahasiswi fakultas ekonomi Universitas

BAB III METODOLOGI PENELITIAN

BERITA DAERAH KOTA BEKASI NOMOR : SERI : E PERATURAN WALIKOTA BEKASI NOMOR 30 TAHUN 2010 TENTANG

Dimensi Kelembagaan. Kebijakan Kelembagaan 1. Perencanaan 0.5

BAB III METODE PENELITIAN. Pada Bab III akan dilakukan pembahasan dimulai dengan profil

BUPATI PENAJAM PASER UTARA

BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS

DAFTAR TABEL. Variable Dependen dan Skala Pengukuran. yang memadai dalam akuntansi. dan pengetahuan yang memadai dalam akuntansi

BERITA DAERAH KOTA SUKABUMI TAHUN 2011 NOMOR 16 PERATURAN WALIKOTA SUKABUMI

EVALUASI PENGENDALIAN INTERNAL PEMBIAYAAN SECARA KREDIT DAN PENAGIHAN PIUTANG PADA PT KRESNA REKSA FINANCE

MATERI 03 : KEAMANAN INFORMASI

PERATURAN PRESIDEN REPUBLIK INDONESIA NOMOR... TAHUN 2008 TENTANG PELAKSANAAN E-GOVERNMENT DI INSTANSI PEMERINTAH PUSAT DAN DAERAH

PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI

KEAMANAN JARINGAN KOMPUTER ` MODUL 1 DASAR DASAR KEAMANAN KOMPUTER. DISUSUN OLEH Kundang K.Juman,Ir, MMSI

BAB II LANDASAN TEORI. struktur organisasi, metode dan ukuran ukuran yang dikoordinasikan untuk

BERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG

BERITA DAERAH KOTA SALATIGA NOMOR 34 TAHUN 2011 PERATURAN WALIKOTA SALATIGA NOMOR 34 TAHUN 2011

Sistem Pengendalian Intern

PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA

PEMAHAMAN PENGENDALIAN INTERN INTERNAL CONTROL

Langkah langkah FRAP. Daftar Risiko. Risk

Transkripsi:

BAB III Analisa Kebutuhan Pengendalian Internal III.1 Pengendalian Internal Terhadap Laporan Keuangan Berbasiskan Teknologi Informasi III.1.1 Pengendalian Internal Terhadap Laporan Keuangan menurut SOX Untuk menjawab kebutuhan pengendalian internal berdasarkan SOX, standar PCAOB no 2 memberikan pendekatan yang lebih spesifik melalui pengendalian internal terhadap laporan keuangan (internal control over financial reporting,icfr) (PCAOB, 2004). PCAOB no 2 mendefinisikan bahwa pengendalian internal terhadap laporan keuangan adalah Proses yang didesain oleh, atau dilakukan di bawah pengawasan petinggi organisasi, petinggi bagian keuangan, atau karyawan yang melakukan pekerjaan yang berhubungan atau serupa untuk menciptakan keyakinan yang memadai (reasonable assurance) mengenai keabsahan dari laporan keuangan dan persiapan laporan keuangan publik untuk keperluan di luar organisasi berdasarkan prinsip - prinsip akuntansi yang diakui secara umum yang mencakup kebijaksanaan dan prosedur: a. Menjaga tingkat kedetilan yang dapat diterima, akurat dan secara wajar mencerminkan transaksi transaksi yang terjadi dan penempatan dari aset yang dimiliki perusahaan. b. Menyediakan keyakinan yang memadai (reasonable assurance) terhadap laporan keuangan, hal ini dapat tercapai dengan melakukan pencatatan yang layak terhadap transaksi transaksi keuangan sesuai dengan standar akuntansi yang berlaku. Setiap pemasukan dan pengeluaran yang penting\berarti dilakukan dengan mekanisme otorisasi oleh manajemen yang berwenang. c. Menyediakan keyakinan yang memadai (reasonable assurance) terhadap pencegahan atau deteksi dari unauthorized acquisition, penggunaan atau disposition dari aset yang dimiliki oleh perusahaan yang dapat berpengaruh terhadap financial statement. 38

III.1.2 COSO Sebagai Framework Pengendalian Internal Manajemen perlu untuk mencari panduan dalam menilai efektivitas pengendalian internal terhadap laporan keuangan yang sesuai dan diakui sebagai sebuah framework pengendalian internal (internal control framework), panduan tersebut haruslah dikeluarkan oleh lembaga yang memiliki keahlian mengenai pengendalian internal serta telah dinilai oleh ahli - ahli pengendalian internal secara luas. Dengan kata lain framework tersebut dapat dipergunakan dalam menilai dan memperbaiki pengendalian internal apabila telah memenuhi kriteria - kriteria seperti di bawah ini (PCAOB, 2004): a. Tidak berat sebelah/bebas dari prasangka prasangka. b. Dapat digunakan untuk menilai pengendalian internal yang berhubungan dengan laporan keuangan. c. Dapat memberikan penilaian yang bersifat qualitative dan quantitative terhadap pengendalian internal yang berhubungan dengan laporan keuangan. Di dalam standar PCAOB no 2 disebutkan bahwa perusahaan dapat menggunakan framework Integrated Internal Control yang dikeluarkan oleh COSO (lebih lanjut mengenai COSO dapat dibaca pada bab 2). Secara garis besar COSO menjelaskan pengendalian internal dan komponen komponen yang membangunnya. Framework COSO mendefinisikan lima komponen yang dapat digunakan sebagai panduan dalam penerapan pengendalian internal. III.1.3 Pengendalian Internal berbasiskan TI berdasarkan COSO Seperti yang tertulis di bab 2, tidak ada satu kata di dalam SOX yang mewajibkan organisasi untuk menerapkan atau menilai pengendalian internal pada sistem yang berbasiskan teknologi informasi. Saat ini sebagian besar perusahaan sangat bergantung pada TI untuk mengelola data - data perusahaan, termasuk salah satunya data - data transaksi keuangan. Tujuan penggunaan TI dalam menunjang kegiatan operasional perusahaan adalah untuk meningkatkan efektivitas dan efisien dari proses bisnis perusahaan agar dapat bersaing lebih baik dibandingkan dengan pesaingnya. 39

Setiap kegiatan pastilah memiliki risiko, begitu juga dengan penggunaan TI dalam mengelola data - data transaksi keuangan. SEC sebagai lembaga yang berwenang mengawasi implementasi dari SOX, dalam panduan PCAOB standar no 5 yang dikeluarkan pada 24 Mei 2007 pada paragraf ke 36 menekankan bahwa "The auditor also should understand how IT affects the company's flow of transactions". untuk memperjelas pernyataan yang tertulis pada paragraf tersebut SEC memberikan catatan kaki yang berbunyi "The identification of risks and controls within IT is not a separate evaluation. Instead, it is an integral part of the top-down approach used to identify significant accounts and disclosures and their relevant assertions, and the controls to test, as well as to assess risk and allocate audit effort as described by this standard.". Apabila dihubungkan dengan pengendalian internal terhadap laporan keuangan berbasiskan TI, COSO sebagai framework yang disarankan oleh SEC menyebutkan bahwa pengendalian internal berbasiskan TI terbagi menjadi dua bagian (COSO, 1992): a. IT General Control, IT General control (Pengendalian umum TI) adalah struktur, kebijaksanaan dan prosedur yang berpengaruh terhadap komponen komponen utama sumber daya informasi yang bertujuan untuk memastikan integritas dan ketersediaan layanan teknologi informasi. b. Application Control, Application control (Pengendalian Aplikasi) adalah struktur, kebijaksanaan dan prosedur yang dilakukan secara otomatis atau manual di dalam aplikasi. Pengendalian aplikasi secara umum didesain untuk mencegah, mendeteksi dan memperbaiki kesalahan dan ketidakberesan pada tingkatan aplikasi. COSO mendefinisikan lima komponen pengendalian internal. Kelima komponen tersebut bersifat general. Untuk mempermudah memahami kebutuhan pengendalian internal berdasarkan framework COSO, berikut ini akan dijabarkan kelima komponen pengendalian internal dilihat dari sudut pandang TI: a. Control Environment (Lingkungan Pengendalian), Lingkungan yang mendukung pegawai/karyawan menunjang keberhasilan penerapan 40

pengendalian internal. Lingkungan Pengendalian menjelaskan kebijaksanaan dan prosedur yang dapat mendukung upaya upaya mengurangi risiko penggunaan TI terhadap integritas dari laporan keuangan. b. Risk Assessment (Penilaian Risiko), dalam pembuatan tata kelola TI. Manajemen terlebih dahulu melakukan penilaian dan memahami wilayah wilayah yang berisiko di mana dapat mengganggu integritas dari laporan keuangan. Penilaian tersebut harus dilakukan terhadap sistem sesuai dengan standar keamanan informasi yang diakui secara luas. Penilaian tersebut bertujuan untuk menunjang perbaikan terhadap sistem yang telah ada ataupun terhadap sistem baru yang akan diimplementasikan. c. Control Activities (Aktivitas Pengendalian), Desain, implementasi dan jaminan kualitas (quality assurance) dari aktivitas pengendalian yang terdapat pada tata kelola TI harus dibuat seindependen mungkin. Tata kelola TI harus berisikan aktivitas aktivitas pengendalian yang berorientasi untuk mengurangi risiko dari penggunaan TI yang dapat mengganggu integritas dari laporan keuangan. d. Monitoring (Pengawasan), Tata kelola TI harus berisikan rencana dan jadwal audit TI terhadap sumber daya teknologi informasi yang digunakan untuk mendukung layanan sistem informasi akuntansi, manajemen harus paham dan mengerti tindak lanjut yang perlu diambil sesuai dengan hasil audit yang telah dilakukan. e. Information and Communication (Informasi dan Komunikasi), Tanpa adanya informasi yang akurat, manajemen akan sulit menjalankan aktivitas pengendalian internal. Tata kelola TI harus berisikan mekanisme pengambilan, pemrosesan dan pendistribusian informasi yang menunjang keberhasilan penerapan pengendalian internal. Tata kelola TI harus dapat menunjukkan peran dari departemen TI terhadap keberhasilan penyebaran informasi yang berkaitan dengan pengendalian internal. 41

III.2 Analisa Risiko Pemrosesan Keuangan Berbasiskan TI III.2.1 Penilaian Risiko Dari Atas ke Bawah (Top Down Risk Assessment) Menurut standar PCAOB no 2 (PCAOB, 2004), TI merupakan salah satu sumber risiko yang dapat mengganggu integritas dari laporan keuangan, pernyataan tersebut dipertegas oleh standar PCAOB no 5 yang dikeluarkan pada tahun 2007 bahwa proses penilaian risiko TI merupakan salah satu proses dari penilaian risiko perusahaan secara menyeluruh (PCAOB, 2007). Penilaian risiko dari atas ke bawah (SOX Top Down Risk Assessment) atau disingkat TDRA merupakan panduan resmi yang dikeluarkan oleh PCAOB untuk menilai penerapan pengendalian internal yang sesuai dengan ketentuan SOX bagian 404. TDRA digunakan untuk menentukan ruang lingkup dan bukti - bukti yang diperlukan dalam melakukan tes/audit terhadap penerapan pengendalian internal berdasarkan SOX bagian 404. TDRA merupakan metodologi yang bersifat hierarchical berdasarkan objek yang dilindungi dan risiko dalam menentukan ruang lingkup dan bukti yang diperlukan untuk mendukung penilaian penerapan pengendalian internal, langkah - langkah yang terdapat pada TDRA adalah: a. Identifikasi elemen - elemen laporan keuangan yang penting (rekening dan transaksi keuangan). b. Identifikasi sumber - sumber risiko pada pernyataan keuangan berdasarkan rekening dan transaksi keuangan yang teridentifikasi pada langkah pertama. c. Tentukan entity level control yang akan menanggulangi risiko yang teridentifikasi pada tahap kedua. d. Tentukan transaction level control yang akan menanggulangi risiko yang teridentifikasi pada tahap dua sebagai penjabaran dari entity level control (tahap ketiga). e. Tentukan sifat, dampak dan kemungkinan waktu terjadinya dari bukti bukti risiko yang didapat dalam penilaian ini. 42

Meskipun TDRA merupakan sebuah metodologi penilaian penerapan implementasi pengendalian internal yang telah berjalan, pendekatan yang terdapat pada TDRA dapat dipergunakan sebagai landasan dalam melakukan penilaian kebutuhan pengendalian internal. Pada TDRA, untuk menentukan pengendalian internal yang akan dinilai\audit. Auditor pertama - tama melakukan penilaian terhadap rekening dan transaksi keuangan yang berhubungan dengan pernyataan keuangan. penilaian tersebut bertujuan untuk menentukan rekening - rekening yang memiliki risiko tinggi. Setelah diketahui rekening - rekening yang memiliki risiko tinggi, langkah berikutnya adalah menganalisa transaksi - transaksi yang berpengaruh terhadap rekening - rekening tersebut. pada tahap ini auditor harus jeli dalam melihat segala kelemahan atau ancaman yang mungkin dapat mengganggu integritas dari transaksi - transaksi tersebut. tahap ini penting karena pada tahap ini dikumpulkan informasi mengenai ancaman dan risiko yang nantinya akan digunakan sebagai dasar dalam menentukan bentuk dan jenis pengendalian internal yang cocok untuk menanggulangi risiko - risiko yang dapat mengganggu integritas dari laporan keuangan. III.2.2 Risiko Penggunaan TI Terhadap Integritas Laporan Keuangan Pada sistem informasi akuntansi yang berbasiskan teknologi informasi, terdapat berbagai macam risiko yang mungkin dapat mengganggu kualitas dari informasi seperti pada saat inisiasi, otorisasi, proses-proses, simpan dan pembuatan laporan transaksi keuangan. Risiko tersebut dapat bersumber dari pengguna, teknologi atau lingkungan. Untuk memberikan gambaran yang lebih jelas, berikut adalah contoh dari risiko penggunaan TI yang dapat mengganggu kualitas dari informasi yang dipergunakan dalam membuat laporan keuangan : Tabel III.1 Risiko penggunaan sistem yang berinteraksi dengan laporan keuangan Proses Initiated (1 memulai, memprakarsai. 2 meresmikan, Sumber Daya Yang Terlibat Manusia (pengguna sistem) Risiko 1. Pemalsuan transaksi 2. Salah Memasukan Data 43

menginisiasikan (club, fraternity). 3 mengajukan.) Authorized (Pengesahan) Aplikasi Manusia (pengguna sistem) Aplikasi Recorded (penyimpanan) Manusia (pengguna sistem) Processes (pemrosesan) Reported (Pelaporan) Aplikasi Manusia (pengguna sistem) Aplikasi Manusia (pengguna sistem) Aplikasi 3. Penyalahgunaan wewenang 4. Membuat transaksi yang tidak perlu 5. Kesalahan dalam melakukan perhitungan 1. Mengesahkan transaksi yang tidak semestinya disahkan. 2. Konflik kepentingan 3. Penyalahgunaan wewenang 4. Kesalahan pengesahan 5. Salah melakukan perhitungan 1. Merusak media penyimpanan 2. Pencurian data/informasi 3. Merubah data yang telah disimpan 4. Kegagalan aplikasi 5. Kesalahan menyimpan data 1. Merubah data data transaksi 2. Memasukan transaksi palsu 3. Memasukan informasi palsu mengenai hasil transaksi 4. Salah melakukan perhitungan 5. Kesalahan Pembulatan 6. Kesalahan logika program 1. Kekeliruan dalam menggunakan asumsi. 2. Salah menyajikan laporan 3. Manipulasi laporan 4. Menggunakan data yang salah 5. Menyampaikan informasi yang tidak tepat 44

Tabel III.2 Risiko penggunaan infrastruktur TI terhadap integritas dari laporan keuangan Infrastruktur Jaringan Pusat Data (Data Center) Sistem Operasi (Operating System) Risiko 1. Data dirubah di tengah jalan. 2. Data tidak dapat terbaca (corrupt). 1. Salah memberikan data. 2. Hilangnya data - data yang telah tersimpan. 3. Pencurian media penyimpanan data. 4. Kegagalan sistem. 1. Sabotase terhadap sistem operasi. 2. Merubuh logika program. 3. Gangguan terhadap proses perhitungan. 4. Kegagalan sistem. III.3 Kebutuhan pengendalian internal pada Sistem Informasi Akuntansi III.3.1 Penilaian kebutuhan pengendalian internal berdasarkan risiko penggunaan sumber daya Teknologi Informasi Berdasarkan analisa risiko penggunaan teknologi informasi terhadap integritas dari laporan keuangan. Risiko penggunaan teknologi informasi dilihat dari sifat prosesnya dapat bersumber dari dua tipe proses: a. Otomatis, proses yang terjadi tanpa campur tangan operator/manusia. Proses jenis ini terjadi ketika telah tercapainya suatu kondisi tertentu (trigger) yang mengakibatkan aplikasi/komputer untuk melakukan suatu pekerjaan sesuai dengan apa yang telah ditentukan. b. Manual, Proses manual adalah proses yang memerlukan penilaian dari staf ahli atau yang memiliki wewenang dalam menentukan hal hal penting (essential) yang sangat berpengaruh terhadap keberhasilan suatu proses. Untuk proses proses yang bersifat Otomatis risiko dari penggunaan teknologi informasi dapat dikurangi dengan cara menerapkan pengendalian internal pada tata kelola sumber daya teknologi informasi. Menurut COBIT versi 4 sumber daya teknologi informasi dikelompokkan menjadi (ITGC, 2006): a. Aplikasi (application) b. Informasi (information) c. Infrastruktur (Infrastructure) d. Manusia (people) 45

III.3.2 Pengendalian Internal Terhadap Risiko Penggunaan Aplikasi Salah satu kelebihan dari penggunaan sistem informasi akuntansi dibandingkan dengan proses manual adalah sistem informasi akuntansi dapat mengerjakan suatu pekerjaan secara otomatis dengan kecepatan,ketepatan dan hasil yang relatif konstan. Keunggulan ini dapat dipandang sebagai suatu kelebihan yang tidak dimiliki oleh sistem manual, akan tetapi keunggulan ini dapat menjadi bumerang ketika terjadi kesalahan logika pada proses pembuatan program dan terus terbawa sampai dengan proses operasional. Kesalahan logika tersebut merupakan risiko yang dapat mempengaruhi integritas dari laporan keuangan karena dapat dipastikan setiap perhitungan yang dilakukan akan mengeluarkan nilai yang salah di mana kesalahan tersebut akan diulang terus menerus sampai kesalahan tersebut diperbaiki. Oleh karena itu untuk menjaga integritas dari sebuah sistem informasi akuntansi maka diperlukan penerapan pengendalian internal dalam tahap pembuatan (application development) dan pemeliharaan sistem (maintenance). III.3.3 Pengendalian Internal Terhadap Risiko Penggunaan Infrastruktur dan Manusia. Infrastruktur TI dan sumber daya manusia merupakan sumber daya teknologi informasi yang bersifat umum (general). Kedua sumber daya tersebut tidak terikat terhadap sistem informasi manapun. Karena perannya yang menjadi tulang punggung suatu layanan TI (IT Service) maka tata kelola infrastruktur dan sumber daya manusia merupakan salah satu kunci keberhasilan layanan TI. Integritas dari informasi yang dikelola dan disimpan pada Sistem informasi akuntansi sangat bergantung dari integritas (integrity), kerahasiaan (confidentiality) dan ketersediaan (Availability) dari infrastruktur dan sumber daya manusia yang mengelola layanan TI. Infrastruktur TI dan sumber daya manusia yang mengelolanya dapat dipandang sebagai sebuah risiko yang dapat mengganggu integritas dari informasi yang digunakan dalam membuat laporan keuangan. Oleh karena itu untuk menjaga integritas laporan keuangan maka diperlukan penerapan pengendalian internal dalam mengelola infrastruktur TI seperti pusat data (data center), jaringan (network), sistem informasi (operating system) serta sumber daya manusia yang mengelolanya. 46

III.3.4 Pengendalian internal terhadap risiko penggunaan Informasi Kualitas dari informasi yang dihasilkan oleh sistem informasi akuntansi mempengaruhi integritas dari laporan keuangan. Sangatlah penting untuk diperhatikan bagaimana informasi yang dihasilkan dari sistem informasi akuntansi memiliki kandungan informasi yang dapat dipertanggungjawabkan untuk membuat sebuah laporan keuangan. Kualitas dari informasi untuk membuat sebuah laporan keuangan dapat dinilai dari (COSO, 1992): a. Kesesuaian kandungan informasi (apakah mengandung informasi yang dibutuhkan). b. Informasi diberikan tepat waktu (dapatkah diberikan sewaktu - waktu ketika diperlukan). c. Informasi merupakan informasi terbaru (Apakah ini informasi yang terbaru). d. Informasinya akurat (Apakah informasi ini benar). e. Informasi tersedia bagi yang membutuhkan (Dapatkah informasi ini tersedia dengan mudah bagi yang membutuhkan). Untuk dapat mencapai keempat kriteria dari informasi yang berkualitas menurut panduan framework COSO, sangatlah penting untuk memastikan kualitas dari pengendalian internal pada TI yang bersifat umum (general control). Apabila pengendalian internal yang bersifat umum telah dapat diterapkan dengan baik, langkah berikutnya adalah memastikan bagaimana informasi tersebut dikelola\dijaga di dalam sebuah sistem informasi. Untuk mencapai hal tersebut langkah yang perlu diambil adalah dengan menerapkan pengendalian internal yang sesuai dengan karakteristik dari sistem. Tujuan dari penerapan pengendalian aplikasi (application control) adalah untuk menjamin : akurasi (accuracy), Keterselesaian (Completeness), validitas (Validity) dan otorisasi (authorization) dari sebuah transaksi yang diproses oleh sistem informasi akuntansi. III.4 Analisa Kebutuhan Framework Pengendalian Internal pada Sistem Informasi Akuntansi III.4.1 Analisa Tatacara Penilaian & Perbaikan Pengendalian Internal 47

Pada bagian sebelumnya telah dilakukan analisa terhadap keterhubungan antara konsep - konsep yang akan melandasi perancangan framework pengendalian internal pada sistem informasi akuntansi. Alasan utama yang mendasari diperlukannya framework pengendalian internal adalah risiko yang bersumber dari penggunaan teknologi informasi yang dapat mengganggu integritas dari informasi yang digunakan dalam membuat laporan keuangan. Menurut COBIT sumber daya TI terdiri dari (ITGC, 2006): aplikasi, informasi, infrastruktur dan manusia. Setiap sumber daya TI memiliki risiko risiko yang unik sesuai dengan karakteristik yang dimilikinya. Keunikan tersebut menyebabkan tidak adanya suatu pendekatan yang bersifat umum dalam menanggulangi risiko risiko yang berasal dari penggunaan TI. Menurut COSO, pengendalian internal terhadap laporan keuangan pada sistem informasi terbagi menjadi : IT General Control dan Application Control. Sedangkan menurut SEC pengendalian internal pada laporan keuangan terbagi menjadi: entity level control, transaction level control dan action level control. Berdasarkan hasil analisa risiko penggunaan teknologi informasi terhadap integritas dari informasi yang digunakan dalam membuat laporan keuangan, pengendalian internal terhadap sistem informasi akuntansi pada penelitian ini akan terbagi menjadi: a. Pengendalian tingkat entiti (Entity Level Control) b. Pengendalian umum TI (IT General Control) c. Pengendalian aplikasi (Application Control) Penelitian ini akan memfokuskan pada pengendalian internal yang bertujuan untuk mencegah (preventive) dan mendeteksi (detection) risiko risiko yang mungkin mengganggu integritas dari informasi yang digunakan dalam membuat laporan keuangan. Untuk mencapai kedua hal tersebut penelitian ini akan menurunkan kelima komponen pengendalian internal yang terdapat pada COSO integrated internal control framework menjadi pengendalian internal yang akan diterapkan pada sistem informasi akuntansi berbasiskan teknologi informasi. 48

Tabel di bawah ini menjelaskan Tatacara dari framework pengendalian internal pada sistem informasi akuntansi yang diajukan pada penelitian ini. Seperti telah disebutkan sebelumnya, dasar dari framework pada penelitian ini adalah risiko dari penggunaan sumber daya teknologi informasi. Hubungan risiko dan laporan keuangan dihubungkan dengan penilaian risiko risiko yang berhubungan langsung dengan rekening dan transaksi keuangan. Pendekatan ini diambil agar pengguna dari framework ini fokus terhadap risiko - risiko yang berhubungan langsung dengan integritas dari laporan keuangan. Tabel III.3 Tahapan penilaian dan perbaikan Pengendalian Internal pada Sistem Informasi Akuntansi No Langkah 1 Identifikasi rekening & transaksi keuangan yang penting. 2 Identifikasi Sumber Daya TI dan Pengendalian Internal yang ada. Deskripsi 1. Identifikasi rekening rekening penting. 2. Identifikasi transaksi transaksi penting. 1. Inventaris sumber daya TI dan pengendalian internal yang digunakan dalam mendukung SIA. 2. Review dokumen proses keuangan untuk mengidentifikasi pengendalian - pengendalian yang tergantung dari TI. 3 Menilai risiko penggunaan TI 1. Menilai risiko dari penggunaan sumber daya TI (impact & likelihood). 2. Identifikasi Ancaman (Thread). 3. Identifikasi Kelemahan (Vulnerability) 4 Penilaian dan Perbaikan Pengendalian Internal. 1. Perbaikan Kekosongan Pengendalian Internal. 2. Perbaikan Secara Sistematis Berdasarkan Maturity Level. III.4.2 Analisa Model Aktivitas Pengendalian Internal III.4.2.1 Model dari Aktivitas Pengendalian Internal Berdasarkan pemaparan yang terdapat pada bab ini dibandingkan dengan pengendalian internal pada sistem informasi yang terdapat pada framework COSO maka aktivitas pengendalian internal berbasiskan teknologi informasi dibagi menjadi tiga kelompok :Pengendalian tingkat entiti (Entity Level Control), 49

Pengendalian umum TI (IT General Control) dan Pengendalian aplikasi (Application Control). Tabel III.4 Pengelompokan Pengendalian Internal. Tipe Pengendalian Internal Pengendalian tingkat entiti (Entity Level Control) : Pengendalian umum TI (IT General Control) : Pengendalian aplikasi (Application Control) : Aktivitas Pengendalian Internal 1. Pengendalian akses. 2. Keamanan jaringan. 3. Rencana Kelangsungan Layanan Sistem Informasi Akuntansi. 4. Audit Sistem Informasi Akuntansi. 5. Pusat Data 6. Operasional Komputer. 7. Tatacara Pengembangan Sistem. 8. Pengendalian Aplikasi Tabel III.5 Pengendalian internal pada Sistem Informasi Akuntansi. Sumber Risiko (IT Infrastructure) Aplikasi (application) Infrastruktur & Manusia Informasi (information) Aktivitas Pengendalian Internal 1. Tatacara Pengembangan Sistem. 2. Pengendalian Aplikasi. 1. Pusat Data 2. Operasional Komputer 3. Keamanan Jaringan 1. Audit Sistem Informasi Akuntansi 2. Pengendalian Akses dan Wewenang 3. Pengendalian Aplikasi 50

Gambar III.1 Framework Aktivitas Pengendalian Internal. Aktivitas pengendalian internal pada sistem informasi akuntansi pada tesis ini terbagi menjadi : a. Pengendalian tingkat entity (Entity Level Control) Pengendalian tingkat entity adalah pengendalian yang menyatu dan berpengaruh langsung di dalam organisasi. Pengendalian tingkat entity memberikan dasar dalam menjaga integritas dari sistem informasi akuntansi. Pengendalian tingkat entity diterapkan dalam mengatur/mengarahkan pengendalian internal Terhadap sumber daya TI yang digunakan dalam mendukung sistem informasi akuntansi. b. Pengendalian umum TI (IT General Control) Pengendalian umum TI adalah struktur, kebijaksanaan dan prosedur yang berpengaruh langsung terhadap komponen komponen utama sumber daya teknologi informasi. Tujuan dari pengendalian umum TI adalah memastikan integritas dan ketersediaan layanan teknologi informasi. 51

c. Pengendalian aplikasi (Application Control) Pengendalian aplikasi adalah struktur, kebijaksanaan dan prosedur yang diterapkan di dalam sistem informasi akuntansi. Pengendalian ini secara khusus didesain untuk mencegah, mendeteksi dan memperbaiki kesalahan dan ketidakbenaran informasi yang diproses oleh sistem informasi akuntansi. Gambar III.2Model dari Aktivitas Pengendalian internal pada Sistem Informasi Akuntansi Aktivitas Pengendalian internal tersebut akan bertujuan untuk mencapai : d. Kerahasiaan (Confidentiality) - aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. e. Integritas (Integrity) - aspek yang menjamin bahwa data tidak dirubah tanpa adanya izin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integritas ini. f. Ketersediaan (Availability) - aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan pengguna yang berhak dapat 52

menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan). III.4.2.2 Aktivitas Pengendalian Internal Tabel III.6 Aktivitas Pengendalian Internal Jenis Pengendalian Internal Entity Level Control IT General Control Aktivitas Pengendalian Internal 1. Pengendalian Akses dan Wewenang 2. Keamanan Jaringan 3. Kelangsungan Layanan Sistem Informasi Akuntansi 4. Audit Sistem Informasi Akuntansi Kerahasiaan (Confidentiality) Tujuan Integritas (Integrity) 5. Pusat Data Ketersediaan (Availability) Application Control 6. Operasional Komputer 7. Tatacara Pengembanga n Sistem 8. Pengendalian Aplikasi = Primary Objective = Secondary Objective 53

Aktor : Peran Tanggung Jawab. Pengendalian : Maturity Level. Table Perbaikan. Tujuan Pengendalian (Control Objective) 5 Komponen Pengendalian Internal Gambar III.3 Penjabaran dari Setiap Aktivitas Pengendalian Internal Framework pengendalian internal pada sistem informasi akuntansi berisikan 8 aktivitas pengendalian yang terbagi ke dalam 3 tipe pengendalian internal (Entity level control, IT General Control, Application Control). Isi dari setiap aktivitas pengendalian internal adalah : a. Tujuan pengendalian (Control Objective) Tujuan pengendalian merupakan dasar dari pengendalian internal karena di dalam tujuan pengendalian terdapat tujuan (objective) dan petunjuk (guideline) penerapan pengendalian internal. Tujuan pengendalian dapat digunakan sebagai petunjuk dalam melakukan penilaian dan perbaikan pengendalian internal. Tujuan pengendalian merupakan dasar dari Maturity Level dan tabel rekomendasi. b. Maturity Level Maturity level digunakan sebagai alat ukur dalam menilai pengendalian internal dan juga sebagai dasar dalam melakukan perbaikan. Terdapat enam tingkatan dalam maturity level (0 s/d 5), ke enam tingkatan tersebut mencerminkan pencapaian penerapan pengendalian internal. Level terendah adalah 0 yang berarti pengendalian internal belum diimplementasikan, sedangkan level tertinggi 5 menjelaskan bahwa pengendalian internal telah diterapkan dan senantiasa dilakukan perbaikan untuk meningkatkan kualitas dari penerapan pengendalian internal. c. Role & Responsibility Peran dan tanggung jawab dalam menjalankan pengendalian internal, prinsip prinsip akuntabilitas, pemisahan 54

kekuasaan check and balance adalah prinsip prinsip yang harus dijunjung dalam menjalankan pengendalian internal. d. Tabel Rekomendasi Tabel rekomendasi berisikan rekomendasi perbaikan berdasarkan enam tingkatan penerapan pengendalian internal sesuai dengan yang terdapat pada maturity level (poin b). Perbaikan yang direkomendasikan akan dikelompokkan sesuai dengan komponen pengendalian internal yang terdapat pada framework COSO. e. Kuesioner Kuesioner diturunkan dari enam tingkatan pengendalian internal, kuesioner tersebut terbagi menjadi lima kelompok pertanyaan berdasarkan lima komponen pengendalian internal yang dikemukakan oleh COSO. Dari setiap kelompok pertanyaan akan ditanyakan dua pertanyaan di mana pertanyaan pertama menanyakan pencapaian penerapan pengendalian internal saat ini, sedangkan pertanyaan kedua akan menanyakan tentang harapan/keinginan pencapaian penerapan pengendalian internal. Jawaban untuk setiap kelompok pertanyaan berisikan enam pilihan sesuai dengan tingkatan maturity level. Dasar dari ketiga aktivitas pengendalian internal tersebut adalah 5 komponen pengendalian internal yang terdapat pada framework COSO : a. Lingkungan pengendalian (Control Environment), Lingkungan yang mendukung pegawai/karyawan menunjang keberhasilan penerapan pengendalian internal. Lingkungan pengendalian menjelaskan kebijaksanaan dan prosedur yang dapat mendukung upaya upaya mengurangi risiko penggunaan TI terhadap integritas dari laporan keuangan. b. Penilaian risiko (Risk Assessment), dalam pembuatan tata kelola TI. Manajemen terlebih dahulu melakukan penilaian dan memahami wilayah wilayah berisiko yang dapat mengganggu integritas dari laporan keuangan. Penilaian tersebut harus dilakukan terhadap sistem sesuai dengan standar keamanan informasi yang diakui secara luas. Penilaian tersebut bertujuan untuk menunjang perbaikan terhadap sistem yang telah ada ataupun terhadap sistem baru yang akan diimplementasikan. 55

c. Aktivitas Pengendalian (Control Activities). Desain, implementasi dan jaminan kualitas (quality assurance) dari aktivitas pengendalian yang terdapat pada tata kelola TI harus dibuat semandiri mungkin. Tata kelola TI harus berisikan aktivitas aktivitas pengendalian yang berorientasi untuk mengurangi risiko dari penggunaan TI yang dapat mengganggu integritas dari laporan keuangan. d. Informasi dan Komunikasi (Information and Communication). Tanpa adanya informasi yang akurat, manajemen akan sulit menjalankan aktivitas pengendalian internal. Tata kelola TI harus berisikan mekanisme pengambilan, pemrosesan dan pendistribusian informasi yang menunjang keberhasilan penerapan pengendalian internal. Tata kelola TI harus dapat menunjukkan peran dari departemen TI terhadap keberhasilan penyebaran informasi yang berkaitan dengan pengendalian internal. e. Pengawasan (Monitoring), Tata kelola TI harus berisikan rencana dan jadwal audit TI terhadap sumber daya teknologi informasi yang digunakan untuk mendukung layanan sistem informasi akuntansi, manajemen harus paham dan mengerti tindak lanjut yang perlu diambil sesuai dengan hasil audit yang telah dilakukan. III.5 Analisa Kebutuhan Aktivitas Pengendalian Internal III.5.1 Analisa Kebutuhan Pengendalian Akses dan Wewenang Pada lingkungan multi pengguna (multi user) harus terdapat pengendalian atau kontrol yang membatasi akses dan wewenang setiap pengguna atau pengelolanya. Risiko bawaan dari lingkungan multi pengguna dapat terjadi ketika seorang pengguna mengotorisasi atau merubah suatu transaksi yang bukan merupakan wewenangannya, apabila hal ini terjadi (penyalahgunaan akses dan wewenang) maka mekanisme pengawasan dan pengecekan dalam suatu transaksi atau proses bisnis dapat dengan mudah dilewati. Tabel III.7 Risiko dari lingkungan multi pengguna (Multi User) Risiko dari Jenis Risiko Contoh Risiko Akses dan Wewenang Inherent Risk 1. Akses yang tidak sah pada sistem. 56

Control Risk 2. Akses Langsung pada perangkat keras (hardware). 3. Penyalahgunaan hak akses pada suatu informasi tertentu. 4. Pemalsuan transaksi (transaksi fiktif). 1. Pemberian hak akses dari pemilik yang sah ke pihak ketiga. 2. Pemalsuan transaksi dengan cara permainan antara yang melakukan dan yang mengotorisasi. 3. Terdapat permainan antara petugas penjaga dan pengawas. 4. Penyalahgunaan informasi (menjual, memberikan) yang dilakukan oleh yang memiliki hak akses sah. Pengendalian akses dan wewenang harus dapat memberikan keyakinan yang memadai bahwa setiap pengguna atau pengelola sistem informasi akuntansi tidak memiliki akses dan wewenang penuh terhadap suatu transaksi atau proses bisnis. Pengendalian dapat dilakukan dengan menerapkan pengawasan terhadap fungsi fungsi seperti di bawah ini pada suatu transaksi atau proses bisnis. Gambar III.4 Pemisahan Kekuasaan (segregations of duties) (Perelsona dkk, 2001). Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen 57

pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian Terdapat kebijakan dan standar yang mengatur mekanisme pemberian dan pencabutan akses dan wewenang pada sistem informasi akuntansi. b. Penilaian Risiko Pemberian akses dan wewenang dilakukan berdasarkan analisa risiko untuk mencegah terjadinya penyalahgunaan wewenang atau untuk menghindari terjadinya konflik kepentingan. c. Aktivitas Pengendalian Kebijakan atau standar pengendalian akses dan wewenang haruslah mengatur bagaimana prosedur yang harus dilalui, bagian yang melakukan dan pejabat yang mengotorisasi setiap pemberian dan pencabutan akses dan wewenang. d. Informasi dan Komunikasi terdapat jalur komunikasi antara bagian TI, keuangan dan SDM dalam mengatur pemberian akses dan wewenang pada sistem informasi akuntansi. e. Pengawasan Penggunaan akses dan wewenang oleh pengguna sistem informasi akuntansi senantiasa tercatat dan diawasi untuk menghindari terjadinya penyalahgunaan akses dan wewenang. 58

Tabel III.8 Maturity Level dari Pengendalian Akses Level 1 Level 2 Level 3 Control Environment Risk Assessment Control Activities Information & Communication Organisasi sudah mulai Penilaian risiko terkait Karena tidak didasarkan atas Informasi yang menyadari pentingnya dengan risiko dari analisa risiko maka penerapan berhubungan dengan pengendalian akses untuk penyalahgunaan akses dan pengendalian akses pada sistem pengendalian akses dan menghindari wewenang pada sistem informasi akuntansi masih wewenang belum dapat penyalahgunaan akses dan informasi akuntansi belum terbatas berdasarkan inisiatif dikomunikasikan dengan wewenang pada sistem dilakukan secara formal. analis\pengembang sistem baik karena pelaksanaan informasi akuntansi. informasi akuntansi. pengendalian akses dan wewenang masih bersifat Organisasi mulai memahami pentingnya pengendalian akses. standar dan prosedur pengendalian akses telah dibuat meskipun belum mencakup seluruh tujuan pengendalian (control objective) pengendalian akses. Telah ada bagian\individu yang bertanggung jawab mengatur pengendalian akses dan wewenang pada sistem informasi akuntansi beserta sumber daya TI yang mendukungnya. Penilaian risiko secara formal terhadap penyalah gunakan akses dan wewenang mulai dilakukan. Meskipun demikian organisasi masih menganggap bahwa penyalahgunaan akses dan wewenang pada sistem informasi akuntansi semata mata merupakan masalah pada domain TI semata. Organisasi telah sadar akan besarnya dampak risiko yang ditimbulkan dari kesalahan akses pada sistem informasi akuntansi, penilaian risiko telah dilakukan untuk Pada tahap pengembangan sistem informasi akuntansi, pengendalian akses telah menjadi salah satu kebutuhan (requirements) selain kebutuhan fungsionalitas dari sistem informasi akuntansi. Pemberian akses dan wewenang pada sistem informasi akuntansi dilakukan berdasarkan prinsip prinsip akuntansi dengan tujuan untuk menghindari penyalahgunaan wewenang. intuitif. Informasi yang berhubungan dengan pengendalian akses telah didokumentasikan meskipun belum mencakup seluruh tujuan pengendalian (control objective) pengendalian akses. Standar dan prosedur pengendalian akses dan wewenang telah terdefinisi dengan baik akan tetapi ketersediaan Informasi untuk melakukan pengawasan Monitoring Pengawasan terhadap penggunaan password, akses dan wewenang serta pengendalian fisik sistem informasi akuntansi mulai dilakukan meskipun pelaksanaannya belum sepenuhnya mendapatkan dukungan dari organisasi. Pengawasan sudah mulai dilakukan secara terstruktur sesuai dengan standar/prosedur yang ada. Telah dilakukan mekanisme pengawasan pengendalian akses pada sistem informasi akuntansi, Pada saat ini mekanisme pengawasan masih dilakukan dengan semi-otomatis. 59

Level 4 Level 5 Koordinasi antara bagian IT, keuangan dan SDM dalam mengatur pengendalian akses pada sistem informasi akuntansi dan sumber daya TI yang mendukungnya telah mulai dibangun meskipun pelaksanaannya masih tumpang tindih. Koordinasi departemen TI, keuangan dan SDM dalam pemberian dan pengawasan akses dan wewenang yang ada pada sistem informasi akuntansi beserta sumber daya TI yang mendukungnya telah terjalin dengan baik di mana peran dan tanggung jawab tiap tiap departemen telah terdefinisi dengan baik. melihat dampak dari kesalahan akses pada integritas transaksi yang ada pada sistem informasi akuntansi Organisasi telah memiliki ukuran ukuran tertentu dalam melakukan penilaian risiko, ukuran ukuran tersebut berisikan pengukuran risiko kesalahan akses dilihat dari sudut pandang TI dan Akuntansi. Risiko dari penyalah gunakan akses dan wewenang pada sistem informasi akuntansi telah dikategorikan sebagai risiko yang dapat mengganggu integritas dari sistem informasi akuntansi. Setiap permohonan pengguna baru atau penambahan/pengurangan wewenang pada sistem informasi akuntansi dilakukan secara tertulis dan diotorisasi pelaksanaannya oleh yang berwenang. Proses pengendalian akses dan wewenang senantiasa dilakukan perbaikan menyesuaikan dengan perubahan kondisi internal dan eksternal (regulasi, standar akuntansi). masih belum tersedia dengan cepat dan terstruktur. Telah dilakukan pencatatan perilaku akses (profile) yang dilakukan untuk mendukung proses pengawasan dan penyidikan.. Informasi yang dibutuhkan untuk melakukan pengawasan telah terdefinisi dengan baik dan didistribusikan dengan cepat kepada yang membutuhkannya. Hasil dari pencatatan tersebut kemudian dianalisa secara otomatis atau manual untuk mengetahui\mencegah apabila terjadi penyalahgunaan akses atau wewenang. Pengawasan akses dan wewenang dilakukan bersama sama antara departemen TI, departemen keuangan dan SDM. Proses pengawasan yang bersifat otomatis diimbangi dengan pengawasan manual (audit) yang telah dilakukan terkoordinasi dengan proses audit organisasi secara menyeluruh. 60

Pada sistem informasi akuntansi terdapat dua lingkungan pengendalian akses dan wewenang yang harus dikendalikan, kedua pengendalian akses dan wewenang tersebut adalah pengendalian akses dan wewenang yang bersifat logika dan pengendalian akses dan wewenang yang bersifat fisik. Pengendalian logika pada sistem informasi akuntansi bertujuan untuk membatasi akses dan wewenang pengguna sistem informasi akuntansi dalam menjalankan pekerjaan\tugas sehari harinya. Sedangkan pengendalian fisik lebih ditujukan kepada pengelola layanan sistem informasi akuntansi agar dalam pengelolaan layanan sistem informasi akuntansi tidak merusak integritas data dan layanan yang terdapat pada sistem informasi akuntansi. Tabel III.9 Tujuan Pengendalian Tatakelola Peran dan Tanggung Jawab Komponen Penilaian Risiko Lingkungan Pengendalian Aktivitas Pengendalian internal Informasi & Komunikasi Pengawasan Tatakelola Peran dan Tanggung Jawab a. Risiko yang terkait langsung dengan peran dan wewenang pada transaksi transaksi penting. b. Penilaian risiko terhadap wewenang dan peran yang telah diberikan. a. Terdapat prosedur Pemberian & Pencabutan akses dan wewenang. b. Ada bagian\individu yang mengawasi dan mengotorisasi setiap peran & tanggung jawab yang ada pada sistem informasi akuntansi dan sumber daya TI yang mendukungnya. a. Setiap ada permohonan terhadap akses dan wewenang dilakukan secara tertulis dan diotorisasi. b. Dilakukan pencatatan untuk setiap kegiatan dari pengguna sistem informasi. a. Koordinasi dengan bagian SDM apabila ada pegawai yang baru masuk, keluar, pindah divisi atau mendapatkan promosi. a. Dilakukan pengawasan terhadap setiap transaksi pada sistem informasi akuntansi terutama yang berhubungan dengan transaksi dan rekening penting. Tabel III.10 Tujuan Pengendalian Tatakeloa Password Komponen Penilaian Risiko Lingkungan Pengendalian Pengendalian Tatakelola Password a. Risiko yang terkait langsung dengan akses terhadap transaksi yang berhubungan langsung dengan rekening penting. a. Memiliki standar dari penggunaan password. 61

Aktivitas Pengendalian internal Informasi & Komunikasi Pengawasan a. Mengatur penggunaan password seperti panjang minimal, kombinasi, dan sebagainya. b. Secara otomatis sistem menolak penggunaan password yang tidak sesuai dengan standar. a. Senantiasa diberikan penyuluhan terkait dengan akibat yang mungkin terjadi apabila menggunakan password yang tidak aman. b. Pengguna diinformasikan apabila password yang digunakan tidak diganti untuk jangka waktu tertentu. a. Pengawasan penggunaan password dilakukan secara otomatis untuk menghindari penyalahgunaan. Tabel III.11 Tujuan Pengendalian Keamanan Fisik Komponen Penilaian Risiko Lingkungan Pengendalian Aktivitas Pengendalian internal Informasi & Komunikasi Keamanan Fisik a. Identifikasi terhadap sumber daya TI yang rawan dan memiliki hubungan dengan rekening dan transaksi penting. b. Menilai kondisi lingkungan sekitar dari sumber daya teknologi informasi yang digunakan oleh sistem informasi akuntansi. a. Terdapat prosedur yang menjelaskan siapa saja yang dapat mengakses fisik dari sistem informasi akuntansi. b. Standar keamanan fisik yang digunakan dalam menjaga fisik dari sistem informasi akuntansi. a. Dilakukan pencatatan setiap individu yang mengakses perangkat keras sistem informasi akuntansi, b. Terdapat perlindungan dari gangguan yang disebabkan oleh lingkungan seperti kebakaran, banjir dan sebagainya. a. Setiap kejadian yang mangganggu keamanan fisik dicatat dan dilaporkan. b. Dilakukan koordinasi dengan bagian keamanan gedung untuk bersama sama menjalankan keamanan fisik. Pengawasan a. Dilakukan audit untuk menilai pelaksanaan keamanan fisik. b. Informasi tentang status keamanan fisik tersedia secara realtime. 62

III.5.2 Analisa Kebutuhan Pengendalian Keamanan Jaringan Sistem informasi akuntansi merupakan sistem multi pengguna (multi user) yang menggunakan media komunikasi elektronik. Penggunaan internet dan protokol TCP/IP memungkinkan pengguna saling berinteraksi sesuai dengan peran dan tanggung jawab yang dimilikinya. Terlepas dari segala kemudahan yang ditawarkannya, penggunaan jaringan harus mendapatkan perhatian lebih karena jaringan merupakan pintu utama dan juga pertahanan pertama sistem informasi akuntansi. Risiko bawaan dari penggunaan jaringan seperti pencurian\manipulasi data, usaha - usaha sabotase terhadap sistem dan ancaman - ancaman lainnya harus mendapatkan perhatian karena dapat mempengaruhi integritas dari informasi yang terdapat pada sistem informasi akuntansi. Tabel III.12 Risiko dari Penggunaan Jaringan Risiko dari Jenis Risiko Contoh Risiko Keamanan Jaringan Inherent Risk 1. Sabotase Terhadap Jaringan. 2. Akses yang tidak sah melalui akses jarak jauh. 3. Pencurian atau manipulasi data melalui jaringan Control Risk 1. Sabotase terhadap jaringan masih dapat dilakukan karena administrator lalai melakukan perbaikan (patch). 2. Pemberian hak akses yang sah kepada pihak ketiga. 3. Pencurian atau manipulasi yang dilakukan oleh administrator jaringan. Pengendalian keamanan jaringan harus dapat memberikan keyakinan yang memadai bahwa penggunaan jaringan tidak mengganggu integritas dan ketersediaan layanan sistem informasi akuntansi. Terdapat berbagai macam cara untuk menerapkan pengendalian keamanan jaringan, beberapa cara yang idalam adalah dengan menerapkan : mekanisme otentifikasi, firewall, enkripsi dan sebagainya. 63

Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian keamanan jaringan dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian Terdapat dukungan dari pihak manajemen untuk melindungi integritas dan kelangsungan layanan sistem informasi akuntansi dari gangguan gangguan yang berasal dari luar organisasi, b. Penilaian Risiko Penilaian risiko tidak dilakukan hanya terfokus pada infrastruktur jaringan sistem informasi akuntansi, penilaian risiko dilakukan juga terhadap aspek non teknis seperti kesiapan\pemahaman penggunan sistem informasi akuntansi terkait dengan keamanan informasi. c. Aktivitas Pengendalian Terdapat mekanisme otentifikasi yang handal dalam penggunaan akses jarak jauh sistem informasi akuntansi. Komunikasi elektronik dari antara sistem dan pengguna dilakukan secara terkunci (encryption) sesuai dengan standar keamanan elektronik yang dimiliki organisasi. d. Informasi dan Komunikasi Pengembang, departemen TI dan departemen keuangan saling berkomunikasi menentukan mekanisme pengendalian komunikasi dan akses jarak jauh. Pengguna sistem informasi akuntansi senantiasa diberikan pelatihan\informasi terkait dengan praktek praktek keamanan akses jarak jauh. e. Pengawasan Dilakukan pengawasan dan pencatatan terhadap usaha usaha sabotase sistem informasi akuntansi yang berasal dari jaringan. Pengawasan sebaiknya dilakukan secara otomatis seperti dengan menggunakan intrusion detection system (IDS). 64

Tabel III.13 Maturity Level Keamanan Jaringan Lv Control Objective Risk Assessment Control Activities Information and Communication 1 Mulai terbentuknya pemahaman Penilaian risiko dari keamanan jaringan Pelaksanaan pengendalian Komunikasi terkait dengan akan pentingnya penerapan telah mulai dilakukan meskipun keamanan jaringan telah keamanan jaringan mulai terbentuk pengendalian keamanan jaringan pelaksanaannya tidak menyeluruh dan diterapkan tetapi masih bersifat tetapi tidak ada tindak lanjut dari pada organisasi. berkesinambungan. khusus. komunikasi tersebut karena tidak jelasnya mekanisme pengendalian 2 Telah ada yang bertanggung jawab dan mengatur pelaksanaan pengendalian keamanan jaringan. 3 Organisasi telah memiliki standar dan prosedur yang mengatur keamanan komunikasi dan mekanisme akses jarak jauh. 4 Telah dibentuknya tim keamanan jaringan yang berisikan gabungan antara departemen TI dan departemen Keuangan. Tugas dari tim tersebut adalah mengawasi dan merancang kebijaksanaan keamanan jaringan. 5 Manajemen telah dapat memastikan bahwa kegagalan keamanan jaringan tidak akan mengganggu operasional dari sistem informasi akuntansi. Telah dilakukan penilaian risiko terhadap keamanan jaringan pada sistem informasi akuntansi meskipun pelaksanaannya masih terfokus hanya terhadap kondisi infrastruktur jaringan. Manajemen telah sadar akan risiko yang ditimbulkan dari penggunaan media komunikasi elektronik, penilaian risiko telah dilakukan dengan menggabungkan antara aspek teknis (infrastruktur jaringan) dan non teknis (nilai data). Penilaian risiko telah dilakukan dengan terencana mencakup hampir sebagian besar infrastruktur jaringan yang ada, penilaian risiko secara rutin dilakukan dan dilakukan berdasarkan standar/framework tertentu. Tes dan penilaian risiko yang bersifat global telah dilakukan dimana hasil dari tes tersebut dijadikan masukan untuk melakukan perbaikan pengendalian keamanan jaringan. Pelaporan masih bersifat asal asalan, tidak lengkap dan masih terfokus kepada masalah teknis semata. Standar dan prosedur pengendalian keamanan jaringan telah mulai diimplementasikan tetapi belum dilakukan pengukuran. Telah dibuat Target dan matris keamanan jaringan akan tetapi proses pelaksanaan dan pengukuran belum dilakukan dengan konsisten. Point point dari kebijaksanaan keamanan jaringan telah dilakukan sepenuhnya dan secara berkala dilakukan pembandingan (benchmark) dengan pihak luar. keamanan jaringan. Dokumentasi dari pengendalian keamanan jaringan masih sulit untuk ditemukan. Standar dan prosedur keamanan jaringan telah didokumentasikan berdasarkan kebutuhan pengendalian internal pada sistem informasi akuntansi. Manajemen senantiasa mengomunikasikan program program keamanan jaringan baik dengan cara pembuatan pamflet/buletin atau dengan melakukan pelatihan. Pelatihan formal tentang pengendalian keamanan jaringan telah senantiasa dilakukan, informasi yang berhubungan dengan kondisi keamanan jaringan telah tersedia secara real time. Monitoring Respons terhadap gangguan keamanan jaringan masih bersifat reaktif. Pengawasan hanya berdasarkan laporan yang ada tidak dilakukan secara real time. Pengawasan terhadap kejadian (incident) keamanan jaringan telah mulai dilakukan secara real time. Pengawasan terhadap keamanan jaringan telah dilakukan menggunakan ukuran ukuran tertentu yang dapat menggambarkan kondisi keadaan keamanan jaringan saat ini. Target dan metrik telah dilakukan penilaian dan pengukuran dengan konsisten. 65

Sistem informasi akuntansi harus dilindungi dari ancaman ancaman yang dilakukan melalui media jaringan (network). Salah satu cara yang dapat dilakukan adalah dengan membatasi akses langsung terhadap sistem. Untuk menghindari pencurian dan manipulasi data yang ditransmisikan melalui jaringan, data yang ditransmisikan wajib dilakukan encryption. Sebisa mungkin sistem informasi akuntansi tidak dapat diakses oleh jaringan publik, apabila hal ini tidak dapat dihindarkan maka penggunaan virtual private network harus dilakukan sesuai dengan kebijakan keamanan komunikasi dan kebijakan akses jarak jauh. Tabel III.14 Tujuan Pengendalian Keamanan Komunikasi Komponen Pengendalian Keamanan Komunikasi Penilaian Risiko a. Terdapat standar yang mengatur pelaksanaan keamanan komunikasi melalui jaringan elektronik. b. Terdapat bagian\individu yang bertugas mengawasi dan menjalankan pengendalian keamanan komunikasi. Lingkungan a. Penerapan keamanan komunikasi didasari atas hasil Pengendalian analisa risiko penggunaan media komunikasi elektronik. b. Aktivitas pengendalian keamanan komunikasi dilakukan berdasarkan analisa risiko terhadap Aktivitas Pengendalian internal Informasi & Komunikasi informasi informasi yang melalui media elektronik. a. Setiap data yang melalui media komunikasi elektronik telah dienkripsi. b. Keamanan komunikasi pada sistem informasi akuntansi telah dimasukkan ke dalam salah satu kebutuhan (requerment) dari pembangunan arsitektur keamanan jaringan. a. Setiap kejadian yang berhubungan dengan keamanan komunikasi elektronik tercatat dan dikomunikasikan kepada manajemen. Pengawasan a. Pengawasan terhadap pelaksanaan keamanan komunikasi dilakukan secara manual melalui audit dan juga dilakukan secara otomatis melalui penggunaan perkakas elektronik. Tabel III.15 Tujuan Pengendalian Akses Jarak Jauh Komponen Penilaian Risiko Pengendalian Akses jarak jauh a. Telah tersedia prosedur dan standar yang mengatur akses jarak jauh pada sistem informasi akuntansi. b. Telah tersedia standar\tatacara penggunaan sistem 66

Lingkungan Pengendalian Aktivitas Pengendalian internal Informasi & Komunikasi Pengawasan informasi akuntansi yang dilakukan melalui akses jarak jauh. a. Pelaksanaan dari layanan akses jarak jauh pada sistem informasi akuntansi dilakukan berdasarkan penilaian risiko yang dapat mengganggu integritas dari sistem informasi akuntansi. a. Terdapat mekanisme otentifikasi dan otorisasi khusus untuk menangani penggunaan akses jarak jauh pada sistem informasi akuntansi. a. Setiap usaha sabotase\akases tidak sah pada sistem informasi akuntansi yang dilakukan melalui akses jarak jauh dilakukan dokumentasi dan dikomunikasikan agar dapat dicari solusinya. a. Setiap akses jarak jauh dicatat dan dianalisa kewajarannya. III.5.3 Analisa Kebutuhan Pengendalian Kelangsungan layanan Sistem Informasi Akuntansi Tidak ada tempat di dunia ini yang bebas dari risiko\bencana, pengelolaan sistem informasi akuntansi harus memperhitungkan kemungkinan terjadinya bencana, baik yang disebabkan oleh alam ataupun manusia. Pasca terjadinya bencana pengelola sistem informasi akuntansi harus dapat mengembalikan kondisi dari informasi atau data yang terdapat pada sistem informasi akuntansi sedekat mungkin dengan informasi atau data sebelum terjadinya bencana. Pada saat perbaikan harus diperhatikan integritas dari informasi atau data seperti kebenaran, kelengkapan, waktu dan yang melaksanakannya. Proses perbaikan pasca terjadinya bencana membawa beberapa risiko bawaan seperti ketidak siapan sarana dan prasarana cadangan, rusaknya media penyimpanan cadangan (backup), risiko risiko bawaan ini harus dikelola dengan baik untuk mencegah hilangnya integritas dari data atau informasi pasca terjadinya bencana. Pengendalian kelangsungan layanan sistem informasi akuntansi harus dapat memberikan keyakinan yang memadai bahwa pasca terjadinya bencana data atau informasi yang terdapat pada sistem informasi dapat diperbaiki mendekati kondisi pasca terjadinya bencana, serta kehilangan data dapat teridentifikasi dan diperbaiki dengan sebaik baiknya. Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan 67

mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian Kelangsungan layanan sistem informasi akuntansi telah dianggap sebagai salah satu risiko yang dapat mengganggu integritas dari informasi keuangan. b. Penilaian Risiko Dilakukan penilaian risiko dari kelangsungan layanan sistem informasi akuntansi melalui penilaian akibatnya terhadap bisnis (business impact assessment) dan penilaian kelemahan (vulnerability assessment). c. Aktivitas Pengendalian Organisasi memiliki rencana kelangsungan layanan sistem informasi akuntansi beserta rencana perbaikan pasca bencana (disaster recovery plan). d. Informasi dan Komunikasi Telah terdefinisi jalur komunikasi pasca terjadinya bencana e. Pengawasan Dilakukan penilaian atau audit terhadap kesiapan perangkat dan petugas dalam menghadapi kejadian kejadian yang dapat mengganggu layanan sistem informasi akuntansi. Patuh terhadap SOX bagian 404 mengharuskan organisasi untuk dapat menjamin data atau informasi yang terdapat pada sistem informasi akuntansi tetap benar meskipun terjadi bencana atau musibah. Dalam prosesnya organisasi perlu untuk mengidentifikasi dan mendokumentasikan seluruh transaksi dan proses bisnis yang ada pada sistem informasi akuntansi. Dalam prakteknya rencana kelangsungan layanan sistem informasi akuntansi dibangun berdasarkan : a. Penilaian risiko (risk assessments) identifikasi dan evaluasi ancaman dan kelemahan yang dapat mengakibatkan terhambat\terganggu layanan sistem informasi akuntansi. b. Analisa dampak bisnis (Business Impact Analysis) mengevaluasi dan memperkirakan dampak risiko terhadap kelangsungan bisnis. c. Strategy and Plan Development: Synthesize Risk Assessment dan Business Impact Analysis. 68

Tabel III.16 Maturity Level Kelangsungan Layanan Sistem Informasi Lv Control Environment Risk Assessment Control Activities Information & Communication Monitoring 1 Manajemen mulai membicarakan dan membahas bentuk dari kelangsungan layanan sistem informasi akuntansi. 2 Manajemen telah sadar akan pentingnya kelangsungan layanan sistem informasi akuntansi. Telah mulai dibuat standar atau prosedur untuk menunjang kelangsungan layanan sistem informasi akuntansi. 3 Telah ada yang bertanggung jawab dan memelihara kelangsungan layanan sistem informasi akuntansi. 4 Telah terjadi koordinasi antara departemen TI dan departemen Keuangan untuk menjalankan dan memelihara rencana kelangsungan layanan sistem informasi akuntansi. Penilaian risiko terhadap kelangsungan layanan sistem informasi akuntansi telah dilakukan tetapi masih berasal dari inisiatif perorangan. Secara berkala telah dilakukan pengujian dan pelaporan terhadap kesiapan keberlangsungan layanan sistem informasi akuntansi. Pemeliharaan rencana kelangsungan layanan sistem informasi akuntansi dilakukan berdasarkan hasil tes dan penilaian risiko. Rencana kelangsungan layanan sistem informasi akuntansi telah dibuat dan dirawat berdasarkan analisa akibat terhadap bisnis (business impact analysis). Tanggung jawab kelangsungan layanan masih diterapkan secara informal dan wewenang yang dimiliki masih terbatas. Telah dibuat Rencana kelangsungan layanan sistem informasi akuntansi, akan tatapi pelaksanaannya masih tergantung pada individu individu tertentu. Telah tersedia peralatan peralatan untuk menghadapi keadaan darurat sesuai dengan apa yang terdapat pada rencana kelangsungan bisnis Kejadian yang menyebabkan terhentinya layanan telah diklasifikasikan dan penyebabnya telah dipelajari agar tidak terulang kembali, organisasi telah memiliki lokasi alternatif untuk menjalankan sistem informasi akuntansi. Komunikasi yang terkait dengan kelangsungan layanan sistem informasi akuntansi mulai terbentuk tetapi tidak jelas tindak lanjut dari komunikasi tersebut. Dokumen Kelangsungan layanan belum tersedia seluruhnya, meskipun telah ada komitmen untuk memberikan layanan di saat darurat. Telah ada rencana Kelangsungan layanan sistem informasi akuntansi yang dibuat berdasarkan kegentingan dari layanan akuntansi dan akibat terhadap bisnis secara menyeluruh. Pelatihan formal telah dilakukan untuk mendukung keberlangsungan layanan sistem informasi akuntansi. Pengawasan akan kelangsungan layanan telah dilakukan tetapi masih terbatas pada cara cara manual. Pelaporan masih bersifat sporadis, tidak menyeluruh dan belum ada analisa dampak terganggunya kelangsungan sistem informasi terhadap bisnis. Tujuan dan metrik untuk kelangsungan layanan telah dibuat akan tetapi pengukurannya dilakukan masih belum konsisten. Pengukuran Goal dan metrik untuk keberlangsungan layanan sistem informasi akuntansi telah dilakukan secara konsisten dan sistematik. 5 Kesadaran akan pentingnya kelangsungan layanan telah terbentuk, seluruh komponen organisasi telah mengerti akan peran dan tanggung jawabnya dalam melaksanakan rencana kelangsungan bisnis. Setiap proses perubahan pada sistem informasi akuntansi dilakukan dengan menyertakan analisa risiko dari perubahan tersebut, analisa risiko tersebut merupakan dasar dari perubahan rencana layanan kelangsungan sistem informasi akuntansi. Kelangsungan layanan sistem informasi akuntansi telah tereintegrasi dengan rencana kelangsungan layanan bisnis dan secara rutin dilakukan perawatan. Rantai komunikasi pasca terjadinya bencana telah terbentuk, dokumen SOP pasca terjadinya bencana telah terdistribusi kepada yang berkepentingan. Tes dan pelatihan telah dilakukan secara rutin dimana masukan dari kedua proses tersebut menjadi dasar untuk melakukan perbaikan. Pengawasan terhadap pengendalian kelangsungan layanan sistem informasi akuntansi telah dilakukan menyatu dengan pengawasan kelangsungan layanan bisnis organisasi. 69

Tabel III.17 Tujuan Pengendalian Kelangsungan Layanan dan Penilaian Risiko Komponen Penilaian Risiko Lingkungan Pengendalian Aktivitas Pengendalian internal Informasi & Komunikasi Pengawasan Pengendalian Kelangsungan Layanan dan Penilaian Risiko a. Penerapan pengendalian keberlangsungan layanan sistem informasi akuntansi dilakukan berdasarkan hasil dari analisa risiko terhadap komponen komponen sistem informasi akuntansi. a. Telah ada kebijaksanaan atau prosedur yang mengatur jalanya layanan sistem informasi akuntansi. a. Telah ada rencana kelangsungan layanan sistem informasi akuntansi di mana minimal berisikan panduan, peran dan tanggung jawab, prosedur serta mekanisme komunikasi. b. Dilakukan latihan secara berkala untuk melatih kesiapan apabila sewaktu waktu terjadi bencana terjadinya bencana. c. Organisasi telah memiliki lokasi alternatif (manusia & perangkat keras) untuk menjalankan layanan sistem informasi akuntansi. a. Secara terjadwal dilakukan pelaporan terhadap kondisi dan kesiapan dari peralatan darurat b. Setiap personel yang berperan dalam rencana kelangsungan bisnis telah memiliki standar operasional (Soft copy & hard copy) sesuai dengan perannya. a. Dilakukan pengecekan secara terjadwal untuk memastikan kondisi dari fasilitas cadangan agar sewaktu waktu apabila terjadi keadaan darurat peralatan tersebut dapat berfungsi dengan semestinya. Tabel III.18 Tujuan Pengendalian Pengujian, Pemeliharaan dan Penilaian ulang Rencana Kelangsungan Layanan Komponen Penilaian Risiko Lingkungan Pengendalian Aktivitas Pengendalian Pengujian, pemeliharaan dan Penilaian ulang Rencana Kelangsungan Layanan a. Rencana kelangsungan layanan sistem informasi akuntansi telah dibuat dan dirawat berdasarkan analisa akibat terhadap bisnis (business impact analysis). a. Organisasi menyadari bahwa rencana kelangsungan bisnis bukanlah merupakan suatu rencana yang bersifat statis sehingga harus senantiasa diperbaharui. a. Setiap perubahan pada sistem informasi akuntansi 70

Pengendalian internal Informasi & Komunikasi dilakukan dengan berkoordinasi untuk menjamin kelangsungan layanan sistem informasi akuntansi. b. Rencana kelangsungan bisnis senantiasa diperbaharui sejalan dengan hasil dari analisa risiko serta ketersediaan teknologi yang ada. a. Setiap perubahan dari rencana kelangsungan layanan sistem informasi akuntansi dikomunikasikan kepada pengguna sistem informasi akuntansi, sosialisasi dilakukan untuk memberitahukan perubahan yang terjadi. Pengawasan a. Dilakukan audit untuk menguji rencana kelangsungan layanan sistem informasi akuntansi. III.5.4 Analisa Kebutuhan Pengendalian Audit Sistem Informasi Akuntansi SOX mewajibkan manajemen\direksi untuk memberikan keyakinan yang memadai akan penempatan dan efektivitas dari pengendalian internal. Untuk organisasi yang menggunakan sistem informasi akuntansi, sebagian besar pengendalian internal yang diperlukan untuk menjamin penerapan dan efektivitas dari pengendalian internal berada pada layanan teknologi informasi. Oleh karena itu risiko kegagalan dari pengendalian internal pada sistem informasi akuntansi dapat sangat berpengaruh terhadap kebenaran, integritas dan ketersediaan data atau informasi transaksi keuangan. Audit sistem informasi akuntansi adalah suatu proses pemeriksaan terhadap keberadaan dan kinerja dari pengendalian internal. Proses dari audit sistem informasi akuntansi dilakukan dengan cara mengumpulkan data dan mengevaluasi bukti bukti dari pelaksanaan tatakelola, praktek dan operasional dari pengendalian internal. Kualitas hasil audit sangat tergantung pada bukti bukti urutan kejadian (chronological sequence) atau lebih dikenal juga dengan Audit Log. Audit Log mencatat siapa saja yang mengakses sistem informasi akuntansi dan apa saja yang dilakukannya dalam jangka waktu tertentu. Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : 71

a. Lingkungan Pengendalian Audit carter telah berisikan peran, wewenang dalam melakukan audit sistem informasi akuntansi, audit komite telah dibentuk untuk mengawasi jalannya proses audit sistem informasi akuntansi. b. Penilaian Risiko Dengan dimasukkannya audit sistem informasi akuntansi dalam audit carter berarti bahwa organisasi telah menempatkan risiko sistem informasi akuntansi pada tingkat organisasi. c. Aktivitas Pengendalian Proses audit dilakukan untuk menilai keberadaan, substansi dan kepatuhan dari pengendalian internal pada sistem informasi akuntansi d. Informasi dan Komunikasi Terdapat forum yang menjembatani komunikasi dan pertukaran informasi antara Pemilik proses dan auditor. Senantiasa dilakukan penyuluhan\pelatihan untuk menanamkan budaya-budaya yang mendukung penerapan pengendalian internal. e. Pengawasan Audit komite bertugas untuk menilai kewajaran dan akuntabilitas dari proses dan hasil audit. 72

Tabel III.19 Maturity Level Audit Sistem Informasi Akuntansi Lv Control Environment Risk Assessment Control Activities Information & Communication 1 Organisasi mulai menyadari Pelaksanaan Audit tidak didasari Proses audit terhadap Komunikasi dalam melakukan kebutuhan akan audit sistem atas hasil analisa risiko, sistem informasi akuntansi audit belum berjalan dengan baik informasi akuntansi, mulai pelaksanaan audit masih telah dilakukan tetapi meskipun telah ada kesadaran dikumpulkannya sumber daya yang dilakukan secara informal. masih merupakan inisiatif akan pentingnya audit sistem akan digunakan untuk melaksanakan dari perorangan (bukan informasi akuntansi. audit. tuntutan organisasi). 2 Organisasi telah memiliki bagian\individu yang bertugas untuk merencanakan dan menjalankan audit sistem informasi akuntansi. 3 Telah terbentuk audit komite yang mengontrol pelaksanaan audit sistem informasi akuntansi. 4 Komitmen dari organisasi untuk melakukan audit TI dengan sebaik baiknya ditindak lanjuti dengan dukungan keuangan, sumber daya manusia serta pemberian wewenang yang diperlukan mendukung dalam pelaksanaan audit sistem informasi akuntansi. 5 Telah terjadi koordinasi antara departemen TI, keuangan dan komite audit dalam merencanakan, membuat dan melaksanakan audit sistem informasi akuntansi. Hasil dari audit merupakan dasar manajemen untuk melakukan perbaikan penerapan pengendalian internal. Meskipun telah ada kesadaran akan risiko dari kegagalan audit teknologi informasi, rencana audit teknologi informasi belum membahas tentang kegagalan dari proses audit. Prioritas dari Pelaksanaan audit dilakukan terhadap bagian\komponen yang memiliki risiko tinggi, audit telah dianggap sebagai salah satu cara untuk mengurangi risiko. Telah dilakukan upaya upaya untuk memperkecil risiko kegagalan audit teknologi informasi, Salah satunya adalah dengan mendatangkan konsultan yang membantu merancang strategi perbaikan. Telah adanya ukuran ukuran yang menjelaskan tingkat kesulitan dan risiko dari proses audit, semakin tinggi kesulitan melakukan audit maka semakin besar sumber daya yang dikerahkan untuk melakukan audit tersebut. Proses audit telah dilakukan dengan terencana berdasarkan risiko risiko yang mungkin timbul dari penggunaan teknologi informasi. Proses Audit telah didukung melalui audit carter yang berisikan peran, wewenang dan tanggung jawab dalam melakukan audit sistem informasi akuntansi. Tatacara dan tujuan (objective) audit teknologi informasi telah terdokumentasi, tata cara tersebut telah berisikan ukuran dan tatacara pengukurannya. Proses audit teknologi informasi merupakan salah satu komponen penting dalam menunjang perbaikan organisasi secara menyeluruh. Peran, wewenang dan tanggung jawab dalam melakukan audit teknologi informasi pada sistem informasi akuntansi telah mulai dirumuskan dalam piagam audit (audit carter) meskipun belum lengkap dan terkadang tidak konsisten dalam pelaksanaannya. Pemilik proses telah diberikan penyuluhan/pelatihan tentang kepatuhan (compliance) dalam menjalankan proses yang menjadi tanggung jawabnya. Telah terjalin komunikasi antara internal auditor dan eksternal auditor dalam mengomunikasikan proses dan hasil audit sistem informasi akuntansi. Telah terjadi komunikasi dua arah antara pemilik proses dan auditor, perbaikan senantiasa dilakukan agar sesuai dengan kebutuhan bisnis dengan mengedepankan prinsip prinsip kepatuhan. Monitoring Belum adanya format standar pelaporan audit teknologi informasi, hal ini dikarenakan belum jelasnya standar dan prosedur audit sistem informasi akuntansi. Telah dilakukan pengawasan terhadap rencana dan proses audit sistem informasi akuntansi, pengawasan tersebut masih terbatas karena kurangnya wewenang. Telah ada dukungan langsung terhadap audit TI dengan dibentuknya komite audit yang mengawasi langsung jalannya proses audit teknologi informasi pada sistem informasi akuntansi. Audit komite telah berperan aktif dalam merencanakan, membuat, dan melaksanakan audit sistem informasi akuntansi. Hasil dari Audit sistem informasi akuntansi Telah menjadi salah satu komponen dalam audit sistem akuntansi, untuk industri industri tertentu audit sistem informasi akuntansi telah menjadi salah satu syarat yang harus dipenuhi. 73

Untuk menjamin keberlangsungan layanan sistem informasi akuntansi sebaiknya dilakukan audit terhadap seluruh komponen yang berinteraksi seperti peran dan tanggung jawab dalam penggunaan dan pengelolaan sistem informasi akuntansi, integritas dari proses proses yang ada pada sistem informasi akuntansi serta yang tidak kalah pentingnya adalah kualitas dari pengendalian internal yang ada didalamnya. Untuk memudahkan audit\pengawasan setiap kegiatan pada sistem informasi akuntansi sebaiknya dilakukan pencatatan. Pencatatan tersebut penting untuk mendeteksi kesalahan baik yang disengaja ataupun tidak disengaja. Tabel III.20 Tujuan Pengendalian Audit Sistem Informasi Akuntansi Komponen Penilaian Risiko Lingkungan Pengendalian Aktivitas Pengendalian internal Informasi & Komunikasi Pengawasan Pengendalian Audit Sistem Informasi Akuntansi a. Audit terhadap sistem informasi akuntansi telah menjadi bagian dalam pelaksanaan audit organisasi secara keseluruhan. b. Telah ada bagian khusus yang melaksanakan audit terhadap sistem informasi akuntansi dan layanan sumber daya TI yang digunakannya. a. Pelaksanaan audit diprioritaskan berdasarkan hasil dari analisa risiko untuk komponen komponen yang memiliki risiko tinggi. a. Terdapat audit carter yang berisikan peran, wewenang dan tanggung jawab dalam melakukan audit sistem informasi akuntansi. b. Proses audit terhadap sistem informasi akuntansi dan sumber daya TI telah dilakukan secara terjadwal. a. Hasil audit dikomunikasikan kepada manajemen, audit komite dan eksternal auditor a. Telah dibentuk audit komite yang khusus mengawasi pelaksanaan audit sistem informasi akuntansi. Tabel III.21 Tujuan Pengendalian Tatakelola Log File Komponen Pengendalian Tatakelola Log File Penilaian Risiko a. Manajemen menganggap penting pencatatan aktivitas pengguna sistem informasi akuntansi, pencatatan pada log file tidak lagi dianggap sebagai kegiatan yang tidak berguna. Lingkungan Pengendalian a. Prioritas pencatatan pada log file diprioritaskan untuk komponen komponen yang memiliki risiko tinggi berdasarkan hasil analisa risiko pada sistem informasi akuntansi. Aktivitas a. Setiap aktivitas yang berisiko mengganggu integritas 74

Pengendalian internal Informasi & Komunikasi Pengawasan dari sistem informasi akuntansi tercatat dan disimpan untuk jangka waktu tertentu. b. Log file disimpan untuk jangka waktu tertentu dan baru dapat Dihancurkan/dihapus apabila telah melewati jangka waktu tersebut. a. Hasil pencatatan aktivitas pengguna sistem informasi akuntansi dilaporkan secara berkala kepada bagian audit. a. Dilakukan pengawasan terhadap pencatatan aktivitas pengguna akses dan wewenang pada sistem informasi akuntansi untuk memastikan kesesuaian antara kegiatan yang tercatat dan aktivitas yang sebenarnya. III.5.5 Analisa Kebutuhan Pengendalian Pusat Data Setiap data data transaksi keuangan yang diproses oleh sistem informasi akuntansi akan disimpan di pusat data (data center). Bagi organisasi organisasi tertentu, pusat data atau lazim juga disebut data center berfungsi menyimpan perangkat keras (hardware) yang digunakan untuk memproses sistem informasi akuntansi. Penggunaan pusat data membawa risiko bawaan yang harus dikelola sebaik mungkin untuk menjamin ketersediaan dan integritas dari sistem informasi akuntansi. Sistem informasi akuntansi merupakan salah satu sistem informasi penting pada organisasi, organisasi yang tergantung pada sistem informasi akuntansi dalam memproses data data transaksi keuangan harus memperhatikan fasilitas dari pusat data untuk menjamin integritas dan kelangsungan layanan sistem informasi akuntansi. Uptime Institute mendefinisikan empat tingkatan dari pusat data. Empat tingkatan dari pusat data menurut Uptime Institute adalah : 1. Tier I Hanya memiliki satu jalur dari listrik, ventilasi dan pendingin. Tidak memiliki perangkat cadangan, memiliki tingkat ketersediaan 99.671%. 2. Tier II Hanya memiliki satu jalur dari listrik, ventilasi dan pendingin. Telah memiliki perangkat cadangan, memiliki tingkat ketersediaan 99.741%. 3. Tier III Telah memiliki lebih dari satu jalur listrik, ventilasi dan pendingin meskipun hanya satu yang aktif. Telah memiliki perangkat cadangan dan secara bersamaan dipelihara. Memiliki tingkat ketersediaan 99.982%. 4. Tier IV Telah memiliki lebih dari satu jalur listrik, ventilasi dan pendingin di mana kesemua jalur tersebut aktif dapat dipergunakan sewaktu waktu. 75

Telah memiliki perangkat cadangan dan dapat seketika menggantikan perangkat utama. Memiliki tingkat ketersediaan 99.995%. Gambar III.5 Keamanan Pusat Data (Davis, 2007) Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : f. Lingkungan Pengendalian Organisasi sebaiknya memiliki standar dan prosedur yang berkaitan dengan tatakelola pengendalian pusat data. Pusat data telah dianggap sebagai salah satu risiko yang dapat mengganggu integritas dari informasi keuangan. g. Penilaian Risiko Penerapan pengendalian didasarkan atas risiko yang mungkin dihadapi oleh komponen komponen pusat data. h. Aktivitas Pengendalian Dilakukan pengawasan terhadap kondisi lingkungan (suhu, kelembaban, curah hujan, dll) serta pasokan listrik dari pusat data. Proses backup sebaiknya telah dilakukan secara otomatis dan didistribusikan ke lebih dari satu tempat. i. Informasi dan Komunikasi Informasi tentang kondisi dari pusat data telah tersedia secara real time. Telah terbentuk jalur komunikasi untuk menghadapi gangguan yang mungkin terjadi. j. Pengawasan Dilakukan penilaian atau audit terhadap kesiapan perangkat dan petugas dalam menghadapi kejadian kejadian yang dapat mengganggu layanan sistem informasi akuntansi. 76

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan