bab iii analisa kebutuhan pengendalian · pdf filebab iii analisa kebutuhan pengendalian...
TRANSCRIPT
38
BAB III Analisa Kebutuhan Pengendalian Internal
III.1 Pengendalian Internal Terhadap Laporan Keuangan Berbasiskan
Teknologi Informasi
III.1.1 Pengendalian Internal Terhadap Laporan Keuangan menurut SOX
Untuk menjawab kebutuhan pengendalian internal berdasarkan SOX, standar
PCAOB no 2 memberikan pendekatan yang lebih spesifik melalui pengendalian
internal terhadap laporan keuangan (internal control over financial reporting
,ICFR) (PCAOB, 2004). PCAOB no 2 mendefinisikan bahwa pengendalian
internal terhadap laporan keuangan adalah Proses yang didesain oleh, atau
dilakukan di bawah pengawasan petinggi organisasi, petinggi bagian keuangan,
atau karyawan yang melakukan pekerjaan yang berhubungan atau serupa untuk
menciptakan keyakinan yang memadai (reasonable assurance) mengenai
keabsahan dari laporan keuangan dan persiapan laporan keuangan publik untuk
keperluan di luar organisasi berdasarkan prinsip - prinsip akuntansi yang diakui
secara umum yang mencakup kebijaksanaan dan prosedur:
a. Menjaga tingkat kedetilan yang dapat diterima, akurat dan secara wajar
mencerminkan transaksi – transaksi yang terjadi dan penempatan dari aset
yang dimiliki perusahaan.
b. Menyediakan keyakinan yang memadai (reasonable assurance) terhadap
laporan keuangan, hal ini dapat tercapai dengan melakukan pencatatan
yang layak terhadap transaksi – transaksi keuangan sesuai dengan standar
akuntansi yang berlaku. Setiap pemasukan dan pengeluaran yang
penting\berarti dilakukan dengan mekanisme otorisasi oleh manajemen
yang berwenang.
c. Menyediakan keyakinan yang memadai (reasonable assurance) terhadap
pencegahan atau deteksi dari unauthorized acquisition, penggunaan atau
disposition dari aset yang dimiliki oleh perusahaan yang dapat
berpengaruh terhadap financial statement.
39
III.1.2 COSO Sebagai Framework Pengendalian Internal
Manajemen perlu untuk mencari panduan dalam menilai efektivitas pengendalian
internal terhadap laporan keuangan yang sesuai dan diakui sebagai sebuah
framework pengendalian internal (internal control framework), panduan tersebut
haruslah dikeluarkan oleh lembaga yang memiliki keahlian mengenai
pengendalian internal serta telah dinilai oleh ahli - ahli pengendalian internal
secara luas. Dengan kata lain framework tersebut dapat dipergunakan dalam
menilai dan memperbaiki pengendalian internal apabila telah memenuhi kriteria -
kriteria seperti di bawah ini (PCAOB, 2004):
a. Tidak berat sebelah/bebas dari prasangka – prasangka.
b. Dapat digunakan untuk menilai pengendalian internal yang berhubungan
dengan laporan keuangan.
c. Dapat memberikan penilaian yang bersifat qualitative dan quantitative
terhadap pengendalian internal yang berhubungan dengan laporan
keuangan.
Di dalam standar PCAOB no 2 disebutkan bahwa perusahaan dapat menggunakan
framework Integrated Internal Control yang dikeluarkan oleh COSO (lebih lanjut
mengenai COSO dapat dibaca pada bab 2). Secara garis besar COSO menjelaskan
pengendalian internal dan komponen – komponen yang membangunnya.
Framework COSO mendefinisikan lima komponen yang dapat digunakan sebagai
panduan dalam penerapan pengendalian internal.
III.1.3 Pengendalian Internal berbasiskan TI berdasarkan COSO
Seperti yang tertulis di bab 2, tidak ada satu kata di dalam SOX yang mewajibkan
organisasi untuk menerapkan atau menilai pengendalian internal pada sistem yang
berbasiskan teknologi informasi. Saat ini sebagian besar perusahaan sangat
bergantung pada TI untuk mengelola data - data perusahaan, termasuk salah
satunya data - data transaksi keuangan. Tujuan penggunaan TI dalam menunjang
kegiatan operasional perusahaan adalah untuk meningkatkan efektivitas dan
efisien dari proses bisnis perusahaan agar dapat bersaing lebih baik dibandingkan
dengan pesaingnya.
40
Setiap kegiatan pastilah memiliki risiko, begitu juga dengan penggunaan TI dalam
mengelola data - data transaksi keuangan. SEC sebagai lembaga yang berwenang
mengawasi implementasi dari SOX, dalam panduan PCAOB standar no 5 yang
dikeluarkan pada 24 Mei 2007 pada paragraf ke 36 menekankan bahwa "The
auditor also should understand how IT affects the company's flow of
transactions". untuk memperjelas pernyataan yang tertulis pada paragraf tersebut
SEC memberikan catatan kaki yang berbunyi "The identification of risks and
controls within IT is not a separate evaluation. Instead, it is an integral part of the
top-down approach used to identify significant accounts and disclosures and their
relevant assertions, and the controls to test, as well as to assess risk and allocate
audit effort as described by this standard." .
Apabila dihubungkan dengan pengendalian internal terhadap laporan keuangan
berbasiskan TI, COSO sebagai framework yang disarankan oleh SEC
menyebutkan bahwa pengendalian internal berbasiskan TI terbagi menjadi dua
bagian (COSO, 1992):
a. IT General Control, IT General control (Pengendalian umum TI) adalah
struktur, kebijaksanaan dan prosedur yang berpengaruh terhadap
komponen – komponen utama sumber daya informasi yang bertujuan
untuk memastikan integritas dan ketersediaan layanan teknologi informasi.
b. Application Control, Application control (Pengendalian Aplikasi) adalah
struktur, kebijaksanaan dan prosedur yang dilakukan secara otomatis atau
manual di dalam aplikasi. Pengendalian aplikasi secara umum didesain
untuk mencegah, mendeteksi dan memperbaiki kesalahan dan
ketidakberesan pada tingkatan aplikasi.
COSO mendefinisikan lima komponen pengendalian internal. Kelima komponen
tersebut bersifat general. Untuk mempermudah memahami kebutuhan
pengendalian internal berdasarkan framework COSO, berikut ini akan dijabarkan
kelima komponen pengendalian internal dilihat dari sudut pandang TI:
a. Control Environment (Lingkungan Pengendalian), Lingkungan yang
mendukung pegawai/karyawan menunjang keberhasilan penerapan
41
pengendalian internal. Lingkungan Pengendalian menjelaskan
kebijaksanaan dan prosedur yang dapat mendukung upaya – upaya
mengurangi risiko penggunaan TI terhadap integritas dari laporan
keuangan.
b. Risk Assessment (Penilaian Risiko), dalam pembuatan tata kelola TI.
Manajemen terlebih dahulu melakukan penilaian dan memahami wilayah
– wilayah yang berisiko di mana dapat mengganggu integritas dari
laporan keuangan. Penilaian tersebut harus dilakukan terhadap sistem
sesuai dengan standar keamanan informasi yang diakui secara luas.
Penilaian tersebut bertujuan untuk menunjang perbaikan terhadap sistem
yang telah ada ataupun terhadap sistem baru yang akan
diimplementasikan.
c. Control Activities (Aktivitas Pengendalian), Desain, implementasi dan
jaminan kualitas (quality assurance) dari aktivitas pengendalian yang
terdapat pada tata kelola TI harus dibuat seindependen mungkin. Tata
kelola TI harus berisikan aktivitas – aktivitas pengendalian yang
berorientasi untuk mengurangi risiko dari penggunaan TI yang dapat
mengganggu integritas dari laporan keuangan.
d. Monitoring (Pengawasan), Tata kelola TI harus berisikan rencana dan
jadwal audit TI terhadap sumber daya teknologi informasi yang digunakan
untuk mendukung layanan sistem informasi akuntansi, manajemen harus
paham dan mengerti tindak lanjut yang perlu diambil sesuai dengan hasil
audit yang telah dilakukan.
e. Information and Communication (Informasi dan Komunikasi), Tanpa
adanya informasi yang akurat, manajemen akan sulit menjalankan
aktivitas pengendalian internal. Tata kelola TI harus berisikan mekanisme
pengambilan, pemrosesan dan pendistribusian informasi yang menunjang
keberhasilan penerapan pengendalian internal. Tata kelola TI harus dapat
menunjukkan peran dari departemen TI terhadap keberhasilan penyebaran
informasi yang berkaitan dengan pengendalian internal.
42
III.2 Analisa Risiko Pemrosesan Keuangan Berbasiskan TI
III.2.1 Penilaian Risiko Dari Atas ke Bawah (Top Down Risk Assessment)
Menurut standar PCAOB no 2 (PCAOB, 2004), TI merupakan salah satu sumber
risiko yang dapat mengganggu integritas dari laporan keuangan, pernyataan
tersebut dipertegas oleh standar PCAOB no 5 yang dikeluarkan pada tahun 2007
bahwa proses penilaian risiko TI merupakan salah satu proses dari penilaian risiko
perusahaan secara menyeluruh (PCAOB, 2007).
Penilaian risiko dari atas ke bawah (SOX Top Down Risk Assessment) atau
disingkat TDRA merupakan panduan resmi yang dikeluarkan oleh PCAOB untuk
menilai penerapan pengendalian internal yang sesuai dengan ketentuan SOX
bagian 404. TDRA digunakan untuk menentukan ruang lingkup dan bukti - bukti
yang diperlukan dalam melakukan tes/audit terhadap penerapan pengendalian
internal berdasarkan SOX bagian 404. TDRA merupakan metodologi yang
bersifat hierarchical berdasarkan objek yang dilindungi dan risiko dalam
menentukan ruang lingkup dan bukti yang diperlukan untuk mendukung penilaian
penerapan pengendalian internal, langkah - langkah yang terdapat pada TDRA
adalah:
a. Identifikasi elemen - elemen laporan keuangan yang penting (rekening dan
transaksi keuangan).
b. Identifikasi sumber - sumber risiko pada pernyataan keuangan berdasarkan
rekening dan transaksi keuangan yang teridentifikasi pada langkah
pertama.
c. Tentukan entity level control yang akan menanggulangi risiko yang
teridentifikasi pada tahap kedua.
d. Tentukan transaction level control yang akan menanggulangi risiko yang
teridentifikasi pada tahap dua sebagai penjabaran dari entity level control
(tahap ketiga).
e. Tentukan sifat, dampak dan kemungkinan waktu terjadinya dari bukti –
bukti risiko yang didapat dalam penilaian ini.
43
Meskipun TDRA merupakan sebuah metodologi penilaian penerapan
implementasi pengendalian internal yang telah berjalan, pendekatan yang terdapat
pada TDRA dapat dipergunakan sebagai landasan dalam melakukan penilaian
kebutuhan pengendalian internal. Pada TDRA, untuk menentukan pengendalian
internal yang akan dinilai\audit. Auditor pertama - tama melakukan penilaian
terhadap rekening dan transaksi keuangan yang berhubungan dengan pernyataan
keuangan. penilaian tersebut bertujuan untuk menentukan rekening - rekening
yang memiliki risiko tinggi.
Setelah diketahui rekening - rekening yang memiliki risiko tinggi, langkah
berikutnya adalah menganalisa transaksi - transaksi yang berpengaruh terhadap
rekening - rekening tersebut. pada tahap ini auditor harus jeli dalam melihat segala
kelemahan atau ancaman yang mungkin dapat mengganggu integritas dari
transaksi - transaksi tersebut. tahap ini penting karena pada tahap ini dikumpulkan
informasi mengenai ancaman dan risiko yang nantinya akan digunakan sebagai
dasar dalam menentukan bentuk dan jenis pengendalian internal yang cocok untuk
menanggulangi risiko - risiko yang dapat mengganggu integritas dari laporan
keuangan.
III.2.2 Risiko Penggunaan TI Terhadap Integritas Laporan Keuangan
Pada sistem informasi akuntansi yang berbasiskan teknologi informasi, terdapat
berbagai macam risiko yang mungkin dapat mengganggu kualitas dari informasi
seperti pada saat inisiasi, otorisasi, proses-proses, simpan dan pembuatan laporan
transaksi keuangan. Risiko tersebut dapat bersumber dari pengguna, teknologi
atau lingkungan. Untuk memberikan gambaran yang lebih jelas, berikut adalah
contoh dari risiko penggunaan TI yang dapat mengganggu kualitas dari informasi
yang dipergunakan dalam membuat laporan keuangan :
Tabel III.1 Risiko penggunaan sistem yang berinteraksi dengan laporan keuangan
Proses Sumber Daya Yang
Terlibat
Risiko
Initiated (1 memulai,
memprakarsai. 2
meresmikan,
Manusia (pengguna
sistem)
1. Pemalsuan transaksi
2. Salah Memasukan
Data
44
menginisiasikan (club,
fraternity). 3
mengajukan.)
3. Penyalahgunaan
wewenang
Aplikasi 4. Membuat transaksi yang tidak perlu
5. Kesalahan dalam
melakukan
perhitungan
Authorized (Pengesahan) Manusia (pengguna
sistem)
1. Mengesahkan
transaksi yang tidak
semestinya disahkan.
2. Konflik kepentingan
3. Penyalahgunaan
wewenang
Aplikasi 4. Kesalahan pengesahan
5. Salah melakukan
perhitungan
Recorded (penyimpanan) Manusia (pengguna
sistem)
1. Merusak media
penyimpanan
2. Pencurian
data/informasi
3. Merubah data yang
telah disimpan
Aplikasi 4. Kegagalan aplikasi
5. Kesalahan menyimpan
data
Processes (pemrosesan) Manusia (pengguna
sistem)
1. Merubah data – data
transaksi
2. Memasukan transaksi
palsu
3. Memasukan informasi
palsu mengenai hasil
transaksi
Aplikasi 4. Salah melakukan
perhitungan
5. Kesalahan Pembulatan
6. Kesalahan logika
program
Reported (Pelaporan) Manusia (pengguna
sistem)
1. Kekeliruan dalam
menggunakan asumsi.
2. Salah menyajikan
laporan
3. Manipulasi laporan
Aplikasi 4. Menggunakan data
yang salah
5. Menyampaikan
informasi yang tidak
tepat
45
Tabel III.2 Risiko penggunaan infrastruktur TI terhadap integritas dari laporan
keuangan
Infrastruktur Risiko
Jaringan 1. Data dirubah di tengah jalan.
2. Data tidak dapat terbaca (corrupt).
Pusat Data (Data
Center)
1. Salah memberikan data.
2. Hilangnya data - data yang telah tersimpan.
3. Pencurian media penyimpanan data.
4. Kegagalan sistem.
Sistem Operasi
(Operating System)
1. Sabotase terhadap sistem operasi.
2. Merubuh logika program.
3. Gangguan terhadap proses perhitungan.
4. Kegagalan sistem.
III.3 Kebutuhan pengendalian internal pada Sistem Informasi Akuntansi
III.3.1 Penilaian kebutuhan pengendalian internal berdasarkan risiko
penggunaan sumber daya Teknologi Informasi
Berdasarkan analisa risiko penggunaan teknologi informasi terhadap integritas
dari laporan keuangan. Risiko penggunaan teknologi informasi dilihat dari sifat
prosesnya dapat bersumber dari dua tipe proses:
a. Otomatis, proses yang terjadi tanpa campur tangan operator/manusia.
Proses jenis ini terjadi ketika telah tercapainya suatu kondisi tertentu
(trigger) yang mengakibatkan aplikasi/komputer untuk melakukan suatu
pekerjaan sesuai dengan apa yang telah ditentukan.
b. Manual, Proses manual adalah proses yang memerlukan penilaian dari staf
ahli atau yang memiliki wewenang dalam menentukan hal – hal penting
(essential) yang sangat berpengaruh terhadap keberhasilan suatu proses.
Untuk proses – proses yang bersifat Otomatis risiko dari penggunaan teknologi
informasi dapat dikurangi dengan cara menerapkan pengendalian internal pada
tata kelola sumber daya teknologi informasi. Menurut COBIT versi 4 sumber daya
teknologi informasi dikelompokkan menjadi (ITGC, 2006):
a. Aplikasi (application)
b. Informasi (information)
c. Infrastruktur (Infrastructure)
d. Manusia (people)
46
III.3.2 Pengendalian Internal Terhadap Risiko Penggunaan Aplikasi
Salah satu kelebihan dari penggunaan sistem informasi akuntansi dibandingkan
dengan proses manual adalah sistem informasi akuntansi dapat mengerjakan suatu
pekerjaan secara otomatis dengan kecepatan,ketepatan dan hasil yang relatif
konstan. Keunggulan ini dapat dipandang sebagai suatu kelebihan yang tidak
dimiliki oleh sistem manual, akan tetapi keunggulan ini dapat menjadi bumerang
ketika terjadi kesalahan logika pada proses pembuatan program dan terus terbawa
sampai dengan proses operasional. Kesalahan logika tersebut merupakan risiko
yang dapat mempengaruhi integritas dari laporan keuangan karena dapat
dipastikan setiap perhitungan yang dilakukan akan mengeluarkan nilai yang salah
di mana kesalahan tersebut akan diulang terus menerus sampai kesalahan tersebut
diperbaiki. Oleh karena itu untuk menjaga integritas dari sebuah sistem informasi
akuntansi maka diperlukan penerapan pengendalian internal dalam tahap
pembuatan (application development) dan pemeliharaan sistem (maintenance).
III.3.3 Pengendalian Internal Terhadap Risiko Penggunaan Infrastruktur
dan Manusia.
Infrastruktur TI dan sumber daya manusia merupakan sumber daya teknologi
informasi yang bersifat umum (general). Kedua sumber daya tersebut tidak terikat
terhadap sistem informasi manapun. Karena perannya yang menjadi tulang
punggung suatu layanan TI (IT Service) maka tata kelola infrastruktur dan sumber
daya manusia merupakan salah satu kunci keberhasilan layanan TI. Integritas dari
informasi yang dikelola dan disimpan pada Sistem informasi akuntansi sangat
bergantung dari integritas (integrity), kerahasiaan (confidentiality) dan
ketersediaan (Availability) dari infrastruktur dan sumber daya manusia yang
mengelola layanan TI. Infrastruktur TI dan sumber daya manusia yang
mengelolanya dapat dipandang sebagai sebuah risiko yang dapat mengganggu
integritas dari informasi yang digunakan dalam membuat laporan keuangan. Oleh
karena itu untuk menjaga integritas laporan keuangan maka diperlukan penerapan
pengendalian internal dalam mengelola infrastruktur TI seperti pusat data (data
center), jaringan (network), sistem informasi (operating system) serta sumber daya
manusia yang mengelolanya.
47
III.3.4 Pengendalian internal terhadap risiko penggunaan Informasi
Kualitas dari informasi yang dihasilkan oleh sistem informasi akuntansi
mempengaruhi integritas dari laporan keuangan. Sangatlah penting untuk
diperhatikan bagaimana informasi yang dihasilkan dari sistem informasi akuntansi
memiliki kandungan informasi yang dapat dipertanggungjawabkan untuk
membuat sebuah laporan keuangan. Kualitas dari informasi untuk membuat
sebuah laporan keuangan dapat dinilai dari (COSO, 1992):
a. Kesesuaian kandungan informasi (apakah mengandung informasi yang
dibutuhkan).
b. Informasi diberikan tepat waktu (dapatkah diberikan sewaktu - waktu
ketika diperlukan).
c. Informasi merupakan informasi terbaru (Apakah ini informasi yang
terbaru).
d. Informasinya akurat (Apakah informasi ini benar).
e. Informasi tersedia bagi yang membutuhkan (Dapatkah informasi ini
tersedia dengan mudah bagi yang membutuhkan).
Untuk dapat mencapai keempat kriteria dari informasi yang berkualitas menurut
panduan framework COSO, sangatlah penting untuk memastikan kualitas dari
pengendalian internal pada TI yang bersifat umum (general control). Apabila
pengendalian internal yang bersifat umum telah dapat diterapkan dengan baik,
langkah berikutnya adalah memastikan bagaimana informasi tersebut
dikelola\dijaga di dalam sebuah sistem informasi. Untuk mencapai hal tersebut
langkah yang perlu diambil adalah dengan menerapkan pengendalian internal
yang sesuai dengan karakteristik dari sistem. Tujuan dari penerapan pengendalian
aplikasi (application control) adalah untuk menjamin : akurasi (accuracy),
Keterselesaian (Completeness), validitas (Validity) dan otorisasi (authorization)
dari sebuah transaksi yang diproses oleh sistem informasi akuntansi.
III.4 Analisa Kebutuhan Framework Pengendalian Internal pada Sistem
Informasi Akuntansi
III.4.1 Analisa Tatacara Penilaian & Perbaikan Pengendalian Internal
48
Pada bagian sebelumnya telah dilakukan analisa terhadap keterhubungan antara
konsep - konsep yang akan melandasi perancangan framework pengendalian
internal pada sistem informasi akuntansi. Alasan utama yang mendasari
diperlukannya framework pengendalian internal adalah risiko yang bersumber dari
penggunaan teknologi informasi yang dapat mengganggu integritas dari informasi
yang digunakan dalam membuat laporan keuangan. Menurut COBIT sumber daya
TI terdiri dari (ITGC, 2006): aplikasi, informasi, infrastruktur dan manusia. Setiap
sumber daya TI memiliki risiko – risiko yang unik sesuai dengan karakteristik
yang dimilikinya. Keunikan tersebut menyebabkan tidak adanya suatu pendekatan
yang bersifat umum dalam menanggulangi risiko – risiko yang berasal dari
penggunaan TI.
Menurut COSO, pengendalian internal terhadap laporan keuangan pada sistem
informasi terbagi menjadi : IT General Control dan Application Control.
Sedangkan menurut SEC pengendalian internal pada laporan keuangan terbagi
menjadi: entity level control, transaction level control dan action level control.
Berdasarkan hasil analisa risiko penggunaan teknologi informasi terhadap
integritas dari informasi yang digunakan dalam membuat laporan keuangan,
pengendalian internal terhadap sistem informasi akuntansi pada penelitian ini akan
terbagi menjadi:
a. Pengendalian tingkat entiti (Entity Level Control)
b. Pengendalian umum TI (IT General Control)
c. Pengendalian aplikasi (Application Control)
Penelitian ini akan memfokuskan pada pengendalian internal yang bertujuan
untuk mencegah (preventive) dan mendeteksi (detection) risiko – risiko yang
mungkin mengganggu integritas dari informasi yang digunakan dalam membuat
laporan keuangan. Untuk mencapai kedua hal tersebut penelitian ini akan
menurunkan kelima komponen pengendalian internal yang terdapat pada COSO
integrated internal control framework menjadi pengendalian internal yang akan
diterapkan pada sistem informasi akuntansi berbasiskan teknologi informasi.
49
Tabel di bawah ini menjelaskan Tatacara dari framework pengendalian internal
pada sistem informasi akuntansi yang diajukan pada penelitian ini. Seperti telah
disebutkan sebelumnya, dasar dari framework pada penelitian ini adalah risiko
dari penggunaan sumber daya teknologi informasi. Hubungan risiko dan laporan
keuangan dihubungkan dengan penilaian risiko – risiko yang berhubungan
langsung dengan rekening dan transaksi keuangan. Pendekatan ini diambil agar
pengguna dari framework ini fokus terhadap risiko - risiko yang berhubungan
langsung dengan integritas dari laporan keuangan.
Tabel III.3 Tahapan penilaian dan perbaikan Pengendalian Internal pada Sistem
Informasi Akuntansi
No Langkah Deskripsi
1 Identifikasi rekening & transaksi
keuangan yang penting.
1. Identifikasi rekening – rekening
penting.
2. Identifikasi transaksi – transaksi
penting.
2 Identifikasi Sumber Daya TI dan
Pengendalian Internal yang ada.
1. Inventaris sumber daya TI dan
pengendalian internal yang
digunakan dalam mendukung SIA.
2. Review dokumen proses keuangan
untuk mengidentifikasi
pengendalian - pengendalian yang
tergantung dari TI.
3 Menilai risiko penggunaan TI
1. Menilai risiko dari penggunaan
sumber daya TI (impact &
likelihood).
2. Identifikasi Ancaman (Thread).
3. Identifikasi Kelemahan
(Vulnerability)
4 Penilaian dan Perbaikan
Pengendalian Internal.
1. Perbaikan Kekosongan
Pengendalian Internal.
2. Perbaikan Secara Sistematis
Berdasarkan Maturity Level.
III.4.2 Analisa Model Aktivitas Pengendalian Internal
III.4.2.1 Model dari Aktivitas Pengendalian Internal
Berdasarkan pemaparan yang terdapat pada bab ini dibandingkan dengan
pengendalian internal pada sistem informasi yang terdapat pada framework COSO
maka aktivitas pengendalian internal berbasiskan teknologi informasi dibagi
menjadi tiga kelompok :Pengendalian tingkat entiti (Entity Level Control),
50
Pengendalian umum TI (IT General Control) dan Pengendalian aplikasi
(Application Control).
Tabel III.4 Pengelompokan Pengendalian Internal.
Tipe Pengendalian Internal Aktivitas Pengendalian Internal
Pengendalian tingkat entiti (Entity
Level Control) :
1. Pengendalian akses.
2. Keamanan jaringan.
3. Rencana Kelangsungan Layanan
Sistem Informasi Akuntansi.
4. Audit Sistem Informasi Akuntansi.
Pengendalian umum TI (IT General
Control) :
5. Pusat Data
6. Operasional Komputer.
7. Tatacara Pengembangan Sistem.
Pengendalian aplikasi (Application
Control) :
8. Pengendalian Aplikasi
Tabel III.5 Pengendalian internal pada Sistem Informasi Akuntansi.
Sumber Risiko (IT
Infrastructure)
Aktivitas Pengendalian Internal
Aplikasi (application) 1. Tatacara Pengembangan Sistem.
2. Pengendalian Aplikasi.
Infrastruktur & Manusia 1. Pusat Data
2. Operasional Komputer
3. Keamanan Jaringan
Informasi (information) 1. Audit Sistem Informasi Akuntansi
2. Pengendalian Akses dan Wewenang
3. Pengendalian Aplikasi
51
Gambar III.1 Framework Aktivitas Pengendalian Internal.
Aktivitas pengendalian internal pada sistem informasi akuntansi pada tesis ini
terbagi menjadi :
a. Pengendalian tingkat entity (Entity Level Control) – Pengendalian tingkat
entity adalah pengendalian yang menyatu dan berpengaruh langsung di
dalam organisasi. Pengendalian tingkat entity memberikan dasar dalam
menjaga integritas dari sistem informasi akuntansi. Pengendalian tingkat
entity diterapkan dalam mengatur/mengarahkan pengendalian internal
Terhadap sumber daya TI yang digunakan dalam mendukung sistem
informasi akuntansi.
b. Pengendalian umum TI (IT General Control) – Pengendalian umum TI
adalah struktur, kebijaksanaan dan prosedur yang berpengaruh langsung
terhadap komponen – komponen utama sumber daya teknologi informasi.
Tujuan dari pengendalian umum TI adalah memastikan integritas dan
ketersediaan layanan teknologi informasi.
52
c. Pengendalian aplikasi (Application Control) – Pengendalian aplikasi
adalah struktur, kebijaksanaan dan prosedur yang diterapkan di dalam
sistem informasi akuntansi. Pengendalian ini secara khusus didesain untuk
mencegah, mendeteksi dan memperbaiki kesalahan dan ketidakbenaran
informasi yang diproses oleh sistem informasi akuntansi.
Gambar III.2Model dari Aktivitas Pengendalian internal pada Sistem Informasi
Akuntansi
Aktivitas Pengendalian internal tersebut akan bertujuan untuk mencapai :
d. Kerahasiaan (Confidentiality) - aspek yang menjamin kerahasiaan data
atau informasi, memastikan bahwa informasi hanya dapat diakses oleh
orang yang berwenang dan menjamin kerahasiaan data yang dikirim,
diterima dan disimpan.
e. Integritas (Integrity) - aspek yang menjamin bahwa data tidak dirubah
tanpa adanya izin pihak yang berwenang (authorized), menjaga keakuratan
dan keutuhan informasi serta metode prosesnya untuk menjamin aspek
integritas ini.
f. Ketersediaan (Availability) - aspek yang menjamin bahwa data akan
tersedia saat dibutuhkan, memastikan pengguna yang berhak dapat
53
menggunakan informasi dan perangkat terkait (aset yang berhubungan
bilamana diperlukan).
III.4.2.2 Aktivitas Pengendalian Internal
Tabel III.6 Aktivitas Pengendalian Internal
Jenis
Pengendalian
Internal
Aktivitas
Pengendalian
Internal
Tujuan
Kerahasiaan
(Confidentiality)
Integritas
(Integrity)
Ketersediaan
(Availability)
Entity Level
Control
1. Pengendalian
Akses dan
Wewenang
2. Keamanan
Jaringan
☻
3. Kelangsungan
Layanan
Sistem
Informasi
Akuntansi
4. Audit Sistem
Informasi
Akuntansi
☻
IT General
Control
5. Pusat Data ☻
6. Operasional
Komputer
☻ ☻
7. Tatacara
Pengembanga
n Sistem
Application
Control
8. Pengendalian
Aplikasi
= Primary Objective
☻ = Secondary Objective
54
5 Komponen Pengendalian Internal
Tujuan Pengendalian (Control
Objective)
Pengendalian :
Maturity
Level.
Table
Perbaikan.
Aktor :
Peran
Tanggung
Jawab.
Gambar III.3 Penjabaran dari Setiap Aktivitas Pengendalian Internal
Framework pengendalian internal pada sistem informasi akuntansi berisikan 8
aktivitas pengendalian yang terbagi ke dalam 3 tipe pengendalian internal (Entity
level control, IT General Control, Application Control). Isi dari setiap aktivitas
pengendalian internal adalah :
a. Tujuan pengendalian (Control Objective) – Tujuan pengendalian
merupakan dasar dari pengendalian internal karena di dalam tujuan
pengendalian terdapat tujuan (objective) dan petunjuk (guideline)
penerapan pengendalian internal. Tujuan pengendalian dapat digunakan
sebagai petunjuk dalam melakukan penilaian dan perbaikan pengendalian
internal. Tujuan pengendalian merupakan dasar dari Maturity Level dan
tabel rekomendasi.
b. Maturity Level – Maturity level digunakan sebagai alat ukur dalam menilai
pengendalian internal dan juga sebagai dasar dalam melakukan perbaikan.
Terdapat enam tingkatan dalam maturity level (0 s/d 5), ke enam
tingkatan tersebut mencerminkan pencapaian penerapan pengendalian
internal. Level terendah adalah 0 yang berarti pengendalian internal belum
diimplementasikan, sedangkan level tertinggi 5 menjelaskan bahwa
pengendalian internal telah diterapkan dan senantiasa dilakukan perbaikan
untuk meningkatkan kualitas dari penerapan pengendalian internal.
c. Role & Responsibility – Peran dan tanggung jawab dalam menjalankan
pengendalian internal, prinsip – prinsip akuntabilitas, pemisahan
55
kekuasaan check and balance adalah prinsip – prinsip yang harus
dijunjung dalam menjalankan pengendalian internal.
d. Tabel Rekomendasi – Tabel rekomendasi berisikan rekomendasi perbaikan
berdasarkan enam tingkatan penerapan pengendalian internal sesuai
dengan yang terdapat pada maturity level (poin b). Perbaikan yang
direkomendasikan akan dikelompokkan sesuai dengan komponen
pengendalian internal yang terdapat pada framework COSO.
e. Kuesioner – Kuesioner diturunkan dari enam tingkatan pengendalian
internal, kuesioner tersebut terbagi menjadi lima kelompok pertanyaan
berdasarkan lima komponen pengendalian internal yang dikemukakan oleh
COSO. Dari setiap kelompok pertanyaan akan ditanyakan dua pertanyaan
di mana pertanyaan pertama menanyakan pencapaian penerapan
pengendalian internal saat ini, sedangkan pertanyaan kedua akan
menanyakan tentang harapan/keinginan pencapaian penerapan
pengendalian internal. Jawaban untuk setiap kelompok pertanyaan
berisikan enam pilihan sesuai dengan tingkatan maturity level.
Dasar dari ketiga aktivitas pengendalian internal tersebut adalah 5 komponen
pengendalian internal yang terdapat pada framework COSO :
a. Lingkungan pengendalian (Control Environment), Lingkungan yang
mendukung pegawai/karyawan menunjang keberhasilan penerapan
pengendalian internal. Lingkungan pengendalian menjelaskan
kebijaksanaan dan prosedur yang dapat mendukung upaya – upaya
mengurangi risiko penggunaan TI terhadap integritas dari laporan
keuangan.
b. Penilaian risiko (Risk Assessment), dalam pembuatan tata kelola TI.
Manajemen terlebih dahulu melakukan penilaian dan memahami wilayah
– wilayah berisiko yang dapat mengganggu integritas dari laporan
keuangan. Penilaian tersebut harus dilakukan terhadap sistem sesuai
dengan standar keamanan informasi yang diakui secara luas. Penilaian
tersebut bertujuan untuk menunjang perbaikan terhadap sistem yang telah
ada ataupun terhadap sistem baru yang akan diimplementasikan.
56
c. Aktivitas Pengendalian (Control Activities). Desain, implementasi dan
jaminan kualitas (quality assurance) dari aktivitas pengendalian yang
terdapat pada tata kelola TI harus dibuat semandiri mungkin. Tata kelola
TI harus berisikan aktivitas – aktivitas pengendalian yang berorientasi
untuk mengurangi risiko dari penggunaan TI yang dapat mengganggu
integritas dari laporan keuangan.
d. Informasi dan Komunikasi (Information and Communication). Tanpa
adanya informasi yang akurat, manajemen akan sulit menjalankan
aktivitas pengendalian internal. Tata kelola TI harus berisikan mekanisme
pengambilan, pemrosesan dan pendistribusian informasi yang menunjang
keberhasilan penerapan pengendalian internal. Tata kelola TI harus dapat
menunjukkan peran dari departemen TI terhadap keberhasilan penyebaran
informasi yang berkaitan dengan pengendalian internal.
e. Pengawasan (Monitoring), Tata kelola TI harus berisikan rencana dan
jadwal audit TI terhadap sumber daya teknologi informasi yang digunakan
untuk mendukung layanan sistem informasi akuntansi, manajemen harus
paham dan mengerti tindak lanjut yang perlu diambil sesuai dengan hasil
audit yang telah dilakukan.
III.5 Analisa Kebutuhan Aktivitas Pengendalian Internal
III.5.1 Analisa Kebutuhan Pengendalian Akses dan Wewenang
Pada lingkungan multi pengguna (multi user) harus terdapat pengendalian atau
kontrol yang membatasi akses dan wewenang setiap pengguna atau pengelolanya.
Risiko bawaan dari lingkungan multi pengguna dapat terjadi ketika seorang
pengguna mengotorisasi atau merubah suatu transaksi yang bukan merupakan
wewenangannya, apabila hal ini terjadi (penyalahgunaan akses dan wewenang)
maka mekanisme pengawasan dan pengecekan dalam suatu transaksi atau proses
bisnis dapat dengan mudah dilewati.
Tabel III.7 Risiko dari lingkungan multi pengguna (Multi User)
Risiko dari Jenis Risiko Contoh Risiko
Akses dan Wewenang Inherent Risk 1. Akses yang tidak sah pada
sistem.
57
2. Akses Langsung pada perangkat
keras (hardware).
3. Penyalahgunaan hak akses pada
suatu informasi tertentu.
4. Pemalsuan transaksi (transaksi
fiktif).
Control Risk 1. Pemberian hak akses dari
pemilik yang sah ke pihak
ketiga.
2. Pemalsuan transaksi dengan
cara permainan antara yang
melakukan dan yang
mengotorisasi.
3. Terdapat permainan antara
petugas penjaga dan pengawas.
4. Penyalahgunaan informasi
(menjual, memberikan) yang
dilakukan oleh yang memiliki
hak akses sah.
Pengendalian akses dan wewenang harus dapat memberikan keyakinan yang
memadai bahwa setiap pengguna atau pengelola sistem informasi akuntansi tidak
memiliki akses dan wewenang penuh terhadap suatu transaksi atau proses bisnis.
Pengendalian dapat dilakukan dengan menerapkan pengawasan terhadap fungsi –
fungsi seperti di bawah ini pada suatu transaksi atau proses bisnis.
Gambar III.4 Pemisahan Kekuasaan (segregations of duties) (Perelsona dkk,
2001).
Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan
yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen
58
pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian
akses dan wewenang dilihat dari 5 komponen COSO :
a. Lingkungan Pengendalian – Terdapat kebijakan dan standar yang mengatur
mekanisme pemberian dan pencabutan akses dan wewenang pada sistem
informasi akuntansi.
b. Penilaian Risiko – Pemberian akses dan wewenang dilakukan berdasarkan
analisa risiko untuk mencegah terjadinya penyalahgunaan wewenang atau
untuk menghindari terjadinya konflik kepentingan.
c. Aktivitas Pengendalian – Kebijakan atau standar pengendalian akses dan
wewenang haruslah mengatur bagaimana prosedur yang harus dilalui, bagian
yang melakukan dan pejabat yang mengotorisasi setiap pemberian dan
pencabutan akses dan wewenang.
d. Informasi dan Komunikasi – terdapat jalur komunikasi antara bagian TI,
keuangan dan SDM dalam mengatur pemberian akses dan wewenang pada
sistem informasi akuntansi.
e. Pengawasan – Penggunaan akses dan wewenang oleh pengguna sistem
informasi akuntansi senantiasa tercatat dan diawasi untuk menghindari
terjadinya penyalahgunaan akses dan wewenang.
59
Tabel III.8 Maturity Level dari Pengendalian Akses
Control Environment
Risk Assessment Control Activities Information &
Communication
Monitoring
Level
1
Organisasi sudah mulai
menyadari pentingnya
pengendalian akses untuk
menghindari
penyalahgunaan akses dan
wewenang pada sistem
informasi akuntansi.
Penilaian risiko terkait
dengan risiko dari
penyalahgunaan akses dan
wewenang pada sistem
informasi akuntansi belum
dilakukan secara formal.
Karena tidak didasarkan atas
analisa risiko maka penerapan
pengendalian akses pada sistem
informasi akuntansi masih
terbatas berdasarkan inisiatif
analis\pengembang sistem
informasi akuntansi.
Informasi yang
berhubungan dengan
pengendalian akses dan
wewenang belum dapat
dikomunikasikan dengan
baik karena pelaksanaan
pengendalian akses dan
wewenang masih bersifat
intuitif.
Pengawasan terhadap
penggunaan password, akses dan
wewenang serta pengendalian
fisik sistem informasi akuntansi
mulai dilakukan meskipun
pelaksanaannya belum
sepenuhnya mendapatkan
dukungan dari organisasi.
Level
2
Organisasi mulai
memahami pentingnya
pengendalian akses. standar
dan prosedur pengendalian
akses telah dibuat meskipun
belum mencakup seluruh
tujuan pengendalian
(control objective)
pengendalian akses.
Penilaian risiko secara
formal terhadap penyalah
gunakan akses dan
wewenang mulai
dilakukan. Meskipun
demikian organisasi masih
menganggap bahwa
penyalahgunaan akses dan
wewenang pada sistem
informasi akuntansi
semata – mata merupakan
masalah pada domain TI
semata.
Pada tahap pengembangan
sistem informasi akuntansi,
pengendalian akses telah
menjadi salah satu kebutuhan
(requirements) selain kebutuhan
fungsionalitas dari sistem
informasi akuntansi.
Informasi yang
berhubungan dengan
pengendalian akses telah
didokumentasikan
meskipun belum
mencakup seluruh tujuan
pengendalian (control
objective) pengendalian
akses.
Pengawasan sudah mulai
dilakukan secara terstruktur
sesuai dengan standar/prosedur
yang ada.
Level
3
Telah ada bagian\individu
yang bertanggung jawab
mengatur pengendalian
akses dan wewenang pada
sistem informasi akuntansi
beserta sumber daya TI
yang mendukungnya.
Organisasi telah sadar
akan besarnya dampak
risiko yang ditimbulkan
dari kesalahan akses pada
sistem informasi
akuntansi, penilaian risiko
telah dilakukan untuk
Pemberian akses dan wewenang
pada sistem informasi akuntansi
dilakukan berdasarkan prinsip –
prinsip akuntansi dengan tujuan
untuk menghindari
penyalahgunaan wewenang.
Standar dan prosedur
pengendalian akses dan
wewenang telah
terdefinisi dengan baik
akan tetapi ketersediaan
Informasi untuk
melakukan pengawasan
Telah dilakukan mekanisme
pengawasan pengendalian akses
pada sistem informasi akuntansi,
Pada saat ini mekanisme
pengawasan masih dilakukan
dengan semi-otomatis.
60
melihat dampak dari
kesalahan akses pada
integritas transaksi yang
ada pada sistem informasi
akuntansi
masih belum tersedia
dengan cepat dan
terstruktur.
Level
4
Koordinasi antara bagian
IT, keuangan dan SDM
dalam mengatur
pengendalian akses pada
sistem informasi akuntansi
dan sumber daya TI yang
mendukungnya telah mulai
dibangun meskipun
pelaksanaannya masih
tumpang tindih.
Organisasi telah memiliki
ukuran – ukuran tertentu
dalam melakukan
penilaian risiko, ukuran –
ukuran tersebut berisikan
pengukuran risiko
kesalahan akses dilihat
dari sudut pandang TI dan
Akuntansi.
Setiap permohonan pengguna
baru atau
penambahan/pengurangan
wewenang pada sistem
informasi akuntansi dilakukan
secara tertulis dan diotorisasi
pelaksanaannya oleh yang
berwenang.
Telah dilakukan
pencatatan perilaku akses
(profile) yang dilakukan
untuk mendukung proses
pengawasan dan
penyidikan..
Hasil dari pencatatan tersebut
kemudian dianalisa secara
otomatis atau manual untuk
mengetahui\mencegah apabila
terjadi penyalahgunaan akses
atau wewenang.
Level
5
Koordinasi departemen TI ,
keuangan dan SDM dalam
pemberian dan pengawasan
akses dan wewenang yang
ada pada sistem informasi
akuntansi beserta sumber
daya TI yang
mendukungnya telah
terjalin dengan baik di
mana peran dan tanggung
jawab tiap – tiap
departemen telah terdefinisi
dengan baik.
Risiko dari penyalah
gunakan akses dan
wewenang pada sistem
informasi akuntansi telah
dikategorikan sebagai
risiko yang dapat
mengganggu integritas
dari sistem informasi
akuntansi.
Proses pengendalian akses dan
wewenang senantiasa dilakukan
perbaikan menyesuaikan dengan
perubahan kondisi internal dan
eksternal (regulasi, standar
akuntansi).
Informasi yang
dibutuhkan untuk
melakukan pengawasan
telah terdefinisi dengan
baik dan didistribusikan
dengan cepat kepada
yang membutuhkannya.
Pengawasan akses dan
wewenang dilakukan bersama –
sama antara departemen TI ,
departemen keuangan dan SDM.
Proses pengawasan yang bersifat
otomatis diimbangi dengan
pengawasan manual (audit) yang
telah dilakukan terkoordinasi
dengan proses audit organisasi
secara menyeluruh.
61
Pada sistem informasi akuntansi terdapat dua lingkungan pengendalian akses dan
wewenang yang harus dikendalikan, kedua pengendalian akses dan wewenang
tersebut adalah pengendalian akses dan wewenang yang bersifat logika dan
pengendalian akses dan wewenang yang bersifat fisik. Pengendalian logika pada
sistem informasi akuntansi bertujuan untuk membatasi akses dan wewenang
pengguna sistem informasi akuntansi dalam menjalankan pekerjaan\tugas sehari –
harinya. Sedangkan pengendalian fisik lebih ditujukan kepada pengelola layanan
sistem informasi akuntansi agar dalam pengelolaan layanan sistem informasi
akuntansi tidak merusak integritas data dan layanan yang terdapat pada sistem
informasi akuntansi.
Tabel III.9 Tujuan Pengendalian Tatakelola Peran dan Tanggung Jawab
Komponen Tatakelola Peran dan Tanggung Jawab
Penilaian Risiko a. Risiko yang terkait langsung dengan peran dan
wewenang pada transaksi – transaksi penting.
b. Penilaian risiko terhadap wewenang dan peran yang
telah diberikan.
Lingkungan
Pengendalian
a. Terdapat prosedur Pemberian & Pencabutan akses
dan wewenang.
b. Ada bagian\individu yang mengawasi dan
mengotorisasi setiap peran & tanggung jawab yang
ada pada sistem informasi akuntansi dan sumber
daya TI yang mendukungnya.
Aktivitas
Pengendalian internal
a. Setiap ada permohonan terhadap akses dan
wewenang dilakukan secara tertulis dan diotorisasi.
b. Dilakukan pencatatan untuk setiap kegiatan dari
pengguna sistem informasi.
Informasi &
Komunikasi
a. Koordinasi dengan bagian SDM apabila ada
pegawai yang baru masuk, keluar, pindah divisi atau
mendapatkan promosi.
Pengawasan a. Dilakukan pengawasan terhadap setiap transaksi
pada sistem informasi akuntansi terutama yang
berhubungan dengan transaksi dan rekening penting.
Tabel III.10 Tujuan Pengendalian Tatakeloa Password
Komponen Pengendalian Tatakelola Password
Penilaian Risiko a. Risiko yang terkait langsung dengan akses terhadap
transaksi yang berhubungan langsung dengan
rekening penting.
Lingkungan
Pengendalian
a. Memiliki standar dari penggunaan password.
62
Aktivitas
Pengendalian internal
a. Mengatur penggunaan password seperti panjang
minimal, kombinasi, dan sebagainya.
b. Secara otomatis sistem menolak penggunaan
password yang tidak sesuai dengan standar.
Informasi &
Komunikasi
a. Senantiasa diberikan penyuluhan terkait dengan
akibat yang mungkin terjadi apabila menggunakan
password yang tidak aman.
b. Pengguna diinformasikan apabila password yang
digunakan tidak diganti untuk jangka waktu tertentu.
Pengawasan a. Pengawasan penggunaan password dilakukan secara
otomatis untuk menghindari penyalahgunaan.
Tabel III.11 Tujuan Pengendalian Keamanan Fisik
Komponen Keamanan Fisik
Penilaian Risiko a. Identifikasi terhadap sumber daya TI yang rawan dan
memiliki hubungan dengan rekening dan transaksi
penting.
b. Menilai kondisi lingkungan sekitar dari sumber daya
teknologi informasi yang digunakan oleh sistem
informasi akuntansi.
Lingkungan
Pengendalian
a. Terdapat prosedur yang menjelaskan siapa saja yang
dapat mengakses fisik dari sistem informasi
akuntansi.
b. Standar keamanan fisik yang digunakan dalam
menjaga fisik dari sistem informasi akuntansi.
Aktivitas
Pengendalian internal
a. Dilakukan pencatatan setiap individu yang
mengakses perangkat keras sistem informasi
akuntansi,
b. Terdapat perlindungan dari gangguan yang
disebabkan oleh lingkungan seperti kebakaran, banjir
dan sebagainya.
Informasi &
Komunikasi
a. Setiap kejadian yang mangganggu keamanan fisik
dicatat dan dilaporkan.
b. Dilakukan koordinasi dengan bagian keamanan
gedung untuk bersama – sama menjalankan
keamanan fisik.
Pengawasan a. Dilakukan audit untuk menilai pelaksanaan
keamanan fisik.
b. Informasi tentang status keamanan fisik tersedia
secara realtime.
63
III.5.2 Analisa Kebutuhan Pengendalian Keamanan Jaringan
Sistem informasi akuntansi merupakan sistem multi pengguna (multi user) yang
menggunakan media komunikasi elektronik. Penggunaan internet dan protokol
TCP/IP memungkinkan pengguna saling berinteraksi sesuai dengan peran dan
tanggung jawab yang dimilikinya. Terlepas dari segala kemudahan yang
ditawarkannya, penggunaan jaringan harus mendapatkan perhatian lebih karena
jaringan merupakan pintu utama dan juga pertahanan pertama sistem informasi
akuntansi. Risiko bawaan dari penggunaan jaringan seperti pencurian\manipulasi
data, usaha - usaha sabotase terhadap sistem dan ancaman - ancaman lainnya
harus mendapatkan perhatian karena dapat mempengaruhi integritas dari
informasi yang terdapat pada sistem informasi akuntansi.
Tabel III.12 Risiko dari Penggunaan Jaringan
Risiko dari Jenis Risiko Contoh Risiko
Keamanan Jaringan Inherent Risk 1. Sabotase Terhadap Jaringan.
2. Akses yang tidak sah melalui
akses jarak jauh.
3. Pencurian atau manipulasi data
melalui jaringan
Control Risk 1. Sabotase terhadap jaringan
masih dapat dilakukan karena
administrator lalai melakukan
perbaikan (patch).
2. Pemberian hak akses yang sah
kepada pihak ketiga.
3. Pencurian atau manipulasi yang
dilakukan oleh administrator
jaringan.
Pengendalian keamanan jaringan harus dapat memberikan keyakinan yang
memadai bahwa penggunaan jaringan tidak mengganggu integritas dan
ketersediaan layanan sistem informasi akuntansi. Terdapat berbagai macam cara
untuk menerapkan pengendalian keamanan jaringan, beberapa cara yang idalam
adalah dengan menerapkan : mekanisme otentifikasi, firewall, enkripsi dan
sebagainya.
64
Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan
yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen
pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian
keamanan jaringan dilihat dari 5 komponen COSO :
a. Lingkungan Pengendalian – Terdapat dukungan dari pihak manajemen untuk
melindungi integritas dan kelangsungan layanan sistem informasi akuntansi
dari gangguan – gangguan yang berasal dari luar organisasi,
b. Penilaian Risiko – Penilaian risiko tidak dilakukan hanya terfokus pada
infrastruktur jaringan sistem informasi akuntansi, penilaian risiko dilakukan
juga terhadap aspek non teknis seperti kesiapan\pemahaman penggunan sistem
informasi akuntansi terkait dengan keamanan informasi.
c. Aktivitas Pengendalian – Terdapat mekanisme otentifikasi yang handal dalam
penggunaan akses jarak jauh sistem informasi akuntansi. Komunikasi
elektronik dari antara sistem dan pengguna dilakukan secara terkunci
(encryption) sesuai dengan standar keamanan elektronik yang dimiliki
organisasi.
d. Informasi dan Komunikasi – Pengembang, departemen TI dan departemen
keuangan saling berkomunikasi menentukan mekanisme pengendalian
komunikasi dan akses jarak jauh. Pengguna sistem informasi akuntansi
senantiasa diberikan pelatihan\informasi terkait dengan praktek – praktek
keamanan akses jarak jauh.
e. Pengawasan – Dilakukan pengawasan dan pencatatan terhadap usaha – usaha
sabotase sistem informasi akuntansi yang berasal dari jaringan. Pengawasan
sebaiknya dilakukan secara otomatis seperti dengan menggunakan intrusion
detection system (IDS).
65
Tabel III.13 Maturity Level Keamanan Jaringan
Lv Control Objective Risk Assessment Control Activities Information and
Communication
Monitoring
1 Mulai terbentuknya pemahaman akan pentingnya penerapan
pengendalian keamanan jaringan pada organisasi.
Penilaian risiko dari keamanan jaringan telah mulai dilakukan meskipun
pelaksanaannya tidak menyeluruh dan berkesinambungan.
Pelaksanaan pengendalian keamanan jaringan telah
diterapkan tetapi masih bersifat khusus.
Komunikasi terkait dengan keamanan jaringan mulai terbentuk
tetapi tidak ada tindak lanjut dari komunikasi tersebut karena tidak
jelasnya mekanisme pengendalian keamanan jaringan.
Respons terhadap gangguan keamanan jaringan masih
bersifat reaktif.
2 Telah ada yang bertanggung jawab dan mengatur pelaksanaan pengendalian keamanan jaringan.
Telah dilakukan penilaian risiko terhadap keamanan jaringan pada sistem informasi akuntansi meskipun
pelaksanaannya masih terfokus hanya terhadap kondisi infrastruktur jaringan .
Pelaporan masih bersifat asal – asalan, tidak lengkap dan masih terfokus kepada masalah teknis
semata.
Dokumentasi dari pengendalian keamanan jaringan masih sulit untuk
ditemukan.
Pengawasan hanya berdasarkan laporan yang ada tidak dilakukan
secara real time.
3 Organisasi telah memiliki standar dan prosedur yang mengatur keamanan komunikasi dan
mekanisme akses jarak jauh.
Manajemen telah sadar akan risiko yang ditimbulkan dari penggunaan media
komunikasi elektronik, penilaian risiko telah dilakukan dengan menggabungkan
antara aspek teknis (infrastruktur jaringan) dan non teknis (nilai data).
Standar dan prosedur pengendalian keamanan
jaringan telah mulai diimplementasikan tetapi belum
dilakukan pengukuran.
Standar dan prosedur keamanan jaringan telah didokumentasikan
berdasarkan kebutuhan pengendalian internal pada sistem
informasi akuntansi.
Pengawasan terhadap kejadian (incident) keamanan jaringan
telah mulai dilakukan secara real time.
4 Telah dibentuknya tim keamanan jaringan yang berisikan gabungan
antara departemen TI dan departemen Keuangan. Tugas dari
tim tersebut adalah mengawasi dan merancang kebijaksanaan
keamanan jaringan.
Penilaian risiko telah dilakukan dengan terencana mencakup hampir sebagian besar infrastruktur jaringan yang ada , penilaian risiko secara rutin dilakukan
dan dilakukan berdasarkan standar/framework tertentu.
Telah dibuat Target dan matris keamanan jaringan akan tetapi
proses pelaksanaan dan pengukuran belum dilakukan
dengan konsisten.
Manajemen senantiasa mengomunikasikan program –
program keamanan jaringan baik dengan cara pembuatan
pamflet/buletin atau dengan melakukan pelatihan.
Pengawasan terhadap keamanan jaringan telah
dilakukan menggunakan ukuran – ukuran tertentu yang dapat
menggambarkan kondisi keadaan keamanan jaringan
saat ini.
5 Manajemen telah dapat memastikan bahwa kegagalan keamanan jaringan tidak akan mengganggu operasional dari
sistem informasi akuntansi.
Tes dan penilaian risiko yang bersifat global telah dilakukan dimana hasil dari tes tersebut dijadikan masukan untuk melakukan perbaikan pengendalian
keamanan jaringan.
Point – point dari kebijaksanaan keamanan jaringan telah
dilakukan sepenuhnya dan secara berkala dilakukan
pembandingan (benchmark) dengan pihak luar.
Pelatihan formal tentang pengendalian keamanan jaringan
telah senantiasa dilakukan, informasi yang berhubungan
dengan kondisi keamanan jaringan telah tersedia secara real time.
Target dan metrik telah dilakukan penilaian dan
pengukuran dengan konsisten.
66
Sistem informasi akuntansi harus dilindungi dari ancaman – ancaman yang
dilakukan melalui media jaringan (network). Salah satu cara yang dapat dilakukan
adalah dengan membatasi akses langsung terhadap sistem. Untuk menghindari
pencurian dan manipulasi data yang ditransmisikan melalui jaringan, data yang
ditransmisikan wajib dilakukan encryption. Sebisa mungkin sistem informasi
akuntansi tidak dapat diakses oleh jaringan publik, apabila hal ini tidak dapat
dihindarkan maka penggunaan virtual private network harus dilakukan sesuai
dengan kebijakan keamanan komunikasi dan kebijakan akses jarak jauh.
Tabel III.14 Tujuan Pengendalian Keamanan Komunikasi
Komponen Pengendalian Keamanan Komunikasi
Penilaian Risiko a. Terdapat standar yang mengatur pelaksanaan
keamanan komunikasi melalui jaringan elektronik.
b. Terdapat bagian\individu yang bertugas mengawasi
dan menjalankan pengendalian keamanan
komunikasi.
Lingkungan
Pengendalian
a. Penerapan keamanan komunikasi didasari atas hasil
analisa risiko penggunaan media komunikasi
elektronik.
b. Aktivitas pengendalian keamanan komunikasi
dilakukan berdasarkan analisa risiko terhadap
informasi – informasi yang melalui media elektronik.
Aktivitas
Pengendalian internal
a. Setiap data yang melalui media komunikasi
elektronik telah dienkripsi.
b. Keamanan komunikasi pada sistem informasi
akuntansi telah dimasukkan ke dalam salah satu
kebutuhan (requerment) dari pembangunan arsitektur
keamanan jaringan.
Informasi &
Komunikasi
a. Setiap kejadian yang berhubungan dengan keamanan
komunikasi elektronik tercatat dan dikomunikasikan
kepada manajemen.
Pengawasan a. Pengawasan terhadap pelaksanaan keamanan
komunikasi dilakukan secara manual melalui audit
dan juga dilakukan secara otomatis melalui
penggunaan perkakas elektronik.
Tabel III.15 Tujuan Pengendalian Akses Jarak Jauh
Komponen Pengendalian Akses jarak jauh
Penilaian Risiko a. Telah tersedia prosedur dan standar yang mengatur
akses jarak jauh pada sistem informasi akuntansi.
b. Telah tersedia standar\tatacara penggunaan sistem
67
informasi akuntansi yang dilakukan melalui akses
jarak jauh.
Lingkungan
Pengendalian
a. Pelaksanaan dari layanan akses jarak jauh pada
sistem informasi akuntansi dilakukan berdasarkan
penilaian risiko yang dapat mengganggu integritas
dari sistem informasi akuntansi.
Aktivitas
Pengendalian internal
a. Terdapat mekanisme otentifikasi dan otorisasi
khusus untuk menangani penggunaan akses jarak
jauh pada sistem informasi akuntansi.
Informasi &
Komunikasi
a. Setiap usaha sabotase\akases tidak sah pada sistem
informasi akuntansi yang dilakukan melalui akses
jarak jauh dilakukan dokumentasi dan
dikomunikasikan agar dapat dicari solusinya.
Pengawasan a. Setiap akses jarak jauh dicatat dan dianalisa
kewajarannya.
III.5.3 Analisa Kebutuhan Pengendalian Kelangsungan layanan Sistem
Informasi Akuntansi
Tidak ada tempat di dunia ini yang bebas dari risiko\bencana, pengelolaan sistem
informasi akuntansi harus memperhitungkan kemungkinan terjadinya bencana,
baik yang disebabkan oleh alam ataupun manusia. Pasca terjadinya bencana
pengelola sistem informasi akuntansi harus dapat mengembalikan kondisi dari
informasi atau data yang terdapat pada sistem informasi akuntansi sedekat
mungkin dengan informasi atau data sebelum terjadinya bencana. Pada saat
perbaikan harus diperhatikan integritas dari informasi atau data seperti kebenaran,
kelengkapan, waktu dan yang melaksanakannya. Proses perbaikan pasca
terjadinya bencana membawa beberapa risiko bawaan seperti ketidak siapan
sarana dan prasarana cadangan, rusaknya media penyimpanan cadangan (backup),
risiko – risiko bawaan ini harus dikelola dengan baik untuk mencegah hilangnya
integritas dari data atau informasi pasca terjadinya bencana.
Pengendalian kelangsungan layanan sistem informasi akuntansi harus dapat
memberikan keyakinan yang memadai bahwa pasca terjadinya bencana data atau
informasi yang terdapat pada sistem informasi dapat diperbaiki mendekati kondisi
pasca terjadinya bencana, serta kehilangan data dapat teridentifikasi dan
diperbaiki dengan sebaik – baiknya. Dalam menurunkan kebutuhan pengendalian
akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan
68
mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO,
kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO :
a. Lingkungan Pengendalian – Kelangsungan layanan sistem informasi akuntansi
telah dianggap sebagai salah satu risiko yang dapat mengganggu integritas
dari informasi keuangan.
b. Penilaian Risiko – Dilakukan penilaian risiko dari kelangsungan layanan
sistem informasi akuntansi melalui penilaian akibatnya terhadap bisnis
(business impact assessment) dan penilaian kelemahan (vulnerability
assessment).
c. Aktivitas Pengendalian – Organisasi memiliki rencana kelangsungan layanan
sistem informasi akuntansi beserta rencana perbaikan pasca bencana (disaster
recovery plan).
d. Informasi dan Komunikasi – Telah terdefinisi jalur komunikasi pasca
terjadinya bencana
e. Pengawasan – Dilakukan penilaian atau audit terhadap kesiapan perangkat dan
petugas dalam menghadapi kejadian – kejadian yang dapat mengganggu
layanan sistem informasi akuntansi.
Patuh terhadap SOX bagian 404 mengharuskan organisasi untuk dapat menjamin
data atau informasi yang terdapat pada sistem informasi akuntansi tetap benar
meskipun terjadi bencana atau musibah. Dalam prosesnya organisasi perlu untuk
mengidentifikasi dan mendokumentasikan seluruh transaksi dan proses bisnis
yang ada pada sistem informasi akuntansi. Dalam prakteknya rencana
kelangsungan layanan sistem informasi akuntansi dibangun berdasarkan :
a. Penilaian risiko (risk assessments) – identifikasi dan evaluasi ancaman dan
kelemahan yang dapat mengakibatkan terhambat\terganggu layanan sistem
informasi akuntansi.
b. Analisa dampak bisnis (Business Impact Analysis) – mengevaluasi dan
memperkirakan dampak risiko terhadap kelangsungan bisnis.
c. Strategy and Plan Development: Synthesize Risk Assessment dan Business
Impact Analysis.
69
Tabel III.16 Maturity Level Kelangsungan Layanan Sistem Informasi
Lv Control Environment
Risk Assessment Control Activities Information & Communication Monitoring
1 Manajemen mulai membicarakan dan
membahas bentuk dari kelangsungan layanan sistem
informasi akuntansi.
Penilaian risiko terhadap kelangsungan layanan sistem
informasi akuntansi telah dilakukan tetapi masih berasal dari inisiatif
perorangan.
Tanggung jawab kelangsungan layanan masih diterapkan secara
informal dan wewenang yang dimiliki masih terbatas.
Komunikasi yang terkait dengan kelangsungan layanan sistem informasi akuntansi mulai terbentuk tetapi tidak
jelas tindak lanjut dari komunikasi tersebut.
Pengawasan akan kelangsungan layanan telah
dilakukan tetapi masih terbatas pada cara – cara
manual.
2 Manajemen telah sadar akan pentingnya kelangsungan layanan sistem informasi
akuntansi. Telah mulai dibuat standar atau prosedur untuk menunjang kelangsungan layanan sistem informasi
akuntansi.
Secara berkala telah dilakukan pengujian dan pelaporan terhadap kesiapan keberlangsungan layanan
sistem informasi akuntansi.
Telah dibuat Rencana kelangsungan layanan sistem
informasi akuntansi, akan tatapi pelaksanaannya masih
tergantung pada individu – individu tertentu.
Dokumen Kelangsungan layanan belum tersedia seluruhnya, meskipun telah
ada komitmen untuk memberikan layanan di saat darurat.
Pelaporan masih bersifat sporadis, tidak menyeluruh
dan belum ada analisa dampak terganggunya kelangsungan sistem
informasi terhadap bisnis.
3 Telah ada yang bertanggung jawab dan memelihara
kelangsungan layanan sistem informasi akuntansi.
Pemeliharaan rencana kelangsungan layanan sistem informasi akuntansi dilakukan
berdasarkan hasil tes dan penilaian risiko.
Telah tersedia peralatan – peralatan untuk menghadapi
keadaan darurat sesuai dengan apa yang terdapat pada rencana
kelangsungan bisnis
Telah ada rencana Kelangsungan layanan sistem informasi akuntansi yang
dibuat berdasarkan kegentingan dari layanan akuntansi dan akibat terhadap
bisnis secara menyeluruh.
Tujuan dan metrik untuk kelangsungan layanan telah
dibuat akan tetapi pengukurannya dilakukan
masih belum konsisten.
4 Telah terjadi koordinasi antara departemen TI dan
departemen Keuangan untuk menjalankan dan memelihara
rencana kelangsungan layanan sistem informasi
akuntansi.
Rencana kelangsungan layanan sistem informasi akuntansi telah dibuat dan dirawat berdasarkan analisa akibat terhadap bisnis
(business impact analysis).
Kejadian yang menyebabkan terhentinya layanan telah
diklasifikasikan dan penyebabnya telah dipelajari agar tidak terulang kembali,
organisasi telah memiliki lokasi alternatif untuk menjalankan sistem informasi akuntansi.
Pelatihan formal telah dilakukan untuk mendukung keberlangsungan layanan
sistem informasi akuntansi.
Pengukuran Goal dan metrik untuk keberlangsungan
layanan sistem informasi akuntansi telah dilakukan
secara konsisten dan sistematik.
5 Kesadaran akan pentingnya kelangsungan layanan telah terbentuk, seluruh komponen
organisasi telah mengerti akan peran dan tanggung
jawabnya dalam melaksanakan rencana kelangsungan bisnis.
Setiap proses perubahan pada sistem informasi akuntansi
dilakukan dengan menyertakan analisa risiko dari perubahan
tersebut, analisa risiko tersebut merupakan dasar dari perubahan rencana layanan kelangsungan
sistem informasi akuntansi.
Kelangsungan layanan sistem informasi akuntansi telah
tereintegrasi dengan rencana kelangsungan layanan bisnis
dan secara rutin dilakukan perawatan.
Rantai komunikasi pasca terjadinya bencana telah terbentuk, dokumen SOP
pasca terjadinya bencana telah terdistribusi kepada yang
berkepentingan. Tes dan pelatihan telah dilakukan secara rutin dimana masukan
dari kedua proses tersebut menjadi dasar untuk melakukan perbaikan.
Pengawasan terhadap pengendalian kelangsungan
layanan sistem informasi akuntansi telah dilakukan
menyatu dengan pengawasan kelangsungan layanan bisnis
organisasi.
70
Tabel III.17 Tujuan Pengendalian Kelangsungan Layanan dan Penilaian Risiko
Komponen Pengendalian Kelangsungan Layanan dan Penilaian
Risiko
Penilaian Risiko a. Penerapan pengendalian keberlangsungan layanan
sistem informasi akuntansi dilakukan berdasarkan
hasil dari analisa risiko terhadap komponen –
komponen sistem informasi akuntansi.
Lingkungan
Pengendalian
a. Telah ada kebijaksanaan atau prosedur yang
mengatur jalanya layanan sistem informasi
akuntansi.
Aktivitas
Pengendalian internal
a. Telah ada rencana kelangsungan layanan sistem
informasi akuntansi di mana minimal berisikan
panduan, peran dan tanggung jawab, prosedur serta
mekanisme komunikasi.
b. Dilakukan latihan secara berkala untuk melatih
kesiapan apabila sewaktu – waktu terjadi bencana
terjadinya bencana.
c. Organisasi telah memiliki lokasi alternatif (manusia
& perangkat keras) untuk menjalankan layanan
sistem informasi akuntansi.
Informasi &
Komunikasi
a. Secara terjadwal dilakukan pelaporan terhadap
kondisi dan kesiapan dari peralatan darurat
b. Setiap personel yang berperan dalam rencana
kelangsungan bisnis telah memiliki standar
operasional (Soft copy & hard copy) sesuai dengan
perannya.
Pengawasan a. Dilakukan pengecekan secara terjadwal untuk
memastikan kondisi dari fasilitas cadangan agar
sewaktu – waktu apabila terjadi keadaan darurat
peralatan tersebut dapat berfungsi dengan
semestinya.
Tabel III.18 Tujuan Pengendalian Pengujian, Pemeliharaan dan Penilaian ulang
Rencana Kelangsungan Layanan
Komponen Pengendalian Pengujian, pemeliharaan dan Penilaian
ulang Rencana Kelangsungan Layanan
Penilaian Risiko a. Rencana kelangsungan layanan sistem informasi
akuntansi telah dibuat dan dirawat berdasarkan
analisa akibat terhadap bisnis (business impact
analysis).
Lingkungan
Pengendalian
a. Organisasi menyadari bahwa rencana kelangsungan
bisnis bukanlah merupakan suatu rencana yang
bersifat statis sehingga harus senantiasa
diperbaharui.
Aktivitas a. Setiap perubahan pada sistem informasi akuntansi
71
Pengendalian internal dilakukan dengan berkoordinasi untuk menjamin
kelangsungan layanan sistem informasi akuntansi.
b. Rencana kelangsungan bisnis senantiasa
diperbaharui sejalan dengan hasil dari analisa risiko
serta ketersediaan teknologi yang ada.
Informasi &
Komunikasi
a. Setiap perubahan dari rencana kelangsungan layanan
sistem informasi akuntansi dikomunikasikan kepada
pengguna sistem informasi akuntansi, sosialisasi
dilakukan untuk memberitahukan perubahan yang
terjadi.
Pengawasan a. Dilakukan audit untuk menguji rencana
kelangsungan layanan sistem informasi akuntansi.
III.5.4 Analisa Kebutuhan Pengendalian Audit Sistem Informasi Akuntansi
SOX mewajibkan manajemen\direksi untuk memberikan keyakinan yang
memadai akan penempatan dan efektivitas dari pengendalian internal. Untuk
organisasi yang menggunakan sistem informasi akuntansi, sebagian besar
pengendalian internal yang diperlukan untuk menjamin penerapan dan efektivitas
dari pengendalian internal berada pada layanan teknologi informasi. Oleh karena
itu risiko kegagalan dari pengendalian internal pada sistem informasi akuntansi
dapat sangat berpengaruh terhadap kebenaran, integritas dan ketersediaan data
atau informasi transaksi keuangan.
Audit sistem informasi akuntansi adalah suatu proses pemeriksaan terhadap
keberadaan dan kinerja dari pengendalian internal. Proses dari audit sistem
informasi akuntansi dilakukan dengan cara mengumpulkan data dan mengevaluasi
bukti – bukti dari pelaksanaan tatakelola, praktek dan operasional dari
pengendalian internal. Kualitas hasil audit sangat tergantung pada bukti – bukti
urutan kejadian (chronological sequence) atau lebih dikenal juga dengan Audit
Log. Audit Log mencatat siapa saja yang mengakses sistem informasi akuntansi
dan apa saja yang dilakukannya dalam jangka waktu tertentu. Dalam menurunkan
kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan
dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang
didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat
dari 5 komponen COSO :
72
a. Lingkungan Pengendalian – Audit carter telah berisikan peran, wewenang
dalam melakukan audit sistem informasi akuntansi, audit komite telah
dibentuk untuk mengawasi jalannya proses audit sistem informasi akuntansi.
b. Penilaian Risiko – Dengan dimasukkannya audit sistem informasi akuntansi
dalam audit carter berarti bahwa organisasi telah menempatkan risiko sistem
informasi akuntansi pada tingkat organisasi.
c. Aktivitas Pengendalian – Proses audit dilakukan untuk menilai keberadaan,
substansi dan kepatuhan dari pengendalian internal pada sistem informasi
akuntansi
d. Informasi dan Komunikasi – Terdapat forum yang menjembatani komunikasi
dan pertukaran informasi antara Pemilik proses dan auditor. Senantiasa
dilakukan penyuluhan\pelatihan untuk menanamkan budaya-budaya yang
mendukung penerapan pengendalian internal.
e. Pengawasan – Audit komite bertugas untuk menilai kewajaran dan
akuntabilitas dari proses dan hasil audit.
73
Tabel III.19 Maturity Level Audit Sistem Informasi Akuntansi
Lv Control Environment
Risk Assessment Control Activities Information &
Communication
Monitoring
1 Organisasi mulai menyadari kebutuhan akan audit sistem
informasi akuntansi, mulai dikumpulkannya sumber daya yang
akan digunakan untuk melaksanakan audit.
Pelaksanaan Audit tidak didasari atas hasil analisa risiko, pelaksanaan audit masih
dilakukan secara informal.
Proses audit terhadap sistem informasi akuntansi
telah dilakukan tetapi masih merupakan inisiatif dari perorangan (bukan
tuntutan organisasi).
Komunikasi dalam melakukan audit belum berjalan dengan baik meskipun telah ada kesadaran akan pentingnya audit sistem
informasi akuntansi.
Belum adanya format standar pelaporan audit teknologi
informasi, hal ini dikarenakan belum jelasnya standar dan
prosedur audit sistem informasi akuntansi.
2 Organisasi telah memiliki bagian\individu yang bertugas untuk
merencanakan dan menjalankan audit sistem informasi akuntansi.
Meskipun telah ada kesadaran akan risiko dari kegagalan audit
teknologi informasi, rencana audit teknologi informasi belum
membahas tentang kegagalan dari proses audit.
Proses audit telah dilakukan dengan
terencana berdasarkan risiko – risiko yang mungkin
timbul dari penggunaan teknologi informasi.
Peran, wewenang dan tanggung jawab dalam melakukan audit
teknologi informasi pada sistem informasi akuntansi telah mulai dirumuskan dalam piagam audit (audit carter) meskipun belum lengkap dan terkadang tidak
konsisten dalam pelaksanaannya.
Telah dilakukan pengawasan terhadap rencana dan proses audit
sistem informasi akuntansi, pengawasan tersebut masih terbatas karena kurangnya
wewenang.
3 Telah terbentuk audit komite yang mengontrol pelaksanaan audit sistem
informasi akuntansi.
Prioritas dari Pelaksanaan audit dilakukan terhadap
bagian\komponen yang memiliki risiko tinggi, audit telah dianggap
sebagai salah satu cara untuk mengurangi risiko.
Proses Audit telah didukung melalui audit carter yang berisikan
peran, wewenang dan tanggung jawab dalam melakukan audit sistem
informasi akuntansi.
Pemilik proses telah diberikan penyuluhan/pelatihan tentang
kepatuhan (compliance) dalam menjalankan proses yang menjadi
tanggung jawabnya.
Telah ada dukungan langsung terhadap audit TI dengan
dibentuknya komite audit yang mengawasi langsung jalannya
proses audit teknologi informasi pada sistem informasi akuntansi.
4 Komitmen dari organisasi untuk melakukan audit TI dengan sebaik –
baiknya ditindak lanjuti dengan dukungan keuangan, sumber daya
manusia serta pemberian wewenang yang diperlukan
mendukung dalam pelaksanaan audit sistem informasi akuntansi.
Telah dilakukan upaya – upaya untuk memperkecil risiko kegagalan audit teknologi
informasi, Salah satunya adalah dengan mendatangkan konsultan
yang membantu merancang strategi perbaikan.
Tatacara dan tujuan (objective) audit teknologi
informasi telah terdokumentasi, tata cara tersebut telah berisikan
ukuran dan tatacara pengukurannya.
Telah terjalin komunikasi antara internal auditor dan eksternal
auditor dalam mengomunikasikan proses dan hasil audit sistem
informasi akuntansi.
Audit komite telah berperan aktif dalam merencanakan, membuat, dan melaksanakan audit sistem
informasi akuntansi.
5 Telah terjadi koordinasi antara departemen TI, keuangan dan
komite audit dalam merencanakan, membuat dan melaksanakan audit
sistem informasi akuntansi. Hasil dari audit merupakan dasar manajemen
untuk melakukan perbaikan penerapan pengendalian internal.
Telah adanya ukuran – ukuran yang menjelaskan tingkat
kesulitan dan risiko dari proses audit, semakin tinggi kesulitan
melakukan audit maka semakin besar sumber daya yang
dikerahkan untuk melakukan audit tersebut.
Proses audit teknologi informasi merupakan salah
satu komponen penting dalam menunjang
perbaikan organisasi secara menyeluruh.
Telah terjadi komunikasi dua arah antara pemilik proses dan auditor, perbaikan senantiasa dilakukan agar sesuai dengan kebutuhan bisnis dengan mengedepankan
prinsip – prinsip kepatuhan.
Hasil dari Audit sistem informasi akuntansi
Telah menjadi salah satu komponen dalam audit sistem
akuntansi, untuk industri – industri tertentu audit sistem informasi
akuntansi telah menjadi salah satu syarat yang harus dipenuhi.
74
Untuk menjamin keberlangsungan layanan sistem informasi akuntansi sebaiknya
dilakukan audit terhadap seluruh komponen yang berinteraksi seperti peran dan
tanggung jawab dalam penggunaan dan pengelolaan sistem informasi akuntansi,
integritas dari proses – proses yang ada pada sistem informasi akuntansi serta
yang tidak kalah pentingnya adalah kualitas dari pengendalian internal yang ada
didalamnya. Untuk memudahkan audit\pengawasan setiap kegiatan pada sistem
informasi akuntansi sebaiknya dilakukan pencatatan. Pencatatan tersebut penting
untuk mendeteksi kesalahan baik yang disengaja ataupun tidak disengaja.
Tabel III.20 Tujuan Pengendalian Audit Sistem Informasi Akuntansi
Komponen Pengendalian Audit Sistem Informasi Akuntansi
Penilaian Risiko a. Audit terhadap sistem informasi akuntansi telah
menjadi bagian dalam pelaksanaan audit organisasi
secara keseluruhan.
b. Telah ada bagian khusus yang melaksanakan audit
terhadap sistem informasi akuntansi dan layanan
sumber daya TI yang digunakannya.
Lingkungan
Pengendalian
a. Pelaksanaan audit diprioritaskan berdasarkan hasil
dari analisa risiko untuk komponen – komponen
yang memiliki risiko tinggi.
Aktivitas
Pengendalian internal
a. Terdapat audit carter yang berisikan peran,
wewenang dan tanggung jawab dalam melakukan
audit sistem informasi akuntansi.
b. Proses audit terhadap sistem informasi akuntansi
dan sumber daya TI telah dilakukan secara terjadwal.
Informasi &
Komunikasi
a. Hasil audit dikomunikasikan kepada manajemen,
audit komite dan eksternal auditor
Pengawasan a. Telah dibentuk audit komite yang khusus mengawasi
pelaksanaan audit sistem informasi akuntansi.
Tabel III.21 Tujuan Pengendalian Tatakelola Log File
Komponen Pengendalian Tatakelola Log File
Penilaian Risiko a. Manajemen menganggap penting pencatatan
aktivitas pengguna sistem informasi akuntansi,
pencatatan pada log file tidak lagi dianggap sebagai
kegiatan yang tidak berguna.
Lingkungan
Pengendalian
a. Prioritas pencatatan pada log file diprioritaskan
untuk komponen – komponen yang memiliki risiko
tinggi berdasarkan hasil analisa risiko pada sistem
informasi akuntansi.
Aktivitas a. Setiap aktivitas yang berisiko mengganggu integritas
75
Pengendalian internal dari sistem informasi akuntansi tercatat dan disimpan
untuk jangka waktu tertentu.
b. Log file disimpan untuk jangka waktu tertentu dan
baru dapat Dihancurkan/dihapus apabila telah
melewati jangka waktu tersebut.
Informasi &
Komunikasi
a. Hasil pencatatan aktivitas pengguna sistem informasi
akuntansi dilaporkan secara berkala kepada bagian
audit.
Pengawasan a. Dilakukan pengawasan terhadap pencatatan aktivitas
pengguna akses dan wewenang pada sistem
informasi akuntansi untuk memastikan kesesuaian
antara kegiatan yang tercatat dan aktivitas yang
sebenarnya.
III.5.5 Analisa Kebutuhan Pengendalian Pusat Data
Setiap data – data transaksi keuangan yang diproses oleh sistem informasi
akuntansi akan disimpan di pusat data (data center). Bagi organisasi – organisasi
tertentu, pusat data atau lazim juga disebut data center berfungsi menyimpan
perangkat keras (hardware) yang digunakan untuk memproses sistem informasi
akuntansi. Penggunaan pusat data membawa risiko bawaan yang harus dikelola
sebaik mungkin untuk menjamin ketersediaan dan integritas dari sistem informasi
akuntansi.
Sistem informasi akuntansi merupakan salah satu sistem informasi penting pada
organisasi, organisasi yang tergantung pada sistem informasi akuntansi dalam
memproses data – data transaksi keuangan harus memperhatikan fasilitas dari
pusat data untuk menjamin integritas dan kelangsungan layanan sistem informasi
akuntansi. Uptime Institute mendefinisikan empat tingkatan dari pusat data. Empat
tingkatan dari pusat data menurut Uptime Institute adalah :
1. Tier I – Hanya memiliki satu jalur dari listrik, ventilasi dan pendingin. Tidak
memiliki perangkat cadangan, memiliki tingkat ketersediaan 99.671%.
2. Tier II – Hanya memiliki satu jalur dari listrik, ventilasi dan pendingin. Telah
memiliki perangkat cadangan, memiliki tingkat ketersediaan 99.741%.
3. Tier III – Telah memiliki lebih dari satu jalur listrik, ventilasi dan pendingin
meskipun hanya satu yang aktif. Telah memiliki perangkat cadangan dan
secara bersamaan dipelihara. Memiliki tingkat ketersediaan 99.982%.
4. Tier IV – Telah memiliki lebih dari satu jalur listrik, ventilasi dan pendingin
di mana kesemua jalur tersebut aktif dapat dipergunakan sewaktu – waktu.
76
Telah memiliki perangkat cadangan dan dapat seketika menggantikan
perangkat utama. Memiliki tingkat ketersediaan 99.995%.
Gambar III.5 Keamanan Pusat Data (Davis, 2007)
Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan
yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen
pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian
akses dan wewenang dilihat dari 5 komponen COSO :
f. Lingkungan Pengendalian – Organisasi sebaiknya memiliki standar dan
prosedur yang berkaitan dengan tatakelola pengendalian pusat data. Pusat data
telah dianggap sebagai salah satu risiko yang dapat mengganggu integritas
dari informasi keuangan.
g. Penilaian Risiko – Penerapan pengendalian didasarkan atas risiko yang
mungkin dihadapi oleh komponen – komponen pusat data.
h. Aktivitas Pengendalian – Dilakukan pengawasan terhadap kondisi lingkungan
(suhu, kelembaban, curah hujan, dll) serta pasokan listrik dari pusat data.
Proses backup sebaiknya telah dilakukan secara otomatis dan didistribusikan
ke lebih dari satu tempat.
i. Informasi dan Komunikasi – Informasi tentang kondisi dari pusat data telah
tersedia secara real time. Telah terbentuk jalur komunikasi untuk menghadapi
gangguan yang mungkin terjadi.
j. Pengawasan – Dilakukan penilaian atau audit terhadap kesiapan perangkat dan
petugas dalam menghadapi kejadian – kejadian yang dapat mengganggu
layanan sistem informasi akuntansi.
77
Tabel III.22 Maturity Level Pengendalian Pusat Data
Lv Control Environment
Risk Assessment Control Activities Information &
Communication
Monitoring
1 Organisasi telah mengerti pentingnya pengendalian pusat
data terhadap integritas dari sistem informasi akuntansi,
meskipun demikian pelaksanaannya masih bersifat
reaktif.
Penilaian risiko pusat data telah dilakukan tetapi pelaksanaannya
masih mengandalkan pengetahuan dan intuisi yang melakukannya.
Pengendalian terhadap pusat data telah mulai dilakukan meskipun
masih bersifat khusus.
Belum jelasnya prosedur pengendalian pusat data, Hal
ini menyebabkan tidak tersedianya panduan
tatacara pengendalian pusat data
Telah dilakukan pengawasan terhadap pengendalian pusat data meskipun pelaksanaannya belum
konsisten.
2 Telah ada yang bertanggung jawab untuk menjalankan
pengendalian terhadap pusat data.
Pengendalian pusat data dilakukan berdasarkan hasil analisa risiko meskipun hanya dilakukan untuk komponen – komponen utama
pusat data.
Pelaksanaan pengendalian pusat data telah dilakukan dengan terencana meskipun belum mencakup seluruh tujuan
pengendalian (control objective) pusat data. Backup terhadap pusat
data telah mulai dilakukan meskipun belum didistribusikan ke beberapa tempat yang berjauhan.
Informasi yang berhubungan dengan tatacara
pelaksanaan pengendalian pusat data telah mulai
didokumentasikan meskipun belum lengkap sepenuhnya.
Telah ada mekanisme pengawasan pusat data, akan tetapi objek yang diawasi dan
tatacara pengawasannya belum dilakukan dengan terstruktur
karena tidak adanya prosedur dan standar yang dapat dijadikan
dasar bertindak.
3 Telah tersedia Prosedur dan standar untuk menjalankan
pengendalian terhadap pusat data, Meskipun demikian
prosedur untuk menanggulangi kejadian – kejadian darurat belum
jelas terdefinisi.
Telah tersedia standar dan prosedur untuk melakukan penilaian
risiko pada pusat data.
Pusat data telah dilengkapi dengan mekanisme pengawasan terhadap
fasilitas-fasilitas yang ada idalaminya, Backup telah
dilakukan dengan terjadwal dan didistribusikan ke beberapa tempat.
Prosedur dan standar pengendalian pusat data
telah didokumentasikan dan disosialisasikan.
Pengawasan terhadap pusat data telah dilakukan dengan terencana
akan tetapi pelaksanaannya belum maksimal karena sebagian masih dilakukan secara manual.
4 Organisasi telah berkomitmen untuk mendukung penerapan pengendalian terhadap pusat
data, komitmen tersebut ditindak lanjuti dengan memberikan
anggaran dan sumber daya yang diperlukan.
Penilaian risiko telah dilakukan secara berkala dengan
menggunakan ukuran – ukuran yang konsisten, kinerja dari
pengendalian pusat data harus telah dapat memenuhi ambang
risiko yang dapat diterima organisasi
Telah tersedia prosedur untuk menanggulangi kejadian – kejadian
darurat, prosedur – prosedur tersebut senantiasa diperbaharui.
Pelatihan telah dilakukan untuk melatih kesiapan
pelaksanaan pengendalian pusat data serta kesiapan
pasca terjadinya kejadian\bencana yang menimpa pusat data.
Pengawasan terhadap pusat data telah dilakukan dengan
menggunakan perkakas – perkakas yang berjalan secara otomatis, audit secara manual
dilakukan untuk menilai pelaksanaan pengendalian
terhadap pusat data.
5 Telah terbentuknya Budaya dan lingkungan yang mengedepankan
pentingnya pengendalian pada pusat data di setiap tingkat
organisasi (operasional, manajemen dan dewan direksi)
Organisasi telah menganggap pusat data salah satu sumber risiko yang
dapat berpengaruh terhadap organisasi. Penilaian risiko telah menyatu dengan analisa risiko organisasi secara menyeluruh.
Organisasi telah dapat memastikan bahwa kegagalan operasional pusat
data tidak akan berpengaruh terhadap integritas dari sistem
informasi akuntansi.
Dokumen – dokumen pengendalian pusat data
senantiasa dilakukan pembaharuan berdasarkan
kondisi keadaan saat ini dan perkembangan teknologi.
Terdapat laporan berkala dari kinerja pengendalian pusat data,
laporan tersebut telah menggunakan ukuran – ukuran
baku yang dapat menggambarkan kinerja pengendalian pusat data..
78
Untuk menjamin integritas dari informasi tersebut, diperlukan pengendalian yang
bertujuan untuk melindungi pusat data dari berbagai macam gangguan/ancaman
yang dapat merusak integritas informasi. Pengendalian pusat data yang akan
diterapkan dapat berupa pengendalian terhadap fasilitas – fasilitas fisik yang ada
di dalam pusat data, mekanisme backup dan juga mekanisme cadangan yang dapat
menjamin kelangsungan layanan pusat data.
Gambar III.6 Contoh Pengendalian Pusat Data
Tabel III.23 Tujuan Pengendalian Fasilitas
Komponen Pengendalian Fasilitas
Penilaian Risiko a. Manajemen telah mengerti akan pentingnya
pengendalian infrastruktur sistem informasi
akuntansi dalam menunjang integritas dan
ketersediaan sistem informasi akuntansi.
b. Terdapat bagian\individu yang mengelola
pengendalian infrastruktur sistem informasi
akuntansi.
Lingkungan
Pengendalian
a. Penerapan pengendalian fasilitas dilakukan
berdasarkan analisa risiko sehingga penerapan
pengendalian fasilitas pusat data dilakukan tepat
guna dan tepat sasaran.
79
Aktivitas
Pengendalian internal
a. Organisasi memiliki panduan untuk menghadapi
kondisi pasca terjadinya suatu bencana atau kejadian.
b. Terdapat mekanisme pembatasan akses terhadap
media penyimpanan dan peralatan perangkat keras
(hardware) yang ada pada pusat data.
Informasi &
Komunikasi
a. Dilakukan pencatatan terhadap setiap kejadian yang
mengganggu keamanan pusat data dan dilaporkan.
Pengawasan a. Dilakukan audit secara berkala untuk menilai
kualitas dari pengendalian fasilitas pada pusat data
serta untuk mengidentifikasi masalah – masalah yang
mungkin terjadi dikemudikan hari.
b. Terdapat mekanisme pengawasan terhadap
pengendalian pusat data dan keadaan lingkungan
sekitar.
Tabel III.24 Tujuan Pengendalian Backup
Komponen Backup
Penilaian Risiko a. Telah tersedia prosedur yang menjelaskan standar
dalam melakukan backup pada pusat data.
Lingkungan
Pengendalian
a. Proses backup dilakukan berdasarkan hasil dari
analisa risiko, analisa risiko dilakukan untuk
menentukan prioritas dan standar keamanan yang
harus diterapkan dalam menjaga data hasil backup.
Aktivitas
Pengendalian internal
a. Data yang telah dibackup didistribusikan ke
beberapa tempat yang relatif berjauhan
b. Backup disimpan dalam jangka waktu tertentu dan
dihancurkan apabila telah melewati waktu tersebut,
mekanisme penghancuran dilakukan sesuai dengan
prosedur tatakelola backup yang dimiliki organisasi.
Informasi &
Komunikasi
a. Terdapat laporan yang menjelaskan aktivitas dari
proses backup, pendistribusiannya dan
penghancuran.
Pengawasan a. Dilakukan pengawasan terhadap jalannya proses
backup, pendistribusian dan penghancuran.
Pengawasan tersebut dilakukan untuk memastikan
proses – proses tersebut dilakukan sesuai dengan
prosedur yang ada.
III.5.6 Analisa Kebutuhan Pengendalian Operasional Komputer
Dewasa ini penggunaan komputer sulit dilepaskan dari masalah dan gangguan,
masalah dan gangguan dalam penggunaan komputer dapat berasal dari dalam
(internal komputer) atau gangguan yang berasal dari luar. Akibat dari masalah dan
80
gangguan tersebut dapat berbentuk terganggunya operasional sampai dengan
kehilangan atau kerusakan dari integritas informasi.
Tujuan dari pengendalian komputer adalah sebagai pencegahan dan
penanggulangan gangguan atau masalah agar tidak merusak integritas dari data
atau informasi yang terdapat pada sistem informasi akuntansi. Dalam
menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan
dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian
internal yang didefinisikan oleh COSO, kebutuhan operasional komputer dilihat
dari 5 komponen COSO :
a. Lingkungan Pengendalian – Organisasi sebaiknya memiliki rencana
penanggulangan dan pencegahan masalah atau kejadian, rencana tersebut
berisikan pelaksana dan penanggung jawab serta standar operasional prosedur
yang harus dilakukan untuk mencegah dan mengatasi masalah atau kejadian.
b. Penilaian Risiko – Point – point yang harus dilindungi dari rencana
penanggulangan dan pencegahan masalah kejadian ditentukan berdasarkan
tingkat risiko masalah dan kejadian tersebut terhadap integritas dari sistem
informasi akuntansi serta kelangsungan layanan sistem informasi akuntansi
secara menyeluruh.
c. Aktivitas Pengendalian – Mewajibkan setiap pengguna sistem informasi
akuntansi untuk memasang antivirus dan diupdate secara otomatis setiap
harinya, departemen TI memiliki jalur komunikasi khusus untuk menjawab
pertanyaan dan permohonan bantuan apabila terjadi gangguan atau masalah
pada penggunaan komputer,
d. Informasi dan Komunikasi – Senantiasa dikomunikasikan informasi –
informasi yang berkenaan dengan gangguan - gangguan (virus, spyware, bug
program, dll) serta pencegahan dan penanggulangan masalah tersebut.
e. Pengawasan – Dilakukan pengawasan terhadap kecenderungan\trent dari
masalah atau kejadian yang sering terjadi, pengawasan dilakukan juga
terhadap kesiapan departemen TI dalam mencegah dan menanggulangi
masalah tersebut.
81
Tabel III.25 Maturity Level Pengendalian Pusat Data
Lv Control Environment
Risk Assessment Control Activities Information &
Communication
Monitoring
1 Aturan yang mengatur masalah operasional penggunaan sistem
informasi akuntansi telah ada tetapi masih bersifat kasus
berkasus.
Kesadaran akan penilaian risiko dari operasional
komputer masih bersumber dari inisiatif pribadi.
Pengendalian operasional komputer telah mulai diterapkan meskipun
dilakukan secara terbatas.
Tidak ada prosedur dan standar pengendalian operasional
komputer, hal ini menyebabkan kurang tersedianya panduan
tatacara penanganan masalah dan kejadian.
Pengawasan terhadap pengendalian operasional
komputer telah dilakukan tetapi masih terbatas pada usaha –
usaha manual.
2 Mulai dibuatnya standar dan prosedur yang mengatur
mekanisme penanganan dan penanggulangan
masalah/kejadian serta standar dan prosedur pengamanan dan
penanggulangan virus komputer.
Penilaian risiko operasional komputer telah mulai dilakukan akan tetapi
pelaksanaannya masih terbatas karena kurangnya
wewenang dalam melakukan penilaian.
Pengendalian operasional komputer telah mulai dilakukan secara
terorganisir, akan tetapi pelaksanaannya masih terbatas
karena kurangnya dukungan.
Pelatihan telah dilakukan secara formal dan diadakan dengan rutin dan diikuti oleh setiap pengguna
sistem informasi akuntansi.
Telah dilakukan penilaian kepuasan pengguna sistem informasi akuntansi untuk
menentukan langkah perbaikan yang perlu diambil.
3 Organisasi telah memiliki standar dan prosedur yang mengatur
pengendalian operasional komputer, telah terdapat individu atau bagian yang bertanggung jawab menjalankan standar dan
prosedur tersebut.
Penilaian risiko dilakukan berdasarkan tujuan dari
kebijaksanaan pengendalian operasional komputer, hasil
dari penilaian risiko kemudian dijadikan masukan dalam merancang pengendalian
operasional komputer.
Setiap masalah dan kejadian telah dikelola dengan baik seperti dengan
menggunakan sistem tiket, telah terdapat panduan untuk
menyelesaikan masalah – masalah yang sering timbul (frequency asked
question, FAQ)
Standar pengendalian operasional komputer telah terdefinisi sesuai
dengan kebijaksanaan pengendalian operasional komputer
yang ada. Sosialisasi telah mulai dilakukan terhadap setiap pengguna sistem informasi
akuntansi.
Pengawasan terhadap operasional komputer telah
dilakukan berdasarkan standar dan prosedur pengendalian
operasional komputer.
4 Organisasi telah mendukung penerapan pengendalian
operasional komputer melalui alokasi anggaran dan sumber
daya yang diperlukan.
Hasil analisa risiko menunjukkan bahwa risiko operasional komputer telah berada pada ambang batas
yang dapat diterima oleh organisasi.
Organisasi telah memiliki dan menerapkan standar dan prosedur
dalam pencegahan penyebaran masalah (escalation procedure).
Telah tersedia mekanisme pelaporan dan jalur komunikasi yang jelas apabila terjadi suatu permasalahan. Organisasi telah
memiliki repository dari permasalahan – permasalahan yang sering muncul dan cara
penanggulangan.
Organisasi telah memiliki catatan tentang tren dari
masalah atau kejadian yang terjadi. Kejadian yang
menyebabkan terganggunya operasional komputer telah
diklasifikasikan dan penyebab – penyebabnya telah dipelajari.
5 Standar dan prosedur dari pengendalian operasional
komputer secara rutin diperbaharui sesuai dengan
perkembangan teknologi keamanan informasi.
Operasional komputer telah dianggap sebagai salah satu
sumber risiko yang dapat mengganggu integritas dari
laporan keuangan.
Telah timbul kesadaran pada Pengguna komputer akan pentingnya
integritas dari informasi, pengguna komputer senantiasa memberi
masukan akan risiko – risiko yang mungkin dapat berpengaruh terhadap
integritas dari data yang dikelola/prosesnya.
Standar pengendalian operasional komputer senantiasa dilakukan
pembaharuan berdasarkan kondisi keadaan saat ini dan
perkembangan teknologi.
Pengukuran target dan metrik untuk pengendalian operasional
komputer telah dilakukan secara sistematis. Hasil dari
pengukuran tersebut kemudian dijadikan dasar dari proses
perbaikan.
82
Komputer desktop merupakan salah satu sumber risiko. Pengrusakan yang
dilakukan oleh virus, worm, trojan, spyware dan sebagainya merupakan beberapa
risiko yang dapat mempengaruhi integritas dari sistem informasi akuntansi.
Penggunaan komputer kemungkinan menghadapi gangguan atau masalah.
Gangguan tersebut mustahil untuk dihilangkan sepenuhnya, oleh karena itu usaha
yang dapat dilakukan adalah dengan mengelola masalah tersebut, bagaimana
penyelesaiannya serta pencegahan yang dapat diambil untuk mencegah hal
tersebut terulang kembali.
Tabel III.26 Tujuan Pengendalian Virus\worm\spyware (kode jahat)
Komponen Pengendalian virus\worm\spyware
Penilaian Risiko a. Virus\worm\spyware telah dianggap sebagai salah
satu sumber risiko yang dapat mempengaruhi
integritas sistem informasi akuntansi.
Lingkungan
Pengendalian
a. Terdapat bagian\individu yang bertugas memastikan
kondisi kesehatan komputer yang terhubung dengan
sistem informasi akuntansi.
b. Organisasi memiliki prosedur pencegahan
(escalation procedure) ketika terjadi penyebaran
virus di organisasi.
Aktivitas
Pengendalian internal
a. Setiap komputer yang terhubung dengan sistem
informasi akuntansi wajib terpasang antivirus dan
dijalankan secara berkala. Pembaharuan terhadap
antivirus telah dilakukan secara otomatis dan
dilakukan secara berkala.
b. Komputer yang terkena virus dipisahkan dengan
jaringan, komputer dapat terhubungkan kembali
apabila telah dilakukan pembersihan virus dan
mendapatkan persetujuan untuk dapat terhubung
kembali ke jaringan.
Informasi &
Komunikasi
a. Secara berkala kepada pengguna dari sistem
informasi akuntansi diberikan buletin\informasi
mengenai virus\worm\spyware yang sedang aktif,
cara penyebarannya serta metode pencegahan agar
tidak tertular.
b. Terdapat laporan yang menjelaskan penyebaran virus
yang lagi aktif di organisasi serta tren dari penyebaran virus dari waktu ke waktu.
Pengawasan a. Telah dilakukan pengawasan baik secara otomatis
atau manual untuk mengawasi penyebaran virus
diorganisasi serta memastikan komputer yang
terkena virus tidak menyebar ke komputer yang lain.
83
Tabel III.27 Tujuan Pengendalian Penanggulangan Masalah dan Kejadian
Komponen Pengendalian Masalah dan Kejadian
Penilaian Risiko a. Setiap masalah dan kejadian yang dapat mengganggu
integritas dari sistem informasi akuntansi ditindak
lanjuti dengan melakukan analisa risiko untuk
mengetahui dampak dan solusi yang dapat ditempuh.
Lingkungan
Pengendalian
a. Telah ada standar dan prosedur yang mengatur
pengelolaan masalah dan kejadian pada sistem
informasi akuntansi.
b. Organisasi memiliki prosedur pencegahan
(escalation procedure) untuk menghindari dampak
negatif yang lebih besar dari suatu masalah atau
kejadian.
Aktivitas
Pengendalian internal
a. Setiap masalah dan kejadian telah dikelola dengan
baik seperti dengan menggunakan sistem tiket, telah
terdapat panduan untuk menyelesaikan masalah –
masalah yang sering timbul (frequency asked
question, FAQ).
Informasi &
Komunikasi
a. Setiap masalah dan kejadian tercatat dan dilaporkan.
Organisasi memiliki repository permasalahan yang
sering timbul dan cara penanggulangan dan
pencegahan.
b. Terdapat jalur khusus (help desk) untuk melaporkan
setiap masalah dan kejadian yang terjadi.
Pengawasan a. Dilakukan pengkajian terhadap masalah dan kejadian
yang terjadi untuk mengetahui tren dari masalah dan
kejadian pada penggunaan sistem informasi
akuntansi, tren tersebut dipergunakan untuk
menentukan solusi jangka panjang dari permasalahan
tersebut.
III.5.7 Analisa Kebutuhan Pengendalian Tatacara Pengembangan Sistem
Penggunaan sistem informasi memungkinkan otomatisasi pengendalian internal,
Pengendalian internal yang berjalan secara otomatis memiliki beberapa
keunggulan yakni kecepatan, konsistensi dan ketersediaannya. Meskipun
demikian penggunaan pengendalian internal yang berjalan secara otomatis harus
memiliki perhatian khusus terutama dalam masa perbaikan\penyempurnaan atau
pembuatan (upgrade atau development). Kesalahan yang terjadi pada masa
perbaikan atau pembuatan apabila tidak terdeteksi maka dapat terbawa sampai
kepada kegiatan operasional sehari – hari dan dilakukan berulang – ulang.
84
Tujuan dari pengendalian pengembangan sistem adalah untuk memastikan bahwa
setiap proses perubahan atau pengembangan dilakukan dengan sebaik – baiknya
sesuai dengan ketentuan – ketentuan pengembangan sistem informasi akuntansi.
Dengan diterapkannya pengendalian pengembangan sistem diharapkan dapat
mengurangi kesalahan atau bug yang terbawa sampai pada kegiatan operasional
sehingga dapat memberikan keyakinan yang memadai terhadap integritas dari
informasi yang dikelola oleh sistem informasi akuntansi. Dalam menurunkan
kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan
dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang
didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat
dari 5 komponen COSO :
a. Lingkungan Pengendalian – Organisasi telah memiliki strategi\rencana
perubahan untuk sistem informasi akuntansi. Organisasi juga sebaiknya
memiliki kebijakan pengendalian perubahan yang menyatu dengan tata kelola
risiko organisasi secara menyeluruh.
b. Penilaian Risiko – Terlebih dahulu dilakukan analisa risiko pada setiap
perubahan yang akan dilakukan sehingga didapat pemahaman yang
menyeluruh akan risiko yang mungkin ditimbulkan.
c. Aktivitas Pengendalian – Permohonan perubahan dilakukan secara tertulis
serta ada yang mengotorisasi. Dilakukan pemisahan peran dan wewenang
antara perencana, pelaksana dan pengawasan.
d. Informasi dan Komunikasi – Untuk setiap pengadaan dan perubahan terdapat
mekanisme komunikasi antara pemilik proses, unit kerja TI dan pelaksanaan
perubahan untuk memastikan penerapan dari pengendalian internal.
e. Pengawasan – Dilakukan audit terhadap setiap pengadaan atau perbaikan
untuk menilai kewajaran jalannya proses pengadaan\perbaikan serta menilai
integritas dari sistem informasi akuntansi pasca dilakukan pengadaan atau
perbaikan.
85
Tabel III.28 Maturity Level Pengendalian Pengembangan Sistem
Lv Control Environment
Risk Assessment Control Activities Information &
Communication
Monitoring
1 Organisasi baru mulai mengenal kebutuhan akan pengendalian
perubahan, mulai dirumuskannya bentuk dari penerapan
pengendalian perubahan.
Belum dilakukannya penilaian risiko secara formal ketika
akan melakukan perubahan terhadap sistem informasi
akuntansi.
Pengendalian terhadap perubahan sistem masih dilakukan secara terbatas dan lebih
bersifat khusus.
Setiap perubahan pada sistem informasi akuntansi belum
dikomunikasikan dengan baik karena pelaksanaan
pengendalian perubahan sistem masih bersifat khusus
Pengawasan secara terbatas terhadap perubahan yang terjadi pada sistem informasi akuntansi
telah mulai dilakukan..
2 Tata kelola perubahan sistem informasi akuntansi telah mulai diterapkan akan tetapi belum sepenuhnya menjadi sebuah
kesadaran.
Penilaian risiko terhadap kegagalan pada perubahan sistem informasi akuntansi
mulai dilakukan, akan tetapi tindak lanjut dari penilaian tersebut belum maksimal.
Pengendalian perubahan dan perubahan itu sendiri belum berjalan secara
beriringan. Perubahan dilakukan tanpa ada yang mengotorisasi, kebenaran
perubahan hanya dilihat dari aspek teknis semata.
Mulai dilakukan pendokumentasian atas
informasi – informasi penting penunjang keberhasilan
perubahan sistem informasi akuntansi..
Pengawasan sudah mulai direncanakan, akan tetapi
pelaksanaannya belum konsisten karena belum adanya pemahaman yang merata akan tujuan pengendalian Terhadap
perubahan sistem informasi akuntansi.
3 Manajemen telah mengerti dan mendukung pengendalian pada
perubahan sistem, telah ada individu/bagian yang
berwewenang dan tanggung jawab untuk menjalankan
pengendalian perubahan.. Setiap perubahan pada sistem informasi
akuntansi dilakukan secara terencana.
Analisa risiko telah digunakan sebagai indikator dalam
menentukan kebutuhan dan prioritas dari perubahan.
Pelaksana perubahan dan yang mengotorisasi perubahan merupakan
individu yang terpisah, Setiap perubahan harus terlebih dahulu dilakukan pengujian (unit testing) sebelum perubahan tersebut
dapat diotorisasi pelaksanaannya.
Manajemen telah mengerti akan informasi – informasi yang harus tersedia, akan tetapi proses distribusi dan komunikasi belum berjalan
dengan baik.
Pelaksana perubahan dan yang mengotorisasi perubahan merupakan individu yang
terpisah, Setiap perubahan harus terlebih dahulu dilakukan pengujian (unit testing) sebelum
perubahan tersebut dapat diotorisasi pelaksanaannya.
4 Proses pengendalian perubahan sistem telah terdokumentasi
dengan baik. Telah digunakannya standar untuk membantu
penerapan dan pelaksanaan pengendalian terhadap
perubahan sistem.
Proses perubahan dilakukan berdasarkan analisa risiko
seperti terhadap tingkat kesukaran, besarnya biaya, ketersediaan sumber daya manusia serta akibatnya
terhadap bisnis.
Organisasi telah memiliki repository yang berisikan profil dan konfigurasi dari sistem informasi akuntansi dan perangkat keras
(hardware), repository tersebut diperbaharui secara berkala dan dilakukan audit untuk memastikan
integritas informasi yang ada didalamnya.
Requirement, Unit testing, konfigurasi sistem telah
dengan baik terdefinisi dan Disimpan dalam repository
untuk memudahkan pengaksesan.
Audit terhadap proses dan hasil perubahan secara berkala telah
dilakukan untuk menunjang fungsi pengawasan.
5 Organisasi telah memiliki kebijaksanaan dan prosedur e yang terintegrasi dengan tata
kelola risiko dalam mengatur tata cara pelaksanaan perubahan
sistem informasi akuntansi
Setiap perubahan pada sistem informasi akuntansi
telah dilakukan dengan terencana berdasarkan hasil
analisa kebutuhan dan analisa risiko.
Change management telah sepenuhnya diterapkan dengan mengimplementasikan
tata kelola perubahan terhadap seluruh komponen – komponen pembangun sistem informasi akuntansi seperti infrastruktur sumber daya manusia.
Manajemen senantiasa mendapatkan feedback
tentang perbaikan yang harus dilakukan untuk dapat
mengsukseskan proses perubahan.
Organisasi telah memiliki ukuran – ukuran tertentu untuk menilai
keberhasilan pelaksanaan perubahan sistem informasi
akuntansi beserta komponen – komponen pendukungnnya
86
Berkembangnya kebutuhan bisnis menyebabkan sistem informasi akuntansi harus
senantiasa diperbaharui. Perubahan tersebut terkadang tak bisa dihindari, yang
penting untuk diperhatikan dalam melakukan perubahan adalah bagaimana
menjaga integritas dari pemrosesan yang dilakukan oleh sistem informasi
akuntansi pasca dilakukan perbaikan. Untuk itu diperlukan pengendalian dalam
tata kelola perubahan, konfigurasi dan prosedur serah terima aplikasi.
Tabel III.29 Tujuan Pengendalian Pengadaan dan Perawatan
Komponen Pengendalian Pengadaan dan Perawatan
Penilaian Risiko a. Salah satu sarat dalam melakukan pengadaan atau
perbaikan adalah telah dilakukannya analisa risiko
terhadap dampak dari pengadaan atau perbaikan
tersebut.
Lingkungan
Pengendalian
a. Terdapat standar atau prosedur pengendalian proses
pengadaan dan perawatan sistem informasi
akuntansi.
Aktivitas
Pengendalian internal
a. Dilakukan pemisahan antara penggagas pengadaan,
pemilihan pelaksana pengadaan dan pengawas
jalannya proses pengadaan.
b. Diterapkannya manajemen quality assurance dalam
melakukan pengadaan\perawatan perubahan sistem
informasi akuntansi.
Informasi &
Komunikasi
a. Pelaksana pengadaan secara berkala melalui media
komunikasi formal mengomunikasikan progres yang
telah dicapai kepada penanggung jawab dan pemilik
proses.
Pengawasan a. Pengawasan dilakukan mulai dari proses pemilihan
pelaksana pengadaan, proses pengadaan serta pasca
dilakukan pengadaan, tujuan dari pengawasan
tersebut adalah untuk menilai kewajaran dari proses
pengadaan serta pencapaiannya sesuai dengan
kontrak yang disepakati.
Tabel III.30 Tujuan Pengendalian Tatakelola Perubahan
Komponen Pengendalian Tatakelola Perubahan
Penilaian Risiko a. Setiap permohonan perubahan harus menyertakan
analisa risiko mengenai dampak dan solusi pencegahan yang akan diambil.
Lingkungan
Pengendalian
a. Organisasi telah memiliki standar pengembangan
perangkat lunak (system development life Cycle –
SDLC) yang mengedepankan keamanan,
ketersediaan & integritas dan keterpenuhan
87
kebutuhan (requirement).
Aktivitas
Pengendalian internal
a. Setiap perubahan hanya dapat dilakukan apabila
telah diotorisasi oleh yang berwenang. Perubahan
dapat diterima apabila telah melalui serangkaian tes
terlebih dahulu.
b. Setiap proses perubahan atau pengadaan
menyertakan kebutuhan keamanan informasi
(security requirements).
Informasi &
Komunikasi
a. Setiap perubahan dilakukan dengan terdokumentasi
dan dilaporkan kepada pihak – pihak yang
berkepentingan.
Pengawasan a. Dalam pelaksanaan perubahan terdapat supervisor
yang memastikan jalannya perubahan sesuai dengan
apa yang direncanakan.
b. Dilakukan audit pasca dilakukannya perubahan
minimal untuk menilai kesesuaian antara kontrak
dengan implementasi, integritas\kebenaran dari
proses serta kualitas pengendalian internal.
Tabel III.31 Tujuan Pengendalian Tatakelola Konfigurasi
Komponen Pengendalian Tatakelola Konfigurasi
Penilaian Risiko a. Setiap melakukan perubahan konfigurasi, terlebih
dahulu dilakukan analisa risiko terhadap dampak dari
perubahan konfigurasi tersebut.
Lingkungan
Pengendalian
a. Terdapat repositori konfigurasi dari sistem informasi
akuntansi beserta komponen – komponen
pendukungnya, repositori tersebut senantiasa
diperbaharui dan diaudit keabsahannya.
Aktivitas
Pengendalian internal
a. Setiap perubahan konfigurasi pada Sistem informasi
akuntansi/Database/Sistem operasi/Jaringan
dilakukan dengan terdokumentasi dan diotorisasi
pelaksanaannya.
b. Terdapat mekanisme otorisasi dalam melakukan
setiap perubahan konfigurasi pada sistem informasi
akuntansi dan sumber daya TI yang digunakan untuk
mendukung sistem informasi akuntansi.
Informasi &
Komunikasi
a. Setiap perubahan konfigurasi pada sistem informasi
akuntansi terlebih dahulu dikomunikasikan kepada
manajemen untuk mendapatkan persetujuan dan
menentukan waktu yang tepat dalam
pelaksanaannya
b. Setiap perubahan dilakukan dengan terdokumentasi
dan dilaporkan kepada pihak – pihak yang
berkepentingan.
Pengawasan a. Secara berkala dilakukan audit terhadap setiap
perubahan konfigurasi, hal yang perlu diperhatikan
adalah alasan\tujuan serta dampak yang ditimbulkan.
88
III.5.8 Analisa Kebutuhan Pengendalian Aplikasi
Sistem informasi dibangun atas dua komponen yang saling berinteraksi, manusia
sebagai operator yang menjalankan serta sistem informasi yang memproses
masukan yang diberikan oleh operator. Kedua komponen tersebut sangat mungkin
melakukan kesalahan sehingga diperlukan pengendalian untuk memberikan
keyakinan yang memadai terhadap integritas dari masukan, proses bisnis dan
keluaran dari sistem informasi akuntansi. Pengendalian pada layanan sistem
informasi akuntansi dilakukan pada pengendalian entity TI (it entity level) dan
pengendalian umum TI (it general control), sedangkan pengendalian terhadap
interaksi antara pengguna atau operator terhadap sistem informasi akuntansi
diterapkan pada pengendalian aplikasi (application control).
Tujuan dari pengendalian aplikasi adalah untuk menetapkan prosedur
pengendalian khusus atas sistem informasi akuntansi untuk memberikan
keyakinan memadai bahwa semua transaksi telah diotorisasi dan dicatat, serta
diolah seluruhnya, cermat, dan tepat waktu. Tujuan pengendalian aplikasi adalah
sebagai berikut:
a. Menjamin bahwa semua transaksi yang telah diotorisasi telah diproses
secara lengkap sekali saja
b. Menjamin bahwa data transaksi lengkap dan teliti
c. Menjamin bahwa pengolahan data transaksi benar dan sesuai dengan
keadaan
d. Menjamin bahwa hasil pengolahan data dimanfaatkan untuk tujuan yang
telah ditetapkan
e. Menjamin bahwa aplikasi dapat terus menerus berfungsi.
Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan
yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen
pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian
aplikasi dilihat dari 5 komponen COSO :
a. Lingkungan Pengendalian – Adanya ketentuan yang mewajibkan untuk
menyertakan pengendalian aplikasi pada tahap pengumpulan kebutuhan
(requirements).
89
b. Penilaian Risiko – Penilaian risiko dilakukan untuk menentukan prioritas dan
jenis pengendalian yang cocok untuk melindungi masukan, proses dan
keluaran dari sistem informasi akuntansi.
c. Aktivitas Pengendalian – Menerapkan pengendalian pada setiap masukan,
proses dan keluaran dari sistem informasi akuntansi seperti dengan
pengecekan integritas masukan, jalannya proses dan kegunaan dari keluaran.
d. Informasi dan Komunikasi – Memberikan pemahaman melalui pelatihan –
pelatihan tentang kegunaan dan tatacara pengendalian aplikasi.
e. Pengawasan – Pengawasan sebaiknya dilakukan secara otomatis dan manual,
terdapat pengawasan terhadap tren dari pelanggaran\kesalahan masukan,
proses dan keluaran.
90
Tabel III.32 Maturity Level Pengendalian Aplikasi
Lv Control Environment
Risk Assessment Control Activities Information &
Communication
Monitoring
1 .Organisasi telah mengerti akan pentingnya pengendalian
aplikasi, akan tetapi belum ada kebijaksanaan dan prosedur yang berhubungan dengan
pengendalian aplikasi.
Penilaian risiko dilakukan hanya berdasarkan pengalaman developer
dan dilakukan secara informal.
Validasi masukan, pengendalian pemrosesan dan pengendalian
keluaran telah dilakukan akan tetapi inisiatif masih berasal dari developer.
Informasi yang digunakan dalam melakukan verifikasi belum
terdefinisi dengan baik, informasi yang digunakan masih berasal dari pemahaman developer bukan dari analisa kebutuhan pengendalian
aplikasi.
Pengawasan terhadap integritas pemrosesan pada sistem informasi
akuntansi telah dilakukan akan tetapi masih bersifat informal dan tidak
konsisten pelaksanaannya.
2 Telah ada yang bertanggung jawab dalam mengawasi penerapan pengendalian
aplikasi, akan tetapi wewenang yang dimilikinya masih
terbatas.
Penilaian risiko mulai dilakukan akan tetapi manajemen tidak dapat
menindak lanjuti hasil dari penilaian risiko karena belum adanya
wewenang yang jelasnya untuk menindak lanjuti hasil dari penilaian
risiko tersebut.
Organisasi telah mulai memasukkan pengendalian aplikasi sebagai salah satu kebutuhan (requirements) ketika
melakukan pembuatan/perubahan pada sistem informasi akuntansi.
Mulai dilakukan pendokumentasian terhadap informasi – informasi yang digunakan dalam melakukan proses
verifikasi.
Telah ada yang bertanggung jawab dalam mengawasi penerapan
pengendalian aplikasi, akan tetapi wewenang yang dimilikinya terbatas
hanya sebagai pengawas.
3 Organisasi telah mengerti dan mendukung penerapan pengendalian aplikasi,
wewenang dan tanggung jawab telah terdefinisi dengan baik
Penilaian risiko untuk pemasukan data, pemrosesan dan pelaporan pada
sistem informasi akuntansi telah memiliki dasar hukum yang jelas dan
dilengkapi dengan tata cara pelaksanaannya.
Pengendalian masukan, pengendalian pemrosesan dan pengendalian
keluaran telah diterapkan\dibuat sesuai dengan hasil dari analisa kebutuhan
pengendalian aplikasi dan analisa risiko penggunaan sistem informasi
akuntansi.
Informasi yang digunakan dalam mendukung proses verifikasi pada
pengendalian aplikasi telah terdokumentasi dan telah ada yang
berwenang dalam melakukan pengecekan untuk memastikan
integritas dari informasi tersebut.
Telah dilakukan audit terhadap penerapan pengendalian aplikasi pada sistem informasi akuntansi. Audit telah
dilakukan sesuai dengan kaidah penilaian penerapan pengendalian
aplikasi.
4 Penerapan pengendalian aplikasi telah dilakukan sesuai
dengan standar dan best practice.
Apabila diindikasi terdapat kelemahan\kekurangan pada
pengendalian aplikasi, Hasil dari analisa risiko telah dijadikan dasar
dalam melakukan perubahan pengendalian aplikasi.
Pengendalian aplikasi Telah dijalankan sepenuhnya baik secara manual
ataupun otomatis. Keduanya merupakan gabungan yang saling
mengisi antara satu dengan yang lain (tidak saling menghilangkan).
Telah dilakukan pelatihan yang secara formal mengajarkan tentang tata cara penggunaan pengendalian
aplikasi pada sistem informasi akuntansi.
Pengawasan akan risiko dan penerapan pengendalian internal telah dilakukan
dengan baik, audit secara berkala telah dilakukan untuk menunjang fungsi pengawasan pada pengendalian
aplikasi.
5 Senantiasa dilakukan perbaikan terhadap
kebijaksanaan, prosedur dan standar pengendalian aplikasi yang dilakukan berdasarkan
penilaian dan pengawasan atas hasil implementasi
pengendalian aplikasi yang telah ada.
Penilaian risiko terhadap kegagalan pengendalian aplikasi pada sistem
informasi akuntansi dilakukan menyatu dengan penilaian risiko organisasi
secara menyeluruh.
Pengendalian aplikasi telah menggunakan metode peramalan (forecasting) untuk memprediksi
terjadinya kesalahan, pengendalian aplikasi tidak hanya bersifat statis
(programmed) tatapi telah menerapkan prinsip pembelajaran (learning).
Pengguna sistem informasi akuntansi telah mengerti akan
pentingnya pengendalian aplikasi, pengguna berperan serta
memperbaiki pengendalian aplikasi dengan cara memberi masukan mengenai perbaikan yang harus
dilakukan.
Telah terjadi integrasi antara pengawasan dan perbaikan yang berkelanjutan dalam penerapan
pengendalian aplikasi. Telah ada aturan yang mengatur bahwa temuan
kegagalan pengendalian aplikasi selanjutnya diteruskan untuk menjadi
bahan perbaikan yang harus diperbaiki dalam jangka waktu tertentu.
91
Tujuan dari digunakannya teknologi informasi adalah untuk meningkatkan
efektivitas dalam pengelolaan data. Satu hal yang harus diperhatikan adalah
diperlukan juga kebenaran dan juga ketepatan dalam mengelola data – data
tersebut. Pengendalian aplikasi pada sistem informasi akuntansi memberikan
keyakinan yang memadai bahwa proses pengolahan data menggunakan data yang
benar, diproses dengan benar dan disajikan dengan benar pula.
Tabel III.33 Tujuan Pengendalian Validasi Masukan
Komponen Pengendalian Validasi Masukan
Penilaian Risiko a. Penilaian risiko dilakukan untuk menentukan
prioritas dan tatacara pengendalian pengecekan
masukan.
Lingkungan
Pengendalian
a. Terdapat standar yang mengatur tatacara
pengendalian pengecekan masukan, Pengecekan
masukan telah menjadi salah satu dari kebutuhan
(requirements) yang harus didefinisikan pada saat
pembuatan aplikasi.
Aktivitas
Pengendalian internal
a. Telah terdapat mekanisme pengecekan kewajaran
masukan pada program sistem informasi akuntansi,
pengecekan tersebut dapat berupa pengecekan jenis
data yang dimasukkan, keberadaannya ataupun
kewajarannya.
b. Pengendali masukan dilakukan dengan cara
melakukan referensi silang antara data yang
dimasukkan dengan data referensi yang ada pada
master file (contoh: pembayaran barang dengan
barang yang telah diterima).
Informasi &
Komunikasi
a. Pencatatan terhadap masukan telah dilakukan secara
otomatis, sistem memberikan laporan berisikan siapa
yang melakukan masukan , nilai, dan yang
mengotorisasinya.
Pengawasan a. Dilakukan pengawasan terhadap kesalahan yang
sering terjadi untuk mengetahui tren dan motif dari
pelaku.
b. Pengujian dilakukan terhadap mekanisme
pengecekan yang digunakan untuk memvalidasi
masukan.
Tabel III.34 Tujuan Pengendalian Pemrosesan
Komponen Pengendalian Pemrosesan
Penilaian Risiko a. Penilaian risiko dilakukan untuk menentukan
prioritas dan ketelitian dari pengetesan yang
dilakukan pada saat pembuatan sistem informasi
akuntansi.
92
Lingkungan
Pengendalian
a. Terdapat standar dan prosedur yang mengatur
tatacara pengetesan aplikasi, aplikasi yang tidak
dapat lulus dari pengetesan tidak dapat digunakan
untuk operasional sehari – hari.
Aktivitas
Pengendalian internal
a. Pada saat pembuatan aplikasi, dilakukan pengetesan
untuk memastikan integritas dari data yang diproses
secara otomatis.
Informasi &
Komunikasi
a. Pengetesan dilakukan secara terbuka, setiap orang
yang ikut serta dalam proses pengadaan dapat
melihat dan memberikan penilaian atas kewajaran
hasil dari pengetesan tersebut.
Pengawasan a. Audit dilakukan secara berkala untuk menilai
kesesuaian antara pemrosesan yang dilakukan oleh
sistem informasi akuntansi (otomatis) dengan standar
akuntansi yang digunakan organisasi.
Tabel III.35 Tujuan Pengendalian Validasi Keluaran
Komponen Pengendalian Validasi Keluaran
Penilaian Risiko a. Penilaian risiko dilakukan untuk menentukan tingkat
kerahasiaan suatu laporan/informasi yang terdapat
pada sistem informasi akuntansi.
Lingkungan
Pengendalian
a. Terdapat kebijaksanaan yang mengatur penggunaan
setiap laporan/informasi yang berasal dari sistem
informasi akuntansi.
Aktivitas
Pengendalian internal
a. Telah diterapkannya pengendalian pada saat
pencetakan laporan\informasi, minimal pengendalian
yang diterapkan adalah dengan mencatat siapa yang
mencetak, tujuan, jumlah cetakan dan kepada siapa
saja laporan]informasi tersebut akan diberikan.
Informasi &
Komunikasi
a. Tersedia laporan yang menjelaskan proses
pencetakan dokument\informasi seperti siapa yang
mencetak, banyaknya dan tujuannya.
Pengawasan a. Audit dilakukan terhadap aktivitas pencetakan
laporan\informasi yang bersumber dari sistem
informasi akuntansi, audit tersebut bertujuan untuk
mengecek tujuan dan kewajaran atas setiap proses
pencetakan untuk menghindari terjadinya
penyalahgunaan.