BAB III III.1
Analisa Kebutuhan Pengendalian Internal
Pengendalian Internal Terhadap Laporan Keuangan Berbasiskan
Teknologi Informasi III.1.1 Pengendalian Internal Terhadap Laporan Keuangan menurut SOX Untuk menjawab kebutuhan pengendalian internal berdasarkan SOX, standar PCAOB no 2 memberikan pendekatan yang lebih spesifik melalui pengendalian internal terhadap laporan keuangan (internal control over financial reporting ,ICFR) (PCAOB, 2004). PCAOB no 2 mendefinisikan bahwa pengendalian internal terhadap laporan keuangan adalah Proses yang didesain oleh, atau dilakukan di bawah pengawasan petinggi organisasi, petinggi bagian keuangan, atau karyawan yang melakukan pekerjaan yang berhubungan atau serupa untuk menciptakan keyakinan yang memadai (reasonable assurance) mengenai keabsahan dari laporan keuangan dan persiapan laporan keuangan publik untuk keperluan di luar organisasi berdasarkan prinsip - prinsip akuntansi yang diakui secara umum yang mencakup kebijaksanaan dan prosedur: a. Menjaga tingkat kedetilan yang dapat diterima, akurat dan secara wajar mencerminkan transaksi – transaksi yang terjadi dan penempatan dari aset yang dimiliki perusahaan. b. Menyediakan keyakinan yang memadai (reasonable assurance) terhadap laporan keuangan, hal ini dapat tercapai dengan melakukan pencatatan yang layak terhadap transaksi – transaksi keuangan sesuai dengan standar akuntansi yang berlaku. Setiap pemasukan dan pengeluaran yang penting\berarti dilakukan dengan mekanisme otorisasi oleh manajemen yang berwenang. c. Menyediakan keyakinan yang memadai (reasonable assurance) terhadap pencegahan atau deteksi dari unauthorized acquisition, penggunaan atau disposition dari aset yang dimiliki oleh perusahaan yang dapat berpengaruh terhadap financial statement.
38
III.1.2 COSO Sebagai Framework Pengendalian Internal Manajemen perlu untuk mencari panduan dalam menilai efektivitas pengendalian internal terhadap laporan keuangan yang sesuai dan diakui sebagai sebuah framework pengendalian internal (internal control framework), panduan tersebut haruslah dikeluarkan oleh lembaga
yang memiliki
keahlian mengenai
pengendalian internal serta telah dinilai oleh ahli - ahli pengendalian internal secara luas. Dengan kata lain framework tersebut dapat dipergunakan dalam menilai dan memperbaiki pengendalian internal apabila telah memenuhi kriteria kriteria seperti di bawah ini (PCAOB, 2004): a. Tidak berat sebelah/bebas dari prasangka – prasangka. b. Dapat digunakan untuk menilai pengendalian internal yang berhubungan dengan laporan keuangan. c. Dapat memberikan penilaian yang bersifat qualitative dan quantitative terhadap pengendalian internal yang berhubungan dengan laporan keuangan.
Di dalam standar PCAOB no 2 disebutkan bahwa perusahaan dapat menggunakan framework Integrated Internal Control yang dikeluarkan oleh COSO (lebih lanjut mengenai COSO dapat dibaca pada bab 2). Secara garis besar COSO menjelaskan pengendalian internal dan komponen – komponen yang membangunnya. Framework COSO mendefinisikan lima komponen yang dapat digunakan sebagai panduan dalam penerapan pengendalian internal.
III.1.3 Pengendalian Internal berbasiskan TI berdasarkan COSO Seperti yang tertulis di bab 2, tidak ada satu kata di dalam SOX yang mewajibkan organisasi untuk menerapkan atau menilai pengendalian internal pada sistem yang berbasiskan teknologi informasi. Saat ini sebagian besar perusahaan sangat bergantung pada TI untuk mengelola data - data perusahaan, termasuk salah satunya data - data transaksi keuangan. Tujuan penggunaan TI dalam menunjang kegiatan operasional perusahaan adalah untuk meningkatkan efektivitas dan efisien dari proses bisnis perusahaan agar dapat bersaing lebih baik dibandingkan dengan pesaingnya.
39
Setiap kegiatan pastilah memiliki risiko, begitu juga dengan penggunaan TI dalam mengelola data - data transaksi keuangan. SEC sebagai lembaga yang berwenang mengawasi implementasi dari SOX, dalam panduan PCAOB standar no 5 yang dikeluarkan pada 24 Mei 2007 pada paragraf ke 36 menekankan bahwa "The auditor also should understand how IT affects the company's flow of transactions". untuk memperjelas pernyataan yang tertulis pada paragraf tersebut SEC memberikan catatan kaki yang berbunyi "The identification of risks and controls within IT is not a separate evaluation. Instead, it is an integral part of the top-down approach used to identify significant accounts and disclosures and their relevant assertions, and the controls to test, as well as to assess risk and allocate audit effort as described by this standard." .
Apabila dihubungkan dengan pengendalian internal terhadap laporan keuangan berbasiskan TI, COSO sebagai framework yang disarankan oleh SEC menyebutkan bahwa pengendalian internal berbasiskan TI terbagi menjadi dua bagian (COSO, 1992): a. IT General Control, IT General control (Pengendalian umum TI) adalah struktur, kebijaksanaan dan prosedur yang berpengaruh terhadap komponen – komponen utama sumber daya informasi yang bertujuan untuk memastikan integritas dan ketersediaan layanan teknologi informasi. b. Application Control, Application control (Pengendalian Aplikasi) adalah struktur, kebijaksanaan dan prosedur yang dilakukan secara otomatis atau manual di dalam aplikasi. Pengendalian aplikasi secara umum didesain untuk
mencegah,
mendeteksi
dan
memperbaiki
kesalahan
dan
ketidakberesan pada tingkatan aplikasi.
COSO mendefinisikan lima komponen pengendalian internal. Kelima komponen tersebut
bersifat
general.
Untuk
mempermudah
memahami
kebutuhan
pengendalian internal berdasarkan framework COSO, berikut ini akan dijabarkan kelima komponen pengendalian internal dilihat dari sudut pandang TI: a. Control Environment (Lingkungan Pengendalian), Lingkungan yang mendukung
pegawai/karyawan
40
menunjang
keberhasilan
penerapan
pengendalian
internal.
Lingkungan
Pengendalian
menjelaskan
kebijaksanaan dan prosedur yang dapat mendukung upaya – upaya mengurangi risiko penggunaan TI terhadap integritas dari laporan keuangan. b. Risk Assessment (Penilaian Risiko), dalam pembuatan tata kelola TI. Manajemen terlebih dahulu melakukan penilaian dan memahami wilayah – wilayah yang berisiko di mana
dapat mengganggu integritas dari
laporan keuangan. Penilaian tersebut harus dilakukan terhadap sistem sesuai dengan standar keamanan informasi yang diakui secara luas. Penilaian tersebut bertujuan untuk menunjang perbaikan terhadap sistem yang
telah
ada
ataupun
terhadap
sistem
baru
yang
akan
diimplementasikan. c. Control Activities (Aktivitas Pengendalian), Desain, implementasi dan jaminan kualitas (quality assurance) dari aktivitas pengendalian yang terdapat pada tata kelola TI harus dibuat seindependen mungkin. Tata kelola TI harus berisikan aktivitas – aktivitas pengendalian yang berorientasi untuk mengurangi
risiko dari penggunaan TI yang dapat
mengganggu integritas dari laporan keuangan. d. Monitoring (Pengawasan), Tata kelola TI harus berisikan rencana dan jadwal audit TI terhadap sumber daya teknologi informasi yang digunakan untuk mendukung layanan sistem informasi akuntansi, manajemen harus paham dan mengerti tindak lanjut yang perlu diambil sesuai dengan hasil audit yang telah dilakukan. e. Information and Communication (Informasi dan Komunikasi), Tanpa adanya informasi
yang akurat, manajemen akan sulit menjalankan
aktivitas pengendalian internal. Tata kelola TI harus berisikan mekanisme pengambilan, pemrosesan dan pendistribusian informasi yang menunjang keberhasilan penerapan pengendalian internal. Tata kelola TI harus dapat menunjukkan peran dari departemen TI terhadap keberhasilan penyebaran informasi yang berkaitan dengan pengendalian internal.
41
III.2
Analisa Risiko Pemrosesan Keuangan Berbasiskan TI
III.2.1 Penilaian Risiko Dari Atas ke Bawah (Top Down Risk Assessment) Menurut standar PCAOB no 2 (PCAOB, 2004), TI merupakan salah satu sumber risiko yang dapat mengganggu integritas dari laporan keuangan, pernyataan tersebut dipertegas oleh standar PCAOB no 5 yang dikeluarkan pada tahun 2007 bahwa proses penilaian risiko TI merupakan salah satu proses dari penilaian risiko perusahaan secara menyeluruh (PCAOB, 2007). Penilaian risiko dari atas ke bawah (SOX Top Down Risk Assessment) atau disingkat TDRA merupakan panduan resmi yang dikeluarkan oleh PCAOB untuk menilai penerapan pengendalian internal yang sesuai dengan ketentuan SOX bagian 404. TDRA digunakan untuk menentukan ruang lingkup dan bukti - bukti yang diperlukan dalam melakukan tes/audit terhadap penerapan pengendalian internal berdasarkan SOX bagian 404. TDRA merupakan metodologi yang bersifat hierarchical berdasarkan objek yang dilindungi dan risiko
dalam
menentukan ruang lingkup dan bukti yang diperlukan untuk mendukung penilaian penerapan pengendalian internal, langkah - langkah yang terdapat pada TDRA adalah: a. Identifikasi elemen - elemen laporan keuangan yang penting (rekening dan transaksi keuangan). b. Identifikasi sumber - sumber risiko pada pernyataan keuangan berdasarkan rekening dan transaksi keuangan yang teridentifikasi pada langkah pertama. c. Tentukan entity level control yang akan menanggulangi risiko yang teridentifikasi pada tahap kedua. d. Tentukan transaction level control yang akan menanggulangi risiko yang teridentifikasi pada tahap dua sebagai penjabaran dari entity level control (tahap ketiga). e. Tentukan sifat, dampak dan kemungkinan waktu terjadinya dari bukti – bukti risiko yang didapat dalam penilaian ini.
42
Meskipun
TDRA
merupakan
sebuah
metodologi
penilaian
penerapan
implementasi pengendalian internal yang telah berjalan, pendekatan yang terdapat pada TDRA dapat dipergunakan sebagai landasan dalam melakukan penilaian kebutuhan pengendalian internal. Pada TDRA, untuk menentukan pengendalian internal yang akan dinilai\audit. Auditor pertama - tama melakukan penilaian terhadap rekening dan transaksi keuangan yang berhubungan dengan pernyataan keuangan. penilaian tersebut bertujuan untuk menentukan rekening - rekening yang memiliki risiko tinggi.
Setelah diketahui rekening - rekening yang memiliki risiko tinggi, langkah berikutnya adalah menganalisa transaksi - transaksi yang berpengaruh terhadap rekening - rekening tersebut. pada tahap ini auditor harus jeli dalam melihat segala kelemahan atau ancaman yang mungkin dapat mengganggu integritas dari transaksi - transaksi tersebut. tahap ini penting karena pada tahap ini dikumpulkan informasi mengenai ancaman dan risiko yang nantinya akan digunakan sebagai dasar dalam menentukan bentuk dan jenis pengendalian internal yang cocok untuk menanggulangi risiko - risiko yang dapat mengganggu integritas dari laporan keuangan. III.2.2 Risiko Penggunaan TI Terhadap Integritas Laporan Keuangan Pada sistem informasi akuntansi yang berbasiskan teknologi informasi, terdapat berbagai macam risiko yang mungkin dapat mengganggu kualitas dari informasi seperti pada saat inisiasi, otorisasi, proses-proses, simpan dan pembuatan laporan transaksi keuangan. Risiko tersebut dapat bersumber dari pengguna, teknologi atau lingkungan. Untuk memberikan gambaran yang lebih jelas, berikut adalah contoh dari risiko penggunaan TI yang dapat mengganggu kualitas dari informasi yang dipergunakan dalam membuat laporan keuangan : Tabel III.1 Risiko penggunaan sistem yang berinteraksi dengan laporan keuangan Proses Initiated (1 memulai, memprakarsai. 2 meresmikan,
Sumber Daya Yang Terlibat Manusia (pengguna sistem)
43
Risiko 1. Pemalsuan transaksi 2. Salah Memasukan Data
menginisiasikan (club, fraternity). 3 mengajukan.)
Authorized (Pengesahan)
3. Penyalahgunaan wewenang Aplikasi
Manusia (pengguna sistem)
Aplikasi
Recorded (penyimpanan) Manusia (pengguna sistem)
Aplikasi
Processes (pemrosesan)
Manusia (pengguna sistem)
Aplikasi
Reported (Pelaporan)
Manusia (pengguna sistem)
Aplikasi
44
4. Membuat transaksi yang tidak perlu 5. Kesalahan dalam melakukan perhitungan 1. Mengesahkan transaksi yang tidak semestinya disahkan. 2. Konflik kepentingan 3. Penyalahgunaan wewenang 4. Kesalahan pengesahan 5. Salah melakukan perhitungan 1. Merusak media penyimpanan 2. Pencurian data/informasi 3. Merubah data yang telah disimpan 4. Kegagalan aplikasi 5. Kesalahan menyimpan data 1. Merubah data – data transaksi 2. Memasukan transaksi palsu 3. Memasukan informasi palsu mengenai hasil transaksi 4. Salah melakukan perhitungan 5. Kesalahan Pembulatan 6. Kesalahan logika program 1. Kekeliruan dalam menggunakan asumsi. 2. Salah menyajikan laporan 3. Manipulasi laporan 4. Menggunakan data yang salah 5. Menyampaikan informasi yang tidak tepat
Tabel III.2 Risiko penggunaan infrastruktur TI terhadap integritas dari laporan keuangan Infrastruktur Jaringan Pusat Data (Data Center)
Sistem Operasi (Operating System)
III.3
Risiko 1. Data dirubah di tengah jalan. 2. Data tidak dapat terbaca (corrupt). 1. Salah memberikan data. 2. Hilangnya data - data yang telah tersimpan. 3. Pencurian media penyimpanan data. 4. Kegagalan sistem. 1. Sabotase terhadap sistem operasi. 2. Merubuh logika program. 3. Gangguan terhadap proses perhitungan. 4. Kegagalan sistem.
Kebutuhan pengendalian internal pada Sistem Informasi Akuntansi
III.3.1 Penilaian kebutuhan pengendalian internal berdasarkan risiko penggunaan sumber daya Teknologi Informasi Berdasarkan analisa risiko penggunaan teknologi informasi terhadap integritas dari laporan keuangan. Risiko penggunaan teknologi informasi dilihat dari sifat prosesnya dapat bersumber dari dua tipe proses: a. Otomatis, proses yang terjadi tanpa campur tangan operator/manusia. Proses jenis ini terjadi ketika telah tercapainya suatu kondisi tertentu (trigger) yang mengakibatkan aplikasi/komputer untuk melakukan suatu pekerjaan sesuai dengan apa yang telah ditentukan. b. Manual, Proses manual adalah proses yang memerlukan penilaian dari staf ahli atau yang memiliki wewenang dalam menentukan hal – hal penting (essential) yang sangat berpengaruh terhadap keberhasilan suatu proses. Untuk proses – proses yang bersifat Otomatis risiko dari penggunaan teknologi informasi dapat dikurangi dengan cara menerapkan pengendalian internal pada tata kelola sumber daya teknologi informasi. Menurut COBIT versi 4 sumber daya teknologi informasi dikelompokkan menjadi (ITGC, 2006): a. Aplikasi (application) b. Informasi (information) c. Infrastruktur (Infrastructure) d. Manusia (people)
45
III.3.2 Pengendalian Internal Terhadap Risiko Penggunaan Aplikasi Salah satu kelebihan dari penggunaan sistem informasi akuntansi dibandingkan dengan proses manual adalah sistem informasi akuntansi dapat mengerjakan suatu pekerjaan secara otomatis dengan kecepatan,ketepatan dan hasil yang relatif konstan. Keunggulan ini dapat dipandang sebagai suatu kelebihan yang tidak dimiliki oleh sistem manual, akan tetapi keunggulan ini dapat menjadi bumerang ketika terjadi kesalahan logika pada proses pembuatan program dan terus terbawa sampai dengan proses operasional. Kesalahan logika tersebut merupakan risiko yang dapat mempengaruhi integritas dari laporan keuangan karena dapat dipastikan setiap perhitungan yang dilakukan akan mengeluarkan nilai yang salah di mana kesalahan tersebut akan diulang terus menerus sampai kesalahan tersebut diperbaiki. Oleh karena itu untuk menjaga integritas dari sebuah sistem informasi akuntansi maka diperlukan penerapan pengendalian internal dalam tahap pembuatan (application development) dan pemeliharaan sistem (maintenance).
III.3.3 Pengendalian Internal Terhadap Risiko Penggunaan Infrastruktur dan Manusia. Infrastruktur TI dan sumber daya manusia merupakan sumber daya teknologi informasi yang bersifat umum (general). Kedua sumber daya tersebut tidak terikat terhadap sistem informasi manapun. Karena perannya yang menjadi tulang punggung suatu layanan TI (IT Service) maka tata kelola infrastruktur dan sumber daya manusia merupakan salah satu kunci keberhasilan layanan TI. Integritas dari informasi yang dikelola dan disimpan pada Sistem informasi akuntansi sangat bergantung
dari
integritas
(integrity),
kerahasiaan
(confidentiality)
dan
ketersediaan (Availability) dari infrastruktur dan sumber daya manusia yang mengelola
layanan TI. Infrastruktur TI dan sumber daya manusia yang
mengelolanya dapat dipandang sebagai sebuah risiko yang dapat mengganggu integritas dari informasi yang digunakan dalam membuat laporan keuangan. Oleh karena itu untuk menjaga integritas laporan keuangan maka diperlukan penerapan pengendalian internal dalam mengelola infrastruktur TI seperti pusat data (data center), jaringan (network), sistem informasi (operating system) serta sumber daya manusia yang mengelolanya.
46
III.3.4 Pengendalian internal terhadap risiko penggunaan Informasi Kualitas dari informasi yang dihasilkan oleh sistem informasi akuntansi mempengaruhi integritas dari laporan keuangan. Sangatlah penting untuk diperhatikan bagaimana informasi yang dihasilkan dari sistem informasi akuntansi memiliki kandungan informasi yang dapat dipertanggungjawabkan untuk membuat sebuah laporan keuangan. Kualitas dari informasi untuk membuat sebuah laporan keuangan dapat dinilai dari (COSO, 1992): a. Kesesuaian kandungan informasi (apakah mengandung informasi yang dibutuhkan). b. Informasi diberikan tepat waktu (dapatkah diberikan sewaktu - waktu ketika diperlukan). c. Informasi merupakan informasi terbaru (Apakah ini informasi yang terbaru). d. Informasinya akurat (Apakah informasi ini benar). e. Informasi tersedia bagi yang membutuhkan (Dapatkah informasi ini tersedia dengan mudah bagi yang membutuhkan).
Untuk dapat mencapai keempat kriteria dari informasi yang berkualitas menurut panduan framework COSO, sangatlah penting untuk memastikan kualitas dari pengendalian internal pada TI yang bersifat umum (general control). Apabila pengendalian internal yang bersifat umum telah dapat diterapkan dengan baik, langkah
berikutnya
adalah
memastikan
bagaimana
informasi
tersebut
dikelola\dijaga di dalam sebuah sistem informasi. Untuk mencapai hal tersebut langkah yang perlu diambil adalah dengan menerapkan pengendalian internal yang sesuai dengan karakteristik dari sistem. Tujuan dari penerapan pengendalian aplikasi (application control) adalah untuk menjamin : akurasi (accuracy), Keterselesaian (Completeness), validitas (Validity) dan otorisasi (authorization) dari sebuah transaksi yang diproses oleh sistem informasi akuntansi.
III.4
Analisa Kebutuhan Framework Pengendalian Internal pada Sistem
Informasi Akuntansi III.4.1 Analisa Tatacara Penilaian & Perbaikan Pengendalian Internal
47
Pada bagian sebelumnya telah dilakukan analisa terhadap keterhubungan antara konsep - konsep yang akan melandasi perancangan framework pengendalian internal pada sistem informasi akuntansi.
Alasan utama yang mendasari
diperlukannya framework pengendalian internal adalah risiko yang bersumber dari penggunaan teknologi informasi yang dapat mengganggu integritas dari informasi yang digunakan dalam membuat laporan keuangan. Menurut COBIT sumber daya TI terdiri dari (ITGC, 2006): aplikasi, informasi, infrastruktur dan manusia. Setiap sumber daya TI memiliki risiko – risiko yang unik sesuai dengan karakteristik yang dimilikinya. Keunikan tersebut menyebabkan tidak adanya suatu pendekatan yang bersifat umum dalam menanggulangi risiko – risiko yang berasal dari penggunaan TI.
Menurut COSO, pengendalian internal terhadap laporan keuangan pada sistem informasi terbagi menjadi : IT General Control dan Application Control. Sedangkan menurut SEC pengendalian internal pada laporan keuangan terbagi menjadi: entity level control, transaction level control dan action level control. Berdasarkan hasil analisa risiko penggunaan teknologi informasi terhadap integritas dari informasi yang digunakan dalam membuat laporan keuangan, pengendalian internal terhadap sistem informasi akuntansi pada penelitian ini akan terbagi menjadi: a. Pengendalian tingkat entiti (Entity Level Control) b. Pengendalian umum TI (IT General Control) c. Pengendalian aplikasi (Application Control) Penelitian ini akan memfokuskan pada pengendalian internal yang bertujuan untuk mencegah (preventive) dan mendeteksi (detection) risiko – risiko yang mungkin mengganggu integritas dari informasi yang digunakan dalam membuat laporan keuangan. Untuk mencapai kedua hal tersebut penelitian ini akan menurunkan kelima komponen pengendalian internal yang terdapat pada COSO integrated internal control framework menjadi pengendalian internal yang akan diterapkan pada sistem informasi akuntansi berbasiskan teknologi informasi.
48
Tabel di bawah ini menjelaskan Tatacara dari framework pengendalian internal pada sistem informasi akuntansi yang diajukan pada penelitian ini. Seperti telah disebutkan sebelumnya, dasar dari framework pada penelitian ini adalah risiko dari penggunaan sumber daya teknologi informasi. Hubungan risiko dan laporan keuangan dihubungkan dengan penilaian risiko – risiko yang berhubungan langsung dengan rekening dan transaksi keuangan. Pendekatan ini diambil agar pengguna dari framework ini fokus terhadap risiko - risiko yang berhubungan langsung dengan integritas dari laporan keuangan. Tabel III.3 Tahapan
penilaian dan perbaikan Pengendalian Internal pada Sistem Informasi Akuntansi No Langkah 1 Identifikasi rekening & transaksi keuangan yang penting.
2
Identifikasi Sumber Daya TI dan Pengendalian Internal yang ada.
3
Menilai risiko penggunaan TI
4
Penilaian dan Perbaikan Pengendalian Internal.
Deskripsi 1. Identifikasi rekening – rekening penting. 2. Identifikasi transaksi – transaksi penting. 1. Inventaris sumber daya TI dan pengendalian internal yang digunakan dalam mendukung SIA. 2. Review dokumen proses keuangan untuk mengidentifikasi pengendalian - pengendalian yang tergantung dari TI. 1. Menilai risiko dari penggunaan sumber daya TI (impact & likelihood). 2. Identifikasi Ancaman (Thread). 3. Identifikasi Kelemahan (Vulnerability) 1. Perbaikan Kekosongan Pengendalian Internal. 2. Perbaikan Secara Sistematis Berdasarkan Maturity Level.
III.4.2 Analisa Model Aktivitas Pengendalian Internal III.4.2.1
Model dari Aktivitas Pengendalian Internal
Berdasarkan pemaparan yang terdapat pada bab ini dibandingkan dengan pengendalian internal pada sistem informasi yang terdapat pada framework COSO maka aktivitas pengendalian internal berbasiskan teknologi informasi dibagi menjadi tiga kelompok :Pengendalian tingkat entiti (Entity Level Control),
49
Pengendalian umum TI (IT General Control) dan Pengendalian aplikasi (Application Control). Tabel III.4 Pengelompokan Pengendalian Internal. Tipe Pengendalian Internal Pengendalian tingkat entiti (Entity Level Control) :
Pengendalian umum TI (IT General Control) : Pengendalian aplikasi (Application Control) :
Aktivitas Pengendalian Internal 1. Pengendalian akses. 2. Keamanan jaringan. 3. Rencana Kelangsungan Layanan Sistem Informasi Akuntansi. 4. Audit Sistem Informasi Akuntansi. 5. Pusat Data 6. Operasional Komputer. 7. Tatacara Pengembangan Sistem. 8. Pengendalian Aplikasi
Tabel III.5 Pengendalian internal pada Sistem Informasi Akuntansi. Sumber Risiko (IT Infrastructure) Aplikasi (application) Infrastruktur & Manusia
Informasi (information)
Aktivitas Pengendalian Internal 1. 2. 1. 2. 3. 1. 2. 3.
Tatacara Pengembangan Sistem. Pengendalian Aplikasi. Pusat Data Operasional Komputer Keamanan Jaringan Audit Sistem Informasi Akuntansi Pengendalian Akses dan Wewenang Pengendalian Aplikasi
50
Gambar III.1 Framework Aktivitas Pengendalian Internal. Aktivitas pengendalian internal pada sistem informasi akuntansi pada tesis ini terbagi menjadi : a. Pengendalian tingkat entity (Entity Level Control) – Pengendalian tingkat entity adalah pengendalian yang menyatu dan berpengaruh langsung di dalam organisasi. Pengendalian tingkat entity memberikan dasar dalam menjaga integritas dari sistem informasi akuntansi. Pengendalian tingkat entity diterapkan dalam mengatur/mengarahkan pengendalian internal Terhadap sumber daya TI
yang digunakan dalam mendukung sistem
informasi akuntansi. b. Pengendalian umum TI (IT General Control) – Pengendalian umum TI adalah struktur, kebijaksanaan dan prosedur yang berpengaruh langsung terhadap komponen – komponen utama sumber daya teknologi informasi. Tujuan dari pengendalian umum TI adalah memastikan integritas dan ketersediaan layanan teknologi informasi.
51
c. Pengendalian aplikasi (Application Control) – Pengendalian aplikasi adalah struktur, kebijaksanaan dan prosedur yang diterapkan di dalam sistem informasi akuntansi. Pengendalian ini secara khusus didesain untuk mencegah, mendeteksi dan memperbaiki kesalahan dan ketidakbenaran informasi yang diproses oleh sistem informasi akuntansi.
Gambar III.2Model dari Aktivitas Pengendalian internal pada Sistem Informasi Akuntansi Aktivitas Pengendalian internal tersebut akan bertujuan untuk mencapai : d. Kerahasiaan (Confidentiality) - aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. e. Integritas (Integrity) - aspek yang menjamin bahwa data tidak dirubah tanpa adanya izin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integritas ini. f. Ketersediaan (Availability)
- aspek yang menjamin bahwa data akan
tersedia saat dibutuhkan, memastikan pengguna yang berhak dapat
52
menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
III.4.2.2
Aktivitas Pengendalian Internal
Tabel III.6 Aktivitas Pengendalian Internal Jenis Pengendalian Internal Entity Level Control
IT General Control
Application Control
Aktivitas Pengendalian Internal 1. Pengendalian Akses dan Wewenang 2. Keamanan Jaringan 3. Kelangsungan Layanan Sistem Informasi Akuntansi 4. Audit Sistem Informasi Akuntansi 5. Pusat Data
6. Operasional Komputer 7. Tatacara Pengembanga n Sistem 8. Pengendalian Aplikasi
Tujuan Kerahasiaan (Confidentiality)
Integritas (Integrity)
Ketersediaan (Availability)
☻
☻ ☻
☻ ☻
= Primary Objective ☻ = Secondary Objective
53
Aktor : Peran Tanggung Jawab.
Pengendalian : Maturity Level. Table Perbaikan.
Tujuan Pengendalian (Control Objective) 5 Komponen Pengendalian Internal
Gambar III.3 Penjabaran dari Setiap Aktivitas Pengendalian Internal Framework pengendalian internal pada sistem informasi akuntansi berisikan 8 aktivitas pengendalian yang terbagi ke dalam 3 tipe pengendalian internal (Entity level control, IT General Control, Application Control). Isi dari setiap aktivitas pengendalian internal adalah : a. Tujuan pengendalian (Control Objective) – Tujuan pengendalian merupakan dasar dari pengendalian internal karena di dalam tujuan pengendalian terdapat tujuan (objective) dan petunjuk (guideline) penerapan pengendalian internal. Tujuan pengendalian dapat digunakan sebagai petunjuk dalam melakukan penilaian dan perbaikan pengendalian internal. Tujuan pengendalian merupakan dasar dari Maturity Level dan tabel rekomendasi. b. Maturity Level – Maturity level digunakan sebagai alat ukur dalam menilai pengendalian internal dan juga sebagai dasar dalam melakukan perbaikan. Terdapat enam tingkatan dalam maturity level (0 s/d
5),
ke enam
tingkatan tersebut mencerminkan pencapaian penerapan pengendalian internal. Level terendah adalah 0 yang berarti pengendalian internal belum diimplementasikan, sedangkan level tertinggi 5 menjelaskan bahwa pengendalian internal telah diterapkan dan senantiasa dilakukan perbaikan untuk meningkatkan kualitas dari penerapan pengendalian internal. c. Role & Responsibility – Peran dan tanggung jawab dalam menjalankan pengendalian internal, prinsip – prinsip akuntabilitas, pemisahan
54
kekuasaan check and balance adalah prinsip – prinsip yang harus dijunjung dalam menjalankan pengendalian internal. d. Tabel Rekomendasi – Tabel rekomendasi berisikan rekomendasi perbaikan berdasarkan enam tingkatan penerapan pengendalian internal sesuai dengan yang terdapat pada maturity level (poin b). Perbaikan yang direkomendasikan akan dikelompokkan sesuai dengan
komponen
pengendalian internal yang terdapat pada framework COSO. e. Kuesioner – Kuesioner diturunkan dari enam tingkatan pengendalian internal, kuesioner tersebut terbagi menjadi lima kelompok pertanyaan berdasarkan lima komponen pengendalian internal yang dikemukakan oleh COSO. Dari setiap kelompok pertanyaan akan ditanyakan dua pertanyaan di mana pertanyaan pertama menanyakan pencapaian penerapan pengendalian internal saat ini, sedangkan pertanyaan kedua akan menanyakan
tentang
harapan/keinginan
pencapaian
penerapan
pengendalian internal. Jawaban untuk setiap kelompok pertanyaan berisikan enam pilihan sesuai dengan tingkatan maturity level.
Dasar dari ketiga aktivitas pengendalian internal tersebut adalah 5 komponen pengendalian internal yang terdapat pada framework COSO : a. Lingkungan pengendalian (Control Environment), Lingkungan yang mendukung pengendalian
pegawai/karyawan internal.
menunjang
Lingkungan
keberhasilan
pengendalian
penerapan menjelaskan
kebijaksanaan dan prosedur yang dapat mendukung upaya – upaya mengurangi risiko penggunaan TI terhadap integritas dari laporan keuangan. b. Penilaian risiko (Risk Assessment), dalam pembuatan tata kelola TI. Manajemen terlebih dahulu melakukan penilaian dan memahami wilayah – wilayah berisiko yang
dapat mengganggu integritas dari laporan
keuangan. Penilaian tersebut harus dilakukan terhadap sistem sesuai dengan standar keamanan informasi yang diakui secara luas. Penilaian tersebut bertujuan untuk menunjang perbaikan terhadap sistem yang telah ada ataupun terhadap sistem baru yang akan diimplementasikan.
55
c. Aktivitas Pengendalian (Control Activities). Desain, implementasi dan jaminan kualitas (quality assurance) dari aktivitas pengendalian yang terdapat pada tata kelola TI harus dibuat semandiri mungkin. Tata kelola TI harus berisikan aktivitas – aktivitas pengendalian yang berorientasi untuk mengurangi risiko dari penggunaan TI yang dapat mengganggu integritas dari laporan keuangan. d. Informasi dan Komunikasi (Information and Communication). Tanpa adanya informasi
yang akurat, manajemen akan sulit menjalankan
aktivitas pengendalian internal. Tata kelola TI harus berisikan mekanisme pengambilan, pemrosesan dan pendistribusian informasi yang menunjang keberhasilan penerapan pengendalian internal. Tata kelola TI harus dapat menunjukkan peran dari departemen TI terhadap keberhasilan penyebaran informasi yang berkaitan dengan pengendalian internal. e. Pengawasan (Monitoring), Tata kelola TI harus berisikan rencana dan jadwal audit TI terhadap sumber daya teknologi informasi yang digunakan untuk mendukung layanan sistem informasi akuntansi, manajemen harus paham dan mengerti tindak lanjut yang perlu diambil sesuai dengan hasil audit yang telah dilakukan.
III.5
Analisa Kebutuhan Aktivitas Pengendalian Internal
III.5.1 Analisa Kebutuhan Pengendalian Akses dan Wewenang Pada lingkungan multi pengguna (multi user) harus terdapat pengendalian atau kontrol yang membatasi akses dan wewenang setiap pengguna atau pengelolanya. Risiko bawaan dari lingkungan multi pengguna dapat terjadi ketika seorang pengguna mengotorisasi atau merubah suatu transaksi yang bukan merupakan wewenangannya, apabila hal ini terjadi (penyalahgunaan akses dan wewenang) maka mekanisme pengawasan dan pengecekan dalam suatu transaksi atau proses bisnis dapat dengan mudah dilewati. Tabel III.7 Risiko dari lingkungan multi pengguna (Multi User) Risiko dari Akses dan Wewenang
Jenis Risiko Inherent Risk
56
Contoh Risiko 1. Akses yang tidak sah pada sistem.
2. Akses Langsung pada perangkat keras (hardware). 3. Penyalahgunaan hak akses pada suatu informasi tertentu. 4. Pemalsuan transaksi (transaksi fiktif). 1. Pemberian hak akses dari pemilik yang sah ke pihak ketiga. 2. Pemalsuan transaksi dengan cara permainan antara yang melakukan dan yang mengotorisasi. 3. Terdapat permainan antara petugas penjaga dan pengawas. 4. Penyalahgunaan informasi (menjual, memberikan) yang dilakukan oleh yang memiliki hak akses sah.
Control Risk
Pengendalian akses dan wewenang harus dapat memberikan keyakinan yang memadai bahwa setiap pengguna atau pengelola sistem informasi akuntansi tidak memiliki akses dan wewenang penuh terhadap suatu transaksi atau proses bisnis. Pengendalian dapat dilakukan dengan menerapkan pengawasan terhadap fungsi – fungsi seperti di bawah ini pada suatu transaksi atau proses bisnis.
Gambar III.4 Pemisahan Kekuasaan (segregations of duties) (Perelsona dkk, 2001). Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen
57
pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian – Terdapat kebijakan dan standar yang mengatur mekanisme pemberian dan pencabutan akses dan wewenang pada sistem informasi akuntansi. b. Penilaian Risiko – Pemberian akses dan wewenang dilakukan berdasarkan analisa risiko untuk mencegah terjadinya penyalahgunaan wewenang atau untuk menghindari terjadinya konflik kepentingan. c. Aktivitas Pengendalian – Kebijakan atau standar pengendalian akses dan wewenang haruslah mengatur bagaimana prosedur yang harus dilalui, bagian yang melakukan dan pejabat yang mengotorisasi setiap pemberian dan pencabutan akses dan wewenang. d. Informasi dan Komunikasi – terdapat jalur komunikasi antara bagian TI, keuangan dan SDM dalam mengatur pemberian akses dan wewenang pada sistem informasi akuntansi. e. Pengawasan – Penggunaan akses dan wewenang oleh pengguna sistem informasi akuntansi senantiasa tercatat dan diawasi untuk menghindari terjadinya penyalahgunaan akses dan wewenang.
58
Tabel III.8 Maturity Level dari Pengendalian Akses Control Environment
Risk Assessment
Control Activities
Level 1
Organisasi sudah mulai menyadari pentingnya pengendalian akses untuk menghindari penyalahgunaan akses dan wewenang pada sistem informasi akuntansi.
Penilaian risiko terkait dengan risiko dari penyalahgunaan akses dan wewenang pada sistem informasi akuntansi belum dilakukan secara formal.
Karena tidak didasarkan atas analisa risiko maka penerapan pengendalian akses pada sistem informasi akuntansi masih terbatas berdasarkan inisiatif analis\pengembang sistem informasi akuntansi.
Level 2
Organisasi mulai memahami pentingnya pengendalian akses. standar dan prosedur pengendalian akses telah dibuat meskipun belum mencakup seluruh tujuan pengendalian (control objective) pengendalian akses.
Pada tahap pengembangan sistem informasi akuntansi, pengendalian akses telah menjadi salah satu kebutuhan (requirements) selain kebutuhan fungsionalitas dari sistem informasi akuntansi.
Level 3
Telah ada bagian\individu yang bertanggung jawab mengatur pengendalian akses dan wewenang pada sistem informasi akuntansi beserta sumber daya TI yang mendukungnya.
Penilaian risiko secara formal terhadap penyalah gunakan akses dan wewenang mulai dilakukan. Meskipun demikian organisasi masih menganggap bahwa penyalahgunaan akses dan wewenang pada sistem informasi akuntansi semata – mata merupakan masalah pada domain TI semata. Organisasi telah sadar akan besarnya dampak risiko yang ditimbulkan dari kesalahan akses pada sistem informasi akuntansi, penilaian risiko telah dilakukan untuk
Pemberian akses dan wewenang pada sistem informasi akuntansi dilakukan berdasarkan prinsip – prinsip akuntansi dengan tujuan untuk menghindari penyalahgunaan wewenang.
59
Information & Communication Informasi yang berhubungan dengan pengendalian akses dan wewenang belum dapat dikomunikasikan dengan baik karena pelaksanaan pengendalian akses dan wewenang masih bersifat intuitif. Informasi yang berhubungan dengan pengendalian akses telah didokumentasikan meskipun belum mencakup seluruh tujuan pengendalian (control objective) pengendalian akses.
Standar dan prosedur pengendalian akses dan wewenang telah terdefinisi dengan baik akan tetapi ketersediaan Informasi untuk melakukan pengawasan
Monitoring Pengawasan terhadap penggunaan password, akses dan wewenang serta pengendalian fisik sistem informasi akuntansi mulai dilakukan meskipun pelaksanaannya belum sepenuhnya mendapatkan dukungan dari organisasi. Pengawasan sudah mulai dilakukan secara terstruktur sesuai dengan standar/prosedur yang ada.
Telah dilakukan mekanisme pengawasan pengendalian akses pada sistem informasi akuntansi, Pada saat ini mekanisme pengawasan masih dilakukan dengan semi-otomatis.
Level 4
Level 5
Koordinasi antara bagian IT, keuangan dan SDM dalam mengatur pengendalian akses pada sistem informasi akuntansi dan sumber daya TI yang mendukungnya telah mulai dibangun meskipun pelaksanaannya masih tumpang tindih. Koordinasi departemen TI , keuangan dan SDM dalam pemberian dan pengawasan akses dan wewenang yang ada pada sistem informasi akuntansi beserta sumber daya TI yang mendukungnya telah terjalin dengan baik di mana peran dan tanggung jawab tiap – tiap departemen telah terdefinisi dengan baik.
melihat dampak dari kesalahan akses pada integritas transaksi yang ada pada sistem informasi akuntansi Organisasi telah memiliki ukuran – ukuran tertentu dalam melakukan penilaian risiko, ukuran – ukuran tersebut berisikan pengukuran risiko kesalahan akses dilihat dari sudut pandang TI dan Akuntansi. Risiko dari penyalah gunakan akses dan wewenang pada sistem informasi akuntansi telah dikategorikan sebagai risiko yang dapat mengganggu integritas dari sistem informasi akuntansi.
masih belum tersedia dengan cepat dan terstruktur.
Setiap permohonan pengguna baru atau penambahan/pengurangan wewenang pada sistem informasi akuntansi dilakukan secara tertulis dan diotorisasi pelaksanaannya oleh yang berwenang.
Telah dilakukan pencatatan perilaku akses (profile) yang dilakukan untuk mendukung proses pengawasan dan penyidikan..
Hasil dari pencatatan tersebut kemudian dianalisa secara otomatis atau manual untuk mengetahui\mencegah apabila terjadi penyalahgunaan akses atau wewenang.
Proses pengendalian akses dan wewenang senantiasa dilakukan perbaikan menyesuaikan dengan perubahan kondisi internal dan eksternal (regulasi, standar akuntansi).
Informasi yang dibutuhkan untuk melakukan pengawasan telah terdefinisi dengan baik dan didistribusikan dengan cepat kepada yang membutuhkannya.
Pengawasan akses dan wewenang dilakukan bersama – sama antara departemen TI , departemen keuangan dan SDM. Proses pengawasan yang bersifat otomatis diimbangi dengan pengawasan manual (audit) yang telah dilakukan terkoordinasi dengan proses audit organisasi secara menyeluruh.
60
Pada sistem informasi akuntansi terdapat dua lingkungan pengendalian akses dan wewenang yang harus dikendalikan, kedua pengendalian akses dan wewenang tersebut adalah pengendalian akses dan wewenang yang bersifat logika dan pengendalian akses dan wewenang yang bersifat fisik. Pengendalian logika pada sistem informasi akuntansi bertujuan untuk membatasi akses dan wewenang pengguna sistem informasi akuntansi dalam menjalankan pekerjaan\tugas sehari – harinya. Sedangkan pengendalian fisik lebih ditujukan kepada pengelola layanan sistem informasi akuntansi agar dalam pengelolaan layanan sistem informasi akuntansi tidak merusak integritas data dan layanan yang terdapat pada sistem informasi akuntansi. Tabel III.9 Tujuan Pengendalian Tatakelola Peran dan Tanggung Jawab Komponen Penilaian Risiko
a. b.
Lingkungan Pengendalian
a. b.
Aktivitas Pengendalian internal
a. b.
Informasi & Komunikasi
a.
Pengawasan
a.
Tatakelola Peran dan Tanggung Jawab Risiko yang terkait langsung dengan peran dan wewenang pada transaksi – transaksi penting. Penilaian risiko terhadap wewenang dan peran yang telah diberikan. Terdapat prosedur Pemberian & Pencabutan akses dan wewenang. Ada bagian\individu yang mengawasi dan mengotorisasi setiap peran & tanggung jawab yang ada pada sistem informasi akuntansi dan sumber daya TI yang mendukungnya. Setiap ada permohonan terhadap akses dan wewenang dilakukan secara tertulis dan diotorisasi. Dilakukan pencatatan untuk setiap kegiatan dari pengguna sistem informasi. Koordinasi dengan bagian SDM apabila ada pegawai yang baru masuk, keluar, pindah divisi atau mendapatkan promosi. Dilakukan pengawasan terhadap setiap transaksi pada sistem informasi akuntansi terutama yang berhubungan dengan transaksi dan rekening penting.
Tabel III.10 Tujuan Pengendalian Tatakeloa Password Komponen Penilaian Risiko
Lingkungan Pengendalian
Pengendalian Tatakelola Password a. Risiko yang terkait langsung dengan akses terhadap transaksi yang berhubungan langsung dengan rekening penting. a. Memiliki standar dari penggunaan password.
61
Aktivitas Pengendalian internal
Informasi & Komunikasi
Pengawasan
a. Mengatur penggunaan password seperti panjang minimal, kombinasi, dan sebagainya. b. Secara otomatis sistem menolak penggunaan password yang tidak sesuai dengan standar. a. Senantiasa diberikan penyuluhan terkait dengan akibat yang mungkin terjadi apabila menggunakan password yang tidak aman. b. Pengguna diinformasikan apabila password yang digunakan tidak diganti untuk jangka waktu tertentu. a. Pengawasan penggunaan password dilakukan secara otomatis untuk menghindari penyalahgunaan.
Tabel III.11 Tujuan Pengendalian Keamanan Fisik Komponen Penilaian Risiko
Lingkungan Pengendalian
Aktivitas Pengendalian internal
Informasi & Komunikasi
Pengawasan
Keamanan Fisik a. Identifikasi terhadap sumber daya TI yang rawan dan memiliki hubungan dengan rekening dan transaksi penting. b. Menilai kondisi lingkungan sekitar dari sumber daya teknologi informasi yang digunakan oleh sistem informasi akuntansi. a. Terdapat prosedur yang menjelaskan siapa saja yang dapat mengakses fisik dari sistem informasi akuntansi. b. Standar keamanan fisik yang digunakan dalam menjaga fisik dari sistem informasi akuntansi. a. Dilakukan pencatatan setiap individu yang mengakses perangkat keras sistem informasi akuntansi, b. Terdapat perlindungan dari gangguan yang disebabkan oleh lingkungan seperti kebakaran, banjir dan sebagainya. a. Setiap kejadian yang mangganggu keamanan fisik dicatat dan dilaporkan. b. Dilakukan koordinasi dengan bagian keamanan gedung untuk bersama – sama menjalankan keamanan fisik. a. Dilakukan audit untuk menilai pelaksanaan keamanan fisik. b. Informasi tentang status keamanan fisik tersedia secara realtime.
62
III.5.2 Analisa Kebutuhan Pengendalian Keamanan Jaringan Sistem informasi akuntansi merupakan sistem multi pengguna (multi user) yang menggunakan media komunikasi elektronik. Penggunaan internet dan protokol TCP/IP memungkinkan pengguna saling berinteraksi sesuai dengan peran dan tanggung jawab yang dimilikinya. Terlepas dari segala kemudahan yang ditawarkannya, penggunaan jaringan harus mendapatkan perhatian lebih karena jaringan merupakan pintu utama dan juga pertahanan pertama sistem informasi akuntansi. Risiko bawaan dari penggunaan jaringan seperti pencurian\manipulasi data, usaha - usaha sabotase terhadap sistem dan ancaman - ancaman lainnya harus mendapatkan perhatian karena dapat mempengaruhi integritas dari informasi yang terdapat pada sistem informasi akuntansi. Tabel III.12 Risiko dari Penggunaan Jaringan Risiko dari Keamanan Jaringan
Jenis Risiko Inherent Risk
1. 2. 3.
Control Risk
1.
2. 3.
Contoh Risiko Sabotase Terhadap Jaringan. Akses yang tidak sah melalui akses jarak jauh. Pencurian atau manipulasi data melalui jaringan Sabotase terhadap jaringan masih dapat dilakukan karena administrator lalai melakukan perbaikan (patch). Pemberian hak akses yang sah kepada pihak ketiga. Pencurian atau manipulasi yang dilakukan oleh administrator jaringan.
Pengendalian keamanan jaringan harus dapat memberikan keyakinan yang memadai bahwa penggunaan jaringan tidak mengganggu integritas dan ketersediaan layanan sistem informasi akuntansi. Terdapat berbagai macam cara untuk menerapkan pengendalian keamanan jaringan, beberapa cara yang
idalam
adalah dengan menerapkan : mekanisme otentifikasi, firewall, enkripsi dan sebagainya.
63
Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian keamanan jaringan dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian – Terdapat dukungan dari pihak manajemen untuk melindungi integritas dan kelangsungan layanan sistem informasi akuntansi dari gangguan – gangguan yang berasal dari luar organisasi, b. Penilaian Risiko – Penilaian risiko tidak dilakukan hanya terfokus pada infrastruktur jaringan sistem informasi akuntansi, penilaian risiko dilakukan juga terhadap aspek non teknis seperti kesiapan\pemahaman penggunan sistem informasi akuntansi terkait dengan keamanan informasi. c. Aktivitas Pengendalian – Terdapat mekanisme otentifikasi yang handal dalam penggunaan akses jarak jauh sistem informasi akuntansi. Komunikasi elektronik dari antara sistem dan pengguna dilakukan secara terkunci (encryption) sesuai dengan standar keamanan elektronik yang dimiliki organisasi. d. Informasi dan Komunikasi – Pengembang, departemen TI dan departemen keuangan saling berkomunikasi menentukan mekanisme pengendalian komunikasi dan akses jarak jauh. Pengguna sistem informasi akuntansi senantiasa diberikan pelatihan\informasi terkait dengan praktek – praktek keamanan akses jarak jauh. e. Pengawasan – Dilakukan pengawasan dan pencatatan terhadap usaha – usaha sabotase sistem informasi akuntansi yang berasal dari jaringan. Pengawasan sebaiknya dilakukan secara otomatis seperti dengan menggunakan intrusion detection system (IDS).
64
Tabel III.13 Maturity Level Keamanan Jaringan Lv
Control Objective
Risk Assessment
Control Activities
Information and Communication
Monitoring
1
Mulai terbentuknya pemahaman akan pentingnya penerapan pengendalian keamanan jaringan pada organisasi.
Penilaian risiko dari keamanan jaringan telah mulai dilakukan meskipun pelaksanaannya tidak menyeluruh dan berkesinambungan.
Pelaksanaan pengendalian keamanan jaringan telah diterapkan tetapi masih bersifat khusus.
Respons terhadap gangguan keamanan jaringan masih bersifat reaktif.
2
Telah ada yang bertanggung jawab dan mengatur pelaksanaan pengendalian keamanan jaringan.
Pelaporan masih bersifat asal – asalan, tidak lengkap dan masih terfokus kepada masalah teknis semata.
3
Organisasi telah memiliki standar dan prosedur yang mengatur keamanan komunikasi dan mekanisme akses jarak jauh.
4
Telah dibentuknya tim keamanan jaringan yang berisikan gabungan antara departemen TI dan departemen Keuangan. Tugas dari tim tersebut adalah mengawasi dan merancang kebijaksanaan keamanan jaringan. Manajemen telah dapat memastikan bahwa kegagalan keamanan jaringan tidak akan mengganggu operasional dari sistem informasi akuntansi.
Telah dilakukan penilaian risiko terhadap keamanan jaringan pada sistem informasi akuntansi meskipun pelaksanaannya masih terfokus hanya terhadap kondisi infrastruktur jaringan . Manajemen telah sadar akan risiko yang ditimbulkan dari penggunaan media komunikasi elektronik, penilaian risiko telah dilakukan dengan menggabungkan antara aspek teknis (infrastruktur jaringan) dan non teknis (nilai data). Penilaian risiko telah dilakukan dengan terencana mencakup hampir sebagian besar infrastruktur jaringan yang ada , penilaian risiko secara rutin dilakukan dan dilakukan berdasarkan standar/framework tertentu.
Komunikasi terkait dengan keamanan jaringan mulai terbentuk tetapi tidak ada tindak lanjut dari komunikasi tersebut karena tidak jelasnya mekanisme pengendalian keamanan jaringan. Dokumentasi dari pengendalian keamanan jaringan masih sulit untuk ditemukan.
Tes dan penilaian risiko yang bersifat global telah dilakukan dimana hasil dari tes tersebut dijadikan masukan untuk melakukan perbaikan pengendalian keamanan jaringan.
5
Pengawasan hanya berdasarkan laporan yang ada tidak dilakukan secara real time.
Standar dan prosedur pengendalian keamanan jaringan telah mulai diimplementasikan tetapi belum dilakukan pengukuran.
Standar dan prosedur keamanan jaringan telah didokumentasikan berdasarkan kebutuhan pengendalian internal pada sistem informasi akuntansi.
Pengawasan terhadap kejadian (incident) keamanan jaringan telah mulai dilakukan secara real time.
Telah dibuat Target dan matris keamanan jaringan akan tetapi proses pelaksanaan dan pengukuran belum dilakukan dengan konsisten.
Manajemen senantiasa mengomunikasikan program – program keamanan jaringan baik dengan cara pembuatan pamflet/buletin atau dengan melakukan pelatihan.
Point – point dari kebijaksanaan keamanan jaringan telah dilakukan sepenuhnya dan secara berkala dilakukan pembandingan (benchmark) dengan pihak luar.
Pelatihan formal tentang pengendalian keamanan jaringan telah senantiasa dilakukan, informasi yang berhubungan dengan kondisi keamanan jaringan telah tersedia secara real time.
Pengawasan terhadap keamanan jaringan telah dilakukan menggunakan ukuran – ukuran tertentu yang dapat menggambarkan kondisi keadaan keamanan jaringan saat ini. Target dan metrik telah dilakukan penilaian dan pengukuran dengan konsisten.
65
Sistem informasi akuntansi harus dilindungi dari ancaman – ancaman yang dilakukan melalui media jaringan (network). Salah satu cara yang dapat dilakukan adalah dengan membatasi akses langsung terhadap sistem. Untuk menghindari pencurian dan manipulasi data yang ditransmisikan melalui jaringan, data yang ditransmisikan wajib dilakukan encryption.
Sebisa mungkin sistem informasi
akuntansi tidak dapat diakses oleh jaringan publik, apabila hal ini tidak dapat dihindarkan maka penggunaan virtual private network harus dilakukan sesuai dengan kebijakan keamanan komunikasi dan kebijakan akses jarak jauh. Tabel III.14 Tujuan Pengendalian Keamanan Komunikasi Komponen Penilaian Risiko
a. b.
Lingkungan Pengendalian
a.
b.
Aktivitas Pengendalian internal
a. b.
Informasi & Komunikasi
a.
Pengawasan
a.
Pengendalian Keamanan Komunikasi Terdapat standar yang mengatur pelaksanaan keamanan komunikasi melalui jaringan elektronik. Terdapat bagian\individu yang bertugas mengawasi dan menjalankan pengendalian keamanan komunikasi. Penerapan keamanan komunikasi didasari atas hasil analisa risiko penggunaan media komunikasi elektronik. Aktivitas pengendalian keamanan komunikasi dilakukan berdasarkan analisa risiko terhadap informasi – informasi yang melalui media elektronik. Setiap data yang melalui media komunikasi elektronik telah dienkripsi. Keamanan komunikasi pada sistem informasi akuntansi telah dimasukkan ke dalam salah satu kebutuhan (requerment) dari pembangunan arsitektur keamanan jaringan. Setiap kejadian yang berhubungan dengan keamanan komunikasi elektronik tercatat dan dikomunikasikan kepada manajemen. Pengawasan terhadap pelaksanaan keamanan komunikasi dilakukan secara manual melalui audit dan juga dilakukan secara otomatis melalui penggunaan perkakas elektronik.
Tabel III.15 Tujuan Pengendalian Akses Jarak Jauh Komponen Penilaian Risiko
Pengendalian Akses jarak jauh a. Telah tersedia prosedur dan standar yang mengatur akses jarak jauh pada sistem informasi akuntansi. b. Telah tersedia standar\tatacara penggunaan sistem
66
Lingkungan Pengendalian
a.
Aktivitas Pengendalian internal
a.
Informasi & Komunikasi
a.
Pengawasan
a.
informasi akuntansi yang dilakukan melalui akses jarak jauh. Pelaksanaan dari layanan akses jarak jauh pada sistem informasi akuntansi dilakukan berdasarkan penilaian risiko yang dapat mengganggu integritas dari sistem informasi akuntansi. Terdapat mekanisme otentifikasi dan otorisasi khusus untuk menangani penggunaan akses jarak jauh pada sistem informasi akuntansi. Setiap usaha sabotase\akases tidak sah pada sistem informasi akuntansi yang dilakukan melalui akses jarak jauh dilakukan dokumentasi dan dikomunikasikan agar dapat dicari solusinya. Setiap akses jarak jauh dicatat dan dianalisa kewajarannya.
III.5.3 Analisa Kebutuhan Pengendalian Kelangsungan layanan Sistem Informasi Akuntansi Tidak ada tempat di dunia ini yang bebas dari risiko\bencana, pengelolaan sistem informasi akuntansi harus memperhitungkan kemungkinan terjadinya bencana, baik yang disebabkan oleh alam ataupun manusia. Pasca terjadinya bencana pengelola sistem informasi akuntansi harus dapat mengembalikan kondisi dari informasi atau data yang terdapat pada sistem informasi akuntansi sedekat mungkin dengan informasi atau data sebelum terjadinya bencana.
Pada saat
perbaikan harus diperhatikan integritas dari informasi atau data seperti kebenaran, kelengkapan, waktu dan yang melaksanakannya. Proses perbaikan pasca terjadinya bencana membawa beberapa risiko bawaan seperti ketidak siapan sarana dan prasarana cadangan, rusaknya media penyimpanan cadangan (backup), risiko – risiko bawaan ini harus dikelola dengan baik untuk mencegah hilangnya integritas dari data atau informasi pasca terjadinya bencana. Pengendalian kelangsungan layanan sistem informasi akuntansi harus dapat memberikan keyakinan yang memadai bahwa pasca terjadinya bencana data atau informasi yang terdapat pada sistem informasi dapat diperbaiki mendekati kondisi pasca terjadinya bencana, serta kehilangan data dapat teridentifikasi dan diperbaiki dengan sebaik – baiknya. Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan
67
mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian – Kelangsungan layanan sistem informasi akuntansi telah dianggap sebagai salah satu risiko yang dapat mengganggu integritas dari informasi keuangan. b. Penilaian Risiko – Dilakukan penilaian risiko dari kelangsungan layanan sistem informasi akuntansi melalui penilaian akibatnya terhadap bisnis (business impact assessment) dan penilaian kelemahan (vulnerability assessment). c. Aktivitas Pengendalian – Organisasi memiliki rencana kelangsungan layanan sistem informasi akuntansi beserta rencana perbaikan pasca bencana (disaster recovery plan). d. Informasi dan Komunikasi – Telah terdefinisi jalur komunikasi pasca terjadinya bencana e. Pengawasan – Dilakukan penilaian atau audit terhadap kesiapan perangkat dan petugas dalam menghadapi kejadian – kejadian yang dapat mengganggu layanan sistem informasi akuntansi.
Patuh terhadap SOX bagian 404 mengharuskan organisasi untuk dapat menjamin data atau informasi yang terdapat pada sistem informasi akuntansi tetap benar meskipun terjadi bencana atau musibah. Dalam prosesnya organisasi perlu untuk mengidentifikasi dan mendokumentasikan seluruh transaksi dan proses bisnis yang ada pada sistem informasi akuntansi. Dalam prakteknya rencana kelangsungan layanan sistem informasi akuntansi dibangun berdasarkan : a. Penilaian risiko (risk assessments) – identifikasi dan evaluasi ancaman dan kelemahan yang dapat mengakibatkan terhambat\terganggu layanan sistem informasi akuntansi. b. Analisa dampak bisnis (Business Impact Analysis) – mengevaluasi dan memperkirakan dampak risiko terhadap kelangsungan bisnis. c.
Strategy and Plan Development: Synthesize Risk Assessment dan Business Impact Analysis.
68
Tabel III.16 Maturity Level Kelangsungan Layanan Sistem Informasi Lv 1
2
3
Control Environment
Risk Assessment
Control Activities
Information & Communication
Monitoring
Manajemen mulai membicarakan dan membahas bentuk dari kelangsungan layanan sistem informasi akuntansi. Manajemen telah sadar akan pentingnya kelangsungan layanan sistem informasi akuntansi. Telah mulai dibuat standar atau prosedur untuk menunjang kelangsungan layanan sistem informasi akuntansi. Telah ada yang bertanggung jawab dan memelihara kelangsungan layanan sistem informasi akuntansi.
Penilaian risiko terhadap kelangsungan layanan sistem informasi akuntansi telah dilakukan tetapi masih berasal dari inisiatif perorangan. Secara berkala telah dilakukan pengujian dan pelaporan terhadap kesiapan keberlangsungan layanan sistem informasi akuntansi.
Tanggung jawab kelangsungan layanan masih diterapkan secara informal dan wewenang yang dimiliki masih terbatas.
Komunikasi yang terkait dengan kelangsungan layanan sistem informasi akuntansi mulai terbentuk tetapi tidak jelas tindak lanjut dari komunikasi tersebut. Dokumen Kelangsungan layanan belum tersedia seluruhnya, meskipun telah ada komitmen untuk memberikan layanan di saat darurat.
Pengawasan akan kelangsungan layanan telah dilakukan tetapi masih terbatas pada cara – cara manual. Pelaporan masih bersifat sporadis, tidak menyeluruh dan belum ada analisa dampak terganggunya kelangsungan sistem informasi terhadap bisnis.
Pemeliharaan rencana kelangsungan layanan sistem informasi akuntansi dilakukan berdasarkan hasil tes dan penilaian risiko. Rencana kelangsungan layanan sistem informasi akuntansi telah dibuat dan dirawat berdasarkan analisa akibat terhadap bisnis (business impact analysis).
Telah tersedia peralatan – peralatan untuk menghadapi keadaan darurat sesuai dengan apa yang terdapat pada rencana kelangsungan bisnis Kejadian yang menyebabkan terhentinya layanan telah diklasifikasikan dan penyebabnya telah dipelajari agar tidak terulang kembali, organisasi telah memiliki lokasi alternatif untuk menjalankan sistem informasi akuntansi.
Telah ada rencana Kelangsungan layanan sistem informasi akuntansi yang dibuat berdasarkan kegentingan dari layanan akuntansi dan akibat terhadap bisnis secara menyeluruh. Pelatihan formal telah dilakukan untuk mendukung keberlangsungan layanan sistem informasi akuntansi.
Tujuan dan metrik untuk kelangsungan layanan telah dibuat akan tetapi pengukurannya dilakukan masih belum konsisten. Pengukuran Goal dan metrik untuk keberlangsungan layanan sistem informasi akuntansi telah dilakukan secara konsisten dan sistematik.
Setiap proses perubahan pada sistem informasi akuntansi dilakukan dengan menyertakan analisa risiko dari perubahan tersebut, analisa risiko tersebut merupakan dasar dari perubahan rencana layanan kelangsungan sistem informasi akuntansi.
Kelangsungan layanan sistem informasi akuntansi telah tereintegrasi dengan rencana kelangsungan layanan bisnis dan secara rutin dilakukan perawatan.
Rantai komunikasi pasca terjadinya bencana telah terbentuk, dokumen SOP pasca terjadinya bencana telah terdistribusi kepada yang berkepentingan. Tes dan pelatihan telah dilakukan secara rutin dimana masukan dari kedua proses tersebut menjadi dasar untuk melakukan perbaikan.
Pengawasan terhadap pengendalian kelangsungan layanan sistem informasi akuntansi telah dilakukan menyatu dengan pengawasan kelangsungan layanan bisnis organisasi.
4
Telah terjadi koordinasi antara departemen TI dan departemen Keuangan untuk menjalankan dan memelihara rencana kelangsungan layanan sistem informasi akuntansi.
5
Kesadaran akan pentingnya kelangsungan layanan telah terbentuk, seluruh komponen organisasi telah mengerti akan peran dan tanggung jawabnya dalam melaksanakan rencana kelangsungan bisnis.
Telah dibuat Rencana kelangsungan layanan sistem informasi akuntansi, akan tatapi pelaksanaannya masih tergantung pada individu – individu tertentu.
69
Tabel III.17 Tujuan Pengendalian Kelangsungan Layanan dan Penilaian Risiko Komponen Penilaian Risiko
Lingkungan Pengendalian Aktivitas Pengendalian internal
Informasi & Komunikasi
Pengawasan
Pengendalian Kelangsungan Layanan dan Penilaian Risiko a. Penerapan pengendalian keberlangsungan layanan sistem informasi akuntansi dilakukan berdasarkan hasil dari analisa risiko terhadap komponen – komponen sistem informasi akuntansi. a. Telah ada kebijaksanaan atau prosedur yang mengatur jalanya layanan sistem informasi akuntansi. a. Telah ada rencana kelangsungan layanan sistem informasi akuntansi di mana minimal berisikan panduan, peran dan tanggung jawab, prosedur serta mekanisme komunikasi. b. Dilakukan latihan secara berkala untuk melatih kesiapan apabila sewaktu – waktu terjadi bencana terjadinya bencana. c. Organisasi telah memiliki lokasi alternatif (manusia & perangkat keras) untuk menjalankan layanan sistem informasi akuntansi. a. Secara terjadwal dilakukan pelaporan terhadap kondisi dan kesiapan dari peralatan darurat b. Setiap personel yang berperan dalam rencana kelangsungan bisnis telah memiliki standar operasional (Soft copy & hard copy) sesuai dengan perannya. a. Dilakukan pengecekan secara terjadwal untuk memastikan kondisi dari fasilitas cadangan agar sewaktu – waktu apabila terjadi keadaan darurat peralatan tersebut dapat berfungsi dengan semestinya.
Tabel III.18 Tujuan Pengendalian Pengujian, Pemeliharaan dan Penilaian ulang Rencana Kelangsungan Layanan Komponen Penilaian Risiko
Lingkungan Pengendalian
Aktivitas
Pengendalian Pengujian, pemeliharaan dan Penilaian ulang Rencana Kelangsungan Layanan a. Rencana kelangsungan layanan sistem informasi akuntansi telah dibuat dan dirawat berdasarkan analisa akibat terhadap bisnis (business impact analysis). a. Organisasi menyadari bahwa rencana kelangsungan bisnis bukanlah merupakan suatu rencana yang bersifat statis sehingga harus senantiasa diperbaharui. a. Setiap perubahan pada sistem informasi akuntansi
70
Pengendalian internal
Informasi & Komunikasi
Pengawasan
dilakukan dengan berkoordinasi untuk menjamin kelangsungan layanan sistem informasi akuntansi. b. Rencana kelangsungan bisnis senantiasa diperbaharui sejalan dengan hasil dari analisa risiko serta ketersediaan teknologi yang ada. a. Setiap perubahan dari rencana kelangsungan layanan sistem informasi akuntansi dikomunikasikan kepada pengguna sistem informasi akuntansi, sosialisasi dilakukan untuk memberitahukan perubahan yang terjadi. a. Dilakukan audit untuk menguji rencana kelangsungan layanan sistem informasi akuntansi.
III.5.4 Analisa Kebutuhan Pengendalian Audit Sistem Informasi Akuntansi SOX mewajibkan manajemen\direksi untuk memberikan keyakinan yang memadai akan penempatan dan efektivitas dari pengendalian internal. Untuk organisasi yang menggunakan sistem informasi akuntansi, sebagian besar pengendalian internal yang diperlukan untuk menjamin penerapan dan efektivitas dari pengendalian internal berada pada layanan teknologi informasi. Oleh karena itu risiko kegagalan dari pengendalian internal pada sistem informasi akuntansi dapat sangat berpengaruh terhadap kebenaran, integritas dan ketersediaan data atau informasi transaksi keuangan. Audit sistem informasi akuntansi adalah suatu proses pemeriksaan terhadap keberadaan dan kinerja dari pengendalian internal. Proses dari audit sistem informasi akuntansi dilakukan dengan cara mengumpulkan data dan mengevaluasi bukti – bukti dari pelaksanaan tatakelola, praktek dan operasional dari pengendalian internal. Kualitas hasil audit sangat tergantung pada bukti – bukti urutan kejadian (chronological sequence) atau lebih dikenal juga dengan Audit Log. Audit Log mencatat siapa saja yang mengakses sistem informasi akuntansi dan apa saja yang dilakukannya dalam jangka waktu tertentu. Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO :
71
a. Lingkungan Pengendalian – Audit carter telah berisikan peran, wewenang dalam melakukan audit sistem informasi akuntansi, audit komite telah dibentuk untuk mengawasi jalannya proses audit sistem informasi akuntansi. b. Penilaian Risiko – Dengan dimasukkannya audit sistem informasi akuntansi dalam audit carter berarti bahwa organisasi telah menempatkan risiko sistem informasi akuntansi pada tingkat organisasi. c. Aktivitas Pengendalian – Proses audit dilakukan untuk menilai keberadaan, substansi dan kepatuhan dari pengendalian internal pada sistem informasi akuntansi d. Informasi dan Komunikasi – Terdapat forum yang menjembatani komunikasi dan pertukaran informasi antara Pemilik proses dan auditor. Senantiasa dilakukan penyuluhan\pelatihan untuk menanamkan budaya-budaya yang mendukung penerapan pengendalian internal. e. Pengawasan – Audit komite bertugas untuk menilai kewajaran dan akuntabilitas dari proses dan hasil audit.
72
Tabel III.19 Maturity Level Audit Sistem Informasi Akuntansi Lv 1
2
Control Environment
Risk Assessment
Control Activities
Information & Communication
Monitoring
Organisasi mulai menyadari kebutuhan akan audit sistem informasi akuntansi, mulai dikumpulkannya sumber daya yang akan digunakan untuk melaksanakan audit. Organisasi telah memiliki bagian\individu yang bertugas untuk merencanakan dan menjalankan audit sistem informasi akuntansi.
Pelaksanaan Audit tidak didasari atas hasil analisa risiko, pelaksanaan audit masih dilakukan secara informal.
Proses audit terhadap sistem informasi akuntansi telah dilakukan tetapi masih merupakan inisiatif dari perorangan (bukan tuntutan organisasi). Proses audit telah dilakukan dengan terencana berdasarkan risiko – risiko yang mungkin timbul dari penggunaan teknologi informasi.
Komunikasi dalam melakukan audit belum berjalan dengan baik meskipun telah ada kesadaran akan pentingnya audit sistem informasi akuntansi.
Belum adanya format standar pelaporan audit teknologi informasi, hal ini dikarenakan belum jelasnya standar dan prosedur audit sistem informasi akuntansi. Telah dilakukan pengawasan terhadap rencana dan proses audit sistem informasi akuntansi, pengawasan tersebut masih terbatas karena kurangnya wewenang.
Meskipun telah ada kesadaran akan risiko dari kegagalan audit teknologi informasi, rencana audit teknologi informasi belum membahas tentang kegagalan dari proses audit.
3
Telah terbentuk audit komite yang mengontrol pelaksanaan audit sistem informasi akuntansi.
Prioritas dari Pelaksanaan audit dilakukan terhadap bagian\komponen yang memiliki risiko tinggi, audit telah dianggap sebagai salah satu cara untuk mengurangi risiko.
4
Komitmen dari organisasi untuk melakukan audit TI dengan sebaik – baiknya ditindak lanjuti dengan dukungan keuangan, sumber daya manusia serta pemberian wewenang yang diperlukan mendukung dalam pelaksanaan audit sistem informasi akuntansi. Telah terjadi koordinasi antara departemen TI, keuangan dan komite audit dalam merencanakan, membuat dan melaksanakan audit sistem informasi akuntansi. Hasil dari audit merupakan dasar manajemen untuk melakukan perbaikan penerapan pengendalian internal.
Telah dilakukan upaya – upaya untuk memperkecil risiko kegagalan audit teknologi informasi, Salah satunya adalah dengan mendatangkan konsultan yang membantu merancang strategi perbaikan.
5
Telah adanya ukuran – ukuran yang menjelaskan tingkat kesulitan dan risiko dari proses audit, semakin tinggi kesulitan melakukan audit maka semakin besar sumber daya yang dikerahkan untuk melakukan audit tersebut.
Proses Audit telah didukung melalui audit carter yang berisikan peran, wewenang dan tanggung jawab dalam melakukan audit sistem informasi akuntansi. Tatacara dan tujuan (objective) audit teknologi informasi telah terdokumentasi, tata cara tersebut telah berisikan ukuran dan tatacara pengukurannya. Proses audit teknologi informasi merupakan salah satu komponen penting dalam menunjang perbaikan organisasi secara menyeluruh.
73
Peran, wewenang dan tanggung jawab dalam melakukan audit teknologi informasi pada sistem informasi akuntansi telah mulai dirumuskan dalam piagam audit (audit carter) meskipun belum lengkap dan terkadang tidak konsisten dalam pelaksanaannya. Pemilik proses telah diberikan penyuluhan/pelatihan tentang kepatuhan (compliance) dalam menjalankan proses yang menjadi tanggung jawabnya.
Telah ada dukungan langsung terhadap audit TI dengan dibentuknya komite audit yang mengawasi langsung jalannya proses audit teknologi informasi pada sistem informasi akuntansi.
Telah terjalin komunikasi antara internal auditor dan eksternal auditor dalam mengomunikasikan proses dan hasil audit sistem informasi akuntansi.
Audit komite telah berperan aktif dalam merencanakan, membuat, dan melaksanakan audit sistem informasi akuntansi.
Telah terjadi komunikasi dua arah antara pemilik proses dan auditor, perbaikan senantiasa dilakukan agar sesuai dengan kebutuhan bisnis dengan mengedepankan prinsip – prinsip kepatuhan.
Hasil dari Audit sistem informasi akuntansi Telah menjadi salah satu komponen dalam audit sistem akuntansi, untuk industri – industri tertentu audit sistem informasi akuntansi telah menjadi salah satu syarat yang harus dipenuhi.
Untuk menjamin keberlangsungan layanan sistem informasi akuntansi sebaiknya dilakukan audit terhadap seluruh komponen yang berinteraksi seperti peran dan tanggung jawab dalam penggunaan dan pengelolaan sistem informasi akuntansi, integritas dari proses – proses yang ada pada sistem informasi akuntansi serta yang tidak kalah pentingnya adalah kualitas dari pengendalian internal yang ada didalamnya. Untuk memudahkan audit\pengawasan setiap kegiatan pada sistem informasi akuntansi sebaiknya dilakukan pencatatan. Pencatatan tersebut penting untuk mendeteksi kesalahan baik yang disengaja ataupun tidak disengaja. Tabel III.20 Tujuan Pengendalian Audit Sistem Informasi Akuntansi Komponen Penilaian Risiko
a.
b.
Lingkungan Pengendalian
a.
Aktivitas Pengendalian internal
a.
b. Informasi & Komunikasi Pengawasan
a. a.
Pengendalian Audit Sistem Informasi Akuntansi Audit terhadap sistem informasi akuntansi telah menjadi bagian dalam pelaksanaan audit organisasi secara keseluruhan. Telah ada bagian khusus yang melaksanakan audit terhadap sistem informasi akuntansi dan layanan sumber daya TI yang digunakannya. Pelaksanaan audit diprioritaskan berdasarkan hasil dari analisa risiko untuk komponen – komponen yang memiliki risiko tinggi. Terdapat audit carter yang berisikan peran, wewenang dan tanggung jawab dalam melakukan audit sistem informasi akuntansi. Proses audit terhadap sistem informasi akuntansi dan sumber daya TI telah dilakukan secara terjadwal. Hasil audit dikomunikasikan kepada manajemen, audit komite dan eksternal auditor Telah dibentuk audit komite yang khusus mengawasi pelaksanaan audit sistem informasi akuntansi.
Tabel III.21 Tujuan Pengendalian Tatakelola Log File Komponen Penilaian Risiko
Lingkungan Pengendalian
Aktivitas
Pengendalian Tatakelola Log File a. Manajemen menganggap penting pencatatan aktivitas pengguna sistem informasi akuntansi, pencatatan pada log file tidak lagi dianggap sebagai kegiatan yang tidak berguna. a. Prioritas pencatatan pada log file diprioritaskan untuk komponen – komponen yang memiliki risiko tinggi berdasarkan hasil analisa risiko pada sistem informasi akuntansi. a. Setiap aktivitas yang berisiko mengganggu integritas
74
Pengendalian internal
dari sistem informasi akuntansi tercatat dan disimpan untuk jangka waktu tertentu. b. Log file disimpan untuk jangka waktu tertentu dan baru dapat Dihancurkan/dihapus apabila telah melewati jangka waktu tersebut. Informasi & a. Hasil pencatatan aktivitas pengguna sistem informasi Komunikasi akuntansi dilaporkan secara berkala kepada bagian audit. Pengawasan a. Dilakukan pengawasan terhadap pencatatan aktivitas pengguna akses dan wewenang pada sistem informasi akuntansi untuk memastikan kesesuaian antara kegiatan yang tercatat dan aktivitas yang sebenarnya. III.5.5 Analisa Kebutuhan Pengendalian Pusat Data Setiap data – data transaksi keuangan yang diproses oleh sistem informasi akuntansi akan disimpan di pusat data (data center). Bagi organisasi – organisasi tertentu, pusat data atau lazim juga disebut data center berfungsi menyimpan perangkat keras (hardware) yang digunakan untuk memproses sistem informasi akuntansi. Penggunaan pusat data membawa risiko bawaan yang harus dikelola sebaik mungkin untuk menjamin ketersediaan dan integritas dari sistem informasi akuntansi. Sistem informasi akuntansi merupakan salah satu sistem informasi penting pada organisasi, organisasi yang tergantung pada sistem informasi akuntansi dalam memproses data – data transaksi keuangan harus memperhatikan fasilitas dari pusat data untuk menjamin integritas dan kelangsungan layanan sistem informasi akuntansi. Uptime Institute mendefinisikan empat tingkatan dari pusat data. Empat tingkatan dari pusat data menurut Uptime Institute adalah : 1. Tier I – Hanya memiliki satu jalur dari listrik, ventilasi dan pendingin. Tidak memiliki perangkat cadangan, memiliki tingkat ketersediaan 99.671%. 2. Tier II – Hanya memiliki satu jalur dari listrik, ventilasi dan pendingin. Telah memiliki perangkat cadangan, memiliki tingkat ketersediaan 99.741%. 3. Tier III – Telah memiliki lebih dari satu jalur listrik, ventilasi dan pendingin meskipun hanya satu yang aktif. Telah memiliki perangkat cadangan dan secara bersamaan dipelihara. Memiliki tingkat ketersediaan 99.982%. 4. Tier IV – Telah memiliki lebih dari satu jalur listrik, ventilasi dan pendingin di mana kesemua jalur tersebut aktif dapat dipergunakan sewaktu – waktu.
75
Telah memiliki perangkat cadangan dan dapat seketika menggantikan perangkat utama. Memiliki tingkat ketersediaan 99.995%.
Gambar III.5 Keamanan Pusat Data (Davis, 2007) Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : f. Lingkungan Pengendalian – Organisasi sebaiknya memiliki standar dan prosedur yang berkaitan dengan tatakelola pengendalian pusat data. Pusat data telah dianggap sebagai salah satu risiko yang dapat mengganggu integritas dari informasi keuangan. g. Penilaian Risiko – Penerapan pengendalian didasarkan atas risiko yang mungkin dihadapi oleh komponen – komponen pusat data. h. Aktivitas Pengendalian – Dilakukan pengawasan terhadap kondisi lingkungan (suhu, kelembaban, curah hujan, dll) serta pasokan listrik dari pusat data. Proses backup sebaiknya telah dilakukan secara otomatis dan didistribusikan ke lebih dari satu tempat. i. Informasi dan Komunikasi – Informasi tentang kondisi dari pusat data telah tersedia secara real time. Telah terbentuk jalur komunikasi untuk menghadapi gangguan yang mungkin terjadi. j. Pengawasan – Dilakukan penilaian atau audit terhadap kesiapan perangkat dan petugas dalam menghadapi kejadian – kejadian yang dapat mengganggu layanan sistem informasi akuntansi.
76
Tabel III.22 Maturity Level Pengendalian Pusat Data Lv 1
2
3
4
5
Control Environment
Risk Assessment
Control Activities
Information & Communication
Monitoring
Organisasi telah mengerti pentingnya pengendalian pusat data terhadap integritas dari sistem informasi akuntansi, meskipun demikian pelaksanaannya masih bersifat reaktif. Telah ada yang bertanggung jawab untuk menjalankan pengendalian terhadap pusat data.
Penilaian risiko pusat data telah dilakukan tetapi pelaksanaannya masih mengandalkan pengetahuan dan intuisi yang melakukannya.
Pengendalian terhadap pusat data telah mulai dilakukan meskipun masih bersifat khusus.
Belum jelasnya prosedur pengendalian pusat data, Hal ini menyebabkan tidak tersedianya panduan tatacara pengendalian pusat data
Telah dilakukan pengawasan terhadap pengendalian pusat data meskipun pelaksanaannya belum konsisten.
Pengendalian pusat data dilakukan berdasarkan hasil analisa risiko meskipun hanya dilakukan untuk komponen – komponen utama pusat data.
Informasi yang berhubungan dengan tatacara pelaksanaan pengendalian pusat data telah mulai didokumentasikan meskipun belum lengkap sepenuhnya.
Telah ada mekanisme pengawasan pusat data, akan tetapi objek yang diawasi dan tatacara pengawasannya belum dilakukan dengan terstruktur karena tidak adanya prosedur dan standar yang dapat dijadikan dasar bertindak.
Telah tersedia Prosedur dan standar untuk menjalankan pengendalian terhadap pusat data, Meskipun demikian prosedur untuk menanggulangi kejadian – kejadian darurat belum jelas terdefinisi. Organisasi telah berkomitmen untuk mendukung penerapan pengendalian terhadap pusat data, komitmen tersebut ditindak lanjuti dengan memberikan anggaran dan sumber daya yang diperlukan.
Telah tersedia standar dan prosedur untuk melakukan penilaian risiko pada pusat data.
Pelaksanaan pengendalian pusat data telah dilakukan dengan terencana meskipun belum mencakup seluruh tujuan pengendalian (control objective) pusat data. Backup terhadap pusat data telah mulai dilakukan meskipun belum didistribusikan ke beberapa tempat yang berjauhan. Pusat data telah dilengkapi dengan mekanisme pengawasan terhadap fasilitas-fasilitas yang ada idalaminya, Backup telah dilakukan dengan terjadwal dan didistribusikan ke beberapa tempat.
Prosedur dan standar pengendalian pusat data telah didokumentasikan dan disosialisasikan.
Pengawasan terhadap pusat data telah dilakukan dengan terencana akan tetapi pelaksanaannya belum maksimal karena sebagian masih dilakukan secara manual.
Telah tersedia prosedur untuk menanggulangi kejadian – kejadian darurat, prosedur – prosedur tersebut senantiasa diperbaharui.
Pelatihan telah dilakukan untuk melatih kesiapan pelaksanaan pengendalian pusat data serta kesiapan pasca terjadinya kejadian\bencana yang menimpa pusat data.
Organisasi telah dapat memastikan bahwa kegagalan operasional pusat data tidak akan berpengaruh terhadap integritas dari sistem informasi akuntansi.
Dokumen – dokumen pengendalian pusat data senantiasa dilakukan pembaharuan berdasarkan kondisi keadaan saat ini dan perkembangan teknologi.
Pengawasan terhadap pusat data telah dilakukan dengan menggunakan perkakas – perkakas yang berjalan secara otomatis, audit secara manual dilakukan untuk menilai pelaksanaan pengendalian terhadap pusat data. Terdapat laporan berkala dari kinerja pengendalian pusat data, laporan tersebut telah menggunakan ukuran – ukuran baku yang dapat menggambarkan kinerja pengendalian pusat data..
Telah terbentuknya Budaya dan lingkungan yang mengedepankan pentingnya pengendalian pada pusat data di setiap tingkat organisasi (operasional, manajemen dan dewan direksi)
Penilaian risiko telah dilakukan secara berkala dengan menggunakan ukuran – ukuran yang konsisten, kinerja dari pengendalian pusat data harus telah dapat memenuhi ambang risiko yang dapat diterima organisasi Organisasi telah menganggap pusat data salah satu sumber risiko yang dapat berpengaruh terhadap organisasi. Penilaian risiko telah menyatu dengan analisa risiko organisasi secara menyeluruh.
77
Untuk menjamin integritas dari informasi tersebut, diperlukan pengendalian yang bertujuan untuk melindungi pusat data dari berbagai macam gangguan/ancaman yang dapat merusak integritas informasi. Pengendalian pusat data yang akan diterapkan dapat berupa pengendalian terhadap fasilitas – fasilitas fisik yang ada di dalam pusat data, mekanisme backup dan juga mekanisme cadangan yang dapat menjamin kelangsungan layanan pusat data.
Gambar III.6 Contoh Pengendalian Pusat Data Tabel III.23 Tujuan Pengendalian Fasilitas Komponen Penilaian Risiko
Lingkungan Pengendalian
Pengendalian Fasilitas a. Manajemen telah mengerti akan pentingnya pengendalian infrastruktur sistem informasi akuntansi dalam menunjang integritas dan ketersediaan sistem informasi akuntansi. b. Terdapat bagian\individu yang mengelola pengendalian infrastruktur sistem informasi akuntansi. a. Penerapan pengendalian fasilitas dilakukan berdasarkan analisa risiko sehingga penerapan pengendalian fasilitas pusat data dilakukan tepat guna dan tepat sasaran.
78
Aktivitas Pengendalian internal
Informasi & Komunikasi Pengawasan
a. Organisasi memiliki panduan untuk menghadapi kondisi pasca terjadinya suatu bencana atau kejadian. b. Terdapat mekanisme pembatasan akses terhadap media penyimpanan dan peralatan perangkat keras (hardware) yang ada pada pusat data. a. Dilakukan pencatatan terhadap setiap kejadian yang mengganggu keamanan pusat data dan dilaporkan. a. Dilakukan audit secara berkala untuk menilai kualitas dari pengendalian fasilitas pada pusat data serta untuk mengidentifikasi masalah – masalah yang mungkin terjadi dikemudikan hari. b. Terdapat mekanisme pengawasan terhadap pengendalian pusat data dan keadaan lingkungan sekitar.
Tabel III.24 Tujuan Pengendalian Backup Komponen Penilaian Risiko
a.
Lingkungan Pengendalian
a.
Aktivitas Pengendalian internal
a. b.
Informasi & Komunikasi
a.
Pengawasan
a.
Backup Telah tersedia prosedur yang menjelaskan standar dalam melakukan backup pada pusat data. Proses backup dilakukan berdasarkan hasil dari analisa risiko, analisa risiko dilakukan untuk menentukan prioritas dan standar keamanan yang harus diterapkan dalam menjaga data hasil backup. Data yang telah dibackup didistribusikan ke beberapa tempat yang relatif berjauhan Backup disimpan dalam jangka waktu tertentu dan dihancurkan apabila telah melewati waktu tersebut, mekanisme penghancuran dilakukan sesuai dengan prosedur tatakelola backup yang dimiliki organisasi. Terdapat laporan yang menjelaskan aktivitas dari proses backup, pendistribusiannya dan penghancuran. Dilakukan pengawasan terhadap jalannya proses backup, pendistribusian dan penghancuran. Pengawasan tersebut dilakukan untuk memastikan proses – proses tersebut dilakukan sesuai dengan prosedur yang ada.
III.5.6 Analisa Kebutuhan Pengendalian Operasional Komputer Dewasa ini penggunaan komputer sulit dilepaskan dari masalah dan gangguan, masalah dan gangguan dalam penggunaan komputer dapat berasal dari dalam (internal komputer) atau gangguan yang berasal dari luar. Akibat dari masalah dan
79
gangguan tersebut dapat berbentuk terganggunya operasional sampai dengan kehilangan atau kerusakan dari integritas informasi. Tujuan
dari
pengendalian
komputer
adalah
sebagai
pencegahan
dan
penanggulangan gangguan atau masalah agar tidak merusak integritas dari data atau informasi yang terdapat pada sistem informasi akuntansi.
Dalam
menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan operasional komputer dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian
– Organisasi sebaiknya memiliki rencana
penanggulangan dan pencegahan masalah atau kejadian, rencana tersebut berisikan pelaksana dan penanggung jawab serta standar operasional prosedur yang harus dilakukan untuk mencegah dan mengatasi masalah atau kejadian. b. Penilaian Risiko – Point – point yang harus dilindungi dari rencana penanggulangan dan pencegahan masalah kejadian ditentukan berdasarkan tingkat risiko masalah dan kejadian tersebut terhadap integritas dari sistem informasi akuntansi serta kelangsungan layanan sistem informasi akuntansi secara menyeluruh. c. Aktivitas Pengendalian – Mewajibkan setiap pengguna sistem informasi akuntansi untuk memasang antivirus dan diupdate secara otomatis setiap harinya, departemen TI memiliki jalur komunikasi khusus untuk menjawab pertanyaan dan permohonan bantuan apabila terjadi gangguan atau masalah pada penggunaan komputer, d. Informasi dan Komunikasi – Senantiasa dikomunikasikan informasi – informasi yang berkenaan dengan gangguan - gangguan (virus, spyware, bug program, dll) serta pencegahan dan penanggulangan masalah tersebut. e. Pengawasan – Dilakukan pengawasan terhadap kecenderungan\trent dari masalah atau kejadian yang sering terjadi, pengawasan dilakukan juga terhadap kesiapan departemen TI dalam mencegah dan menanggulangi masalah tersebut.
80
Tabel III.25 Maturity Level Pengendalian Pusat Data Lv
Control Environment
Risk Assessment
Control Activities
Information & Communication
Monitoring
1
Aturan yang mengatur masalah operasional penggunaan sistem informasi akuntansi telah ada tetapi masih bersifat kasus berkasus.
Kesadaran akan penilaian risiko dari operasional komputer masih bersumber dari inisiatif pribadi.
Pengendalian operasional komputer telah mulai diterapkan meskipun dilakukan secara terbatas.
Pengawasan terhadap pengendalian operasional komputer telah dilakukan tetapi masih terbatas pada usaha – usaha manual.
2
Mulai dibuatnya standar dan prosedur yang mengatur mekanisme penanganan dan penanggulangan masalah/kejadian serta standar dan prosedur pengamanan dan penanggulangan virus komputer. Organisasi telah memiliki standar dan prosedur yang mengatur pengendalian operasional komputer, telah terdapat individu atau bagian yang bertanggung jawab menjalankan standar dan prosedur tersebut.
Penilaian risiko operasional komputer telah mulai dilakukan akan tetapi pelaksanaannya masih terbatas karena kurangnya wewenang dalam melakukan penilaian. Penilaian risiko dilakukan berdasarkan tujuan dari kebijaksanaan pengendalian operasional komputer, hasil dari penilaian risiko kemudian dijadikan masukan dalam merancang pengendalian operasional komputer. Hasil analisa risiko menunjukkan bahwa risiko operasional komputer telah berada pada ambang batas yang dapat diterima oleh organisasi.
Pengendalian operasional komputer telah mulai dilakukan secara terorganisir, akan tetapi pelaksanaannya masih terbatas karena kurangnya dukungan.
Tidak ada prosedur dan standar pengendalian operasional komputer, hal ini menyebabkan kurang tersedianya panduan tatacara penanganan masalah dan kejadian. Pelatihan telah dilakukan secara formal dan diadakan dengan rutin dan diikuti oleh setiap pengguna sistem informasi akuntansi.
3
4
Organisasi telah mendukung penerapan pengendalian operasional komputer melalui alokasi anggaran dan sumber daya yang diperlukan.
5
Standar dan prosedur dari pengendalian operasional komputer secara rutin diperbaharui sesuai dengan perkembangan teknologi keamanan informasi.
Operasional komputer telah dianggap sebagai salah satu sumber risiko yang dapat mengganggu integritas dari laporan keuangan.
Setiap masalah dan kejadian telah dikelola dengan baik seperti dengan menggunakan sistem tiket, telah terdapat panduan untuk menyelesaikan masalah – masalah yang sering timbul (frequency asked question, FAQ) Organisasi telah memiliki dan menerapkan standar dan prosedur dalam pencegahan penyebaran masalah (escalation procedure).
Telah timbul kesadaran pada Pengguna komputer akan pentingnya integritas dari informasi, pengguna komputer senantiasa memberi masukan akan risiko – risiko yang mungkin dapat berpengaruh terhadap integritas dari data yang dikelola/prosesnya.
81
Standar pengendalian operasional komputer telah terdefinisi sesuai dengan kebijaksanaan pengendalian operasional komputer yang ada. Sosialisasi telah mulai dilakukan terhadap setiap pengguna sistem informasi akuntansi. Telah tersedia mekanisme pelaporan dan jalur komunikasi yang jelas apabila terjadi suatu permasalahan. Organisasi telah memiliki repository dari permasalahan – permasalahan yang sering muncul dan cara penanggulangan. Standar pengendalian operasional komputer senantiasa dilakukan pembaharuan berdasarkan kondisi keadaan saat ini dan perkembangan teknologi.
Telah dilakukan penilaian kepuasan pengguna sistem informasi akuntansi untuk menentukan langkah perbaikan yang perlu diambil.
Pengawasan terhadap operasional komputer telah dilakukan berdasarkan standar dan prosedur pengendalian operasional komputer.
Organisasi telah memiliki catatan tentang tren dari masalah atau kejadian yang terjadi. Kejadian yang menyebabkan terganggunya operasional komputer telah diklasifikasikan dan penyebab – penyebabnya telah dipelajari. Pengukuran target dan metrik untuk pengendalian operasional komputer telah dilakukan secara sistematis. Hasil dari pengukuran tersebut kemudian dijadikan dasar dari proses perbaikan.
Komputer desktop merupakan salah satu sumber risiko. Pengrusakan yang dilakukan oleh virus, worm, trojan, spyware dan sebagainya merupakan beberapa risiko yang dapat mempengaruhi integritas dari sistem informasi akuntansi. Penggunaan komputer kemungkinan menghadapi gangguan atau masalah. Gangguan tersebut mustahil untuk dihilangkan sepenuhnya, oleh karena itu usaha yang dapat dilakukan adalah dengan mengelola masalah tersebut, bagaimana penyelesaiannya serta pencegahan yang dapat diambil untuk mencegah hal tersebut terulang kembali. Tabel III.26 Tujuan Pengendalian Virus\worm\spyware (kode jahat) Komponen Penilaian Risiko
Lingkungan Pengendalian
Aktivitas Pengendalian internal
Informasi & Komunikasi
Pengawasan
Pengendalian virus\worm\spyware a. Virus\worm\spyware telah dianggap sebagai salah satu sumber risiko yang dapat mempengaruhi integritas sistem informasi akuntansi. a. Terdapat bagian\individu yang bertugas memastikan kondisi kesehatan komputer yang terhubung dengan sistem informasi akuntansi. b. Organisasi memiliki prosedur pencegahan (escalation procedure) ketika terjadi penyebaran virus di organisasi. a. Setiap komputer yang terhubung dengan sistem informasi akuntansi wajib terpasang antivirus dan dijalankan secara berkala. Pembaharuan terhadap antivirus telah dilakukan secara otomatis dan dilakukan secara berkala. b. Komputer yang terkena virus dipisahkan dengan jaringan, komputer dapat terhubungkan kembali apabila telah dilakukan pembersihan virus dan mendapatkan persetujuan untuk dapat terhubung kembali ke jaringan. a. Secara berkala kepada pengguna dari sistem informasi akuntansi diberikan buletin\informasi mengenai virus\worm\spyware yang sedang aktif, cara penyebarannya serta metode pencegahan agar tidak tertular. b. Terdapat laporan yang menjelaskan penyebaran virus yang lagi aktif di organisasi serta tren dari penyebaran virus dari waktu ke waktu. a. Telah dilakukan pengawasan baik secara otomatis atau manual untuk mengawasi penyebaran virus diorganisasi serta memastikan komputer yang terkena virus tidak menyebar ke komputer yang lain.
82
Tabel III.27 Tujuan Pengendalian Penanggulangan Masalah dan Kejadian Komponen Penilaian Risiko
Lingkungan Pengendalian
a.
a.
b.
Aktivitas Pengendalian internal
a.
Informasi & Komunikasi
a.
b. Pengawasan
a.
Pengendalian Masalah dan Kejadian Setiap masalah dan kejadian yang dapat mengganggu integritas dari sistem informasi akuntansi ditindak lanjuti dengan melakukan analisa risiko untuk mengetahui dampak dan solusi yang dapat ditempuh. Telah ada standar dan prosedur yang mengatur pengelolaan masalah dan kejadian pada sistem informasi akuntansi. Organisasi memiliki prosedur pencegahan (escalation procedure) untuk menghindari dampak negatif yang lebih besar dari suatu masalah atau kejadian. Setiap masalah dan kejadian telah dikelola dengan baik seperti dengan menggunakan sistem tiket, telah terdapat panduan untuk menyelesaikan masalah – masalah yang sering timbul (frequency asked question, FAQ). Setiap masalah dan kejadian tercatat dan dilaporkan. Organisasi memiliki repository permasalahan yang sering timbul dan cara penanggulangan dan pencegahan. Terdapat jalur khusus (help desk) untuk melaporkan setiap masalah dan kejadian yang terjadi. Dilakukan pengkajian terhadap masalah dan kejadian yang terjadi untuk mengetahui tren dari masalah dan kejadian pada penggunaan sistem informasi akuntansi, tren tersebut dipergunakan untuk menentukan solusi jangka panjang dari permasalahan tersebut.
III.5.7 Analisa Kebutuhan Pengendalian Tatacara Pengembangan Sistem Penggunaan sistem informasi memungkinkan otomatisasi pengendalian internal, Pengendalian internal yang berjalan secara otomatis memiliki beberapa keunggulan yakni kecepatan, konsistensi dan ketersediaannya. Meskipun demikian penggunaan pengendalian internal yang berjalan secara otomatis harus memiliki perhatian khusus terutama dalam masa perbaikan\penyempurnaan atau pembuatan (upgrade atau development). Kesalahan yang terjadi pada masa perbaikan atau pembuatan apabila tidak terdeteksi maka dapat terbawa sampai kepada kegiatan operasional sehari – hari dan dilakukan berulang – ulang.
83
Tujuan dari pengendalian pengembangan sistem adalah untuk memastikan bahwa setiap proses perubahan atau pengembangan dilakukan dengan sebaik – baiknya sesuai dengan ketentuan – ketentuan pengembangan sistem informasi akuntansi. Dengan diterapkannya pengendalian pengembangan sistem diharapkan dapat mengurangi kesalahan atau bug yang terbawa sampai pada kegiatan operasional sehingga dapat memberikan keyakinan yang memadai terhadap integritas dari informasi yang dikelola oleh sistem informasi akuntansi. Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian akses dan wewenang dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian – Organisasi telah memiliki strategi\rencana perubahan untuk sistem informasi akuntansi. Organisasi juga sebaiknya memiliki kebijakan pengendalian perubahan yang menyatu dengan tata kelola risiko organisasi secara menyeluruh. b. Penilaian Risiko – Terlebih dahulu dilakukan analisa risiko pada setiap perubahan yang akan dilakukan sehingga didapat pemahaman yang menyeluruh akan risiko yang mungkin ditimbulkan. c. Aktivitas Pengendalian – Permohonan perubahan dilakukan secara tertulis serta ada yang mengotorisasi. Dilakukan pemisahan peran dan wewenang antara perencana, pelaksana dan pengawasan. d. Informasi dan Komunikasi – Untuk setiap pengadaan dan perubahan terdapat mekanisme komunikasi antara pemilik proses, unit kerja TI dan pelaksanaan perubahan untuk memastikan penerapan dari pengendalian internal. e. Pengawasan – Dilakukan audit terhadap setiap pengadaan atau perbaikan untuk menilai kewajaran jalannya proses pengadaan\perbaikan serta menilai integritas dari sistem informasi akuntansi pasca dilakukan pengadaan atau perbaikan.
84
Tabel III.28 Maturity Level Pengendalian Pengembangan Sistem Lv
Control Environment
Risk Assessment
Control Activities
Information & Communication
Monitoring
1
Organisasi baru mulai mengenal kebutuhan akan pengendalian perubahan, mulai dirumuskannya bentuk dari penerapan pengendalian perubahan.
Belum dilakukannya penilaian risiko secara formal ketika akan melakukan perubahan terhadap sistem informasi akuntansi.
Pengendalian terhadap perubahan sistem masih dilakukan secara terbatas dan lebih bersifat khusus.
Pengawasan secara terbatas terhadap perubahan yang terjadi pada sistem informasi akuntansi telah mulai dilakukan..
2
Tata kelola perubahan sistem informasi akuntansi telah mulai diterapkan akan tetapi belum sepenuhnya menjadi sebuah kesadaran.
Penilaian risiko terhadap kegagalan pada perubahan sistem informasi akuntansi mulai dilakukan, akan tetapi tindak lanjut dari penilaian tersebut belum maksimal.
Pengendalian perubahan dan perubahan itu sendiri belum berjalan secara beriringan. Perubahan dilakukan tanpa ada yang mengotorisasi, kebenaran perubahan hanya dilihat dari aspek teknis semata.
Setiap perubahan pada sistem informasi akuntansi belum dikomunikasikan dengan baik karena pelaksanaan pengendalian perubahan sistem masih bersifat khusus Mulai dilakukan pendokumentasian atas informasi – informasi penting penunjang keberhasilan perubahan sistem informasi akuntansi..
3
Manajemen telah mengerti dan mendukung pengendalian pada perubahan sistem, telah ada individu/bagian yang berwewenang dan tanggung jawab untuk menjalankan pengendalian perubahan.. Setiap perubahan pada sistem informasi akuntansi dilakukan secara terencana. Proses pengendalian perubahan sistem telah terdokumentasi dengan baik. Telah digunakannya standar untuk membantu penerapan dan pelaksanaan pengendalian terhadap perubahan sistem. Organisasi telah memiliki kebijaksanaan dan prosedur e yang terintegrasi dengan tata kelola risiko dalam mengatur tata cara pelaksanaan perubahan sistem informasi akuntansi
Analisa risiko telah digunakan sebagai indikator dalam menentukan kebutuhan dan prioritas dari perubahan.
Pelaksana perubahan dan yang mengotorisasi perubahan merupakan individu yang terpisah, Setiap perubahan harus terlebih dahulu dilakukan pengujian (unit testing) sebelum perubahan tersebut dapat diotorisasi pelaksanaannya.
Manajemen telah mengerti akan informasi – informasi yang harus tersedia, akan tetapi proses distribusi dan komunikasi belum berjalan dengan baik.
Proses perubahan dilakukan berdasarkan analisa risiko seperti terhadap tingkat kesukaran, besarnya biaya, ketersediaan sumber daya manusia serta akibatnya terhadap bisnis. Setiap perubahan pada sistem informasi akuntansi telah dilakukan dengan terencana berdasarkan hasil analisa kebutuhan dan analisa risiko.
Organisasi telah memiliki repository yang berisikan profil dan konfigurasi dari sistem informasi akuntansi dan perangkat keras (hardware), repository tersebut diperbaharui secara berkala dan dilakukan audit untuk memastikan integritas informasi yang ada didalamnya. Change management telah sepenuhnya diterapkan dengan mengimplementasikan tata kelola perubahan terhadap seluruh komponen – komponen pembangun sistem informasi akuntansi seperti infrastruktur sumber daya manusia.
Requirement, Unit testing, konfigurasi sistem telah dengan baik terdefinisi dan Disimpan dalam repository untuk memudahkan pengaksesan.
Audit terhadap proses dan hasil perubahan secara berkala telah dilakukan untuk menunjang fungsi pengawasan.
Manajemen senantiasa mendapatkan feedback tentang perbaikan yang harus dilakukan untuk dapat mengsukseskan proses perubahan.
Organisasi telah memiliki ukuran – ukuran tertentu untuk menilai keberhasilan pelaksanaan perubahan sistem informasi akuntansi beserta komponen – komponen pendukungnnya
4
5
85
Pengawasan sudah mulai direncanakan, akan tetapi pelaksanaannya belum konsisten karena belum adanya pemahaman yang merata akan tujuan pengendalian Terhadap perubahan sistem informasi akuntansi. Pelaksana perubahan dan yang mengotorisasi perubahan merupakan individu yang terpisah, Setiap perubahan harus terlebih dahulu dilakukan pengujian (unit testing) sebelum perubahan tersebut dapat diotorisasi pelaksanaannya.
Berkembangnya kebutuhan bisnis menyebabkan sistem informasi akuntansi harus senantiasa diperbaharui. Perubahan tersebut terkadang tak bisa dihindari, yang penting untuk diperhatikan dalam melakukan perubahan adalah
bagaimana
menjaga integritas dari pemrosesan yang dilakukan oleh sistem informasi akuntansi pasca dilakukan perbaikan. Untuk itu diperlukan pengendalian dalam tata kelola perubahan, konfigurasi dan prosedur serah terima aplikasi. Tabel III.29 Tujuan Pengendalian Pengadaan dan Perawatan Komponen Penilaian Risiko
a.
Lingkungan Pengendalian
a.
Aktivitas Pengendalian internal
a.
b.
Informasi & Komunikasi
a.
Pengawasan
a.
Pengendalian Pengadaan dan Perawatan Salah satu sarat dalam melakukan pengadaan atau perbaikan adalah telah dilakukannya analisa risiko terhadap dampak dari pengadaan atau perbaikan tersebut. Terdapat standar atau prosedur pengendalian proses pengadaan dan perawatan sistem informasi akuntansi. Dilakukan pemisahan antara penggagas pengadaan, pemilihan pelaksana pengadaan dan pengawas jalannya proses pengadaan. Diterapkannya manajemen quality assurance dalam melakukan pengadaan\perawatan perubahan sistem informasi akuntansi. Pelaksana pengadaan secara berkala melalui media komunikasi formal mengomunikasikan progres yang telah dicapai kepada penanggung jawab dan pemilik proses. Pengawasan dilakukan mulai dari proses pemilihan pelaksana pengadaan, proses pengadaan serta pasca dilakukan pengadaan, tujuan dari pengawasan tersebut adalah untuk menilai kewajaran dari proses pengadaan serta pencapaiannya sesuai dengan kontrak yang disepakati.
Tabel III.30 Tujuan Pengendalian Tatakelola Perubahan Komponen Penilaian Risiko
Lingkungan Pengendalian
Pengendalian Tatakelola Perubahan a. Setiap permohonan perubahan harus menyertakan analisa risiko mengenai dampak dan solusi pencegahan yang akan diambil. a. Organisasi telah memiliki standar pengembangan perangkat lunak (system development life Cycle – SDLC) yang mengedepankan keamanan, ketersediaan & integritas dan keterpenuhan
86
Aktivitas Pengendalian internal
Informasi & Komunikasi Pengawasan
kebutuhan (requirement). a. Setiap perubahan hanya dapat dilakukan apabila telah diotorisasi oleh yang berwenang. Perubahan dapat diterima apabila telah melalui serangkaian tes terlebih dahulu. b. Setiap proses perubahan atau pengadaan menyertakan kebutuhan keamanan informasi (security requirements). a. Setiap perubahan dilakukan dengan terdokumentasi dan dilaporkan kepada pihak – pihak yang berkepentingan. a. Dalam pelaksanaan perubahan terdapat supervisor yang memastikan jalannya perubahan sesuai dengan apa yang direncanakan. b. Dilakukan audit pasca dilakukannya perubahan minimal untuk menilai kesesuaian antara kontrak dengan implementasi, integritas\kebenaran dari proses serta kualitas pengendalian internal.
Tabel III.31 Tujuan Pengendalian Tatakelola Konfigurasi Komponen Penilaian Risiko
Lingkungan Pengendalian
Aktivitas Pengendalian internal
Informasi & Komunikasi
Pengawasan
Pengendalian Tatakelola Konfigurasi a. Setiap melakukan perubahan konfigurasi, terlebih dahulu dilakukan analisa risiko terhadap dampak dari perubahan konfigurasi tersebut. a. Terdapat repositori konfigurasi dari sistem informasi akuntansi beserta komponen – komponen pendukungnya, repositori tersebut senantiasa diperbaharui dan diaudit keabsahannya. a. Setiap perubahan konfigurasi pada Sistem informasi akuntansi/Database/Sistem operasi/Jaringan dilakukan dengan terdokumentasi dan diotorisasi pelaksanaannya. b. Terdapat mekanisme otorisasi dalam melakukan setiap perubahan konfigurasi pada sistem informasi akuntansi dan sumber daya TI yang digunakan untuk mendukung sistem informasi akuntansi. a. Setiap perubahan konfigurasi pada sistem informasi akuntansi terlebih dahulu dikomunikasikan kepada manajemen untuk mendapatkan persetujuan dan menentukan waktu yang tepat dalam pelaksanaannya b. Setiap perubahan dilakukan dengan terdokumentasi dan dilaporkan kepada pihak – pihak yang berkepentingan. a. Secara berkala dilakukan audit terhadap setiap perubahan konfigurasi, hal yang perlu diperhatikan adalah alasan\tujuan serta dampak yang ditimbulkan.
87
III.5.8 Analisa Kebutuhan Pengendalian Aplikasi Sistem informasi dibangun atas dua komponen yang saling berinteraksi, manusia sebagai operator yang menjalankan serta sistem informasi yang memproses masukan yang diberikan oleh operator. Kedua komponen tersebut sangat mungkin melakukan kesalahan sehingga diperlukan pengendalian
untuk memberikan
keyakinan yang memadai terhadap integritas dari masukan, proses bisnis dan keluaran dari sistem informasi akuntansi. Pengendalian pada layanan sistem informasi akuntansi dilakukan pada pengendalian entity TI (it entity level) dan pengendalian umum TI (it general control), sedangkan pengendalian terhadap interaksi antara pengguna atau operator terhadap sistem informasi akuntansi diterapkan pada pengendalian aplikasi (application control). Tujuan dari
pengendalian aplikasi adalah untuk menetapkan prosedur
pengendalian khusus atas sistem informasi akuntansi untuk memberikan keyakinan memadai bahwa semua transaksi telah diotorisasi dan dicatat, serta diolah seluruhnya, cermat, dan tepat waktu. Tujuan pengendalian aplikasi adalah sebagai berikut: a. Menjamin bahwa semua transaksi yang telah diotorisasi telah diproses secara lengkap sekali saja b. Menjamin bahwa data transaksi lengkap dan teliti c. Menjamin bahwa pengolahan data transaksi benar dan sesuai dengan keadaan d. Menjamin bahwa hasil pengolahan data dimanfaatkan untuk tujuan yang telah ditetapkan e. Menjamin bahwa aplikasi dapat terus menerus berfungsi.
Dalam menurunkan kebutuhan pengendalian akses dan wewenang, perbaikan yang akan dipergunakan dalam tesis ini akan mengacu pada 5 komponen pengendalian internal yang didefinisikan oleh COSO, kebutuhan pengendalian aplikasi dilihat dari 5 komponen COSO : a. Lingkungan Pengendalian – Adanya ketentuan yang mewajibkan untuk menyertakan pengendalian aplikasi pada tahap (requirements).
88
pengumpulan kebutuhan
b. Penilaian Risiko – Penilaian risiko dilakukan untuk menentukan prioritas dan jenis pengendalian yang cocok untuk melindungi masukan, proses dan keluaran dari sistem informasi akuntansi. c. Aktivitas Pengendalian – Menerapkan pengendalian pada setiap masukan, proses dan keluaran dari sistem informasi akuntansi seperti dengan pengecekan integritas masukan, jalannya proses dan kegunaan dari keluaran. d. Informasi dan Komunikasi – Memberikan pemahaman melalui pelatihan – pelatihan tentang kegunaan dan tatacara pengendalian aplikasi. e. Pengawasan – Pengawasan sebaiknya dilakukan secara otomatis dan manual, terdapat pengawasan terhadap tren dari pelanggaran\kesalahan masukan, proses dan keluaran.
89
Tabel III.32 Maturity Level Pengendalian Aplikasi Lv
Control Environment
Risk Assessment
Control Activities
Information & Communication
Monitoring
1
.Organisasi telah mengerti akan pentingnya pengendalian aplikasi, akan tetapi belum ada kebijaksanaan dan prosedur yang berhubungan dengan pengendalian aplikasi.
Penilaian risiko dilakukan hanya berdasarkan pengalaman developer dan dilakukan secara informal.
Validasi masukan, pengendalian pemrosesan dan pengendalian keluaran telah dilakukan akan tetapi inisiatif masih berasal dari developer.
Pengawasan terhadap integritas pemrosesan pada sistem informasi akuntansi telah dilakukan akan tetapi masih bersifat informal dan tidak konsisten pelaksanaannya.
2
Telah ada yang bertanggung jawab dalam mengawasi penerapan pengendalian aplikasi, akan tetapi wewenang yang dimilikinya masih terbatas.
Penilaian risiko mulai dilakukan akan tetapi manajemen tidak dapat menindak lanjuti hasil dari penilaian risiko karena belum adanya wewenang yang jelasnya untuk menindak lanjuti hasil dari penilaian risiko tersebut. Penilaian risiko untuk pemasukan data, pemrosesan dan pelaporan pada sistem informasi akuntansi telah memiliki dasar hukum yang jelas dan dilengkapi dengan tata cara pelaksanaannya.
Organisasi telah mulai memasukkan pengendalian aplikasi sebagai salah satu kebutuhan (requirements) ketika melakukan pembuatan/perubahan pada sistem informasi akuntansi.
Informasi yang digunakan dalam melakukan verifikasi belum terdefinisi dengan baik, informasi yang digunakan masih berasal dari pemahaman developer bukan dari analisa kebutuhan pengendalian aplikasi. Mulai dilakukan pendokumentasian terhadap informasi – informasi yang digunakan dalam melakukan proses verifikasi.
Pengendalian masukan, pengendalian pemrosesan dan pengendalian keluaran telah diterapkan\dibuat sesuai dengan hasil dari analisa kebutuhan pengendalian aplikasi dan analisa risiko penggunaan sistem informasi akuntansi.
Informasi yang digunakan dalam mendukung proses verifikasi pada pengendalian aplikasi telah terdokumentasi dan telah ada yang berwenang dalam melakukan pengecekan untuk memastikan integritas dari informasi tersebut.
Telah dilakukan audit terhadap penerapan pengendalian aplikasi pada sistem informasi akuntansi. Audit telah dilakukan sesuai dengan kaidah penilaian penerapan pengendalian aplikasi.
Apabila diindikasi terdapat kelemahan\kekurangan pada pengendalian aplikasi, Hasil dari analisa risiko telah dijadikan dasar dalam melakukan perubahan pengendalian aplikasi. Penilaian risiko terhadap kegagalan pengendalian aplikasi pada sistem informasi akuntansi dilakukan menyatu dengan penilaian risiko organisasi secara menyeluruh.
Pengendalian aplikasi Telah dijalankan sepenuhnya baik secara manual ataupun otomatis. Keduanya merupakan gabungan yang saling mengisi antara satu dengan yang lain (tidak saling menghilangkan). Pengendalian aplikasi telah menggunakan metode peramalan (forecasting) untuk memprediksi terjadinya kesalahan, pengendalian aplikasi tidak hanya bersifat statis (programmed) tatapi telah menerapkan prinsip pembelajaran (learning).
Telah dilakukan pelatihan yang secara formal mengajarkan tentang tata cara penggunaan pengendalian aplikasi pada sistem informasi akuntansi.
Pengawasan akan risiko dan penerapan pengendalian internal telah dilakukan dengan baik, audit secara berkala telah dilakukan untuk menunjang fungsi pengawasan pada pengendalian aplikasi. Telah terjadi integrasi antara pengawasan dan perbaikan yang berkelanjutan dalam penerapan pengendalian aplikasi. Telah ada aturan yang mengatur bahwa temuan kegagalan pengendalian aplikasi selanjutnya diteruskan untuk menjadi bahan perbaikan yang harus diperbaiki dalam jangka waktu tertentu.
3
Organisasi telah mengerti dan mendukung penerapan pengendalian aplikasi, wewenang dan tanggung jawab telah terdefinisi dengan baik
4
Penerapan pengendalian aplikasi telah dilakukan sesuai dengan standar dan best practice.
5
Senantiasa dilakukan perbaikan terhadap kebijaksanaan, prosedur dan standar pengendalian aplikasi yang dilakukan berdasarkan penilaian dan pengawasan atas hasil implementasi pengendalian aplikasi yang telah ada.
90
Pengguna sistem informasi akuntansi telah mengerti akan pentingnya pengendalian aplikasi, pengguna berperan serta memperbaiki pengendalian aplikasi dengan cara memberi masukan mengenai perbaikan yang harus dilakukan.
Telah ada yang bertanggung jawab dalam mengawasi penerapan pengendalian aplikasi, akan tetapi wewenang yang dimilikinya terbatas hanya sebagai pengawas.
Tujuan dari digunakannya teknologi informasi adalah untuk meningkatkan efektivitas dalam pengelolaan data. Satu hal yang harus diperhatikan adalah diperlukan juga kebenaran dan juga ketepatan dalam mengelola data – data tersebut. Pengendalian aplikasi pada sistem informasi akuntansi memberikan keyakinan yang memadai bahwa proses pengolahan data menggunakan data yang benar, diproses dengan benar dan disajikan dengan benar pula. Tabel III.33 Tujuan Pengendalian Validasi Masukan Komponen Pengendalian Validasi Masukan Penilaian Risiko a. Penilaian risiko dilakukan untuk menentukan prioritas dan tatacara pengendalian pengecekan masukan. Lingkungan a. Terdapat standar yang mengatur tatacara Pengendalian pengendalian pengecekan masukan, Pengecekan masukan telah menjadi salah satu dari kebutuhan (requirements) yang harus didefinisikan pada saat pembuatan aplikasi. Aktivitas a. Telah terdapat mekanisme pengecekan kewajaran Pengendalian internal masukan pada program sistem informasi akuntansi, pengecekan tersebut dapat berupa pengecekan jenis data yang dimasukkan, keberadaannya ataupun kewajarannya. b. Pengendali masukan dilakukan dengan cara melakukan referensi silang antara data yang dimasukkan dengan data referensi yang ada pada master file (contoh: pembayaran barang dengan barang yang telah diterima). Informasi & a. Pencatatan terhadap masukan telah dilakukan secara Komunikasi otomatis, sistem memberikan laporan berisikan siapa yang melakukan masukan , nilai, dan yang mengotorisasinya. Pengawasan a. Dilakukan pengawasan terhadap kesalahan yang sering terjadi untuk mengetahui tren dan motif dari pelaku. b. Pengujian dilakukan terhadap mekanisme pengecekan yang digunakan untuk memvalidasi masukan.
Tabel III.34 Tujuan Pengendalian Pemrosesan Komponen Pengendalian Pemrosesan Penilaian Risiko a. Penilaian risiko dilakukan untuk menentukan prioritas dan ketelitian dari pengetesan yang dilakukan pada saat pembuatan sistem informasi akuntansi.
91
Lingkungan Pengendalian
Aktivitas Pengendalian internal Informasi & Komunikasi
Pengawasan
a. Terdapat standar dan prosedur yang mengatur tatacara pengetesan aplikasi, aplikasi yang tidak dapat lulus dari pengetesan tidak dapat digunakan untuk operasional sehari – hari. a. Pada saat pembuatan aplikasi, dilakukan pengetesan untuk memastikan integritas dari data yang diproses secara otomatis. a. Pengetesan dilakukan secara terbuka, setiap orang yang ikut serta dalam proses pengadaan dapat melihat dan memberikan penilaian atas kewajaran hasil dari pengetesan tersebut. a. Audit dilakukan secara berkala untuk menilai kesesuaian antara pemrosesan yang dilakukan oleh sistem informasi akuntansi (otomatis) dengan standar akuntansi yang digunakan organisasi.
Tabel III.35 Tujuan Pengendalian Validasi Keluaran Komponen Penilaian Risiko
Lingkungan Pengendalian Aktivitas Pengendalian internal
Informasi & Komunikasi Pengawasan
Pengendalian Validasi Keluaran a. Penilaian risiko dilakukan untuk menentukan tingkat kerahasiaan suatu laporan/informasi yang terdapat pada sistem informasi akuntansi. a. Terdapat kebijaksanaan yang mengatur penggunaan setiap laporan/informasi yang berasal dari sistem informasi akuntansi. a. Telah diterapkannya pengendalian pada saat pencetakan laporan\informasi, minimal pengendalian yang diterapkan adalah dengan mencatat siapa yang mencetak, tujuan, jumlah cetakan dan kepada siapa saja laporan]informasi tersebut akan diberikan. a. Tersedia laporan yang menjelaskan proses pencetakan dokument\informasi seperti siapa yang mencetak, banyaknya dan tujuannya. a. Audit dilakukan terhadap aktivitas pencetakan laporan\informasi yang bersumber dari sistem informasi akuntansi, audit tersebut bertujuan untuk mengecek tujuan dan kewajaran atas setiap proses pencetakan untuk menghindari terjadinya penyalahgunaan.
92
