BAB 1 PENDAHULUAN
1.1
Latar Belakang
Di era modern ini, para pelaku bisnis bersaing ketat untuk memperoleh keunggulan kompetitif. Perusahaan harus memiliki strategi agar dapat bertahan di antara perusahaan lainnya. Hal ini juga berlaku bagi perusahaan yang bergerak di bidang sekuritas. Saat ini para pelaku usaha di bidang sekuritas telah menjadikan teknologi informasi sebagai kebutuhan yang sangat penting dalam menjalankan bisnisnya, hal ini dikarenakan informasi merupakan hal yang sangat krusial bagi perusahaan sekuritas, sehingga perusahaan sekuritas memerlukan untuk mengembangkan aplikasi yang dapat menjalankan fungsi transaksi saham maupun menyediakan informasi pergerakan saham saat itu juga. Seperti yang dikatakan oleh Wire (2013: 2), bahwa perusahaan pengembang aplikasi sekarang mengembangkan aplikasi bisnis khususnya untuk aplikasi transaksi perdagangan pada perusahaan sekuritas sehingga dengan adanya penggunaan teknologi informasi, perusahaan sekuritas dapat memberikan nilai tambah bagi pelanggannya maupun untuk mengembangkan bisnisnya. Dalam penerapan teknologi informasi di perusahaan sekuritas, tentunya perlu didukung dengan kontrol terhadap aset teknologi informasi. Kontrol yang tidak efektif dapat menyebabkan fungsi dari aset teknologi informasi tidak dapat mendukung layanan bisnis yang ada sehingga dapat menimbulkan kerugian bagi perusahaan. Oleh karena itu kontrol perlu diterapkan dan dievaluasi pada setiap periode tertentu. Seperti yang dikatakan oleh White (2014: 1), bahwa aset teknologi informasi harus dijaga dengan menerapkan kontrol yang baik dimana dengan kontrol tersebut merupakan cara mudah untuk mengarahkan bisnis menjadi efisien dan bertumbuh. Kerangka kerja pengendalian internal dibutuhkan sebagai pedoman untuk mengukur efektivitas kontrol terhadap teknologi informasi. Berdasarkan pernyataan diatas
dapat
disimpulkan 1
bahwa
kontrol
harus
2
diterapkan secara efektif maupun di evaluasi secara berkala sehingga memberikan dampak yang baik bagi bisnis. PT XYZ merupakan perusahaan sekuritas yang sudah menjadi anggota Bursa Efek Indonesia (BEI). Perusahaan ini memiliki alih izin usaha sebagai broker-dealer, underwriter, dan manajer investasi dari PT ABC Tbk, yang secara resmi memegang saham mayoritas perusahaan. Terlibat dalam bisnis jasa keuangan, PT XYZ adalah salah satu anak perusahaan dari ABC Corporation yang melakukan diversifikasi ruang lingkup bisnis mulai dari media massa, jasa keuangan dan sumber daya energi primer seperti minyak / gas dan batu bara. Dalam menjalankan bisnis broker, PT XYZ selalu menawarkan produk dan layanan terbaik kepada mitra bisnisnya. Salah satu produk perusahaan adalah penelitian ekuitas yang memungkinkan mitra bisnis dan investor untuk mendapatkan keuntungan secara optimal dan meminimalkan risiko sementara investasi di pasar modal. PT XYZ juga menyediakan penelitian dan analisis layanan khusus untuk mitra perusahaan yang ingin memulai aksi korporasi. Pada awal 2010, PT XYZ meluncurkan layanan online trading. Hal ini merupakan perwujudan dari komitmen PT XYZ untuk menjangkau lebih banyak pelanggan dengan memanfaatkan teknologi informasi. Sesuai dengan pertumbuhan bisnis dalam waktu ke waktu, PT XYZ terus berusaha untuk memperluas jaringan kantor di kotakota potensial di Indonesia dan meningkatkan kapasitas sumber daya manusia yang berkualitas sebagai perwujudan komitmennya untuk mengambil bagian dalam pengembangan pasar saham Indonesia. Untuk mempermudah proses bisnisnya, PT XYZ menerapkan aplikasi S21 yang dikembangkan oleh PT Micro Piranti. Aplikasi S21 membantu perusahaan dalam pencatatan transaksi jual beli saham dan pembuatan laporan transaksi. Penerapan aplikasi S21 pada perusahaan membutuhkan serangkaian pengendalian untuk memastikan bahwa aplikasi berjalan sesuai dengan kebutuhan perusahaan. Oleh karena itu, kegiatan audit pengendalian internal pada penerapan aplikasi S21 di PT XYZ sangat dibutuhkan. Tidak hanya memberikan manfaat, penerapan teknologi informasi di perusahaan sekuritas, termasuk PT XYZ harus disertai dengan pengendalian internal sehingga aset perusahaan berupa data dapat terjaga kerahasiaannya. Dengan adanya audit pengendalian internal dapat juga berfungsi untuk
3
memastikan kecukupan pengendalian internal PT XYZ terhadap aktivitas dan lingkungan Teknologi Informasi yang telah dilakukan sebelumnya. Aktivitas pengendalian merupakan salah satu komponen dari kerangka kerja terintegrasi COSO (Committee Of Sponsoring Organization). Kegiatan pengendalian pada sistem informasi dibutuhkan untuk memastikan bahwa perusahaan telah melakukan mitigasi terhadap risiko yang dapat terjadi. Penerapan audit aktivitas pengendalian sesuai dengan kerangka kerja COSO terhadap aplikasi S21 yang diterapkan oleh PT XYZ mampu membantu BOD (Board of Director) dan manajemen untuk mengetahui apakah aktivitas pengendalian atas sistem informasi PT XYZ telah berjalan dengan efektif, sehingga langkah-langkah perbaikan dan peningkatan dapat diambil demi kemajuan perusahaan. Penerapan audit aktivitas pengendalian internal pada sistem informasi menggunakan kerangka kerja COSO tidak lepas dari kegiatan audit atas pengendalian umum TI perusahaan ITGC (Information Technology General Control) dan ITELC (Information Technology Entity Level Control). ITGC sendiri merupakan kebijakan dan prosedur terkait aplikasi- aplikasi yang mendukung efektivitas pengendalian aplikasi dengan cara membantu untuk memastikan bahwa terdapat cara pengoperasi sistem informasi yang baik dan benar di dalam organisasiseperti yang dikatakan oleh T3 Motion Inc (2012: 58). Penelitian terkait hal ini sudah pernah dilakukan sebelumnya oleh D'Aquila & Houmes (2014: 5), dimana penelitian ini mengungkapkan bahwa penggunaan teknologi informasi yang meningkat berujung kepada penigkatan risiko teknologi informasi. Risiko teknologi informasi berpotensi lebih banyak terjadi di organisasi yang mengolah banyak data. Kerangka kerja COSO membahas mengenai pengendalian umum atas TI, infrastruktur TI, proses manajemen keamanan, pengadaan TI, pengembangan, dan proses pemeliharaan. Strategi pengendalian umum yang biasanya fokus kepada segi finansial dapat juga diterapkan pada aspek TI, dimana organisasi dapat menggunakan strategi- strategi tersebut untuk mengidentifikasi kelemahan dalam TI menyangkut kelebihan biaya yang dikeluarkan oleh organisasi. Berdasarkan hal-hal tersebut, penulis merasa sangat tertarik untuk melaksanakan audit dan menyusun langkah rekomendasi atas penerapan aplikasi S21 pada PT XYZ sehingga penulis membuat skripsi dengan judul
4
"Evaluasi Pengendalian Umum Teknologi Informasi Pada PT XYZ Dengan Menggunakan Kerangka Kerja COSO".
1.2
Ruang Lingkup
Dalam penulisan skripsi ini, ruang lingkup pembahasan akan dibatasi pada : 1. Penelitian membahas aktivitas pengendalian TI pada tingkat entitas (Information Technology Entity Level Control) dan aktivitas pengendalian TI secara umum (Information Technology General Control) pada aplikasi S21, yang terdiri dari aplikasi Back Office (BO), Front Office (FO)/ Remote Trading (RT), dan Online Trading (OT). Adapun aktivitas pengendalian TI secara umum terdiri dari pengendalian terhadap akses ke program dan data (Access to Program and Data), pengendalian terhadap operasional komputer (Computer Operation), pengembangan program (Program Development) dan perubahan atas program (Program Changes). 2. Penelitian menggunakan kerangka kerja COSO (Committee of Sponsoring Organization) yang berfokus pada komponen penilaian risiko dan aktivitas pengendalian. 3. Penelitian mengidentifikasi temuan-temuan dari aspek pengendalian TI pada tingkat entitas (Information Technology Entity Level Control) dan aktivitas pengendalian TI secara umum (Information Technology General Control) pada aplikasi S21. 4. Penelitian mengidentifikasi risiko-risiko yang dapat terjadi terkait dengan aspek pengendalian TI pada tingkat entitas (Information Technology Entity Level Control) dan aktivitas pengendalian TI secara umum (Information Technology General Control) pada aplikasi S21. 5. Penelitian berfokus untuk memberikan rekomendasi terhadap hasil temuan dan risiko yang telah diidentifikasi terkait aspek pengendalian TI pada tingkat entitas (Information Technology Entity Level Control) dan aktivitas pengendalian TI secara umum (Information Technology General Control) pada aplikasi S21.
5
1.3
Tujuan dan Manfaat
Adapun tujuan dari penulisan skripsi ini adalah : 1. Melakukan observasi terhadap tanggung jawab departemen TI pada penggunaan aplikasi S21, yang terdiri dari aplikasi Back Office (BO), Front Office (FO)/ Remote Trading (RT), dan Online Trading (OT). 2. Melakukan analisa dan evaluasi terhadap aktivitas pengendalian TI pada tingkat entitas (Information Technology Entity Level Control) dan aktivitas pengendalian TI secara umum (Information Technology General Control) pada aplikasi S21. 3. Mengidentifikasi dan menganalisis risiko terhadap hasil observasi yang telah dilakukan terkait dengan aspek pengendalian TI pada tingkat entitas (Information Technology Entity Level Control) dan aktivitas pengendalian TI secara umum (Information Technology General Control) pada aplikasi S21. 4. Memberikan rekomendasi perbaikan terhadap hasil observasi dan risiko yang telah diidentifikasi terkait aspek pengendalian TI pada tingkat entitas (Information Technology Entity Level Control) dan aktivitas pengendalian TI secara umum (Information Technology General Control) pada aplikasi S21. 5. Memperoleh tanggapan dan tindak lanjut manajemen terhadap hasil observasi dan rekomendasi yang diberikan.
Adapun manfaat dari penulisan skripsi ini adalah : 1. Mengetahui tanggung jawab departemen TI pada penggunaan aplikasi S21, yang terdiri dari aplikasi Back Office (BO),Front Office (FO)/Remote Trading (RT), dan Online Trading (OT). 2. Memperoleh hasil observasi terkait aspek pengendalian TI pada tingkat entitas (Information Technology Entity Level Control) dan aktivitas pengendalian TI secara umum (Information Technology General Control) pada aplikasi S21. 3. Mengetahui risiko yang dapat terjadi berdasarkan hasil observasi yang telah dilakukan terkait aspek pengendalian TI pada tingkat entitas (Information Technology Entity Level Control) dan aktivitas
6
pengendalian TI secara umum (Information Technology General Control) pada aplikasi S21. 4. Menghasilkan rekomendasi perbaikan terhadap hasil observasi dan risiko yang telah diidentifikasi terkait aspek pengendalian TI pada tingkat entitas (Information Technology Entity Level Control) dan aktivitas pengendalian TI secara umum (Information Technology General Control) pada aplikasi S21. 5. Mengetahui tanggapan dan tindak lanjut manajemen terhadap hasil observasi dan rekomendasi yang diberikan guna meningkatkan efisiensi dan efektivitas pengendalian internal perusahaan terhadap aktivitas dan lingkungan TI di PT XYZ.
1.4
Metodologi Penelitian
Teknik yang dipakai untuk melengkapi metode penelitian ini adalah: 1. Metode Pengumpulan Data Dalam penyusunan skripsi ini, data-data yang diperlukan diperoleh dari metode pengumpulan data yaitu sebagai berikut: a. Studi Pustaka Yaitu penelitian yang dilakukan untuk memperoleh data secara tertulis mengenai penelitian kepustakaan dengan cara membaca, menelaah buku-buku, dan literatur. b. Studi Lapangan Dilakukan pengamatan langsung terhadap perusahaan yang menjadi objek penelitian agar mendapatkan data dan informasi yang lebih akurat. Dalam studi lapangan ini, digunakan tiga metode, yaitu : 1. Wawancara Yaitu suatu metode pengumpulan data dengan melakukan wawancara
terhadap
karyawan
dan
pihak
manajemen
perusahaan yang bersangkutan terkait objek penelitian.
7
2. Observasi Yaitu suatu metode pengumpulan data dengan melakukan pengamatan langsung terhadap kegiatan yang dilakukan oleh perusahaan terkait dengan objek penelitian. 3. Studi Dokumentasi Yaitu mengumpulkan dokumentasi terkait yang digunakan oleh perusahaan dalam menjalankan kegiatan operasionalnya dan berhubungan dengan masalah yang diteliti untuk mendukung data yang telah diperoleh dari hasil wawancara. 2. Metode Analisis Metode analisis yang digunakan pada skripsi ini adalah metode COSO (Committee Of Sponsoring Organization). Dimana penelitian berfokus pada komponen penilaian risiko dan aktivitas pengendalian pada COSO. Kegiatan pengendalian sendiri terdiri dari ELC (Entity Level Control) dan ITGC (Information Technology General Control). Komponen kegiatan pengendalian COSO pada sistem informasi dibutuhkan untuk memastikan bahwa perusahaan telah melakukan mitigasi terhadap risiko yang dapat terjadi.
1.5
Sistematika Penulisan
Dalam penulisan skripsi ini terbagi menjadi 5 bab yang terkait satu sama lain. Berikut uraian masing-masing bab secara garis besar : BAB 1 PENDAHULUAN Bab ini menguraikan mengenai latar belakang penulisan, ruang lingkup, tujuan dan manfaat, metodologi penelitian yang digunakan dalam penulisan, serta sistematika penulisan skripsi. BAB 2 LANDASAN TEORI Bab ini menguraikan teori-teori relevan yang berkaitan dengan topik skripsi. Bab ini juga mendeskripsikan teori-teori yang berhubungan dengan topik penulisan skripsi. BAB 3 ANALISIS SISTEM YANG BERJALAN Bab ini menguraikan dan membahas gambaran umum perusahaan, yang terdiri dari latar belakang perusahaan, visi dan misi perusahaan, struktur
8
organisasi, uraian pekerjaan dan tanggung jawab, beserta prosedur penggunaan aplikasi Back Office (BO), Front Office (FO)/ Remote Trading (RT), dan Online Trading (OT) perusahaan. BAB 4 HASIL EVALUASI Bab ini menguraikan pelaksanaan, prosedur pengujian dan hasil evaluasi serta analisis dari prosedur penggunaan aplikasi Back Office (BO), Front Office (FO)/ Remote Trading (RT), dan Online Trading (OT) PT XYZ. BAB 5 KESIMPULAN DAN SARAN Pada bab ini, penulis akan menguraikan kesimpulan dan saran-saran berdasarkan hasil penelitian, pengamatan dan perumusan masalah yang telah dikemukakan penulis pada bab terdahulu yang dapat dijadikan referensi bagi perusahaan.
