BAB II II.1
Tinjauan Pustaka
Pengendalian Internal (Internal Control)
II.1.1 Definisi Pengendalian Internal Institute of Internal Auditor (IIA) mendefinisikan pengendalian (Control) sebagai "tindakan - tindakan yang diambil oleh manajemen, dewan direksi dan pihak lainnya yang dilakukan untuk mengelola risiko dan meningkatkan kemungkinan tercapainya tujuan dan gol- gol yang telah ditetapkan". Sifat dari pengendalian tersebut dapat berupa preventive (untuk mencegah hal – hal yang tidak diinginkan) dan detektif (untuk mendeteksi dan memperbaiki hal – hal yang tidak diinginkan yang telah terjadi) Konsep pengendalian merupakan gabungan komponen pengendalian yang tereintegrasi dan aktivitas – aktivitas yang digunakan organisasi untuk mencapai tujuan dan sasarannya (Tunggak, 2007).
Menurut Committee of Sponsoring Organizations of the Tread way Commissions COSO, pengendalian internal adalah sebuah proses yang diprakarsai oleh dewan direksi, manajemen dan pihak lainnya yang didisain untuk mendapatkan keyakinan yang memadai (reasonable assurance) agar tercapainya(Tunggak, 2007): a. Efektivitas dan efisien dalam operasional. b. Reabilitas dari laporan keuangan. c. Patuh terhadap hukum dan aturan – aturan. Definisi di atas menggambarkan konsep – konsep dasar dari pengendalian internal yakni : a. Pengendalian internal merupakan sebuah proses. Pengendalian internal merupakan sebuah runtunan aktivitas, bukan merupakan tujuan/akhir dari suatu kegiatan. b. Pengendalian internal dipengaruhi oleh orang – orang, pengendalian internal bukan semata – mata manual kebijakan dan formulir – formulir. c. Pengendalian internal diharapkan memberikan hanya keyakinan memadai (reasonable assurance) bukan keyakinan mutlak (absolute assurance).
Menurut COSO, pengendalian internal terdiri dari lima komponen, komponenkomponen ini diturunkan berdasarkan bagaimana manajemen menjalankan bisnis dan 6
bagaimana pengendalian internal diintegrasikan dalam proses manajemen. meskipun komponen ini bersifat umum, terdapat perbedaan bagaimana komponen-komponen ini diterapkan sesuai dengan ukuran dan kompleksitas organisasi. kelima komponen tersebut adalah (COSO, 1992): a. Control Environment, Komponen ini merupakan fondasi bagi komponen yang lain dengan perannya dalam membangun iklim yang kondusif bagi para karyawan mengenai kesadaran pentingnya pengendalian. b. Risk Assessment, COSO mengarahkan untuk melakukan identifikasi terhadap risiko dari tiap aktivitas. c. Control Activities, Merupakan kebijakan dan prosedur yang dirancang untuk memastikan dilaksanakannya kebijakan manajemen dan bahwa risiko sudah diantisipasi dan penanganannya dilakukan dengan sesuai. d. Information and Communication, penyampaian tanggung jawab dan penyampaian informasi untuk memastikan pelaksanaan pengendalian internal sesuai dengan kewenangannya masing - masing. e. Monitoring, memastikan kehandalan sistem dan pengendalian internnya dari waktu ke waktu.
II.1.2 Tujuan Pengendalian Internal Apabila melihat definisi dan komponen – komponen yang dipergunakan COSO dalam menjalankan proses pengendalian internal, tujuan dari pengendalian internal menurut definisi dari COSO adalah (COSO, 1992): a. Finansial dan kepatuhan, Salah satu aktivitas audit pada suatu organisasi adalah untuk menguji efektivitas dan efisien dari pengendalian internal yang diterapkan untuk menegakkan tanggung jawab (responsibilities) dari setiap kegiatan yang dilakukan oleh manajemen. Tujuan dari pengendalian internal tersebut adalah untuk menjaga agar tidak terjadi penyalahgunaan wewenang yang dilakukan oleh manajemen sehingga dapat menjaga akuntabilitas dari laporan keuangan yang dikeluarkan. b. Operasional dan Kepatuhan, Salah satu komponen agar tercintanya operasional organisasi yang efektivitas dan efisien adalah dengan menerapkan kebijaksanaan dan prosedur yang mendukung tercapainya efektivitas dan efisien. kebijaksanaan dan prosedur tersebut tidak bisa mengabaikan aturan aturan yang terdapat pada suatu peraturan pemerintah. Peran pengendalian 7
internal di sini adalah memastikan tercapainya suatu operasional yang efektivitas dan efisien dengan tetap patuh terhadap peraturan yang berlaku. c. Mengamankan Aset, Terjadinya kasus korupsi/penggelapan disebabkan kurangnya pengendalian dalam menjaga aset – aset yang dimiliki oleh organisasi.
Korupsi/penggelapan
terjadi
karena
pihak
manajemen
menyalahgunakan wewenang yang diberikan oleh pemilik saham sehingga memungkinkan pihak manajemen untuk menggelapkan aset – aset yang dimiliki organisasi. Untuk mencegah hal tersebut pemegang saham mewajibkan manajemen untuk menerapkan pengendalian internal dan melakukan audit secara berkala untuk memastikan efektivitas dan efisien dari pengendalian internal tersebut.
II.1.3 Pengendalian internal dan Risiko Tujuan menerapkan pengendalian internal adalah untuk mengurangi risiko bukan untuk menghilangkan risiko, hal ini dikuatkan oleh definisi pengendalian internal dari COSO di mana pada definisi tersebut tertulis keyakinan yang memadai (reasonable assurance)” bukan keyakinan mutlak (absolute assurance). Pengendalian internal merupakan alternatif solusi yang dapat dipilih dalam mengelola risiko selain cara – cara mengelola risiko seperti transfer risiko kepada pihak ketiga, berbagi risiko, contingency
plan
dan
sebagainya.
Yang
perlu
diperhatikan
ketika
mengimplementasikan pengendalian internal untuk mengelola risiko adalah kombinasi yang efisien antara pengendalian (control) dan kelincahan (agility) organisasi.
II.1.4 Contoh penerapan Pengendalian Internal Sesuai yang tertera pada referensi (PWC dkk 2004), pada sistem manual, penerapan klasik pengendalian intern dapat dijabarkan sebagai : a. Penerapan sistem otorisasi transaksi. b. Pemisahan/pembagian tugas, wewenang dan tanggung jawab dalam perusahaan (antara
operasional, tugas penyimpanan harta kekayaan,
penyimpanan uang dan pembukuan). c. Pendokumentasian dan pencatatan yang memadai. d. Pengendalian akses dan penggunaan aktiva perusahaan dan catatan.
8
II.1.5 Pengelompokan Pengendalian Internal Pengelompokan pengendalian internal dilakukan sesuai dengan peranannya, pendekatan ini umumnya dikenal sebagai model pengendalian PDC : a. Preventive controls : Pengendalian intern yang dirancang dengan tujuan untuk mengurangi kemungkinan atau mencegah agar tidak terjadi kesalahan maupun penyalahgunaan. Tipe kendali ini merupakan lini terdepan dari pertahanan dalam struktur pengendalian. b. Detection controls : Alat, teknik ataupun prosedur ini dirancang untuk mengidentifikasi dan mengekspos peristiwa yang tidak diinginkan yang lolos dari pengendalian preventif. Ketika pengendalian detektif mengidentifikasikan adanya penyimpangan maka peringatan akan muncul untuk menarik perhatian ke masalah terkait. c. Corrective controls : Pengendalian ini sifatnya korektif. Jika terdapat data yang tidak valid tetapi tidak terdeteksi oleh detection controls atau data yang tidak valid yang terdeteksi oleh program validasi, terdapat prosedur yang jelas dalam melakukan pembetulan terhadap kesalahan tersebut. Untuk setiap kesalahan yang dideteksi akan terdapat lebih dari satu tindakan perbaikan yang mungkin dapat dilakukan.
II.2
Sarbanes Oxley Act
Di awal tahun 2000 terjadi skandal keuangan pada perusahaan- perusahaan besar di Amerika seperti Enron, Tyco International, WorldCom. Skandal tersebut berupa kesalahan dalam proses penyampaian transaksi keuangan sehingga laporan audit transaksi keuangan perusahaan tersebut bersifat tidak bisa diandalkan (unreliable financial report).
Untuk memulihkan kepercayaan investor, pada tanggal 23 Januari 2002 kongres Amerika Serikat mengesahkan undang - undang Public Company Accounting Reform and Investor Protection Act of 2002 atau undang - undang perlindungan investor dan pengaturan akuntansi perusahaan publik, saat ini undang - undang ini lebih terkenal dengan nama SOX atau Sarbox mengambil inisial dari pencetus undang - undang ini Paul Sarbanes dan G.Oxley.
9
Sebagai usaha dalam mengembalikan kepercayaan pihak investor dalam pasar modal, SOX mengatur kebijakan dalam perusahaan publik yang meliputi (Gondodiyoto, 2007) : a. Pengembangan tata kelola perusahaan yang baik b. Pembaruan akuntansi c. Penyusunan tata cara penyingkapan informasi keuangan yang transparan d. Pengungkapan hasil kerja yang dicapai manajemen e. Penegakan kode etik pejabat di bidang keuangan f. Pembatasan kompensasi bagi pihak eksekutif g. Pemberlakuan komite audit independen h. Penegasan tanggung jawab para anggota dewan komisaris, direksi, dan komite audit.
SOX mengamanatkan dibentuknya PCAOB (Public Company Accounting Oversight Board) yang independen dan bekerja penuh di bawah SEC (Security and Exchange Commission) mengawasi firma akuntan publik dan mengeluarkan standar yang berhubungan dengan akuntansi dan proses audit. PCAOB juga berperan sebagai penegak hukum terhadap corporate fraud dan memberikan perlindungan terhadap whistleblower.
SOX terdiri atas 11 judul utama dengan 69 pasal. Yang pertama adalah bagian 302, corporate responsibility for financial report. Pada bagian ini dibahas bagaimana Chief executive officers dan Chief financial officer untuk (SEC, 2002): a. Are responsible for establishing and maintaining internal controls. b. Have designed such internal controls to ensure that material information relating to the issuer and its consolidated subsidiaries is made known to such officers by others within those entities, particularly during the period in which the periodic reports are being prepared.
Bagian kedua yang memiliki implikasi dengan internal control adalah bagian 404, Management assessment of internal control. Secara garis besar isi dari bagian 404 adalah Chief executive officers dan Chief financial officer untuk dapat: a. Are responsible for establishing and maintaining an adequate internal control structure and procedures for financial reporting. 10
b. Must report the effectiveness of the internal control structure and procedures.
II.2.1 Sarbanes Oxley Act Bagian 404 SOX 404 menyebabkan perusahaan memiliki kewajiban hukum melaporkan pengendalian internal terhadap proses pelaporan keuangan. SEC menetapkan empat elemen utama yang harus tercakup dalam laporan keuangan perusahaan publik adalah a. Pernyataan pertanggungjawaban pihak manajemen perusahaan (CEO dan CFO) terhadap penyusunan dan pengelolaan struktur pengendalian internal yang tepat bagi sistem pelaporan keuangan perusahaan. b. Pengidentifikasian framework yang digunakan oleh pihak manajemen dalam melakukan evaluasi pengendalian internal terhadap pelaporan keuangan. c. Penilaian terhadap efektivitas pengendalian internal pelaporan keuangan yang dilakukan oleh manajemen melalui pihak auditor internal perusahaan. d. Atestasi auditor eksternal terhadap poin di atas.
Karena dampak implementasi SOX 404 cukup besar dan signifikan, maka pihak manajemen perlu untuk mengetahui lebih dalam mengenai konsep pengendalian internal agar dapat menerapkan framework yang tepat untuk pengendalian internal perusahaannya.
II.2.2 Pengendalian Internal pada Teknologi Informasi Tingginya penggunaan TI pada organisasi mengakibatkan pentingnya peranan TI di dalam penerapan pengendalian internal. Petunjuk pelaksanaan SOX bagian 302 & 404 yang dikeluarkan oleh SEC menyarankan untuk menggunakan pengendalian internal berbasiskan TI karena memiliki sifat konsisten dan otomatis (PCAOB, 2004), pengendalian internal pada TI menjadi penting untuk menjaga kualitas dan integritas dari informasi yang dihasilkan oleh sistem informasi. TI memberikan manfaat yang dapat menunjang efektivitas dan efisiensi penerapan pengendalian internal, berikut adalah beberapa manfaat dari penerapan pengendalian internal berbasiskan TI: a. Secara konsisten mengimplementasikan aturan bisnis yang ada dan melakukan perhitungan yang kompleks terhadap data dan transaksi dalam jumlah yang sangat besar. b. Meningkatkan ketepatan waktu, ketersediaan dan akurasi dari informasi.
11
c. Dapat dipergunakan sebagai perkakas pengawasan terhadap kinerja dari kebijaksanaan dan prosedur pengendalian internal. d. Memfasilitasi untuk dilakukannya analisa terhadap informasi. e. Mengurangi risiko tidak dipatuhinya pengendalian (control). f. Meningkatkan efektivitas dari pemisahan wewenang dengan cara mengimplementasikan pengendalian keamanan (security control) pada aplikasi, database dan sistem operasi.
II.3
COSO – Internal Control Framework
Pada tahun 2003 Institute of Internal Auditor (IIA) melakukan survei mengenai hubungan Good Corporate Governance dengan pengendalian internal, di dalam laporannya yang berjudul “internal Auditors Role in Corporate Governance” menyebutkan bahwa 63% responden menggunakan framework yang dikeluarkan oleh Committee of Sponsoring Organizations of the Treadway Commission atau disingkat COSO dalam membantu penerapan pengendalian internal di dalam organisasinya.
II.3.1 Definisi dan Tujuan Menurut Committee of Sponsoring Organizations of the Treadway Commission COSO, Internal control adalah sebuah proses yang diprakarsai oleh dewan direksi, manajemen dan personel lainnya yang didisain untuk mendapatkan keyakinan yang memadai agar tercapainya (COSO, 1992): a. Efektif dan efisien dalam operasional. b. Reabilitas dari laporan keuangan. c. Patuh terhadap hukum dan aturan – aturan.
II.3.2 Lima komponen pengendalian internal COSO mendefinisikan lima komponen yang saling berhubungan dalam penerapan pengendalian internal, kelima komponen tersebut adalah : 1. Control Environment (lingkungan pengendalian) Komponen ini merupakan fondasi bagi komponen yang lain dengan perannya untuk membangun iklim yang kondusif bagi para karyawan mengenai kesadaran pentingnya kontrol. Komponen ini terdiri atas lima bagian utama, yaitu : a. Integritas dan nilai etos. b. Komitmen terhadap kompetensi. 12
c. Boards of Director atau komite audit. d. Filosofi manajemen dan gaya operasional. e. Struktur organisasi. 2. Risk Assessment (Penilaian Risiko) COSO mengarahkan untuk melakukan identifikasi terhadap risiko dari tiap aktivitas. Pada tahap risk assessment, juga terdapat cost-benefit consideration yang memperhitungkan biaya dan keuntungan yang akan dihasilkan dari suatu penerapan kendali. Komponen ini terdiri atas empat bagian utama, yaitu : a. Entity-Wide Objectives. b. Activity-Level Objectives. c. Identifikasi risiko. d. Manajemen perubahan. 3. Control Activities (Aktivitas Pengendalian) Merupakan
kebijakan
dan
prosedur
yang
dirancang
untuk
memastikan
dilaksanakannya kebijakan manajemen di mana risiko sudah diantisipasi dan penanganannya dilakukan dengan sesuai. Komponen ini terdiri atas tujuh bagian utama, yaitu : a. Review Top Level. b. Manajemen aktivitas. c. Pemrosesan informasi. d. Kendali fisik. e. Indikator performansi. f. Pembagian wewenang. g. Pengendalian terhadap Sistem informasi. 4. Information & Communication (Informasi & Komunikasi) Komponen ini menjelaskan bahwa sistem informasi sangat penting bagi keberhasilan atau peningkatan mutu operasional organisasi. Informasi, baik yang diperoleh secara eksternal maupun dari pengolahan internal merupakan potensi strategis (potential strategic) perusahaan. Komponen ini terdiri atas dua bagian utama, yaitu : a. Informasi . b. Komunikasi. 5. Monitoring (Pengawasan)
13
Pemantauan dijabarkan dalam framework COSO untuk memastikan kehandalan sistem dan pengendalian internnya dari waktu ke waktu. Komponen ini terdiri dari tiga bagian utama, yaitu : a. Pengawasan pada proses yang sedang berlangsung. b. Evaluasi terpisah. c.
Pelaporan terhadap defisiensi.
II.3.3 Proses Pengendalian Internal Kelima komponen pengendalian internal sebagai aktivitas dari pengendalian internal. Kelima komponen tersebut adalah Control environment, Risk Assessment, Control Activities, Information & Communication, Monitoring. Lebih jauh COSO memberikan panduan
bagaimana sebaiknya pengendalian internal pada sistem
informasi akuntansi dijalankan.
Gambar II.1. Proses Pengendalian Internal (COSO, 2006) Dalam menjalankan proses pengendalian internal, lima komponen pengendalian internal menurut COSO dapat dipandang sebagai sebuah proses yang harus dilakukan dalam menjalankan pengendalian internal. Dalam menjalankan pengendalian internal perlu untuk diperhatikan bagaimana risiko dari penggunaan teknologi informasi, Risiko tersebut bukanlah merupakan suatu kondisi yang tetap (statis), risiko tersebut senantiasa berkembang sejalan dengan perkembangan teknologi informasi dan SDM yang menjalankannya.
14
Aktivitas pengendalian internal dibangun dari lingkungan pengendalian, lingkungan pengendalian memberikan dasar atas aktivitas pengendalian berdasarkan risiko – risiko yang teridentifikasi pada tahap penilaian risiko. Aktivitas pengendalian internal yang baik senantiasa didukung oleh informasi yang memadai berkenaan dengan kondisi internal dan eksternal dari proses pengendalian internal. Dengan didukung mekanisme komunikasi yang baik maka diharapkan setiap individu yang diberi wewenang mengerti akan aktivitas – aktivitas yang harus dilakukan.
Aktivitas
pengendalian internal tidak boleh hanya bersifat statis, proses pengawasan harus senantiasa dilakukan untuk memberi masukan akan perbaikan yang dapat dilakukan.
II.3.3.1
Penilaian Risiko (Risk Assessment)
Dalam melakukan proses pengendalian internal, sangat penting untuk mengetahui risiko – risiko yang akan dapat mengganggu integritas dari sistem informasi akuntansi. Risiko – risiko tersebut berperan sebagai titik tolak dalam melakukan penerapan pengendalian internal. Seperti yang telah disebutkan pada bab II bahwa hubungan risiko dengan pengendalian internal adalah pengendalian internal merupakan salah satu cara dalam mengurangi (mitigasi) risiko. Oleh karena itu aktivitas pengendalian internal tidak akan dapat dilakukan dengan efektif apabila belum dilakukan penilaian risiko terlebih dahulu. Hal ini dikarenakan tidak adanya pemahaman akan risiko dalam menjalankan pengendalian internal. Penilaian risiko (Risk Assessment) – Berikut ini adalah proses penilaian risiko yang dapat dilakukan untuk mengidentifikasi risiko pada sistem informasi akuntansi : a. Identifikasi rekening dan transaksi penting – Perlu untuk digaris bawahi bahwa proses penilaian risiko pada sistem informasi akuntansi harus difokuskan pada risiko – risiko yang berhubungan langsung dengan integritas dari informasi yang digunakan dalam membuat laporan keuangan. Untuk memudahkan dalam menentukan prioritas maka penilaian risiko difokuskan pada rekening dan transaksi yang memiliki pengaruh yang cukup besar terhadap laporan keuangan. b. Menilai kemungkinan dan akibat dari risiko – Setiap risiko memiliki dampak dan intensitas yang berbeda – beda. Dalam menentukan dampak dan intensitas dari sebuah risiko dapat dilakukan dengan cara melihat sifat bawaan, waktu dan dampak dari risiko tersebut. Untuk mendapatkan hasil yang maksimal 15
maka pengendalian internal harus difokuskan terhadap risiko – risiko yang memiliki dampak yang besar dan dengan intensitas yang tinggi. c. Bagaimana sebaiknya risiko dikelola – Penerapan pengendalian internal dalam menanggulangi risiko - risiko yang mungkin terjadi tidak akan mungkin dapat terlepas dari kesiapan sumber daya manusia, teknologi dan pengguna akhir, untuk itu diperlukan suatu pendekatan yang sesuai dengan keadaan organisasi. Dalam aktivitas pengendalian internal penilaian risiko memberikan dasar dan prioritas dalam penerapan pengendalian internal, tindak lanjut atas penerapan pengendalian internal selanjutnya akan dijabarkan dalam aktivitas lingkungan pengendalian (control environment) dan aktivitas pengendalian (control activities).
II.3.3.2
Lingkungan Pengendalian (Control Environment)
Penerapan pengendalian internal tidak bisa dianggap hanya sebagai sebuah aktivitas pengendalian, pengendalian internal merupakan sebuah proses berkesinambungan yang senantiasa diperbaharui dan dijalankan dengan dukungan dari manajemen (integrated process). Dukungan tersebut merupakan sesuatu yang sangat penting karena dengan dukungan tersebut seluruh komponen organisasi dapat menilai kepentingan (urgensi) dari penerapan pengendalian internal.
Dukungan manajemen terhadap pengendalian internal pada sistem informasi akuntansi dapat berupa : a. Integritas dan Nilai Etika – Berisikan code of conduct tentang tata kelola pengendalian internal pada sistem informasi akuntansi.
code of conduct
tersebut kurang lebih berisikan risiko – risiko yang dapat diterima oleh organisasi, nilai etika dan moral dalam menjalankan pengendalian internal. Efektivitas dari pengendalian internal tercermin dari integritas dan nilai etika dari individu - individu yang membuat, menjalankan dan mengawasinya. Integritas dan etika merupakan elemen yang penting dalam melaksanakan pengendalian internal. b. Komitmen Terhadap Kompetensi - Kompetensi mencerminkan pengetahuan dan keahlian yang diperlukan untuk menyelesaikan tugas/pekerjaan. Merupakan wewenang dari manajemen untuk menentukan kompetensi yang diperlukan dalam menjalankan pengendalian internal, terdapat timbal balik 16
antara kompetensi dan biaya
yang harus dikeluarkan dalam menjalankan
pengendalian internal. c. Dewan Direksi dan Komite Audit – Dukungan dewan direksi terhadap pelaksanaan pengendalian internal pada sistem informasi akuntansi merupakan sesuatu yang penting, hal ini disebabkan besarnya biaya yang diperlukan dan luasnya cakupan dari pengendalian internal. d. Manajemen filosofi dan gaya operasional - manajemen filosofi dan gaya operasional
mencerminkan
bagaimana
organisasi
mengelola
risiko
penggunaan teknologi informasi, hal ini termasuk risiko - risiko yang dapat diterima dan risiko - risiko yang harus dihindari. Komunikasi merupakan kata kunci dalam menjalankan filosofi dan gaya beroperasi. e. Struktur Organisasi – Struktur organisasi memberikan sebuah struktur dalam melaksanakan pengendalian internal melalui proses perencanaan, pelaksanaan, pengendalian dan pengawasan. Dengan adanya struktur organisasi yang baik maka dapat memastikan ketersediaan informasi yang dibutuhkan dalam pelaksanaan pengendalian internal. f. Pemberian wewenang dan tanggung jawab - Hal ini mencakup pemberian wewenang dan tanggung jawab dalam menjalankan pengendalian internal. Lebih jauh hal ini mencakup wewenang individu atau tim dalam mengambil Keputusan untuk menyelesaikan suatu permasalahan. Wewenang dan tanggung jawab dapat dibuat dalam bentuk deskripsi pekerjaan (job description) dalam pelaksanaan pengendalian internal. g. Kebijakan SDM – Dukungan SDM terhadap pengendalian internal dapat berupa kebijaksanaan dan prosedur dalam melakukan perekrutan dan pelatihan dengan menyertakan pengendalian internal sebagai salah satu kriteria penerimaan pegawai. Pada saat penerimaan pegawai juga penting untuk dilakukan rekam jejak (track record) dari calon pegawai apakah pernah berhubungan dengan kasus – kasus yang berkaitan dengan akuntabilitas dan integritas terhadap tanggung jawab yang pernah diberikan kepadanya.
II.3.3.3
Aktivitas Pengendalian (Control Activities))
Dalam melihat pengendalian internal sebagai sebuah proses, aktivitas pengendalian merupakan proses utama dalam menjalankan pengendalian internal. Proses ini didasarkan atas kebutuhan pengelolaan risiko hasil dari proses penilaian risiko. 17
Aktivitas pengendalian internal pada sistem informasi akuntansi dapat berupa : a. Penilaian oleh Petinggi Organisasi– Penilaian langsung dari senior manajer menunjukkan perhatian dan dukungan terhadap penerapan pengendalian internal pada sistem informasi akuntansi. Senior manajer dapat menilai bagaimana kinerja dari pengendalian internal dihubungkan dengan biaya yang telah dikeluarkan. Dengan cara ini perbaikan bisa langsung dirumuskan dan apabila kinerja tidak sesuai dengan yang diharapkan maka akan ada hukuman yang dapat diberikan terhadap pelaksana pengendalian internal. b. Pemrosesan Informasi - Setiap pengendalian internal dalam memproses informasi harus dilakukan dengan akurat, lengkap mengikuti standar - standar akuntansi . Perubahan terhadap sistem harus dilakukan dengan terkendali agar sistem yang baru dapat bekerja dengan semestinya. c. Kontrol fisik - Perlindungan fisik terhadap peralatan teknologi informasi yang digunakan dalam mendukung sistem informasi akuntansi merupakan suatu hal yang penting untuk dilakukan. perlindungan tersebut dapat berupa pembatasan akses, alarm, kamera pengawas, patroli keamanan dan sebagainya. d. Indikator Kinerja - Setiap kegiatan operasional pastilah akan menghasilkan suatu nilai kinerja. Dengan mempelajari keanehan - keanehan yang terjadi, keanehan tersebut dapat merupakan suatu indikasi telah terjadinya kesalahan (baik yang sengaja ataupun yang tidak sengaja). e. Pemisahan kekuasaan (Segregation of Duties) - Dalam sistem informasi akuntansi, pemisahan wewenang dapat diartikan dalam beberapa tingkatan yakni pembuatan, operasional dan pengguna akhir. Developer yang ikut serta dalam masa pembuatan sebaiknya jangan menjadi administrator pada masa operasional karena ditakutkan dapat memanipulasi sistem. Begitu juga dengan pengguna sistem tidak boleh merangkap menjadi administrator karena apabila hal itu terjadi maka pengguna tersebut dapat melakukan memanipulasi terhadap transaksi - transaksi secara langsung.
II.3.3.4
Informasi dan Komunikasi (Information & Communication)
Suatu proses tidak akan dapat berjalan tanpa tersedianya informasi yang memadai dan media komunikasi yang sesuai untuk mengomunikasikan informasi – informasi tersebut. Aktivitas pengendalian memerlukan dukungan informasi untuk mendukung 18
pengambilan keputusan dan mendukung jalanya operasional kegiatan pengendalian internal.
Informasi dan komunikasi yang dapat digunakan untuk mendukung keberhasilan proses pengendalian internal dapat berupa : a. Informasi – Ketersediaan informasi merupakan salah satu komponen pendukung keberhasilan penerapan pengendalian internal. Informasi tersebut dapat berasal dari berbagai sumber baik internal (kebijakan, prosedur, kinerja pengendalian internal) maupun eksternal (regulasi). Yang penting untuk diperhatikan dalam menyediakan/menggunakan informasi adalah kualitas dari informasi tersebut (timely, current, accurate dan accessible). b. Komunikasi – Ketersediaan informasi yang berkualitas tidak akan bermanfaat tanpa adanya media komunikasi yang efektif. Harus ada media komunikasi yang efektif antara atasan dan bawahan serta kepada seluruh pengguna sistem informasi akuntansi dalam mengomunikasikan informasi – informasi yang menunjang keberhasilan penerapan pengendalian internal.
II.3.3.5
Pengawasan (Monitoring)
Proses pengawasan bertujuan untuk memastikan pengendalian dapat terus berjalan sesuai dengan yang direncanakan. Pengawasan terhadap proses pengendalian internal dilakukan dengan cara menilai kinerja dan pencapaiannya. Pengawasan penting untuk dilakukan agar proses pengendalian internal dapat senantiasa mengikuti perubahan dari risiko penggunaan teknologi informasi yang senantiasa selalu berkembang.
Pengawasan yang sesuai untuk mendukung keberhasilan proses pengendalian internal dapat berupa : a. Pengawasan yang sedang berlangsung – Pengawasan terhadap operasional pengendalian internal bertujuan untuk memastikan pelaksanaan dari pengendalian internal. Pengawasan tersebut dapat berupa pelaporan kepada atasan, supervisi. b. Pengawasan terpisah – Proses pengawasan terhadap operasional pengendalian internal memberikan gambaran tentang keberadaan dan kinerja dari proses pengendalian internal. Evaluasi terpisah yang diadakan sewaktu – waktu dapat dilakukan untuk memberikan gambaran segar akan kondisi dari pengendalian 19
internal. Evaluasi ini tidak perlu dilakukan untuk seluruh pengendalian internal, ruang lingkup dan frekuensi dari evaluasi dapat disesuaikan dengan tinggi rendahnya risiko yang dihadapi oleh suatu pengendalian internal. c. Pelaporan
kekurangan
pengendalian
–
pelaporan
internal
kekurangan
bertujuan
pada
untuk
pelaksanaan
mengidentifikasi
kekurangan/kelemahan pengendalian internal dan melaporkannya secara sistematis. Diharapkan dengan dilakukan secara berkala dan sistematis, maka perbaikan yang dilakukan dapat lebih terarah dan berkesinambungan. II.4
Sistem Informasi Akuntansi
II.4.1 Sistem informasi dalam prospektif akuntansi Dalam perspektif akuntansi, sistem informasi dibagi menjadi dua kelas (Hall, 2004) : a. Sistem Informasi Akuntansi (SIA). b. Sistem Informasi Manajemen (SIM).
Perbedaan antara subsistem SIA dan SIM terletak pada konsep transaksi, transaksi adalah kegiatan yang mempengaruhi atau merupakan kepentingan dari perusahaan serta diproses oleh sistem informasinya sebagai unit pekerjaan(Hall, 2004). Transaksi terbagi menjadi dua jenis : a. Transaksi Keuangan. b. Transaksi non-Keuangan. II.4.2 Subsistem informasi akuntansi Sistem Informasi Akuntansi terdiri dari tiga subsistem (Hall, 2004): a. Sistem Pemrosesan Transaksi (transaction processing system) b. Sistem Buku Besar/Pelaporan Keuangan (general ledger/financial reporting system) c. Sistem Pelaporan Manajemen (Management reporting system)
II.4.3 Akuntansi, akuntabilitas dan GCC Akuntansi, akuntabilitas dan tata kelola merupakan suatu konsep yang tidak bisa dipisahkan. Akuntansi mengatur bagaimana sebuah informasi diolah oleh shareholder dan dipresentasikan untuk stakeholder, informasi tersebut merupakan salah satu indikator keakuntabilitasan shareholder di mata stakeholder. Akuntabilitas merupakan
20
salah satu komponen yang mendukung tercapainya tata kelola organisasi yang baik. Kita dapat memandang akuntansi sebagai teknik, akuntabilitas sebagai state of mind dan tata kelola sebagai metode yang digunakan untuk mengontrol dan juga sebagai sebuah perkakas yang dapat dipergunakan untuk menyatukan kesemua hal tersebut.
II.4.4 Akuntabilitas sistem informasi akuntansi Kebutuhan/wacana akan akuntabilitas dari sistem informasi akuntansi muncul seiring dengan penerapan SOX. Dilihat dari sudut pandang SOX, sistem informasi akuntansi merupakan salah satu sumber risiko yang harus diperhitungkan. Saat ini hampir di seluruh organisasi telah menggunakan IT/IS untuk mencatat, mengelola, menyimpan dan melaporkan transaksi-transaksi
keuangan yang terjadi, untuk mencapai
akuntabilitas dari laporan keuangan sangat penting untuk memastikan akuntabilitas dari sistem informasi..
Apabila mengacu pada panduan yang dikeluarkan oleh SEC dalam membantu penerapan undang – undang SOX, PCAOB no 5 menerangkan bahwa TI merupakan salah satu sumber risiko yang harus diwaspadai. Dalam petunjuk pelaksanaan tersebut dijelaskan bahwa penilaian terhadap risiko yang bersumber dari TI termasuk dalam rangkaian penilaian risiko organisasi secara menyeluruh di mana penilaian tersebut harus disertakan juga dalam laporan penilaian risiko (risk assessment).
Staf divisi IT/IS memiliki tanggung jawab (responsibilities) dalam memastikan confidentiality, availabilities dan integrity dari IT/IS. Dalam pelaksanaannya, pihak – pihak yang bertanggung jawab dalam menjaga ketiga komponen keamanan informasi di atas dapat
menggunakan framework keamanan informasi seperti ISO:27001.
Untuk menguji akuntabilitas sistem informasi akuntansi dapat dilakukan audit TI untuk menguji proses bisnis dan layanan IT yang terdapat pada sistem informasi akuntansi.
Audit adalah sebuah proses yang sistematis, memiliki objektif dalam mengevaluasi kegiatan ekonomi serta memperoleh bukti-bukti yang relevan, guna memberikan asersi dan menilai sejauh apakah tindakan ekonomi yang dijalankan sesuai dengan kriteria yang berlaku dan melaporkannya kepada pihak yang berkepentingan. Sedangkan audit TI adalah proses pengumpulan dan evaluasi bukti-bukti untuk 21
menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta dapat menggunakan sumber daya yang dimiliki secara efisien . Aspek yang diperiksa pada audit sistem TI adalah : a. Audit secara keseluruhan yang menyangkut availability system, reliability, confidentiality, integrity, dan security. b. Audit proses, meliputi modifikasi pada program, audit atas sumber data, audit file data, audit media penyimpanan, serta alur data dan informasi dalam perusahaan.
II.5
Manajemen Risiko
II.5.1 Definisi Risiko Konsekuensi yang tidak menyenangkan, atau dapat pula berupa perkiraan kerugian (Kematian, cedera, kegagalan ekonomi, kerusakan lingkungan, dll) yang berasal dari interaksi antara alam atau manusia terhadap sebuah kelemahan (vulnerable).
II.5.2 Definisi Manajemen Risiko Menurut NIST manajemen risiko (risk management) adalah proses identifikasi, penilaian dan perencanaan strategi untuk mengurangi risiko ke tingkat yang dapat diterima (Gary dkk, 2002). Manajemen risiko memungkinkan manajemen untuk mencari keseimbangan antara biaya dan manfaat dalam melindungi aset - aset yang dimiliki organisasi.
Secara umum proses manajemen risiko dimulai dengan mengidentifikasi sumber daya yang dimiliki oleh organisasi, setelah itu dilanjutkan dengan mengidentifikasi gangguan (thread) dan kelemahan (vulnerabilities) yang mungkin terjadi. Setiap gangguan (thread) dan kelemahan (vulnerabilities) kemudian dikelompokkan berdasarkan dampak dan intensitas kejadiannya. Langkah terakhir dalam manajemen risiko adalah merancang strategi untuk mengurangi/meredakan risiko (risk mitigation) dari setiap kelompok risiko yang mungkin terjadi.
22
II.5.3 Ancaman (thread) & Kelemahan (vulnerabilities) Ancaman (thread) adalah potensi yang dapat digunakan oleh sumber ancaman (thread source) untuk melakukan uji coba (dengan sengaja atau tidak sengaja) terhadap sebuah kelemahan. Kelemahan (vulnerability) adalah kelemahan yang terdapat pada IT/IS yang dapat dengan sengaja atau tidak sengaja menjadi sebuah ancaman. suatu sumber ancaman (thread source) tidak akan menjadi suatu risiko ketika tidak ada kelemahan yang dapat digunakan sebagai jalan masuk untuk merusak sistem. Menurut Gary dkk, 2002 sumber gangguan pada IT/IS terbagi menjadi tiga kelompok: a. Ancaman dari alam (Natural threats), banjir, gempa bumi, tornado, langsir, badai serta bencana - bencana alam lainnya. b. Ancaman dari manusia (Human threats), kejadian yang terjadi atau dikarenakan adanya campur tangan manusia, contohnya seperti pemasukan data yang tidak benar atau dengan tindakan - tindakan yang dengan sengaja bertujuan mengganggu (penyerangan terhadap jaringan, akses terhadap data secara tidak sah). c. Ancaman
yang
disebabkan
oleh
lingkungan
(Environment
threats),
pemadaman listrik dalam waktu yang lama, polusi, bahan kimia berbahaya dan gangguan yang terjadi dilingkungkan lainnya.
II.5.4 Motivasi dan kegiatan ancaman Setiap sumber ancaman (thread source) memiliki cara dan pendekatan yang berbeda beda, ancaman dari manusia sumber risiko yang paling berbahaya karena manusia memiliki akal, motivasi dan sumber daya yang dapat dipergunakan. Tabel di bawah ini menjelaskan ancaman yang bersumber dari manusia dihubungkan dengan kemungkinan motivasi yang mendasari dan metode yang digunakannya.
Tabel II.1 Motivasi dan Risiko (Gary dkk, 2002). Sumber Ancaman Hacker, cracker
Motivasi Tantangan Ego Jiwa pemberontakan
Penjahat komputer
Penghancuran informasi Mendapatkan informasi
23
Kegiatan Hacking Social engineering Mengganggu sistem Masuk ke dalam sistem secara tidak sah. Kejahatan komputer (cth., cyber stalking)
secara ilegal Uang Pencurian data. Surat kaleng Penghancuran Eksploitasi Balas dendam
Teroris
Pengintaian (perusahaan saingan, negara, dll)
Kelebihan yang tidak dimiliki pesaing. Pengintaian
Orang dalam
Ingin tahu Ego Uang Balas dendam Kesalahan yang tidak disengaja atau kelalaian (cth., kesalahan pemasukan data, kesalahan logika program)
Pemerasan Spoofing Mengganggu sistem Bom Perang informasi Penyerangan terhadap sistem Usaha - usaha untuk menembus sistem. Pencurian informasi Usaha - usaha untuk menembus sistem. Masuk ke dalam sistem secara tidak sah Penyerangan terhadap pegawai Pemerasan Melihat - lihat informasi yang bersifat rahasia Penyalahgunaan komputer Penipuan dan pencurian Penyuapan untuk mendapatkan informasi Pemalsuan masukan Kode asing (cth., virus, logic bom, kuda trojan) Menjual profile seseorang bug pada sistem Masuk ke dalam sistem secara tidak sah
II.5.5 Strategi penanggulangan risiko Strategi penanggulangan risiko adalah sebuah pendekatan yang dilakukan secara sistematik yang dilakukan dengan tujuan untuk mengurangi dampak dari risiko. Beberapa cara yang dapat dilakukan dalam rangka mengurangi dampak risiko adalah (Gary dkk, 2002): a. Asumsi terhadap risiko (Risk Assumption), untuk menerima segala dampak dari risiko dan terus menjalankan IT/IS, pilihan lainnya adalah dengan mengimplementasikan pengendalian untuk mengurangi dampak dari risiko ke tingkatan yang dapat diterima. b. Menghindari risiko (Risk Avoidance), menghindari risiko dengan cara mengeliminasi penyebab atau konsekuensi yang mendatangkan risiko.
24
c. Membatasi risiko(Risk Limitation), untuk mengurangi dampak risiko dengan cara mengimplementasikan pengendalian terhadap hal - hal yang dapat mengundang risiko. d. Perencanaan risiko (Risk Planning), mengelola risiko dengan cara membuat rencana penanggulangan risiko yang berisikan prioritas, implementasi dan pemeliharaan dari pengendalian. e. Pemindahan risiko (Risk Transfer), memindahkan risiko dengan cara menggunakan jasa pihak ketiga seperti pengalih dayakan (outsourcing) atau dengan cara membeli asuransi.
II.6
Keamanan Informasi (Information Security)
II.6.1 Definisi Keamanan Informasi Keamanan informasi, melindungi sistem informasi dan informasi dari pengaksesan dan penggunaan yang tidak sah, pengungkapan, gangguan, modifikasi atau penghancuran dalam rangka menyediakan (www.law.cornell.edu) : a. integritas, melindungi dari perubahan atau penghancuran yang dilakukan dengan tidak semestinya, serta memastikan tidak terjadinya penyangkalan informasi dan keasliannya. b. kerahasiaan,menyediakan mekanisme pengesahan dan pembatasan akses yang bertujuan melindungi kepemilikan informasi dan privacy perseorangan. c. Ketersediaan,
memastikan
ketepatan
waktu
penyampaian
informasi,
menyediakan akses yang dapat dipercaya untuk menggunakan informasi. II.6.2 Prinsip – prinsip Keamanan Informasi Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut: a. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. b. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa adanya izin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integritas ini.
25
c. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan pengguna yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
II.6.3 Risiko dari Sistem informasi Selain dapat meningkatkan efektivitas dan efisiensi dari operasional organisasi, IT juga memiliki risiko yang harus diperhatikan. Menurut PCAOB no 5, Risiko – risiko IT yang berhubungan dengan penerapan pengendalian internal adalah : a. Akses yang dilakukan oleh pihak yang tidak sah dapat mengakibatkan rusaknya data atau perubahan yang tidak semestinya seperti melakukan pencatatan transaksi fiktif atau melakukan perubahan terhadap transaksi. b.
Perubahan data yang tidak sah pada master file.
c. Perubahan yang tidak sah pada sistem atau program. d. Gagal dalam melakukan perubahan terhadap sistem dan program. e. Potensi kehilangan data.
II.6.4 Aktivitas Keamanan Informasi
Gambar II.2 Aktivitas Keamanan Informasi
Menurut International Guideline for Managing Risk of Information and Communication pada pernyataan no #1 menyatakan bahwa aktivitas dari keamanan informasi terdiri dari :
26
1.
Pembuatan kebijaksanaan (Policy development) - berdasarkan tujuan keamanan (security objective)
dan prinsip - prinsip organisasi sebagai
framework pembuatan kebijaksanaan keamanan informasi. 2.
Peran dan tanggung jawab (role and responsibilities) - memastikan peran, tanggung jawab dan wewenang telah dikomunikasikan dengan baik dan dimengerti.
3.
Desain - Membuat rencana keamanan informasi yang terdiri dari standar, penilaian, praktis dan prosedur.
4.
Pengawasan (monitoring) - Mengadakan pengawasan untuk mendeteksi dan memastikan perbaikan pelanggaran keamanan.
5.
Kesadaran, pelatihan dan edukasi - menciptakan kesadaran (awareness) akan pentingnya menjaga informasi. Mengadakan pelatihan untuk meningkatkan keahlian pengamanan informasi.
II.6.5 Kebijaksanaan (policies), Standar (standard) dan Panduan (Guideline) Secanggih apapun teknologi dari perkakas keamanan informasi, perkakas - perkakas tersebut tidak akan dapat menopang kecuali elemen manusia sebagai pengguna sistem telah dikelola dengan baik. Aturan tertulis yang mengatur penggunaan sumber daya teknologi informasi biasanya tertuang dalam : a. Kebijaksanaan (policies) - Kebijaksanaan adalah sebuah bahasa formal, ringkas dan pernyataan tingkat tinggi (high level statement) atau sebuah rencana yang mencakup sesuatu yang dipercaya oleh organisasi, cita - cita, tujuan dan prosedur yang diakui dalam suatu domain permasalahan tertentu. Sifat - sifat dari kebijaksanaan adalah : 1.
Harus dipatuhi, yang tidak mematuhi akan mendapatkan hukuman.
2.
Fokus terhadap hasil, tidak membahas mekanisme pelaksanaannya.
3.
Detail dari pelaksanaannya dijelaskan di dalam standar dan panduan (guidelines).
b. Standar (standard) - Suatu perintah atau aturan yang didesain untuk mendukung kebijaksanaan, standar haruslah dapat membuat kebijaksanaan lebih berarti dan efektif. c. Panduan (Guideline) - Panduan adalah sebuah kumpulan rekomendasi yang bersifat spesifik dan merupakan praktek - praktek terbaik (best practice). panduan bukanlah merupakan kebutuhan (requirement) yang wajib dipenuhi, akan tetapi
27
hanya bersifat baik apabila dipenuhi. Kebijaksanaan keamanan informasi yang baik sering kali akan mereferensi ke standar dan panduan yang telah ada di dalam organisasi II.6.6 Keamanan Informasi, Sistem informasi dan Pengendalian Internal Menurut PCAOB (2007), setiap pengendalian internal yang bertujuan untuk menjaga integritas laporan keuangan harus dilakukan testing/audit. Untuk itu audit juga harus dilakukan terhadap pengendalian yang terdapat pada sistem informasi. Pada sistem informasi, terdapat pengendalian yang dipergunakan untuk menjaga integritas dan kualitas dari informasi yang dihasilkannya. Apabila dilihat dari sudut pandang keamanan informasi, pengendalian internal merupakan salah satu cara dalam mencapai Kerahasiaan, Integritas dan ketersediaan . Apabila melihat dari komponen pengendalian aktivitas (control activities) yang terdapat pada COSO – Internal Control Framework, pengendalian internal pada sistem informasi terbagi menjadi dua kategori : a. IT General controls : Pengendalian yang berlaku untuk seluruh kegiatan komputerisasi pada suatu organisasi. Pengendalian umum juga sering dikenal sebagai pengendalian dari segi manajemen. Pengendalian umum dapat juga diartikan sebagai pengendalian yang tidak terkait langsung dengan aplikasi tertentu. b. Application controls : Pengendalian yang dirancang khusus untuk aplikasi tertentu. Pengendalian ini memandang dari perspektif teknis dan proses bisnis. Pengendalian aplikasi sering juga disebut pengendalian transaksi karena dirancang berkaitan dengan suatu transaksi pada aplikasi tertentu. II.6.7 Framework Keamanan Informasi –ISO: 17799 Pedoman
ISO 17799 menangani permasalahan dalam bentuk kebijaksanaan
keamanan (policy level), bebas dari teknologi. Sebagian besar berkonsentrasi pada manajemen keamanan. terdapat standar – standar yang bertujuan untuk menjalankan kebijaksanaan tersebut ke dalam tataran yang lebih rendah ( e.g.: ISO 15408, diperoleh dari ukuran-ukuran yang umum)
untuk
melukiskan
sistem/peralatan
keamanan ( perangkat keras, perangkat lunak). Framework ini diperoleh dari pengalaman Britania Industrial berisi unsur-unsur praktek keamanan terbaik. ISO17799 meliputi :
28
1. 10 Ketentuan Pengendalian. 2. 36 Tujuan Pengendalian. 3. 127 Pengendalian.
Hal itu dapat diuraikan menjadi 10 bagian utama dan mengidentifikasi sasaran hasil dari tiap kendali relatif untuk diterapkan (keseluruhan total ada :127 kendali): 1. Kebijakan Keamanan (Security Policy). 2. Organisasi keamanan (Security organization). 3. Penggolongan Aset dan kendali (Asset classification and control) 4. Keamanan Personil (Personnel Security). 5. Fisik dan Keamanan lingkungan (Physical and Environmental Security). 6. Komunikasi dan manajemen Operasi (Communication and operations management). 7. Kendali Akses Sistem (System Access Control). 8. Pengembangan
sistem
dan
pemeliharaan
(System
Development
and
maintenance). 9. Perencanaan Kesinambungan Bisnis (Business Continuity Planning). 10. Pemenuhan (Compliance).
II.7
Framework Yang Berkaitan Dengan Pengendalian Teknologi Informasi
II.7.1 Internal Control Objective For Sarbanes Oxley 2nd Sarbanes oxley Act menekankan pentingnya pengendalian internal untuk menjaga integritas dari laporan keuangan. Akan tetapi, terdapat kesulitan untuk menentukan pengendalian internal yang harus diterapkan sesuai dengan apa yang diamanatkan oleh SOX. IT Control Objective for Sarbanes-Oxley 2nd edition yang dikeluarkan oleh ISACA bertujuan untuk membantu menentukan pengendalian internal yang sesuai terutama yang berkaitan dengan pengendalian internal pada teknologi informasi. IT Control Objective for Sarbanes-Oxley 2nd edition dibuat berdasarkan panduan – panduan yang dikeluarkan organisasi – organisasi yang berhubungan dengan penerapan pengendalian internal seperti SEC (2002), PCAOB (2004, 2007), COSO (1992, 2007) dan ITGI (2006).
IT Control Objective for Sarbanes-Oxley 2nd edition yang dikeluarkan pada September 2006 menggantikan edisi sebelumnya yang telah lebih dahulu dikeluarkan 29
pada Mei 2004. Perubahan yang paling mendasar dari edisi kedua ini adalah digunakannya pendekatan dari atas ke bawah (top down risk assessment ) untuk menentukan ruang lingkup penilaian risiko dari pengendalian internal yang terkait langsung dengan laporan keuangan. IT Control Objective for Sarbanes-Oxley 2nd berisikan langkah – langkah sesuai dengan SOX bagian 404. Selain daripada itu IT Control Objective for Sarbanes-Oxley 2nd juga berisikan pengendalian internal yang perlu untuk diterapkan yang dibuat berdasarkan panduan COBIT 4.0. lebih jelasnya IT Control Objective for Sarbanes-Oxley 2nd berisikan (ITGI, 2006): a. Peta kepatuhan TI (IT Compliance Roadmap). b. Pengendalian internal yang perlu diterapkan (IT General Control & Application Control). II.7.1.1
Peta kepatuhan TI (IT Compliance Roadmap)
Gambar II.3. SOX Cobit jalan menuju kepatuhan (ITGI, 2006). Peta kepatuhan TI berisikan penjabaran dari penilaian risiko dari atas ke bawah (top down risk assessment) yang dilakukan terhadap pengendalian internal berbasiskan teknologi informasi. Panduan ini merupakan panduan pertama yang membahas penerapan penilaian risiko dari atas ke bawah pada pengendalian internal berbasiskan teknologi informasi. Peta kepatuhan TI berisikan enam tahapan yang harus dilalui untuk mencegah risiko – risiko yang tidak diinginkan. Keenam langkah tersebut adalah :
30
1. Plan and Scope IT Controls Perhatian harus diberikan secara tepat pada scoping dan perencanaan program IT compliance. Scoping adalah proses untuk memahami aplikasi TI mana dan subsistem terkait yang harus dimasukkan dalam proyek tersebut, mana yang harus dikeluarkan, berdasarkan temuan tim keuangan/bisnis. Perencanaan adalah proses untuk membuat jadwal aktivitas yang ditugaskan pada orang-orang dan kemajuannya dapat dimonitor. Secara detail kegiatan yang ada pada tahapan ini , meliputi : a. Penugasan akuntabilitas dan tanggung jawabnya. b. Membuat inventori aplikasi relevan dan subsistem terkait (gambar). c. Mereview dokumentasi proses finansial dan mengidentifikasi kendali aplikasi. d. Membuat rencana proyek awal dan mendapatkan persetujuan. e. Menentukan tanggung jawab untuk kendali aplikasi. f. Mempertimbangkan isu multilokasi. g. Mempertimbangkan apakah aplikasi bisa dihilangkan dari ruang lingkup. h. Mengidentifikasi ketergantungan kepada pihak ketiga.
Gambar II.4. Pengendalian Internal pada SOX Cobit (ITGI, 2006).
2. Assess IT Risk Pada tahap ini, organisasi perlu untuk menilai risiko dalam proses TI dan lapisan yang mendukung aplikasi dalam ruang lingkup. Dalam melakukan penilaian risiko, perlu dipertimbangkan risiko inheren daripada risiko residual. Kegiatankegiatan yang ada di tahap ini, diantaranya :
31
a. Menilai risiko inheren dari aplikasi dan subsistem terkait. b. Memperbaiki lingkup dan mengubah rencana proyek. 3. Document Controls Pendokumentasian kendali menggambarkan kepada manajemen bagaimana risiko terkait dengan pelaporan keuangan yang terjamin, telah dikelola dan memungkinkan manajemen untuk mengambil keputusan terhadap level risiko yang tersisa. Sebagai contoh, jika aplikasi finansial bergantung kepada perhitungan yang kompleks, maka ada risiko perubahan yang tidak terotorisasi menghasilkan kesalahan dalam pernyataan keuangan. Kegiatan-kegiatan yang ada di tahap ini, diantaranya : a. Mengidentifikasi Kontrol TI Level Entitas. b. Mengidentifikasi Kontrol Aplikasi. c. Mengidentifikasi Kontrol yang relevan. d. Mendokumentasikan Kontrol, yang diantaranya meliputi deskripsi proses, deskripsi risiko, pernyataan control objective yang dirancang, deskripsi pendekatan, kesimpulan efektivitas kontrol.. 4. Evaluate Control Design and Operating Effectiveness Kegiatan yang ada di tahap ini, diantaranya : a. Evaluasi Rancangan Kontrol. b. Evaluasi efektivitas operasional. c. Mempertimbangkan natur dari bukti yang diperlukan. d. Mempertimbangkan timing pengujian kontrol. e. Pengujian roll-forward. 5. Prioritize and Remediate Deficiencies Kegiatan yang ada dalam tahap ini , meliputi : a. Mempertimbangkan petunjuk dari SEC dan PCAOB. b. Mengidentifikasi dan menilai kekurangan kontrol umum TI. c. Mempertimbangkan agregasi akibat dari defisiensi yang ada. d. Memperbaiki kekurangan kontrol yang ada. 6. Build Sustainability Pada tahap ini, manajemen TI harus berada dalam posisi untuk menilai keefektifan kontrol internal TI. Kontrol bukanlah suatu kejadian, tapi adalah proses yang memerlukan dukungan kontinu dan dievaluasi. Tujuannya adalah untuk
32
mengonversi proyek kontrol TI menjadi suatu proses. Aktivitas berikut harus dipertimbangkan untuk mencapainya : a. Melakukan review pasca implementasi proyek SOX, mengidentifikasikan hal yang berjalan benar dan area perbaikannya. b. Review petunjuk SEC dan PCAOB, dan menentukan apakah perubahan berpengaruh pada pendekatan masa depan. c. Review materi independen yang lain sebagai saran dan peluang untuk memperbaiki proses. d. Bertemu dengan organisasi lain dan berdiskusi tentang perbaikan potensial untuk proses. e. Menilai solusi jangka panjang untuk menangani isu SOX. f. Membangun rencana awal dan jadwalnya. g. Membangun proses SOX ke dalam inisiatif tatakelola TI yang lebih luas.
II.7.1.2
Pengendalian internal Menurut IT Control Objective for Sarbanes-
Oxley
Tabel II.2 Dua Belas pengendalian internal pada SOX Cobit (ITGI, 2006).
Bagian kedua dari IT Control Objective for Sarbanes-Oxley 2nd berisikan 12 aktivitas pengendalian teknologi informasi. Dasar dari 12 aktivitas pengendalian internal
33
tersebut diambil dari PCAOB no 2 tentang pentingnya penerapan pengendalian internal pada sistem akuntansi berbasiskan teknologi informasi. Keempat dasar dari pengendalian internal tersebut adalah : a. Pengembangan Program. b. Perubahan Program. c. Operasional Komputer. d. Akses terhadap program dan database.
Pada IT Control Objective for Sarbanes-Oxley 2nd aktivitas dari pengendalian internal dijabarkan lebih jauh menjadi : a. IT General Control (Appendix C) – Tujuan dari pengendalian umum TI pada dasarnya dapat tercapai melalui penerapan Entity Level IT Control dan Activity Level IT Control. Pada Entity Level IT Control panduan ini memberikan poin – poin yang perlu diperhatikan (point to consider) berdasarkan lima komponen pengendalian internal yang terdapat pada framework COSO dan control objective yang terdapat pada COBIT 4.0. Sedangkan untuk Activity Level IT Control panduan ini memberikan panduan pengendalian (Control Guidance) berdasarkan 12 aktivitas pengendalian internal yang terdapat pada IT Control Objective for Sarbanes-Oxley 2nd. b. Application Control (Appendix D) – Pengendalian aplikasi adalah pengendalian yang menyatu pada proses bisnis sistem informasi akuntansi untuk mencegah atau mendeteksi tindakan - tindakan yang dapat mengganggu integritas dari suatu transaksi. Pada IT Control Objective for Sarbanes-Oxley 2nd tujuan dari pengendalian aplikasi adalah untuk menyediakan keyakinan yang memadai atas keselesaian, akurasi, evaluasi dan otorisasi suatu transaksi. Panduan ini memberikan contoh pengendalian aplikasi yang dapat diterapkan beserta ilustrasi dari penerapannya.
II.7.2 Guide to the Assessment of IT (GAIT) Institute of Internal Auditors (IIA) adalah lembaga internasional tepercaya yang berhubungan dengan internal audit, didirikan pada tahu 1941 IIA saat ini memiliki anggota dari 165 negara. misi dari pendirian IIA adalah untuk menaungi profesi internal audit di mana salah satunya adalah dengan:
34
1. Mendukung dan Mempromosikan nilai - nilai dari profesi internal audit pada organisasi. 2. Memberikan pembelajaran dan pengembangan, standar, panduan praktis dan sertifikat keprofesionalan. 3. Memberikan panduan praktek - praktek terbaik terkait dengan internal audit. 4. mempersatukan auditor internal dari berbagai macam negara untuk saling berbagi informasi dan pengelaman.
GAIT metodologi adalah panduan untuk melakukan penilaian pengendalian umum TI menggunakan pendekatan risiko yang dilakukan dari atas ke bawah (top down). IIA membuat panduan ini untuk membantu organisasi mengidentifikasi pengendalian umum TI yang dapat mengakibatkan material error pada laporan keuangan. Lebih spesifik lagi bahwa panduan ini memungkinkan manajemen dan auditor mengidentifikasi pengendalian umum TI penting yang dilakukan di dalam penilaian berkelanjutan dari atas ke bawah (top down) untuk menentukan ruang lingkup dari risiko yang disebutkan pada SOX 404. Dalam proses penilaian risiko, apabila di identifikasi terdapat risiko yang berpotensi menjadi material error.
GAIT memberikan panduan dalam mengidentifikasi
pengendalian umum TI yang perlu untuk diterapkan. Meskipun demikian GAIT tidak menyertakan
detail
aktivitas
pengendalian
internal
yang
spesifik
untuk
menanggulangi risiko tertentu, GAIT menyarankan untuk menggunakan perkakas lain seperti COBIT untuk menentukan detail aktivitas pengendalian TI yang perlu diterapkan setelah terlebih dahulu diidentifikasi pengendalian umum TI yang sesuai untuk menanggulangi risiko seperti yang diamanahkan pada SOX bagian 404.
Metodologi GAIT yang dikeluarkan oleh IIA Terdiri dari dua bagian (IIA, 2007): 1. Empat prinsip utama GAIT. 2. Metodologi GAIT.
Dalam menentukan ruang lingkup dari risiko proses umum TI, GAIT memiliki empat prinsip yang harus dipahami. Keempat prinsip tersebut adalah (IIA, 2007): 1. Identifikasi dari risiko dan kontrol yang terkait dengan proses pengendalian umum TI (manajemen perubahan, deployment, keamanan akses, operasional) harus
35
dilakukan secara berkelanjutan dari atas ke bawah (top down) dan dilakukan berlandaskan risiko untuk mengidentifikasi rekening yang berarti (significant account), risiko yang terkait dengan rekening tersebut, dan kontrol kunci pada proses bisnis. 2. Risiko dari proses pengendalian umum TI yang perlu diidentifikasi adalah risiko yang terkait langsung dengan fungsi – fungsi kritis TI pada aplikasi dan data yang bersifat kritis. 3. Risiko dari proses pengendalian umum TI yang perlu diidentifikasi terletak pada proses dan pada lapisan TI seperti : kode sumber program, database, sistem operasi dan jaringan. 4. Risiko pada proses pengendalian umum TI dapat dikurangi dengan penerapan beberapa tujuan pengendalian TI (IT Control Objective), penerapan satu pengendalian TI tidak akan pernah bisa mencegah suatu risiko tertentu.
Gambar II.5 Penilaian Risiko dari Atas Ke Bawah Menurut GAIT (IIA, 2007) Dalam melakukan penilaian risiko berdasarkan prinsip utama GAIT seperti yang telah disebutkan di atas, GAIT memberikan panduan yang dituangkan dalam metodologi GAIT. Metodologi GAIT berisikan cara untuk menilai proses pengendalian umum TI 36
yang signifikan yang dapat menyebabkan kesalahan dalam setiap lapisan pelayanan TI (aplikasi, sistem operasi, database dan jaringan). Lima langkah dari metodologi GAIT adalah (IIA, 2007): 1. Identifikasi (dan validasi bila memungkinkan) fungsi-fungsi TI penting. 2. Identifikasi aplikasi pengendalian yang penting di mana terletak pengendalian umum TI yang perlu dinilai. 3. Identifikasi risiko proses pengendalian umum TI dan tujuan pengendalian yang memiliki korelasi. 4. Identifikasi pengendalian umum yang perlu dites. 5. peninjauan hasil penilaian risiko oleh seseorang yang ahli.
37
