UNIVERSITAS INDONESIA

UNIVERSITAS INDONESIA

ANALISIS PENERAPAN PENGENDALIAN INTERNAL DAN PENGUJIAN PENGENDALIAN UMUM TEKNOLOGI INFORMASI DALAM PENGIMPLEMENTASIAN INTERNAL CONTROL OVER FINANCIAL REPORTING PADA PT XYZ

LAPORAN MAGANG

ANDREY OCTAVIAN 1006756351

FAKULTAS EKONOMI PROGRAM STUDI S1 AKUNTANSI DEPOK JUNI 2014

Analisis penerapan..., Andrey Octavian, FE UI, 2014

UNIVERSITAS INDONESIA

ANALISIS PENERAPAN PENGENDALIAN INTERNAL DAN PENGUJIAN PENGENDALIAN UMUM TEKNOLOGI INFORMASI DALAM PENGIMPLEMENTASIAN INTERNAL CONTROL OVER FINANCIAL REPORTING PADA PT XYZ

LAPORAN MAGANG Diajukan sebagai salah satu syarat untuk memperoleh gelar Sarjana

ANDREY OCTAVIAN 1006756351

FAKULTAS EKONOMI PROGRAM STUDI S1 AKUNTANSI DEPOK JUNI 2014

ii Analisis penerapan..., Andrey Octavian, FE UI, 2014



KATA PENGANTAR

Puji syukur saya panjatkan kepada Allah SWT karena atas berkat dan rahmatNya, saya dapat menyelesaikan laporan magang ini. Penulisan laporan magang ini dilakukan dalam rangka memenuhi salah satu syarat untuk mendapatkan gelar Sarjana Ekonomi Jurusan Akuntansi pada Fakultas Ekonomi Universitas Indonesia. Saya menyadari bahwa tanpa bantuan dan dukungan dari berbagai pihak, sangatlah sulit bagi saya untuk menyelesaikan laporan magang ini. Oleh karena itu pada kesempatan ini saya ingin mengucapkan terima kasih kepada: 1. Kedua orang tua saya atas doa, kasih sayang, dan segala bentuk dukungan baik secara moral-spiritual maupun material. 2. Bapak Tubagus Muhamad Yusuf Khudri, S.E., M.T.I, selaku dosen pembimbing yang bersedia membantu saya dalam hal waktu dan pikirannya. 3. Ibu Rini Yulius S.E., M.Ak dan Ibu Desti Fitriani S.E., Ak., M.A., CPMA selaku dewan penguji yang telah meluluskan saya. 4. Dosen, teman – teman, dan karyawan FEUI. 5. KAP RSM AAJ Serta seluruh pihak – pihak lainnya yang tidak bisa disebutkan namanya di sini, saya berharap semoga Tuhan Yang Maha Kuasa membalas kebaikan anda semua yang telah membantu. Semoga laporan magang ini membawa manfaat bagi pengembangan ilmu akuntansi dan menambah wawasan bagi pembaca.

Depok, 24 Juni 2014

Penulis

v Analisis penerapan..., Andrey Octavian, FE UI, 2014


ABSTRAK

Nama

: Andrey Octavian

Program Studi : S1 Akuntansi Judul

: Analisis Penerapan Pengendalian Internal dan Pengujian Pengendalian Umum Teknologi Informasi Dalam Pengimplementasian Internal Control Over Financial Reporting Pada PT XYZ

Laporan magang ini membahas mengenai pengendalian internal pada PT XYZ dan aktifitas magang penulis dalam proses penilaian Internal Control Over Financial Reporting pada PT XYZ yang dilakukan oleh KAP RSM AAJ sebagai kepatuhan terhadap peraturan Sarbanes-Oxley Act Section 404. Aktifitas magang yang dilakukan penulis adalah pada proses pengujian ITGC. Proses pengujian pengendalian dilakukan dengan cara inspeksi dokumen, tanya jawab, dan observasi. Hasil laporan magang ini menyimpulkan bahwa pengendalian internal pada PT XYZ telah cukup baik, tetapi masih membutuhkan beberapa perbaikan. Dan hasil pengujian pengendalian ITGC PT XYZ adalah sangat baik dengan persentase tingkat kepatuhan sebesar 100%.

Kata kunci : Pengendalian internal, pengendalian umum teknologi informasi, Sarbanes-Oxley Section 404, ICoFR, COSO Internal Control – Integrated Framework, COBIT frameworks.

vii

Universitas Indonesia


ABSTRACT

Name

: Andrey Octavian

Study Program : S1 Accounting Title

: Analysis of Internal Control and Information Technology General Control Testing in Internal Control Over Financial Reporting Implementation on PT XYZ

This report discusses the internal control of PT XYZ and the process of assessing the Internal Control over Financial Reporting on PT XYZ, which is performed by KAP RSM AAJ in compliance with Sarbanes-Oxley Act Section 404. The author was responsible to do the test of ITGC, the procedure has been done by inspecting document, inquiring, and observing. The result of this report concludes that the internal control of PT XYZ is good enough, but still need some improvements. And the result of the test of ITGC in PT XYZ is very good with 100% level of compliance.

Key Words : Internal audit, information technology general control, SarbanesOxley Section 404, ICoFR, COSO Internal Control – Integrated Framework, COBIT frameworks.

viii



DAFTAR ISI

HALAMAN JUDUL.....................................................................................................ii HALAMAN PERNYATAAN ORISINALITAS.........................................................iii HALAMAN PENGESAHAN......................................................................................iv KATA PENGANTAR ..................................................................................................v HALAMAN PERNYATAAN PERSETUJUAN PUBLIKASI...................................vi ABSTRAK ..................................................................................................................vii ABSTRACT...............................................................................................................viii DAFTAR ISI................................................................................................................ix DAFTAR GAMBAR ...................................................................................................xi DAFTAR TABEL.......................................................................................................xii DAFTAR LAMPIRAN..............................................................................................xiii 1. PENDAHULUAN...................................................................................................1 1.1

Latar Belakang Pelaksanaan Program Magang .............................................1

1.2

Tujuan Pelaksanaan Program Magang...........................................................2

1.3

Tempat dan Waktu Pelaksanaan Magang ......................................................2

1.4

Pelaksanaan Magang......................................................................................2

1.5

Ruang Lingkup Penulisan Laporan Magang..................................................3

1.6

Metode Penulisan Laporan Magang ..............................................................4

1.7

Tujuan Penulisan Laporan Magang ...............................................................4

1.8

Kontribusi Penulisan Laporan Magang .........................................................4

1.9

Keterbatasan Penulisan Laporan Magang......................................................5

1.10 Usulan Untuk Penelitian Selanjutnya ............................................................5 1.11 Sistematika Penulisan Laporan Magang ........................................................6 2. LANDASAN TEORI............................................................................................. 7 2.1

Pengendalian Internal.....................................................................................7

2.2

Pengendalian Internal Atas Pelaporan Keuangan (ICoFR) .........................7 2.2.1 Penilaian dan Pengimplementasian ICoFR ..........................................8

2.3

Sarbanes-Oxley Act........................................................................................8

2.4

COSO Internal Control - Integrated Framework ........................................10 2.4.1 Komponen COSO Internal Control - Integrated Framework............11

2.5

Auditing Standards No 5..............................................................................14 xi



2.6

Audit Teknologi Informasi ...........................................................................16 2.6.1 Tujuan Audit Teknologi Informasi......................................................16 2.6.2 Tahapan Audit Teknologi Informasi ...................................................17 2.6.3 Prosedur Audit Tahap Pengujian Pengendalian ..................................17 2.6.4 Risiko dan Pengendalian .....................................................................18

2.7

Pengendalian Teknologi Informasi ...............................................................19 2.7.1 Pengendalian Teknologi Informasi Tingkat Entitas ............................20 2.7.2 Information Technology General Control...........................................21 2.7.3 Pengendalian Aplikasi .........................................................................22 2.7.4 Pengendalian Teknologi Informasi Dalam ICoFR ..............................23

2.8

Control Objectives for Information and Related Technology.......................24 2.8.1 COBIT IT Processes ............................................................................27 2.8.2 Peran COBIT Frameworks dalam ICoFR............................................28

2.9

IT Control Objectives for Sarbanes-Oxley ...................................................32

3. PROFIL PERUSAHAAN TEMPAT MAGANG DAN METODOLOGI PENELITIAN ......................................................................................................39 3.1

Profil Kantor Akuntan Publik RSM AAJ Associates ..................................39 3.1.1 Struktur Organisasi RSM AAJ Associates .........................................40

3.2

Profil PT XYZ Indonesia .............................................................................42 3.2.1 Visi dan Misi Perusahaan PT XYZ ....................................................42 3.2.2 Jasa – jasa yang disediakan PT XYZ Indonesia .................................42 3.2.3 Struktur Organisasi PT XYZ Indonesia .............................................43 3.2.4 Struktur Direktorat Teknologi Informasi PT XYZ.............................44

3.3

Metodologi Penelitian..................................................................................46

4. PEMBAHASAN DAN ANALISIS......................................................................47 4.1

Prosedur Penilaian Pengendalian Internal atas Pelaporan Keuangan PT XYZ .............................................................................................................47

4.2

Pengujian Pengendalian Umum Teknologi Informasi PT XYZ ..................50 4.2.1 Proses di Lingkungan Teknologi Informasi PT XYZ........................53 4.2.2 Metodologi, Cakupan Pengujian dan Prosedur Audit Pengujian Pengendalian ......................................................................................57

xi



4.2.3 Pengujian Pengendalian Atas Pengendalian Umum Teknologi Informasi..............................................................................................61 4.2.3.1 Pengujian Pengendalian Proses Mengelola Permintaan Pengembangan dan Perubahan..............................................61 4.2.3.2 Pengujian Pengendalian Proses Testing Management ..........66 4.2.3.3 Pengujian Pengendalian Proses Release Management..........69 4.2.3.4 Pengujian Pengendalian Proses Mengelola Konfigurasi Kendali Aplikasi....................................................................72 4.2.4 Hasil Pengujian Pengendalian ITGC ..................................................74 4.3

Analisis .........................................................................................................76 4.3.1 Analisis Pengendalian Internal Secara Umum pada PT XYZ.............76 4.3.1.1 Lingkungan Pengendalian .......................................................76 4.3.1.2 Penilaian Risiko.......................................................................79 4.3.1.3 Aktivitas Pengendalian............................................................80 4.3.1.4 Informasi dan Komunikasi ......................................................82 4.3.1.5 Pengawasan .............................................................................83 4.3.2 Analisis Proses Penilaian ICoFR Dalam Lingkungan Teknologi Informasi Yang Dilakukan Oleh KAP RSM AAJ...............................85 4.3.3 Analisis Penerapan Pengendalian Pada IT Process PT XYZ Dengan Pengendalian Pada COBIT frameworks.................................94

5. KESIMPULAN DAN SARAN ............................................................................ 98 5.1

Kesimpulan .................................................................................................. 98

5.2

Saran ............................................................................................................ 99 5.2.1 PT XYZ............................................................................................... 99 5.2.2 KAP RSM AAJ................................................................................. 100 5.3.3 Regulator/Pemerintah ....................................................................... 101

DAFTAR REFERENSI ......................................................................................... 102

LAMPIRAN

xi



DAFTAR GAMBAR

Gambar 2.1. Model Tiga Dimensi COSO Internal Control Integrated Framework ..12 Gambar 2.2. Pengendalian Teknologi Informasi ......................................................21 Gambar 2.3. Top-Down Approach ............................................................................34 Gambar 3.1. Struktur Organisasi Kantor Akuntan Publik RSM AAJ.......................41 Gambar 3.2. Struktur Organisasi PT XYZ................................................................43 Gambar 3.3. Struktur Direktorat Teknologi Informasi PT XYZ ..............................45 Gambar 4.1. Fase pengujian pengendalian KAP RSM AAJ.....................................51 Gambar 4.2. Perbandingan IT Processes ............................................................... ..84

xi



DAFTAR TABEL

Tabel 2.1. COSO – COBIT Frameworks Mapping ..................................................31 Tabel 2.2. COSO – COBIT Frameworks Mapping 2...............................................32 Tabel 2.3. Panduan Penentuan Ukuran Sampel .......................................................37 Tabel 4.1. Ukuran Sampel........................................................................................58 Tabel 4.2. Prosedur Audit Pengujian Pengendalian Proses Mengelola Permintaan Pengembangan dan Perubahan................................................................63 Tabel 4.3. Prosedur Audit Pengujian Pengendalian Proses Testing Management...66 Tabel 4.4. Prosedur Audit Pengujian Pengendalian Proses Release Management ..69 Tabel 4.5. Prosedur Audit Pengujian Pengendalian Proses Mengelola Konfigurasi Kendali Aplikasi..................................................................71 Tabel 4.6. Hasil Pengujian Pengendalian ITGC yang Dilakukan Oleh Penulis.......73 Tabel 4.7. Perhitungan Hasil Pengujian Pengendalian ITGC yang Dilakukan Oleh Penulis ............................................................................................73 Tabel 4.8. Penilaian Prinsip COSO Komponen Lingkungan Pengendalian ............77 Tabel 4.9. Penilaian Prinsip COSO Komponen Penilaian Risiko............................78 Tabel 4.10. Penilaian Prinsip COSO Komponen Aktifitas Pengendalian..................80 Tabel 4.11. Penilaian Prinsip COSO Komponen Informasi dan Komunikasi ...........81 Tabel 4.12. Penilaian Prinsip COSO Komponen Aktifitas Pengawasan ...................82 Tabel 4.13 Perbandingan Sample Size ......................................................................87 Tabel 4.14. Perbandingan Prosedur Penilaian dan Pengujian ICoFR pada Lingkungan Teknologi Informasi............................................................88 Tabel 4.15. PCAOB Auditing Standards No. 5 Requirements dan Prosedur Pengujian ICoFR KAP RSM AAJ ..........................................................88 Tabel 4.16. Penerapan Pengendalian Pada Proses Mengelola Permintaan Pengembangan dan Perubahan................................................................91 Tabel 4.17. Penerapan Pengendalian Pada Proses Mengelola Konfigurasi Kendali Aplikasi ...................................................................................................93

xii



DAFTAR LAMPIRAN

Lampiran 1 Bagan Alir Proses ITGC .......................................................................100 Lampiran 2 Kertas Kerja Proses Mengelola Permintaan Pengembangan dan Perubahan..............................................................................................101 Lampiran 3 Kertas Kerja Proses Testing Management ............................................103 Lampiran 4 Kertas Kerja Proses Release Management ...........................................105 Lampiran 5 Kertas Kerja Proses Mengelola Konfigurasi Kendali Aplikasi ............107

xiii



BAB 1 PENDAHULUAN

1.1

Latar Belakang Pelaksanaan Program Magang

Dewasa ini menemukan pekerjaan yang tepat bagi mahasiswa yang baru menyelesaikan pendidikan sarjana merupakan tantangan yang berat. Sebagian besar perusahaan mensyaratkan mahasiswa – mahasiswa yang baru lulus untuk memiliki tidak hanya pengetahuan teoritis, tetapi juga soft skill yang memumpuni untuk menghadapi dunia kerja. Seiring era globalisasi yang sudah semakin maju, para mahasiswa mempunyai banyak kompetitor untuk mendapatkan suatu posisi di perusahaan yang diinginkan. Para mahasiswa dituntut untuk mempunyai kualitas di atas rata-rata. Departemen Akuntansi Fakultas Ekonomi Universitas Indonesia yang merupakan salah satu fakultas terbaik untuk jurusan akuntansi di Indonesia menyadari hal tersebut. Departemen Akuntansi Fakultas Ekonomi Universitas Indonesia merasa bahwa teori yang diberikan di kampus tidaklah selalu sama dengan praktik sebenarnya di dalam dunia kerja. Untuk menjembatani perbedaan ini, dan untuk memberikan gambaran pada mahasiswa akan dunia kerja yang sebenarnya maka Departemen Akuntansi Fakultas Ekonomi Universitas Indonesia membuat program magang. Program magang ini diharapkan dapat memberikan pengalaman kepada mahasiswa untuk menerapkan secara langsung ilmu yang telah didapatkan selama duduk di bangku kuliah pada dunia kerja nyata. Program magang ini merupakan suatu mata kuliah pengganti skripsi. Mahasiswa diwajibkan untuk ikut program magang minimum selama 3 bulan, bagi mahasiswa yang mengikuti program magang ini diwajibkan untuk membuat laporan mengenai kegiatan magang yang telah mereka lakukan. Setelah mengikuti kegiatan magang ini mahasiswa tentunya mempunyai suatu bekal pengalaman untuk menghadapi dunia kerja nyata setelah mereka lulus nantinya.

1



2

1.2

Tujuan Pelaksanaan Program Magang

Program magang merupakan salah satu syarat untuk mendapatkan gelar sarjana dari Fakultas Ekonomi Universitas Indonesia. Tujuan utama dari program magang ini adalah untuk memberikan kesempatan bagi mahasiswa menerapkan pengetahuan dan teori yang telah didapat selama menempuh pendidikan di universitas ke dalam dunia kerja nyata. Menurut Departemen Akuntansi Fakultas Ekonomi Universitas Indonesia, program magang ini juga dimaksudkan untuk mengembangkan soft skill mahasiswa, karena mayoritas perusahaan mensyaratkan agar calon karyawannya untuk mempunyai soft skill yang baik untuk dapat berkomunikasi dan beradaptasi dengan baik di perusahaannya. 1.3

Tempat dan Waktu Pelaksanaan Magang

Penulis melaksanakan kegiatan magang di Kantor Akuntan Publik Aryanto, Amir Jusuf, Mawar & Saptoto (RSM AAJ Associates). RSM AAJ Associates berlokasi di Gedung Plaza ASIA lantai 10,11 dan 25, Jalan Jendral Sudirman Kav. 59 Jakarta Selatan. Waktu pelaksanaan kegiatan magang dimulai pada tanggal 3 Januari 2014 – 4 April 2013. Penulis ditempatkan pada divisi White KAP RSM AAJ, divisi white berfokus pada jasa Risk Advisory. Yang di dalamnya mencakup Information Systems Advisory & Assurance (IT Audit, Penetrating Testing, System Readiness, IT Planning) dan Risk Management & Internal Control Advisory (Risk Assessment, Fraud Prevention, Whistleblowing, Framework & Procedures Development). 1.4

Pelaksanaan Magang

Dalam kegiatan magang ini, KAP RSM AAJ memberikan posisi associate di divisi white kepada penulis. Pada periode magang ini, penulis ikut terlibat dalam proyek Co-Source Testing Internal Control Tahun 2013 di PT XYZ. Dalam proyek tersebut KAP RSM AAJ ditugaskan untuk membantu PT XYZ dalam menilai dan menerapkan Internal Control over Financial Reporting (ICoFR). Penulis diberikan tanggung jawab untuk melakukan pengujian pengendalian atas Information Technology General Control pada empat departemen. Tugas dan tanggung jawab spesifik yang diberikan kepada penulis adalah melakukan



3

pengujian pengendalian pada empat proses ITGC dan mendokumentasikannya pada kertas kerja (working papers). 1.5

Ruang Lingkup Penulisan Laporan Magang

Laporan magang ini akan membahas mengenai aktifitas jasa co-source testing internal control PT XYZ. Jasa co-source testing ini berkaitan dengan implementasi dari peraturan Sarbanes-Oxley Act khususnya section 302 dan section 404 yang berkaitan dengan penilaian keefektifan dari Internal Control over Financial Reporting (ICoFR). Jasa co-source testing internal control berkaitan dengan penilaian dan pengimplementasian ICoFR yang dilakukan oleh KAP RSM AAJ ini mempunyai 3 area yaitu Transaction Level Control, IT Based Control, dan IT Entity Level Control. Dalam laporan magang ini penulis hanya berfokus kepada salah satu area yaitu Information Technology General Control (ITGC). Laporan magang ini mencakup informasi mengenai penerapan pengendalian internal secara umum pada PT XYZ, prosedur penilaian Internal Control over Financial Reporting (ICoFR) pada PT XYZ yang dilakukan oleh KAP RSM AAJ, dan tahap pengujian pengendalian pada information and technology general controls (ITGC) PT XYZ yang dilakukan oleh penulis. 1.6

Metode Penulisan Laporan Magang

Laporan magang ini menyajikan laporan dan data-data terkait kegiatan yang penulis lakukan selama program magang. Data-data yang terdapat di dalam laporan magang ini berasal dari hasil studi literatur, hasil pelatihan dari KAP RSM AAJ, hasil wawancara dengan karyawan PT XYZ, hasil wawancara dengan karyawan di KAP RSM AAJ dan hasil observasi penulis pada PT XYZ. 1.7

Tujuan Penulisan Laporan Magang

Tujuan dari penulisan laporan magang ini adalah untuk: 1.

Untuk memenuhi persyaratan dari program magang yang diselenggarakan oleh Departemen Akuntansi Fakultas Ekonomi Universitas Indonesia.



4

2.

Untuk memberikan pengetahuan kepada pembaca mengenai proses pengujian pengendalian ITGC pada PT XYZ khususnya yang dilakukan oleh penulis sewaktu magang di KAP RSM AAJ beserta hasilnya.

3.

Untuk memberikan pengetahuan kepada pembaca mengenai prosedur penilaian ICoFR KAP RSM AAJ dan untuk memberikan informasi mengenai penerapan pengendalian internal yang terdapat pada PT XYZ secara umum.

1.8

Kontribusi Penulisan Laporan Magang

Laporan magang ini diharapkan dapat berkontribusi bagi : 1.

Bagi klien sebagai bahan evaluasi untuk menilai sistem pengendalian internal, khususnya pada area teknologi informasi.

2.

Bagi regulator, laporan magang ini diharapkan dapat bermanfaat sebagai bahan referensi dalam penerapan peraturan mengenai pengendalian internal khususnya terkait peraturan Sarbanes-Oxley Act section 302 dan section 404.

3.

Bagi akademisi, laporan magang ini diharapkan dapat memberikan pengetahuan mengenai proses penerapan pengendalian internal, penilaian pengendalian internal atas pelaporan keuangan dan penerapan pengendalian umum teknologi informasi.

1.9

Keterbatasan Penulisan Laporan Magang

Dalam penulisan laporan magang ini, penulis membatasi beberapa hal: 1.

Penulis hanya akan fokus membahas mengenai aktifitas jasa pengujian pengendalian ITGC PT XYZ yang dilakukan oleh penulis. Ruang lingkup ini dibatasi karena periode magang yang hanya 3 bulan dan keterbatasan informasi yang didapat oleh penulis.

2.

Kerahasiaan data klien tidak memungkinkan penulis untuk menyajikan beberapa informasi penting. Seperti nama klien dari KAP RSM AAJ, dokumen – dokumen sampel yang digunakan untuk melakukan pengujian, nama aplikasi klien, dan data – data klien yang bersifat rahasia lainnya.

3.

Dalam laporan magang ini, penulis hanya akan fokus membahas mengenai area ITGC pada PT XYZ tahun 2013.



5

4.

Terdapat prosedur – prosedur yang tidak dilakukan secara langsung oleh penulis sehingga informasi mengenai prosedur tersebut tidak dapat disajikan secara detail pada laporan ini.

5.

Pengetahuan dan landasan teori yang digunakan oleh penulis dalam laporan magang ini terbatas dengan pengetahuan yang penulis dapat selama duduk di bangku kuliah, oleh sebab itu laporan magang ini tidak cukup lengkap dalam menyajikan informasi mengenai pengendalian internal khususnya ITGC secara lengkap.

1.10

Usulan Untuk Penelitian Selanjutnya

Penulis menyadari bahwa terdapat banyak kekurangan dalam penulisan laporan magang ini, oleh karena itu penulis menyarankan beberapa hal untuk penelitian selanjutnya, yaitu: 1.

Penulis menyarankan dalam penelitian selanjutnya untuk lebih rinci dalam membahas pengendalian teknologi informasi, khususnya pengendalian teknologi informasi tingkat entitas dan pengendalian aplikasi. penulis menyadari bahwa pembahasan mengenai pengendalian aplikasi dan pengendalian teknologi informasi tingkat entitas pada laporan ini masih sangat kurang.

2.

Penulis menyarankan agar peneliti selanjutnya lebih banyak menggunakan teknik wawancara tatap muka agar bisa memperoleh informasi yang lebih detail.

3.

Penulis berharap agar semua kekurangan pada penelitian ini untuk bisa diperbaiki oleh penelitian selanjutnya.



6

1.11

Sistematika Penulisan Laporan Magang

Laporan magang ini dibagi menjadi 5 bagian (bab) disertai lampiran sebagai pendukung laporan dengan sistematika sebagai berikut: 1.

BAB 1. PENDAHULUAN Bab ini membahas mengenai latar belakang kegiatan magang, tujuan penulisan laporan magang, tempat, waktu, dan pelaksanaan magang, ruang lingkup, metode dan sistematika penulisan laporan magang.

2.

BAB 2. LANDASAN TEORI Bab ini akan memberikan penjelasan mengenai teori – teori akademis yang dijadikan landasan pembahasan dan analisis atas permasalahan yang diangkat dalam laporan ini. Teori – teori yang dimaksud mencakup teori pengendalian internal secara umum, pengendalian internal atas pelaporan keuangan, pengendalian umum teknologi informasi serta teori - teori lainnya yang relevan dengan penulisan laporan magang ini.

3.

BAB 3. PROFIL PERUSAHAAN Bab ini berisi deskripsi dan gambaran umum mengenai KAP RSM AAJ dan PT XYZ. Yang mencakup industri perusahaan, struktur organisasi perusahaan dan hal lainnya berkaitan dengan perusahaan.

4.

BAB 4. PEMBAHASAN & ANALISIS Bab ini membahas mengenai prosedur penilaian Internal Control over Financial Reporting (ICoFR) pada PT XYZ yang dilakukan oleh KAP RSM AAJ, tahap pengujian pengendalian pada information and technology general controls (ITGC) PT XYZ, dan analisis yang dilakukan oleh penulis.

5.

BAB 5. KESIMPULAN & SARAN Bab ini berisi kesimpulan akhir dari pengendalian internal secara umum pada PT XYZ, prosedur penilaian Internal Control over Financial Reporting (ICoFR) pada PT XYZ yang dilakukan oleh KAP RSM AAJ, dan hasil pengujian pengendalian pada information and technology general controls (ITGC) PT XYZ dan juga saran penulis kepada klien, KAP RSM AAJ, dan regulator.



BAB 2 LANDASAN TEORI

2.1

Pengendalian Internal

Menurut COSO (2013) pengendalian internal adalah suatu proses yang dihasilkan oleh dewan direktur, manajemen, dan personel lainnya, yang dimaksudkan untuk memberikan keyakinan yang memadai akan tercapainya keefektifan dan keefisienan dari kegiatan operasional, kehandalan dari laporan keuangan, dan kepatuhan terhadap hukum dan regulasi yang ada. Menurut Hall (2006), manajemen perusahaan diharuskan oleh hukum untuk menerapkan dan mempertahankan sistem pengendalian internal yang memadai. Menurut Hall (2006), tujuan umum dari adanya pengendalian internal adalah: 1.

Mengamankan aktiva perusahaan.

2.

Memastikan akurasi dan keandalan berbagai catatan dan informasi akuntansi.

3.

Memastikan efisiensi dalam operasi perusahaan.

4.

Mengukur ketaatan dengan berbagai kebijakan dan prosedur yang telah ditetapkan.

2.2

Pengendalian Internal Atas Pelaporan Keuangan (ICoFR)

Menurut SEC (2007), penilaian pengendalian internal atas pelaporan keuangan atau Internal Control over Financial Reporting (ICoFR) perusahaan harus dilakukan oleh manajemen perusahaan dan auditor eksternal karena adanya tuntutan dari hukum federal Amerika Serikat yaitu Sarbanes Oxley Act pada tahun 2002, khususnya SOX Section 404. ICoFR telah menjadi salah satu syarat yang harus dipenuhi bagi perusahaan jika ingin bertransaksi di bursa efek yang ada di Amerika Serikat.

7 Universitas Indonesia Analisis penerapan..., Andrey Octavian, FE UI, 2014

8

Menurut SEC (2007), tujuan utama dari ICoFR adalah: 1.

Untuk mendapatkan keyakinan yang memadai (reasonable assurance) atas kehandalan laporan keuangan.

2.

Untuk mendapatkan keyakinan yang memadai bahwa proses penyajian laporan keuangan telah didukung oleh pengendalian internal yang efektif.

2.2.1 Penilaian dan Pengimplementasian ICoFR Menurut Hall (2007), PCAOB merupakan badan yang dibentuk oleh SEC untuk mengatur dan mengawasi proses penyusunan, pemeriksaan dan pelaporan laporan keuangan akuntan publik yang mengaudit perusahaan publik di Amerika Serikat. PCAOB kemudian mengeluarkan auditing standards (AS) yang berjumlah 16 auditing standards. PCAOB mengatur ICoFR dalam Auditing Standards No. 5 yang diterbitkan pada bulan Mei tahun 2007, untuk memperbarui Auditing Standards No. 2. Di dalam Auditing Standards No. 5 tersebut disajikan panduan bagi auditor eksternal untuk melakukan audit atas Internal Control over Financial Reporting, namun Auditing Standards No. 5 tidak memberikan panduan bagi pihak perusahaan untuk menerapkan ICoFR. Pada bulan juni tahun 2007, SEC mengeluarkan suatu panduan untuk manajemen yaitu Commission Guidance Regarding Management’s Report on Internal Control Over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934. Sejalan dengan SEC pada bulan januari tahun 2008 The Institute of Internal Auditors (IIA) juga menerbitkan panduan bagi perusahaan dalam menilai dan menerapkan ICoFR yaitu “SARBANES-OXLEY SECTION 404: A Guide for Management by Internal Controls Practitioners”. Panduan yang dibuat oleh IIA ini telah mengacu pada COSO Internal Control – Integrated Frameworks. Kedua panduan ini juga mengikuti Auditing Standards No. 5 yang diterbitkan oleh PCAOB. 2.3

Sarbanes-Oxley Act

Menurut Moeller (2009), Sarbanes-Oxley Act atau SOX adalah undang – undang yang dibuat oleh Pemerintah Amerika Serikat yang telah disahkan sebagai hukum



9

federal di Amerika Serikat. SOX diterbitkan pada tahun 2002 sebagai respon atas berbagai skandal akuntansi perusahaan – perusahaan besar di Amerika Serikat yang menurunkan kepercayaan investor terhadap kredibilitas laporan keuangan. Menurut Romney (2012), secara garis besar SOX mengatur mengenai: 1.

Menetapkan tanggung jawab baru kepada dewan komisaris, komite audit, dan pihak manajemen.

2.

Mendirikan Public Company Accounting Oversight Board (PCAOB), sebuah badan independen yang bertugas mengawasi audit atas perusahaan – perusahaan publik.

3.

Penambahan tanggung jawab dan anggaran SEC secara signifikan

4.

Menetapkan persyaratan baru untuk pengendalian internal.

Terdapat 2 pasal dalam SOX yang mengatur pengendalian internal atas pelaporan keuangan perusahaan (ICoFR), yaitu SOX Section 302 dan khususnya Section 404. SOX Section 302 secara umum menjelaskan bahwa: 1.

Pejabat eksekutif, CEO, CFO, atau orang yang mempunyai tugas dan tanggung jawab yang sama, harus bertanggung jawab terhadap pernyataan prosedur pengendalian, pengendalian internal, dan jaminan atas fraud.

2.

CEO dan CFO atau orang yang mempunyai tugas dan tanggung jawab yang sama tersebut harus meyatakan dalam laporan tahunan/quarterly bahwa laporan keuangan dan pengungkapan yang terkandung dalam laporan tersebut telah tepat, laporan keuangan dan pengungkapan telah disajikan secara wajar dalam semua aspek yang material, dan menyatakan semua defisiensi dan kecurangan yang terjadi kepada auditor atau komite audit.

SOX Section 404 secara umum menjelaskan bahwa: 1.

Mensyaratkan

perusahaan

publik

untuk

mengeluarkan

laporan

atas

pengendalian internal. Dalam laporan tersebut, perusahaan harus menyatakan bahwa pengendalian internal atas pelaporan keuangan (ICoFR) telah berjalan dengan efektif. Universitas Indonesia


10

2.

Perusahaan harus membuat pernyataan yang menyatakan bahwa manajemen telah membuat dan mempertahankan pengendalian internal yang efektif atas pelaporan keuangan.

3.

Setiap kantor akuntan publik yang terdaftar diwajibkan untuk melakukan penilaian atas laporan pengendalian internal yang dibuat oleh perusahaan. Dalam melakukan penilaian tersebut, haruslah menggunakan kerangka (framework) yang telah diakui oleh SEC.

2.4

COSO Internal Control - Integrated Framework

Menurut Romney (2012), Committee of Sponsoring Organizations of the Treadway Commission’s (COSO) adalah sebuah organisasi yang bertujuan untuk meningkatkan kualitas laporan keuangan perusahaan melalui etika bisnis, pengendalian internal yang efektif, dan tata kelola perusahaan. COSO menerbitkan Internal Control - Integrated Framework pada tahun 1992. Framework ini menjelaskan mengenai definisi dari pengendalian internal dan menyediakan sebuah kerangka sebagai panduan untuk menilai dan memperbaiki sistem pengendalian internal suatu perusahaan. Menurut peraturan SOX Section 404 yang diterbitkan pada tahun 2002, dalam menilai dan menerapkan ICoFR, manajemen diharuskan untuk mengacu pada standar/kerangka pengendalian internal (internal control frameworks) yang diakui oleh U.S. Securities and Exchange Commission (SEC). SEC adalah suatu badan/agensi dari pemerintah Amerika Serikat yang mempunyai tanggung jawab untuk mengawasi dan mengatur pasar modal. SEC menyatakan dalam peraturan (final rule) yang diterbitkannya pada tahun 2003 bahwa COSO Internal Control Integrated Framework merupakan kerangka yang memenuhi kriterianya.



11

COSO Internal Control Framework tahun 2013 mendeskripsikan pengendalian internal menjadi 5 komponen yang saling berhubungan, lima komponen tersebut adalah: 1.

Control Environment

2.

Risk Assessment

3.

Control Activities

4.

Information and Communication Internal Controls

5.

Monitoring Internal Controls.

Setiap komponen mempunyai prinsip (principal). Secara keseluruhan terdapat 17 prinsip pada COSO Internal Control - Integrated Framework.. Untuk memperjelas, COSO membuat suatu model tiga dimensi. Model tersebut berbentuk kubus dengan lima komponen pengendalian internal yang dapat mendukung tercapainya tiga tujuan pengendalian internal di dalam suatu perusahaan, beserta struktur organisasi perusahaan sebagai pihak yang terlibat dalam pengendalian. Seperti dapat dilihat pada gambar Gambar 2.1.

Gambar 2.1: Model Tiga Dimensi COSO Internal Control Integrated Framework Sumber: www.coso.org. Diakses pada: 3 Mei 2014.



12

2.4.1 Komponen COSO Internal Control - Integrated Framework Menurut COSO (2013), pengendalian internal terdiri dari lima komponen yaitu: 1. Lingkungan Pengendalian (Control Environment) Menurut Arens (2008), lingkungan pengendalian merupakan fondasi dari keempat komponen pengendalian lainnya,

lingkungan pengendalian terdiri

dari tindakan, kebijakan, dan prosedur yang menggambarkan keseluruhan sikap manajemen, direksi, dan pemilik perusahaan atas pengendalian internal dan pentingnya pengendalian internal tersebut. Oleh karena itu lingkungan pengendalian dipandang sebagai fondasi dari struktur pengendalian internal yang akan berpengaruh terhadap seluruh aktifitas dan risiko. Untuk mendapatkan pengendalian internal yang efektif terdapat beberapa subcomponent yang harus diimplementasikan oleh perusahaan, subcomponent tersebut adalah: a) Integrity and Ethical Values b) Commitment to Competence c) Board of Directors and Audit Committee d) Management’s Philosophy and Operating Style e) Organizational Structure f)

Assignment of Authority and Responsibility

g) Human Resources Policies and Practices 2. Penilaian Risiko (Risk Assessment) Menurut Arens (2008), penilaian risiko untuk laporan keuangan merupakan identifikasi dan analisis manajemen terhadap risiko – risiko yang relevan terhadap penyusunan laporan keuangan. Tahap – tahap melakukan penilaian risiko menurut Arens (2008) adalah: 1.

Menilai estimasi signifikansi risiko.

2.

Menilai kemungkinan terjadinya risiko.

3.

Menyusun tindakan untuk memitigasi risiko tersebut.



13

Setelah perusahaan mengidentifikasi suatu risiko, maka perusahaan harus menilai kemungkinan terjadinya risiko dan dampak dari risiko tersebut, kemudian menyusun tindakan – tindakan khusus yang perlu dilakukan untuk mengurangi risiko sampai dengan tingkat yang dapat diterima. 3. Aktivitas Pengendalian (Control Activities) Menurut Arens (2008), aktifitas pengendalian merupakan kebijakan dan prosedur yang membantu untuk memastikan bahwa tindakan – tindakan yang diperlukan telah dilakukan untuk memitigasi risiko dalam mencapai tujuan perusahaan. Aktifitas pengendalian dilakukan di semua tingkat perusahaan mulai dari manajemen tingkat atas sampai dengan tingkat paling bawah, aktifitas pengendalian juga terdapat dalam berbagai tahapan proses bisnis, dan juga di dalam lingkungan teknologi informasi. Aktivitas pengendalian berhubungan dengan penilaian risiko. Aktifitas pengendalian dirancang berdasarkan hasil identifikasi risiko untuk memitigasi risiko tersebut. Menurut Arens (2008), aktifitas pengendalian mencakup beberapa aktifitas, diantaranya adalah: 1.

Pemisahan tugas yang memadai

2.

Otorisasi yang tepat atas transaksi dam aktifitas

3.

Dokumentasi dan catatan yang memadai

4.

Pengendalian fisik atas aset dan dokumen

5.

Pengecekan terhadap pekerjaan secara independen.

4. Informasi dan Komunikasi (Information and Communication) Menurut Arens (2008), Informasi dibutuhkan oleh perusahaan untuk mencapai tujuan operasional, finansial dan kepatuhan. Perusahaan memperoleh dan menggunakan informasi yang berasal dari sumber internal maupun eksternal untuk

menunjang

komponen

pengendalian

internal

lainnya.

Dengan

tersedianya informasi yang akurat dan tepat waktu, perusahaan akan dapat melakukan penilaian risiko dengan baik, sehingga risiko dapat dikelola dengan tepat. Tujuan utama dari sistem informasi dan komunikasi akuntansi suatu perusahaan adalah untuk mencatat, memproses, dan melaporkan transaksi-



14

transaksi yang terjadi dalam suatu perusahaan dan untuk menjaga akuntabilitas aset – aset yang terkait. Perusahaan harus mempunyai prosedur yang baik dalam mengkomunikasikan informasi ke dalam perusahaan maupun dengan pihak luar perusahaan. 5. Pengawasan (Monitoring) Menurut Arens (2008), aktifitas pengawasan merupakan proses penilaian yang berjalan terus menerus atau penilaian berkala atas kualitas pengendalian internal

oleh

manajemen.

Setelah

perusahaan

menerapkan

aktifitas

pengendalian pada tahap sebelumnya, perusahaan harus memastikan bahwa aktifitas pengendalian tersebut telah berjalan dengan tepat. Aktifitas pengawasan bertujuan agar kekurangan dari sistem pengendalian internal dapat segera dideteksi sehingga apabila terdapat kekurangan dapat segera diperbaiki. Menurut COSO (2013), terdapat 2 jenis aktifitas pengawasan: 1.

Ongoing evaluations, yaitu pengawasan berlanjut yang ada di setiap tingkatan di dalam suatu perusahaan. ongoing evaluations menyediakan informasi yang aktual.

2.

Separate evaluation, yaitu evaluasi yang dilakukan setiap beberapa periode waktu, tergantung dari penilaian risiko dan pertimbangan manajemen.

2.5

Auditing Standards No 5

Menurut Public Company Accounting Oversight Board (2014), Auditing Standards no 5 merupakan standar yang menjelaskan peraturan SOX khususnya Section 404 yang mengharuskan manajemen perusahaan untuk melaporkan efektifitas dari ICoFR perusahaan dan juga mewajibkan auditor eksternal memberikan pendapat mengenai efektifitas dari pengendalian internal perusahaan yang diauditnya.



15

Auditing Standards No 5 (AS 5) membahas mengenai ketentuan dari penilaian / audit ICoFR. Secara garis besar, dalam AS 5 terdapat 6 bagian yaitu: 1.

Planning the Audit Dalam tahap ini dijelaskan bahwa apabila ditemukan satu saja kelemahan material pada pengendalian internal perusahaan maka ICoFR perusahaan tidak dapat dikatakan efektif. Dalam paragraf 5, dijelaskan bahwa dalam melakukan audit/penilaian atas ICoFR, auditor harus menggunakan kerangka yang telah diakui oleh SEC (salah satu kerangka yang diakui SEC adalah COSO frameworks). Dalam paragraf 11, dijelaskan bahwa sebaiknya auditor fokus pada area yang mempunyai risiko paling tinggi (high risk) dalam melakukan penilaian.

2.

Using a Top-Down Approach Dalam paragraph 21, dijelaskan bahwa auditor harus menggunakan pendekatan top-down approach dalam memilih pengendalian untuk diuji. Dalam paragraf 22, dijelaskan bahwa auditor harus melakukan pengujian atas pengendalian pada tingkat entitas, hasil dari pengendalian tingkat entitas ini dapat mempengaruhi pengujian pengendalian lainnya. Dalam paragraf 25, dijelaskan bahwa auditor harus mengevaluasi lingkungan pengendalian (control environment). Dalam paragraf 27. Dijelaskan bahwa auditor harus mengevaluasi penggunaan teknologi informasi dalam proses pelaporan keuangan.

Dalam

paragraf

28,

dijelaskan

bahwa

auditor

harus

mengidentifikasi akun – akun signifikan kemudian menentukan asersi dan risiko terkait. Dalam paragraf 39-41, dijelaskan bahwa dalam memilih pengendalian yang akan diuji, auditor harus memilih pengendalian yang dapat memitigasi risiko terkait pelaporan keuangan. 3.

Testing Controls Dalam bagian pengujian pengendalian ini, terdapat 2 tahapan yaitu melakukan pengujian efektifitas rancangan (testing design effectiveness) dan melakukan pengujian efektifitas operasi (testing operating effectiveness). Dalam melakukan pengujian efektifitas operasi, dalam paragraf 44 dijelaskan bahwa auditor harus memastikan bahwa pengendalian yang dirancang telah efektif dan memastikan pihak yang melakukan pengendalian mempunyai Universitas Indonesia


16

kompetensi dan otoritas. Pada paragraf 43 dijelaskan bahwa prosedur yang digunakan dalam melakukan pengujian pengendalian adalah gabungan dari tanya jawab kepada pihak yang tepat, observasi kegiatan operasional perusahaan, dan inspeksi dokumen yang relevan. Dalam paragraf 46 dijelaskan bahwa, auditor harus mengumpulkan bukti yang tepat untuk meyakinkan bahwa pengendalian telah berjalan efektif. Paragraf 52 menjelaskan mengenai waktu dari pengujian pengendalian, melakukan pengujian pengendalian pada periode yang lebih panjang memberikan kepastian yang lebih pada efektifitas dari pengendalian dibandingkan dengan pengujian pengendalian pada periode yang singkat. 4.

Evaluating Identified Deficiencies Dalam paragraf 62 dijelaskan bahwa auditor harus mengevaluasi defisiensi pengendalian dan dampak dari defisiensi tersebut bila ada. Dalam paragraf 63-68 dijelaskan mengenai karakteristik defisiensi.

5.

Wrapping-Up Pada bagian ini, auditor diharuskan untuk memberikan opini terhadap efektifitas dari ICoFR. Dalam paragraf 72—75 dijelaskan mengenai elemen – elemen apa saja yang harus dievaluasi oleh auditor dalam membuat opini. Paragraf 78 – 86 menjelaskan bahwa auditor harus mengkomunikasikan semua kelemahan material yang diidentifikasi kepada manajemen perusahaan dan komite audit secara tertulis.

2.6

Audit Teknologi Informasi

Menurut Webber (1998), audit teknologi informasi adalah suatu proses pengumpulan dan pengevaluasian bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, mendukung tujuan perusahaan secara efektif dan menggunakan sumberdaya secara efisien. Menurut Hall (2006), audit teknologi informasi berfokus pada berbagai aspek berbasis komputer dalam sistem informasi perusahaan, meliputi penilaian implementasi, operasi dan pengendalian berbagai sumber daya teknologi informasi.



17

2.6.1 Tujuan Audit Teknologi Informasi Menurut Weber (1998) tujuan audit teknologi informasi adalah: 1.

Mengamankan asset Semua aset harus diamankan oleh sistem pengendalian internal, termasuk hardware, software, sumberdaya manusia, fasilitas perusahaan, dan data – data.

2.

Menjaga integritas data Integritas data merupakan konsep dasar dari audit sistem informasi, integritas data artinya data mempunyai atribut kelengkapan, dapat dipercaya, asli dan benar.

3.

Menjaga efektivitas sistem Sistem yang efektif adalah sistem yang dapat mencapai tujuannya. Dalam menilai efektifitas sistem perlu diketahui kebutuhan dari pengguna sistem tersebut.

4.

Mencapai efisiensi sistem Sistem informasi yang efisien adalah sistem yang menggunakan sumberdaya yang minimum untuk mencapai tujuannya.

2.6.2 Tahapan Audit Teknologi Informasi Menurut Hall (2006), audit teknologi informasi umumnya dibagi ke dalam tiga tahap yaitu: 1.

Tahap Perencanaan Audit Pada tahap ini auditor mengkaji kebijakan, praktik, struktur perusahaan, mengkaji pengendalian umum dan pengendalian aplikasi, dan merencanakan prosedur pengujian pengendalian dan pengujian substantif.

2.

Tahap Pengujian Pengendalian Pada tahap ini dilakukan pengujian pengendalian untuk menentukan apakah terdapat pengendalian internal yang memadai dan berfungsi dengan baik, kemudian hasil pengujian pengendalian dievaluasi, dan tingkat kehandalan pengendalian ditentukan.



18

3.

Tahap Pengujian Substantif Pada tahap ini dilakukan pengujian substantif yang difokuskan pada data keuangan, tahap ini melibatkan penyelidikan terperinci mengenai berbagai saldo akun.

2.6.3 Prosedur Audit Tahap Pengujian Pengendalian Menurut Arens (2008), prosedur audit yang digunakan pada tahap pengujian pengendalian ada empat jenis, yaitu: 1.

Melakukan tanya jawab dengan personel yang tepat Tanya jawab tidak memiliki keandalan yang tinggi sebagai sumber bukti audit efektifitas pengendalian, namun tetap dianggap tepat.

2.

Menguji dokumen, catatan, dan laporan Banyak pengendalian yang meninggalkan jejak bukti catatan yang jelas yang dapat digunakan dalam menguji pengendalian. Auditor dapat menguji pengendalian dengan memeriksa kelengkapan dokumen atau tanda tangan / inisial yang perlukan sudah ada.

3.

Mengamati aktivitas terkait pengendalian Beberapa pengendalian tidak meninggalkan jejak bukti, untuk pengendalian seperti itu auditor biasanya mengamati penerapannya di beberapa titik pada tahun berjalan.

4.

Mengerjakan ulang prosedur klien Prosedur ini dilakukan ketika jejak bukti catatan yang terkait dengan pengendalian isinya tidak memadai untuk memastikan apakah pengendalian telah berjalan secara efektif.

2.6.4 Risiko dan Pengendalian Menurut Hall (2006), risiko adalah potensi ancaman yang dapat membahayakan aktiva perusahaan. Ketidakberadaan pengendalian dapat mengekspos perusahaan ke berbagai jenis risiko. Pengendalian adalah berbagai kebijakan dan prosedur yang digunakan untuk memastikan bahwa tindakan yang tepat telah dilakukan untuk menangani risiko.



19

Menurut Hall (2006), terdapat 3 tingkat pengendalian yaitu: 1.

Pengendalian Preventif Pengendalian preventif adalah teknik pasif yang didesain untuk mengurangi frekuensi terjadinya peristiwa yang tidak diinginkan. Mencegah kesalahan dan penipuan jauh lebih efektif dari segi biaya daripada mendeteksi dan memperbaiki masalah yang telah terjadi.

2.

Pengendalian Detektif Pengendalian detektif adalah berbagai alat, teknik, dan prosedur yang didesain untuk mengidentifikasi peristiwa yang tidak diinginkan yang lolos dari pengendalian preventif. Pengendalian detektif mengungkapkan kesalahan dengan cara membandingkan kejadian sesungguhnya dengan standar yang ditetapkan

3.

Pengendalian Korektif Pengendalian korektif adalah tindakan yang dilakukan untuk memperbaiki masalah yang telah diidentifikasi. Pengendalian korektif relatif lebih mahal dibandingkan pengendalian preventif dan pengendalian detektif.

2.7

Pengendalian Teknologi Informasi

Menurut, Information Technology Governance Institute (ITGI) (2006), dalam mengidentifikasi keberadaan pengendalian teknologi informasi perusahaan sebaiknya fokus pada tiga elemen yaitu executive management, business process, dan IT services. Secara umum, pengendalian teknologi informasi dikelompokkan menjadi tiga (seperti dapat dilihat pada gambar 2.2), yaitu: 1.

Pengendalian tingkat entitas (entity-level controls),

2.

Pengendalian umum teknologi informasi (ITGC)

3.

Pengendalian aplikasi (application controls).



20

Gambar 2.2: Pengendalian Teknologi Informasi Sumber: www.itgi.org. telah diolah kembali. Diakses pada: 3 Mei 2014.

2.7.1 Pengendalian Teknologi Informasi Tingkat Entitas Menurut ITGI (2006), pengendalian teknologi informasi tingkat entitas merupakan pengendalian yang berada pada manajemen tingkat atas (executive management). Pengendalian ini mengatur mengenai strategi dan rencana perusahaan yang berhubungan dengan pemanfaatan teknologi informasi, pengendalian tingkat entitas merupakan suatu fondasi bagi perusahaan dalam pengakuisisian, pengimplementasian dan pengaturan teknologi informasi yang digunakan oleh perusahaan. Menurut ITGI (2006), Pengendalian tingkat entitas mengatur mengenai berbagai hal terkait teknologi informasi yaitu: 1.

Prosedur dan peraturan terkait teknologi informasi (IT policies and procedures)

2.

Tata kelola teknologi informasi (IT Governance)



21

3.

Manajemen teknologi informasi (IT management, planning, strategy, human resources)

4.

Manajemen risiko teknologi informasi (IT risk management).

2.7.2 Information Technology General Control (ITGC) Menurut ITGI (2006), Information and Technology General Controls (ITGC) adalah pengendalian yang diterapkan dalam proses yang melibatkan teknologi informasi sehingga tercipta lingkungan yang dapat diandalkan dan menunjang efektifitas dari pengendalian aplikasi. ITGC memberikan keyakinan bahwa aplikasi telah dikembangkan dan dipelihara (maintain) secara berkala. ITGC juga memberikan keyakinan bahwa tidak terdapat perubahan yang tidak diotorisasi terhadap aplikasi dan data – data perusahaan. Menurut Arens (2008), auditor harus mengevaluasi efektifitas pengendalian umum sebelum mengevaluasi pengendalian aplikasi, karena pengendalian umum memiliki dampak yang luas terhadap efektifitas pengendalian aplikasi. Menurut SEC (2007) dan Auditing Standards no 2, empat area yang sangat penting untuk diperhatikan dalam ITGC adalah: a)

Lingkungan Pengendalian Teknologi Informasi (IT Control Environment) Lingkungan pengendalian teknologi informasi mencakup proses tata kelola teknologi informasi, pengawasan dan pelaporan, rencana strategis sistem informasi, proses manajemen risiko teknologi informasi, dan ketaatan terhadap peraturan, peraturan, standar, prosedur teknologi informasi. Biasanya lingkungan pengendalian teknologi informasi ditetapkan oleh manajemen tingkat atas.

b) Pengembangan Program dan Perubahan Program (Program development & Program changes) Area pengembangan program dan perubahan program ini berkaitan dengan proses mengelola akuisisi dan implementasi aplikasi/infrastruktur teknologi informasi baru maupun mengelola perubahan pada aplikasi yang sudah ada. Area ini penting karena kegagalan dalam pengembangan dan perubahan



22

teknologi informasi yang tidak sesuai dapat memberikan kerugian yang besar pada perusahaan. c)

Akses program dan data (Access to programs and data) Area ini berkaitan dengan pengelolaan akses terhadap aplikasi, data dan asset perusahaan. Penggunaan teknologi informasi menyebabkan timbulnya risiko data yang konfidensial dicuri atau rusak semakin tinggi. Oleh sebab itu area ini menjadi sangat penting untuk melindungi data dan aset perusahaan. Beberapa hal yang perlu diperhatikan dalam akses data dan program adalah pemisahan tugas (segregation of duties), risiko kecurangan dan kesalahan yang tidak disengaja dan peraturan perusahaan mengenai keamanan infrastruktur dan keamanan aplikasi.

d) Operasi komputer (Computer operations) Operasi komputer mencakup bagaimana sistem operasi dari infrastruktur teknologi

informasi

perusahaan

dijalankan,

termasuk

di

dalamnya

pengelolaan konfigurasi sistem, pengelolaan keamanan sistem dan data, pengelolaan masalah – masalah termasuk pengelolaan sumber daya untuk menjalankan teknologi informasi. 2.7.3 Pengendalian Aplikasi Menurut Hall (2006), pengendalian aplikasi memastikan integritas sistem tertentu seperti pemrosesan penjualan, utang usaha, atau aplikasi penggajian. Menurut ITGI (2006), pengendalian aplikasi adalah pengendalian yang terdapat di dalam suatu aplikasi proses bisnis perusahaan. Menurut Arens (2008), pengendalian aplikasi adalah pengendalian yang dirancang untuk setiap aplikasi perangkat lunak dan dimaksudkan untuk membantu perusahaan memenuhi keenam tujuan audit terkait transaksi. Pengendalian aplikasi terdiri dari 3 kategori yaitu: 1.

Pengendalian input Dirancang untuk memastikan bahwa informasi yang dimasukan ke dalam komputer adalah sah, akurat dan lengkap.



23

2.

Pengendalian proses Pengendalian proses mencegah dan mendeteksi kesalahan ketika pemrosesan data. Pengendalian ini biasanya diprogram ke dalam aplikasi untuk mencegah, mendeteksi dan mengkoreksi kesalahan.

3.

Pengendalian output Pengendalian output lebih menekankan pada pendeteksian kesalahan setelah proses selesai.

Pengendalian aplikasi mencakup: a)

Kelengkapan (Completeness)

b) Akurasi (Accuracy) c)

Keberadaan dan otorisasi (Existence & authorization)

d) Penyajian dan pengungkapan (Presentation & disclosure) 2.7.4 Pengendalian Teknologi Informasi Dalam ICoFR Sarbanes-Oxley Act section 404 yang diterbitkan pada tahun 2002 mensyaratkan perusahaan untuk mengadopsi kerangka pengendalian internal (internal control framework) yang telah diakui oleh SEC dalam melakukan penilaian keefektifan ICoFR. Menurut ITGI (2006), COSO’s Internal Control—Integrated Framework merupakan kerangka yang paling banyak diadopsi oleh perusahaan – perusahaan di seluruh dunia. Tetapi di dalam COSO’s Internal Control—Integrated Framework tidak diberikan panduan dalam merancang dan menerapkan pengendalian pada lingkungan teknologi informasi secara detail. Oleh sebab itu, menurut ITGI, banyak perusahaan menggunakan kerangka tata kelola teknologi informasi

(IT

Governance

Frameworks)

untuk

mendukung

penerapan

pengendalian pada lingkungan teknologi informasi. Menurut ITGI (2006), IT Governance Frameworks mempunyai tujuan untuk memastikan bahwa: a)

Teknologi informasi sejalan dengan bisnis dan dapat memberikan manfaat bagi bisnis.



24

b) Sumberdaya teknologi informasi terlindungi dengan aman dan digunakan secara bertanggungjawab. c)

Risiko yang berhubungan dengan teknologi informasi dikelola dan diminimalisir dengan pengendalian yang sesuai.

2.8

Control Objectives for Information and Related Technology (COBIT)

Menurut ISACA (2005), Control Objectives for Information and related Technology (COBIT) adalah suatu kerangka tata kelola teknologi informasi yang memberikan panduan, tolak ukur, indikator, proses dan praktik kepada manajer, auditor dan pengguna teknologi informasi lainnya dalam pengimplementasian teknologi informasi. COBIT framework memberikan ilustrasi 34 IT processes yang dikelompokkan pada empat domain. IT processes ini merupakan model (ilustrasi) yang biasanya ditemukan di dalam suatu perusahaan. Setiap IT processes yang terdapat di dalam kerangka COBIT mempunyai deskripsi dan control objective masing – masing. Menurut ISACA (2005), COBIT framework versi 4 mempunyai empat karakteristik yaitu: 1. Business Focused COBIT framework berorientasi pada bisnis, COBIT framework dirancang tidak hanya dipakai untuk auditor atau user, tetapi yang lebih penting sebagai panduan bagi manajemen dan business process owner. Menurut ISACA, dalam menentukan tujuan teknologi informasi (IT Goals), perusahaan haruslah menentukan tujuan bisnis untuk teknologi informasi (business goals for IT) terlebih dahulu. Hal ini dimaksudkan agar IT goals dapat mendukung rencana bisnis perusahaan secara efektif. Setelah IT goals ditentukan dan infrastruktur teknologi informasi diimplementasikan, perlu dilakukan pengawasan terhadap pengoperasian infrastruktur tersebut.



25

Menurut ISACA (2005) sumber daya teknologi informasi (IT Resources) merupakan sumber daya yang berhubungan dengan teknologi informasi di dalam suatu perusahaan, IT Resources ada empat, yaitu: a) Aplikasi (Applications). b) Informasi (Information). c) Infrastruktur (Infrastructure). d) Sumber daya manusia (People). 2.

Process-oriented COBIT framework versi 4 memberikan suatu model (ilustrasi) IT processes yang dikelompokkan pada empat domain, yaitu Plan and Organize, Acquire and Implement, Deliver and Support, dan Monitoring. Menurut Romney (2012), domain COBIT framework versi 4 adalah: a) Plan and Organize (PO) Perencanaan dan pengorganisasian, domain ini berkaitan dengan strategi perusahaan terhadap teknologi informasi yang digunakan, bagaimana teknologi informasi tersebut dapat memberikan kontribusi yang maksimal dalam pencapaian tujuan bisnis perusahaan. Pada COBIT framework terdapat 11 IT processes dalam domain ini. b) Acquire and Implement (AI) Untuk merealisasikan strategi teknologi informasi, peran teknologi informasi perlu diidentifikasi dan dikembangkan. Dalam domain ini yang perlu diperhatikan adalah pergantian dan pemeliharaan sistem harus tetap menyediakan teknologi informasi yang sesuai dengan tujuan bisnis. Pada COBIT framework terdapat 6 IT processes dalam domain ini. c) Deliver and Support (DS) Domain ini fokus dalam pengimplementasian (delivery) teknologi informasi kepada setiap lini bisnis perusahaan. Dalam domain ini yang perlu diperhatikan adalah apakah teknologi informasi tersebut telah diimplementasikan

secara

tepat,

apakah

para

karyawan

dapat

menggunakan sistem teknologi informasi yang baru diserahkan tersebut



26

secara produktif. Pada COBIT framework terdapat 13 IT processes dalam domain ini. d) Monitor and Evaluate (M) Semua IT Processes perlu dinilai kualitas dan kesesuaiannya dengan control requirements secara reguler. Domain ini fokus dalam masalah manajemen performa, pengawasan dan kesesuaian dengan regulasi. . Pada COBIT framework terdapat 4 IT processes dalam domain ini. 3.

Controls-based Pihak manajemen menggunakan proses untuk mengorganisir dan mengatur aktifitas teknologi informasi, COBIT framework versi 4 menyediakan model proses yang merepresentasikan proses yang umumnya ditemukan di dalam teknologi informasi suatu perusahaan. Untuk mencapai IT Governance yang efektif, pengendalian perlu diimplementasikan dan dinilai oleh manajemen menggunakan suatu kerangka yang mencakup keseluruhan IT processes. COBIT framework menyediakan tujuan pengendalian (control objectives) berdasarkan IT processes, sehingga kerangka COBIT menggambarkan hubungan yang jelas antara IT Governance, IT Processes dan IT Controls

4. Measurement-driven. Setiap perusahaan harus memahami tingkat (level) dari teknologi informasi yang dimilikinya. Pengetahuan tersebut bermanfaat untuk menerapkan pengendalian dan peraturan yang diperlukan untuk mengelola teknologi informasi tersebut. COBIT framework versi 4 memberikan panduan untuk mengukur performa dan tingkat teknologi informasi yang ada pada suatu perusahaan. COBIT framework menggunakan maturity models dalam melakukan pengukuran.



27

2.8.1 COBIT IT Processes Pada bagian ini penulis hanya membahas IT Process yang terdapat dalam COBIT Frameworks versi 4 yang berhubungan dengan IT Process yang terdapat dalam lingkungan teknologi informasi PT XYZ yaitu: 1. Acquire and Maintain Application Software Proses ini terdapat dalam domain Acquire and Implement pada COBIT Framework. Menurut ISACA (2005), secara umum proses ini berkaitan dengan proses perancangan dan pengembangan aplikasi serta persyaratan dan pengendalian yang dibutuhkan. Fokus dari pengendalian pada proses ini adalah semua aplikasi dikelola sesuai dengan kebutuhan bisnis, dan pengelolaan ini dilakukan secara efektif dengan biaya yang terjangkau serta tepat waktu. Pengendalian yang terkait dengan proses ini adalah: 

Memastikan bahwa semua perubahan yang terjadi telah sesuai dengan standar pengembangan.



Memastikan pengembangan aplikasi sesuai dengan kebutuhan bisnis.



Memisahkan aktifitas pengembangan, pengujian dan pengoperasian aplikasi.

2. Manage The Configuration Menurut ISACA (2005), proses ini terdapat dalam domain Deliver and Support pada COBIT Framework. Secara umum proses ini bertujuan untuk mengelola konfigurasi aplikasi dan memastikan bahwa integritas konfigurasi dari hardware dan software telah akurat dan lengkap. Proses ini mencakup pengumpulan informasi untuk konfigurasi, menetapkan dasar, memverifikasi dan mengaudit informasi konfigurasi. Fokus dari pengendalian pada proses ini adalah menetapkan dan memelihara konfigurasi yang akurat dan lengkap.



28

Pengendalian yang terkait dengan proses ini adalah: 

Menetapkan alat bantu dan membuat suatu repository yang mencakup semua informasi konfigurasi serta menetapkan baseline konfigurasi.



Menetapkan prosedur konfigurasi untuk membantu manajemen dan mencatat semua perubahan pada konfigurasi.



Secara periodik melakukan review terhadap konfigurasi data untuk memverifikasi dan mengkonfirmasi integritas dari konfigurasi.

2.8.2 Peran COBIT Frameworks dalam ICoFR Menurut ITGI (2006), COBIT framework merupakan IT Governance frameworks yang di dalamnya dijelaskan secara lengkap mengenai proses dan pengendalian teknologi informasi di dalam suatu perusahaan. Dalam kaitan dengan peraturan SOX section 404, tidak semua elemen di dalam COBIT framework perlu diterapkan oleh perusahaan, melainkan hanya proses dan pengendalian yang terkait dengan proses pelaporan keuangan. COBIT framework merupakan open framework yang artinya perusahaan dapat menyesuaikan pengimplementasiannya sesuai kebutuhan perusahaan. Misalnya dengan menggunakan beberapa bagian dari COBIT framework, perusahaan dapat merancang pengendalian pada lingkungan teknologi informasi untuk mematuhi peraturan SOX Section 404. Untuk memudahkan penerapan pengendalian teknologi informasi dalam pengimplementasian dan penilaian ICoFR, pada tahun 2006 ITGI menerbitkan suatu panduan bagi perusahaan yaitu IT Control Objectives for Sarbanes-Oxley. Di dalam panduan ini, ITGI melakukan mapping atas COBIT framework dengan COSO framework untuk menciptakan suatu panduan pengendalian teknologi informasi yang mengacu pada peraturan SOX Section 404. ITGI melakukan mapping atas 34 IT processes dalam COBIT frameworks versi 4 dengan lima komponen COSO Internal Control – Integrated Framework. Proses mapping ini adalah mengidentifikasi 34 IT Process beserta pengendalian dalam COBIT frameworks yang dapat mendukung 5 komponen COSO Internal Control – Integrated Framework. Universitas Indonesia


29

Dalam COBIT frameworks, pengendalian dibagi ke dalam dua kelompok, yaitu pengendalian level entitas (entity-level control). 1.

Pengendalian tingkat entitas (entity-level control). Merupakan pengendalian yang berada pada manajemen tingkat atas yang melibatkan para eksekutif perusahaan.

2.

Pengendalian tingkat aktivitas (activity-level control) / pengendalian tingkat proses. Merupakan pengendalian yang terdapat padat tingkat aktivitas atau proses bisnis perusahaan yang melibatkan seluruh anggota perusahaan.

Dalam mapping ini, ITGI mengelompokkan IT process berdasarkan tingkat entitas dan tingkat aktifitas/proses. Sehingga dapat memberikan gambaran yang jelas mengenai IT process beserta pengendalian apa saja yang dibutuhkan berkaitan dengan ICoFR. Dapat dilihat pada Tabel 2.1, bahwa tidak semua IT Process dalam COBIT frameworks dapat membantu memenuhi komponen COSO Internal Control – Integrated Framework. Tabel 2.1 juga menjelaskan mengenai hubungan IT Processes yang terdapat dalam COBIT frameworks dengan proses utama yang terdapat dalam panduan SEC dan Auditing Standards no 2. Yang pertama, domain plan and organize dalam COBIT Frameworks berkaitan dengan IT environment, kedua domain acquire and implement berkaitan dengan proses program development and program changes, ketiga, domain deliver and support berkaitan dengan proses computer operation and access to programs and data, keempat, domain monitor & evaluation berkaitan dengan IT environment. Hal ini membuktikan bahwa empat domain yang terdapat dalam COBIT frameworks telah sesuai dengan standar yang ditetapkan oleh SEC dan Auditing Standards No 2. Selanjutnya setiap IT processes yang terdapat dalam masing – masing domain dikelompokkan berdasarkan tingkat entitas atau tingkat aktifitas/proses. Dapat dilihat bahwa proses – proses yang terdapat di dalam domain plan and organize, domain monitor & evaluation, dan beberapa proses dalam domain deliver and support berada pada tingkat entitas. Sedangkan, proses – proses yang terdapat Universitas Indonesia


30

dalam domain acquire and implement dan sebagian besar proses dalam domain deliver and support berada pada tingkat aktifitas/proses. Dengan pengelompokan proses tersebut, pengidentifikasian pengendalian terhadap masing – masing proses menjadi lebih mudah. Dari total 34 IT processes dan control objectives yang terdapat dalam COBIT Frameworks, 7 IT processes dan control objectives tidak mempunyai hubungan dengan komponen COSO Frameworks. 27 IT processes lainnya mempunyai hubungan dengan satu atau lebih dari 5 komponen yang terdapat dalam COSO Internal Control – Integrated Framework. Sehingga dalam penilaian dan penerapan ICoFR, perusahaan cukup fokus kepada 27 IT processes tersebut, yang 12 diantaranya berada pada tingkat aktifitas/proses dan 15 berada pada tingkat entitas. Pada tabel 2.2 dapat dilihat 12 IT processes tingkat aktifitas/proses tersebut yang dipetakan berdasarkan area ITGC yang terdapat pada Auditing Standards No 2 dan diberikan juga kode proses yang terdapat pada COBIT Frameworks 4.



31

Tabel 2.1 COSO – COBIT Frameworks Mapping

Sumber: www.itgi.org. Telah diolah kembali. Diakses pada: 3 Mei 2014



32

Tabel 2.2 COSO – COBIT Frameworks Mapping 2

Sumber: www.itgi.org. Diakses pada: 3 Mei 2014

2.9

IT Control Objectives for Sarbanes-Oxley

Menurut ITGI (2006), IT Control Objectives for Sarbanes-Oxley merupakan panduan yang diterbitkan untuk memudahkan perusahaan dalam menerapkan peraturan SOX 404 yang berkaitan dengan ICoFR pada lingkungan teknologi informasi. IT Control Objectives for Sarbanes-Oxley mengikuti PCAOB Auditing Standards no 2 yang telah diperbarui mejadi Auditing Standards no 5 pada tahun 2007. IT Control Objectives for Sarbanes-Oxley juga mengacu pada COSO Internal Control – Integrated Framework dan COBIT Frameworks versi 4. Menurut ITGI (2006), terdapat enam tahap dalam proses penilaian ICoFR pada lingkungan teknologi informasi yang terdapat dalam perusahaan, yaitu: 1. Plan and Scope Pada tahap ini dilakukan pengidentifikasian proses bisnis perusahaan dan risiko apa saja yang berkaitan dengan proses pelaporan keuangan, berdasarkan



33

Auditing Standards no 5, pendekatan yang dilakukan dalam pengidentifikasian adalah Top-Down Approach, yaitu: 1.

Pengidentifikasian dimulai dari laporan keuangan.

2.

Dilakukan pengidentifikasian atas akun – akun yang signifikan pada laporan keuangan.

3.

Kemudian proses bisnis/transaksi–transaksi yang terkait dengan akun– akun signifikan tersebut diidentifikasi.

4.

Setelahnya, aplikasi–aplikasi yang mendukung proses bisnis tersebut diidentifikasi.

5.

Selanjutnya risiko yang terdapat dalam proses tersebut diidentifikasi.

Tujuan dari tahap ini adalah untuk mengarahkan perhatian auditor terhadap akun - akun yang menunjukkan kemungkinan yang memadai (reasonable possibility) dari kesalahan saji yang bersifat material terhadap laporan keuangan. Bagan proses dari tahap ini dapat dilihat pada gambar 2.3 Berdasarkan COSO – COBIT Frameworks Mapping yang dilakukan ITGI dalam mengidentifikasi proses bisnis yang melibatkan teknologi informasi (IT processes) yang terdapat dalam perusahaan, proses pada tingkat aktifitas/proses yang perlu diberikan perhatian, yaitu: 1.

Acquire and maintain application software.

2.

Acquire and maintain technology infrastructure.

3.

Develop the IT processes, organization and relationships.

4.

Install and accredit solutions and changes.

5.

Manage changes.

6.

Define and manage service levels.

7.

Manage third-party services.

8.

Ensure systems security.

9.

Manage the configuration.

10. Manage problems and incidents. 11. Manage data. 12. Manage the physical environment and operations



34

Gambar 2.3: Top-Down Approach Sumber: www.itgi.org Diakses pada: 3 Mei 2014

2. Assess Risk Tahap kedua yaitu penilaian risiko, risiko – risiko yang telah diidentifikasi pada tahap sebelumnya kemudian ditentukan tingkatnya tinggi, menengah atau rendah berdasarkan: 1.

Kompleksitas dari teknologi yang digunakan

2.

Sumber daya manusia yang terkait dengan proses yang berisiko

3.

Pengalaman sebelumnya

4.

Volume/frekuensi transaksi

5.

Dampaknya terhadap laporan keuangan

3. Document Controls Setelah risiko diidentifikasi, tahap selanjutnya adalah mengidentifikasi pengendalian untuk mengelola risiko tersebut. Risiko yang terkait dengan proses pelaporan keuangan harus dikelola dengan cara membuat pengendalian yang dapat memitigasi risiko tersebut. Dalam tahap ini pengendalian diidentifikasi, baik itu pengendalian aplikasi dan pengendalian umum teknologi informasi. Setelah pengendalian diidentifikasi, perlu dilakukan dokumentasi atas pengendalian tersebut. Menurut panduan ini dokumentasi sebaiknya mencakup: 1.

Deskripsi proses dan subproses beserta flowchart.



35

2.

Deskripsi dari risiko yang terdapat pada suatu proses, beserta tingkat risiko dan akibat yang ditimbulkan.

3.

Tujuan dari pengendalian (control objective).

4.

Asersi atau kesesuaian dengan kerangka COSO.

5.

Aktifitas pengendalian dan atribut yang dirancang untuk mencapai control objective.

6.

Pendekatan yang dilakukan untuk menguji efektifitas dari pengendalian.

4. Evaluate Control Design and Operating Effectiveness Setelah pengendalian diidentifikasi, tahap selanjutnya adalah mengevaluasi pengendalian – pengendalian tersebut. Berdasarkan maturity model pada COBIT frameworks versi 4 sebaiknya perusahaan menilai kehandalan rancangan pengendalian yang dibuatnya menjadi lima tingkat, tingkat 5 berarti pengendalian yang terdapat pada perusahaan telah efektif dan sesuai dengan ketentuan SOX Section 404, sedangkan tingkat 1 berarti belum terdapat pengendalian pada perusahaan, berikut kelima tahap tersebut: 1.

Stage 0  nonexistent, tidak terdapat pengendalian, bahkan perusahaan tidak mengetahui terdapat risiko dalam proses bisnisnya.

2.

Stage 1  initial ad hoc, perusahaan telah menyadari bahwa terdapat risiko dalam proses bisnisnya, tetapi pengendalian dan peraturan belum ditetapkan dan didokumentasikan. Dan defisiensi pengendalian tidak dapat diidentifikasi.

3.

Stage 2  repeatable but intuitive, pengendalian dan peraturan telah ditetapkan tetapi tidak selalu didokumentasikan. Pengevaluasian efektifitas dari kegiatan operasional perusahaan tidak dilakukan secara berkala, sehingga defisiensi telah dapat diidentifikasi tetap tidak dapat diperbaiki tepat waktu.

4.

Stage 3  defined process, pengendalian dan peraturan telah didokumentasikan secara lengkap. Para karyawan telah menyadari tanggung jawabnya terhadap aktifitas pengendalian, pengevaluasian efektifitas dari kegiatan operasional perusahaan telah dilakukan secara



36

berkala, sehingga defisiensi telah dapat diidentifikasi dan diperbaiki tepat waktu 5.

Stage 4  managed and measurable, pada tingkat ini, semua kriteria pengendalian pada tingkat 3 telah terpenuhi, tetapi pada tingkat ini masih tidak terdapat dokumentasi yang cukup atas kejadian dan pengungkapan yang terjadi terkait dengan perubahan proses yang dapat menimbulkan risiko baru pada perusahaan. Pada tahap ini penggunaan teknologi terkait dengan pengendalian juga terbatas.

6.

Stage 5  optimized, pada tingkat ini semua kriteria pengendalian pada tingkat sebelumnya telah ada. Dalam tingkat ini perusahaan telah memiliki suatu program pengelolaan risiko dan pengendalian secara luas. Program ini mendokumentasi dan mengevaluasi pengendalian secara berkala. Teknologi

digunakan

mengidentifikasi,

pada tingkat

maksimum

mendokumentasikan,

untuk membantu,

mencapai,

mengevaluasi

pengendalian. Setelah rancangan pengendalian dinilai, tahap selanjutnya adalah mengevaluasi efektifitas dari pengendalian tersebut. Rancangan pengendalian tersebut harus diuji, pada tahap pengujian. Pengujian dilakukan oleh individu yang bertanggung jawab terhadap pengendalian tersebut. Hasil dari pengujian pengendalian tersebut haruslah didokumentasikan secara detail. Termasuk tahap dan prosedur yang dilakukan dalam melakukan pengujian. Menurut ITGI (2006), dokumentasi pengujian harus mencakup: 1.

Jenis, waktu dan cakupan dari pengujian yang dilakukan beserta hasil pengujian.

2.

Individu yang melakukan pengujian dan beserta tanggal pengujian

3.

Ukuran sampel dan populasi pengujian

4.

Referensi dari dokumentasi yang mendukung

5.

Kesimpulan efektifitas dari pengendalian yang diuji

6.

Pengecualian yang diidentifikasi dan penanggulangannya.



37

ITGI memberikan panduan untuk menetapkan sampel minimum untuk jenis pengendalian manual dan otomatis berdasarkan frekuensi dari pengendalian tersebut. Dapat dilihat pada tabel 2.3. Tabel 2.3 Panduan Penentuan Ukuran Sampel

Sumber: www.itgi.org. Diakses pada: 3 Mei 2014

5. Evaluate and Remediate Deficiencies Setelah pengendalian diuji, kemudian dapat diketahui defisiensi dan kekurangan yang terdapat pada pengendalian tersebut. Semua defisiensi yang berhasil diidentifikasi

harus di-review, dievaluasi dan dicari penyebabnya.

Secara umum terdapat dua jenis defisiensi, yaitu: 1.

Defisiensi yang berhubungan dengan pengendalian yang hilang atau tidak cukup, kurangnya dokumen pendukung, atau rancangan pengendalian yang tidak efektif.

2.

Defisiensi yang kedua adalah berkaitan dengan konsistensi dari pengendalian, misalnya pengendalian tersebut tidak konsisten dalam mencegah risiko dalam kurun waktu tertentu (hanya efektif pada saat tertentu).

Setelah defisiensi dan penyebabnya diidentifikasi tahap selanjutnya adalah memperbaiki defisiensi tersebut.



38

6. Build Sustainability Setelah semua risiko yang berkaitan dengan proses pelaporan keuangan diidentifikasi dan pengendalian dibuat untuk mengelola risiko tersebut, dan setelah

pengendalian

tersebut

dievaluasi

dan

semua

defisiensi

atas

pengendalian tersebut telah diperbaiki, tahap selanjutnya adalah membangun sistem pengevaluasian pengendalian internal atas teknologi informasi yang berkelanjutan. Pengevaluasian harus dilakukan secara berkala, sehingga apabila terdapat perubahan atau proses – proses baru yang menciptakan risiko baru akan dapat diidentifikasi dan dikelola secepatnya. .



BAB 3 PROFIL PERUSAHAAN TEMPAT MAGANG DAN METODOLOGI PENELITIAN

3.1

Profil Kantor Akuntan Publik RSM AAJ Associates

RSM AAJ Associates adalah salah satu kantor akuntan publik di Indonesia, RSM AAJ merupakan anggota dari RSM, yaitu firma internasional yang terdiri firmafirma independen. RSM AAJ didirikan di Jakarta pada tahun 1985 oleh Amir Abadi Jusuf dengan izin usaha sebagai kantor akuntan publik dari Menteri Keuangan Republik Indonesia Nomor: KEP-269/KM.6/2004. Tahun 1992, Kantor akuntan publik (KAP) AAJ berafiliasi dengan RSM Internasional. Menurut employee-handbook KAP RSM AAJ tahun 2014, RSM Internasional merupakan firma audit dan konsultasi terbesar ke-7 di dunia yang hadir di 106 negara dan 700 kantor di seluruh dunia dan KAP RSM AAJ merupakan KAP terbesar ke 5 di Indonesia. Menurut employee-handbook RSM AAJ tahun 2014, visi dan misi KAP RSM AAJ adalah: Visi RSM Internasional adalah “Agar setiap anggotanya menjadi penyedia jasa akuntansi, pajak, dan konsultasi yang dapat memberikan kesuksesan jangka panjang dan membantu mereka mencapai tujuannya” Visi KAP RSM AAJ adalah “Untuk menjadi partner yang tepat bagi pemangku kepentingan” yang dicapai dengan 3 misi yaitu: 1.

Mendukung pencapaian bisnis klien dengan menyediakan servis yang professional.

2.

Memberikan kontribusi kepada profesi akuntan publik dan kepada perekonomian Indonesia.

3.

Menyediakan lingkungan kerja yang nyaman dan bermanfaat.

39



40

RSM AAJ Associates menyediakan lima jenis jasa yang dapat membantu proses bisnis perusahaan. Lima jasa yang disediakan oleh RSM AAJ adalah sebagai berikut: 1.

Audit & Assurance, yang mencakup audit umum, audit khusus, review & ketaatan, atestasi dan financial due diligence

2.

Risiko & Internal Audit, yang mencakup corporate governance, internal audit,

manajemen

risiko,

teknologi

informasi,

audit

operasional,

pengembangan sistem dan prosedur. 3.

International Financial Reporting Standards (IFRS), yang mencakup IFRS conversion project, due diligence in IFRS environment, valuations relating to purchase price allocation process, shared-based payments, audition IFRS financial statement.

4.

Tax & corporate services, yang mencakup konsultasi pajak, kesesuaian pajak, jasa akuntansi, jasa penggajian dan administrasi, business establishment services dan corporate secretarial.

5.

Transaction support & capital market, yang mencakup analisis transaksi, business solutions, divestment and mergers & acquisition, business turnaround, fund arranger & valuation.

3.1.1 Struktur Organisasi RSM AAJ Associates Berdasarkan employee-handbook RSM AAJ tahun 2014, KAP RSM AAJ dipimpin oleh Board of Partners (BOP) yang berjumlah 4 orang. BOP mempunyai tugas untuk menjaga kelangsungan usaha firma. Tugas pokok dari Board of Partners diantaranya adalah: 1.

Menetapkan tujuan dan strategi firma.

2.

Menetapkan peraturan-peraturan firma.

3.

Menetapkan Chief Executive Partner (CEP).

4.

Menetapkan struktur organisasi firma.

5.

Memastikan kewajiban kepada shareholder dan stakeholder terpenuhi.



41

Board of Management KAP RSM AAJ terdiri dari Managing Partner, Divisions Chief Operating Officers (DCOOs), Partners, Directors, dan pejabat lainnya. Terdapat 4 Managing Partner (MP) yaitu MP lini bisnis (Line Of Business) Audit Assurance, MP LOB Tax & Outsourcing, MP Corporate Finance & Transaction Support, MP LOB Risk Advisory. Setiap Managing Partner bertanggung jawab terhadap kualitas dari masing – masing lini jasa (service line) yang dikepalainya. KAP RSM AAJ mempunyai 8 divisi yaitu Blue, Green, Red, Tosca, Brown, White, Orange, dan Purple. Masing – masing divisi mempunyai line of business yang berbeda. Divisi blue, green, red, tosca dan brown mempunyai line of business Audit Assurance, divisi white mempunyai line of business Risk Advisory, divisi Orange mempunyai line of business Corporate Finance & Transaction Support, divisi Purple mempunyai line of business Tax & Outsourcing. Struktur KAP RSM AAJ dapat dilihat pada gambar 3.1.

Gambar 3.1: Struktur Organisasi Kantor Akuntan Publik RSM AAJ. Sumber: Employee-handbook RSM AAJ tahun 2014. Telah diolah kembali.



42

3.2

Profil PT XYZ Indonesia

PT XYZ adalah salah satu perusahaan telekomunikasi terkemuka di Indonesia, PT XYZ merupakan anak perusahaan dari PT X yang merupakan perusahaan informasi dan komunikasi serta penyedia jasa dan jaringan telekomunikasi di Indonesia. Berdasarkan laporan tahunan PT XYZ tahun 2013, 35% Saham PT XYZ saat ini dimiliki oleh salah satu perusahaan telekomunikasi singapura dan 65% dimiliki oleh PT X. PT X merupakan perusahaan publik yang telah terdaftar di Bursa Efek Indonesia (BEI) dan juga Bursa Efek New York (NYSE). PT XYZ telah melayani lebih dari 125 juta pelanggan terhitung dari tahun 2013. 3.2.1 Visi dan Misi Perusahaan PT XYZ Menurut situs resmi PT XYZ (2014), PT XYZ memiliki Visi yaitu “Menjadi penyedia layanan dan solusi mobile digital lifestyle kelas dunia yang terpercaya”. Adapun untuk mencapai visi itu PT XYZ mempunyai misi yaitu memberikan layanan dan solusi mobile digital yang melebihi ekspektasi pelanggan, memberikan nilai tambah kepada para stakeholders, dan mendukung pertumbuhan ekonomi bangsa. 3.2.2 Jasa – jasa yang disediakan PT XYZ Indonesia PT XYZ mulai beroperasi pada tahun 1995, sejak saat itu sampai dengan sekarang PT XYZ telah membangun lebih dari 100 menara pemancar (BTS) setiap bulannya. Dengan total 70.000 BTS sampai saat ini, PT XYZ mempunyai 4700 karyawan yang tersebar di 11 wilayah di Indonesia. Berdasarkan laporan tahunan PT XYZ tahun 2013, jasa telekomunikasi yang disediakan oleh PT XYZ telah mencakup 95% populasi masyarakat Indonesia. Produk dan jasa utama yang disediakan oleh PT XYZ adalah kartu handphone prabayar dan pascabayar. Terdapat 3 produk unggulan PT XYZ untuk beberapa segmen pasar yang berbeda. PT XYZ mempunyai rencana jangka panjang untuk mengembangkan produk dan jasa yang disediakannya ke arah digital lifestyle yang mencakup segala aspek yang dibutuhkan oleh konsumen.



43

3.2.3 Struktur Organisasi PT XYZ Indonesia Berdasarkan laporan tahunan PT XYZ tahun 2013, PT XYZ dipimpin oleh seorang presiden direktur yang bertanggung jawab langsung kepada dewan komisaris. Presiden direktur membawahi 7 direktur yang bertanggung jawab membawahi direktorat masing – masing, yaitu direktur perencanaan dan transformasi, direktur pemasaran, direktur penjualan, direktur jaringan, direktur teknologi informasi, direktur keuangan, and direktur sumber daya manusia. Dalam menjalankan tugasnya presiden direktur dibantu oleh corporate secretary, internal audit dan program management office. Struktur organisasi PT XYZ dapat dilihat pada gambar 3.2.

Gambar 3.2: Struktur Organisasi PT XYZ Sumber: Diolah oleh penulis.



44

3.2.4 Struktur Direktorat Teknologi Informasi PT XYZ Direktorat teknologi informasi PT XYZ terdiri dari 2 group (seperti dapat dilihat pada gambar 3.3), yaitu: 1. IT Planning Group. IT Planning Group terdiri dari divisi IT Alignment and Service Quality. Divisi ini mempunyai tujuan untuk memastikan bahwa infrastruktur dan sistem teknologi informasi perusahaan dapat mendukung proses bisnis perusahaan. Divisi ini fokus dalam merencanakan dan menganalisis infrastruktur dan sistem teknologi informasi yang akan diterapkan oleh perusahaan. Divisi IT Alignment and Service Quality ini juga mempunyai tugas untuk memastikan pengembangan dan perubahan infrastruktur dan sistem teknologi informasi sejalan dengan kebutuhan bisnis perusahaan. Divisi ini membawahi 4 departemen, masing – masing departemen mempunyai tugas untuk merencanakan dan menganalisis infrastruktur dan sistem teknologi informasi yang akan diterapkan pada 6 direktorat lainnya. Salah satunya departemen IT Account Planning and Network, mempunyai tanggung jawab untuk merencanakan dan menganalisis infrastruktur dan sistem teknologi informasi yang akan diterapkan pada direktorat perencanaan & transformasi dan direktorat jaringan. Termasuk di dalamnya memastikan pengembangan dan perubahan sistem/aplikasi telah sesuai dengan kebutuhan perusahaan. 2. IT Service Management Group IT Service Management Group terdiri dari 6 divisi. 5 divisi khusus untuk untuk mengelola sistem/aplikasi teknologi informasi yang telah diterapkan perusahaan yang tersebar di 6 direktorat. 5 divisi ini mengelola berbagai aplikasi – aplikasi yang digunakan oleh 6 direktorat pada PT XYZ. 5 divisi ini bertindak sebagai application owner. Dalam 5 divisi ini terdapat departemen – departemen yang mengelola aplikasi berdasarkan fungsi dari aplikasi tersebut. Salah satunya adalah departemen Sales, Campaign and Marketing Management yang berada dibawah divisi CRM Application Management yang



45

bertugas untuk mengelola aplikasi yang berkaitan dengan penjualan dan pemasaran yang digunakan departemen – departemen pada Direktorat Marketing dan Direktorat Sales. Divisi lainnya pada IT Service Management Group adalah IT Transition Management yang mempunyai tugas untuk mengelola pengembangan dan perubahan dari sistem/aplikasi termasuk untuk menguji dan mengimplementasikan sistem/aplikasi baru. Departemen Test Execution mempunyai tanggung jawab untuk melakukan pengujian atas pengembangan/perubahan

sistem/aplikasi

sebelum

aplikasi

tersebut

diimplementasikan. Departemen Service Control bertanggung jawab untuk memastikan bahwa pengimplementasian sistem/aplikasi baru telah berjalan dengan baik dan tidak memberikan dampak negatif terhadap sistem yang berjalan.

Gambar 3.3: Stuktur Direktorat Teknologi Informasi PT XYZ Sumber: Diolah oleh penulis.



46

3.3

Metodologi Penelitian

Dalam penelitian ini penulis menetapkan metodologi sebagai berikut: 1.

Pada tahap pertama, penulis akan membahas mengenai proses penilaian pengendalian internal atas pelaporan keuangan (ICoFR) pada PT XYZ yang dilakukan oleh KAP RSM AAJ. KAP RSM AAJ menggunakan prosedur yang dirancang oleh KAP RSM AAJ pada tahun 2013 berdasarkan peraturan SOX Section 302 dan Section 404, PCAOB Auditing Standards No 5, COSO Internal Control - Integrated Framework tahun 2013 dan SOX 404: A Guide for Management by Internal Controls Practitioners, yang diterbitkan IIA pada tahun 2008.

2.

Pada tahap selanjutnya penulis akan membahas mengenai proses penilaian ICoFR pada lingkungan teknologi informasi PT XYZ, yang fokus mengenai tahap pengujian pengendalian umum teknologi informasi (ITGC) PT XYZ yang dilakukan oleh penulis. Dalam melakukan pengujian, KAP RSM AAJ berpedoman pada PCAOB Auditing Standards no 5, panduan IT Control Objectives for Sarbanes-Oxley yang diterbitkan oleh ITGI pada tahun 2006 yang mengacu pada COBIT framework versi 4 yang diterbitkan oleh (ISACA) pada tahun 2005.

3.

Dan pada tahap terakhir, penulis akan melakukan analisis penerapan pengendalian internal PT XYZ dengan menggunakan COSO Internal Control - Integrated Framework, analisis proses penilaian ICoFR pada lingkungan teknologi informasi PT XYZ yang dilakukan oleh KAP RSM AAJ dengan mengacu pada PCAOB Auditing Standards no 5 dan panduan IT Control Objectives for Sarbanes-Oxley. Dan analisis penerapan pengendalian pada 2 IT Processes PT XYZ dengan COBIT framework versi 4.



BAB 4 PEMBAHASAN DAN ANALISIS

Bab ini membahas mengenai prosedur penilaian Internal Control over Financial Reporting (ICoFR) pada PT XYZ yang dilakukan oleh KAP RSM AAJ, tahap pengujian pengendalian pada information and technology general controls (ITGC) PT XYZ, dan analisis atas pengendalian internal secara umum pada PT XYZ, analisis proses penilaian ICoFR dalam lingkungan teknologi informasi yang dilakukan oleh KAP RSM AAJ khususnya pada tahap pengujian pengendalian information and technology general controls (ITGC) dan analisis penerapan pengendalian pada 2 IT Process PT XYZ. 4.1

Prosedur Penilaian Pengendalian Internal atas Pelaporan Keuangan (ICoFR) PT XYZ

PT XYZ adalah anak perusahaan dari PT X, PT X merupakan perusahaan publik yang telah terdaftar di Bursa Efek Indonesia (BEI) dan juga Bursa Efek New York (NYSE). SEC sebagai otoritas pengawas bursa efek yang ada di Amerika Serikat, mensyaratkan semua perusahaan yang bertransaksi di bursa efek Amerika Serikat untuk mematuhi semua peraturan yang telah ditetapkan. Sebagai anak perusahaan dari PT X, PT XYZ harus mengikuti semua peraturan terkait yang diberlakukan sebagai syarat terdaftar di bursa saham tersebut, salah satu peraturan terkait adalah Sarbanes Oxley Act yang diterbitkan pada tahun 2002, khususnya Sarbanes Oxley Act (SOX) section 302 dan 404. Dalam peraturan SOX 404 ini dijelaskan bahwa perusahaan harus mengeluarkan suatu laporan atas pengendalian internal. Dalam laporan tersebut, perusahaan harus menyatakan bahwa pengendalian internal atas pelaporan keuangan (ICoFR) telah berjalan dengan efektif Pada tahun 2013, dikarenakan keterbatasan sumber daya untuk melakukan penilaian

dan

pengimplementasian

ICoFR.

PT

XYZ

memilih

untuk

menggunakan jasa KAP RSM AAJ sebagai konsultan untuk membantu 47 Analisis penerapan..., Andrey Octavian, FE UI, 2014


48

departemen audit internal PT XYZ dalam melakukan penilaian dan pengimplementasian pengendalian terkait kesesuaian dengan peraturan SOX tersebut. Dalam membantu PT XYZ melakukan penilaian dan pengimplementasian ICoFR seperti yang dipersyaratkan oleh peraturan SOX section 404, KAP RSM AAJ berpedoman pada PCAOB Auditing Standards No 5, dan menggunakan kerangka COSO Internal Control - Integrated Framework. Dalam melakukan penilaian atas ICoFR, KAP RSM AAJ menggunakan suatu prosedur bertahap yang telah dirancang oleh KAP RSM AAJ pada tahun 2013. Prosedur yang dirancang oleh KAP RSM AAJ ini mengikuti PCAOB Auditing Standards No 5 dan SARBANES-OXLEY SECTION 404: A Guide for Management by Internal Controls Practitioners yang diterbitkan oleh IIA pada tahun 2008. Untuk melakukan penilaian terhadap ICoFR dalam lingkungan teknologi informasi KAP RSM AAJ berpedoman mengikuti panduan IT Control Objectives for Sarbanes-Oxley yang diterbitkan oleh ITGI pada tahun 2006 yang mengacu pada COBIT Framework versi 4. Prosedur yang dirancang oleh KAP RSM AAJ dalam melakukan penilaian terhadap atas ICoFR terbagi menjadi lima tahap yaitu: 1.

Pengidentifikasian Dalam tahap ini, KAP RSM AAJ melakukan pengidentifikasian untuk memilih proses - proses yang menjadi prioritas dengan menggunakan pendekatan Top-Down Approach, yaitu memulai pengidentifikasian dari laporan keuangan, mengidentifikasi akun – akun yang signifikan terhadap pelaporan keuangan dan menelusuri sampai dengan transaksi – transaksi yang berhubungan dengan akun tersebut. Selanjutnya, proses – proses yang berhubungan dengan transaksi tersebut diidentifikasi. Untuk proses pada lingkungan

teknologi

informasi,

KAP

RSM

AAJ

kemudian

mengidentifikasi aplikasi – aplikasi yang terkait di dalam proses yang telah diidentifikasi sebelumnya. Untuk pengidentifikasian proses pada lingkungan teknologi informasi, KAP RSM AAJ merujuk pada panduan yang diterbitkan oleh ITGI yaitu Sarbanes-Oxley: IT Control objectives. Universitas Indonesia


49

2.

Pemetaan Pada tahap kedua, KAP RSM AAJ melakukan pemetaan atas langkah langkah yang dilakukan perusahaan dalam melakukan proses pada akunakun yang telah terpilih pada tahap sebelumnya. Kemudian dilakukan analisis terhadap keberadaan risiko pada proses tersebut dan penilaian tingkat risiko (Penilaian tingkat risiko dalam hal ini ditentukan oleh PT XYZ). Selanjutnya

KAP RSM AAJ melakukan

identifikasi

atas

pengendalian yang sudah ada, mengidentifikasi pihak yang bertanggung jawab atas pengendalian, dan menentukan jenis pengendalian. Hasil dari tahap pemetaan ini adalah berupa bagan alir (flowchart) dan Risk Control Matrix. 3.

Perancangan Dalam tahap ini KAP RSM AAJ melakukan penilaian terhadap pengendalian internal berdasarkan pemetaan pada tahap dua. Penilaian dilakukan dengan membandingkan risiko yang telah diidentifikasi dengan pengendalian yang sudah diterapkan untuk memitigasi risiko tersebut. KAP RSM AAJ menilai apakah pengendalian yang sudah diterapkan sudah cukup untuk memitigasi risiko - risiko yang teridentifikasi serta dapat mencegah atau mendeteksi secara efektif risiko yang dapat menghasilkan salah saji material dalam laporan keuangan.

4.

Pengujian Pada tahap keempat, KAP RSM AAJ melakukan tahap pengujian pengendalian untuk mengetahui apakah pengendalian yang dirancang telah berjalan secara efektif. Tahap ini memastikan apakah pihak yang menjalankan pengendalian memiliki otoritas dan memiliki kompetensi yang tepat untuk menjalankan pengendalian dengan efektif. Dalam tahap pengujian, prosedur yang dilakukan adalah melakukan tanya jawab, mengumpulkan dokumen – dokumen sebagai bukti dari adanya pengendalian dan melakukan inspeksi dokumen pengendalian, dan melakukan konfirmasi apabila ditemukan adanya suatu pengendalian yang tidak dijalankan dengan efektif. Dalam melakukan pengujian pengendalian pada PT XYZ, KAP RSM AAJ melakukan pengujian pada 3 area yaitu



50

Transaction Level Control, IT Entity Level Control, dan Information Technology General Control. 5.

Pelaporan Pada tahap pelaporan KAP RSM AAJ akan menyampaikan hasil dari pernilaian dan pengujian pengendalian beserta dokumentasi dan bukti. Serta memberikan saran dan rekomendasi atas pengendalian yang seharusnya dilaksanakan atau pengendalian yang belum efektif. Apabila diminta, KAP RSM AAJ juga akan melakukan pengawasan atas pengendalian internal.

Dalam laporan magang ini penulis hanya fokus membahas tahap 4 prosedur dalam proses penilaian ICoFR tersebut, yaitu tahap pengujian. Khususnya pengujian atas pengendalian umum teknolog informasi (ITGC). Pada saat melaksanakan program magang selama 3 bulan, penulis mendapat kesempatan untuk melaksanakan tahap pengujian ITGC pada empat proses di 4 departemen PT XYZ. Tahap pertama, kedua dan ketiga, sudah dilakukan oleh KAP RSM AAJ dan PT XYZ sebelum periode penulis magang. Tahap 5 akan dilakukan oleh partner KAP RSM AAJ. 4.2

Pengujian Pengendalian Umum Teknologi Informasi PT XYZ

Pada saat dilakukan penugasan ke PT XYZ, penulis diberikan tugas sebagai salah satu penguji dari KAP RSM AAJ yang bertugas untuk melakukan pengujian atas pengendalian umum teknologi informasi (ITGC) yang dapat berpengaruh langsung terhadap laporan keuangan pada 4 departemen di PT XYZ.

Dalam laporan magang ini, penulis hanya akan fokus membahas

pengujian atas pengendalian umum teknologi informasi PT XYZ yang dilakukan pada activity/process level. Karena pengendalian umum teknologi informasi pada entity level dilakukan oleh tim KAP RSM AAJ yang berbeda. Tahap pengujian pengendalian dilakukan dengan cara tanya jawab/inquiry, observasi, inspeksi dokumen dan konfirmasi. Dalam tahap pengujian ini, tidak dilakukan pengujian atas pengendalian aplikasi (application control) PT XYZ karena tidak ada di dalam kontrak kerjasama PT XYZ dengan KAP RSM AAJ.



51

Dalam melakukan pengujian pengendalian, KAP RSM AAJ membagi proses pengujian menjadi 3 fase, seperti dapat dilihat pada gambar 4.1, yaitu: 1.

Fase 1 yaitu plan, dimana KAP RSM AAJ menentukan tujuan dan scope dari pengujian. Selanjutnya dalam tahap ini KAP RSM AAJ menentukan sumberdaya yang dibutuhkan untuk melaksanakan pengujian.

2.

Pada fase 2, KAP RSM AAJ melakukan tahap perform. Pada tahap ini KAP RSM AAJ akan mengumpulkan dan mengevaluasi bukti audit dan menyiapkan saran terkait dengan temuan bila ada.

3.

Pada fase 3, yaitu tahap communicate, KAP RSM AAJ akan mengkomunikasikan temuan dan memberikan saran kepada PT XYZ.

Gambar 4.1 : Fase pengujian pengendalian KAP RSM AAJ Sumber : Diolah oleh penulis.

Saat melaksanakan program magang, penulis berada fase dua pada tahap pengujian ini yaitu fase perform. Penulis bertugas untuk melakukan, mengumpulkan control documents, melakukan tanya jawab kepada business process owner, melakukan inspeksi control documents dan membuat working papers.



52

Berdasarkan COBIT Framework versi 4 dan panduan yang diterbitkan oleh ITGI (2006) yaitu IT Control Objectives for Sarbanes-Oxley, identifikasi yang dilakukan oleh KAP RSM AAJ dalam proses di lingkungan teknologi informasi PT XYZ pada tahap pemetaan, berhasil mengidentifikasi 14 proses yang, dan diantaranya terdapat lima proses signifikan yang mempunyai risiko moderate to high. Untuk menghemat waktu dan biaya, PT XYZ dan KAP RSM AAJ memutuskan hanya melakukan pengujian pada proses yang mempunyai risiko moderate to high. Setelah mengidentifikasi 14 proses termasuk 5 proses signifikan tersebut, KAP RSM AAJ kemudian mengidentifikasi 35 aplikasi yang terdapat di dalam proses signifikan tersebut. Satu aplikasi bisa terdapat dalam beberapa proses, karena beberapa proses tersebut saling berhubungan. Kemudian KAP RSM AAJ mengidentifikasi 350 pengendalian (controls) pada lima proses signifikan tersebut. Kelima proses signifikan tersebut tersebar pada 28 departemen di PT XYZ. KAP RSM AAJ kemudian mendokumentasikan semua proses signifikan, aplikasi, risiko, dan pengendalian yang telah diidentifikasi ke dalam risk control matrix (RCM). Empat belas proses yang lima diantaranya merupakan proses signifikan (bagan proses dapat dilihat pada lampiran 1) dikelompokkan sebagai berikut: 1. Pengembangan Program dan Perubahan Program (Program development & Program changes) : A. Mengelola Permintaan Pengembangan dan Perubahan B. Akuisisi Infrastruktur Teknologi C. Operation Enablement D. Testing Management E. Release Management 2.

Operasi komputer (Computer operations): F. Mengelola Jasa Pihak Ketiga G. Mengelola Konfigurasi Kendali Aplikasi H. Mengelola Insiden dan Masalah I. Mengelola Data



53

J. Mengelola Operasi K. Mengelola End User Computing 3. Akses program dan data (Access to programs and data): L. Mengelola Hak Akses Sistem M.Mengelola Keamanan Fisik Sistem N. Mengelola Konfigurasi keamanan sistem 4.2.1

Proses di Lingkungan Teknologi Informasi PT XYZ

Dalam melakukan pengujian pengendalian atas pengendalian umum teknologi informasi, KAP RSM AAJ bersama PT XYZ mengidentifikasi lima proses signifikan yang mempunyai tingkat risiko moderate – high kelima proses signifikan tersebut yaitu: 1.

Mengelola Permintaan Pengembangan dan Perubahan Proses mengelola permintaan pengembangan dan perubahan adalah suatu proses yang bermula dari adanya permintaan oleh pengguna/user (requestor) atas suatu aplikasi untuk menunjang kegiatan operasional perusahaan, atau pemintaan perubahan aplikasi dikarenakan adanya ketidakefisienan atau masalah dalam suatu aplikasi yang sudah berjalan. Requestor kemudian membuat dokumen nota dinas. Dokumen nota dinas ini berisi alasan dan tujuan dari permintaan pengembangan atau perubahan tersebut. Kemudian nota dinas tersebut harus di-review terlebih dahulu oleh manajer dari requestor. Selanjutnya setelah di-review dan disetujui, requestor membuat dokumen change request. Di dalam dokumen change request ini terdapat alasan dan tujuan dari permintaan pengembangan atau perubahan dan harus didukung oleh dokumen feasibility checklist/impact analysis yang menjelaskan analisis dampak dari pengembangan dan perubahan yang dilakukan. Dokumen change request ini harus di review oleh manajer dari requestor, application owner dan pihak pengembang (application developer). Sedangkan dokumen feasibility checklist/impact



54

analysis harus di review dan disetujui oleh manajer dari requestor dan pihak pengembang. Proses

mengelola

permintaan

pengembangan

dan

perubahan

ini

berhubungan dengan proses testing management dan dengan proses release management. Dimana setelah change request disetujui maka berikutnya, permintaan tersebut akan diproses (dilakukan pengembangan atau perubahan) oleh pihak pengembang, dan kemudian dilakukan pengujian dari dampak pengembangan/perubahan tersebut (proses testing management). Berdasarkan identifikasi yang dilakukan, dalam proses ini terdapat risiko gangguan operasional akibat perubahan yang tidak terotorisasi. 2.

Testing Management Setelah change request disetujui pada proses mengelola permintaan pengembangan dan perubahan, dan permintaan pengembangan atau perubahan aplikasi tersebut telah diproses oleh pihak pengembang, maka kemudian pihak penguji harus menguji (test) hasil dari pengembangan dan perubahan tersebut berdasarkan test strategy/test plan. Test strategy/test plan ini merupakan strategi pengujian yang dilakukan untuk memastikan bahwa pengembangan atau perubahan telah sesuai dengan permintaan dari requestor. Test strategy/test plan tersebut harus di review dan disetujui oleh pihak pengembang dan penguji, kemudian hasil dari pengujian tersebut harus didokumentasikan. Dokumen hasil pengujian tersebut harus di review dan disetujui oleh pihak pengembang dan requestor apabila telah sesuai dengan permintaan. Selanjutnya apabila permintaan pengembangan dan perubahan telah diuji dan hasilnya telah disetujui, maka selanjutnya pengembangan atau perubahan tersebut akan diimplementasikan (proses Release Management). Berdasarkan identifikasi yang dilakukan, dalam proses ini terdapat risiko pengembangan dan perubahan yang terjadi di lingkungan produksi berdampak negatif kepada sistem dan infrastruktur yang telah ada.



55

3.

Release Management Setelah permintaan pengembangan dan perubahan telah diuji dan hasilnya telah disetujui, implementasi pengembangan dan perubahan akan dilakukan oleh pihak release assignee. Untuk setiap proses pengimplementasian (release) pengembangan dan perubahan dihasilkan dokumen Release Form, dokumen

release

form

ini

merupakan

bukti

bahwa

proses

pengimplementasian telah dilaksanakan, pihak release development dan release operation harus me-review dokumen Release Form tersebut. Setelah pengembangan/perubahan diimplementasikan, selanjutnya harus dilakukan post implementation review (PIR) terhadap proses pengimplementasian tersebut untuk mengetahui tingkat keberhasilannya. Dokumen PIR ini harus disahkan oleh pihak pengembang dan requestor. Berdasarkan identifikasi yang dilakukan, dalam proses ini terdapat risiko pengembangan dan perubahan yang terjadi di lingkungan produksi berdampak negatif kepada sistem dan infrastruktur yang telah ada. 4.

Mengelola Konfigurasi Kendali Aplikasi Proses mengelola konfigurasi kendali aplikasi tidak mempunyai hubungan dengan tiga proses sebelumnya. Proses mengelola konfigurasi kendali aplikasi dimulai ketika application owner menetapkan standar pengendalian aplikasi. Standar pengendalian aplikasi merupakan konfigurasi yang tepat agar suatu aplikasi dapat berjalan secara akurat. Di dalam standar pengendalian aplikasi tersebut terdapat baseline konfigurasi. Kemudian secara periodik setiap 3 bulan application owner mengumpulkan konfigurasi pengendalian aplikasi dari sistem, dan me-review konfigurasi berdasarkan standar dan kemudian membuat laporan review konfigurasi. Manajer kemudian mengkaji apakah diperlukan perubahan terhadap konfigurasi dan kemudian mengesahkan laporan review konfigurasi. Berdasarkan identifikasi yang dilakukan, pada proses terdapat risiko kegagalan operasional yang diakibatkan oleh aplikasi yang tidak dikonfigurasikan dengan benar. Universitas Indonesia


56

5.

Mengelola Hak Akses Sistem Dikarenakan keterbatasan informasi yang didapat oleh penulis, informasi mengenai proses mengelola hak akses sistem menjadi sangat terbatas. Secara umum proses mengelola hak akses sistem terbagi menjadi empat subproses yaitu: a.

Mengelola Hak Akses Sistem - User Access Matrix User Access Matrix merupakan mekanisme pengamanan yang diterapkan oleh PT XYZ untuk melindungi data atau aplikasi dari akses yang tidak diperkenankan dengan cara membuat batas-batas hak yang dapat dilakukan oleh setiap user terhadap data atau aplikasi. User Access Matrix ini berfungsi sebagai pemisahan tugas (segregation of duties) dengan secara rinci mengatur mengenai tanggung jawab dan hak yang boleh dan harus dilakukan oleh setiap user. User Access Matrix ini di

review

secara

berkala

oleh

application

owner

dengan

mempertimbangkan aspek dari segregation of duties. b.

Mengelola Hak Akses Sistem - User Access Reconciliation Proses ini berkaitan dengan penambahan user baru dan penghapusan user, Penambahan user terjadi ketika terdapat karyawan baru/mutasi, sehingga karyawan baru/mutasi tersebut dapat mengakses aplikasi/data tertentu. Untuk penghapusan user, ketika user tidak lagi menggunakan suatu aplikasi (user keluar/dipecat) atau masa penggunaan aplikasi untuk user tertentu habis maka harus terdapat berita acara terminate. Untuk setiap pembuatan atau penghapusan user terdapat dokumentasi yang disahkan oleh manajer.

c.

Mengelola Hak Akses Sistem - User Access Management Proses ini berkaitan dengan pengelolaan akses user, manajer melakukan pemeriksaan secara periodik terhadap hak akses user, menghitung penambahan/pengurang user setiap 3 bulan sekali. Hak akses user ini diperiksa oleh manajer dengan mengacu pada user access matrix.

d.

Mengelola Hak Akses Sistem - User Password Reset Proses ini berkaitan dengan pengecekan user yg menyalahgunakan hak akses nya. Pengecekan dilakukan dengan melihat user yang mempunyai



57

hak akses yang sensitif dan kemudian memonitor akses user tersebut. Apabila pengecekan telah dilakukan dan tidak ditemukan adanya penyalahgunaan hak akses maka akan dibuat berita acara yang menyatakan tidak ada penyalahgunaan hak akses tersebut. Manajer kemudian me-review berita acara tersebut. Pada proses mengelola hak akses sistem ini diidentifikasi adanya risiko akuntabilitas transaksi dan integritas data financial tidak dapat tercapai. Dalam laporan magang ini, penulis diberikan tugas untuk melakukan pengujian pengendalian ITGC pada empat dari lima proses signifikan yang terdapat pada departemen IT Account Planning and Network, Test Execution, Service Control Management, Sales, Campaign and Marketing Management, dan Campaign and Marketing Management PT XYZ. 4.2.2 Metodologi, Cakupan Pengujian dan Prosedur Audit Pengujian Pengendalian Dalam melakukan pengujian pengendalian atas pengendalian umum teknologi informasi KAP RSM AAJ menetapkan metodologi, cakupan pengujian, periode pengujian, kriteria pengujian, pemeringkatan hasil pengujian dan prosedur audit, sebagai berikut: 1.

Metodologi Test of control / pengujian pengendalian dilaksanakan dengan menggunakan metodologi : a.

Berdasarkan Standar PCAOB Audit Standards no. 5 tahun 2008, yaitu standar pengujian yang umum digunakan oleh external auditor dalam melaksanakan pengujian pengendalian internal.

b.

Untuk

pengendalian

intern

ITGC,

Internal

Audit

PT

XYZ

menggunakan COBIT versi 4 for SOX tahun 2005 sebagai standar pelaksanaan pengujian pengendalian ITGC. c.

Menggunakan Statistical dan Judgmental Sampling, yaitu pengambilan sampel yang dilakukan secara acak berdasarkan perhitungan seperti pada tabel 4.1. Pada laporan ini, untuk pengujian pengendalian pada Universitas Indonesia


58

proses

mengelola

permintaan

perubahaan

pengembangan

dan

perubahan, proses testing management dan proses release management frekuensi pengendalian adalah event based. Untuk proses mengelola konfigurasi kendali aplikasi frekuensi pengendalian adalah triwulanan. Tabel 4.1: Ukuran Sampel Frekuensi Pengendalian

Asumsi Populasi dari Pengendalian*

High Risk

Medium Risk

Key

Key

Tahunan

1

1

1

Triwulanan

4

2

2

Bulanan

12

3

3

Mingguan

52

10

10

Harian

250

30

30

Multiple Times per Day

> 250

45

45

Seluruh populasi diuji, maksimum 45 Sumber: Diolah oleh Penulis

Event Based

d.

Risiko Pelaporan Keuangan

-

Metode Audit yang digunakan dalam pengujian adalah : 1.

Inspeksi : pengujian terhadap dokumentasi dan otorisasi

2.

Tanya Jawab : pengujian dengan memberikan pertanyaan atas kegiatan pengendalian yang dilakukan oleh pemilik proses pengendalian

3.

Observasi : pengujian dengan melakukan physical sighting atas efektivitas atau progress pengendalian

4.

Konfirmasi : pengujian dengan mendapatkan informasi atas aktivitas / obyek pemeriksaan

e.

Kriteria Pendekatan

dalam

menentukan

ketaatan

auditee

dalam

melaksanakan pengendalian intern, yang berkaitan dengan peraturan SOX section 404, adalah: 1.

Expected Error Rate 0%, yaitu apabila satu saja dari seluruh sampel yang diambil ditemukan tidak sesuai dengan desain Universitas Indonesia


59

pengendalian intern, maka implementasi pengendalian intern dinyatakan tidak patuh (not comply). 2.

Kelengkapan dokumentasi dan bukti pelaksanaan, yaitu jika tidak ditemukan dokumentasi sebagai bukti pelaksanaan pengendalian intern yang dipersyaratkan, maka implementasi pengendalian intern dinyatakan tidak patuh (not comply).

2.

Cakupan pengujian pengendalian ITGC a.

Aktivitas pengendalian yang diuji. Aktivitas pengendalian yang diuji adalah aktivitas-aktivitas ITGC yang dilaksanakan oleh fungsi-fungsi terkait di Kantor Pusat, yang mencakup aktivitas sebagai berikut :

b.

1)

Program Development & Program Change (PDPC).

2)

Computer Operations.

3)

Access Control.

Lokasi pengujian. Pengujian untuk ITGC di Kantor Pusat mencakup Departemen, Divisi dan Sub Direktorat di Direktorat Finance, Direktorat Marketing, Direktorat Sales, Direktorat Planning & Transformation, Direktorat Human Capital Management, Direktorat Network dan Direktorat Information Technology.

c.

Aplikasi yang diuji. Jumlah aplikasi yang diuji adalah 35 aplikasi.

d.

Hasil Pengujian: Hasil dari pengujian berupa Working papers, Drafting facts/findings, Scoring, and Testing Report.

3.

Prosedur audit umum yang diterapkan KAP RSM AAJ dalam melakukan pengujian pengendalian adalah: 1.

Mendapatkan populasi data



60

2.

Pemilihan Sampel Dalam menentukan jumlah sampel yang akan dipilih, untuk transaksi harian dan multiple times per day, teknik pengambilan sampel menggunakan metode statistik (statistical sampling). Untuk transaksi tahunan, triwulanan, bulanan dan mingguan, maka teknik pengambilan sampel menggunakan metode non-statistik (non-statistical sampling).

3.

4.

Teknik Pengujian 1.

Tanya jawab/inquiry

2.

Observasi

3.

Inspeksi dokumen

4.

Konfirmasi

Langkah-langkah jika terjadi ketidaksesuaian: 1.

Mendokumentasikan bukti ketidaksesuaian yang terjadi.

2.

Melakukan tanya jawab dengan pejabat yang berwenang untuk mengidentifikasi penyebab terjadinya ketidaksesuaian.

3.

Menentukan upaya perbaikan yang disarankan.

4.

Mendapatkan tanggapan auditee terhadap ketidaksesuaian yang terjadi, penyebab, upaya perbaikan, target penyelesaian, dan PIC untuk melakukan perbaikan yang disarankan.

5.

Menyiapkan tanggapan auditor terhadap tanggapan auditee.

6.

Melakukan analisis lebih lanjut terhadap penyebab dan tanggapan auditee atas terjadinya ketidaksesuaian aktivitas pengendalian internal dan membuat kesimpulan atas efektivitas pengendalian internal pada keseluruhan proses yang diuji.

4.2.3 Pengujian Pengendalian Atas Pengendalian Umum Teknologi Informasi Saat melaksanakan program magang penulis diberikan kesempatan untuk melakukan pengujian pengendalian atas pengendalian umum teknologi informasi pada empat proses signifikan yang terdapat di empat departemen di kantor pusat PT XYZ. Pengujian pengendalian yang dilakukan oleh penulis selama program Universitas Indonesia


61

magang

adalah

pengujian

pengendalian

proses

mengelola

permintaan

pengembangan dan perubahan, proses testing management, proses release management dan proses mengelola konfigurasi kendali aplikasi. 4.2.3.1

Pengujian

Pengendalian

Proses

Mengelola

Permintaan

Pengembangan dan Perubahan Untuk proses mengelola permintaan pengembangan dan perubahan, penulis ditugaskan untuk melakukan pengujian pengendalian pada departemen IT Account Planning and Network PT XYZ. Berdasarkan identifikasi yang telah dilakukan KAP RSM AAJ yang didokumentasikan di dalam RCM, Pada proses mengelola permintaan pengembangan dan perubahan terdapat risiko gangguan operasional akibat perubahan yang tidak terotorisasi. Oleh karena adanya risiko tersebut dibutuhkan pengendalian untuk memastikan bahwa permohonan pengembangan dan perubahan sistem dilakukan sesuai prosedur yang berlaku. Pengendalian yang diidentifikasi pada proses ini adalah memastikan bahwa permohonan pengembangan dan perubahan sistem didokumentasikan, di-review dan disahkan oleh pihak yang berwenang dan mengikuti prosedur yang berlaku. Asersi yang ingin dicapai dari adanya pengendalian ini adalah efisiensi sistem (system efficiency). Pengendalian ini merupakan pengendalian manual (manual controls) yang artinya pengendalian dilakukan oleh seorang individu (bukan otomatis) dan merupakan pengendalian pencegahan (preventive controls), yang dimaksudkan untuk mencegah agar risiko tersebut tidak terjadi. Departemen IT Account Planning and Network bertanggung jawab untuk merencanakan dan menganalisis sistem/aplikasi yang akan diterapkan pada direktorat perencanaan & transformasi dan direktorat jaringan, terdapat 11 aplikasi yang terkait yang terdapat pada direktorat perencanaan & transformasi dan direktorat jaringan. Untuk melakukan pengujian pengendalian pada proses mengelola permintaan pengembangan dan perubahan ini, KAP RSM AAJ membuat atribut pengendalian (attribute controls). Atribut pengendalian ini dimaksudkan untuk menilai apakah pengendalian telah dilakukan secara tepat.



62

Untuk

pengujian

pengendalian

dalam

proses

mengelola

permintaan

pengembangan dan perubahan ini, KAP RSM AAJ menetapkan empat atribut pengendalian, yaitu: 1.

Terdapat dokumen pendukung dari pihak pemohon (dari pihak di luar pengembang) untuk setiap perubahan dan pengembangan.

2.

Permohonan pengembangan dan perubahan pada sistem di-review dan disetujui oleh pejabat minimal level manajer dari application owner.

3.

Permohonan

perubahan

dan

pengembangan

ditindaklanjuti

dengan

pembuatan dokumen berikut: - Request for Change - Feasibility Checklist/Impact Analysis. 4.

Terdapat bukti review dan persetujuan oleh pihak pengembang dan pemohon (pejabat minimal level manajer) atas dokumen - dokumen pengembangan dan perubahan tersebut di atas.

Berdasarkan empat atribut pengendalian tersebut, terdapat tiga dokumen pengendalian (control document) yang diidentifikasi, sebagai bukti untuk menilai apakah keempat atribut tersebut telah terpenuhi, yaitu: 1.

Nota Dinas/Minutes of Meeting/Dokumen Kontrak/Tiket Insiden

2.

Dokumen Request for Change

3.

Feasibility Checklist

Pengujian

pengendalian

ini

dilakukan

untuk

setiap

permintaan

pengembangan/perubahan aplikasi yang terdapat pada direktorat perencanaan & transformasi dan direktorat jaringan. Terdapat 11 aplikasi terkait sehingga terdapat 11 pengujian pengendalian dan 44 atribut pengendalian yang harus dipenuhi (1 pengendalian mempunyai 4 atribut yang harus dipenuhi). Jenis pengujian pengendalian yang ditetapkan oleh KAP RSM AAJ untuk pengendalian ini adalah inspeksi dokumen. KAP RSM AAJ menyediakan prosedur audit untuk masing – masing atribut dapat dilihat pada tabel 4.2.



63

Tabel 4.2: Prosedur Audit Pengujian Pengendalian Proses Mengelola Permintaan Pengembangan dan Perubahan Atribut Pengendalian 1.

2.

3.

4.

Prosedur Audit

Terdapat dokumen pendukung dari pihak pemohon (dari pihak diluar pengembang) untuk setiap perubahan dan pengembangan.

1.

Permohonan pengembangan dan perubahan pada sistem di-review dan disetujui oleh pejabat minimal level manajer dari application owner

1.

Permohonan perubahan dan pengembangan ditindaklanjuti dengan pembuatan dokumen berikut: - Request for Change - Feasibility Checklist/Impact Analysis

1.

Terdapat bukti review dan persetujuan oleh pihak pengembang dan pemohon (pejabat minimal level manajer) atas dokumen-dokumen pengembangan dan perubahan tersebut di atas.

1.

2.

2.

2.

2. 3.

Dapatkan daftar pengembangan atau perubahan sistem signifikan Dari sampel terpilih pastikan terdapat nota dinas pendukung pengembangan sistem Dapatkan daftar pengembangan atau perubahan sistem signifikan Dari sampel terpilih pastikan terdapat dokumen pengembangan sistem yang sudah diotorisasi oleh pihak yang berwenang, termasuk application owner. Dapatkan daftar pengembangan atau perubahan sistem yang signifikan Dari sampel terpilih pastikan terdapat dokumen Request for Change dan Feasibility Checklist/Impact Analysis. Dapatkan daftar pengembangan atau perubahan sistem yang signifikan Dari sampel terpilih pastikan terdapat bukti review dan persetujuan oleh pihak pengembang dan pemohon (pejabat minimal level manajer) atas dokumendokumen pengembangan dan perubahan tersebut di atas

Sumber: Diolah oleh penulis

Proses mengelola permintaan pengembangan dan perubahan merupakan suatu proses yang terjadi hanya jika adanya permintaan untuk pengembangan atau perubahan aplikasi. Oleh karena itu frekuensi pengendalian pada proses ini adalah event based. Keberadaan pengendalian dengan frekuensi event based adalah bergantung dari adanya permintaan perubahan atau pengembangan suatu aplikasi. Dengan demikian menurut metodologi KAP RSM AAJ, pengambilan jumlah sampel untuk pengendalian dengan frekuensi event based adalah seluruh populasi tetapi dibatasi dengan jumlah sampel maksimum adalah 45. Dalam proses mengelola permintaan pengembangan dan perubahan ini, permintaan pengembangan dan perubahan dapat diidentifikasi dari keberadaan dokumen change request (CR). Oleh karena itu KAP RSM AAJ memilih menggunakan dokumen CR sebagai sampel. Untuk satu dokumen CR haruslah Universitas Indonesia


64

didukung oleh dokumen pendukung seperti nota dinas, request for change, feasibility checklist/impact analysis. Karena proses mengelola permintaan pengembangan dan perubahan dengan proses release management dan testing management saling berhubungan maka dokumen CR ini juga digunakan sebagai sampel dari pengujian pengendalian pada kedua proses tersebut. Selanjutnya, penulis bertugas untuk menjalankan tugas sebagai salah satu penguji dari KAP RSM AAJ, yaitu mengumpulkan dokumen pengendalian untuk setiap sampel, kemudian melakukan pengujian pengendalian berdasarkan prosedur

audit

yang

telah

ditetapkan

KAP

RSM

AAJ

dan

mendokumentasikannya ke dalam kertas kerja (working papers). Kertas kerja ini berisi daftar sampel yang bertujuan untuk mendokumentasikan proses pengujian dan sampel yang digunakan untuk menguji efektivitas operasional pengendalian internal. Apabila salah satu atribut tidak terpenuhi (temuan) maka penulis diharuskan untuk mengkonfirmasi kepada pihak PT XYZ yang bertanggung jawab dalam proses ini (business process owner). Langkah

berikutnya

adalah

mengidentifikasi

adanya

permintaan

pengembangan/perubahan aplikasi pada departemen IT Account Planning and Network berdasarkan ada atau tidaknya change request. Dalam hal ini data diberikan oleh pihak internal audit PT XYZ. Berdasarkan data yang diberikan oleh pihak internal audit PT XYZ terdapat 10 dokumen change request. Oleh karena itu, sepuluh dokumen change request tersebut diperiksa. Penulis kemudian menginspeksi dokumen–dokumen tersebut dan mencocokkan kesesuaiannya dengan atribut pengendalian dan mendokumentasikan pada kertas kerja. Setelah melakukan semua prosedur pengujian pengendalian atas proses mengelola permintaan pengembangan dan perubahan. Penulis mendapatkan bahwa semua atribut pengendalian telah terpenuhi, yang berarti 11 pengendalian pada proses mengelola permintaan pengembangan dan perubahan pada departemen IT Account Planning and Network PT XYZ telah berjalan efektif.



65

Kertas kerja pengujian pengendalian atas proses mengelola permintaan pengembangan dan perubahan pada departemen IT Account Planning and Network PT XYZ penulis cantumkan pada bagian lampiran 2 laporan magang ini. 4.2.3.2

Pengujian Pengendalian Proses Testing Management

Untuk proses pengendalian proses testing management, penulis ditugaskan untuk melakukan pengujian pengendalian pada departemen Test Execution PT XYZ. Pada proses testing management, terdapat risiko yaitu pengembangan dan perubahan yang terjadi di lingkungan produksi berdampak negatif kepada sistem dan infrastruktur yang telah ada. Pengendalian yang diidentifikasi pada proses ini adalah memastikan bahwa sistem yang dikembangkan telah diuji sesuai dengan strategi pengujian yang telah ditentukan dan hasilnya didokumentasikan. Asersi yang ingin dicapai dari adanya pengendalian ini adalah efisiensi sistem (system efficiency). Pengendalian ini merupakan pengendalian manual dan merupakan pengendalian pencegahan. Departemen Test Execution PT XYZ ini bertanggung jawab untuk melakukan pengujian atas pengembangan/perubahan 18 aplikasi. Untuk masing – masing aplikasi ini dilakukan pengujian pengendalian untuk memastikan bahwa aplikasi yang dikembangkan telah diuji sesuai dengan strategi pengujian yang telah ditentukan dan hasilnya didokumentasikan. Untuk pengujian pengendalian dalam proses testing management ini, KAP RSM AAJ menetapkan empat atribut pengendalian, yaitu: 1.

Terdapat dokumentasi strategi pengujian sistem yang disesuaikan dengan risiko pengembangan sistem, yang meliputi :

2.

-

User Acceptance Test (Functionality)

-

Regression Test - Load/Stress Test

-

Data Conversion or Migration Test (Integrity)

-

Security Test - System Interface Test (End to End - Integration).

Terdapat bukti review dan persetujuan oleh pihak pengembang dan penguji atas strategi pengujian sistem.



66

3.

Terdapat dokumentasi hasil pelaksanaan pengujian yang sesuai dengan strategi pengujian untuk setiap pengembangan dan perubahan sistem.

4.

Terdapat bukti review dan persetujuan oleh pihak pengembang dan pemohon atas hasil pengujian.

Berdasarkan empat atribut pengendalian tersebut, terdapat dua dokumen pengendalian yang diidentifikasi, sebagai bukti untuk menilai apakah keempat atribut tersebut telah terpenuhi, yaitu: 1.

Dokumen Test Strategy

2.

Dokumen Hasil Pengujian

Jenis pengujian pengendalian yang ditetapkan oleh KAP RSM AAJ untuk pengendalian pada proses testing management ini adalah inspeksi dokumen dan tanya jawab (inquiry). Prosedur audit untuk masing – masing atribut pengendalian pada proses testing management dapat dilihat pada tabel 4.3. Tabel 4.3: Prosedur Audit Pengujian Pengendalian Proses Testing Management Atribut Pengendalian 1.

2.

Prosedur Audit

Terdapat dokumentasi strategi pengujian sistem yang disesuaikan dengan resiko pengembangan sistem, yang dapat meliputi : - User Acceptance Test (Functionality) - Regression Test - Load/Stress Test - Data Conversion or Migration Test (Integrity) - Security Test System Interface Test (End to End - Integration)

1.

Terdapat bukti review dan persetujuan oleh pihak pengembang dan penguji atas strategi pengujian sistem.

1.

2.

2.

Dapatkan daftar pengembangan atau perubahan sistem. Dari sampel terpilih pastikan terdapat dokumen strategi pengujian sistem yang disesuaikan dengan resiko pengembangan sistem.

Dapatkan daftar pengembangan atau perubahan sistem. Dari sampel terpilih pastikan terdapat dokumen strategi pengujian sistem telah direview dan diotorisasi oleh manajer developer/manajer release assignee.



67

Atribut Pengendalian 3.

4.

Prosedur Audit

Terdapat dokumentasi hasil pelaksanaan pengujian yang sesuai dengan strategi pengujian untuk setiap pengembangan dan perubahan sistem.

1.

Terdapat bukti review dan persetujuan oleh pihak pengembang dan pemohon atas hasil pengujian.

1.

2.

2.

Dapatkan daftar pengembangan atau perubahan sistem. Dari sampel terpilih pastikan terdapat dokumentasi hasil pengujian yang sesuai dengan strategi pengujian untuk sistem pengembangan dan perubahan sistem. Dapatkan daftar pengembangan atau perubahan sistem Dari sampel terpilih pastikan terdapat dokumentasi hasil pengujian yang telah di-review dan diotorisasi oleh pihak developer/release assignee dan pihak terkait.


Frekuensi pengendalian pada proses testing management ini adalah event based. Dengan

demikian

kriteria

dalam

pengambilan

jumlah

sampel

untuk

pengendalian yang mempunyai frekuensi event based seluruh populasi tetapi dengan jumlah sampel maksimum adalah 45. Dalam proses pengujian pengendalian pada proses testing management ini, penulis mengumpulkan total empat puluh lima dokumen change request (CR). Setiap CR tersebut didukung oleh dokumen test strategy dan dokumen hasil pengujian. Kemudian, penulis menginspeksi dokumen-dokumen tersebut dan mencocokkan

kesesuaiannya

berdasarkan

atribut

pengendalian

yang

didokumentasikan pada kertas kerja. Setelah melakukan pengujian pengendalian atas proses testing management. Penulis mendapatkan bahwa semua atribut pengendalian telah terpenuhi, yang berarti 18 pengendalian pada proses testing management di departemen Test Execution PT XYZ telah berjalan efektif. Kertas kerja pengujian pengendalian pada proses testing management departemen Test Execution PT XYZ penulis cantumkan pada bagian lampiran 3 laporan magang ini.



68

4.2.3.3

Pengujian Pengendalian Proses Release Management

Untuk proses release management, penulis ditugaskan untuk melakukan pengujian pengendalian pada departemen Service Control Management PT XYZ. Pada proses release management, terdapat risiko yaitu pengembangan dan perubahan yang terjadi di lingkungan produksi berdampak negatif kepada sistem dan infrastruktur yang telah ada. Pengendalian yang terdapat dalam proses ini adalah memastikan bahwa proses release ke production environment dilaksanakan sesuai dengan prosedur yang berlaku dan hasilnya diuji melalui post implementation review (PIR). Asersi yang ingin dicapai dari adanya pengendalian ini adalah efisiensi sistem (system efficiency). Pengendalian ini merupakan pengendalian manual dan merupakan pengendalian pencegahan. Departemen Service Control Management bertanggung

jawab

untuk

melakukan

pengimplementasian

atas

pengembangan/perubahan 18 aplikasi. Untuk pengujian pengendalian dalam proses release management ini, KAP RSM AAJ menetapkan tiga atribut pengendalian, yaitu: 1.

Terdapat dokumen Release Form yang telah disahkan oleh personil bagian release assignee dan personil bagian operasional untuk setiap proses release.

2.

Dokumen Release Form harus mengandung informasi mengenai jangka waktu pelaksanaan Post Implementation Review (PIR).

3.

Terdapat dokumen Post Implementation Review (PIR) yang telah disahkan oleh pihak release assignee dan user.

Berdasarkan empat atribut pengendalian tersebut, terdapat dua dokumen pengendalian yang diidentifikasi, sebagai bukti untuk menilai apakah ketiga atribut tersebut telah terpenuhi, yaitu: 1.

Dokumen Release Form

2.

Dokumen Post Implementation Review (PIR)



69

Jenis pengujian pengendalian yang ditetapkan oleh KAP RSM AAJ untuk pengendalian pada proses release management ini adalah inspeksi dokumen. Prosedur audit untuk masing – masing atribut pengendalian pada proses release management dapat dilihat pada tabel 4.4 Tabel 4.4: Prosedur Audit Pengujian Pengendalian Proses Release Management Atribut Pengendalian

Prosedur Audit

Terdapat dokumen Release Form yang telah disahkan oleh personil bagian release assignee dan personil bagian operasional untuk setiap proses release.

1.

2.

Dokumen Release Form harus mengandung informasi mengenai jangka waktu pelaksanaan Post Implementation Review (PIR).

1.

Dari sampel terpilih pastikan dokumen Release Form mengandung informasi mengenai jangka waktu pelaksanaan Post Implementation Review (PIR).

3.

Terdapat dokumen Post Implementation Review (PIR) yang telah disahkan oleh pihak release assignee dan user.

1.

Dapatkan daftar pengembangan atau perubahan sistem Dari sampel terpilih pastikan terdapat dokumen PIR yang telah disahkan oleh pihak pengembangan/release assignee dan user

1.

2.

2.

Dapatkan daftar release ke production environment. Dari sampel terpilih pastikan terdapat dokumen Release Form yang telah disahkan oleh personil bagian release assignee dan personil bagian operasional untuk setiap proses release.


Frekuensi pengendalian pada proses release management ini adalah event based. Dengan

demikian

kriteria

dalam

pengambilan

jumlah

sampel

untuk

pengendalian yang mempunyai frekuensi event based adalah seluruh populasi tetapi dengan jumlah sampel maksimum adalah 45. Dalam proses pengujian pengendalian pada proses release management ini, penulis mengumpulkan empat puluh lima dokumen change request (CR). Dokumen change request tersebut harus didukung oleh dokumen release form dan dokumen

post

implementation review

(PIR). Kemudian,

penulis

menginspeksi dokumen – dokumen tersebut dan mencocokkan kesesuaiannya sesuai dengan atribut pengendalian dan didokumentasikan pada kertas kerja. Pada saat menginspeksi dokumen change request, penulis menemukan bahwa Universitas Indonesia


70

salah satu change request tidak didukung oleh dokumen post implementation review. Oleh sebab itu, penulis melakukan konfirmasi kepada BPO, setelah melakukan konfirmasi dan tanya jawab, penulis mendapatkan bahwa tidak adanya dokumen post implementation review dikarenakan telah dilakukan rollback. Yang artinya change request yang diajukan tersebut telah dibatalkan. Setelah mendapatkan pemahaman akan hal ini, penulis menyimpulkan bahwa satu change request yang tidak lengkap ini bukan berarti bahwa pengendalian tidak dijalankan, melainkan pemintaan perubahan dari requestor telah dibatalkan sehingga perubahan tidak jadi diimplementasikan dan tidak dibutuhkan post implementation review. Oleh karena itu penulis memberikan keterangan pada kertas kerja sesuai dengan prosedur audit KAP RSM AAJ. Setelah melakukan pengujian pengendalian atas proses release management. Penulis mendapatkan bahwa semua atribut pengendalian telah terpenuhi, yang berarti 18 pengendalian pada proses release management di departemen Service Control Management PT XYZ telah berjalan efektif. Kertas kerja pengujian pengendalian atas proses release management pada departemen Service Control Management PT XYZ penulis cantumkan pada bagian lampiran 4 laporan magang ini. 4.2.3.4

Pengujian Pengendalian Proses Mengelola Konfigurasi Kendali Aplikasi

Untuk proses mengelola konfigurasi kendali aplikasi, penulis ditugaskan untuk melakukan pengujian pengendalian pada departemen Sales, Campaign and Marketing Management PT XYZ. Pada proses mengelola konfigurasi kendali aplikasi, terdapat risiko yaitu kegagalan operasional yang diakibatkan oleh aplikasi yang tidak dikonfigurasikan dengan benar. Pengendalian yang terdapat dalam proses ini adalah memeriksa secara periodik kesesuaian pengendalian aplikasi dengan kebijakan yang telah ditentukan. Pengendalian ini bertujuan untuk memastikan bahwa terdapat pemeriksaan konfigurasi pengendalian aplikasi. Frekuensi pengendalian adalah setiap 3 bulan.



71

Asersi yang ingin dicapai dari adanya pengendalian ini adalah aset telah diamankan dengan tepat (asset safeguarding), integritas data (data integrity), dan efektifitas sistem (system effectiveness). Pengendalian ini merupakan pengendalian manual dan merupakan pengendalian deteksi (detective). Departemen Sales, Campaign and Marketing Management mempunyai tanggung jawab untuk mengelola 1 aplikasi yang berkaitan dengan proses penjualan dan pemasaran. Untuk pengujian pengendalian dalam proses mengelola konfigurasi kendali aplikasi ini, KAP RSM AAJ menetapkan satu atribut pengendalian, yaitu: 1.

Terdapat kertas kerja review standard konfigurasi/parameter untuk pengendalian aplikasi.

Berdasarkan atribut pengendalian tersebut, terdapat satu dokumen pengendalian yang diidentifikasi, sebagai bukti untuk menilai apakah atribut tersebut telah terpenuhi, yaitu: 1.

Kertas kerja review standard konfigurasi/parameter untuk pengendalian aplikasi.

Jenis pengujian pengendalian yang ditetapkan oleh KAP RSM AAJ untuk pengendalian pada proses mengelola konfigurasi kendali aplikasi ini adalah inspeksi dokumen. Prosedur audit untuk atribut pengendalian pada proses mengelola konfigurasi kendali aplikasi dapat dilihat pada tabel 4.5. Tabel 4.5: Prosedur Audit Pengujian Pengendalian Proses Mengelola Konfigurasi Kendali Aplikasi Atribut Kontrol 1.

Prosedur Audit

Terdapat kertas kerja review standard konfigurasi/parameter untuk pengendalian aplikasi.

1.

Dapatkan dokumen kertas kerja review periodik atas standard parameter yang telah ditetapkan.


Frekuensi pengendalian pada proses mengelola konfigurasi kendali aplikasi ini adalah setiap 3 bulan (quarterly). Dengan demikian kriteria dalam pengambilan



72

jumlah sampel untuk pengendalian yang mempunyai frekuensi quarterly adalah dua. Dalam proses pengujian pengendalian pada proses mengelola konfigurasi kendali aplikasi ini, penulis mengumpulkan dua dokumen kertas kerja review standard konfigurasi/parameter untuk pengendalian aplikasi. Kemudian, penulis menginspeksi dokumen-dokumen tersebut dan mencocokkan kesesuaiannya berdasarkan atribut pengendalian yang didokumentasikan pada kertas kerja. Setelah melakukan pengujian pengendalian atas proses mengelola konfigurasi kendali aplikasi. Penulis mendapatkan bahwa atribut pengendalian telah terpenuhi, yang berarti pengendalian pada proses mengelola konfigurasi kendali aplikasi di departemen Sales, Campaign and Marketing Management PT XYZ telah berjalan efektif. Kertas kerja pengujian pengendalian atas proses mengelola konfigurasi kendali aplikasi pada departemen Sales, Campaign and Marketing Management PT XYZ penulis cantumkan pada bagian lampiran 5 laporan magang ini. 4.2.4 Hasil Pengujian Pengendalian ITGC Setelah KAP RSM AAJ melakukan seluruh pengujian pengendalian umum teknologi informasi yang terdapat pada PT XYZ didapatkan bahwa tidak terdapat temuan pada seluruh proses pengujian, yang berarti 350 pengendalian ITGC yang berhubungan dengan ICoFR di PT XYZ telah berjalan dengan efektif. Dikarenakan kerahasiaan data klien, penulis tidak dapat menyajikan data perhitungan hasil pengujian pengendalian ITGC pada PT XYZ secara detail. Berdasarkan hasil perhitungan KAP RSM AAJ, diperoleh kesimpulan bahwa tingkat kepatuhan terhadap kebijakan pengendalian internal di PT XYZ untuk tahun 2013 sesuai dengan kriteria yang ada pada ketentuan dasar standar pemeringkatan hasil audit PT XYZ yaitu sangat baik dengan persentase tingkat kepatuhan sebesar 100%. Berdasarkan kegiatan selama periode magang, penulis hanya dapat menilai 48 pengendalian dari 350 pengendalian ITGC PT XYZ. Hasil dari 48 pengujian pengendalian yang terpadat pada empat proses signifikan tersebut adalah comply. Seperti dapat dilihat pada tabel 4.6. Semua atribut pengendalian dalam 48 pengendalian tersebut telah terpenuhi, yang berarti 48 pengendalian pada Universitas Indonesia


73

empat proses tersebut telah dilaksanakan secara efektif. Berdasarkan hasil pengujian pengendalian yang penulis lakukan tersebut, penulis dapat menyimpulkan bahwa keempat pengendalian yang penulis uji mempunyai tingkat kepatuhan 100% sesuai kriteria yang ada pada ketentuan dasar standar pemeringkatan hasil audit PT XYZ. Secara keseluruhan, terdapat 350 pengendalian ITGC, oleh karena itu tingkat kepatuhan total untuk 48 pengendalian yang diuji oleh penulis adalah sebesar 13.71%. Seperti dapat dilihat pada tabel 4.7. Tabel 4.6: Hasil Pengujian Pengendalian ITGC yang Dilakukan Oleh Penulis Pengendalian

Keterangan

Sebelas (11) Pengendalian pada Proses Mengelola Permintaan Pengembangan dan Perubahan pada departemen IT Account Planning and Network (PDPC) Delapan belas (18) Pengendalian pada Proses Testing Management pada departemen Test Execution Department (PDPC) Delapan belas (18) Pengendalian pada Proses Release Management pada departemen Service Control Management (PDPC) Satu (1) Pengendalian pada Proses Mengelola Konfigurasi Kendali Aplikasi pada departemen Sales, Campaign and Marketing Management (Computer Operation) Sumber: Diolah oleh penulis

Comply

Comply Comply

Comply

Tabel 4.7: Perhitungan Hasil Pengujian Pengendalian ITGC yang Dilakukan Oleh Penulis Keterangan

Pengendalian ITGC Yang Diuji Oleh Penulis Computer PDPC Operation Access Control Total

Comply

47

1

0

48

Not comply

0

0

0

0

Tingkat kepatuhan Total pengendalian ITGC yang terdapat pada PT XYZ Tingkat kepatuhan total untuk 48 pengendalian yang diuji oleh penulis

100% 350


13.71%



74

4.3

Analisis

4.3.1 Analisis Pengendalian Internal Secara Umum pada PT XYZ COSO Internal Control - Integrated Framework merupakan kerangka pengendalian internal yang telah diakui oleh SEC. Oleh karena itu, penulis melakukan identifikasi terhadap pengendalian internal PT XYZ berdasarkan lima komponen COSO Internal Control - Integrated Framework tahun 2013. Informasi yang penulis dapatkan berasal dari wawancara dengan senior KAP RSM AAJ, observasi, karyawan PT XYZ, dan studi literatur. 4.3.1.1 Lingkungan Pengendalian Lingkungan pengendalian merupakan fondasi dari keempat komponen pengendalian lainnya, oleh karena itu lingkungan pengendalian dipandang sebagai fondasi dari struktur pengendalian internal yang akan berpengaruh terhadap seluruh aktifitas dan risiko. Penulis mengidentifikasi lingkungan pengendalian PT XYZ berdasarkan tujuh sub-komponen yang terdapat dalam COSO Internal Control - Integrated Framework yaitu: a.

Integrity and Ethical Values PT XYZ menerapkan code of conduct yang harus dipatuhi oleh semua karyawan. Dalam code of conduct ini dijelaskan mengenai apa yang boleh dan tidak boleh dilakukan oleh karyawan PT XYZ. PT XYZ mempunyai corporate culture yaitu berfokus untuk menjadi yang terbaik.

b.

Commitment to Competence PT XYZ mempunyai departemen human capital management, yang mempunyai fungsi memberikan kesempatan bagi karyawannya untuk mengembangkan ilmu dan kemampuan. PT XYZ juga mempunyai suatu program yang bernama talent management. Program talent management merupakan proses pengembangan karyawan secara terus menerus dengan tujuan untuk mengembangkan karyawan dalam mendukung bisnis perusahaan.



75

c.

Board of Directors and Audit Committee Dewan komisaris PT XYZ terdiri dari 6 orang, dewan komisaris PT XYZ bertanggung jawab untuk merancang strategi bisnis perusahaan, mengawasi manajemen, menilai keefektifan dari pengendalian internal, dan membantu manajemen dalam menjalankan tugasnya. Anggota dewan komisaris PT XYZ tidak boleh merangkap tugas dalam manajemen perusahaan. PT XYZ juga mempunyai komite audit untuk mendukung dewan komisaris dalam melakukan pengawasan. Tugas dari komite audit PT XYZ adalah untuk mengawasi proses pelaporan keuangan, pengendalian internal, audit internal dan eksternal dan pengelolaan risiko. Komite audit PT XYZ harus melakukan pertemuan minimum empat kali dalam setahun. Dalam menjalankan tugasnya sebagai pengawas dari manajemen, dewan komisaris PT XYZ menggelar pertemuan dengan manajemen sebanyak 5 kali dalam setahun.

d.

Management’s Philosophy and Operating Style Filosofi dari PT XYZ adalah fokus untuk selalu menjadi yang terbaik, dan khususnya menjadi penyedia layanan yang terpercaya bagi para pelanggan, PT XYZ menerapkan lingkungan yang menjunjung tinggi etika, integritas, loyalitas dan totalitas. Manajemen PT XYZ selalu menjunjung tinggi kejujuran dalam bekerja dan setiap karyawan PT XYZ diwajibkan patuh kepada code of conduct. Filosofi dari PT XYZ ini mendukung terciptanya pengendalian internal yang efektif.

e.

Organizational Structure PT XYZ menerapkan lingkungan yang saling mendukung dalam struktur organisasinya. Struktur organisasi PT XYZ telah digambarkan dengan cukup lengkap sehingga wewenang dan tanggung jawab setiap unit menjadi jelas. PT XYZ dipimpin oleh seorang Presiden Direktur yang secara langsung bertanggung jawab kepada Dewan Komisaris. Dapat dilihat disini bahwa Presiden Direktur sebagai pemimpin perusahaan tetap diawasi oleh Dewan Komisaris. Presiden Direktur dibantu oleh departemen internal audit



76

dalam mengawasi semua kegiatan operasional perusahaan. Jadi dalam struktur organisasi PT XYZ juga telah cukup baik dalam menciptakan mekanisme saling mengawasi. f.

Assignment of Authority and Responsibility Dalam menetapkan kewenangan dan tanggung jawab kepada setiap individu dan departemen PT XYZ mempunyai job description yang lengkap pada semua tingkat karyawan, mulai dari staff, manajemen hingga top eksekutif.

g.

Human Resources Policies and Practices Departemen human capital management PT XYZ mempunyai tanggung jawab untuk merekrut, mengevaluasi, melatih, mempromosikan, dan memberikan kompensasi kepada karyawan. Dalam mengukur performa karyawan, departemen human capital management PT XYZ melakukan evaluasi secara berkala mulai dari harian, mingguan, bulanan, triwulan dan tahunan. Untuk menilai kinerja karyawan, PT XYZ menetapkan basis balanced scorecard yang menjadi acuan penetapan remunerasi.

Secara keseluruhan lingkungan pengendalian pada PT XYZ, telah mengikuti prinsip – prinsip COSO Internal Control - Integrated Framework (seperti dapat dilihat pada tabel 4.8). Tetapi, menurut penulis masih terdapat kekurangan pada pengendalian internal PT XYZ khususnya pada komponen lingkungan pengendalian. Meskipun PT XYZ telah menetapkan peraturan dan code of conduct, tetapi berdasarkan observasi yang penulis lakukan, masih terdapat karyawan PT XYZ yang melanggar code of conduct tersebut, sebagai contoh karyawan yang datang tidak tepat waktu. Oleh karena itu menurut penulis sebaiknya PT XYZ, menetapkan mekanisme pengawasan yang lebih ketat atas kepatuhan karyawan akan peraturan perusahaan dan code of conduct tersebut. Perusahaan juga harus lebih aktif lagi mengkomunikasikan semua peraturan dan memberi sanksi yang tegas kepada yang melanggar. Selain itu, dalam lingkungan pengendalian PT XYZ penulis menilai terdapat risiko adanya kecurangan

dalam

aktifitas

penerapan/perancangan

pengendalian

dan

pengawasan PT XYZ. Menurut penulis, pihak internal audit PT XYZ mempunyai wewenang yang terlalu besar, pihak internal audit turut serta melakukan perancangan desain pengendalian, penilaian, pengujian pengendalian Universitas Indonesia


77

sampai dengan aktifitas pengawasan pengendalian. Oleh sebab itu menurut penulis, terdapat adanya potensi kecurangan yang dapat dilakukan oleh internal audit PT XYZ. Meskipun dalam aktifitas perancangan dan penilaian pengendalian pihak internal audit dibantu oleh konsultan, tetapi menurut penulis sebaiknya PT XYZ membatasi peran internal audit agar dikhususkan untuk melakukan pengawasan pengendalian internal saja, tanpa ikut melakukan perancangan pengendalian internal. Tabel 4.8: Penilaian Prinsip COSO Komponen Lingkungan Pengendalian Prinsip COSO Internal Control - Integrated Framework untuk Sudah komponen Lingkungan Pengendalian 1. 2. 3. 4. 5.

Organisasi menunjukkan komitmen terhadap nilai-nilai integritas dan etika. Dewan menunjukkan independensasi dari manajemen dan menjalankan pengawasan terhadap pengembangan dan efektifitas pengendalian internal. Dengan pengawasan dewan, manajemen menetapkan struktur, garis pelaporan, serta wewenang dan tanggung jawab yang sesuai dalam pencapaian tujuan. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten untuk mencapai tujuan.

✓

Organisasi mempertahankan individu yang bertanggung jawab terhadap pengendalian internal.

✓

Belum

✓

✓

✓


4.3.1.2 Penilaian Risiko Setiap perusahaan menghadapi beragam jenis resiko yang berasal dari internal maupun external. Perusahaan harus dapat mengidentifikasi dan menganalisis risiko – risiko tersebut untuk mencapai tujuan perusahaan. PT XYZ mempunyai Internal Audit dan department Enterprise Risk Management yang bekerja sama untuk mengelola risiko. Internal Audit PT XYZ mempunyai tanggung jawab utama untuk memonitor dan menilai seluruh pengendalian yang terdapat dalam proses bisnis perusahaan. Departemen Enterprise Risk Management mempunyai tugas melakukan pengidentifikasian, penilaian dan pengelolaan risiko. Departemen Enterprise Risk Management PT XYZ menggunakan kerangka COSO Enterprise Risk Management framework sebagai dasar melakukan pengelolaan risiko. Penilaian tingkat risiko yang dilakukan oleh PT XYZ adalah berdasarkan kemungkinan terjadinya risiko dan berdasarkan dampak yang diakibatkan oleh risiko tersebut.



78

Departemen Enterprise Risk Management juga mempunyai tugas untuk melakukan penilaian risiko strategis perusahaan, risiko operasional, risiko keuangan dan risiko compliance. Berkaitan dengan risiko yang disebabkan oleh fraud, PT XYZ mempunyai sistem whistleblowing, untuk mencegah terjadinya risiko kecurangan. Sistem whistleblowing ini mengatur mengenai mekanisme pelaporan atas terjadinya kecurangan, pelanggaran code of conduct, dan pelaksanaan pengendalian internal yang tidak seharusnya. Komite audit akan langsung menindaklanjuti pelaporan tersebut dan membuat tim audit khusus untuk menginvestigasi kecurangan. Dengan adanya sistem ini pihak yang melaporkan adanya kecurangan akan dilindungi oleh perusahaan, sehingga mekanisme ini mendorong setiap individu untuk tidak takut melaporkan adanya kecurangan. Departemen Enterprise Risk Management juga mempunyai tugas untuk mengidentifikasi adanya perubahan – perubahan pada lingkungan bisnis perusahaan yang memberikan dampak bagi perusahaan, baik itu dari internal perusahaan sendiri maupun dari luar perusahaan. Untuk tahun 2013 Departemen Enterprise Risk Management PT XYZ mengidentifikasi tiga perubahan yang dapat menimbulkan risiko baru bagi perusahaan yaitu reorganisasi perusahaan, kebijakan outsourcing, dan masalah keamanan teknologi informasi. Peran dari internal audit, komite audit dan departemen Enterprise Risk Management PT XYZ ini sudah sesuai dengan empat prinsip COSO Internal Control - Integrated Framework untuk komponen Penilaian Risiko (seperti yang dapat dilihat pada tabel 4.9). Oleh karena itu, penilaian risiko dalam PT X seharusnya sudah berjalan dengan baik. Tabel 4.9: Penilaian Prinsip COSO Komponen Penilaian Risiko Prinsip COSO Internal Control - Integrated Framework untuk komponen Penilaian Risiko 6. Organisasi menetapkan tujuan dengan cukup jelas sehingga pengidentifikasian dan penilaian risiko terkait tujuan tersebut dapat dilakukan. 7. Organisasi mengidentifikasi seluruh risiko dalam organisasi dan menentukan pengelolaan terhadap risiko tersebut. 8. Organisasi memperhitungkan potensi kecurangan (fraud) dalam menilai risiko terkait pencapaian tujuan. 9.

Organisasi mengidentifikasi dan menilai perubahan-perubahan yang secara signifikan dapat mempengaruhi sistem pengendalian internal. Sumber: Diolah oleh penulis

Sudah

Belum

✓ ✓ ✓ ✓



79

4.3.1.3 Aktivitas Pengendalian Aktifitas pengendalian merupakan tindak lanjut dari aktifitas penilaian risiko yang telah dilakukan. Dengan mengacu pada hasil dari aktifitas penilaian risiko yang dilakukan oleh departemen Enterprise Risk Management. Departemen audit internal PT XYZ dengan dibantu oleh konsultan kemudian menentukan aktifitas pengendalian. Risiko – risiko yang telah diidentifikasi lalu dianalisis untuk menentukan pengendalian yang tepat yang dapat memitigasi risiko tersebut. Dalam menentukan pengendalian, departemen internal audit melakukan analisis atas setiap proses bisnis perusahaan yang mengandung risiko yang telah diidentifikasi. Kemudian internal audit merancang pengendalian yang tepat untuk proses bisnis tersebut dan kemudian mengimplementasikan pengendalian ke dalam proses bisnis tersebut. Internal Audit PT XYZ membuat flowchart yang menggambarkan proses bisnis dan risiko yang terkait beserta aktifitas pengendalian yang telah dirancang. PT XYZ juga membuat suatu matrix untuk mendokumentasikan aktifitas pengendalian yang dibutuhkan untuk memitigasi risiko dalam suatu proses bisnis. Aktifitas pengendalian yang diterapkan pada PT XYZ secara umum telah mencakup otorisasi yang harus dilakukan oleh orang yang berwenang, pemisahan tugas, pengecekan ulang oleh orang yang berbeda, pendokumentasian proses/transaksi. Berkaitan dengan lingkungan teknologi informasi, PT XYZ menerapkan pengendalian umum dan pengendalian aplikasi. Pengendalian umum teknologi informasi yang telah ditetapkan oleh PT XYZ berkaitan dengan aktifitas pengembangan dan perubahan sistem/aplikasi, pengelolaan hak akses, dan pengoperasian komputer. Secara keseluruhan aktivitas pengendalian pada PT XYZ, telah mengikuti prinsip – prinsip COSO Internal Control - Integrated Framework. Secara umum aktifitas pengendalian dalam PT XYZ seharusnya sudah berjalan dengan baik. Kesesuaian dengan prinsip COSO Internal Control Integrated Framework seperti yang dapat dilihat pada tabel 4.10.



80

Tabel 4.10: Penilaian Prinsip COSO Komponen Aktifitas Pengendalian Prinsip COSO Internal Control - Integrated Framework untuk komponen Aktifitas Pengendalian 10. Organisasi menetapkan dan mengembangkan aktivitas pengendalian yang dapat memitigasi risiko. 11. Organisasi menetapkan dan mengembangkan aktivitas pengendalian umum atas teknologi untuk mendukung pencapaian tujuan. 12. Organisasi menerapkan aktivitas pengendalian ke dalam kebijakan dan membuat prosedur yang untuk menjalankan kebijakan tersebut. Sumber: Diolah oleh penulis

Sudah

Belum

✓

✓

✓

4.3.1.4 Informasi dan Komunikasi Dalam mengelola informasi dan komunikasi, PT XYZ menerapkan sistem informasi yang berbasis komputer. Hampir semua proses dalam PT XYZ melibatkan sistem informasi yang berbasis komputer. Oleh karena itu manajemen PT XYZ menerapkan policy on information security pada tahun 2013. Peraturan itu mengatur mengenai pengelolaan informasi yang berbasis komputer untuk melindungi data- data yang rahasia. Hal-hal yang diatur dalam peraturan ini seperti penerapan username dan password, hak untuk mengakses informasi/data tertentu dan ketentuan untuk menjaga kerahasiaan data pelanggan. Komunikasi antara dewan komisaris dengan manajemen dalam PT XYZ sudah cukup baik. Dewan komisaris dibantu oleh komite audit aktif mengawasi manajemen dalam menjalankan kegiatan operasional. Dewan komisaris dan pihak manajemen harus melakukan pertemuan paling sedikit 3 bulan sekali dalam setahun. Komite audit PT XYZ menggelar rapat secara reguler dengan pihak internal audit, untuk membahas risiko-risiko dan pengendalian yang dibutuhkan. Semua penemuan yang ditemukan oleh departemen internal audit selalu didiskusikan dengan komite audit. Berkaitan dengan komunikasi dengan eksternal auditor, departemen audit internal PT XYZ melakukan review bersama eksternal auditor setiap 3 bulan sekali. Terkait hubungan dengan stakeholders, PT XYZ mempunyai sebuah tim relasi investor (investor relation team) yang bertanggung jawab untuk memberikan



81

informasi yang lengkap dan akurat mengenai bisnis perusahaan, termasuk proses pengendalian internal yang diterapkan perusahaan untuk menjaga kepentingan investor. Tim relasi investor ini mengeluarkan laporan setiap tiga bulan. Pada tahun 2013, tim relasi investor PT XYZ bahkan telah menggelar pertemuan sebanyak 176 kali dengan para investor. PT XYZ selalu mengkomunikasikan kepada seluruh stakeholders apabila terdapat perubahan dalam proses operasional perusahaan. Secara keseluruhan pengelolaan informasi dan komunikasi pada PT XYZ , telah sesuai dengan prinsip-prinsip COSO Internal Control - Integrated Framework. Kesesuaian dengan prinsip COSO Internal Control - Integrated Framework seperti yang dapat dilihat pada tabel 4.11. Tabel 4.11: Penilaian Prinsip COSO Komponen Informasi dan Komunikasi Prinsip COSO Internal Control - Integrated Framework untuk komponen Informasi dan Komunikasi 13. Organisasi memperoleh, menghasilkan serta menggunakan informasi yang relevan dan berkualitas untuk mendukung berfungsinya komponen lain dari pengendalian internal. 14. Organisasi mengomunikasikan informasi secara internal, termasuk komunikasi atas tujuan dan tanggung jawab pengendalian internal, yang diperlukan untuk mendukung berfungsinya komponen lain dari pengendalian internal. 15. Organisasi berkomunikasi dengan pihak eksternal tentang hal-hal yang mempengaruhi berfungsinya komponen lain dari pengendalian internal. Sumber: Diolah oleh penulis

Sudah

Belum

✓

✓

✓

4.3.1.5 Pengawasan Internal audit PT XYZ bertanggung jawab penuh dalam mengawasi dan menilai pengendalian yang telah diterapkan sebelumnya. Dalam melakukan pengawasan, internal audit PT XYZ melakukan penilaian terhadap pengendalian internal setiap empat bulan. Pihak departemen internal audit PT XYZ dibantu oleh konsultan dalam melakukan penilaian pengendalian. Setiap kelemahan atau defisiensi yang terjadi langsung dilaporkan oleh departemen audit internal kepada komite audit. Komite audit PT XYZ bersama departemen audit internal bertanggung jawab menentukan tindakan untuk memperbaiki defisiensi tersebut. Secara umum aktifitas pengawasan yang dilakukan oleh PT XYZ telah sesuai



82

dengan prinsip COSO Internal Control - Integrated Framework. Seperti yang dapat dilihat pada tabel 4.12. Tabel 4.12: Tabel Penilaian Prinsip Komponen Aktifitas Pengawasan Prinsip COSO Internal Control - Integrated Framework untuk komponen Aktifitas Pengawasan

Sudah

16. Organisasi memilih, mengembangkan, dan melakukan evaluasi yang terus-menerus dan/atau terpisah untuk memastikan apakah komponen - komponen pengendalian internal telah ada dan berfungsi.

Belum

✓

17. Organisasi mengevaluasi dan mengomunikasikan kelemahan pengendalian internal secara tepat waktu kepada pihak-pihak yang berkepentingan dan bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan board of directors. Sumber: Diolah oleh penulis

✓

4.3.2 Analisis Proses Penilaian ICoFR Dalam Lingkungan Teknologi Informasi Yang Dilakukan Oleh KAP RSM AAJ Dalam melakukan penilaian ICoFR pada lingkungan teknologi informasi, KAP RSM AAJ mengikuti Auditing Standards no 5 dan dengan panduan yang diterbitkan oleh ITGI, yaitu IT Control Objectives for Sarbanes-Oxley. Panduan ini telah mengacu pada COSO internal control – integrated frameworks dan COBIT frameworks versi 4. Dalam IT Control Objectives for Sarbanes-Oxley terdapat pemetaan (mapping) atas COSO – COBIT Frameworks. Berdasarkan IT Control Objectives for Sarbanes-Oxley dan Auditing Standards no 2 dan 5, proses penilaian ICoFR terbagi menjadi enam tahap utama yaitu Plan and Scope, Assess Risk, Document Controls, Evaluate Control Design and Operating Effectiveness, Evaluate and Remediate Deficiencies dan Build Sustainability. Sedangkan KAP RSM AAJ membagi proses penilaian ICoFR pada PT XYZ menjadi lima tahap yaitu pengidentifikasian, pemetaan, perancangan, pengujian dan pelaporan. Seperti dapat dilihat pada Tabel 4.14. Dalam melakukan pengidentifikasian proses dan pengendalian pada lingkungan teknologi informasi yang terkait dengan proses pelaporan keuangan, KAP RSM AAJ melakukan pengidentifikasian sesuai dengan Auditing Standards no 5, yaitu dengan pendekatan Top-Down Approach, KAP RSM AAJ melakukan Universitas Indonesia


83

pengidentifikasian proses teknologi informasi (IT processes) ini pada tahap pertama yaitu tahap pengidentifikasian. Untuk tahap ini, informasi yang diperoleh penulis sangat terbatas karena tahap pengidentifikasian dilakukan pada periode sebelum penulis magang. Berdasarkan COSO-COBIT Frameworks Mapping, proses-proses teknologi informasi (IT processes) yang terdapat pada COBIT frameworks versi 4 dikelompokkan/dihubungkan dengan komponen COSO frameworks. Proses mapping ini menghasilkan 27 IT Process beserta pengendalian dalam COBIT frameworks yang dapat mendukung 5 komponen COSO Internal ControlIntegrated Framework. Dari 27 IT processes tersebut, 12 diantaranya berada pada tingkat aktifitas/proses dan 15 berada pada tingkat entitas. Dari 12 IT processes pada tingkat aktifitas/proses pada COSO – COBIT Frameworks Mapping, KAP RSM AAJ mengidentifikasi 2 proses signifikan pada lingkungan teknologi informasi PT XYZ yang berkaitan atau sama dengan IT processes yang terdapat pada COSO – COBIT Frameworks Mapping. Seperti dapat dilihat pada gambar 4.2. Dalam panduan IT Control Objectives for Sarbanes-Oxley dan COBIT Frameworks, tidak ada pernyataan mengenai kewajiban untuk mengidentifikasi 12

IT

processes

tersebut,

melainkan

hanya

rekomendasi

untuk

mempertimbangkan 12 proses tersebut untuk diberi perhatian. Menurut penilaian penulis IT processes berdasarkan COSO – COBIT Frameworks mapping yang tidak diidentifikasi sebagai proses yang signifikan pada PT XYZ tersebut adalah dikarenakan risiko pada proses tersebut dinilai tidak signifikan oleh PT XYZ.



84

Gambar 4.2: Perbandingan IT Processes. Sumber: Diolah oleh penulis

Tahap selanjutnya setelah melakukan identifikasi adalah tahap pemetaan, tahap pemetaan yang dilakukan oleh KAP RSM AAJ mengikuti tahap Assess Risk dan Document Controls dalam panduan IT Control Objectives for Sarbanes-Oxley. Dalam menentukan tingkat risiko pada masing – masing IT processes KAP RSM AAJ menggolongkan risiko pada tingkat tinggi, menengah atau rendah berdasarkan kemungkinan terjadi dan dampak dari risiko tersebut apakah dapat mempengaruhi pelaporan keuangan secara materiil. KAP RSM AAJ mendokumentasikan hasil pemetaan IT processes menjadi diagram alir (flowchart) yang dilengkapi dengan risiko yang terkait dengan IT processes



85

tersebut. KAP RSM AAJ membuat risk control matrix sebagai dokumentasi dari pengidentifikasian yang telah dilakukan. Dalam risk control matrix ini terdapat informasi mengenai IT processes, risiko, tingkat risiko, frekuensi pengendalian, aktifitas pengendalian, tujuan pengendalian, asersi, atribut pengendalian, dokumen pengendalian

dan pihak

yang bertanggung jawab terhadap

pengendalian. Informasi yang didokumentasikan dalam risk control matrix ini mengikuti informasi yang dipersyaratkan untuk didokumentasikan dalam panduan IT Control Objectives for Sarbanes-Oxley. Meskipun demikian dalam Auditing Standards no 5 tidak diatur secara spesifik apa saja yang harus didokumentasikan. Pada tahap ketiga prosedur penilaian ICoFR yang dilakukan oleh KAP RSM AAJ pada lingkungan teknologi informasi, yaitu tahap perancangan, KAP RSM AAJ mengikuti Evaluate Control Design and Operating Effectiveness dalam panduan IT Control Objectives for Sarbanes-Oxley. Terdapat beberapa perbedaan pada tahap perancangan. Menurut panduan IT Control Objectives for Sarbanes-Oxley,

sebaiknya

perusahaan

menilai

kehandalan

rancangan

pengendalian yang dibuatnya menjadi lima tingkat (nonexistent, initial ad hoc, repeatable but intuitive, defined process, managed and measurable, optimized). Tetapi hal ini tidak dilakukan oleh KAP RSM AAJ. Pada Auditing Standards no 5, khususnya dalam bagian Evaluate Control Design, memang tidak dijelaskan bahwa auditor harus membuat peringkat tersebut. Tetapi dengan dinilainya kehandalan rancangan pengendalian tentu akan memberikan gambaran kepada PT XYZ akan kondisi pengendalian yang telah ada, sehingga PT XYZ dapat menentukan langkah – langkah untuk memperbaiki apabila pengendalian masih berada pada tingkatan yang rendah. Menurut analisis penulis berdasarkan informasi selama periode magang, kehandalan rancangan pengendalian PT XYZ pada saat ini berada pada tingkat optimized, pada tingkat ini perusahaan telah memiliki suatu program pengelolaan

risiko

dan

pengendalian

secara

luas

dan

perusahaan

mendokumentasi dan mengevaluasi pengendalian secara berkala. Serta teknologi



86

informasi

digunakan

pada

tingkat

maksimum

untuk

membantu,

mengidentifikasi, mendokumentasikan, mencapai, mengevaluasi pengendalian. Selanjutnya pada tahap keempat yaitu tahap pengujian, dalam penentuan jumlah sampel pengendalian untuk diuji, KAP RSM AAJ menentukan jumlah sampel berdasarkan frekuensi pengendalian. Dapat dilihat pada tabel 4.13, KAP RSM AAJ menentukan sampel size yang lebih banyak dari jumlah minimum sampel yang diberikan dalam panduan IT Control Objectives for Sarbanes-Oxley. Pengambilan jumlah sampel yang lebih banyak yang dilakukan KAP RSM AAJ ini berpengaruh pada waktu dan biaya yang lebih besar yang dikeluarkan untuk mendapatkan lebih banyak sampel, tetapi keyakinan yang didapat atas hasil dari pengujian dengan bertambahnya jumlah sampel juga tentunya meningkat. Dalam pendokumentasian hasil pengujian, kertas kerja (working paper) merupakan dokumentasi dari pengujian yang dilakukan oleh KAP RSM AAJ. Dalam kertas kerja tersebut telah terdapat informasi mengenai jenis, waktu dan cakupan dari pengujian yang dilakukan beserta hasil pengujian, individu yang melakukan pengujian beserta tanggal pengujian ditambah dengan pihak yang me-review pengujian, ukuran sampel dan populasi pengujian, prosedur pengujian dan atribut pengendalian yang ingin dicapai,

referensi

dari

dokumentasi yang mendukung, kesimpulan efektifitas dari pengendalian yang diuji, pengecualian yang diidentifikasi dan penanggulangannya. Jadi menurut penulis, dokumentasi hasil pengujian yang dilakukan oleh KAP RSM telah cukup lengkap dan mengikuti panduan IT Control Objectives for SarbanesOxley. Menurut prosedur penilaian ICoFR dalam panduan IT Control Objectives for Sarbanes-Oxley, tahapan keempat setelah pengendalian diuji adalah Evaluate and Remediate Deficiencies, yaitu mengevaluasi dan memperbaiki defisiensi dan kekurangan yang terdapat dalam pengendalian. Dalam Paragraf 62 Auditing Standards no 5 dijelaskan juga bahwa auditor harus mengevaluasi defisiensi pengendalian dan dampak dari defisiensi tersebut bila ada. KAP RSM AAJ tidak menyertakan tahap ini secara khusus dalam prosedur yang dibuatnya.



87

Menurut analisis penulis, sebaiknya KAP RSM AAJ melakukan tahap Evaluate and Remediate Deficiencies setelah tahap testing key controls (pengujian), karena dengan demikian KAP RSM AAJ dapat mengetahui kelemahan – kelemahan/defisiensi yang terjadi pada pengendalian berdasarkan hasil pada tahap pengujian. Dan kemudian melakukan perbaikan atas defisiensi tersebut. Dikarenakan selama periode penulis magang tidak ditemukan adanya defisiensi pengendalian atau pengendalian yang tidak efektif, penulis tidak dapat memberikan gambaran yang jelas atas tahap ini. Tahap terakhir dari prosedur penilaian ICoFR yang terdapat dalam panduan IT Control Objectives for Sarbanes-Oxley, adalah Build Sustainability, yaitu melakukan

evaluasi

dan

pengawasan

secara

terus

menerus

terhadap

pengendalian. Dalam hal ini, KAP RSM AAJ sebagai pihak konsultan dari PT XYZ tidak melakukan tahapan ini, karena tahapan ini dilakukan oleh PT XYZ sendiri. Menurut penilaian penulis, prosedur penilaian ICoFR pada lingkungan teknologi informasi yang dibuat KAP RSM AAJ telah mengacu pada Auditing Standards no 5 tetapi masih terdapat persyaratan yang tidak dilakukan oleh KAP RSM AAJ yaitu tidak ada pengevaluasian defisiensi pengendalian dan dampak dari defisiensi. Seperti dapat dilihat pada tabel 4.15. Dan menurut penilaian penulis prosedur penilaian ICoFR KAP RSM AAJ belum mengikuti panduan IT Control Objectives for Sarbanes-Oxley secara penuh karena masih terdapat tahap – tahap yang tidak dilakukan, yaitu dalam tahap perancangan tidak ada pemeringkatan kehandalan rancangan dan tidak ada tahap pengevaluasian defisiensi. Tabel 4.13: Perbandingan Sample Size Frekuensi Pengendalian

Sample Size ITGI

KAP RSM AAJ

Tahunan

1

1

Triwulanan

2

2

Bulanan

2

3

Mingguan

5

10

Harian

25

30

Multiple Times per Day 25 Sumber: Diolah oleh penulis

45



88

Tabel 4.14: Perbandingan Prosedur Penilaian dan Pengujian ICoFR pada Lingkungan Teknologi Informasi Prosedur Penilaian dan Pengujian ICoFR pada Lingkungan Teknologi Informasi oleh IT Control Objectives for Sarbanes-Oxley berdasarkan Auditing Standards no 2

Prosedur Penilaian dan Pengujian ICoFR pada Lingkungan Teknologi Informasi KAP RSM AAJ

1. Plan and Scope

1. Pengidentifikasian

2. Assess Risk

2. Pemetaan

3. Document Controls

3. Perancangan

4. Evaluate Control Design and Operating Effectiveness

4. Pengujian

5. Evaluate and Remediate Deficiencies 6. Build Sustainability Sumber: Diolah oleh penulis

5. Pelaporan

Tabel 4.15: PCAOB Auditing Standards No. 5 Requirements dan Prosedur Pengujian ICoFR KAP RSM AAJ PCAOB Auditing Standards No. 5 Requirements Dalam melakukan audit/penilaian atas ICoFR, auditor harus menggunakan kerangka yang telah diakui oleh SEC. Dalam melakukan penilaian, apabila ditemukan satu saja kelemahan material pada pengendalian internal perusahaan, maka ICoFR perusahaan tidak dapat dikatakan efektif. Sebaiknya auditor fokus pada area yang mempunyai risiko tinggi (high risk) dalam proses penilaian risiko. Auditor harus menggunakan pendekatan topdown approach dalam memilih pengendalian untuk diuji. Auditor harus melakukan pengujian atas pengendalian pada tingkat entitas Auditor harus mengumpulkan bukti yang tepat untuk meyakinkan bahwa pengendalian telah berjalan efektif

Prosedur KAP RSM AAJ Prosedur penilaian ICoFR KAP RSM AAJ telah berpedoman pada COSO Internal Control - Integrated Framework Dalam metodologi pengujian KAP RSM AAJ terdapat kriteria Expected Error Rate 0%, yang berarti apabila satu saja dari seluruh sampel yang diambil ditemukan tidak sesuai dengan desain pengendalian, maka implementasi pengendalian internal dinyatakan tidak patuh Dalam melakukan pengujian pengendalian pada PT XYZ, KAP RSM AAJ hanya melakukan pengujian pengendalian yang mempunyai risiko moderate - high. Pada tahap pengidentifikasian KAP RSM AAJ telah menggunakan top-down approach untuk mengidentifikasi proses bisnis dan pengendalian yang terkait Pengujian pengendalian pada tingkat entitas khususnya untuk lingkungan teknologi informasi telah dilakukan oleh KAP RSM AAJ. KAP RSM AAJ mengumpulkan dan menginspeksi dokumen pengendalian untuk memenuhi atribut pengendalian sebagai bukti dari telah berjalannya pengendalian



89

PCAOB Auditing Standards No. 5 Requirements

Prosedur KAP RSM AAJ

Auditor harus mengevaluasi penggunaan teknologi informasi dalam proses pelaporan keuangan.

Lingkungan teknologi informasi adalah area yang diuji oleh KAP RSM AAJ dalam melakukan penilaian ICoFR, baik itu IT Entity level control dan ITGC

Dalam melakukan pengujian efektifitas operasi dijelaskan bahwa auditor harus memastikan bahwa pengendalian yang dirancang telah efektif dan memastikan pihak yang melakukan pengendalian mempunyai kompetensi dan otoritas. Prosedur yang digunakan dalam melakukan pengujian pengendalian adalah gabungan dari tanya jawab kepada pihak yang tepat, observasi kegiatan operasional perusahaan, dan inspeksi dokumen yang relevan.

Dalam prosedur audit yang dirancang oleh KAP RSM AAJ untuk pengujian pengendalian terdapat pengecekan atas otoritas pihak yang bertanggung jawab dan jabatannya. Metode audit yang digunakan KAP RSM AAJ dalam melakukan pengujian pengendalian terdiri dari tanya jawab, observasi, inspeksi dokumen dan konfirmasi.

Dalam prosedur penilaian ICoFR KAP RSM AAJ tidak ada tahapan evaluasi defisiensi. Auditor harus mengevaluasi defisiensi Dikarenakan tidak ada temuan atas defisiensi pengendalian dan dampak dari defisiensi pada pengendalian PT XYZ, penulis tidak tersebut bila ada dapat memastikan bahwa KAP RSM AAJ melakukan evaluasi defisiensi. Dikarenakan KAP RSM AAJ merupakan konsultan dari internal audit PT XYZ, maka Auditor harus memberikan opini terhadap KAP RSM tidak menerbitkan opini, efektifitas dari ICoFR. melainkan KAP RSM AAJ memberikan hasil dari penilaian ICoFR serta dokumentasi dari proses pengujian pengendalian. Dalam hal ini, tidak ditemukan adanya kelemahan material pada pengendalian Auditor harus mengkomunikasikan semua internal PT XYZ, tetapi dalam prosedur kelemahan material yang diidentifikasi penilaian ICoFR-nya, KAP RSM AAJ telah kepada manajemen perusahaan dan komite menyatakan akan melaporkan semua audit secara tertulis. kekurangan pada pengendalian internal PT XYZ. Sumber: Diolah oleh penulis

4.3.3 Analisis Penerapan Pengendalian Pada IT Process PT XYZ Dengan Pengendalian Pada COBIT Frameworks KAP RSM AAJ dan PT XYZ mengidentifikasi 5 proses signifikan dalam lingkungan teknologi informasi PT XYZ yang mempunyai risiko moderate to high. Pengidentifikasian tersebut berdasarkan analisa top–down approach mengikuti panduan IT Control Objectives for Sarbanes-Oxley yang diterbitkan oleh ITGI dan dengan mengikuti IT Process yang terdapat dalam kerangka COBIT frameworks.



90

Pada bagian ini penulis akan menganalisis kesesuaian penerapan pengendalian pada 2 dari 5 IT Process signifikan yang berkaitan dengan pengendalian yang terdapat pada COBIT frameworks, yaitu: 1.

Proses Mengelola Permintaan Pengembangan dan Perubahan Proses mengelola permintaan pengembangan dan perubahan sesuai dengan IT Process yang terdapat dalam domain Acquire and Implement pada COBIT framework yaitu Acquire and Maintain Application Software. Oleh karena itu penulis menganalisis kesesuaian penerapan pengendalian pada proses mengelola permintaan pengembangan dan perubahan dengan berpedoman pada IT Process Acquire and Maintain Application Software yang terdapat dalam COBIT framework. Berdasarkan COBIT frameworks pada proses Acquire and Maintain Application Software, fokus dari pengendalian dalam proses ini adalah semua aplikasi dikelola sesuai dengan kebutuhan bisnis, dan pengelolaan dilakukan secara efektif dengan biaya yang terjangkau serta tepat waktu. Berdasarkan COBIT frameworks pengendalian yang dibutuhkan dalam proses ini adalah: 1.

Memastikan bahwa semua perubahan yang terjadi telah sesuai dengan standar pengembangan.

2.

Memastikan pengembangan aplikasi sesuai dengan kebutuhan bisnis.

3.

Memisahkan aktifitas pengembangan, pengujian dan pengoperasian aplikasi.

Pengendalian

yang

terdapat

pada

proses

Mengelola

Permintaan

Pengembangan dan Perubahan adalah memastikan bahwa permohonan pengembangan dan perubahan sistem didokumentasikan, di-review dan disahkan oleh pihak yang berwenang mengikuti prosedur yang berlaku. Dalam proses mengelola permintaan pengembangan dan perubahan PT XYZ mempunyai divisi IT Alignment and Service Quality yang bertugas untuk mengelola permintaan dan perubahan aplikasi, yang termasuk memastikan bahwa semua perubahan yang terjadi telah sesuai dengan



91

standar pengembangan dan memastikan pengembangan aplikasi sesuai dengan kebutuhan bisnis. Dalam prosedur pengembangan aplikasi PT XYZ, telah diatur bahwa pengembangan, pengujian dan pengoperasian aplikasi dilakukan dan harus diotorisasi oleh orang yang berbeda. Dalam hal ini aktifitas pengembangan aplikasi dilakukan oleh pihak eksternal/rekanan PT XYZ, aktifitas pengujian dilakukan oleh departemen Test Execution, dan pengoperasian aplikasi dilakukan oleh departemen – departemen yang tersebar pada 6 direktorat PT XYZ. Dapat dilihat bahwa aktifitas pengendalian yang terdapat pada PT XYZ untuk proses Mengelola Permintaan Pengembangan dan Perubahan, telah mengikuti tiga pengendalian yang terdapat pada COBIT frameworks, seperti dapat dilihat pada tabel 4.16. Tabel 4.16: Penerapan pengendalian pada proses mengelola permintaan pengembangan dan perubahan Aktifitas Pengendalian Penerapan Pada PT XYZ COBIT Memastikan 1. Pengendalian: Memastikan bahwa bahwa semua permohonan pengembangan dan perubahan yang perubahan sistem didokumentasikan, di Sudah terjadi telah sesuai review dan disahkan oleh pihak yang dengan standar berwenang mengikuti prosedur yang pengembangan. berlaku. Memastikan 2. Divisi IT Alignment and Service Quality pengembangan mempunyai tanggung jawab untuk aplikasi sesuai Sudah memastikan semua dengan kebutuhan pengembangan/perubahan telah sesuai bisnis. dengan standar pengembangan dan memastikan pengembangan aplikasi Memisahkan sesuai dengan kebutuhan bisnis. aktifitas pengembangan, Sudah 3. Pada PT XYZ aktifitas pengembangan, pengujian dan pengujian dan pengoperasian aplikasi pengoperasian dilakukan dan diotorisasi oleh orang yang aplikasi. berbeda Sumber: Diolah oleh penulis



92

2.

Proses Mengelola Konfigurasi Kendali Aplikasi Proses mengelola konfigurasi kendali aplikasi sesuai dengan IT Process yang terdapat dalam domain Deliver and Support pada COBIT framework yaitu Manage The Configuration. Oleh karena itu penulis menganalisis kesesuaian penerapan pengendalian pada proses Mengelola Konfigurasi Kendali Aplikasi dengan berpedoman pada IT Process Manage The Configuration yang terdapat dalam COBIT framework. Berdasarkan COBIT frameworks pada proses Manage The Configuration, fokus dari pengendalian dalam proses ini adalah menetapkan dan memelihara konfigurasi yang akurat dan lengkap. Berdasarkan COBIT frameworks pengendalian yang dibutuhkan dalam proses ini adalah: 1.

Membuat suatu tempat penyimpanan (repository) yang mencakup semua informasi konfigurasi serta menetapkan baseline konfigurasi.

2.


3.


Aktifitas pengendalian yang terdapat pada proses Mengelola Konfigurasi Kendali Aplikasi di departemen Sales, Campaign and Marketing Management PT XYZ adalah memeriksa secara periodik kesesuaian pengendalian aplikasi dengan kebijakan yang telah ditentukan. Application Owner menetapkan standar pengendalian aplikasi. Standar pengendalian aplikasi merupakan konfigurasi yang tepat agar suatu aplikasi dapat berjalan secara akurat. Di dalam standar pengendalian aplikasi tersebut terdapat prosedur

dan

baseline

konfigurasi.

Application

owner

me-review

konfigurasi berdasarkan standar dan membuat laporan review konfigurasi setiap 3 bulan yang kemudian di-review oleh manajer. Apabila dibandingkan dengan pengendalian berdasarkan COBIT frameworks, maka menurut penilaian penulis (seperti dapat dilihat pada tabel 4.17), PT XYZ telah menerapkan ketiga pengendalian yang terdapat pada COBIT frameworks untuk proses Manage The Configuration tersebut, yaitu Universitas Indonesia


93

menetapkan prosedur konfigurasi yang mana dilakukan oleh application owner dan mencatat semua perubahan pada konfigurasi dan melakukan review terhadap konfigurasi data yang dilakukan oleh application owner dan manajer. Tabel 4.17: Penerapan pengendalian pada proses mengelola konfigurasi kendali aplikasi Aktifitas Pengendalian Penerapan Pada PT XYZ COBIT 1. Pengendalian: Memeriksa secara Membuat suatu tempat periodik kesesuaian pengendalian penyimpanan aplikasi dengan kebijakan yang (repository) yang telah ditentukan. mencakup semua Sudah informasi konfigurasi serta menetapkan baseline konfigurasi.


Sudah


Sudah

2.

Kumpulan baseline konfigurasi dikelola oleh masing – masing application owner.

3.

Dalam proses mengelola konfigurasi kendali aplikasi telah terdapat standar pengendalian aplikasi yang ditetapkan oleh application owner, dalam standar tersebut telah terdapat baseline konfigurasi.

4.

Konfigurasi kendali di-review oleh application owner dan disahkan oleh manajer setiap 3 bulan.




BAB 5 KESIMPULAN DAN SARAN

5.1

Kesimpulan

Berdasarkan pengujian pengendalian yang penulis lakukan dan informasi yang penulis dapat selama periode magang penulis menyimpulkan bahwa: 1.

Pengendalian internal secara umum di PT XYZ telah mengikuti 17 prinsip COSO internal control - integrated frameworks, tetapi masih diperlukan beberapa perbaikan, khususnya pada komponen COSO Internal Control Integrated Framework lingkungan pengendalian.

2.

Prosedur penilaian ICoFR KAP RSM AAJ telah mengacu pada Auditing Standards no 5. Tetapi masih terdapat persyaratan yang tidak dilakukan oleh KAP RSM AAJ. Yaitu tidak ada tahap pengevaluasian defisiensi.

3.

Prosedur penilaian ICoFR KAP RSM AAJ belum mengikuti panduan IT Control Objectives for Sarbanes-Oxley secara penuh. karena dalam tahap perancangan tidak ada pemeringkatan kehandalan rancangan dan tidak ada tahap pengevaluasian defisiensi.

4.

Tidak terdapat temuan pada 48 pengendalian ITGC dalam empat proses signifikan yang diuji oleh penulis pada empat departemen PT XYZ. Yang berarti 48 pengendalian internal yang penulis uji tersebut telah berjalan secara efektif.

5.

Secara keseluruhan, pengujian pengendalian ITGC PT XYZ yang dilakukan oleh KAP RSM AAJ memberikan hasil yang memuaskan. Tidak terdapat adanya temuan dalam seluruh pengujian pengendalian dan disimpulkan bahwa 350 pengendalian ITGC telah berjalan dengan sangat baik dan dengan tingkat kepatuhan sebesar 100%.

6.

Dari 5 IT Process signifikan yang diidentifikasi pada PT XYZ, hanya 2 IT Process yang terdapat pada COBIT Frameworks versi 4, yaitu Proses Mengelola Permintaan Pengembangan dan Perubahan, dan Proses Mengelola Konfigurasi Kendali Aplikasi


95

7.

Dalam proses Mengelola Permintaan Pengembangan dan Perubahan, PT XYZ telah mengikuti tiga pengendalian yang terdapat pada COBIT frameworks, yaitu memastikan bahwa semua perubahan yang terjadi telah sesuai dengan standar pengembangan, memastikan pengembangan aplikasi sesuai dengan kebutuhan bisnis dan memisahkan aktifitas pengembangan, pengujian dan pengoperasian aplikasi.

8.

Dalam proses Mengelola Konfigurasi Kendali Aplikasi PT XYZ telah mengikuti tiga pengendalian yang terdapat pada COBIT frameworks yaitu Membuat suatu tempat penyimpanan (repository) yang mencakup semua informasi konfigurasi serta menetapkan baseline konfigurasi, menetapkan prosedur konfigurasi untuk membantu manajemen dan mencatat semua perubahan pada konfigurasi, dan secara periodik melakukan review terhadap konfigurasi data untuk memverifikasi dan mengkonfirmasi integritas dari konfigurasi

5.2

Saran

5.2.1 PT XYZ Berdasarkan analisis dan proses pengujian pengendalian yang telah dilakukan, penulis memberikan masukan dan saran kepada PT XYZ sebagai berikut: 1.

Sebaiknya PT XYZ lebih giat dalam mengkomunikasikan code of conduct perusahaan dan melakukan pengawasan terhadap ketaatan karyawannya atas code of conduct tersebut. PT XYZ harus memberikan sanksi yang tegas kepada setiap individu yang melanggar code of conduct tersebut.

2.

Berkaitan dengan proyek co-source yang dilakukan oleh KAP RSM AAJ, sebaiknya PT XYZ lebih menyadari peran dari KAP RSM AAJ sebagai konsultan yang membantu PT XYZ. Oleh karena itu, PT XYZ sebaiknya membantu KAP RSM AAJ dengan menyediakan data–data yang dibutuhkan, secara lengkap dan tepat waktu.

3.

PT XYZ sebaiknya memberikan fasilitas yang baik kepada pihak konsultan yang membantunya, untuk menunjang dan mengefektifkan pekerjaan dari



96

konsultan tersebut. Seperti sarana internet yang baik dan tempat kerja yang lebih kondusif. 4.

Sebaiknya PT XYZ membatasi peran internal audit dikhususkan untuk melakukan pengawasan pengendalian internal saja, tanpa ikut melakukan perancangan pengendalian internal.

5.

Sebaiknya PT XYZ secara berkelanjutan melakukan proses pengawasan pengendalian internal dan secara reguler melakukan risk assessment untuk mengidentifikasi risiko – risiko baru para berbagai proses operasional perusahaan dan menerapkan serta menguji pengendalian internal yang tepat untuk memitigasi risiko – risiko baru tersebut.

5.2.2 KAP RSM AAJ Berdasarkan pengalaman magang selama 3 bulan di KAP RSM AAJ, penulis memberikan beberapa saran kepada KAP RSM AAJ yaitu: 1.

Sebaiknya KAP RSM AAJ memberikan pelatihan yang lebih banyak kepada peserta magang. Dan sebaiknya pelatihan tersebut diberikan sebelum peserta magang ditugaskan ke klien

2.

Sebaiknya KAP RSM AAJ memberikan fasilitas yang dapat menunjang pekerjaan, seperti laptop atau komputer kepada peserta magang.

3.

KAP RSM AAJ sebaiknya dapat melakukan proses penilaian dan pengujian pengendalian secara tepat waktu sesuai dengan kesepakatan pada kontrak kerja.

4.

Dalam tahap penilaian rancangan pada prosedur penilaian ICoFR sebaiknya KAP

RSM AAJ

memberikan tingkat

pada kehandalan

rancangan

pengendalian perusahaan yang dinilai. 5.

Dalam prosedur penilaian ICoFR sebaiknya KAP RSM AAJ menambahkan tahapan pengevaluasian defisiensi setelah tahap pengujian untuk memperbaiki defisiensi yang ada.



97

5.2.3 Regulator/Pemerintah Menurut penulis sebaiknya pemerintah Indonesia, melalui Bapepam-LK sebagai badan pengawas pasar modal dan lembaga keuangan mengadopsi peraturan Sarbanes Oxley Act section 302 dan 404 khususnya yang ditujukan bagi perusahaan publik yang terdaftar di Bursa Efek Indonesia. Dengan diterapkannya peraturan ini praktik kecurangan pada pelaporan keuangan akan dapat dikurangi. Bapepam-LK telah mengeluarkan peraturan yang mengacu pada peraturan Sarbanes Oxley Act section 302 dan 404 ini dalam peraturan nomor IX.I.5 tahun 2012 yang mengatur mengenai kewajiban perusahaan publik yang terdaftar di Bursa Efek Indonesia untuk mempunyai komite audit yang bertugas untuk mengawasi pengendalian internal perusahaan dan peraturan nomor IX.I.7 tahun 2008 yang mengatur mengenai tugas dan fungsi dari internal audit, tetapi dalam kedua peraturan ini tidak diatur mengenai kewajiban perusahaan untuk mengeluarkan laporan atas pengendalian internal kepada publik. Oleh karena itu artinya peraturan Sarbanes Oxley Act section 302 dan 404 belum diterapkan secara penuh di Indonesia. Dengan adanya kewajiban bagi setiap perusahaan untuk melakukan penilaian terhadap keefektifan pengendalian internal serta menerbitkan pernyataan mengenai keefektifan pengendalian internal tersebut maka tentunya laporan keuangan perusahaan akan mejadi lebih terpercaya sehingga investor akan menjadi lebih tertarik untuk berinvestasi di Indonesia. Ditambah dengan kewajiban auditor eksternal yang wajib memberikan pendapat mengenai keefektifan pengendalian internal perusahaan yang diauditnya, maka tentu saja penerapan dari SOX section 404 ini akan dapat mengurangi bahkan mencegah terjadinya fraud.

.



DAFTAR REFERENSI

Arens, Alvin A. (2008). Auditing and Assurance Services - An Integrated Approach. New Jersey: Pearson. Hall, James A. (2006). Information Technology Auditing and Assurance. Pearson. Singapore: Thomson. Information Systems Audit and Control Association. (2005). COBIT 4. United States: IT Governance Institute. IT Governance Institute. (2006). IT Control Objectives for Sarbanes Oxley, 2nd edition. Illinois. Linggar, Gary. (2011). Analisis Risiko Pengendalian Internal Atas Information Technology General Control Dalam Implementasi Internal Control Over Financial Reporting Pada PT X. Depok: Universitas Indonesia. Moeller, Robert. (2009). Brink’s Modern Internal Auditing: a Common Body of Knowledge. New Jersey: John Wiley & Sons. PCAOB Auditing Standard No. 2. (2004). PCAOB Auditing Standard No. 5. (2007). Romney, Marshall. (2012). Accounting Information System. United States: Pearson. RSM AAJ Associates. (2014). Employee Hand Book Version 14.01. RSM AAJ Associates. (2013) Technical Proposal Jasa Co-Source Testing Internal Control Tahun 2013. Public Law 107–204, 107th Congress. (2002). Sarbanes-Oxley Act of 2002. Santoso, Erlyn. (2011). Analisis Defisiensi Dan Risiko Atas Pengendalian Internal Atas Information Technology General Control Dalam Pengimplementasian Internal Control Over Financial Reporting Pada PT X. Depok: Universitas Indonesia.


99

The Committee of Sponsoring Organizations of the Treadway Commission (2013). Internal Control - Integrated Framework. North Carolina: AICPA. The Institute of Internal Auditors. (2008). Sarbanes Oxley Section 404: A Guide for Management by Internal Controls Practitioners 2nd edition. United States: The Institute of Internal Auditors. U.S. Securities and Exchange Commission. (2003). Final Rule: Management's Report on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports. U.S. Securities and Exchange Commission. (2007). Commission Guidance Regarding Management’s Report on Internal Control Over Financial Reporting Under Section 13(a) or 15(d) of the Securities Exchange Act of 1934. Webber, Ron. (1998). Information Systems Control and Audit. New Jersey: Prentice Hall. Website PT XYZ Indonesia. (3 Mei 2014). http://www.bapepam.go.id/pasar_modal/regulasi_pm/peraturan_pm/IX/IX.I.5.pdf (31 Mei 2014). http://www.bapepam.go.id/pasar_modal/regulasi_pm/draft_peraturan_pm/draft/Dr aft-IX.I.7.pdf (31 Mei 2014). http://pcaobus.org/About/Pages/default.aspx. (3 Mei 2014). http://www.coso.org/aboutus.htm. (5 Mei 2014). http://www.itgi.org/Template_ITGI.html. (5 Mei 2014).



Lampiran 1 : Bagan Alir Proses ITGC

100 Analisis penerapan..., Andrey Octavian, FE UI, 2014


Lampiran 2: Kertas Kerja Proses Mengelola Permintaan Pengembangan dan Perubahan



Lampiran 2: Kertas Kerja Proses Mengelola Permintaan Pengembangan dan Perubahan (Lanjutan)



Lampiran 3: Kertas Kerja Proses Testing Management



Lampiran 3: Kertas Kerja Proses Testing Management (Lanjutan)



Lampiran 4: Kertas Kerja Proses Release Management



Lampiran 4: Kertas Kerja Proses Release Management (Lanjutan)



Lampiran 5: Kertas Kerja Proses Mengelola Konfigurasi Kendali Aplikasi



Lampiran 5: Kertas Kerja Proses Mengelola Konfigurasi Kendali Aplikasi (Lanjutan)



UNIVERSITAS INDONESIA

Recommend Documents