(Studi Kasus: PT. ... kepada bagian Internal Audit yang berlokasi di Lantai 5 GKP
PT ... internal pada sistem informasi akuntansi yang diusulkan pada tesis ini ...
Pemodelan Framework Pengendalian Internal Pada Sistem Informasi Akuntansi (Studi Kasus: PT. Telekomunikasi Indonesia TBK)
TESIS Karya tulis sebagai salah satu syarat untuk memperoleh gelar Magister dari Institut Teknologi Bandung
Oleh
M Hendra Herviawan NIM : 23507035 (Program Studi Magister Informatika)
INSTITUT TEKNOLOGI BANDUNG 2009
ABSTRAK Pemodelan Framework Pengendalian Internal Pada Sistem Informasi Akuntansi (Studi Kasus: PT. Telekomunikasi Indonesia TBK) Oleh
M Hendra Herviawan NIM : 23507035 (Program Studi Magister Informatika)
Di awal tahun 2000 terjadi skandal keuangan pada perusahaan- perusahaan besar di Amerika seperti Enron, Tyco International, WorldCom. Skandal tersebut berupa kesalahan dalam proses penyampaian transaksi keuangan sehingga laporan audit transaksi keuangan perusahaan tersebut bersifat tidak bisa diandalkan (unreliable financial report). Untuk memulihkan kepercayaan investor, pada tanggal 23 Januari 2002 kongres Amerika Serikat mengesahkan undang - undang Public Company Accounting Reform and Investor Protection Act of 2002 atau undang - undang perlindungan investor dan pengaturan akuntansi perusahaan publik, saat ini undang undang ini lebih terkenal dengan nama SOX atau Sarbox mengambil inisial dari pencetus undang - undang ini Paul Sarbanes dan G.Oxley. SOX terdiri atas 11 judul utama dengan 69 pasal. Terdapat dua bagian dalam SOX yang mewajibkan manajemen untuk dapat memberikan keyakinan yang memadai terkait dengan penerapan pengendalian internal. Bagian pertama adalah bagian 302, corporate responsibility for financial report. Bagian kedua yang memiliki implikasi dengan internal control adalah bagian 404, Management assessment of internal control. SOX 302 & 404 menyebabkan perusahaan memiliki kewajiban hukum melaporkan pengendalian internal terhadap proses pelaporan keuangan. Petunjuk pelaksanaan SOX bagian 302 & 404 yang dikeluarkan oleh SEC menyarankan untuk menggunakan pengendalian internal berbasiskan TI karena memiliki sifat konsisten dan otomatis, oleh karena itu pengendalian internal pada TI menjadi penting untuk menjaga kualitas dan integritas dari informasi yang dihasilkan oleh sistem informasi akuntansi. Pengendalian internal adalah sebuah proses yang diprakarsai oleh dewan direksi, manajemen dan pihak lainnya yang didisain untuk mendapatkan keyakinan yang memadai (reasonable assurance) agar tercapainya (1) Efektivitas dan efisien dalam operasional, (2) Reabilitas dari laporan keuangan, (3) Patuh terhadap hukum dan aturan – aturan. Dalam membangun pengendalian internal COSO mendefinisikan lima komponen yang dapat digunakan sebagai panduan dalam penerapan pengendalian internal. Kelima komponen tersebut adalah (1) Lingkungan Pengendalian (Control
ii
environment), (2) Penilaian risiko (Risk assessment), (3) Aktivitas Pengendalian (Control Activity), (4) Informasi dan Komunikasi (Information and Communication) dan (5). Pengawasan (Monitoring). Untuk dapat memberikan keyakinan yang memadai terhadap integritas dari sistem informasi akuntansi, framework pada tesis ini secara garis besar berisikan (1) Tatacara penilaian dan perbaikan pengendalian internal, (2) 8 Aktivitas pengendalian internal pada sistem informasi akuntansi. Tatacara yang akan dipergunakan dalam menilai dan melakukan perbaikan pengendalian internal pada sistem informasi akuntansi adalah : (1) Identifikasi rekening dan transaksi yang berpengaruh terhadap laporan keuangan, (2) Identifikasi sumber daya TI dan pengendalian Internal, (3) Penilaian Risiko, (4)Perbaikan Pengendalian Internal. Framework pengendalian internal pada sistem informasi akuntansi berisikan 8 aktivitas pengendalian yang terbagi ke dalam 3 tipe pengendalian internal (Entity level control, IT General Control, Application Control). Isi dari setiap aktivitas pengendalian internal adalah : (1) Tujuan pengendalian (Control Objective), (2) Maturity Level, (3) Kuesioner, (4) Tabel Perbaikan, (5) Peran dan Tanggung Jawab. Untuk menguji pengendalian internal yang diusulkan pada framework ini dilakukan penilaian dengan cara menyebarkan kuesioner terhadap penerapan pengendalian internal berdasarkan framework yang ada pada tesis ini. Penyebaran kuesioner dilakukan di PT Telekomunikasi Indonesia TBK (PT Telkom), kuesioner dibagikan kepada bagian Internal Audit yang berlokasi di Lantai 5 GKP PT Telekomunikasi Indonesia jalan Japati no 1 Bandung, Jawa Barat. Hasil dari penilaian tersebut menunjukkan bahwa isi dari framework pengendalian internal pada sistem informasi akuntansi yang diusulkan pada tesis ini dianggap penting dan sesuai dengan kebutuhan pengendalian internal pada PT. Telkom. Lebih jauh lagi bahwa hasil penilaian pengendalian internal pada PT. Telkom menyebutkan bahwa pengendalian Entity Level Control memiliki hubungan langsung terhadap keberhasilan penerapan pengendalian internal (dibandingkan dengan pengendalian IT General Control, Application Control). Dari hasil observasi terhadap PT. Telkom dapat disimpulkan bahwa pada PT. Telkom pengendalian Entity Level Control merupakan dasar yang menunjang keberhasilan penerapan pengendalian IT General Control dan Application Control.
Kata Kunci: Sarbanes Oxley Act, risiko, Penilaian risiko dari atas ke bawah, Pengendalian Internal, Sistem Informasi Akuntansi, Framework, Entity level control, IT General Control, Application Control. Control Objective, Maturity Level, Kuesioner, Tabel Perbaikan, Peran dan Tanggung Jawab.
iii
ABSTRACT Modeling Internal Control Framework For Accounting Information System (Case Study: PT. Telekomunikasi Indonesia TBK)
By M Hendra Herviawan NIM : 23507035 (Informatic Master Programme)
In early 2000 there are financial scandal at the big companies in America such as Enron, Tyco International, WorldCom. The scandal was a mistake in the delivery process of financial transactions so that the audit report the company's financial transactions are not reliable (unreliable financial report). To restore public investing, in 23 January 2002 US congress approve Public Company Accounting Reform and Investor Protection Act of 2002 or SOX. SOX consist of 11 major titles with 69 chapters. There are two parts of SOX that requires management to provide adequate confidence associated with the implementation of internal control. the first was the 302, the corporate responsibility for financial reports. The second part of which has implications for the internal control is part of 404, Management assessment of internal control. SOX 302 & 404 cause the company have a legal obligation to report on internal control financial reporting process. Instructions implementing SOX section 302 & 404 issued by the SEC advised to use IT-based internal control because it has a consistent and automated nature, therefore the internal controls in IT is important to maintain the quality and integrity of information generated by the accounting information system. Internal control is a process initiated by the board of directors, management and other parties are designed to obtain sufficient confidence (reasonable assurance) that the achievement of (1) effectiveness and efficiency in operations, (2) reliability of financial reporting, (3) Obey the laws and rules - rules. COSO defines five internal control components that can be used as a guide in the implementation of internal control. five components are: (1) Control environment, (2) risk assessment, (3) Control Activity, (4) Information and Communication and (5). Monitoring. In order to provide sufficient confidence for the integrity of accounting information systems, this framework contains an outline of (1) Methodology assessment and improvement of internal controls, (2) 8 activity in the internal control of accounting information systems. The Methodology that will be used in assessing and improvement of internal controls on accounting information systems are: (1) Identify the accounts and transactions affecting the financial statements, (2) Identify the IT
iv
resources and internal controls, (3) Risk Assessment, (4) Internal Control Improvements. Internal control framework for accounting information system contains 8 control activities that are divided into 3 types of internal controls (Entity-level controls, IT General Control, Application Control). The contents of any internal control activities are: (1) Destination control (Control Objective), (2) Maturity Level, (3) questionnaires, (4) Table Repair, (5) The Role and Responsibilities. To test the internal control framework proposed in the assessment by disseminating a questionnaire on the implementation of internal control based on the framework in this thesis. Questionnaires carried out at PT Telekomunikasi Indonesia Tbk (PT Telkom), a questionnaire distributed to the Internal Audit section which is located at 5th Floor GKP PT Telekomunikasi Indonesia street Japati No. 1 Bandung, West Java. The results from these assessments indicate that the contents of the internal control framework on accounting information system proposed in this thesis are considered important and in accordance with internal control requirements at PT. Telkom. Further that the results of the assessment of internal controls at PT. Telkom said that the Control Level Control Entity has a direct relationship to the successful implementation of internal controls (compared with control IT General Control, Application Control). From the observation of PT. Telkom can be concluded that the PT. Telkom controls Entity Level Control is the foundation to support successful implementation of IT General Control Control and Application Control.
Keyword: Internal Control, Sarbanes Oxley Act, Risk, Top Down Risk Assessment, Accounting Information System, Framework, Entity level control, IT General Control, Application Control. Control Objective, Maturity Level, Questioner, Recommendation table, Role and Responsibility.
v
Pemodelan Framework Pengendalian Internal Pada Sistem Informasi Akuntansi (Studi Kasus: PT. Telekomunikasi Indonesia TBK)
Oleh
M Hendra Herviawan NIM : 23507035 (Program Studi Magister Informatika)
Institut Teknologi Bandung
Menyetujui Pembimbing Tanggal ………………………..
_______________________________ (Kridanto Surendro, M.Sc., Ph.D)
vi
PEDOMAN PENGGUNAAN TESIS Tesis S2 yang tidak dipublikasikan terdaftar dan tersedia di Perpustakaan Institut Teknologi Bandung, dan terbuka untuk umum dengan ketentuan bahwa hak cipta ada pada pengarang dengan mengikuti aturan HaKI yang berlaku di Institut Teknologi Bandung. Referensi kepustakaan diperkenankan dicatat, tetapi pengutipan atau peringkasan hanya dapat dilakukan seizin pengarang dan harus disertai dengan kebiasaan ilmiah untuk menyebutkan sumbernya.
Memperbanyak atau menerbitkan sebagian atau seluruh tesis haruslah seizin Direktur Program Pascasarjana, Institut Teknologi Bandung.
vii
KATA PENGANTAR Alhamdulillah, segala puji dan syukur kepada Allah SWT atas segala rahmat dan karunia-Nya sehingga penulis dapat menyelesaikan tesis ini sebagai salah satu syarat untuk kelulusan program magister pada Program Studi Magister Informatika ITB. Untuk itu penulis menyampaikan terima kasih dan penghargaan yang setinggitingginya kepada pihak-pihak yang telah banyak membantu dalam penyelesaian tesis ini, yaitu : 1. Bapak Ir. Kridanto Surendro, M.Sc., Ph.D. sebagai Pembimbing dan sebagai dosen wali, terima kasih atas segala saran, bimbingan dan nasehat Bapak sehingga tesis ini dapat diselesaikan dengan sebaik-baiknya. 2. Bapak Dr. Ir. Husni S. Sastramihardja, MT, selaku dosen tesis dan dosen penguji seminar, terima kasih atas segala masukan dan saran Bapak. 3. Ibu Dra. Cristine Suryadi, MT, Dr.Nur Ulfa Mauli Devi, ST., MSC dan Fazat Nur Azizah, S.T., MSC sebagai dosen penguji, terima kasih atas masukan dan koreksi Ibu. 4. Dosen-dosen STEI ITB, terima kasih atas bimbingan Bapak/Ibu selama mengikuti perkuliahan di jalur Sistem Informasi STEI ITB. 5. Staf Tata Usaha Program Studi Magister Informatika ITB yaitu Pak Ade, Mbak Nur, staf dukungan teknis dan staf perpustakaan yang telah membantu proses
administrasi
dan
menyediakan
fasilitas
bagi
Penulis
untuk
menyelesaikan studi dan tesis ini. 6. PT Telekomunikasi Indonesia TBK (PT Telkom) bagian Internal Audit GKP Lantai 5 PT Telekomunikasi Indonesia jalan terima kasih atas dukungan dan bantuannya dalam mengisi kuesioner penerapan pengendalian internal. 7. Papa, mama dan adik-adik tercinta, terima kasih atas doa, dukungan, dan semangatnya sehingga penulis dapat menyelesaikan pendidikan ini. 8. Teman-teman Program Studi Magister Informatika Jalur Sistem Informasi Angkatan 2007, terima kasih atas kekompakan dan kebersamaan yang indah. Semoga segala bantuan dan dukungan mendapatkan balasan yang berlimpah dari Tuhan Yang Maha Esa. Amin. Penulis menyadari bahwa dalam penyusunan tesis ini masih memiliki banyak kekurangan, oleh karena itu segala kritik dan saran yang membangun akan menjadi penyempurna bagi tesis ini. viii
DAFTAR ISI ABSTRAK .................................................................................................................... ii ABSTRACT ................................................................................................................. iv PEDOMAN PENGGUNAAN TESIS ....................................................................... vii KATA PENGANTAR ...............................................................................................viii DAFTAR ISI............................................................................................................... vii DAFTAR LAMPIRAN ............................................................................................... xi DAFTAR GAMBAR DAN ILUSTRASI ................................................................. xii DAFTAR TABEL .....................................................................................................xiii DAFTAR ISTILAH ................................................................................................... xv BAB I
Pendahuluan .................................................................................................... 1
I.1
Latar Belakang ................................................................................................ 1
I.2
Rumusan Masalah ........................................................................................... 3
I.3
Tujuan.............................................................................................................. 3
I.4
Batasan Masalah.............................................................................................. 3
I.5
Kegunaan Hasil ............................................................................................... 4
I.6
Metodologi ...................................................................................................... 4
BAB II II.1
Tinjauan Pustaka.......................................................................................... 6 Pengendalian Internal (Internal Control) ........................................................ 6
II.1.1
Definisi Pengendalian Internal ................................................................. 6
II.1.2
Tujuan Pengendalian Internal .................................................................. 7
II.1.3
Pengendalian internal dan Risiko............................................................. 8
II.1.4
Contoh penerapan Pengendalian Internal ............................................... 8
II.1.5
Pengelompokan Pengendalian Internal .................................................... 9
II.2
Sarbanes Oxley Act ......................................................................................... 9
II.2.1
Sarbanes Oxley Act Bagian 404 ........................................................... 11
II.2.2
Pengendalian Internal pada Teknologi Informasi .................................. 11
II.3
COSO – Internal Control Framework .......................................................... 12
II.3.1
Definisi dan Tujuan................................................................................ 12
II.3.2
Lima komponen pengendalian internal .................................................. 12
II.3.3
Proses Pengendalian Internal ................................................................. 14
II.4
Sistem Informasi Akuntansi .......................................................................... 20
vii
II.4.1
Sistem informasi dalam prospektif akuntansi ....................................... 20
II.4.2
Subsistem informasi akuntansi .............................................................. 20
II.4.3
Akuntansi, akuntabilitas dan GCC ......................................................... 20
II.4.4
Akuntabilitas sistem informasi akuntansi .............................................. 21
II.5
Manajemen Risiko......................................................................................... 22
II.5.1
Definisi Risiko ....................................................................................... 22
II.5.2
Definisi Manajemen Risiko ................................................................... 22
II.5.3
Ancaman (thread) & Kelemahan (vulnerabilities) ................................ 23
II.5.4
Motivasi dan kegiatan ancaman ............................................................. 23
II.5.5
Strategi penanggulangan risiko .............................................................. 24
II.6
Keamanan Informasi (Information Security) ............................................... 25
II.6.1
Definisi Keamanan Informasi ................................................................ 25
II.6.2
Prinsip – prinsip Keamanan Informasi .................................................. 25
II.6.3
Risiko dari Sistem informasi .................................................................. 26
II.6.4
Aktivitas Keamanan Informasi .............................................................. 26
II.6.5
Kebijaksanaan (policies), Standar (standard) dan Panduan (Guideline) 27
II.6.6
Keamanan Informasi, Sistem informasi dan Pengendalian Internal ...... 28
II.6.7
Framework Keamanan Informasi –ISO: 17799 ..................................... 28
II.7
Framework Yang Berkaitan Dengan Pengendalian Teknologi Informasi .... 29
II.7.1
Internal Control Objective For Sarbanes Oxley 2nd ............................ 29
II.7.2
Guide to the Assessment of IT (GAIT).................................................. 34
BAB III III.1
Analisa Kebutuhan Pengendalian Internal ................................................ 38 Pengendalian Internal Terhadap Laporan Keuangan Berbasiskan
Teknologi Informasi................................................................................................. 38 III.1.1
Pengendalian Internal Terhadap Laporan Keuangan menurut SOX ...... 38
III.1.2
COSO Sebagai Framework Pengendalian Internal................................ 39
III.1.3
Pengendalian Internal berbasiskan TI berdasarkan COSO .................... 39
III.2
Analisa Risiko Pemrosesan Keuangan Berbasiskan TI ............................. 42
III.2.1
Penilaian Risiko Dari Atas ke Bawah (Top Down Risk Assessment) .... 42
III.2.2
Risiko Penggunaan TI Terhadap Integritas Laporan Keuangan ............ 43
III.3 III.3.1
Kebutuhan pengendalian internal pada Sistem Informasi Akuntansi ........ 45 Penilaian kebutuhan pengendalian internal berdasarkan risiko
penggunaan sumber daya Teknologi Informasi ................................................... 45 viii
III.3.2
Pengendalian Internal Terhadap Risiko Penggunaan Aplikasi .............. 46
III.3.3
Pengendalian Internal Terhadap Risiko Penggunaan Infrastruktur dan
Manusia. ............................................................................................................... 46 III.3.4 III.4
Pengendalian internal terhadap risiko penggunaan Informasi ............... 47 Analisa Kebutuhan Framework Pengendalian Internal pada Sistem
Informasi Akuntansi................................................................................................. 47 III.4.1
Analisa Tatacara Penilaian & Perbaikan Pengendalian Internal ............ 47
III.4.2
Analisa Model Aktivitas Pengendalian Internal .................................... 49
III.5
Analisa Kebutuhan Aktivitas Pengendalian Internal ................................. 56
III.5.1
Analisa Kebutuhan Pengendalian Akses dan Wewenang ...................... 56
III.5.2
Analisa Kebutuhan Pengendalian Keamanan Jaringan.......................... 63
III.5.3
Analisa Kebutuhan Pengendalian Kelangsungan layanan Sistem
Informasi Akuntansi............................................................................................. 67 III.5.4
Analisa Kebutuhan Pengendalian Audit Sistem Informasi Akuntansi .. 71
III.5.5
Analisa Kebutuhan Pengendalian Pusat Data ........................................ 75
III.5.6
Analisa Kebutuhan Pengendalian Operasional Komputer ..................... 79
III.5.7
Analisa Kebutuhan Pengendalian Tatacara Pengembangan Sistem ...... 83
III.5.8
Analisa Kebutuhan Pengendalian Aplikasi ............................................ 88
BAB IV
Perancangan dan Pengujian ....................................................................... 93
IV.1
Tatacara Penilaian dan Perbaikan Pengendalian Internal ......................... 93
IV.1.1 Identifikasi Rekening dan Transaksi Keuangan yang Signifikan .......... 95 IV.1.2 Identifikasi Sumber Daya TI dan Pengendalian Internal ...................... 98 IV.1.3 Penilaian Risiko ................................................................................... 101 IV.1.4 Perbaikan Pengendalian Internal.......................................................... 107 IV.2
Aktivitas Pengendalian Internal............................................................... 110
IV.2.1 Pengendalian akses .............................................................................. 110 IV.2.2 Keamanan Jaringan .............................................................................. 114 IV.2.3 Kelangsungan Layanan Sistem Informasi Akuntansi ......................... 116 IV.2.4 Audit Sistem Informasi Akuntansi....................................................... 119 IV.2.5 Pusat Data ............................................................................................ 122 IV.2.6 Operasional Komputer ......................................................................... 125 IV.2.7 Tatacara Pengembangan Sistem .......................................................... 128 IV.2.8 Pengendalian Aplikasi ......................................................................... 131 IV.3
Pengujian Framework Pengendalian Internal.......................................... 134 ix
IV.3.1 Tatacara Pengujian ............................................................................... 134 IV.3.2 Analisa Hasil Pengujian ....................................................................... 135 IV.3.3 Penyempurnaan model ......................................................................... 142 BAB V
Penutup .................................................................................................... 144
V.1
Kesimpulan.................................................................................................. 144
V.2
Saran ............................................................................................................ 145
Daftar pustaka ............................................................................................................ 146
x
DAFTAR LAMPIRAN Lampiran A: Kuesioner Penilaian dan Perbaikan Pengendalian Internal pada Sistem Informasi Akuntansi................................................................................................... 148 Lampiran B: Hasil Survei ......................................................................................... 179
xi
DAFTAR GAMBAR DAN ILUSTRASI Gambar II.1. Proses Pengendalian Internal (COSO, 2006) ......................................... 14 Gambar II.2 Aktivitas Keamanan Informasi ................................................................ 26 Gambar II.3. SOX Cobit jalan menuju kepatuhan (ITGI, 2006). ................................ 30 Gambar II.4. Pengendalian Internal pada SOX Cobit (ITGI, 2006). ........................... 31 Gambar II.5 Penilaian Risiko dari Atas Ke Bawah Menurut GAIT (IIA, 2007) ......... 36 Gambar III.1 Framework Aktivitas Pengendalian Internal.......................................... 51 Gambar III.2Model dari Aktivitas Pengendalian internal pada Sistem Informasi Akuntansi ..................................................................................................................... 52 Gambar III.3 Penjabaran dari Setiap Aktivitas Pengendalian Internal ........................ 54 Gambar III.4 Pemisahan Kekuasaan (segregations of duties) (Perelsona dkk, 2001). 57 Gambar III.5 Keamanan Pusat Data (Davis, 2007) ..................................................... 76 Gambar III.6 Contoh Pengendalian Pusat Data ........................................................... 78 Gambar IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal ...................... 93
xii
DAFTAR TABEL Tabel II.1 Motivasi dan Risiko (Gary dkk, 2002). ....................................................... 23 Tabel II.2 Dua Belas pengendalian internal pada SOX Cobit (ITGI, 2006). ............... 33 Tabel III.1 Risiko penggunaan sistem yang berinteraksi dengan laporan keuangan ... 43 Tabel III.2 Risiko penggunaan infrastruktur TI terhadap integritas dari laporan keuangan ...................................................................................................................... 45 Tabel III.3 Tahapan penilaian dan perbaikan Pengendalian Internal pada Sistem Informasi Akuntansi..................................................................................................... 49 Tabel III.4 Pengelompokan Pengendalian Internal. ..................................................... 50 Tabel III.5 Pengendalian internal pada Sistem Informasi Akuntansi. ......................... 50 Tabel III.6 Aktivitas Pengendalian Internal ................................................................. 53 Tabel III.7 Risiko dari lingkungan multi pengguna (Multi User) ................................ 56 Tabel III.8 Maturity Level dari Pengendalian Akses ................................................... 59 Tabel III.9 Tujuan Pengendalian Tatakelola Peran dan Tanggung Jawab ................... 61 Tabel III.10 Tujuan Pengendalian Tatakeloa Password .............................................. 61 Tabel III.11 Tujuan Pengendalian Keamanan Fisik ................................................... 62 Tabel III.12 Risiko dari Penggunaan Jaringan ............................................................. 63 Tabel III.13 Maturity Level Keamanan Jaringan ......................................................... 65 Tabel III.14 Tujuan Pengendalian Keamanan Komunikasi ......................................... 66 Tabel III.15 Tujuan Pengendalian Akses Jarak Jauh .................................................. 66 Tabel III.16 Maturity Level Kelangsungan Layanan Sistem Informasi ...................... 69 Tabel III.17 Tujuan Pengendalian Kelangsungan Layanan dan Penilaian Risiko ....... 70 Tabel III.18 Tujuan Pengendalian Pengujian, Pemeliharaan dan Penilaian ulang Rencana Kelangsungan Layanan ................................................................................. 70 Tabel III.19 Maturity Level Audit Sistem Informasi Akuntansi ................................. 73 Tabel III.20 Tujuan Pengendalian Audit Sistem Informasi Akuntansi ....................... 74 Tabel III.21 Tujuan Pengendalian Tatakelola Log File .............................................. 74 Tabel III.22 Maturity Level Pengendalian Pusat Data ................................................. 77 Tabel III.23 Tujuan Pengendalian Fasilitas ................................................................ 78 Tabel III.24 Tujuan Pengendalian Backup ................................................................. 79 Tabel III.25 Maturity Level Pengendalian Pusat Data ................................................. 81 Tabel III.26 Tujuan Pengendalian Virus\worm\spyware (kode jahat) ........................ 82 Tabel III.27 Tujuan Pengendalian Penanggulangan Masalah dan Kejadian .............. 83 Tabel III.28 Maturity Level Pengendalian Pengembangan Sistem ............................. 85 Tabel III.29 Tujuan Pengendalian Pengadaan dan Perawatan .................................... 86 Tabel III.30 Tujuan Pengendalian Tatakelola Perubahan ........................................... 86 Tabel III.31 Tujuan Pengendalian Tatakelola Konfigurasi.......................................... 87 Tabel III.32 Maturity Level Pengendalian Aplikasi .................................................... 90 Tabel III.33 Tujuan Pengendalian Validasi Masukan................................................. 91 Tabel III.34 Tujuan Pengendalian Pemrosesan .......................................................... 91 Tabel III.35 Tujuan Pengendalian Validasi Keluaran................................................. 92 Tabel IV.1 Skala\ukuran penilaian rekening penting ................................................. 96 Tabel IV.2 Skala Penilaian Kemungkinan Risiko ..................................................... 105 Tabel IV.3 Skala Ukuran Dampak dari Risiko .......................................................... 106 Tabel IV.4 Matrik Penilaian Risiko ........................................................................... 106 Tabel IV.5 Hasil survei entity level control, it general control, application control, pengendalian internal ................................................................................................. 136
xiii
Tabel IV.6 Hasil survei entity level control dan it general control ........................... 140 Tabel IV.7 Hasil survei entity level control dan application control ........................ 141 Tabel IV.8 Hasil survei it general control dan application control .......................... 141 Tabel IV.9 Hasil Pengujian ........................................................................................ 142
xiv
DAFTAR ISTILAH Istilah
Keterangan Committee of sponsoring organization of the treadway commission (COSO) adalah organisasi nirlaba didirikan pada 1985. Pada tahun 1992 COSO mengeluarkan internal control framework yang berisikan panduan dalam membuat dan menjalankan pengendalian internal. Material Statement Kesalahan pada informasi dapat mempengaruhi pengambilan keputusan. Pengukuran dari material error dilakukan berdasarkan penilaian seorang ahli. Pengendalian Tindakan - tindakan yang diambil oleh (control). manajemen, dewan direksi dan pihak lainnya yang dilakukan untuk mengelola risiko dan meningkatkan kemungkinan tercapainya tujuan dan goal- goal yang telah ditetapkan. Pengendalian Internal Pengendalian internal adalah sebuah proses (Internal Control) yang diprakarsai oleh dewan direksi, manajemen dan pihak lainnya yang didisain untuk mendapatkan keyakinan yang memadai (reasonable assurance) agar tercapainya[4]: a. Efektif dan efisien dalam operasional. b. Reabilitas dari laporan keuangan. c. Patuh terhadap hukum dan aturan – aturan. Pengendalian Tingkat Pengendalian yang mendasari proses Entiti (Entity Level pengendalian internal, Pengendalian tingkat Control) entity memberikan dasar dalam menjaga integritas dari sistem informasi akuntansi. Pengendalian umum Struktur, kebijaksanaan dan prosedur yang TI (IT General berpengaruh terhadap komponen – Control). komponen utama sumber daya informasi yang bertujuan untuk memastikan integritas dan ketersediaan layanan teknologi informasi. Pengendalian Aplikasi Pengendalian yang bertujuan untuk (application control). menanggulangi risiko pada tingkat aplikasi, dapat berupa pengendalian yang bersifat otomatis (berada pada kode program) ataupun bersifat manual (standar, prosedur, kebijaksanaan). PCAOB The Public Company Accounting Oversight Board, adalah organisasi yang tidak berorientasi pada keuntungan (non profit coorporation) yang diciptakan sesuai dengan amanat yang terdapat pada undang – undang SOX. Organisasi ini bertujuan untuk COSO
xv
Risiko Bawaan (inherent risk)
Risiko Pengendalian (control risk)
SEC
Top Down Risk Assessment (TDRA)
melindungi kepentingan investor dan lebih jauh melindungi kepentingan umum terkait dengan proses persiapan informasi\laporan keuangan dan independensi dari hasil audit melalui pembuatan standar – standar proses audit laporan keuangan. Suatu ukuran atas penilaian auditor akan kemungkinan terdapat suatu kesalahan salah saji yang material dalam suatu segmen sebelum mempertimbangkan efektivitas pengendalian internal Suatu ukuran atas penilaian auditor akan kemungkinan terdapatnya suatu salah saji yang melebihi nilai salah saji yang masih dapat diterima pada suatu segmen yang tidak tercegah atau terdeteksi oleh pengendalian internal. The United states securities and exchange commission (SEC) adalah badan\departement yang ada di bawah pemerintah Amerika bertugas untuk mengawasi dan menerapkan undang – undang atau peraturan pemerintah terkait dengan surat – surat berharga. Metodologi penilaian risiko dan penentuan ruang lingkup dalam menilai\audit pengendalian internal yang dikeluarkan oleh PCAOB berkenaan dengan undang – undang SOX bagian 404.
xvi