Post on 30-Jan-2018
93
BAB IV Perancangan dan Pengujian
IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal
Rekening & Transaksi PentingSumber Daya TI & Pengendalian
InternalRisiko Penilaian dan Perbaikan
Identifikasi rekening dan transasi
keuangan Penting
Identifikasi sumber daya TI dan
pengendalian InternalPenilaian Risiko
Penilaian dan
Perbaikan
Pengendalian Internal
Identifikasi Rekening
Penting
Identifikasi Transaksi
Penting
Audit Entity Level Control
Inventaris Sumber Daya
TI yang Digunakan Dalam
Mendukung Sistem
Informasi Akuntansi
Mengkaji Dokumen
Proses Keuangan
Menentukan Ruang
Lingkup Penilaian
Identifikasi Ancaman
(Thread Identification)
Determine Potential
Vulnebilities
Penilaian Risiko (Risk
Rating)
Perbaikan Kekosongan
Aktivitas Pengendalian
Internal
Perbaikan Proses
Pengendalian Internal
Berdasarkan Maturity
Level
Kuistioner
Perbaikan Kekosongan
Pengendalian Internal.
Perbaikan Secara
Sistematis Berdasarkan
Maturity Level.
Kuistioner
Inventaris Sumber Daya
TI.
Identifikasi Pengendalian
Internal.
Kuistioner
Penilaian Risiko.
Kuistioner
Appendik 1 – Identifikasi
Rekening.
Inventaris Sumber Daya TI
Struktur Organisasi
Departement TI.
Tinjauan Teknologi –
Sistem Informasi
Akuntansi.
Tinjauan Teknologi –
Jaringan, Akses Jarak
Jauh dan Internet.
Penilaian Risiko
Penilaian Kemungkinan
Terjadinya Risiko.
Pengukuran Akibar dari
Risiko.
Matrik Risiko.
Maturity Level
Pengendalian Akses dan
Wewenang.
Keamanan Jaringan -
Network Security.
Kelangsungan layanan
Sistem Informasi
Akuntansi.
Audit Sistem Informasi
Akuntansi.
Pusat Data.
Operasional Komputer.
Metodelogi
Pengembangan Sistem.
Pengendalian Aplikasi.
Gambar IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal
Tatacara yang akan dipergunakan dalam menilai dan menentukan perbaikan
pengendalian internal pada sistem informasi akuntansi adalah :
1. Identifikasi rekening dan transaksi yang berpengaruh terhadap laporan keuangan –
Berdasarkan hasil analisa pada analisa risiko dari atas ke bawah (SOX Top Down
Risk Analysis), diketahui bahwa objek yang harus dilindungi dari pengendalian
internal adalah rekening dan transaksi penting yang berpengaruh terhadap laporan
keuangan. Untuk dapat membuat framework pengendalian internal yang sesuai
dengan SOX, tesis ini akan menggunakan pendekatan yang sama dengan
94
menempatkan rekening dan transaksi penting yang berpengaruh terhadap laporan
keuangan sebagai objek yang harus dilindungi.
2. Identifikasi sumber daya TI dan pengendalian Internal – Sistem informasi
akuntansi tidak akan lepas dari penggunaan layanan Teknologi Informasi dan
pengendalian internal yang telah ada sebelumnya. Dengan mengetahui layanan
Teknologi Informasi dan pengendalian internal yang digunakan untuk mendukung
sistem informasi akuntansi maka dapat diketahui pengendalian internal yang ada
sehingga dapat dilakukan analisa terhadap ancaman dan kelemahan (thread and
vulnerability) yang dapat mengganggu integritas dari sistem informasi akuntansi.
3. Penilaian Risiko – Seperti telah dijelaskan sebelumnya penggunaan teknologi
informasi memiliki risiko yang dapat mempengaruhi integritas informasi yang
digunakan dalam membuat laporan keuangan. Penilaian risiko merupakan langkah
awal dalam melakukan penerapan pengendalian internal .Setelah diketahui risiko
– risiko yang dapat mengganggu integritas dari rekening dan transaksi maka
barulah dapat dibuat rencana penerapan atau perbaikan pengendalian internal.
Penilaian risiko pada tahap ini dilakukan berdasarkan hasil identifikasi sumber
daya TI dan pengendalian internal yang telah dilakukan pada tahap sebelumnya.
4. Penilaian dan perbaikan Pengendalian Internal – Untuk melakukan penerapan atau
perbaikan, pertama – tama dilakukan penilaian terhadap kinerja dan keberadaan
pengendalian internal yang telah ada juga harapan kedepan dari penerapan
pengendalian internal. Setelah diketahui kinerja, keberadaan dan harapan dari
penerapan pengendalian internal yang ingin dicapai, langkah selanjutnya adalah
merancang perbaikan pengendalian internal berdasarkan tabel perbaikan yang
dibuat mengikuti tingkatan – tingkatan yang terdapat pada maturity level.
95
IV.1.1 Identifikasi Rekening dan Transaksi Keuangan yang Signifikan
IV.1.1.1 Identifikasi Rekening Penting
Rekening merupakan alat untuk mencatat transaksi keuangan, dengan rekening
laporan keuangan disusun. Di dalam rekening semua data keuangan akan dicatat dan
dengan rekening inilah akan dapat diketahui jumlah nilai transaksi yang terjadi seperti
besarnya jumlah piutang perusahaan, biaya - biaya perusahaan, jumlah utang, jumlah
laba dan lain sebagainya. Banyaknya jumlah rekening yang akan digunakan di dalam
perusahaan sangat tergantung dari kebutuhan serta kompleksitas transaksi yang
terjadi. Logikanya semakin besar sebuah perusahaan akan semakin banyak pula jenis
transaksi yang akan terjadi sehingga jumlah rekening yang akan digunakan juga
semakin banyak, demikian pula sebaliknya jika transaksi keuangan suatu perusahaan
tidak begitu kompleks maka jumlah rekening yang digunakan relatif tidak banyak.
Pada dasarnya rekening terbagi menjadi dua yaitu:
a. rekening-rekening neraca atau rekening riil, akan disajikan ke dalam neraca
terdiri dari rekening-rekening: aktiva,modal,kewajiban (sesuai dengan isi
neraca).
b. rekening- rekening rugi laba atau rekening nominal, digunakan untuk
menyusun laporan laba rugi terdiri dari rekening-rekening: pendapatan dan
biaya.
Identifikasi Sumber Daya TI
dan Pengendalian Internal
Penilaian Risiko
Penilaian dan Perbaikan
Pengendalian Internal
Identifikasi Rekening dan Transaksi Keuangan
Penting
96
Rekening atau keterbukaan informasi (corporate disclosure) dikatakan
signifikan/berarti/penting apabila terdapat kemungkinan salah saji (misstatement)
yang secara individual atau kumpulan memiliki efek materialitas terhadap laporan
keuangan (financial statements).
Proses pencarian rekening - rekening penting dapat dimulai dari laporan keuangan.
Hal yang penting untuk diperhatikan adalah risiko overstatement atau understatement.
Dalam menilai rekening - rekening yang penting, penilaian harus dilakukan tanpa
mempertimbangkan efektivitas dari pengendalian internal terhadap rekening -
rekening tersebut.
Ketika menentukan suatu apakah sebuah rekening penting atau tidak, sangat penting
untuk auditor mengevaluasi faktor besarnya (quantitative) dan kualitasnya
(qualitative), Beberapa yang termasuk diantaranya adalah : (PCAOB, 2004):
a. Ukuran dan komposisi dari rekening.
b. Kerentangan akan kehilangan dikarenakan kesalahan atau penipuan (froud).
c. Banyaknya aktivitas, kompleksitas dari rekening dan sub-rekening yang
diproses.
d. Sifat dasar dari rekening.
e. Standar akuntansi yang digunakan dan kompleksitas pelaporan dari rekening.
f. .Aktivitas dari hutang – hutang yang direpresentasikan dalam suatu rekening.
g. Keberadaan transaksi yang dilakukan oleh unit usaha lain yang terdapat pada
rekening.
h. Perubahan karakteristik rekening dari waktu ke waktu.
Tabel IV.1 Skala\ukuran penilaian rekening penting
Ukuran dan komposisi
dari rekening Rekening Besar Rekening Kecil
Kerentangan akan terjadinya
kesalahan atau penipuan
Tinggi Rendah
banyaknya aktivitas,
kompleksitas dan homogeneity
dari individual transaksi sampai
kepada rekening yang
bersangkutan.
volume yang besar, transaksi
yang kompleks, memiliki variasi
yang banyak dari transaksi
Volume yang kecil,
keseragaman yang
rendah.
Sifat dasar dari rekening (contoh
suspense account generally
warrant greater attention)
ditentukan berdasarkan pendapat ditentukan berdasarkan
pendapat
97
exposure terhadap kehilangan
(losses) yang direpresentasikan
oleh rekening (kehilangan akurasi
berhubungan dengan proses
konsolidasi )
Kompleksitas dari mekanisme
akuntansi yang dipergunakan dan
sistem pelaporan
Mekanisme akuntansi
yang standar dan
pelaporan yang
sederhana.
Kemungkinan dari significant
contingent liabilities yang
ditimbulkan dari aktivitas yang
direpresentasikan oleh rekening
Kerugian lebih besar dari remote
possibility.
Sama dengan remote
possibility.
adanya related party transaction
di dalam rekening
Tidak adanya transaksi dari pihak
ketiga yang tercatat pada
rekening.
Tidak adanya transaksi
dari pihak ketiga yang
tercatat pada rekening.
Berubahnya karakteristik dari
rekening Seringnya terjadi perubahan yang
mendasar dari sifat rekening.
Sifat rekening relatif
stabil dari waktu ke
waktu.
IV.1.1.2 Identifikasi Transaksi Penting
Pada PCAOB standar no 2, setiap auditor yang melakukan audit terhadap
pengendalian internal harus melakukan identifikasi terhadap proses - proses untuk
setiap transaksi - transaksi keuangan yang utama di mana memiliki dampak yang
signifikan terhadap rekening atau sekumpulan rekening - rekening. transaksi
keuangan yang utama adalah transaksi yang berpengaruh signifikan terhadap laporan
keuangan yang dikeluarkan oleh perusahaan.
Setiap kelompok/jenis transaksi - transaksi utama memiliki tingkatan risiko bawaan
(inherent risk) yang berbeda sehingga memerlukan penanganan yang berbeda pula.
Standar PCAOB no 2 mengategorikan transaksi - transaksi utama berdasarkan tipe
dari transaksi:
a. Transaksi rutin – adalah kegiatan keuangan yang senantiasa berulang dari
waktu ke waktu. Transaksi jenis ini mencerminkan kegiatan sehari – hari yang
dilakukan oleh organisasi (contoh: penjualan, pembelian, penerimaan kas, gaji,
dll).
b. Transaksi tidak rutin – adalah kegiatan yang dilakukan dengan tidak teratur
(contoh: perhitungan depresiasi, akuisisi, penyesuaian kurs, dll). Ciri khas dari
transaksi tidak rutin adalah data yang digunakan tidak merupakan bagian dari
aliran data pada transaksi rutin.
Sebagian besar proses melakukan berbagai macam aktivitas seperti memasukan data,
mengurutkan data, perhitungan, perbaharuan terhadap master file. dilihat dari sudut
pengendalian internal, hal penting yang harus diperhatikan adalah bagaimana
98
transaksi tersebut dimulai (initiate), diotorisasi (authorize), disimpan (record),
diproses (process) dan pelaporan (report transactions).
Untuk setiap proses bisnis yang penting, beberapa hal yang harus diperhatikan adalah:
a. Pemahaman atas aliran transaksi, termasuk bagaimana transaksi dimulai,
otorisasi, simpan, proses dan laporkan.
b. Identifikasi kemungkinan terjadinya penyelewengan yang dapat mengganggu
integritas dari transaksi.
c. Identifikasi pengendalian yang telah diterapkan untuk menanggulangi risiko
tersebut (poin b).
IV.1.2 Identifikasi Sumber Daya TI dan Pengendalian Internal
IV.1.2.1 Audit Entity Level Control
Pengendalian tingkat entity (Entity Level Control) – Pengendalian tingkat entity
adalah pengendalian yang menyatu dan berpengaruh langsung terhadap organisasi.
Pengendalian tingkat entity memberikan dasar dalam menjaga integritas dari sistem
informasi akuntansi. Pengendalian tingkat entity diterapkan dalam
mengatur/mengarahkan pengendalian internal Terhadap sumber daya TI yang
digunakan dalam mendukung sistem informasi akuntansi.
Identifikasi Rekening dan Transaksi
Keuangan Penting
Penilaian Risiko
Penilaian dan Perbaikan
Pengendalian Internal
Identifikasi Sumber Daya TI
dan Pengendalian Internal
99
Pengendalian tingkat entity merupakan fondasi dari lingkungan pengendalian dalam
menjaga integritas sumber daya teknologi informasi. Keberadaan pengendalian
tingkat entity menegaskan bahwa organisasi menganggap penting pengendalian
internal. Lingkungan pengendalian internal yang kuat berasal dari implementasi
Pengendalian tingkat entity, lemahnya penerapan pengendalian tingkat entity
mengakibatkan meningkatnya risiko dari penggunaan teknologi informasi
dikarenakan tidak adanya landasan yang kuat untuk pengendalian umum TI dan
pengendalian aplikasi agar dapat bekerja seperti yang diharapkan. Lemahnya
pengendalian tingkat entity akan dapat menimbulkan ketidakkonsistenan penerapan
pengendalian internal.
Tata cara penilaian pada tahap ini tidak harus dilakukan dengan cara mengecek
penerapan pengendalian internal secara teknis di lapangan, penilaian cukup dilakukan
dengan cara mempelajari dokumen - dokumen yang menjadi dasar penerapan
pengendalian internal yang dimiliki oleh organisasi, selain daripada itu dilakukan juga
kuesioner untuk mengetahui sejauh mana penerapan pengendalian tingkat entity.
Maksud dari penilaian ini adalah untuk mencatat dan menilai keberadaan dari
pengendalian tingkat entity yang telah diterapkan dalam menjaga integritas dari
sumber daya TI. Dengan mengetahui pengendalian tingkat entity yang telah
diterapkan maka dapat diketahui kekurangan dan kelebihan dari pengendalian
tingkat entity yang telah ada di mana hal tersebut merupakan dasar dalam melakukan
perbaikan dari penerapan pengendalian internal agar dapat menjaga integritas dari
sumber daya TI di dalam mendukung sistem informasi akuntansi.
IV.1.2.2 Inventaris Sumber Daya TI yang Digunakan Dalam Mendukung
Sistem Informasi Akuntansi
Pengendalian umum TI (IT General Control) – Pengendalian umum TI adalah
struktur, kebijaksanaan dan prosedur yang berpengaruh langsung terhadap komponen
– komponen utama sumber daya teknologi informasi. Tujuan dari pengendalian
umum TI adalah memastikan integritas dan ketersediaan layanan teknologi informasi.
Langkah pertama dari tahap ini adalah mendata/mencatat sumber daya TI yang
digunakan dalam menunjang kegiatan sistem informasi akuntansi, kegunaan dari
100
inventaris ini adalah untuk membuat daftar sumber daya TI yang digunakan untuk
mendukung sistem informasi akuntansi beserta pengendalian internal yang ada di
dalamnya.
Dengan memiliki catatan penggunaan sumber daya TI dan pengendalian internal yang
ada di dalamnya, dapat diketahui risiko dari sumber daya TI yang dapat mengganggu
integritas dari informasi yang terdapat pada sistem informasi akuntansi. Proses ini
juga dapat membantu departemen TI agar lebih mengerti bagaimana sistem informasi
akuntansi bekerja sehingga dapat diidentifikasi proses - proses yang membutuhkan
perbaikan layanan TI (IT Service).
IV.1.2.3 Mengkaji Dokumen Proses Keuangan
Pengendalian aplikasi (Application Control) – Pengendalian aplikasi adalah struktur,
kebijaksanaan dan prosedur yang diterapkan di dalam sistem informasi akuntansi.
Pengendalian ini secara didesain untuk mencegah, mendeteksi dan memperbaiki
kesalahan dan ketidaknormalan informasi yang diproses oleh sistem informasi
akuntansi.
Organisasi memiliki banyak bisnis proses dan kontrol - kontrol yang menjaganya,
untuk patuh terhadap SOX organisasi hanya perlu memfokuskan terhadap kontrol -
kontrol yang berhubungan langsung dari pelaporan keuangan. Sangatlah penting
departemen TI berperan serta dalam penerapan pengendalian internal pada sistem
informasi akuntansi agar sesuai terhadap SOX. Banyak cara yang dapat ditempuh
untuk memahami penerapan pengendalian internal pada sistem informasi akuntansi,
salah satunya adalah dengan mempelajari dokumen bisnis proses yang berhubungan
dengan keuangan.
101
IV.1.3 Penilaian Risiko
Tujuan dari penilaian risiko adalah untuk menilai risiko dari penggunaan teknologi
informasi dalam mendukung layanan sistem informasi akuntansi. Untuk menilai
ancaman atau kelemahan dari penggunaan teknologi informasi dapat dilakukan
melalui:
a. Kemungkinan dari sumber ancaman menggunakan kelemahan yang ada.
b. Akibat yang ditimbulkan apabila sumber ancaman berhasil menggunakan
kelemahan yang ada.
c. Implementasi dari pengendalian internal dalam melindungi kelemahan.
IV.1.3.1 Menentukan Ruang Lingkup Penilaian
Tujuan dari tahap ini adalah untuk mengidentifikasi risiko - risiko yang dapat
mengganggu integritas dari informasi yang digunakan dalam membuat laporan
keuangan pada sistem informasi akuntansi. Penting untuk diperhatikan bahwa risiko -
risiko tersebut dapat terjadi di berbagai lokasi atau tingkatan dalam organisasi.
Penilaian risiko yang akan dilakukan pada tahap ini diasumsikan dapat terjadi pada :
1. Tingkatan Rekening
2. Tingkatan Transaksi
Identifikasi Rekening dan Transaksi
Keuangan Penting
Identifikasi Sumber Daya TI
dan Pengendalian Internal
Penilaian dan Perbaikan
Pengendalian Internal
Penilaian Risiko
102
Risiko terhadap tingkatan rekening atau tingkatan transaksi merupakan risiko yang
berdampak terhadap integritas dari rekening atau transaksi. Sebelumnya telah
dilakukan identifikasi terhadap rekening dan transaksi – transaksi penting di mana
rekening dan transaksi – transaksi tersebut memiliki pengaruh lebih dibandingkan
dengan rekening dan transaksi lainnya. Rekening dan transaksi penting yang telah
teridentifikasi merupakan patokan dalam melakukan penilaian risiko.
Dalam melakukan penilaian risiko framework ini akan menggunakan pendekatan Top
Down yang akan digunakan untuk membatasi ruang lingkup dari penilaian risiko
penggunaan sistem informasi akuntansi yang berpengaruh terhadap integritas dari
laporan keuangan. Penilaian Top Down yang digunakan pada tahap ini berguna untuk
membatasi ruang lingkup dari penilaian agar fokus terhadap risiko – risiko yang
mengganggu integritas dari laporan keuangan.
Penilai ini dimulai dengan menilai rekening dan transaksi yang berpengaruh langsung
terhadap laporan keuangan. Selanjutnya dari rekening dan transaksi tersebut
diidentifikasi proses bisnis yang berpengaruh terhadap rekening dan transaksi
tersebut. Untuk setiap proses bisnis akan dilakukan identifikasi risiko – risiko yang
mungkin timbul terutama risiko – risiko yang disebabkan oleh penggunaan teknologi
informasi, dalam tahap ini dilakukan juga penilaian terhadap risiko yang ditimbulkan
dari kegagalan pengendalian internal yang dapat mengakibatkan terjadinya
penipuan/kecurangan (fraud). Langkah terakhir dari penilaian risiko secara Top Down
adalah dengan memberikan penilaian\pembobotan terhadap risiko – risiko yang telah
teridentifikasi berdasarkan intensitas kejadian dan dampak yang mungkin
ditimbulkan.
IV.1.3.2 Identifikasi Ancaman (Thread Identification)
Untuk menilai ancaman (Thread) dari penggunaan sistem informasi akuntansi,
pendekatan yang digunakan akan bersifat top down dengan mendasarkan atas
ancaman – ancaman yang mungkin mengganggu integritas dari rekening dan transaksi
yang telah diidentifikasi pada tahap sebelumnya. Proses penentuan ancaman yang
dilakukan pada tahap ini dilakukan berdasarkan hasil analisa ruang lingkup (scope)
yang telah dilakukan sebelumnya agar menghasilkan daftar ancaman yang
berpengaruh langsung terhadap integritas dari laporan keuangan.
103
Berikut ini adalah pendekatan top down dalam mengidentifikasi ancaman – ancaman
yang dapat mengganggu integritas dari laporan keuangan :
1. Menentukan rekening dan transaksi penting yang berpengaruh terhadap
laporan keuangan.
2. Menentukan ancaman yang dapat mengganggu integritas dari rekening dan
transaksi.
3. Menentukan ancaman – ancaman yang bersifat teknik, fisik dan administratif.
Tujuan dari identifikasi ancaman adalah mengidentifikasi sumber dari ancaman.
sumber ancaman adalah suatu keadaan atau kejadian yang berpotensi menyebabkan
terjadinya keraguan atas integritas dari informasi yang terdapat/diproses pada sistem
informasi akuntansi. Secara umum sumber ancaman terhadap sistem informasi
akuntansi adalah:
a. Alam - Banjir, gempa, angin puting beliung, longsor.
b. Manusia - Kejadian yang disebabkan oleh pengguna atau bukan pengguna
dapat berupa sesuatu yang tidak disengaja (pemasukan data yang tidak hati -
hati), ataupun yang sengaja (penyerangan terhadap jaringan, akses ilegal
terhadap data yang dilindungi, virus).
c. Lingkungan - Mati listrik, polusi, zat/gas kimia beracun.
IV.1.3.3 Menentukan Kelemahan yang Potensial
Berbeda dengan proses identifikasi ancaman (thread) yang dilakukan berdasarkan
rekening dan transaksi penting yang berpengaruh terhadap integritas dari laporan
keuangan. Identifikasi kelemahan (vulnerabilities) dilakukan berdasarkan ancaman
penggunaan teknologi informasi dan pengendalian internal yang telah ada.
Pendekatan yang diambil untuk menilai kelemahan bersifat dari bawah ke atas
(bottom up) bertolak belakang dengan proses identifikasi kelemahan (top down).
Pendekatan dari bawah ke atas (bottom up) bermula dari identifikasi pengendalian
internal yang telah ada dalam menjaga/mengurangi risiko dari ancaman – ancaman
yang telah diidentifikasi pada tahap sebelumnya.
104
Berikut ini adalah pendekatan dari bawah ke atas yang digunakan dalam
mengidentifikasi kelemahan yang dapat mengganggu integritas dari rekening dan
transaksi yang digunakan dalam membuat laporan keuangan :
1. Identifikasi pengendalian internal yang berhubungan langsung dengan
ancaman.
2. Menetapkan kekurangan atau ketiadaan pengendalian internal untuk menjaga
suatu risiko tertentu.
3. Membuat bagan risiko.
4. Mengelompokkan kekurangan atau ketiadaan pengendalian internal
berdasarkan kompleksitasnya.
Dalam mengidentifikasi kelemahan penggunaan teknologi informasi dalam
mendukung sistem informasi akuntansi, perlu untuk dilihat sifat dan kompleksitas dari
pengendalian. Kelemahan tersebut timbul dari kesalahan atau kelemahan prosedur,
desain dan implementasi pengendalian internal yang ada . Pengendalian internal pada
sistem informasi akuntansi memiliki keunikan dibanding dengan pengendalian
internal konvensional karena pengendalian internal pada sistem informasi akuntansi
dibuat berdasarkan penggunaan teknologi informasi. Oleh karena itu dalam
melakukan identifikasi perhatian harus lebih ditekankan pada pengendalian internal
yang bersifat otomatis karena memiliki kompleksitas dan dampak yang lebih tinggi
dibandingkan pengendalian yang bersifat manual.
IV.1.3.4 Penilaian Risiko (Risk Rating)
Untuk menentukan nilai kemungkinan (likelihood rating) yang mencerminkan
kemungkinan kelemahan yang berpotensi merusak integritas dari sistem informasi
akuntansi. Berikut ini beberapa faktor yang dapat menjadi perhatian dalam
menentukan nilai kemungkinan :
a. Motivasi, keahlian dan kesempatan dari sumber ancaman.
b. Sifat bawaan dari kelemahan.
c. Keberadaan dan efektivitas dari pengendalian internal.
Kemungkinan dari kelemahan yang potensi menjadi ancaman dapat dikategorikan
menjadi tinggi, sedang dan rendah. Berikut ini adalah penjelasannya :
105
Tabel IV.2 Skala Penilaian Kemungkinan Risiko
Tingkat
Kemungkinan
Penjelasan
Tinggi Sumber ancaman sangat termotivasi dan memiliki kemampuan
sedangkan pengendalian yang ada berjalan tidak Efektif dalam
melindungi kelemahan yang ada.
Sedang Sumber ancaman sangat termotivasi dan memiliki kemampuan,
pengendalian yang ada dirasakan dapat menghambat
dipergunakannya kelemahan yang ada.
Rendah Sumber ancaman kurang memiliki motivasi dan kemampuan,
atau pengendalian yang ada dapat mencegah atau mengurangi
dipergunakannya kelemahan yang ada.
Langkah berikutnya dalam menilai sebuah risiko adalah dengan memperkirakan
dampak dari risiko tersebut. Secara umum akibat dari kegagalan pengendalian
internal adalah terjadinya kehilangan (loss), penurunan (degradation) atau kombinasi
di antara keduanya dalam hal integritas, ketersediaan dan kerahasiaan (integrity,
availability dan confidentiality) dari sistem informasi akuntansi. Berikut ini adalah
deskripsi singkat dari:
a. Hilangnya integritas – Integritas sistem dan data merupakan sebuah kebutuhan
yang mengharuskan terlindunginya informasi dari perubahan atau kehilangan
yang dilakukan secara tidak sah. Integritas dari sistem informasi akuntansi
dikatakan hilang apabila terjadi perubahan terhadap informasi yang tersimpan
pada sistem informasi akuntansi baik dilakukan dengan sengaja atau tidak
sengaja.
b. Hilangnya Kerahasiaan – Menjaga kerahasiaan dari sistem dan data
merupakan usaha untuk melindungi informasi dari pengungkapan yang tidak
semestinya. Akibat dari pengungkapan yang tidak sah tersebut dapat berupa
rusaknya citra individu, organisasi atau kelompok di muka publik.
c. Hilangnya ketersediaan – Hilangnya ketersediaan layanan sistem informasi
akuntansi dapat mengganggu produktivitas sistem akuntansi. Hilangnya
ketersediaan layanan tidak berpengaruh langsung terhadap integritas dari
sistem informasi akuntansi, akan tetapi apabila tidak ditangani dengan serius
maka dampak dari risiko tersebut akan menjalar mempengaruhi integritas dari
sistem informasi akuntansi.
106
Tabel IV.3 Skala Ukuran Dampak dari Risiko
Dampak Penjelasan
Tinggi Mengakibatkan hilangnya integritas dari sistem informasi
akuntansi. Hal ini mengakibatkan untuk sementara waktu
dihentikannya layanan sistem informasi akuntansi. Pada
tingkatan ini terkadang aspek kerahasiaan (confidentiality) dan
ketersediaan (availability) sudah tidak dapat dipertahankan.
Sedang Tidak dapat atau terganggunya layanan sistem informasi
akuntansi, terdapat kehilangan aset – aset fisik ataupun sumber
daya informasi. Integritas dari sistem informasi akuntansi masih
dapat terjaga tetapi aspek kerahasiaan (confidentiality) dan
ketersediaan (availability) mulai terganggu.
Rendah Mengakibatkan terganggunya atau tidak bisa diberikannya
layanan sistem informasi akuntansi. Risiko tersebut tidak
berpengaruh terhadap integritas dari sistem informasi akuntansi
hanya mempengaruhi ketersediaan (availability) layanan sistem
informasi akuntansi.
Setelah diketahui kemungkinan (likelihood) dan akibat dari risiko, langkah
selanjutnya adalah dengan membuat metrik risiko (risk matrix) berdasarkan :
a. Kemungkinan terjadinya risiko (Likelihood).
b. Dampak dari risiko tersebut.
Tingkatan skala risiko merupakan hasil perkalian antara kemungkinan terjadinya
risiko dan dampak dari risiko tersebut. tabel risiko adalah tabel 3x3 yang berisikan
skala kemungkinan (tinggi, sedang, rendah) dan skala dari dampak risiko (tinggi,
sedang, rendah). tabel risiko tidak terbatas hanya 3x3, tabel risiko dapat pula berupa
tabel 4x4 atau 5x5.
Tabel IV.4 Matrik Penilaian Risiko
Kemungkinan
Risiko (likelihood)
Akibat (impact)
Rendah
(10)
Sedang
(50)
Tinggi
(100)
Tinggi (1.0) Rendah
10 x 1.0 = 1
Sedang
50 x 1.0 = 50
Tinggi
100 x 1.0 = 100
Sedang (0.5) Rendah
10 x 0.5 = 5
Sedang
50 x 0.5 = 25
Sedang
100 x 0.5 = 50
Rendah (0.1) Rendah
10 x 0.1 = 1
Rendah
50 x 0.1 = 5
Rendah
100 x 0.1 = 10
Contoh tabel risiko pada tabel menggunakan skala tinggi, sedang dan rendah.
penentuan skala ini merupakan sesuatu yang subjektif. Skala tersebut sebenarnya
menunjukkan justifikasi dari tingkat kemungkinan terjadinya risiko atau dampak yang
107
mungkin ditimbulkan. Perkalian dari nilai kemungkinan terjadinya risiko dan nilai
akibat dari risiko tersebut menunjukkan nilai kegentingan (urgency) dari sebuah
risiko.
IV.1.4 Perbaikan Pengendalian Internal
IV.1.4.1 Perbaikan Kekosongan Aktivitas Pengendalian Internal
Setelah mengetahui tingkatan risiko dari ancaman dan kelemahan penggunaan
teknologi informasi, dalam menerapkan pengendalian internal sebaiknya dilakukan
analisa terlebih dahulu keuntungan dan kerugiannya. :
a. Menentukan dampak implementasi/perbaikan dari pengendalian internal .
b. Menentukan dampak apabila tidak dilakukan implementasi/perbaikan dari
pengendalian internal.
c. Perkirakan biaya implementasi/perbaikan pengendalian internal.
d. Menilai biaya implementasi/perbaikan dibandingkan dengan manfaat yang
didapat terhadap sistem informasi akuntansi.
Dalam menerapkan pengendalian internal terhadap risiko yang ditimbulkan oleh
manusia, beberapa pertimbangan perlu dilakukan sebelum
mengimplementasikan/perbaikan pengendalian internal. Risiko yang ditimbulkan oleh
manusia dipengaruhi oleh motivasi untuk melakukan dan biaya yang dikeluarkannya.
Suatu kelemahan apabila tidak menarik (tidak termotivasi) dan memerlukan biaya
Identifikasi Rekening dan Transaksi
Keuangan Penting
Identifikasi Sumber Daya TI
dan Pengendalian Internal
Penilaian Risiko
Penilaian dan Perbaikan
Pengendalian Internal
108
yang besar untuk melakukannya cenderung lebih aman dibandingkan dengan
kelemahan yang memiliki nilai komersial dan memerlukan biaya yang relatif murah.
Dalam menentukan pengendalian internal sebaiknya manajemen mengikuti urutan
langkah – langkah proses di bawah ini :
a. Menentukan prioritas - Berdasarkan tingkatan risiko hasil dari penilaian risiko
sebelumnya, tentukan prioritas risiko implementasi\perbaikan berdasarkan
tingkat risiko yang dimilikinya.
b. Mengevaluasi rekomendasi pengendalian internal - Dikarenakan sifat dan
karakteristik yang berbeda-beda dari setiap risiko, risiko yang memiliki tingkat
risiko tinggi tidak langsung diterapkan pengendalian internal. Evaluasi
terhadap penerapan pengendalian internal dilakukan berdasarkan analisa biaya
dan manfaat terhadap penerapan pengendalian internal tersebut.
c. Tentukan Pengendalian Internal - Setelah melakukan analisa biaya dan
manfaat, manajemen menentukan pengendalian yang dirasa paling efektif
dalam mengurangi risiko dari penggunaan teknologi informasi. Pengendalian
yang dipilih haruslah merupakan pengendalian yang sesuai dengan kebijakan
dan prosedur yang ada pada organisasi.
d. Tentukan yang bertanggung Jawab - Tentukan individu yang memiliki
pengalaman dan keahlian dalam mengimplementasi dan menjalankan
pengendalian internal. Individu tersebut dapat berasal dari internal organisasi
atau didapatkan dengan cara alih daya (outsourcing).
e. Implementasikan pengendalian internal – Melakukan implementasi dari
pengendalian internal.
IV.1.4.2 Perbaikan Secara Sistematis Berdasarkan Maturity Level
Selain memperbaiki kekosongan pengendalian internal berdasarkan hasil dari analisa
risiko, diperlukan juga suatu mekanisme perbaikan yang bersifat menyeluruh tidak
terbatas hanya kepada aspek teknis semata. Apabila perbaikan hanya difokuskan
untuk mengisi kekosongan pengendalian internal, perbaikan tersebut hanya bersifat
sebagai suatu respons dari sebuah kejadian (accidental). Perbaikan dengan cara
mengisi kekosongan pengendalian semata tidaklah dapat disebut sebagai suatu
pengendalian internal karena seyogianya suatu pengendalian internal dibangun
109
berdasarkan lima komponen pengendalian internal seperti yang dijabarkan pada
COSO.
Untuk mengatasi permasalahan tersebut , Diperlukan suatu Tatacara penerapan
pengendalian internal yang berisikan tata cara penilaian, ukuran dan panduan
perbaikan pengendalian internal. Penerapan pengendalian internal dapat
dikelompokkan menjadi suatu maturity level yang berkisar antara non-existent (level
0) sampai dengan Optimized (level 5), pendekatan ini diambil dari maturity level yang
dimiliki oleh Software Engineering Institute (SEI). Penggunaan maturity level
bertujuan untuk membantu - Manajemen dalam melakukan benchmark dan self-
assessment yang bertujuan untuk mengetahui penerapan pengendalian internal.
a. Membandingkan penerapan pengendalian internal dengan organisasi yang
lain.
b. Membantu menentukan kekurangan dan merancang perbaikan yang sesuai
dengan yang dibutuhkan.
Maturity level didesain sebagai profil dari aktivitas pengendalian internal yang
menggambarkan kondisi saat ini dan perbaikan yang harus dilakukan. Maturity level
bukanlah merupakan sebuah batas – batas tertentu (threshold) yang harus dipenuhi.
Maturity level membantu dalam mengidentifikasi kekurangan dari penerapan
pengendalian internal dan memberikan panduan dalam menentukan prioritas dari
perbaikan yang harus dilakukan. Maturity level merupakan sebuah tingkatan
kematangan yang dapat digunakan sebagai ukuran dalam menilai penerapan
pengendalian internal. Maturity Level terdiri dari enam tingkatan mulai dari non-
existent (level 0) sampai dengan Optimized (level 5). Keenam tingkatan tersebut
apabila dilihat dari sudut pandang pengendalian internal adalah :
a. Level 1 - Pengendalian internal telah mulai untuk diterapkan. Kinerja dari
pengendalian internal ini belum direncanakan dan dinilai dengan baik. Kinerja
masih tergantung terhadap pengetahuan dan usaha perindividu. Kinerja dari
pengendalian internal masih diasosiasikan dengan kinerja perorangan. telah
ada kesadaran bahwa diperlukan penerapan pengendalian internal .
b. Level 2 - Kinerja dari pengendalian internal telah direncanakan dan tercatat.
Kinerja merupakan hasil dari sebuah prosedur baku yang dimiliki organisasi.
110
Pengendalian telah mengikuti standar dan kebutuhan (requirements) yang
diakui keberadaannya. Telah dilakukan Penilaian untuk mengawasi
pengendalian internal. Perbedaan mendasar dengan level 1 adalah kinerja dari
pengendalian internal telah direncanakan dan dikelola.
c. Level 3 - Pengendalian internal telah dilakukan berdasarkan standar yang
diakui dan telah disesuaikan dengan keadaan organisasi. perbedaan utama
dengan level 2 adalah pengendalian internal telah direncanakan dan dikelola
pada tingkatan organisasi.
d. Level 4 - Pengukuran dari kinerja pengendalian internal. telah dilakukan dan
dianalisa. proses ini mengarahkan kepada pengertian kuantitatif dari proses
pengendalian internal dan keahlian untuk memperkirakan bagaimana cara
untuk meningkatkan kinerja dari pengendalian internal. Tujuan dari kinerja
telah dikelola, dan kualitas dari hasil pengendalian internal telah diukur secara
kuantitatif. Perbedaan dengan level 3 adalah pengendalian internal telah
diukur secara kuantitatif dan terkendali.
e. Level 5- Telah ada target kuantitatif dari kinerja dan efisien pengendalian
internal yang dibuat berdasarkan tujuan umum pengendalian internal.
Perbaikan yang berkesinambungan terhadap tujuan dari pengendalian internal
dilakukan berdasarkan timbal balik dari pelaksanaan proses yang terdefinisi
dan berdasarkan inovasi - inovasi dan teknologi. Perbedaan mendasar dengan
level 4 adalah proses pengendalian internal yang telah terdefinisi dilakukan
perbaikan yang berkelanjutan berdasarkan pengertian dampak yang terukur
dari perubahan proses pada pengendalian internal .
IV.2 Aktivitas Pengendalian Internal
IV.2.1 Pengendalian akses
Integritas dari sistem informasi akuntansi bergantung pada pengendalian akses
terhadap peran dan wewenang yang ada pada sistem informasi akuntansi dan sumber
daya teknologi informasi (IT Resource), Untuk membatasi akses terhadap sistem
informasi akuntansi diperlukan pengendalian yang bertujuan mencegah terjadinya
penyalah gunakan wewenang. Pengendalian yang akan diterapkan adalah dengan
111
melakukan manajemen identitas,pengendalian wewenang dan tanggung jawab pada
sistem informasi akuntansi dan sumber daya TI yang mendukungnya.
IV.2.1.1 Tujuan Pengendalian (Control Objective)
a. Tatakelola Peran dan Tanggung Jawab - Integritas dari sebuah transaksi sangat
ditentukan oleh proses pengawasan, idealnya fungsi pengawasan dan fungsi
pelaksanaan dilakukan oleh dua kelompok yang berbeda. Untuk mencegah
terjadinya penyalah gunakan wewenang, harus ada prosedur formal dalam
melakukan registrasi dan deregistrasi pengguna sistem untuk mengatur pemberian
dan pengambilan akses/wewenang. Audit terhadap akses-akses dan wewenang
untuk setiap pengguna sistem sebaiknya dilakukan secara berkala menggunakan
prosedur formal. Setiap pengguna harus memiliki identitas yang unik, tidak dapat
digunakan secara bersama - sama. Setiap kali pengguna masuk kepada sistem,
sistem mencatat setiap aktivitas yang dianggap penting yang nantinya dapat
digunakan sebagai bukti atau bahan penilaian.
b. Password Pengguna (End User Password) - Tersedianya standar penggunaan
password yang menjelaskan bagaimana standarisasi password yang dapat
dipergunakan pada sistem informasi akuntansi. Standar tersebut minimal
menjelaskan komposisi minimal dari password (lebar minimal, kombinasi huruf
dan angka), lamanya password tersebut dapat dipergunakan, Banyak kesalahan
dalam memasukan password. Mekanisme pengawasan terhadap penggunaan
password sebaiknya dilakukan secara otomatis untuk menghindari kekeliruan atau
penyalah gunakan.
c. Keamanan Identitas - Akses kepada Sistem informasi akuntansi dan infrastruktur
teknologi informasi harus dikontrol oleh prosedur yang mengutamakan
keamanan. Apabila menggunakan password maka mekanisme penggunaannya
mengikuti kebijakan password management yang telah ada. Setiap pengguna
harus memiliki identitas yang unik, tidak dapat digunakan secara bersama - sama.
Setiap kali pengguna masuk ke sistem, sistem mencatat setiap aktivitas yang
dianggap penting yang nantinya dapat digunakan sebagai bukti atau bahan
pengawasan.
d. Keamanan Akses Fisik - Pengendalian fisik sistem informasi akuntansi haruslah
dapat mencegah atau menghalangi sabotase terhadap perangkat keras pemrosesan
dan penyimpanan sistem informasi akuntansi. Harus ada yang bertanggung jawab
112
memastikan keamanan fisik sistem informasi akuntansi, koordinasi harus
senantiasa dilakukan antara departemen TI dan penanggung jawab keamanan
gedung\fasilitas. Pengendalian fisik sistem informasi akuntansi mengatur pihak –
pihak yang dapat mengaksesnya serta prosedur pengaksesannya. Tidak semua
orang dapat mengakses langsung infrastruktur dari sistem informasi akuntansi
IV.2.1.2 Maturity Level
Level 1 - Penilaian risiko terkait dengan risiko dari penyalah gunakan akses dan
wewenang pada sistem informasi akuntansi belum dilakukan secara formal. Karena
tidak didasarkan atas analisa risiko maka penerapan pengendalian akses pada sistem
informasi akuntansi masih terbatas berdasarkan inisiatif pengembang sistem informasi
akuntansi. Informasi yang berhubungan dengan pengendalian akses dan wewenang
belum dapat dikomunikasikan dengan baik karena pelaksanaan pengendalian akses
dan wewenang masih bersifat intuitif.
Level 2 - Organisasi mulai memahami pentingnya pengendalian akses. standar dan
prosedur pengendalian akses telah dibuat meskipun belum mencakup seluruh tujuan
pengendalian (control objective) pengendalian akses. Penilaian risiko secara formal
terhadap penyalah gunakan akses dan wewenang mulai dilakukan. Meskipun
demikian organisasi masih menganggap bahwa penyalahgunaan akses dan wewenang
pada sistem informasi akuntansi semata – mata merupakan masalah pada domain TI
semata. Pada tahap pengembangan sistem informasi akuntansi, pengendalian akses
telah menjadi salah satu kebutuhan (requirements) selain kebutuhan fungsionalitas
dari sistem informasi akuntansi.
Level 3 - Telah ada bagian atau individu yang bertanggung jawab mengatur
pengendalian akses dan wewenang pada sistem informasi akuntansi beserta sumber
daya TI yang mendukungnya. Pemberian akses dan wewenang pada sistem informasi
akuntansi dilakukan berdasarkan prinsip – prinsip akuntansi dengan tujuan untuk
menghindari penyalahgunaan wewenang. Standar dan prosedur pengendalian akses
dan wewenang telah terdefinisi dengan baik akan tetapi ketersediaan Informasi untuk
melakukan pengawasan masih belum tersedia dengan cepat dan terstruktur. Telah
dilakukan mekanisme pengawasan pengendalian akses pada sistem informasi
113
akuntansi, Pada saat ini mekanisme pengawasan masih dilakukan dengan semi-
otomatis.
Level 4 - Koordinasi antara bagian IT, keuangan dan SDM dalam mengatur
pengendalian akses pada sistem informasi akuntansi dan sumber daya TI yang
mendukungnya telah mulai dibangun meskipun pelaksanaannya masih tumpang
tindih. Risiko dari penyalah gunakan akses dan wewenang pada sistem informasi
akuntansi telah dikategorikan sebagai risiko yang dapat mengganggu integritas dari
sistem informasi akuntansi. Setiap permohonan pengguna baru atau
penambahan/pengurangan wewenang pada sistem informasi akuntansi dilakukan
secara tertulis dan diotorisasi pelaksanaannya oleh yang berwenang. Telah dilakukan
pencatatan perilaku akses (profile) yang dilakukan untuk mendukung proses
pengawasan dan penyidikan. Hasil dari pencatatan tersebut kemudian dianalisa secara
otomatis atau manual untuk mengetahui\mencegah apabila terjadi penyalahgunaan
akses atau wewenang.
Level 5 - Koordinasi departemen TI , keuangan dan SDM dalam pemberian dan
pengawasan akses dan wewenang yang ada pada sistem informasi akuntansi beserta
sumber daya TI yang mendukungnya telah terjalin dengan baik di mana peran dan
tanggung jawab tiap – tiap departemen telah terdefinisi dengan baik. Proses
pengendalian akses dan wewenang senantiasa dilakukan perbaikan menyesuaikan
dengan perubahan kondisi internal dan eksternal (regulasi, standar akuntansi).
Informasi yang dibutuhkan untuk melakukan pengawasan telah terdefinisi dengan
baik dan didistribusikan dengan cepat kepada yang membutuhkannya. Pengawasan
akses dan wewenang dilakukan bersama – sama antara departemen TI, departemen
keuangan dan SDM, proses pengawasan yang bersifat otomatis diimbangi dengan
pengawasan manual (audit) yang telah dilakukan terkoordinasi dengan proses audit
organisasi secara menyeluruh.
IV.2.1.3 Peran dan Tanggung Jawab
a. Kepala Layanan Sistem Informasi – membuat standar/prosedur pengendalian
akses pada sistem informasi akuntansi.
b. Kepala Keamanan Informasi – membuat standar dan prosedur pengendalian akses
sumber daya informasi (jaringan, database, server). Merancang mekanisme
114
otentifikasi sistem informasi akuntansi dan sumber daya informasi yang
mendukungnya.
c. Petugas Keamanan Informasi - menjalankan dan mengotorisasi setiap
permohonan pemberian akses sumber daya informasi. Melakukan analisa risiko
terhadap akses yang akan atau telah diberikan.
d. Kepala Keamanan Gedung – berkoordinasi dengan keamanan informasi untuk
mengatur keamanan fisik fasilitas – fasilitas pendukung sistem informasi
akuntansi.
IV.2.2 Keamanan Jaringan
Sistem informasi akuntansi harus dilindungi dari ancaman - ancaman yang dilakukan
melalui media jaringan (network). Salah satu cara yang dapat dilakukan adalah
dengan membatasi akses langsung terhadap sistem. Untuk menghindari pencurian dan
manipulasi data yang ditransmisikan melalui jaringan wajib dilakukan encryption.
Sebisa mungkin sistem informasi akuntansi tidak dapat diakses oleh jaringan publik,
apabila hal ini tidak dapat dihindarkan maka penggunaan virtual private network
harus dilakukan sesuai dengan kebijakan keamanan komunikasi dan kebijakan akses
jarak jauh.
IV.2.2.1 Tujuan Pengendalian (Control Objective)
a. Keamanan komunikasi - Setiap informasi yang melalui jaringan wajib di-
encryption, Standar encryption yang digunakan mengikuti kebijaksanaan
keamanan informasi yang telah ada. Penggunaan standar encryption di luar dari
yang telah ditetapkan tidak dibenarkan.
b. Akses jarak jauh (Remote Access) - Terdapat kebijaksanaan yang mengatur
mekanisme akses jarak jauh. Kebijaksanaan tersebut minimal mengatur
bagaimana memulai dan mengakhiri sebuah hubungan (connection) pada sistem
informasi akuntansi, teknologi yang digunakan, mekanisme otentifikasi, batas
waktu sebuah koneksi dalam keadaan kosong (idle) dan juga batas waktu lamanya
sebuah koneksi dilakukan. Selain daripada itu dijelaskan juga tanggung jawab dan
wewenang dalam pengelolaan akses jarak jauh.
IV.2.2.2 Maturity Level
Level 1 - Penilaian risiko dari keamanan jaringan telah mulai dilakukan meskipun
pelaksanaannya tidak menyeluruh dan berkesinambungan. Pelaksanaan pengendalian
115
keamanan jaringan masih bersifat khusus. Respons terhadap gangguan keamanan
jaringan masih bersifat reaktif.
Level 2 - Telah ada yang bertanggung jawab dan mengatur pelaksanaan pengendalian
keamanan jaringan. Telah dilakukan penilaian risiko keamanan jaringan pada sistem
informasi akuntansi meskipun pelaksanaannya masih terfokus pada infrastruktur
jaringan yang ada. Pelaporan masih bersifat asal-asalan, tidak lengkap dan masih
terfokus kepada masalah teknis semata. Dokumentasi dari pengendalian keamanan
jaringan masih sulit untuk ditemukan. Dokumentasi dari pengendalian keamanan
jaringan masih sulit untuk ditemukan. Pengawasan hanya berdasarkan laporan yang
ada tidak dilakukan secara real time.
Level 3 - Organisasi telah memiliki standar dan prosedur yang mengatur keamanan
komunikasi dan mekanisme akses jarak jauh. Manajemen telah sadar akan risiko yang
ditimbulkan dari penggunaan media komunikasi elektronik, penilaian risiko telah
dilakukan dengan menggabungkan antara aspek teknis (infrastruktur jaringan) dan
non teknis (nilai data). Standar dan prosedur pengendalian keamanan jaringan telah
mulai diimplementasikan tetapi belum dilakukan pengukuran. Standar dan prosedur
keamanan jaringan telah didokumentasikan berdasarkan kebutuhan pengendalian
internal pada sistem informasi akuntansi. Pengawasan terhadap kejadian (incident)
keamanan jaringan telah mulai dilakukan secara real time.
Level 4 - Telah dibentuknya tim keamanan jaringan yang berisikan gabungan antara
departemen TI dan departemen Keuangan. Tugas dari tim tersebut adalah mengawasi
dan merancang kebijaksanaan keamanan jaringan. Penilaian risiko telah dilakukan
dengan terencana mencakup hampir sebagian besar infrastruktur jaringan yang ada ,
penilaian risiko secara rutin dilakukan dan dilakukan berdasarkan standar/framework
tertentu. Manajemen senantiasa mengomunikasikan program – program keamanan
jaringan baik dengan cara pembuatan pamflet/buletin atau dengan melakukan
pelatihan. Telah dibuat Target dan metrik keamanan jaringan akan tetapi proses
pelaksanaan dan pengukuran belum dilakukan dengan konsisten.
Level 5 - Manajemen telah dapat memastikan bahwa kegagalan keamanan jaringan
tidak akan mengganggu operasional dari sistem informasi akuntansi. Tes dan
116
penilaian risiko yang bersifat global telah dilakukan dimana hasil dari tes tersebut
dijadikan masukan untuk melakukan perbaikan pengendalian keamanan jaringan.
Poin - poin dari kebijaksanaan keamanan jaringan telah dilakukan sepenuhnya dan
secara berkala dilakukan pembandingan (benchmark) dengan pihak luar. Target dan
metrik telah dilakukan penilaian dan pengukuran dengan konsisten.
IV.2.2.3 Peran dan Tanggung Jawab
a. Kepala Keamanan Informasi & Jaringan – Membuat kebijaksanaan (polesi)
pengendalian keamanan jaringan, mengawasi jalannya penerapan pengendalian
keamanan jaringan.
b. Kepala Keamanan Informasi – berkoordinasi dengan kepala keamanan sistem dan
jaringan untuk menentukan prioritas dari penerapan pengendalian keamanan
jaringan Merancang mekanisme otentifikasi penggunaan sistem informasi
akuntansi secara jarak jauh.
c. Analis Keamanan Jaringan – Melakukan analisa kebutuhan keamanan
komunikasi dan pengendalian akses jarak jauh. Melakukan analisa terhadap risiko
dan ancaman yang mungkin terjadi. Melakukan validasi terhadap penerapan dari
pengendalian keamanan jaringan.
d. Admin Jaringan atau Petugas Keamanan Informasi – Melakukan komunikasi
dengan kepala keamanan sistem dan jaringan atas penilaian risiko dan ancaman
dari keamanan pengendalian jaringan. Menjalankan standar dan prosedur
pengendalian keamanan jaringan. Melakukan konfigurasi infrastruktur keamanan
komunikasi serta konfigurasi pengendalian akses jarak jauh.
IV.2.3 Kelangsungan Layanan Sistem Informasi Akuntansi
Untuk menjamin kelangsungan sistem informasi akuntansi, diperlukan rencana untuk
menghadapi kejadian - kejadian yang mengganggu kelangsungan layanan sistem
informasi akuntansi. Rencana tersebut haruslah bersifat menyeluruh mencakup
seluruh komponen - komponen penunjang sistem informasi akuntansi .
IV.2.3.1 Tujuan Pengendalian (Control Objective)
a. Kelangsungan Layanan dan penilaian risiko - Harus dilakukan identifikasi
terhadap kejadian yang dapat mengganggu kelangsungan sistem informasi
akuntansi, dilakukan juga penilaian kemungkinan terjadi dan dampak yang
117
ditimbulkannya (business impact analysis). Rencana kelangsungan layanan sistem
informasi akuntansi harus tetap menjunjung tinggi prinsip – prinsip akuntabilitas.
Minimal isi dari rencana kelangsungan layanan sistem informasi akuntansi
berisikan panduan, peran dan tanggung jawab, prosedur serta mekanisme
komunikasi pasca terjadinya bencana.
b. Pengujian, pemeliharaan dan penilaian ulang Rencana Kelangsungan Layanan -
Rencana kelangsungan layanan sistem informasi akuntansi bukanlah merupakan
sesuatu yang statis, harus senantiasa dilakukan pelatihan dan juga perbaikan untuk
memastikan kesiapan dalam menghadapi bencana. Rencana kelangsungan sistem
informasi akuntansi harus senantiasa dilakukan pengujian dan perbaikan (update)
untuk memastikan efektivitas dan keterkinian. Simulasi bencana juga harus
dilakukan dengan mengikut sertakan pengguna sistem informasi akuntansi, tujuan
dari simulasi tersebut adalah untuk melatih pengguna sistem informasi akuntansi
peran dan tanggung jawab yang harus dilakukan pasca terjadinya bencana.
IV.2.3.2 Maturity Level
Level 1 - Manajemen telah sadar akan pentingnya kelangsungan layanan sistem
informasi akuntansi. Akan tetapi pelaksanaan dari pengendalian kelangsungan
layanan sistem informasi akuntansi masih terbatas karena kurangnya dukungan
sumber daya (resource). Tanggung jawab kelangsungan layanan masih diterapkan
secara informal dan wewenang yang dimiliki masih terbatas Pengawasan akan
kelangsungan layanan telah dilakukan tetapi masih terbatas pada cara - cara manual.
Level 2 - Telah dibuat Rencana kelangsungan layanan sistem informasi akuntansi,
akan tatapi pelaksanaannya masih tergantung pada individu – individu tertentu.
Dokumen Kelangsungan layanan belum tersedia seluruhnya, meskipun telah ada
komitmen untuk memberikan layanan di saat darurat. Pelaporan masih bersifat asal -
asalan, tidak menyeluruh dan belum ada analisa dampak terganggunya kelangsungan
sistem informasi terhadap bisnis.
Level 3 - Telah ada yang bertanggung jawab dan memelihara kelangsungan layanan
sistem informasi akuntansi. Secara berkala telah dilakukan pengujian dan pelaporan
terhadap kesiapan keberlangsungan layanan sistem informasi akuntansi. Telah
tersedia peralatan – peralatan untuk menghadapi keadaan darurat sesuai dengan apa
118
yang terdapat pada rencana kelangsungan bisnis. Telah ada rencana Kelangsungan
layanan sistem informasi akuntansi yang dibuat berdasarkan kegentingan dari layanan
akuntansi dan akibat terhadap bisnis secara menyeluruh. Target dan metrik untuk
keberlangsungan layanan telah dibuat tetapi pengukurannya dilakukan secara tidak
konsisten.
Level 4 - Telah terjadi koordinasi antara departemen TI dan departemen Keuangan
untuk menjalankan dan memelihara rencana kelangsungan layanan sistem informasi
akuntansi. Pemeliharaan rencana kelangsungan layanan sistem informasi akuntansi
dilakukan berdasarkan hasil tes dan penilaian risiko. Kejadian yang menyebabkan
terhentinya layanan telah diklasifikasikan dan penyebabnya telah dipelajari agar tidak
terulang kembali, organisasi telah memiliki lokasi alternatif untuk menjalankan sistem
informasi akuntansi. Pelatihan formal telah dilakukan untuk mendukung
keberlangsungan layanan sistem informasi akuntansi.
Level 5 - Kesadaran akan pentingnya kelangsungan layanan telah terbentuk, seluruh
komponen organisasi telah mengerti akan peran dan tanggung jawabnya dalam
melaksanakan rencana kelangsungan bisnis. Rencana kelangsungan layanan sistem
informasi akuntansi telah dibuat dan dirawat berdasarkan analisa akibat terhadap
bisnis (business impact analysis). Kelangsungan layanan sistem informasi akuntansi
telah terintegrasi dengan rencana kelangsungan layanan bisnis dan secara rutin
dilakukan perawatan. Pengukuran Target dan metrik untuk keberlangsungan layanan
sistem informasi akuntansi telah dilakukan secara sistematik.
IV.2.3.3 Peran dan Tanggung Jawab
a. Kepala Operasional Bisnis – Berkoordinasi dengan bagian “layanan informasi
bisnis” menentukan proses bisnis – proses bisnis yang harus dapat segera tersedia
pasca terjadinya bencana. mengomunikasikan rencana kelangsungan layanan
sistem informasi kepada para pemilik proses. Melakukan latihan bersama untuk
mengevaluasi rencana kelangsungan bisnis sekaligus melatih kesiapan pasca
terjadinya bencana.
b. Kepala Layanan Informasi - Berkoordinasi dengan bagian lainnya untuk
merancang rencana kelangsungan layanan sistem informasi akuntansi, membuat
standar operasional prosedur pasca terjadinya bencana. Melakukan analisa
119
dampak/akibat terhadap bisnis untuk menentukan akibat ketiadaan layanan sistem
informasi akuntansi pasca terjadinya bencana.
c. Kepala Sistem Aplikasi & Jaringan – memberikan masukan dalam pembuatan
rencana kelangsungan bisnis berkaitan dengan sistem dan jaringan.. Bertanggung
jawab memelihara lokasi alternatif agar dapat digunakan sewaktu - waktu.
IV.2.4 Audit Sistem Informasi Akuntansi
Untuk menjamin keberlangsungan layanan sistem informasi akuntansi sebaiknya
dilakukan audit terhadap seluruh komponen yang berinteraksi seperti peran dan
tanggung jawab dalam penggunaan dan pengelolaan sistem informasi akuntansi,
integritas dari proses – proses yang ada pada sistem informasi akuntansi serta yang
tidak kalah pentingnya adalah kualitas dari pengendalian internal yang ada di
dalamnya. Untuk memudahkan audit\pengawasan setiap kegiatan pada sistem
informasi akuntansi sebaiknya dilakukan pencatatan. Pencatatan tersebut penting
untuk mendeteksi kesalahan baik yang disengaja ataupun tidak disengaja.
IV.2.4.1 Tujuan Pengendalian (Control Objective)
a. Audit - Dalam melakukan audit sistem informasi akuntansi, hal penting yang
harus dijaga adalah integritas dari audit tersebut. Untuk menjamin integritas dari
proses audit maka audit harus didukung oleh audit carter. Audit carter tersebut
minimal harus berisikan peran, wewenang dan tanggung jawab dalam melakukan
audit sistem informasi akuntansi. Pelaksanaan dari audit sistem informasi
akuntansi haruslah mendapatkan dukungan dari komite audit dan dewan direksi.
Pelaksanaan proses audit harus difokuskan pada bagian – bagian yang memiliki
risiko tinggi yang dapat mengganggu integritas sistem informasi akuntansi.
b. Tatakelola Log File - Informasi mengenai aktivitas pengguna, pengecualian
(exception), dan kejadian - kejadian yang berhubungan dengan keamanan
informasi haruslah tercatat dan disimpan dalam jangka waktu tertentu, audit
dilakukan untuk mengetahui penyebab serta merumuskan penanggulangannya.
Media penyimpanan dari log file harus dilindungi untuk menghindari pengusalan
atau manipulasi isi dari log file.
120
IV.2.4.2 Maturity Level
Level 1 - Audit tidak didasari dari hasil analisa risiko, hal ini terjadi karena
pelaksanaan proses audit bukan merupakan inisiatif dari organisasi dalam memandang
risiko dari sistem informasi akuntansi. Proses audit terhadap sistem informasi
akuntansi telah dilakukan tetapi masih merupakan inisiatif dari perorangan (bukan
tuntutan organisasi). Belum adanya format standar pelaporan audit teknologi
informasi, hal ini dikarenakan belum jelasnya tujuan dari audit teknologi informasi.
Level 2 - Proses audit sistem informasi akuntansi telah dilakukan berdasarkan
permintaan organisasi untuk mengurangi risiko penggunaan teknologi informasi
dalam menjalankan sistem akuntansi. Meskipun telah ada kesadaran akan risiko dari
kegagalan audit teknologi informasi, rencana audit teknologi informasi belum
membahas tentang kegagalan dari proses audit. Proses audit telah dilakukan dengan
terencana berdasarkan risiko – risiko yang mungkin timbul dari penggunaan
teknologi informasi. Peran, wewenang dan tanggung jawab dalam melakukan audit
teknologi informasi pada sistem informasi akuntansi telah mulai dirumuskan dalam
piagam audit (audit carter) meskipun belum lengkap dan terkadang tidak konsisten
dalam pelaksanaannya.
Level 3 – Telah ada komitmen dari organisasi untuk melakukan audit pada sistem
informasi akuntansi dengan sebaik – baiknya, komitmen tersebut ditindak lanjuti
dengan dukungan keuangan, sumber daya manusia serta pemberian wewenang yang
diperlukan mendukung dalam pelaksanaan audit. Pelaksanaan audit diprioritaskan
pada bagian – bagian yang memiliki risiko tinggi. Proses Audit telah didukung
melalui audit carter yang berisikan peran, wewenang dan tanggung jawab dalam
melakukan audit sistem informasi akuntansi. Pemilik proses telah diberikan
penyuluhan/pelatihan tentang kepatuhan (compliance) dalam menjalankan proses
yang menjadi tanggung jawabnya. Telah ada dukungan langsung terhadap audit
sistem informasi akuntansi dengan dibentuknya komite audit yang mengawasi
langsung jalannya proses audit teknologi informasi pada sistem informasi akuntansi.
Level 4 - Telah terjadi koordinasi antara departemen TI, keuangan dan komite audit
dalam merencanakan, membuat dan melaksanakan audit sistem informasi akuntansi.
Telah dilakukan upaya – upaya untuk memperkecil risiko kegagalan audit teknologi
121
informasi, Salah satunya adalah dengan mendatangkan konsultan yang membantu
merancang strategi perbaikan. Tatacara dan tujuan (objective) audit teknologi
informasi telah terdokumentasi, tata cara tersebut telah berisikan ukuran dan tatacara
pengukurannya. Telah terjalin komunikasi antara internal auditor dan eksternal
auditor dalam mengomunikasikan proses dan hasil audit sistem informasi akuntansi.
Telah terjalin komunikasi antara internal auditor dan eksternal auditor dalam
mengomunikasikan proses dan hasil audit sistem informasi akuntansi. Audit komite
telah berperan aktif dalam merencanakan, membuat, dan melaksanakan audit sistem
informasi akuntansi.
Level 5 - Hasil dari audit merupakan dasar manajemen untuk melakukan perbaikan
penerapan pengendalian internal. Telah adanya ukuran – ukuran yang menjelaskan
tingkat kesulitan dari proses audit, semakin tinggi kesulitan melakukan audit maka
semakin besar sumber daya yang dikerahkan untuk melakukan audit tersebut. Proses
audit teknologi informasi merupakan salah satu komponen penting dalam menunjang
perbaikan organisasi secara menyeluruh. Telah terjadi komunikasi dua arah antara
pemilik proses dan auditor, perbaikan senantiasa dilakukan agar sesuai dengan
kebutuhan bisnis dengan mengedepankan prinsip – prinsip kepatuhan. Hasil dari
Audit sistem informasi akuntansi Telah menjadi salah satu komponen dalam audit
sistem akuntansi, untuk industri – industri tertentu audit sistem informasi akuntansi
telah menjadi salah satu syarat yang harus dipenuhi.
IV.2.4.3 Peran dan Tanggung Jawab
a. Komite Audit – Membuat audit carter, Memberikan mandat kepada auditor untuk
melakukan audit terhadap penerapan pengendalian internal pada sistem informasi
akuntansi.
b. CEO, CFO, CIO – Menerima laporan hasil audit.
c. Kepala Audit –merencanakan, mendesain dan mengoordinir pelaksanaan audit
pengendalian internal pada sistem informasi akuntansi. Berpartner dengan unit
keuangan dan unit teknologi informasi untuk melakukan penilaian risiko terkait
dengan penggunaan teknologi informasi untuk mendukung sistem informasi
akuntansi. Berhubungan dengan eksternal auditor untuk membantu mereka dalam
melakukan audit.
122
d. Kepala keamanan sistem dan jaringan, Kepala keamanan informasi –
Berkoordinasi untuk merancang Tatacara dan menentukan prioritas dalam
melakukan audit pengendalian internal pada sistem informasi akuntansi.
e. Auditor – Mengumpulkan data – data, melakukan penilaian penerapan
pengendalian internal pada sistem informasi akuntansi, membuat laporan dan
mempresentasikan kelemahan – kelemahan penerapan pengendalian internal
beserta perbaikan yang harus dilakukan.
IV.2.5 Pusat Data
Setiap data - data transaksi keuangan yang diproses oleh sistem informasi akuntansi
akan disimpan di pusat data (data center). Untuk menjamin integritas dari informasi
tersebut, diperlukan pengendalian yang bertujuan untuk melindungi pusat data dari
berbagai macam gangguan/ancaman yang dapat merusak integritas informasi.
Pengendalian pusat data yang akan diterapkan dapat berupa pengendalian terhadap
fasilitas - fasilitas fisik yang ada di dalam pusat data, mekanisme backup dan juga
mekanisme cadangan yang dapat menjamin kelangsungan layanan pusat data.
IV.2.5.1 Tujuan Pengendalian (Control Objective)
a. Pengendalian Fasilitas - Untuk menghindari kehilangan atau perusakan terhadap
informasi - informasi yang terdapat pada pusat data, pusat data harus dilengkapi
dengan mekanisme pengendalian akses (access control) untuk mengatur dan
membatasi akses terhadap perangkat dan media penyimpanan (pita, hart disk,
DVDl) yang ada di dalamnya. Pastikan juga bahwa pusat data memiliki
mekanisme pengawasan (monitoring) terhadap kondisi/keadaan lingkungan di
sekitar pusat data dengan cara menerapkan mekanisme peringatan (alarm) dan
pengawasan (Monitoring) seperti untuk pencurian, api, banjir ataupun
ketersediaan listrik.
IV.2.5.2 Maturity Level
Level 1 - Pengendalian terhadap pusat data telah mulai dilakukan meskipun masih
bersifat khusus. Belum jelasnya prosedur pengendalian pusat data, Hal ini
menyebabkan tidak tersedianya panduan tatacara pengendalian pusat data.
123
Level 2 - Telah ada yang bertanggung jawab untuk menjalankan pengendalian
terhadap pusat data. Pengendalian pusat data dilakukan berdasarkan hasil analisa
risiko meskipun hanya dilakukan untuk komponen – komponen utama pusat data.
Pelaksanaan pengendalian pusat data telah dilakukan dengan terencana meskipun
belum mencakup seluruh tujuan pengendalian (control objective) pusat data. Backup
terhadap pusat data telah mulai dilakukan meskipun belum didistribusikan ke
beberapa tempat yang berjauhan. Telah ada mekanisme pengawasan pusat data, akan
tetapi objek yang diawasi dan tatacara pengawasannya belum dilakukan dengan
terstruktur karena tidak adanya prosedur dan standar yang dapat dijadikan dasar
bertindak.
Level 3 - Telah tersedia Prosedur dan standar untuk menjalankan pengendalian
terhadap pusat data, Meskipun demikian prosedur untuk menanggulangi kejadian –
kejadian darurat belum jelas terdefinisi. Penilaian risiko terhadap pusat data telah
dilakukan berdasarkan kebijaksanaan dan prosedur yang ada, Telah ada kesadaran
bahwa Penilaian risiko merupakan salah satu komponen penting dalam keberhasilan
Pelaksanaan pengendalian pusat data. Pusat data telah dilengkapi dengan mekanisme
pengawasan terhadap fasilitas-fasilitas yang ada di dalamnya, backup telah dilakukan
dengan terjadwal dan didistribusikan ke beberapa tempat. Prosedur dan standar
pengendalian pusat data telah didokumentasikan dan disosialisasikan. Prosedur dan
standar pengendalian pusat data telah didokumentasikan dan disosialisasikan.
Pengawasan terhadap pusat data telah dilakukan dengan terencana akan tetapi
pelaksanaannya belum maksimal karena sebagian masih dilakukan secara manual.
Level 4 - Organisasi telah berkomitmen untuk mendukung penerapan pengendalian
terhadap pusat data, komitmen tersebut ditindak lanjuti dengan memberikan anggaran
dan sumber daya yang diperlukan. Penilaian risiko telah dilakukan secara berkala
dengan menggunakan ukuran – ukuran yang konsisten, Pada tahap ini kinerja dari
pengendalian pusat data harus telah dapat memenuhi ambang risiko yang dapat
diterima organisasi. Telah tersedia prosedur untuk menanggulangi kejadian – kejadian
darurat, prosedur – prosedur tersebut senantiasa diperbaharui. Pelatihan telah
dilakukan untuk melatih kesiapan pelaksanaan pengendalian pusat data serta kesiapan
pasca terjadinya kejadian\bencana yang menimpa pusat data. Pengawasan terhadap
pusat data telah dilakukan dengan menggunakan perkakas – perkakas yang berjalan
124
secara otomatis, audit secara manual dilakukan untuk menilai pelaksanaan
pengendalian terhadap pusat data.
Level 5 - Telah terbentuknya Budaya dan lingkungan yang mengedepankan
pentingnya pengendalian pada pusat data di setiap tingkat organisasi (operasional,
manajemen dan dewan direksi). Organisasi telah menganggap pusat data merupakan
salah satu sumber risiko yang dapat berpengaruh terhadap organisasi. Pada tahap ini
penilaian risiko telah menyatu dengan analisa risiko organisasi secara menyeluruh.
Organisasi telah dapat memastikan bahwa kegagalan operasional pusat data tidak
akan berpengaruh terhadap integritas dari sistem informasi akuntansi, Dokumen –
dokumen pengendalian pusat data senantiasa dilakukan pembaharuan berdasarkan
kondisi keadaan saat ini dan perkembangan teknologi. Terdapat laporan berkala akan
kinerja dari pengendalian pusat data, laporan tersebut telah menggunakan ukuran –
ukuran baku yang dapat menggambarkan kinerja pengendalian pusat data dari waktu
ke waktu.
IV.2.5.3 Peran dan Tanggung jawab
a. Kepala layanan informasi – Bersama dengan Kepala keamanan informasi, kepala
layanan sistem dan jaringan membuat kebijakan pengendalian pusat data serta
standar atau prosedur penanggulangan pasca terjadinya gangguan\musibah.
b. Kepala layanan sistem dan jaringan – Memastikan bahwa pusat data tetap dapat
beroperasi meskipun telah terjadi gangguan pada server dan jaringan.
Bertanggung jawab membuat kebijaksanaan yang mengatur mekanisme backup
dan pendistribusiannya. Mengoordinasi proses backup dan pendistribusian hasil
backup tersebut.
c. Kepala keamanan informasi - Mengawasi jalannya pengendalian internal,
melakukan analisa risiko terhadap suatu kejadian atau masalah yang mungkin
terjadi dan merumuskan penanggulangannya.
d. Kepala pengelola bangunan – berkoordinasi dengan kepala layanan informasi
untuk menentukan alokasi sumber daya dan perlindungan fisik yang terbaik dalam
menunjang jalannya operasional pusat data.
e. Kepala pengelolaan fasilitas pusat data - Mengomunikasikan status, risiko dan
permasalahan yang dihadapi. Berkoordinasi dengan pengelola bangunan untuk
membuat dan menjalankan pembatasan akses fisik terhadap pusat data.
125
f. Operasional pusat data - Mengawasi kondisi pusat data dan kondisi lingkungan
sekitarnya (suhu, kelembaban ). Mencatat segala kejadian yang mengganggu
integritas dari sistem informasi akuntansi.
IV.2.6 Operasional Komputer
Komputer desktop merupakan salah satu sumber risiko. Pengrusakan yang dilakukan
oleh virus, worm, trojan, spyware dan sebagainya merupakan beberapa risiko yang
dapat mempengaruhi integritas dari sistem informasi akuntansi. Penggunaan
komputer kemungkinan akan menghadapi gangguan atau masalah. Gangguan tersebut
mustahil untuk dihilangkan sepenuhnya, oleh karena itu usaha yang dapat dilakukan
adalah dengan mengelola masalah tersebut, bagaimana penyelesaiannya serta
pencegahan yang dapat diambil untuk mencegah hal tersebut terulang kembali.
IV.2.6.1 Tujuan Pengendalian (Control Objective)
a. Antivirus - Setiap komputer yang menjadi client dari sistem informasi akuntansi
wajib menggunakan antivirus sesuai standar organisasi. Antivirus wajib dilakukan
pembaharuan (update) secara otomatis minimal satu kali sehari dan melakukan
scan minimal satu kali setiap minggunya. Apabila diindikasikan terdapat virus
pada komputer client, administrator atau sistem dapat memutuskan jaringan antara
client dan sistem informasi akuntansi.
b. Pengelolaan Masalah dan Kejadian - Mendapatkan keyakinan yang memadai
bahwa setiap permasalahan direspons dengan benar, tercatat dan dilakukan
investigasi agar masalah serupa tidak terulang kembali. Setiap kejadian atau
masalah selalu dicari akar permasalahannya, untuk setiap permasalahan tersebut
dibuat langkah – langkah pencegahan agar permasalahan tersebut tidak terulang
kembali. Terdapat repository dari kejadian – kejadian yang berhubungan dengan
sistem informasi akuntansi, repository tersebut berperan juga sebagai knowledge
base dari permasalahan – permasalahan yang pernah terjadi. Organisasi telah
memiliki escalation procedure untuk permasalahan – permasalahan yang sering
timbul atau permasalahan yang berdampak langsung terhadap integritas sistem
informasi akuntansi.
126
IV.2.6.2 Maturity Level
Level 1 - Kesadaran akan penilaian risiko dari operasional komputer masih bersumber
dari inisiatif pribadi. Pengendalian operasional komputer telah mulai diterapkan
meskipun dilakukan secara terbatas. Belum jelasnya prosedur dan standar
pengendalian operasional komputer, hal ini menyebabkan kurang tersedianya
panduan tatacara pengendalian operasional komputer.
Level 2 - Mulai dibuatnya standar dan prosedur yang mengatur mekanisme
penanganan dan penanggulangan masalah/kejadian serta standar dan prosedur
pengamanan dan penanggulangan virus komputer. Penilaian risiko operasional
komputer telah mulai dilakukan akan tetapi pelaksanaannya masih terbatas karena
kurangnya wewenang dalam melakukan penilaian. pengendalian operasional
komputer telah mulai dilakukan secara terorganisir, akan tetapi pelaksanaannya
masih terbatas karena kurangnya dukungan. Pengawasan terhadap pengendalian
operasional komputer telah dilakukan tetapi masih terbatas pada usaha - usaha
manual.
Level 3 - Organisasi telah memiliki standar dan prosedur yang mengatur pengendalian
operasional komputer, telah terdapat individu atau bagian yang bertanggung jawab
menjalankan standar dan prosedur tersebut. Penilaian risiko dilakukan berdasarkan
tujuan dari kebijaksanaan pengendalian operasional komputer, hasil dari penilaian
risiko kemudian dijadikan masukan dalam merancang pengendalian operasional
komputer. Setiap masalah dan kejadian telah dikelola dengan baik seperti dengan
menggunakan sistem tiket, telah terdapat panduan untuk menyelesaikan masalah –
masalah yang sering timbul (frequency asked question, FAQ). Pelatihan telah
diadakan secara rutin dan wajib diikuti oleh setiap pengguna sistem informasi
akuntansi. Pengawasan terhadap operasional komputer telah dilakukan berdasarkan
standar dan prosedur pengendalian operasional komputer..
Level 4 - Organisasi telah mendukung penerapan pengendalian operasional komputer
melalui alokasi anggaran dan sumber daya yang diperlukan. Organisasi telah memiliki
dan menerapkan standar dan prosedur dalam pencegahan penyebaran masalah
(escalation procedure). Standar pengendalian operasional komputer telah terdefinisi
sesuai dengan kebijaksanaan pengendalian operasional komputer yang ada. Sosialisasi
127
telah mulai dilakukan terhadap setiap pengguna sistem informasi akuntansi.. Kejadian
yang menyebabkan terganggunya operasional komputer telah diklasifikasikan dan
penyebabnya telah dipelajari.
Level 5 - Standar dan prosedur dari pengendalian operasional komputer secara rutin
diperbaharui sesuai dengan perkembangan teknologi keamanan informasi.
Operasional komputer telah dianggap sebagai salah satu sumber risiko yang dapat
mengganggu integritas dari laporan keuangan. Telah timbul kesadaran pada Pengguna
komputer akan pentingnya integritas dari informasi, pengguna komputer senantiasa
memberi masukan akan risiko – risiko yang mungkin dapat berpengaruh terhadap
integritas dari data yang dikelola/prosesnya. Standar pengendalian operasional
komputer senantiasa dilakukan pembaharuan berdasarkan kondisi keadaan saat ini
dan perkembangan teknologi. Pengukuran Target dan metrik untuk pengendalian
operasional komputer telah dilakukan secara sistematis. Hasil dari pengukuran
tersebut kemudian dijadikan dasar dari proses perbaikan.
IV.2.6.3 Peran dan Tanggung jawab
a. Kepala layanan informasi – Merancang mekanisme pengaduan atau pelaporan
terhadap setiap masalah yang mungkin timbul pada sistem informasi akuntansi.
b. Kepala keamanan informasi – Melakukan analisa risiko terhadap gangguan atau
masalah yang mungkin menimpa sistem informasi akuntansi. Membuat klasifikasi
gangguan pada sistem informasi akuntansi serta merancang penyelesaian dan
pencegahannya.
c. Petugas Keamanan Informasi (Information Security Officer) - Mengawasi kondisi
keadaan komputer – komputer dari kemungkinan gangguan virus.
Mengklasifikasikan gangguan keamanan informasi yang terjadi, mendiagnosa
serta mencari solusi terbaik untuk mengatasinya.
d. IT Support atau Help desk – Menerima dan mencatat segala pengaduan yang
berhubungan dengan sistem informasi akuntansi. Memberikan solusi untuk
permasalahan – permasalahan tersebut, apabila tidak dapat diatasi maka
meneruskan kepada bagian yang lebih berwenang.
128
IV.2.7 Tatacara Pengembangan Sistem
Berkembangnya kebutuhan bisnis menyebabkan sistem informasi akuntansi harus
senantiasa diperbaharui. Perubahan tersebut terkadang tak bisa dihindari, yang
penting untuk diperhatikan dalam melakukan perubahan adalah bagaimana menjaga
integritas dari pemrosesan yang dilakukan oleh sistem informasi akuntansi pasca
dilakukan perbaikan. Untuk itu diperlukan pengendalian dalam tata kelola perubahan,
konfigurasi dan prosedur serah terima aplikasi.
IV.2.7.1 Tujuan Pengendalian (Control Objective)
a. Pengadaan dan Perawatan - Menyediakan pengendalian terhadap pengadaan dan
pemasangan/instalasi infrastruktur penunjang sistem informasi akuntansi. Setiap
pengadaan harus terencana dan dilakukan secara transparan, Organisasi harus
memiliki daftar rekanan yang berisikan rekam jejak (track record) dari proses
pengadaan barang sebelumnya. Harus dilakukan testing dan audit terhadap hasil
dari pengadaan untuk mengetahui kesesuaian antara proses implementasi dan
kontrak yang telah disepakati.
b. Tatakelola Perubahan - Terdapat tata kelola yang mengatur mekanisme perubahan
(perbaikan atau pembaharuan) pada sistem informasi akuntansi, . Setiap
perubahan harus terlebih dahulu dilakukan tes dan diotorisasi. Pengendalian
memberikan keyakinan yang memadai bahwa sistem yang terpasang telah
dilakukan pengujian dan validasi untuk memastikan integritas dari sistem
informasi akuntansi, kualitas dari pengendalian internal serta kesesuaian dengan
kebutuhan bisnis. Tata kelola perubahan ini penting untuk memastikan perubahan
tersebut serta sesuai dengan kebutuhan bisnis dan regulasi serta untuk memastikan
pula bahwa sistem yang baru tidak memiliki kesalahan (bug) dalam melakukan
pemrosesan yang dapat mengganggu integritas. .
c. Tatakelola Konfigurasi - Pastikan bahwa sumber daya TI yang digunakan dalam
mengelola data - data transaksi keuangan telah terlindungi dari perubahan yang
tidak semestinya, tata kelola konfigurasi diperlukan untuk memastikan bahwa
setiap perubahan dapat dipertanggungjawabkan. Organisasi sebaiknya memiliki
repository konfigurasi sistem informasi akuntansi serta komponen – komponen
pendukungnya. Repository tersebut senantiasa diperbaharui dan diaudit
keabsahannya.
129
IV.2.7.2 Maturity Level
Level 1 - Belum dilakukannya penilaian risiko secara formal ketika akan melakukan
perubahan terhadap sistem informasi akuntansi Pengendalian terhadap perubahan
sistem masih dilakukan secara terbatas dan lebih bersifat khusus. Setiap perubahan
pada sistem informasi akuntansi belum dikomunikasikan dengan baik karena
pelaksanaan pengendalian perubahan sistem masih bersifat khusus atau perkejadian.
Level 2 - Tata kelola perubahan sistem informasi akuntansi telah mulai diterapkan
akan tetapi belum sepenuhnya menjadi sebuah kesadaran. Penilaian risiko terhadap
kegagalan pada perubahan sistem informasi akuntansi mulai dilakukan, akan tetapi
tindak lanjuti dari penilaian tersebut belum maksimal. Pengendalian perubahan dan
perubahan itu sendiri belum berjalan secara beriringan. Perubahan dilakukan tanpa
ada yang mengotorisasi, kebenaran perubahan hanya dilihat dari aspek teknis semata.
Mulai dilakukan pendokumentasian atas informasi – informasi penting penunjang
keberhasilan perubahan sistem informasi akuntansi.. Pengawasan sudah mulai
direncanakan, akan tetapi pelaksanaannya belum konsisten karena belum adanya
pemahaman yang merata akan tujuan pengendalian Terhadap perubahan sistem
informasi akuntansi.
Level 3 - Manajemen telah mengerti dan mendukung pengendalian pada perubahan
sistem, telah ada individu/bagian yang berwewenang dan tanggung jawab untuk
menjalankan pengendalian perubahan sistem informasi akuntansi. Analisa risiko telah
digunakan sebagai indikator dalam menentukan kebutuhan dan prioritas dari
perubahan. Pelaksana perubahan dan yang mengotorisasi perubahan merupakan
individu yang terpisah, Setiap perubahan harus terlebih dahulu dilakukan pengujian
(unit testing) sebelum perubahan tersebut dapat diotorisasi pelaksanaannya.
Manajemen telah mengerti akan informasi – informasi yang harus tersedia, akan tetapi
proses distribusi dan komunikasi belum berjalan dengan baik.
Pelaksana perubahan dan yang mengotorisasi perubahan merupakan individu yang
terpisah, Setiap perubahan harus terlebih dahulu dilakukan pengujian (unit testing)
sebelum perubahan tersebut dapat diotorisasi pelaksanaannya.
Level 4 - Proses pengendalian perubahan sistem telah terdokumentasi dengan baik.
Telah digunakannya standar untuk membantu penerapan dan pelaksanaan
130
pengendalian terhadap perubahan sistem. Proses perubahan dilakukan berdasarkan
analisa risiko seperti terhadap tingkat kesukaran, besarnya biaya, ketersediaan sumber
daya manusia serta akibatnya terhadap bisnis. Organisasi telah memiliki repository
yang berisikan profil dan konfigurasi dari sistem informasi akuntansi dan perangkat
keras (hardware), repository tersebut diperbaharui secara berkala dan dilakukan audit
untuk memastikan integritas informasi yang ada di dalamnya. Requirement, Unit
testing, konfigurasi sistem telah dengan baik terdefinisi dan Disimpan dalam
repository untuk memudahkan pengaksesan. Audit terhadap proses dan hasil
perubahan secara berkala telah dilakukan untuk menunjang fungsi pengawasan.
Level 5 - Organisasi telah memiliki kebijaksanaan dan prosedur yang terintegrasi
dengan tata kelola risiko dalam mengatur tata cara pelaksanaan perubahan sistem
informasi akuntansi Setiap perubahan pada sistem informasi akuntansi telah dilakukan
dengan terencana berdasarkan hasil analisa kebutuhan dan analisa risiko. Change
management telah sepenuhnya diterapkan dengan mengimplementasikan tata kelola
perubahan terhadap seluruh komponen – komponen pembangun sistem informasi
akuntansi seperti infrastruktur dan sumber daya manusia. Manajemen senantiasa
mendapatkan masukan tentang perbaikan yang harus dilakukan untuk dapat
mengsukseskan proses perubahan. Organisasi telah memiliki ukuran – ukuran tertentu
untuk menilai keberhasilan pelaksanaan perubahan sistem informasi akuntansi beserta
komponen – komponen pendukungnya.
IV.2.7.3 Peran dan Tanggung Jawab
a. CIO, CFO - melakukan otorisasi terhadap perubahan yang diusulkan, Memberikan
dukungan sumber daya yang dibutuhkan.
b. Kepala layanan bisnis informasi – Mengevaluasi kebutuhan (requirements),
meninjau dan mengesahkan rencana perubahan.
c. Kepala Keamanan Informasi – Mengevaluasi rencana kebutuhan (requirements)
dan rencana perubahan dilihat dari sudut pandang kepatuhan terhadap regulasi
atau standar – standar tertentu.
d. Kepala pengembangan dan pengadaan – Mengoordinir jalannya pengembangan
atau pengadaan. Merancang dan menjalankan Tatacara pengujian. Mengevaluasi
hasil pengembangan atau pengadaan.
131
e. Kepala sistem dan jaringan – Memaintain repository konfigurasi. Mencatat setiap
perubahan sistem dan konfigurasi. Mengotorisasi setiap perubahan konfigurasi
pada sistem dan jaringan.
f. Analis Keamanan Informasi - Mengumpulkan kebutuhan (requirement gathering)
fungsional dan kebutuhan akan keamanan informasi, Membuat analisa perubahan
beserta analisa keuntungan dan kerugiannya.
IV.2.8 Pengendalian Aplikasi
Tujuan dari digunakannya teknologi informasi adalah untuk meningkatkan efektivitas
dalam pengelolaan data. Satu hal yang harus diperhatikan adalah diperlukan juga
kebenaran dan juga ketepatan dalam mengelola data – data tersebut. Pengendalian
aplikasi pada sistem informasi akuntansi memberikan keyakinan yang memadai
bahwa proses pengolahan data menggunakan data yang benar, diproses dengan benar
dan disajikan dengan benar pula.
IV.2.8.1 Tujuan Pengendalian (Control Objective)
a. Validasi Masukan (Input) - Pengendalian masukan dirancang untuk dapat
memberikan jaminan yang memadai bahwa data yang dimasukkan dan
dikeluarkan oleh sistem informasi akuntansi telah terjamin kebenarannya. Data -
data tersebut (termasuk data yang dicetak dan dikirim melalui jalur komunikasi)
tidak ada yang hilang, berkurang, bertambah, duplikasi, atau diubah tanpa ijin.
b. Pengendalian Pemrosesan - Terdapat pengendalian yang memastikan kebenaran
dari setiap proses pengolahan data, Pengendalian pada tahap ini mengecek apakah
terdapat kesalahan masukan data yang tidak terdeteksi oleh pengendalian
pemasukan data. Pengendalian pemrosesan melakukan pengecekan akan
kewajaran dari hasil pemrosesan data. Untuk setiap pesan kesalahan, harus
terdapat dokumentasi yang menjelaskan tentang maksud dari pesan tersebut,
kemungkinan asal kesalahan serta bagaimana cara memperbaikinya. Untuk
menjaga integritas, pengendalian pemrosesan harus dilengkapi dengan mekanisme
rollback yang dilakukan secara otomatis apabila terjadi kesalahan pemrosesan.
c. Pengendalian Keluaran (Output) - Pengawasan terhadap hasil dari pemrosesan
bertujuan untuk menjaga kebenaran data yang dihasilkan oleh sistem informasi
akuntansi serta membatasi penggunaan keluaran dari sistem informasi akuntansi
hanya untuk yang berhak. Untuk mencegah penyalahgunaan laporan/informasi
132
yang dihasilkan oleh sistem informasi akuntansi. Harus ada pembatasan akses
untuk dapat mencetak dokumen/laporan. Saat melakukan pencetakan harus
disertakan informasi mengenai pihak - pihak yang akan menerima dokumen
tersebut, informasi tersebut dapat berupa banyaknya tembusan yang akan dibuat,
daftar penerima dan tanggal pencetakan dari dokumen tersebut.
IV.2.8.2 Maturity Level
Level 1 - . Pengawasan terhadap integritas pemrosesan pada sistem informasi
akuntansi telah dilakukan akan tetapi masih bersifat informal dan tidak konsisten
pelaksanaannya. Informasi yang digunakan dalam melakukan verifikasi belum
terdefinisi dengan baik, informasi yang digunakan masih berasal dari pemahaman
developer bukan dari analisa kebutuhan pengendalian aplikasi. Organisasi telah
mengerti akan pentingnya pengendalian aplikasi, akan tetapi belum ada kebijaksanaan
dan prosedur yang berhubungan dengan pengendalian aplikasi..
Level 2 - Telah ada yang bertanggung jawab dalam mengawasi penerapan
pengendalian aplikasi, akan tetapi wewenang yang dimilikinya masih terbatas.
Penilaian risiko mulai dilakukan akan tetapi manajemen tidak dapat menindak lanjuti
hasil dari penilaian risiko karena belum adanya wewenang yang jelasnya untuk
menindak lanjuti hasil dari penilaian risiko tersebut. Organisasi telah mulai
memasukkan pengendalian aplikasi sebagai salah satu kebutuhan (requirement) ketika
melakukan pembuatan/perubahan pada sistem informasi akuntansi. Telah ada yang
bertanggung jawab dalam mengawasi penerapan pengendalian aplikasi, akan tetapi
wewenang yang dimilikinya terbatas hanya sebagai pengawas.
Level 3 - Organisasi telah mengerti dan mendukung penerapan dan pelaksanaan
pengendalian aplikasi, wewenang dan tanggung jawab dalam melakukan penilaian
risiko, analisa kebutuhan pengendalian aplikasi telah terdefinisi dengan baik.
Penilaian risiko untuk pemasukan data, pemrosesan dan pelaporan pada sistem
informasi akuntansi telah memiliki dasar hukum yang jelas dan dilengkapi dengan
tata cara pelaksanaannya. Pengendalian masukan, pengendalian pemrosesan dan
pengendalian keluaran telah diterapkan sesuai dengan hasil dari analisa kebutuhan
pengendalian aplikasi dan analisa risiko penggunaan sistem informasi akuntansi.
Informasi yang digunakan dalam mendukung proses verifikasi pada pengendalian
133
aplikasi telah terdokumentasi dan telah ada yang berwenang dalam melakukan
pengecekan untuk memastikan integritas dari informasi tersebut.
Level 4 - Pengendalian aplikasi Telah dijalankan sepenuhnya baik secara manual
ataupun otomatis, keduanya merupakan gabungan yang saling mengisi antara satu
dengan yang lain (tidak saling menghilangkan). Penerapan pengendalian aplikasi telah
dilakukan sesuai dengan standar dan best practice. Apabila diindikasi terdapat
kelemahan atau kekurangan pada pengendalian aplikasi, Hasil dari analisa risiko telah
dijadikan dasar dalam melakukan perubahan pengendalian aplikasi. Pengawasan akan
risiko dan penerapan pengendalian internal telah dilakukan dengan baik, audit secara
berkala telah dilakukan untuk menunjang fungsi pengawasan pada pengendalian
aplikasi. Telah dilakukan pelatihan yang secara formal mengajarkan tentang tata cara
penggunaan pengendalian aplikasi pada sistem informasi akuntansi.
Level 5 - Senantiasa dilakukan perbaikan terhadap kebijaksanaan, prosedur dan
standar berdasarkan penilaian dan pengawasan atas implementasi pengendalian
aplikasi yang telah ada. Pengendalian aplikasi telah menggunakan metode peramalan
(forecasting) untuk memprediksi terjadinya kesalahan, pengendalian aplikasi tidak
hanya bersifat statis (programmed) tatapi telah menerapkan prinsip pembelajaran
(learning). Pengguna sistem informasi akuntansi telah mengerti akan pentingnya
pengendalian aplikasi, pengguna berperan serta memperbaiki pengendalian aplikasi
dengan cara memberi masukan mengenai perbaikan yang harus dilakukan. Telah
terjadi integrasi antara pengawasan dan perbaikan yang berkelanjutan dalam
penerapan pengendalian aplikasi.
IV.2.8.3 Peran dan Tanggung Jawab
a. Kepala layanan informasi bisnis – Berkoordinasi dengan bagian keuangan akan
penerapan pengendalian internal baik yang bersifat manual atau otomatis,
melakukan pelatihan kepada pengguna sistem informasi akuntansi mengenai
mekanisme pengendalian aplikasi yang ada pada sistem informasi akuntansi.
b. Kepala keamanan informasi – Mendesain pengendalian aplikasi yang sesuai
dengan kebutuhan (requirements) dan kaidah – kaidah keamanan informasi.
Memastikan bahwa pengendalian aplikasi pada sistem informasi akuntansi telah
sesuai dengan standar – standar akuntansi yang berlaku secara umum.
134
c. Kepala pengembangan - Menurunkan desain pengendalian internal yang terdapat
pada proses bisnis menjadi pengendalian aplikasi seperti mekanisme pengecekan,
otorisasi dan pembagian wewenang pada setiap proses transaksi yang terjadi di
dalam\melalui sistem informasi akuntansi. memastikan kebenaran dari setiap
proses pengendalian aplikasi dengan cara menguji hasil dari proses pengolahan
transaksi yang terjadi pada sistem informasi akuntansi
d. Analis Kepatuhan (Compliance Analyst) - Mengumpulkan kebutuhan
(requirements gathering) pengendalian aplikasi sesuai dengan kaidah dan standar
yang berlaku, Melakukan analisa risiko beserta analisa keuntungan dan
kerugiannya.
IV.3 Pengujian Framework Pengendalian Internal
IV.3.1 Tatacara Pengujian
IV.3.1.1 Lokasi Pengujian
Pengujian dilakukan pada PT Telekomunikasi Indonesia TBK (PT Telkom) bagian
Internal Audit yang berlokasi di Lantai 5 GKP PT Telekomunikasi Indonesia jalan
Japati no 1 Bandung, Jawa Barat. Dipilihnya PT Telkom karena PT Telkom adalah
salah satu dari dua BUMN yang ada di Indonesia yang mencatatkan sahamnya di
bursa efek DOW Jones (Amerika Serikat), dengan dicatatnya saham PT Telkom di
sana maka otomatis PT Telkom memiliki kewajiban untuk patuh terhadap undang –
undang Sarbanes Oxley .
IV.3.1.2 Teknik Pengumpulan Data
Dalam penelitian ini digunakan pendekatan berupa studi literatur dan survey lapangan
dalam bentuk penyebaran kuesioner. Pengumpulan data bertujuan untuk menangkap
dan menjelaskan fakta untuk dapat digunakan dalam membuktikan hipotesis. Data
yang diperlukan dalam analisis dapat berupa data primer maupun sekunder. Data
primer merupakan data yang diperoleh secara langsung, sedangkan data sekunder
merupakan data yang diperoleh melalui tangan kedua. Teknik pengumpulan data yang
digunakan untuk memperoleh kedua jenis data tersebut adalah:
1. Studi literatur, yaitu mempelajari sumber-sumber literatur seperti tertulis
dalam buku, jurnal, dan penelitian terdahulu yang terkait dengan topik
penelitian ini yaitu proses penerapan pengendalian internal di PT Telkom.
135
2. Survey, yang merupakan penelitian langsung terhadap objek penelitian yang
dalam hal ini adalah Auditot Teknologi Informasi. Pengumpulan data
dilakukan dengan cara penyebaran kuesioner.
IV.3.1.3 Kuesioner
Kuesioner yang digunakan dalam pengujian ini adalah kuesioner bagian 3 identifikasi
pengendalian internal dan kuesioner bagian 4 identifikasi dan analisa risiko. Tujuan
dari kuesioner ini adalah untuk mengetahui sejauh mana penerapan tujuh aktivitas
pengendalian internal yang diusulkan pada tesis ini. Pada kuesioner ini juga
ditanyakan tingkatan risiko pengendalian internal dari ketujuh aktivitas pengendalian
internal.
IV.3.2 Analisa Hasil Pengujian
Gambar IV.4 Hipotesa Awal Model Pengendalian Internal
Untuk melakukan pembuktian terhadap model pengukuran, dibuat suatu analisa jalur
yang menggambarkan pola hubungan antar variabel dalam model. Adapun ketentuan
yang dipakai dalam merumuskan diagram jalur adalah hipotesis-hipotesis pada tesis
ini adalah sebagai berikut:
1. IT General Control (X2) mempengaruhi Pengendalian Internal (Y1).
2. Entity Level Control (X1) mempengaruhi Pengendalian Internal (Y1).
3. Application Control (X3)mempengaruhi Pengendalian internal (Y1).
γ1
Pengendalian
Internal
(Y1)
Entity Level Control
(X1) Application Control
(X3)
IT General Control
(X2)
γ2 γ 3
136
4. IT General Control (X2) dan Application Control (X3) saling
mempengaruhi .
5. IT General Control (X2) dan Entity level control (X1) saling
mempengaruhi .
6. Applications control (X3) dan Entity level control (X1) saling
mempengaruhi.
Selanjutnya dari model analisa jalur pada gambar di atas dapat diturunkan persamaan
Y1 = γ 11.X1+ γ 21.X2+ γ31.X3 ..........................................................................(IV.1)
Di mana:
γ ab = koefisien jalur antara Xa dan γa.
IV.3.2.1 Pengaruh variabel independen (X1, X2, X3) terhadap variabel
dependen (Y1) secara bersama-sama
Untuk mengetahui pengaruh secara bersama ketiga variabel independen terhadap
variabel dependen digunakan analisa regresi terhadap hasil survei.
Tabel IV.5 Hasil survei entity level control, it general control, application control,
pengendalian internal
Entity Level Control
IT General Control
Application Control
Pengendalian Internal
1 48 34 15 97
2 39 27 12 78
3 40 28 12 80
4 36 28 12 76
5 50 35 15 100
6 39 28 12 79
7 39 28 12 79
Perhitungan menggunakan aplikasi SPSS versi 17 menghasilkan model summary
sebagai berikut :
137
R Square adalah nilai yang menunjukkan besarnya pengaruh variabel independen
secara gabungan terhadap variabel dependen. Hasil perhitungan menghasilkan nilai R
square sebesar 0,936.
Maka koefisien determinasi adalah:
D = R Square x 100%
= 0,936 x 100%
= 93,6 %
Nilai ini menunjukkan bahwa independen Entity Level Control, IT General Control
dan Application control secara bersama-sama mempengaruhi variabel dependen
Pengendalian Internal sebesar 93,6%, sedangkan 0,64% adalah pengaruh dari faktor-
faktor lain di luar variabel independen tersebut.
Untuk membuktikan kebenaran pengaruh variabel X1, X2, dan X3 terhadap Y1
dilakukan uji hipotesis menggunakan uji F.
HO: tidak ada hubungan linier antara Entity level contro l (X1), IT General control
(X2) dan Application control (X3) secara bersama terhadap pengendalian internal
(Y1).
H1: Ada hubungan linier antara Entity level contro l (X1), IT General control (X2)
dan Application control (X3) secara bersama terhadap pengendalian internal (Y1).
Analisa nova dengan SPSS
Hasil perhitungan menunjukkan nilai F adalah14,539. selanjutnya nilai ini
dibandingkan dengan tabel F. Dari tabel f pada taraf signifikansi sebesar 0.05 derajat
kebebasan 3 dengan numerator jumlah variabel 3 dan denumerator jumlah sampel
138
sebanyak 7 didapat nilai tabel f sebesar 9,28. dengan demikian dapat disimpulkan
bahwa h0 ditolak dan h1 diterima atau terhadap hubungan bersama.
IV.3.2.2 Pengaruh variabel independen (X1, X2, X3) terhadap variabel
dependen (Y1) secara parsial
Untuk mengetahui pengaruh masing - masing variabel dependen terhadap variabel
independen, dilakukan analisa dengan uji T. Besarnya pengaruh dilihat dari besarnya
angka beta dari hasil perhitungan terhadap Tabel IV.5 dengan menggunakan SPSS
versi 17.
Nilai koefisien setiap variabel
Korelasi antara variabel IT General Control dengan Pengendalian internal
HO: tidak ada pengaruh antara IT General Control (X2) dengan pengendalian
internal (Y1).
H1: ada pengaruh antara IT General Control(X2) dengan pengendalian internal(Y1).
Uji hipotesis dilakukan dengan membandingkan nilai t hasil perhitungan dengan t dari
tabel dengan ketentuan jika t perhitungan > T tabel maka H0 ditolak dan H0 diterima.
Demikian juga sebaliknya jika t perhitungan < T tabel maka H0 diterima dan H1
ditolak.
Hasil perhitungan dengan SPSS pada tabel koefisien menunjukkan bahwa nilai t
untuk variabel IT General Control adalah sebesar 0.418 sedangkan nilai t tabel
dengan derajat kebebasan sebesar 4 adalah 2,776. karena nilai t perhitungan tabel
lebih besar dari t perhitungan maka hipotesis h0 diterima dan h1 ditolak, Dengan
demikian dapat disimpulkan bahwa tidak ada hubungan yang linier antara it general
control dan pengendalian internal
139
Korelasi antara variabel Entity Level Control dengan Pengendalian internal
HO: tidak ada pengaruh antara Entity Level control(X1) dengan pengendalian
internal (Y1).
H1: ada pengaruh antara Entity Level control (X1)dengan pengendalian internal
(Y1).
Uji hipotesis dilakukan dengan membandingkan nilai t hasil perhitungan dengan t dari
tabel dengan ketentuan jika t perhitungan > T tabel maka H0 ditolak dan H0 diterima.
Demikian juga sebaliknya jika t perhitungan < T tabel maka H0 diterima dan H1
ditolak.
Hasil perhitungan dengan SPSS pada tabel koefisien menunjukkan bahwa nilai t
untuk variabel entity level control adalah sebesar 3,19 sedangkan nilai t tabel dengan
derajat kebebasan sebesar 4 adalah 2,776. karena nilai t perhitungan besar dari t tabel
maka hipotesis h0 ditolak dan h1 diterima, Dengan demikian dapat disimpulkan
bahwa ada hubungan yang linier antara entity level control dan pengendalian internal
Korelasi antara variabel Application Control dengan Pengendalian internal
HO: tidak ada pengaruh antara Application Control (X3) dengan pengendalian
internal (Y1).
H1: ada pengaruh antara Application Control (X3)dengan pengendalian internal
(Y1).
Uji hipotesis dilakukan dengan membandingkan nilai t hasil perhitungan dengan t dari
tabel dengan ketentuan jika t perhitungan > T tabel maka H0 ditolak dan H0 diterima.
Demikian juga sebaliknya jika t perhitungan < T tabel maka H0 diterima dan H1
ditolak.
Hasil perhitungan dengan SPSS pada tabel koefisien menunjukkan bahwa nilai t
untuk variabel application control adalah sebesar -0.838 sedangkan nilai t tabel
dengan derajat kebebasan sebesar 4 adalah 2,776. karena nilai t tabel lebih besar dari t
perhitungan maka hipotesis h0 diterima dan h1 ditolak, Dengan demikian dapat
disimpulkan bahwa tidak ada hubungan yang linier antara application control dan
pengendalian internal
140
IV.3.2.3 Korelasi antara variabel-variabel independen (X1, X2, X3)
Untuk menentukan nilai korelasi antara dua variabel digunakan analisa bivariat
menggunakan Pearson correlation model. Perhitungan dilakukan untuk mengetahui
korelasi antara variabel-variabel sebagai berikut:
1. Korelasi antara IT General Control (X2) dengan Entity Level Control (X1).
2. Korelasi antara Entity Level Control (X1)dan Application Control (X3).
3. Korelasi antara IT General Control (X2) dan Application Control (X3).
Korelasi antara IT General Control (X2) dengan Entity Level Control (X1)
Tabel IV.6 Hasil survei entity level control dan it general control
Entity Level Control
IT General Control
1 48 34
2 39 27
3 40 28
4 36 28
5 50 35
6 39 28
7 39 28
Hasil perhitungan bivariate adalah :
Hasil perhitungan menunjukkan bahwa nilai korelasi antara it general control dan
entity level control adalah sebesar 0,935 sedangkan nilai signifikannya sebesar 0,02.
karena nilai korelasi jauh di atas nilai signifikan, ini menunjukkan bahwa korelasi
antara kedua variabel sangat signifikan kuat. Dengan demikian terbukti terdapat
korelasi yang kuat antara it general control dan entity level control.
141
Korelasi antara Entity Level Control (X1) dan Application Control (X3)
Tabel IV.7 Hasil survei entity level control dan application control
Entity Level Control
Application Control
1 48 15
2 39 12
3 40 12
4 36 12
5 50 15
6 39 12
7 39 12
Hasil perhitungan bivariate adalah :
Hasil perhitungan menunjukkan bahwa nilai korelasi antara entity level control dan
aplication control adalah sebesar 0,951 sedangkan nilai signifikannya sebesar 0,01.
karena nilai korelasi jauh di atas nilai signifikan, ini menunjukkan bahwa korelasi
antara kedua variabel sangat signifikan kuat. Dengan demikian terbukti terdapat
korelasi yang kuat antara entity level control dan application control.
Korelasi antara IT General Control (X2) dan Application Control (X3)
Tabel IV.8 Hasil survei it general control dan application control
IT General Control
Application Control
1 34 15
2 27 12
3 28 12
4 28 12
5 35 15
6 28 12
7 28 12
142
Hasil perhitungan bivariate adalah :
Hasil perhitungan menunjukkan bahwa nilai korelasi antara it general control dan
application control adalah sebesar 0,990 sedangkan nilai signifikannya sebesar 0,00.
karena nilai korelasi jauh di atas nilai signifikan, ini menunjukkan bahwa korelasi
antara kedua variabel sangat signifikan kuat. Dengan demikian terbukti terdapat
korelasi yang kuat antara it general control dan application control.
IV.3.3 Penyempurnaan model
Dari analisa regresi dan korelasi, pada korelasi antar variabel dapat diringkas
sebagaimana tabel di bawah ini.
Tabel IV.9 Hasil Pengujian
No Variabel 1 Variabel 2 Nilai
Korelasi
Korelasi
1 Independent (Entity
Level Control, IT
General Control dan
Application Control)
Dependen
(Pengendalian
Internal)
93,6 % Terdapat Korelasi
2 Entity Level Control Pengendalian Internal 3,19 Terdapat Korelasi
3 IT General Control Pengendalian Internal 0,419 Tidak ada
Korelasi
4 Application Control Pengendalian Internal -0,838 Tidak Ada
Korelasi
5 IT General Control Entity Level Control 0.935 Terdapat Korelasi
6 Application Control Entity Level Control 0.951 Terdapat Korelasi
IT General Control Application Control 0.990 Terdapat Korelasi
143
Dengan demikian model pengendalian internal yang telah disempurnakan adalah :
Gambar IV. 5 Penyempurnaan Model
Dari hasil pengujian ini dapat disimpulkan bahwa dari tiga jenis pengendalian
internal, pengendalian entity level control memiliki berkorelasi lebih dibandingkan
dengan pengendalian it general control dan application control. Hasil pengujian ini
dapat diartikan bahwa dalam mengimplementasikan pengendalian internal prioritas
sebaiknya diberikan kepada penerapan pengendalian entity level control, setelah
dirasakan cukup maka barulah beralih dengan mengimplementasikan pengendalian it
general control dan application control .
Untuk membantu dalam penerapan pengendalian it general control dan application
control. Dapat digunakan skala bantu seperti dibawah ini, kegunaan dari skala bantu
tersebut adalah untuk membantu menilai penerapan entity level control berdasarkan
kuesioner penerapan pengendalian internal (kuesioner bagian 3). Contoh skala bantu ,
Skala yang digunakan dapat menggunakan satuan persen yang memiliki rentang 0%
sampai 100%. Nilai yang dihasilkan dikategorikan menjadi lima, yaitu sebagai
berikut:
1. indek < 20.00% = sangat rendah
2. 20.00% ≤ indeks< 40.00% = rendah
3. 40.00% ≤ indek < 60.00% = sedang
4. 60.00% ≤ indek < 80.00% = tinggi
5. indek ≥ 80.00% = sangat tinggi
Pengendalian
Internal
(Y1)
Entity Level Control
(X1) Application Control
(X3)
IT General Control
(X2)
γ1