Audit Sistem Informasi Akuntansi. BAB IV Perancangan dan ... · PDF fileBAB IV Perancangan dan...

93

BAB IV Perancangan dan Pengujian

IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal

Rekening & Transaksi PentingSumber Daya TI & Pengendalian

InternalRisiko Penilaian dan Perbaikan

Identifikasi rekening dan transasi

keuangan Penting

Identifikasi sumber daya TI dan

pengendalian InternalPenilaian Risiko

Penilaian dan

Perbaikan

Pengendalian Internal

Identifikasi Rekening

Penting

Identifikasi Transaksi

Penting

Audit Entity Level Control

Inventaris Sumber Daya

TI yang Digunakan Dalam

Mendukung Sistem

Informasi Akuntansi

Mengkaji Dokumen

Proses Keuangan

Menentukan Ruang

Lingkup Penilaian

Identifikasi Ancaman

(Thread Identification)

Determine Potential

Vulnebilities

Penilaian Risiko (Risk

Rating)

Perbaikan Kekosongan

Aktivitas Pengendalian

Internal

Perbaikan Proses


Berdasarkan Maturity

Level

Kuistioner

Perbaikan Kekosongan

Pengendalian Internal.

Perbaikan Secara

Sistematis Berdasarkan

Maturity Level.

Kuistioner

Inventaris Sumber Daya

TI.

Identifikasi Pengendalian

Internal.

Kuistioner

Penilaian Risiko.

Kuistioner

Appendik 1 – Identifikasi

Rekening.

Inventaris Sumber Daya TI

Struktur Organisasi

Departement TI.

Tinjauan Teknologi –

Sistem Informasi

Akuntansi.

Tinjauan Teknologi –

Jaringan, Akses Jarak

Jauh dan Internet.

Penilaian Risiko

Penilaian Kemungkinan

Terjadinya Risiko.

Pengukuran Akibar dari

Risiko.

Matrik Risiko.

Maturity Level

Pengendalian Akses dan

Wewenang.

Keamanan Jaringan -

Network Security.

Kelangsungan layanan

Sistem Informasi

Akuntansi.

Audit Sistem Informasi

Akuntansi.

Pusat Data.

Operasional Komputer.

Metodelogi

Pengembangan Sistem.

Pengendalian Aplikasi.

Gambar IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal

Tatacara yang akan dipergunakan dalam menilai dan menentukan perbaikan

pengendalian internal pada sistem informasi akuntansi adalah :

1. Identifikasi rekening dan transaksi yang berpengaruh terhadap laporan keuangan –

Berdasarkan hasil analisa pada analisa risiko dari atas ke bawah (SOX Top Down

Risk Analysis), diketahui bahwa objek yang harus dilindungi dari pengendalian

internal adalah rekening dan transaksi penting yang berpengaruh terhadap laporan

keuangan. Untuk dapat membuat framework pengendalian internal yang sesuai

dengan SOX, tesis ini akan menggunakan pendekatan yang sama dengan

94

menempatkan rekening dan transaksi penting yang berpengaruh terhadap laporan

keuangan sebagai objek yang harus dilindungi.

2. Identifikasi sumber daya TI dan pengendalian Internal – Sistem informasi

akuntansi tidak akan lepas dari penggunaan layanan Teknologi Informasi dan

pengendalian internal yang telah ada sebelumnya. Dengan mengetahui layanan

Teknologi Informasi dan pengendalian internal yang digunakan untuk mendukung

sistem informasi akuntansi maka dapat diketahui pengendalian internal yang ada

sehingga dapat dilakukan analisa terhadap ancaman dan kelemahan (thread and

vulnerability) yang dapat mengganggu integritas dari sistem informasi akuntansi.

3. Penilaian Risiko – Seperti telah dijelaskan sebelumnya penggunaan teknologi

informasi memiliki risiko yang dapat mempengaruhi integritas informasi yang

digunakan dalam membuat laporan keuangan. Penilaian risiko merupakan langkah

awal dalam melakukan penerapan pengendalian internal .Setelah diketahui risiko

– risiko yang dapat mengganggu integritas dari rekening dan transaksi maka

barulah dapat dibuat rencana penerapan atau perbaikan pengendalian internal.

Penilaian risiko pada tahap ini dilakukan berdasarkan hasil identifikasi sumber

daya TI dan pengendalian internal yang telah dilakukan pada tahap sebelumnya.

4. Penilaian dan perbaikan Pengendalian Internal – Untuk melakukan penerapan atau

perbaikan, pertama – tama dilakukan penilaian terhadap kinerja dan keberadaan

pengendalian internal yang telah ada juga harapan kedepan dari penerapan

pengendalian internal. Setelah diketahui kinerja, keberadaan dan harapan dari

penerapan pengendalian internal yang ingin dicapai, langkah selanjutnya adalah

merancang perbaikan pengendalian internal berdasarkan tabel perbaikan yang

dibuat mengikuti tingkatan – tingkatan yang terdapat pada maturity level.

95

IV.1.1 Identifikasi Rekening dan Transaksi Keuangan yang Signifikan

IV.1.1.1 Identifikasi Rekening Penting

Rekening merupakan alat untuk mencatat transaksi keuangan, dengan rekening

laporan keuangan disusun. Di dalam rekening semua data keuangan akan dicatat dan

dengan rekening inilah akan dapat diketahui jumlah nilai transaksi yang terjadi seperti

besarnya jumlah piutang perusahaan, biaya - biaya perusahaan, jumlah utang, jumlah

laba dan lain sebagainya. Banyaknya jumlah rekening yang akan digunakan di dalam

perusahaan sangat tergantung dari kebutuhan serta kompleksitas transaksi yang

terjadi. Logikanya semakin besar sebuah perusahaan akan semakin banyak pula jenis

transaksi yang akan terjadi sehingga jumlah rekening yang akan digunakan juga

semakin banyak, demikian pula sebaliknya jika transaksi keuangan suatu perusahaan

tidak begitu kompleks maka jumlah rekening yang digunakan relatif tidak banyak.

Pada dasarnya rekening terbagi menjadi dua yaitu:

a. rekening-rekening neraca atau rekening riil, akan disajikan ke dalam neraca

terdiri dari rekening-rekening: aktiva,modal,kewajiban (sesuai dengan isi

neraca).

b. rekening- rekening rugi laba atau rekening nominal, digunakan untuk

menyusun laporan laba rugi terdiri dari rekening-rekening: pendapatan dan

biaya.

Identifikasi Sumber Daya TI

dan Pengendalian Internal

Penilaian Risiko

Penilaian dan Perbaikan


Identifikasi Rekening dan Transaksi Keuangan

Penting

96

Rekening atau keterbukaan informasi (corporate disclosure) dikatakan

signifikan/berarti/penting apabila terdapat kemungkinan salah saji (misstatement)

yang secara individual atau kumpulan memiliki efek materialitas terhadap laporan

keuangan (financial statements).

Proses pencarian rekening - rekening penting dapat dimulai dari laporan keuangan.

Hal yang penting untuk diperhatikan adalah risiko overstatement atau understatement.

Dalam menilai rekening - rekening yang penting, penilaian harus dilakukan tanpa

mempertimbangkan efektivitas dari pengendalian internal terhadap rekening -

rekening tersebut.

Ketika menentukan suatu apakah sebuah rekening penting atau tidak, sangat penting

untuk auditor mengevaluasi faktor besarnya (quantitative) dan kualitasnya

(qualitative), Beberapa yang termasuk diantaranya adalah : (PCAOB, 2004):

a. Ukuran dan komposisi dari rekening.

b. Kerentangan akan kehilangan dikarenakan kesalahan atau penipuan (froud).

c. Banyaknya aktivitas, kompleksitas dari rekening dan sub-rekening yang

diproses.

d. Sifat dasar dari rekening.

e. Standar akuntansi yang digunakan dan kompleksitas pelaporan dari rekening.

f. .Aktivitas dari hutang – hutang yang direpresentasikan dalam suatu rekening.

g. Keberadaan transaksi yang dilakukan oleh unit usaha lain yang terdapat pada

rekening.

h. Perubahan karakteristik rekening dari waktu ke waktu.

Tabel IV.1 Skala\ukuran penilaian rekening penting

Ukuran dan komposisi

dari rekening Rekening Besar Rekening Kecil

Kerentangan akan terjadinya

kesalahan atau penipuan

Tinggi Rendah

banyaknya aktivitas,

kompleksitas dan homogeneity

dari individual transaksi sampai

kepada rekening yang

bersangkutan.

volume yang besar, transaksi

yang kompleks, memiliki variasi

yang banyak dari transaksi

Volume yang kecil,

keseragaman yang

rendah.

Sifat dasar dari rekening (contoh

suspense account generally

warrant greater attention)

ditentukan berdasarkan pendapat ditentukan berdasarkan

pendapat

97

exposure terhadap kehilangan

(losses) yang direpresentasikan

oleh rekening (kehilangan akurasi

berhubungan dengan proses

konsolidasi )

Kompleksitas dari mekanisme

akuntansi yang dipergunakan dan

sistem pelaporan

Mekanisme akuntansi

yang standar dan

pelaporan yang

sederhana.

Kemungkinan dari significant

contingent liabilities yang

ditimbulkan dari aktivitas yang

direpresentasikan oleh rekening

Kerugian lebih besar dari remote

possibility.

Sama dengan remote

possibility.

adanya related party transaction

di dalam rekening

Tidak adanya transaksi dari pihak

ketiga yang tercatat pada

rekening.

Tidak adanya transaksi

dari pihak ketiga yang

tercatat pada rekening.

Berubahnya karakteristik dari

rekening Seringnya terjadi perubahan yang

mendasar dari sifat rekening.

Sifat rekening relatif

stabil dari waktu ke

waktu.

IV.1.1.2 Identifikasi Transaksi Penting

Pada PCAOB standar no 2, setiap auditor yang melakukan audit terhadap

pengendalian internal harus melakukan identifikasi terhadap proses - proses untuk

setiap transaksi - transaksi keuangan yang utama di mana memiliki dampak yang

signifikan terhadap rekening atau sekumpulan rekening - rekening. transaksi

keuangan yang utama adalah transaksi yang berpengaruh signifikan terhadap laporan

keuangan yang dikeluarkan oleh perusahaan.

Setiap kelompok/jenis transaksi - transaksi utama memiliki tingkatan risiko bawaan

(inherent risk) yang berbeda sehingga memerlukan penanganan yang berbeda pula.

Standar PCAOB no 2 mengategorikan transaksi - transaksi utama berdasarkan tipe

dari transaksi:

a. Transaksi rutin – adalah kegiatan keuangan yang senantiasa berulang dari

waktu ke waktu. Transaksi jenis ini mencerminkan kegiatan sehari – hari yang

dilakukan oleh organisasi (contoh: penjualan, pembelian, penerimaan kas, gaji,

dll).

b. Transaksi tidak rutin – adalah kegiatan yang dilakukan dengan tidak teratur

(contoh: perhitungan depresiasi, akuisisi, penyesuaian kurs, dll). Ciri khas dari

transaksi tidak rutin adalah data yang digunakan tidak merupakan bagian dari

aliran data pada transaksi rutin.

Sebagian besar proses melakukan berbagai macam aktivitas seperti memasukan data,

mengurutkan data, perhitungan, perbaharuan terhadap master file. dilihat dari sudut

pengendalian internal, hal penting yang harus diperhatikan adalah bagaimana

98

transaksi tersebut dimulai (initiate), diotorisasi (authorize), disimpan (record),

diproses (process) dan pelaporan (report transactions).

Untuk setiap proses bisnis yang penting, beberapa hal yang harus diperhatikan adalah:

a. Pemahaman atas aliran transaksi, termasuk bagaimana transaksi dimulai,

otorisasi, simpan, proses dan laporkan.

b. Identifikasi kemungkinan terjadinya penyelewengan yang dapat mengganggu

integritas dari transaksi.

c. Identifikasi pengendalian yang telah diterapkan untuk menanggulangi risiko

tersebut (poin b).

IV.1.2 Identifikasi Sumber Daya TI dan Pengendalian Internal

IV.1.2.1 Audit Entity Level Control

Pengendalian tingkat entity (Entity Level Control) – Pengendalian tingkat entity

adalah pengendalian yang menyatu dan berpengaruh langsung terhadap organisasi.

Pengendalian tingkat entity memberikan dasar dalam menjaga integritas dari sistem

informasi akuntansi. Pengendalian tingkat entity diterapkan dalam

mengatur/mengarahkan pengendalian internal Terhadap sumber daya TI yang

digunakan dalam mendukung sistem informasi akuntansi.

Identifikasi Rekening dan Transaksi

Keuangan Penting

Penilaian Risiko





99

Pengendalian tingkat entity merupakan fondasi dari lingkungan pengendalian dalam

menjaga integritas sumber daya teknologi informasi. Keberadaan pengendalian

tingkat entity menegaskan bahwa organisasi menganggap penting pengendalian

internal. Lingkungan pengendalian internal yang kuat berasal dari implementasi

Pengendalian tingkat entity, lemahnya penerapan pengendalian tingkat entity

mengakibatkan meningkatnya risiko dari penggunaan teknologi informasi

dikarenakan tidak adanya landasan yang kuat untuk pengendalian umum TI dan

pengendalian aplikasi agar dapat bekerja seperti yang diharapkan. Lemahnya

pengendalian tingkat entity akan dapat menimbulkan ketidakkonsistenan penerapan

pengendalian internal.

Tata cara penilaian pada tahap ini tidak harus dilakukan dengan cara mengecek

penerapan pengendalian internal secara teknis di lapangan, penilaian cukup dilakukan

dengan cara mempelajari dokumen - dokumen yang menjadi dasar penerapan

pengendalian internal yang dimiliki oleh organisasi, selain daripada itu dilakukan juga

kuesioner untuk mengetahui sejauh mana penerapan pengendalian tingkat entity.

Maksud dari penilaian ini adalah untuk mencatat dan menilai keberadaan dari

pengendalian tingkat entity yang telah diterapkan dalam menjaga integritas dari

sumber daya TI. Dengan mengetahui pengendalian tingkat entity yang telah

diterapkan maka dapat diketahui kekurangan dan kelebihan dari pengendalian

tingkat entity yang telah ada di mana hal tersebut merupakan dasar dalam melakukan

perbaikan dari penerapan pengendalian internal agar dapat menjaga integritas dari

sumber daya TI di dalam mendukung sistem informasi akuntansi.

IV.1.2.2 Inventaris Sumber Daya TI yang Digunakan Dalam Mendukung

Sistem Informasi Akuntansi

Pengendalian umum TI (IT General Control) – Pengendalian umum TI adalah

struktur, kebijaksanaan dan prosedur yang berpengaruh langsung terhadap komponen

– komponen utama sumber daya teknologi informasi. Tujuan dari pengendalian

umum TI adalah memastikan integritas dan ketersediaan layanan teknologi informasi.

Langkah pertama dari tahap ini adalah mendata/mencatat sumber daya TI yang

digunakan dalam menunjang kegiatan sistem informasi akuntansi, kegunaan dari

100

inventaris ini adalah untuk membuat daftar sumber daya TI yang digunakan untuk

mendukung sistem informasi akuntansi beserta pengendalian internal yang ada di

dalamnya.

Dengan memiliki catatan penggunaan sumber daya TI dan pengendalian internal yang

ada di dalamnya, dapat diketahui risiko dari sumber daya TI yang dapat mengganggu

integritas dari informasi yang terdapat pada sistem informasi akuntansi. Proses ini

juga dapat membantu departemen TI agar lebih mengerti bagaimana sistem informasi

akuntansi bekerja sehingga dapat diidentifikasi proses - proses yang membutuhkan

perbaikan layanan TI (IT Service).

IV.1.2.3 Mengkaji Dokumen Proses Keuangan

Pengendalian aplikasi (Application Control) – Pengendalian aplikasi adalah struktur,

kebijaksanaan dan prosedur yang diterapkan di dalam sistem informasi akuntansi.

Pengendalian ini secara didesain untuk mencegah, mendeteksi dan memperbaiki

kesalahan dan ketidaknormalan informasi yang diproses oleh sistem informasi

akuntansi.

Organisasi memiliki banyak bisnis proses dan kontrol - kontrol yang menjaganya,

untuk patuh terhadap SOX organisasi hanya perlu memfokuskan terhadap kontrol -

kontrol yang berhubungan langsung dari pelaporan keuangan. Sangatlah penting

departemen TI berperan serta dalam penerapan pengendalian internal pada sistem

informasi akuntansi agar sesuai terhadap SOX. Banyak cara yang dapat ditempuh

untuk memahami penerapan pengendalian internal pada sistem informasi akuntansi,

salah satunya adalah dengan mempelajari dokumen bisnis proses yang berhubungan

dengan keuangan.

101

IV.1.3 Penilaian Risiko

Tujuan dari penilaian risiko adalah untuk menilai risiko dari penggunaan teknologi

informasi dalam mendukung layanan sistem informasi akuntansi. Untuk menilai

ancaman atau kelemahan dari penggunaan teknologi informasi dapat dilakukan

melalui:

a. Kemungkinan dari sumber ancaman menggunakan kelemahan yang ada.

b. Akibat yang ditimbulkan apabila sumber ancaman berhasil menggunakan

kelemahan yang ada.

c. Implementasi dari pengendalian internal dalam melindungi kelemahan.

IV.1.3.1 Menentukan Ruang Lingkup Penilaian

Tujuan dari tahap ini adalah untuk mengidentifikasi risiko - risiko yang dapat

mengganggu integritas dari informasi yang digunakan dalam membuat laporan

keuangan pada sistem informasi akuntansi. Penting untuk diperhatikan bahwa risiko -

risiko tersebut dapat terjadi di berbagai lokasi atau tingkatan dalam organisasi.

Penilaian risiko yang akan dilakukan pada tahap ini diasumsikan dapat terjadi pada :

1. Tingkatan Rekening

2. Tingkatan Transaksi


Keuangan Penting





Penilaian Risiko

102

Risiko terhadap tingkatan rekening atau tingkatan transaksi merupakan risiko yang

berdampak terhadap integritas dari rekening atau transaksi. Sebelumnya telah

dilakukan identifikasi terhadap rekening dan transaksi – transaksi penting di mana

rekening dan transaksi – transaksi tersebut memiliki pengaruh lebih dibandingkan

dengan rekening dan transaksi lainnya. Rekening dan transaksi penting yang telah

teridentifikasi merupakan patokan dalam melakukan penilaian risiko.

Dalam melakukan penilaian risiko framework ini akan menggunakan pendekatan Top

Down yang akan digunakan untuk membatasi ruang lingkup dari penilaian risiko

penggunaan sistem informasi akuntansi yang berpengaruh terhadap integritas dari

laporan keuangan. Penilaian Top Down yang digunakan pada tahap ini berguna untuk

membatasi ruang lingkup dari penilaian agar fokus terhadap risiko – risiko yang

mengganggu integritas dari laporan keuangan.

Penilai ini dimulai dengan menilai rekening dan transaksi yang berpengaruh langsung

terhadap laporan keuangan. Selanjutnya dari rekening dan transaksi tersebut

diidentifikasi proses bisnis yang berpengaruh terhadap rekening dan transaksi

tersebut. Untuk setiap proses bisnis akan dilakukan identifikasi risiko – risiko yang

mungkin timbul terutama risiko – risiko yang disebabkan oleh penggunaan teknologi

informasi, dalam tahap ini dilakukan juga penilaian terhadap risiko yang ditimbulkan

dari kegagalan pengendalian internal yang dapat mengakibatkan terjadinya

penipuan/kecurangan (fraud). Langkah terakhir dari penilaian risiko secara Top Down

adalah dengan memberikan penilaian\pembobotan terhadap risiko – risiko yang telah

teridentifikasi berdasarkan intensitas kejadian dan dampak yang mungkin

ditimbulkan.

IV.1.3.2 Identifikasi Ancaman (Thread Identification)

Untuk menilai ancaman (Thread) dari penggunaan sistem informasi akuntansi,

pendekatan yang digunakan akan bersifat top down dengan mendasarkan atas

ancaman – ancaman yang mungkin mengganggu integritas dari rekening dan transaksi

yang telah diidentifikasi pada tahap sebelumnya. Proses penentuan ancaman yang

dilakukan pada tahap ini dilakukan berdasarkan hasil analisa ruang lingkup (scope)

yang telah dilakukan sebelumnya agar menghasilkan daftar ancaman yang

berpengaruh langsung terhadap integritas dari laporan keuangan.

103

Berikut ini adalah pendekatan top down dalam mengidentifikasi ancaman – ancaman

yang dapat mengganggu integritas dari laporan keuangan :

1. Menentukan rekening dan transaksi penting yang berpengaruh terhadap

laporan keuangan.

2. Menentukan ancaman yang dapat mengganggu integritas dari rekening dan

transaksi.

3. Menentukan ancaman – ancaman yang bersifat teknik, fisik dan administratif.

Tujuan dari identifikasi ancaman adalah mengidentifikasi sumber dari ancaman.

sumber ancaman adalah suatu keadaan atau kejadian yang berpotensi menyebabkan

terjadinya keraguan atas integritas dari informasi yang terdapat/diproses pada sistem

informasi akuntansi. Secara umum sumber ancaman terhadap sistem informasi

akuntansi adalah:

a. Alam - Banjir, gempa, angin puting beliung, longsor.

b. Manusia - Kejadian yang disebabkan oleh pengguna atau bukan pengguna

dapat berupa sesuatu yang tidak disengaja (pemasukan data yang tidak hati -

hati), ataupun yang sengaja (penyerangan terhadap jaringan, akses ilegal

terhadap data yang dilindungi, virus).

c. Lingkungan - Mati listrik, polusi, zat/gas kimia beracun.

IV.1.3.3 Menentukan Kelemahan yang Potensial

Berbeda dengan proses identifikasi ancaman (thread) yang dilakukan berdasarkan

rekening dan transaksi penting yang berpengaruh terhadap integritas dari laporan

keuangan. Identifikasi kelemahan (vulnerabilities) dilakukan berdasarkan ancaman

penggunaan teknologi informasi dan pengendalian internal yang telah ada.

Pendekatan yang diambil untuk menilai kelemahan bersifat dari bawah ke atas

(bottom up) bertolak belakang dengan proses identifikasi kelemahan (top down).

Pendekatan dari bawah ke atas (bottom up) bermula dari identifikasi pengendalian

internal yang telah ada dalam menjaga/mengurangi risiko dari ancaman – ancaman

yang telah diidentifikasi pada tahap sebelumnya.

104

Berikut ini adalah pendekatan dari bawah ke atas yang digunakan dalam

mengidentifikasi kelemahan yang dapat mengganggu integritas dari rekening dan

transaksi yang digunakan dalam membuat laporan keuangan :

1. Identifikasi pengendalian internal yang berhubungan langsung dengan

ancaman.

2. Menetapkan kekurangan atau ketiadaan pengendalian internal untuk menjaga

suatu risiko tertentu.

3. Membuat bagan risiko.

4. Mengelompokkan kekurangan atau ketiadaan pengendalian internal

berdasarkan kompleksitasnya.

Dalam mengidentifikasi kelemahan penggunaan teknologi informasi dalam

mendukung sistem informasi akuntansi, perlu untuk dilihat sifat dan kompleksitas dari

pengendalian. Kelemahan tersebut timbul dari kesalahan atau kelemahan prosedur,

desain dan implementasi pengendalian internal yang ada . Pengendalian internal pada

sistem informasi akuntansi memiliki keunikan dibanding dengan pengendalian

internal konvensional karena pengendalian internal pada sistem informasi akuntansi

dibuat berdasarkan penggunaan teknologi informasi. Oleh karena itu dalam

melakukan identifikasi perhatian harus lebih ditekankan pada pengendalian internal

yang bersifat otomatis karena memiliki kompleksitas dan dampak yang lebih tinggi

dibandingkan pengendalian yang bersifat manual.

IV.1.3.4 Penilaian Risiko (Risk Rating)

Untuk menentukan nilai kemungkinan (likelihood rating) yang mencerminkan

kemungkinan kelemahan yang berpotensi merusak integritas dari sistem informasi

akuntansi. Berikut ini beberapa faktor yang dapat menjadi perhatian dalam

menentukan nilai kemungkinan :

a. Motivasi, keahlian dan kesempatan dari sumber ancaman.

b. Sifat bawaan dari kelemahan.

c. Keberadaan dan efektivitas dari pengendalian internal.

Kemungkinan dari kelemahan yang potensi menjadi ancaman dapat dikategorikan

menjadi tinggi, sedang dan rendah. Berikut ini adalah penjelasannya :

105

Tabel IV.2 Skala Penilaian Kemungkinan Risiko

Tingkat

Kemungkinan

Penjelasan

Tinggi Sumber ancaman sangat termotivasi dan memiliki kemampuan

sedangkan pengendalian yang ada berjalan tidak Efektif dalam

melindungi kelemahan yang ada.

Sedang Sumber ancaman sangat termotivasi dan memiliki kemampuan,

pengendalian yang ada dirasakan dapat menghambat

dipergunakannya kelemahan yang ada.

Rendah Sumber ancaman kurang memiliki motivasi dan kemampuan,

atau pengendalian yang ada dapat mencegah atau mengurangi

dipergunakannya kelemahan yang ada.

Langkah berikutnya dalam menilai sebuah risiko adalah dengan memperkirakan

dampak dari risiko tersebut. Secara umum akibat dari kegagalan pengendalian

internal adalah terjadinya kehilangan (loss), penurunan (degradation) atau kombinasi

di antara keduanya dalam hal integritas, ketersediaan dan kerahasiaan (integrity,

availability dan confidentiality) dari sistem informasi akuntansi. Berikut ini adalah

deskripsi singkat dari:

a. Hilangnya integritas – Integritas sistem dan data merupakan sebuah kebutuhan

yang mengharuskan terlindunginya informasi dari perubahan atau kehilangan

yang dilakukan secara tidak sah. Integritas dari sistem informasi akuntansi

dikatakan hilang apabila terjadi perubahan terhadap informasi yang tersimpan

pada sistem informasi akuntansi baik dilakukan dengan sengaja atau tidak

sengaja.

b. Hilangnya Kerahasiaan – Menjaga kerahasiaan dari sistem dan data

merupakan usaha untuk melindungi informasi dari pengungkapan yang tidak

semestinya. Akibat dari pengungkapan yang tidak sah tersebut dapat berupa

rusaknya citra individu, organisasi atau kelompok di muka publik.

c. Hilangnya ketersediaan – Hilangnya ketersediaan layanan sistem informasi

akuntansi dapat mengganggu produktivitas sistem akuntansi. Hilangnya

ketersediaan layanan tidak berpengaruh langsung terhadap integritas dari

sistem informasi akuntansi, akan tetapi apabila tidak ditangani dengan serius

maka dampak dari risiko tersebut akan menjalar mempengaruhi integritas dari

sistem informasi akuntansi.

106

Tabel IV.3 Skala Ukuran Dampak dari Risiko

Dampak Penjelasan

Tinggi Mengakibatkan hilangnya integritas dari sistem informasi

akuntansi. Hal ini mengakibatkan untuk sementara waktu

dihentikannya layanan sistem informasi akuntansi. Pada

tingkatan ini terkadang aspek kerahasiaan (confidentiality) dan

ketersediaan (availability) sudah tidak dapat dipertahankan.

Sedang Tidak dapat atau terganggunya layanan sistem informasi

akuntansi, terdapat kehilangan aset – aset fisik ataupun sumber

daya informasi. Integritas dari sistem informasi akuntansi masih

dapat terjaga tetapi aspek kerahasiaan (confidentiality) dan

ketersediaan (availability) mulai terganggu.

Rendah Mengakibatkan terganggunya atau tidak bisa diberikannya

layanan sistem informasi akuntansi. Risiko tersebut tidak

berpengaruh terhadap integritas dari sistem informasi akuntansi

hanya mempengaruhi ketersediaan (availability) layanan sistem

informasi akuntansi.

Setelah diketahui kemungkinan (likelihood) dan akibat dari risiko, langkah

selanjutnya adalah dengan membuat metrik risiko (risk matrix) berdasarkan :

a. Kemungkinan terjadinya risiko (Likelihood).

b. Dampak dari risiko tersebut.

Tingkatan skala risiko merupakan hasil perkalian antara kemungkinan terjadinya

risiko dan dampak dari risiko tersebut. tabel risiko adalah tabel 3x3 yang berisikan

skala kemungkinan (tinggi, sedang, rendah) dan skala dari dampak risiko (tinggi,

sedang, rendah). tabel risiko tidak terbatas hanya 3x3, tabel risiko dapat pula berupa

tabel 4x4 atau 5x5.

Tabel IV.4 Matrik Penilaian Risiko

Kemungkinan

Risiko (likelihood)

Akibat (impact)

Rendah

(10)

Sedang

(50)

Tinggi

(100)

Tinggi (1.0) Rendah

10 x 1.0 = 1

Sedang

50 x 1.0 = 50

Tinggi

100 x 1.0 = 100

Sedang (0.5) Rendah

10 x 0.5 = 5

Sedang

50 x 0.5 = 25

Sedang

100 x 0.5 = 50

Rendah (0.1) Rendah

10 x 0.1 = 1

Rendah

50 x 0.1 = 5

Rendah

100 x 0.1 = 10

Contoh tabel risiko pada tabel menggunakan skala tinggi, sedang dan rendah.

penentuan skala ini merupakan sesuatu yang subjektif. Skala tersebut sebenarnya

menunjukkan justifikasi dari tingkat kemungkinan terjadinya risiko atau dampak yang

107

mungkin ditimbulkan. Perkalian dari nilai kemungkinan terjadinya risiko dan nilai

akibat dari risiko tersebut menunjukkan nilai kegentingan (urgency) dari sebuah

risiko.

IV.1.4 Perbaikan Pengendalian Internal

IV.1.4.1 Perbaikan Kekosongan Aktivitas Pengendalian Internal

Setelah mengetahui tingkatan risiko dari ancaman dan kelemahan penggunaan

teknologi informasi, dalam menerapkan pengendalian internal sebaiknya dilakukan

analisa terlebih dahulu keuntungan dan kerugiannya. :

a. Menentukan dampak implementasi/perbaikan dari pengendalian internal .

b. Menentukan dampak apabila tidak dilakukan implementasi/perbaikan dari


c. Perkirakan biaya implementasi/perbaikan pengendalian internal.

d. Menilai biaya implementasi/perbaikan dibandingkan dengan manfaat yang

didapat terhadap sistem informasi akuntansi.

Dalam menerapkan pengendalian internal terhadap risiko yang ditimbulkan oleh

manusia, beberapa pertimbangan perlu dilakukan sebelum

mengimplementasikan/perbaikan pengendalian internal. Risiko yang ditimbulkan oleh

manusia dipengaruhi oleh motivasi untuk melakukan dan biaya yang dikeluarkannya.

Suatu kelemahan apabila tidak menarik (tidak termotivasi) dan memerlukan biaya


Keuangan Penting



Penilaian Risiko



108

yang besar untuk melakukannya cenderung lebih aman dibandingkan dengan

kelemahan yang memiliki nilai komersial dan memerlukan biaya yang relatif murah.

Dalam menentukan pengendalian internal sebaiknya manajemen mengikuti urutan

langkah – langkah proses di bawah ini :

a. Menentukan prioritas - Berdasarkan tingkatan risiko hasil dari penilaian risiko

sebelumnya, tentukan prioritas risiko implementasi\perbaikan berdasarkan

tingkat risiko yang dimilikinya.

b. Mengevaluasi rekomendasi pengendalian internal - Dikarenakan sifat dan

karakteristik yang berbeda-beda dari setiap risiko, risiko yang memiliki tingkat

risiko tinggi tidak langsung diterapkan pengendalian internal. Evaluasi

terhadap penerapan pengendalian internal dilakukan berdasarkan analisa biaya

dan manfaat terhadap penerapan pengendalian internal tersebut.

c. Tentukan Pengendalian Internal - Setelah melakukan analisa biaya dan

manfaat, manajemen menentukan pengendalian yang dirasa paling efektif

dalam mengurangi risiko dari penggunaan teknologi informasi. Pengendalian

yang dipilih haruslah merupakan pengendalian yang sesuai dengan kebijakan

dan prosedur yang ada pada organisasi.

d. Tentukan yang bertanggung Jawab - Tentukan individu yang memiliki

pengalaman dan keahlian dalam mengimplementasi dan menjalankan

pengendalian internal. Individu tersebut dapat berasal dari internal organisasi

atau didapatkan dengan cara alih daya (outsourcing).

e. Implementasikan pengendalian internal – Melakukan implementasi dari


IV.1.4.2 Perbaikan Secara Sistematis Berdasarkan Maturity Level

Selain memperbaiki kekosongan pengendalian internal berdasarkan hasil dari analisa

risiko, diperlukan juga suatu mekanisme perbaikan yang bersifat menyeluruh tidak

terbatas hanya kepada aspek teknis semata. Apabila perbaikan hanya difokuskan

untuk mengisi kekosongan pengendalian internal, perbaikan tersebut hanya bersifat

sebagai suatu respons dari sebuah kejadian (accidental). Perbaikan dengan cara

mengisi kekosongan pengendalian semata tidaklah dapat disebut sebagai suatu

pengendalian internal karena seyogianya suatu pengendalian internal dibangun

109

berdasarkan lima komponen pengendalian internal seperti yang dijabarkan pada

COSO.

Untuk mengatasi permasalahan tersebut , Diperlukan suatu Tatacara penerapan

pengendalian internal yang berisikan tata cara penilaian, ukuran dan panduan

perbaikan pengendalian internal. Penerapan pengendalian internal dapat

dikelompokkan menjadi suatu maturity level yang berkisar antara non-existent (level

0) sampai dengan Optimized (level 5), pendekatan ini diambil dari maturity level yang

dimiliki oleh Software Engineering Institute (SEI). Penggunaan maturity level

bertujuan untuk membantu - Manajemen dalam melakukan benchmark dan self-

assessment yang bertujuan untuk mengetahui penerapan pengendalian internal.

a. Membandingkan penerapan pengendalian internal dengan organisasi yang

lain.

b. Membantu menentukan kekurangan dan merancang perbaikan yang sesuai

dengan yang dibutuhkan.

Maturity level didesain sebagai profil dari aktivitas pengendalian internal yang

menggambarkan kondisi saat ini dan perbaikan yang harus dilakukan. Maturity level

bukanlah merupakan sebuah batas – batas tertentu (threshold) yang harus dipenuhi.

Maturity level membantu dalam mengidentifikasi kekurangan dari penerapan

pengendalian internal dan memberikan panduan dalam menentukan prioritas dari

perbaikan yang harus dilakukan. Maturity level merupakan sebuah tingkatan

kematangan yang dapat digunakan sebagai ukuran dalam menilai penerapan

pengendalian internal. Maturity Level terdiri dari enam tingkatan mulai dari non-

existent (level 0) sampai dengan Optimized (level 5). Keenam tingkatan tersebut

apabila dilihat dari sudut pandang pengendalian internal adalah :

a. Level 1 - Pengendalian internal telah mulai untuk diterapkan. Kinerja dari

pengendalian internal ini belum direncanakan dan dinilai dengan baik. Kinerja

masih tergantung terhadap pengetahuan dan usaha perindividu. Kinerja dari

pengendalian internal masih diasosiasikan dengan kinerja perorangan. telah

ada kesadaran bahwa diperlukan penerapan pengendalian internal .

b. Level 2 - Kinerja dari pengendalian internal telah direncanakan dan tercatat.

Kinerja merupakan hasil dari sebuah prosedur baku yang dimiliki organisasi.

110

Pengendalian telah mengikuti standar dan kebutuhan (requirements) yang

diakui keberadaannya. Telah dilakukan Penilaian untuk mengawasi

pengendalian internal. Perbedaan mendasar dengan level 1 adalah kinerja dari

pengendalian internal telah direncanakan dan dikelola.

c. Level 3 - Pengendalian internal telah dilakukan berdasarkan standar yang

diakui dan telah disesuaikan dengan keadaan organisasi. perbedaan utama

dengan level 2 adalah pengendalian internal telah direncanakan dan dikelola

pada tingkatan organisasi.

d. Level 4 - Pengukuran dari kinerja pengendalian internal. telah dilakukan dan

dianalisa. proses ini mengarahkan kepada pengertian kuantitatif dari proses

pengendalian internal dan keahlian untuk memperkirakan bagaimana cara

untuk meningkatkan kinerja dari pengendalian internal. Tujuan dari kinerja

telah dikelola, dan kualitas dari hasil pengendalian internal telah diukur secara

kuantitatif. Perbedaan dengan level 3 adalah pengendalian internal telah

diukur secara kuantitatif dan terkendali.

e. Level 5- Telah ada target kuantitatif dari kinerja dan efisien pengendalian

internal yang dibuat berdasarkan tujuan umum pengendalian internal.

Perbaikan yang berkesinambungan terhadap tujuan dari pengendalian internal

dilakukan berdasarkan timbal balik dari pelaksanaan proses yang terdefinisi

dan berdasarkan inovasi - inovasi dan teknologi. Perbedaan mendasar dengan

level 4 adalah proses pengendalian internal yang telah terdefinisi dilakukan

perbaikan yang berkelanjutan berdasarkan pengertian dampak yang terukur

dari perubahan proses pada pengendalian internal .

IV.2 Aktivitas Pengendalian Internal

IV.2.1 Pengendalian akses

Integritas dari sistem informasi akuntansi bergantung pada pengendalian akses

terhadap peran dan wewenang yang ada pada sistem informasi akuntansi dan sumber

daya teknologi informasi (IT Resource), Untuk membatasi akses terhadap sistem

informasi akuntansi diperlukan pengendalian yang bertujuan mencegah terjadinya

penyalah gunakan wewenang. Pengendalian yang akan diterapkan adalah dengan

111

melakukan manajemen identitas,pengendalian wewenang dan tanggung jawab pada

sistem informasi akuntansi dan sumber daya TI yang mendukungnya.

IV.2.1.1 Tujuan Pengendalian (Control Objective)

a. Tatakelola Peran dan Tanggung Jawab - Integritas dari sebuah transaksi sangat

ditentukan oleh proses pengawasan, idealnya fungsi pengawasan dan fungsi

pelaksanaan dilakukan oleh dua kelompok yang berbeda. Untuk mencegah

terjadinya penyalah gunakan wewenang, harus ada prosedur formal dalam

melakukan registrasi dan deregistrasi pengguna sistem untuk mengatur pemberian

dan pengambilan akses/wewenang. Audit terhadap akses-akses dan wewenang

untuk setiap pengguna sistem sebaiknya dilakukan secara berkala menggunakan

prosedur formal. Setiap pengguna harus memiliki identitas yang unik, tidak dapat

digunakan secara bersama - sama. Setiap kali pengguna masuk kepada sistem,

sistem mencatat setiap aktivitas yang dianggap penting yang nantinya dapat

digunakan sebagai bukti atau bahan penilaian.

b. Password Pengguna (End User Password) - Tersedianya standar penggunaan

password yang menjelaskan bagaimana standarisasi password yang dapat

dipergunakan pada sistem informasi akuntansi. Standar tersebut minimal

menjelaskan komposisi minimal dari password (lebar minimal, kombinasi huruf

dan angka), lamanya password tersebut dapat dipergunakan, Banyak kesalahan

dalam memasukan password. Mekanisme pengawasan terhadap penggunaan

password sebaiknya dilakukan secara otomatis untuk menghindari kekeliruan atau

penyalah gunakan.

c. Keamanan Identitas - Akses kepada Sistem informasi akuntansi dan infrastruktur

teknologi informasi harus dikontrol oleh prosedur yang mengutamakan

keamanan. Apabila menggunakan password maka mekanisme penggunaannya

mengikuti kebijakan password management yang telah ada. Setiap pengguna

harus memiliki identitas yang unik, tidak dapat digunakan secara bersama - sama.

Setiap kali pengguna masuk ke sistem, sistem mencatat setiap aktivitas yang

dianggap penting yang nantinya dapat digunakan sebagai bukti atau bahan

pengawasan.

d. Keamanan Akses Fisik - Pengendalian fisik sistem informasi akuntansi haruslah

dapat mencegah atau menghalangi sabotase terhadap perangkat keras pemrosesan

dan penyimpanan sistem informasi akuntansi. Harus ada yang bertanggung jawab

112

memastikan keamanan fisik sistem informasi akuntansi, koordinasi harus

senantiasa dilakukan antara departemen TI dan penanggung jawab keamanan

gedung\fasilitas. Pengendalian fisik sistem informasi akuntansi mengatur pihak –

pihak yang dapat mengaksesnya serta prosedur pengaksesannya. Tidak semua

orang dapat mengakses langsung infrastruktur dari sistem informasi akuntansi

IV.2.1.2 Maturity Level

Level 1 - Penilaian risiko terkait dengan risiko dari penyalah gunakan akses dan

wewenang pada sistem informasi akuntansi belum dilakukan secara formal. Karena

tidak didasarkan atas analisa risiko maka penerapan pengendalian akses pada sistem

informasi akuntansi masih terbatas berdasarkan inisiatif pengembang sistem informasi

akuntansi. Informasi yang berhubungan dengan pengendalian akses dan wewenang

belum dapat dikomunikasikan dengan baik karena pelaksanaan pengendalian akses

dan wewenang masih bersifat intuitif.

Level 2 - Organisasi mulai memahami pentingnya pengendalian akses. standar dan

prosedur pengendalian akses telah dibuat meskipun belum mencakup seluruh tujuan

pengendalian (control objective) pengendalian akses. Penilaian risiko secara formal

terhadap penyalah gunakan akses dan wewenang mulai dilakukan. Meskipun

demikian organisasi masih menganggap bahwa penyalahgunaan akses dan wewenang

pada sistem informasi akuntansi semata – mata merupakan masalah pada domain TI

semata. Pada tahap pengembangan sistem informasi akuntansi, pengendalian akses

telah menjadi salah satu kebutuhan (requirements) selain kebutuhan fungsionalitas

dari sistem informasi akuntansi.

Level 3 - Telah ada bagian atau individu yang bertanggung jawab mengatur

pengendalian akses dan wewenang pada sistem informasi akuntansi beserta sumber

daya TI yang mendukungnya. Pemberian akses dan wewenang pada sistem informasi

akuntansi dilakukan berdasarkan prinsip – prinsip akuntansi dengan tujuan untuk

menghindari penyalahgunaan wewenang. Standar dan prosedur pengendalian akses

dan wewenang telah terdefinisi dengan baik akan tetapi ketersediaan Informasi untuk

melakukan pengawasan masih belum tersedia dengan cepat dan terstruktur. Telah

dilakukan mekanisme pengawasan pengendalian akses pada sistem informasi

113

akuntansi, Pada saat ini mekanisme pengawasan masih dilakukan dengan semi-

otomatis.

Level 4 - Koordinasi antara bagian IT, keuangan dan SDM dalam mengatur

pengendalian akses pada sistem informasi akuntansi dan sumber daya TI yang

mendukungnya telah mulai dibangun meskipun pelaksanaannya masih tumpang

tindih. Risiko dari penyalah gunakan akses dan wewenang pada sistem informasi

akuntansi telah dikategorikan sebagai risiko yang dapat mengganggu integritas dari

sistem informasi akuntansi. Setiap permohonan pengguna baru atau

penambahan/pengurangan wewenang pada sistem informasi akuntansi dilakukan

secara tertulis dan diotorisasi pelaksanaannya oleh yang berwenang. Telah dilakukan

pencatatan perilaku akses (profile) yang dilakukan untuk mendukung proses

pengawasan dan penyidikan. Hasil dari pencatatan tersebut kemudian dianalisa secara

otomatis atau manual untuk mengetahui\mencegah apabila terjadi penyalahgunaan

akses atau wewenang.

Level 5 - Koordinasi departemen TI , keuangan dan SDM dalam pemberian dan

pengawasan akses dan wewenang yang ada pada sistem informasi akuntansi beserta

sumber daya TI yang mendukungnya telah terjalin dengan baik di mana peran dan

tanggung jawab tiap – tiap departemen telah terdefinisi dengan baik. Proses

pengendalian akses dan wewenang senantiasa dilakukan perbaikan menyesuaikan

dengan perubahan kondisi internal dan eksternal (regulasi, standar akuntansi).

Informasi yang dibutuhkan untuk melakukan pengawasan telah terdefinisi dengan

baik dan didistribusikan dengan cepat kepada yang membutuhkannya. Pengawasan

akses dan wewenang dilakukan bersama – sama antara departemen TI, departemen

keuangan dan SDM, proses pengawasan yang bersifat otomatis diimbangi dengan

pengawasan manual (audit) yang telah dilakukan terkoordinasi dengan proses audit

organisasi secara menyeluruh.

IV.2.1.3 Peran dan Tanggung Jawab

a. Kepala Layanan Sistem Informasi – membuat standar/prosedur pengendalian

akses pada sistem informasi akuntansi.

b. Kepala Keamanan Informasi – membuat standar dan prosedur pengendalian akses

sumber daya informasi (jaringan, database, server). Merancang mekanisme

114

otentifikasi sistem informasi akuntansi dan sumber daya informasi yang

mendukungnya.

c. Petugas Keamanan Informasi - menjalankan dan mengotorisasi setiap

permohonan pemberian akses sumber daya informasi. Melakukan analisa risiko

terhadap akses yang akan atau telah diberikan.

d. Kepala Keamanan Gedung – berkoordinasi dengan keamanan informasi untuk

mengatur keamanan fisik fasilitas – fasilitas pendukung sistem informasi

akuntansi.

IV.2.2 Keamanan Jaringan

Sistem informasi akuntansi harus dilindungi dari ancaman - ancaman yang dilakukan

melalui media jaringan (network). Salah satu cara yang dapat dilakukan adalah

dengan membatasi akses langsung terhadap sistem. Untuk menghindari pencurian dan

manipulasi data yang ditransmisikan melalui jaringan wajib dilakukan encryption.

Sebisa mungkin sistem informasi akuntansi tidak dapat diakses oleh jaringan publik,

apabila hal ini tidak dapat dihindarkan maka penggunaan virtual private network

harus dilakukan sesuai dengan kebijakan keamanan komunikasi dan kebijakan akses

jarak jauh.


a. Keamanan komunikasi - Setiap informasi yang melalui jaringan wajib di-

encryption, Standar encryption yang digunakan mengikuti kebijaksanaan

keamanan informasi yang telah ada. Penggunaan standar encryption di luar dari

yang telah ditetapkan tidak dibenarkan.

b. Akses jarak jauh (Remote Access) - Terdapat kebijaksanaan yang mengatur

mekanisme akses jarak jauh. Kebijaksanaan tersebut minimal mengatur

bagaimana memulai dan mengakhiri sebuah hubungan (connection) pada sistem

informasi akuntansi, teknologi yang digunakan, mekanisme otentifikasi, batas

waktu sebuah koneksi dalam keadaan kosong (idle) dan juga batas waktu lamanya

sebuah koneksi dilakukan. Selain daripada itu dijelaskan juga tanggung jawab dan

wewenang dalam pengelolaan akses jarak jauh.


Level 1 - Penilaian risiko dari keamanan jaringan telah mulai dilakukan meskipun

pelaksanaannya tidak menyeluruh dan berkesinambungan. Pelaksanaan pengendalian

115

keamanan jaringan masih bersifat khusus. Respons terhadap gangguan keamanan

jaringan masih bersifat reaktif.

Level 2 - Telah ada yang bertanggung jawab dan mengatur pelaksanaan pengendalian

keamanan jaringan. Telah dilakukan penilaian risiko keamanan jaringan pada sistem

informasi akuntansi meskipun pelaksanaannya masih terfokus pada infrastruktur

jaringan yang ada. Pelaporan masih bersifat asal-asalan, tidak lengkap dan masih

terfokus kepada masalah teknis semata. Dokumentasi dari pengendalian keamanan

jaringan masih sulit untuk ditemukan. Dokumentasi dari pengendalian keamanan

jaringan masih sulit untuk ditemukan. Pengawasan hanya berdasarkan laporan yang

ada tidak dilakukan secara real time.

Level 3 - Organisasi telah memiliki standar dan prosedur yang mengatur keamanan

komunikasi dan mekanisme akses jarak jauh. Manajemen telah sadar akan risiko yang

ditimbulkan dari penggunaan media komunikasi elektronik, penilaian risiko telah

dilakukan dengan menggabungkan antara aspek teknis (infrastruktur jaringan) dan

non teknis (nilai data). Standar dan prosedur pengendalian keamanan jaringan telah

mulai diimplementasikan tetapi belum dilakukan pengukuran. Standar dan prosedur

keamanan jaringan telah didokumentasikan berdasarkan kebutuhan pengendalian

internal pada sistem informasi akuntansi. Pengawasan terhadap kejadian (incident)

keamanan jaringan telah mulai dilakukan secara real time.

Level 4 - Telah dibentuknya tim keamanan jaringan yang berisikan gabungan antara

departemen TI dan departemen Keuangan. Tugas dari tim tersebut adalah mengawasi

dan merancang kebijaksanaan keamanan jaringan. Penilaian risiko telah dilakukan

dengan terencana mencakup hampir sebagian besar infrastruktur jaringan yang ada ,

penilaian risiko secara rutin dilakukan dan dilakukan berdasarkan standar/framework

tertentu. Manajemen senantiasa mengomunikasikan program – program keamanan

jaringan baik dengan cara pembuatan pamflet/buletin atau dengan melakukan

pelatihan. Telah dibuat Target dan metrik keamanan jaringan akan tetapi proses

pelaksanaan dan pengukuran belum dilakukan dengan konsisten.

Level 5 - Manajemen telah dapat memastikan bahwa kegagalan keamanan jaringan

tidak akan mengganggu operasional dari sistem informasi akuntansi. Tes dan

116

penilaian risiko yang bersifat global telah dilakukan dimana hasil dari tes tersebut

dijadikan masukan untuk melakukan perbaikan pengendalian keamanan jaringan.

Poin - poin dari kebijaksanaan keamanan jaringan telah dilakukan sepenuhnya dan

secara berkala dilakukan pembandingan (benchmark) dengan pihak luar. Target dan

metrik telah dilakukan penilaian dan pengukuran dengan konsisten.


a. Kepala Keamanan Informasi & Jaringan – Membuat kebijaksanaan (polesi)

pengendalian keamanan jaringan, mengawasi jalannya penerapan pengendalian

keamanan jaringan.

b. Kepala Keamanan Informasi – berkoordinasi dengan kepala keamanan sistem dan

jaringan untuk menentukan prioritas dari penerapan pengendalian keamanan

jaringan Merancang mekanisme otentifikasi penggunaan sistem informasi

akuntansi secara jarak jauh.

c. Analis Keamanan Jaringan – Melakukan analisa kebutuhan keamanan

komunikasi dan pengendalian akses jarak jauh. Melakukan analisa terhadap risiko

dan ancaman yang mungkin terjadi. Melakukan validasi terhadap penerapan dari

pengendalian keamanan jaringan.

d. Admin Jaringan atau Petugas Keamanan Informasi – Melakukan komunikasi

dengan kepala keamanan sistem dan jaringan atas penilaian risiko dan ancaman

dari keamanan pengendalian jaringan. Menjalankan standar dan prosedur

pengendalian keamanan jaringan. Melakukan konfigurasi infrastruktur keamanan

komunikasi serta konfigurasi pengendalian akses jarak jauh.

IV.2.3 Kelangsungan Layanan Sistem Informasi Akuntansi

Untuk menjamin kelangsungan sistem informasi akuntansi, diperlukan rencana untuk

menghadapi kejadian - kejadian yang mengganggu kelangsungan layanan sistem

informasi akuntansi. Rencana tersebut haruslah bersifat menyeluruh mencakup

seluruh komponen - komponen penunjang sistem informasi akuntansi .


a. Kelangsungan Layanan dan penilaian risiko - Harus dilakukan identifikasi

terhadap kejadian yang dapat mengganggu kelangsungan sistem informasi

akuntansi, dilakukan juga penilaian kemungkinan terjadi dan dampak yang

117

ditimbulkannya (business impact analysis). Rencana kelangsungan layanan sistem

informasi akuntansi harus tetap menjunjung tinggi prinsip – prinsip akuntabilitas.

Minimal isi dari rencana kelangsungan layanan sistem informasi akuntansi

berisikan panduan, peran dan tanggung jawab, prosedur serta mekanisme

komunikasi pasca terjadinya bencana.

b. Pengujian, pemeliharaan dan penilaian ulang Rencana Kelangsungan Layanan -

Rencana kelangsungan layanan sistem informasi akuntansi bukanlah merupakan

sesuatu yang statis, harus senantiasa dilakukan pelatihan dan juga perbaikan untuk

memastikan kesiapan dalam menghadapi bencana. Rencana kelangsungan sistem

informasi akuntansi harus senantiasa dilakukan pengujian dan perbaikan (update)

untuk memastikan efektivitas dan keterkinian. Simulasi bencana juga harus

dilakukan dengan mengikut sertakan pengguna sistem informasi akuntansi, tujuan

dari simulasi tersebut adalah untuk melatih pengguna sistem informasi akuntansi

peran dan tanggung jawab yang harus dilakukan pasca terjadinya bencana.


Level 1 - Manajemen telah sadar akan pentingnya kelangsungan layanan sistem

informasi akuntansi. Akan tetapi pelaksanaan dari pengendalian kelangsungan

layanan sistem informasi akuntansi masih terbatas karena kurangnya dukungan

sumber daya (resource). Tanggung jawab kelangsungan layanan masih diterapkan

secara informal dan wewenang yang dimiliki masih terbatas Pengawasan akan

kelangsungan layanan telah dilakukan tetapi masih terbatas pada cara - cara manual.

Level 2 - Telah dibuat Rencana kelangsungan layanan sistem informasi akuntansi,

akan tatapi pelaksanaannya masih tergantung pada individu – individu tertentu.

Dokumen Kelangsungan layanan belum tersedia seluruhnya, meskipun telah ada

komitmen untuk memberikan layanan di saat darurat. Pelaporan masih bersifat asal -

asalan, tidak menyeluruh dan belum ada analisa dampak terganggunya kelangsungan

sistem informasi terhadap bisnis.

Level 3 - Telah ada yang bertanggung jawab dan memelihara kelangsungan layanan

sistem informasi akuntansi. Secara berkala telah dilakukan pengujian dan pelaporan

terhadap kesiapan keberlangsungan layanan sistem informasi akuntansi. Telah

tersedia peralatan – peralatan untuk menghadapi keadaan darurat sesuai dengan apa

118

yang terdapat pada rencana kelangsungan bisnis. Telah ada rencana Kelangsungan

layanan sistem informasi akuntansi yang dibuat berdasarkan kegentingan dari layanan

akuntansi dan akibat terhadap bisnis secara menyeluruh. Target dan metrik untuk

keberlangsungan layanan telah dibuat tetapi pengukurannya dilakukan secara tidak

konsisten.

Level 4 - Telah terjadi koordinasi antara departemen TI dan departemen Keuangan

untuk menjalankan dan memelihara rencana kelangsungan layanan sistem informasi

akuntansi. Pemeliharaan rencana kelangsungan layanan sistem informasi akuntansi

dilakukan berdasarkan hasil tes dan penilaian risiko. Kejadian yang menyebabkan

terhentinya layanan telah diklasifikasikan dan penyebabnya telah dipelajari agar tidak

terulang kembali, organisasi telah memiliki lokasi alternatif untuk menjalankan sistem

informasi akuntansi. Pelatihan formal telah dilakukan untuk mendukung

keberlangsungan layanan sistem informasi akuntansi.

Level 5 - Kesadaran akan pentingnya kelangsungan layanan telah terbentuk, seluruh

komponen organisasi telah mengerti akan peran dan tanggung jawabnya dalam

melaksanakan rencana kelangsungan bisnis. Rencana kelangsungan layanan sistem

informasi akuntansi telah dibuat dan dirawat berdasarkan analisa akibat terhadap

bisnis (business impact analysis). Kelangsungan layanan sistem informasi akuntansi

telah terintegrasi dengan rencana kelangsungan layanan bisnis dan secara rutin

dilakukan perawatan. Pengukuran Target dan metrik untuk keberlangsungan layanan

sistem informasi akuntansi telah dilakukan secara sistematik.


a. Kepala Operasional Bisnis – Berkoordinasi dengan bagian “layanan informasi

bisnis” menentukan proses bisnis – proses bisnis yang harus dapat segera tersedia

pasca terjadinya bencana. mengomunikasikan rencana kelangsungan layanan

sistem informasi kepada para pemilik proses. Melakukan latihan bersama untuk

mengevaluasi rencana kelangsungan bisnis sekaligus melatih kesiapan pasca

terjadinya bencana.

b. Kepala Layanan Informasi - Berkoordinasi dengan bagian lainnya untuk

merancang rencana kelangsungan layanan sistem informasi akuntansi, membuat

standar operasional prosedur pasca terjadinya bencana. Melakukan analisa

119

dampak/akibat terhadap bisnis untuk menentukan akibat ketiadaan layanan sistem

informasi akuntansi pasca terjadinya bencana.

c. Kepala Sistem Aplikasi & Jaringan – memberikan masukan dalam pembuatan

rencana kelangsungan bisnis berkaitan dengan sistem dan jaringan.. Bertanggung

jawab memelihara lokasi alternatif agar dapat digunakan sewaktu - waktu.

IV.2.4 Audit Sistem Informasi Akuntansi

Untuk menjamin keberlangsungan layanan sistem informasi akuntansi sebaiknya

dilakukan audit terhadap seluruh komponen yang berinteraksi seperti peran dan

tanggung jawab dalam penggunaan dan pengelolaan sistem informasi akuntansi,

integritas dari proses – proses yang ada pada sistem informasi akuntansi serta yang

tidak kalah pentingnya adalah kualitas dari pengendalian internal yang ada di

dalamnya. Untuk memudahkan audit\pengawasan setiap kegiatan pada sistem

informasi akuntansi sebaiknya dilakukan pencatatan. Pencatatan tersebut penting

untuk mendeteksi kesalahan baik yang disengaja ataupun tidak disengaja.


a. Audit - Dalam melakukan audit sistem informasi akuntansi, hal penting yang

harus dijaga adalah integritas dari audit tersebut. Untuk menjamin integritas dari

proses audit maka audit harus didukung oleh audit carter. Audit carter tersebut

minimal harus berisikan peran, wewenang dan tanggung jawab dalam melakukan

audit sistem informasi akuntansi. Pelaksanaan dari audit sistem informasi

akuntansi haruslah mendapatkan dukungan dari komite audit dan dewan direksi.

Pelaksanaan proses audit harus difokuskan pada bagian – bagian yang memiliki

risiko tinggi yang dapat mengganggu integritas sistem informasi akuntansi.

b. Tatakelola Log File - Informasi mengenai aktivitas pengguna, pengecualian

(exception), dan kejadian - kejadian yang berhubungan dengan keamanan

informasi haruslah tercatat dan disimpan dalam jangka waktu tertentu, audit

dilakukan untuk mengetahui penyebab serta merumuskan penanggulangannya.

Media penyimpanan dari log file harus dilindungi untuk menghindari pengusalan

atau manipulasi isi dari log file.

120


Level 1 - Audit tidak didasari dari hasil analisa risiko, hal ini terjadi karena

pelaksanaan proses audit bukan merupakan inisiatif dari organisasi dalam memandang

risiko dari sistem informasi akuntansi. Proses audit terhadap sistem informasi

akuntansi telah dilakukan tetapi masih merupakan inisiatif dari perorangan (bukan

tuntutan organisasi). Belum adanya format standar pelaporan audit teknologi

informasi, hal ini dikarenakan belum jelasnya tujuan dari audit teknologi informasi.

Level 2 - Proses audit sistem informasi akuntansi telah dilakukan berdasarkan

permintaan organisasi untuk mengurangi risiko penggunaan teknologi informasi

dalam menjalankan sistem akuntansi. Meskipun telah ada kesadaran akan risiko dari

kegagalan audit teknologi informasi, rencana audit teknologi informasi belum

membahas tentang kegagalan dari proses audit. Proses audit telah dilakukan dengan

terencana berdasarkan risiko – risiko yang mungkin timbul dari penggunaan

teknologi informasi. Peran, wewenang dan tanggung jawab dalam melakukan audit

teknologi informasi pada sistem informasi akuntansi telah mulai dirumuskan dalam

piagam audit (audit carter) meskipun belum lengkap dan terkadang tidak konsisten

dalam pelaksanaannya.

Level 3 – Telah ada komitmen dari organisasi untuk melakukan audit pada sistem

informasi akuntansi dengan sebaik – baiknya, komitmen tersebut ditindak lanjuti

dengan dukungan keuangan, sumber daya manusia serta pemberian wewenang yang

diperlukan mendukung dalam pelaksanaan audit. Pelaksanaan audit diprioritaskan

pada bagian – bagian yang memiliki risiko tinggi. Proses Audit telah didukung

melalui audit carter yang berisikan peran, wewenang dan tanggung jawab dalam

melakukan audit sistem informasi akuntansi. Pemilik proses telah diberikan

penyuluhan/pelatihan tentang kepatuhan (compliance) dalam menjalankan proses

yang menjadi tanggung jawabnya. Telah ada dukungan langsung terhadap audit

sistem informasi akuntansi dengan dibentuknya komite audit yang mengawasi

langsung jalannya proses audit teknologi informasi pada sistem informasi akuntansi.

Level 4 - Telah terjadi koordinasi antara departemen TI, keuangan dan komite audit

dalam merencanakan, membuat dan melaksanakan audit sistem informasi akuntansi.

Telah dilakukan upaya – upaya untuk memperkecil risiko kegagalan audit teknologi

121

informasi, Salah satunya adalah dengan mendatangkan konsultan yang membantu

merancang strategi perbaikan. Tatacara dan tujuan (objective) audit teknologi

informasi telah terdokumentasi, tata cara tersebut telah berisikan ukuran dan tatacara

pengukurannya. Telah terjalin komunikasi antara internal auditor dan eksternal

auditor dalam mengomunikasikan proses dan hasil audit sistem informasi akuntansi.

Telah terjalin komunikasi antara internal auditor dan eksternal auditor dalam

mengomunikasikan proses dan hasil audit sistem informasi akuntansi. Audit komite

telah berperan aktif dalam merencanakan, membuat, dan melaksanakan audit sistem


Level 5 - Hasil dari audit merupakan dasar manajemen untuk melakukan perbaikan

penerapan pengendalian internal. Telah adanya ukuran – ukuran yang menjelaskan

tingkat kesulitan dari proses audit, semakin tinggi kesulitan melakukan audit maka

semakin besar sumber daya yang dikerahkan untuk melakukan audit tersebut. Proses

audit teknologi informasi merupakan salah satu komponen penting dalam menunjang

perbaikan organisasi secara menyeluruh. Telah terjadi komunikasi dua arah antara

pemilik proses dan auditor, perbaikan senantiasa dilakukan agar sesuai dengan

kebutuhan bisnis dengan mengedepankan prinsip – prinsip kepatuhan. Hasil dari

Audit sistem informasi akuntansi Telah menjadi salah satu komponen dalam audit

sistem akuntansi, untuk industri – industri tertentu audit sistem informasi akuntansi

telah menjadi salah satu syarat yang harus dipenuhi.


a. Komite Audit – Membuat audit carter, Memberikan mandat kepada auditor untuk

melakukan audit terhadap penerapan pengendalian internal pada sistem informasi

akuntansi.

b. CEO, CFO, CIO – Menerima laporan hasil audit.

c. Kepala Audit –merencanakan, mendesain dan mengoordinir pelaksanaan audit

pengendalian internal pada sistem informasi akuntansi. Berpartner dengan unit

keuangan dan unit teknologi informasi untuk melakukan penilaian risiko terkait

dengan penggunaan teknologi informasi untuk mendukung sistem informasi

akuntansi. Berhubungan dengan eksternal auditor untuk membantu mereka dalam

melakukan audit.

122

d. Kepala keamanan sistem dan jaringan, Kepala keamanan informasi –

Berkoordinasi untuk merancang Tatacara dan menentukan prioritas dalam

melakukan audit pengendalian internal pada sistem informasi akuntansi.

e. Auditor – Mengumpulkan data – data, melakukan penilaian penerapan

pengendalian internal pada sistem informasi akuntansi, membuat laporan dan

mempresentasikan kelemahan – kelemahan penerapan pengendalian internal

beserta perbaikan yang harus dilakukan.

IV.2.5 Pusat Data

Setiap data - data transaksi keuangan yang diproses oleh sistem informasi akuntansi

akan disimpan di pusat data (data center). Untuk menjamin integritas dari informasi

tersebut, diperlukan pengendalian yang bertujuan untuk melindungi pusat data dari

berbagai macam gangguan/ancaman yang dapat merusak integritas informasi.

Pengendalian pusat data yang akan diterapkan dapat berupa pengendalian terhadap

fasilitas - fasilitas fisik yang ada di dalam pusat data, mekanisme backup dan juga

mekanisme cadangan yang dapat menjamin kelangsungan layanan pusat data.


a. Pengendalian Fasilitas - Untuk menghindari kehilangan atau perusakan terhadap

informasi - informasi yang terdapat pada pusat data, pusat data harus dilengkapi

dengan mekanisme pengendalian akses (access control) untuk mengatur dan

membatasi akses terhadap perangkat dan media penyimpanan (pita, hart disk,

DVDl) yang ada di dalamnya. Pastikan juga bahwa pusat data memiliki

mekanisme pengawasan (monitoring) terhadap kondisi/keadaan lingkungan di

sekitar pusat data dengan cara menerapkan mekanisme peringatan (alarm) dan

pengawasan (Monitoring) seperti untuk pencurian, api, banjir ataupun

ketersediaan listrik.


Level 1 - Pengendalian terhadap pusat data telah mulai dilakukan meskipun masih

bersifat khusus. Belum jelasnya prosedur pengendalian pusat data, Hal ini

menyebabkan tidak tersedianya panduan tatacara pengendalian pusat data.

123

Level 2 - Telah ada yang bertanggung jawab untuk menjalankan pengendalian

terhadap pusat data. Pengendalian pusat data dilakukan berdasarkan hasil analisa

risiko meskipun hanya dilakukan untuk komponen – komponen utama pusat data.

Pelaksanaan pengendalian pusat data telah dilakukan dengan terencana meskipun

belum mencakup seluruh tujuan pengendalian (control objective) pusat data. Backup

terhadap pusat data telah mulai dilakukan meskipun belum didistribusikan ke

beberapa tempat yang berjauhan. Telah ada mekanisme pengawasan pusat data, akan

tetapi objek yang diawasi dan tatacara pengawasannya belum dilakukan dengan

terstruktur karena tidak adanya prosedur dan standar yang dapat dijadikan dasar

bertindak.

Level 3 - Telah tersedia Prosedur dan standar untuk menjalankan pengendalian

terhadap pusat data, Meskipun demikian prosedur untuk menanggulangi kejadian –

kejadian darurat belum jelas terdefinisi. Penilaian risiko terhadap pusat data telah

dilakukan berdasarkan kebijaksanaan dan prosedur yang ada, Telah ada kesadaran

bahwa Penilaian risiko merupakan salah satu komponen penting dalam keberhasilan

Pelaksanaan pengendalian pusat data. Pusat data telah dilengkapi dengan mekanisme

pengawasan terhadap fasilitas-fasilitas yang ada di dalamnya, backup telah dilakukan

dengan terjadwal dan didistribusikan ke beberapa tempat. Prosedur dan standar

pengendalian pusat data telah didokumentasikan dan disosialisasikan. Prosedur dan

standar pengendalian pusat data telah didokumentasikan dan disosialisasikan.

Pengawasan terhadap pusat data telah dilakukan dengan terencana akan tetapi

pelaksanaannya belum maksimal karena sebagian masih dilakukan secara manual.

Level 4 - Organisasi telah berkomitmen untuk mendukung penerapan pengendalian

terhadap pusat data, komitmen tersebut ditindak lanjuti dengan memberikan anggaran

dan sumber daya yang diperlukan. Penilaian risiko telah dilakukan secara berkala

dengan menggunakan ukuran – ukuran yang konsisten, Pada tahap ini kinerja dari

pengendalian pusat data harus telah dapat memenuhi ambang risiko yang dapat

diterima organisasi. Telah tersedia prosedur untuk menanggulangi kejadian – kejadian

darurat, prosedur – prosedur tersebut senantiasa diperbaharui. Pelatihan telah

dilakukan untuk melatih kesiapan pelaksanaan pengendalian pusat data serta kesiapan

pasca terjadinya kejadian\bencana yang menimpa pusat data. Pengawasan terhadap

pusat data telah dilakukan dengan menggunakan perkakas – perkakas yang berjalan

124

secara otomatis, audit secara manual dilakukan untuk menilai pelaksanaan

pengendalian terhadap pusat data.

Level 5 - Telah terbentuknya Budaya dan lingkungan yang mengedepankan

pentingnya pengendalian pada pusat data di setiap tingkat organisasi (operasional,

manajemen dan dewan direksi). Organisasi telah menganggap pusat data merupakan

salah satu sumber risiko yang dapat berpengaruh terhadap organisasi. Pada tahap ini

penilaian risiko telah menyatu dengan analisa risiko organisasi secara menyeluruh.

Organisasi telah dapat memastikan bahwa kegagalan operasional pusat data tidak

akan berpengaruh terhadap integritas dari sistem informasi akuntansi, Dokumen –

dokumen pengendalian pusat data senantiasa dilakukan pembaharuan berdasarkan

kondisi keadaan saat ini dan perkembangan teknologi. Terdapat laporan berkala akan

kinerja dari pengendalian pusat data, laporan tersebut telah menggunakan ukuran –

ukuran baku yang dapat menggambarkan kinerja pengendalian pusat data dari waktu

ke waktu.

IV.2.5.3 Peran dan Tanggung jawab

a. Kepala layanan informasi – Bersama dengan Kepala keamanan informasi, kepala

layanan sistem dan jaringan membuat kebijakan pengendalian pusat data serta

standar atau prosedur penanggulangan pasca terjadinya gangguan\musibah.

b. Kepala layanan sistem dan jaringan – Memastikan bahwa pusat data tetap dapat

beroperasi meskipun telah terjadi gangguan pada server dan jaringan.

Bertanggung jawab membuat kebijaksanaan yang mengatur mekanisme backup

dan pendistribusiannya. Mengoordinasi proses backup dan pendistribusian hasil

backup tersebut.

c. Kepala keamanan informasi - Mengawasi jalannya pengendalian internal,

melakukan analisa risiko terhadap suatu kejadian atau masalah yang mungkin

terjadi dan merumuskan penanggulangannya.

d. Kepala pengelola bangunan – berkoordinasi dengan kepala layanan informasi

untuk menentukan alokasi sumber daya dan perlindungan fisik yang terbaik dalam

menunjang jalannya operasional pusat data.

e. Kepala pengelolaan fasilitas pusat data - Mengomunikasikan status, risiko dan

permasalahan yang dihadapi. Berkoordinasi dengan pengelola bangunan untuk

membuat dan menjalankan pembatasan akses fisik terhadap pusat data.

125

f. Operasional pusat data - Mengawasi kondisi pusat data dan kondisi lingkungan

sekitarnya (suhu, kelembaban ). Mencatat segala kejadian yang mengganggu

integritas dari sistem informasi akuntansi.

IV.2.6 Operasional Komputer

Komputer desktop merupakan salah satu sumber risiko. Pengrusakan yang dilakukan

oleh virus, worm, trojan, spyware dan sebagainya merupakan beberapa risiko yang

dapat mempengaruhi integritas dari sistem informasi akuntansi. Penggunaan

komputer kemungkinan akan menghadapi gangguan atau masalah. Gangguan tersebut

mustahil untuk dihilangkan sepenuhnya, oleh karena itu usaha yang dapat dilakukan

adalah dengan mengelola masalah tersebut, bagaimana penyelesaiannya serta

pencegahan yang dapat diambil untuk mencegah hal tersebut terulang kembali.


a. Antivirus - Setiap komputer yang menjadi client dari sistem informasi akuntansi

wajib menggunakan antivirus sesuai standar organisasi. Antivirus wajib dilakukan

pembaharuan (update) secara otomatis minimal satu kali sehari dan melakukan

scan minimal satu kali setiap minggunya. Apabila diindikasikan terdapat virus

pada komputer client, administrator atau sistem dapat memutuskan jaringan antara

client dan sistem informasi akuntansi.

b. Pengelolaan Masalah dan Kejadian - Mendapatkan keyakinan yang memadai

bahwa setiap permasalahan direspons dengan benar, tercatat dan dilakukan

investigasi agar masalah serupa tidak terulang kembali. Setiap kejadian atau

masalah selalu dicari akar permasalahannya, untuk setiap permasalahan tersebut

dibuat langkah – langkah pencegahan agar permasalahan tersebut tidak terulang

kembali. Terdapat repository dari kejadian – kejadian yang berhubungan dengan

sistem informasi akuntansi, repository tersebut berperan juga sebagai knowledge

base dari permasalahan – permasalahan yang pernah terjadi. Organisasi telah

memiliki escalation procedure untuk permasalahan – permasalahan yang sering

timbul atau permasalahan yang berdampak langsung terhadap integritas sistem


126


Level 1 - Kesadaran akan penilaian risiko dari operasional komputer masih bersumber

dari inisiatif pribadi. Pengendalian operasional komputer telah mulai diterapkan

meskipun dilakukan secara terbatas. Belum jelasnya prosedur dan standar

pengendalian operasional komputer, hal ini menyebabkan kurang tersedianya

panduan tatacara pengendalian operasional komputer.

Level 2 - Mulai dibuatnya standar dan prosedur yang mengatur mekanisme

penanganan dan penanggulangan masalah/kejadian serta standar dan prosedur

pengamanan dan penanggulangan virus komputer. Penilaian risiko operasional

komputer telah mulai dilakukan akan tetapi pelaksanaannya masih terbatas karena

kurangnya wewenang dalam melakukan penilaian. pengendalian operasional

komputer telah mulai dilakukan secara terorganisir, akan tetapi pelaksanaannya

masih terbatas karena kurangnya dukungan. Pengawasan terhadap pengendalian

operasional komputer telah dilakukan tetapi masih terbatas pada usaha - usaha

manual.

Level 3 - Organisasi telah memiliki standar dan prosedur yang mengatur pengendalian

operasional komputer, telah terdapat individu atau bagian yang bertanggung jawab

menjalankan standar dan prosedur tersebut. Penilaian risiko dilakukan berdasarkan

tujuan dari kebijaksanaan pengendalian operasional komputer, hasil dari penilaian

risiko kemudian dijadikan masukan dalam merancang pengendalian operasional

komputer. Setiap masalah dan kejadian telah dikelola dengan baik seperti dengan

menggunakan sistem tiket, telah terdapat panduan untuk menyelesaikan masalah –

masalah yang sering timbul (frequency asked question, FAQ). Pelatihan telah

diadakan secara rutin dan wajib diikuti oleh setiap pengguna sistem informasi

akuntansi. Pengawasan terhadap operasional komputer telah dilakukan berdasarkan

standar dan prosedur pengendalian operasional komputer..

Level 4 - Organisasi telah mendukung penerapan pengendalian operasional komputer

melalui alokasi anggaran dan sumber daya yang diperlukan. Organisasi telah memiliki

dan menerapkan standar dan prosedur dalam pencegahan penyebaran masalah

(escalation procedure). Standar pengendalian operasional komputer telah terdefinisi

sesuai dengan kebijaksanaan pengendalian operasional komputer yang ada. Sosialisasi

127

telah mulai dilakukan terhadap setiap pengguna sistem informasi akuntansi.. Kejadian

yang menyebabkan terganggunya operasional komputer telah diklasifikasikan dan

penyebabnya telah dipelajari.

Level 5 - Standar dan prosedur dari pengendalian operasional komputer secara rutin

diperbaharui sesuai dengan perkembangan teknologi keamanan informasi.

Operasional komputer telah dianggap sebagai salah satu sumber risiko yang dapat

mengganggu integritas dari laporan keuangan. Telah timbul kesadaran pada Pengguna

komputer akan pentingnya integritas dari informasi, pengguna komputer senantiasa

memberi masukan akan risiko – risiko yang mungkin dapat berpengaruh terhadap

integritas dari data yang dikelola/prosesnya. Standar pengendalian operasional

komputer senantiasa dilakukan pembaharuan berdasarkan kondisi keadaan saat ini

dan perkembangan teknologi. Pengukuran Target dan metrik untuk pengendalian

operasional komputer telah dilakukan secara sistematis. Hasil dari pengukuran

tersebut kemudian dijadikan dasar dari proses perbaikan.

IV.2.6.3 Peran dan Tanggung jawab

a. Kepala layanan informasi – Merancang mekanisme pengaduan atau pelaporan

terhadap setiap masalah yang mungkin timbul pada sistem informasi akuntansi.

b. Kepala keamanan informasi – Melakukan analisa risiko terhadap gangguan atau

masalah yang mungkin menimpa sistem informasi akuntansi. Membuat klasifikasi

gangguan pada sistem informasi akuntansi serta merancang penyelesaian dan

pencegahannya.

c. Petugas Keamanan Informasi (Information Security Officer) - Mengawasi kondisi

keadaan komputer – komputer dari kemungkinan gangguan virus.

Mengklasifikasikan gangguan keamanan informasi yang terjadi, mendiagnosa

serta mencari solusi terbaik untuk mengatasinya.

d. IT Support atau Help desk – Menerima dan mencatat segala pengaduan yang

berhubungan dengan sistem informasi akuntansi. Memberikan solusi untuk

permasalahan – permasalahan tersebut, apabila tidak dapat diatasi maka

meneruskan kepada bagian yang lebih berwenang.

128

IV.2.7 Tatacara Pengembangan Sistem

Berkembangnya kebutuhan bisnis menyebabkan sistem informasi akuntansi harus

senantiasa diperbaharui. Perubahan tersebut terkadang tak bisa dihindari, yang

penting untuk diperhatikan dalam melakukan perubahan adalah bagaimana menjaga

integritas dari pemrosesan yang dilakukan oleh sistem informasi akuntansi pasca

dilakukan perbaikan. Untuk itu diperlukan pengendalian dalam tata kelola perubahan,

konfigurasi dan prosedur serah terima aplikasi.


a. Pengadaan dan Perawatan - Menyediakan pengendalian terhadap pengadaan dan

pemasangan/instalasi infrastruktur penunjang sistem informasi akuntansi. Setiap

pengadaan harus terencana dan dilakukan secara transparan, Organisasi harus

memiliki daftar rekanan yang berisikan rekam jejak (track record) dari proses

pengadaan barang sebelumnya. Harus dilakukan testing dan audit terhadap hasil

dari pengadaan untuk mengetahui kesesuaian antara proses implementasi dan

kontrak yang telah disepakati.

b. Tatakelola Perubahan - Terdapat tata kelola yang mengatur mekanisme perubahan

(perbaikan atau pembaharuan) pada sistem informasi akuntansi, . Setiap

perubahan harus terlebih dahulu dilakukan tes dan diotorisasi. Pengendalian

memberikan keyakinan yang memadai bahwa sistem yang terpasang telah

dilakukan pengujian dan validasi untuk memastikan integritas dari sistem

informasi akuntansi, kualitas dari pengendalian internal serta kesesuaian dengan

kebutuhan bisnis. Tata kelola perubahan ini penting untuk memastikan perubahan

tersebut serta sesuai dengan kebutuhan bisnis dan regulasi serta untuk memastikan

pula bahwa sistem yang baru tidak memiliki kesalahan (bug) dalam melakukan

pemrosesan yang dapat mengganggu integritas. .

c. Tatakelola Konfigurasi - Pastikan bahwa sumber daya TI yang digunakan dalam

mengelola data - data transaksi keuangan telah terlindungi dari perubahan yang

tidak semestinya, tata kelola konfigurasi diperlukan untuk memastikan bahwa

setiap perubahan dapat dipertanggungjawabkan. Organisasi sebaiknya memiliki

repository konfigurasi sistem informasi akuntansi serta komponen – komponen

pendukungnya. Repository tersebut senantiasa diperbaharui dan diaudit

keabsahannya.

129


Level 1 - Belum dilakukannya penilaian risiko secara formal ketika akan melakukan

perubahan terhadap sistem informasi akuntansi Pengendalian terhadap perubahan

sistem masih dilakukan secara terbatas dan lebih bersifat khusus. Setiap perubahan

pada sistem informasi akuntansi belum dikomunikasikan dengan baik karena

pelaksanaan pengendalian perubahan sistem masih bersifat khusus atau perkejadian.

Level 2 - Tata kelola perubahan sistem informasi akuntansi telah mulai diterapkan

akan tetapi belum sepenuhnya menjadi sebuah kesadaran. Penilaian risiko terhadap

kegagalan pada perubahan sistem informasi akuntansi mulai dilakukan, akan tetapi

tindak lanjuti dari penilaian tersebut belum maksimal. Pengendalian perubahan dan

perubahan itu sendiri belum berjalan secara beriringan. Perubahan dilakukan tanpa

ada yang mengotorisasi, kebenaran perubahan hanya dilihat dari aspek teknis semata.

Mulai dilakukan pendokumentasian atas informasi – informasi penting penunjang

keberhasilan perubahan sistem informasi akuntansi.. Pengawasan sudah mulai

direncanakan, akan tetapi pelaksanaannya belum konsisten karena belum adanya

pemahaman yang merata akan tujuan pengendalian Terhadap perubahan sistem


Level 3 - Manajemen telah mengerti dan mendukung pengendalian pada perubahan

sistem, telah ada individu/bagian yang berwewenang dan tanggung jawab untuk

menjalankan pengendalian perubahan sistem informasi akuntansi. Analisa risiko telah

digunakan sebagai indikator dalam menentukan kebutuhan dan prioritas dari

perubahan. Pelaksana perubahan dan yang mengotorisasi perubahan merupakan

individu yang terpisah, Setiap perubahan harus terlebih dahulu dilakukan pengujian

(unit testing) sebelum perubahan tersebut dapat diotorisasi pelaksanaannya.

Manajemen telah mengerti akan informasi – informasi yang harus tersedia, akan tetapi

proses distribusi dan komunikasi belum berjalan dengan baik.

Pelaksana perubahan dan yang mengotorisasi perubahan merupakan individu yang

terpisah, Setiap perubahan harus terlebih dahulu dilakukan pengujian (unit testing)

sebelum perubahan tersebut dapat diotorisasi pelaksanaannya.

Level 4 - Proses pengendalian perubahan sistem telah terdokumentasi dengan baik.

Telah digunakannya standar untuk membantu penerapan dan pelaksanaan

130

pengendalian terhadap perubahan sistem. Proses perubahan dilakukan berdasarkan

analisa risiko seperti terhadap tingkat kesukaran, besarnya biaya, ketersediaan sumber

daya manusia serta akibatnya terhadap bisnis. Organisasi telah memiliki repository

yang berisikan profil dan konfigurasi dari sistem informasi akuntansi dan perangkat

keras (hardware), repository tersebut diperbaharui secara berkala dan dilakukan audit

untuk memastikan integritas informasi yang ada di dalamnya. Requirement, Unit

testing, konfigurasi sistem telah dengan baik terdefinisi dan Disimpan dalam

repository untuk memudahkan pengaksesan. Audit terhadap proses dan hasil

perubahan secara berkala telah dilakukan untuk menunjang fungsi pengawasan.

Level 5 - Organisasi telah memiliki kebijaksanaan dan prosedur yang terintegrasi

dengan tata kelola risiko dalam mengatur tata cara pelaksanaan perubahan sistem

informasi akuntansi Setiap perubahan pada sistem informasi akuntansi telah dilakukan

dengan terencana berdasarkan hasil analisa kebutuhan dan analisa risiko. Change

management telah sepenuhnya diterapkan dengan mengimplementasikan tata kelola

perubahan terhadap seluruh komponen – komponen pembangun sistem informasi

akuntansi seperti infrastruktur dan sumber daya manusia. Manajemen senantiasa

mendapatkan masukan tentang perbaikan yang harus dilakukan untuk dapat

mengsukseskan proses perubahan. Organisasi telah memiliki ukuran – ukuran tertentu

untuk menilai keberhasilan pelaksanaan perubahan sistem informasi akuntansi beserta

komponen – komponen pendukungnya.


a. CIO, CFO - melakukan otorisasi terhadap perubahan yang diusulkan, Memberikan

dukungan sumber daya yang dibutuhkan.

b. Kepala layanan bisnis informasi – Mengevaluasi kebutuhan (requirements),

meninjau dan mengesahkan rencana perubahan.

c. Kepala Keamanan Informasi – Mengevaluasi rencana kebutuhan (requirements)

dan rencana perubahan dilihat dari sudut pandang kepatuhan terhadap regulasi

atau standar – standar tertentu.

d. Kepala pengembangan dan pengadaan – Mengoordinir jalannya pengembangan

atau pengadaan. Merancang dan menjalankan Tatacara pengujian. Mengevaluasi

hasil pengembangan atau pengadaan.

131

e. Kepala sistem dan jaringan – Memaintain repository konfigurasi. Mencatat setiap

perubahan sistem dan konfigurasi. Mengotorisasi setiap perubahan konfigurasi

pada sistem dan jaringan.

f. Analis Keamanan Informasi - Mengumpulkan kebutuhan (requirement gathering)

fungsional dan kebutuhan akan keamanan informasi, Membuat analisa perubahan

beserta analisa keuntungan dan kerugiannya.

IV.2.8 Pengendalian Aplikasi

Tujuan dari digunakannya teknologi informasi adalah untuk meningkatkan efektivitas

dalam pengelolaan data. Satu hal yang harus diperhatikan adalah diperlukan juga

kebenaran dan juga ketepatan dalam mengelola data – data tersebut. Pengendalian

aplikasi pada sistem informasi akuntansi memberikan keyakinan yang memadai

bahwa proses pengolahan data menggunakan data yang benar, diproses dengan benar

dan disajikan dengan benar pula.


a. Validasi Masukan (Input) - Pengendalian masukan dirancang untuk dapat

memberikan jaminan yang memadai bahwa data yang dimasukkan dan

dikeluarkan oleh sistem informasi akuntansi telah terjamin kebenarannya. Data -

data tersebut (termasuk data yang dicetak dan dikirim melalui jalur komunikasi)

tidak ada yang hilang, berkurang, bertambah, duplikasi, atau diubah tanpa ijin.

b. Pengendalian Pemrosesan - Terdapat pengendalian yang memastikan kebenaran

dari setiap proses pengolahan data, Pengendalian pada tahap ini mengecek apakah

terdapat kesalahan masukan data yang tidak terdeteksi oleh pengendalian

pemasukan data. Pengendalian pemrosesan melakukan pengecekan akan

kewajaran dari hasil pemrosesan data. Untuk setiap pesan kesalahan, harus

terdapat dokumentasi yang menjelaskan tentang maksud dari pesan tersebut,

kemungkinan asal kesalahan serta bagaimana cara memperbaikinya. Untuk

menjaga integritas, pengendalian pemrosesan harus dilengkapi dengan mekanisme

rollback yang dilakukan secara otomatis apabila terjadi kesalahan pemrosesan.

c. Pengendalian Keluaran (Output) - Pengawasan terhadap hasil dari pemrosesan

bertujuan untuk menjaga kebenaran data yang dihasilkan oleh sistem informasi

akuntansi serta membatasi penggunaan keluaran dari sistem informasi akuntansi

hanya untuk yang berhak. Untuk mencegah penyalahgunaan laporan/informasi

132

yang dihasilkan oleh sistem informasi akuntansi. Harus ada pembatasan akses

untuk dapat mencetak dokumen/laporan. Saat melakukan pencetakan harus

disertakan informasi mengenai pihak - pihak yang akan menerima dokumen

tersebut, informasi tersebut dapat berupa banyaknya tembusan yang akan dibuat,

daftar penerima dan tanggal pencetakan dari dokumen tersebut.


Level 1 - . Pengawasan terhadap integritas pemrosesan pada sistem informasi

akuntansi telah dilakukan akan tetapi masih bersifat informal dan tidak konsisten

pelaksanaannya. Informasi yang digunakan dalam melakukan verifikasi belum

terdefinisi dengan baik, informasi yang digunakan masih berasal dari pemahaman

developer bukan dari analisa kebutuhan pengendalian aplikasi. Organisasi telah

mengerti akan pentingnya pengendalian aplikasi, akan tetapi belum ada kebijaksanaan

dan prosedur yang berhubungan dengan pengendalian aplikasi..

Level 2 - Telah ada yang bertanggung jawab dalam mengawasi penerapan

pengendalian aplikasi, akan tetapi wewenang yang dimilikinya masih terbatas.

Penilaian risiko mulai dilakukan akan tetapi manajemen tidak dapat menindak lanjuti

hasil dari penilaian risiko karena belum adanya wewenang yang jelasnya untuk

menindak lanjuti hasil dari penilaian risiko tersebut. Organisasi telah mulai

memasukkan pengendalian aplikasi sebagai salah satu kebutuhan (requirement) ketika

melakukan pembuatan/perubahan pada sistem informasi akuntansi. Telah ada yang

bertanggung jawab dalam mengawasi penerapan pengendalian aplikasi, akan tetapi

wewenang yang dimilikinya terbatas hanya sebagai pengawas.

Level 3 - Organisasi telah mengerti dan mendukung penerapan dan pelaksanaan

pengendalian aplikasi, wewenang dan tanggung jawab dalam melakukan penilaian

risiko, analisa kebutuhan pengendalian aplikasi telah terdefinisi dengan baik.

Penilaian risiko untuk pemasukan data, pemrosesan dan pelaporan pada sistem

informasi akuntansi telah memiliki dasar hukum yang jelas dan dilengkapi dengan

tata cara pelaksanaannya. Pengendalian masukan, pengendalian pemrosesan dan

pengendalian keluaran telah diterapkan sesuai dengan hasil dari analisa kebutuhan

pengendalian aplikasi dan analisa risiko penggunaan sistem informasi akuntansi.

Informasi yang digunakan dalam mendukung proses verifikasi pada pengendalian

133

aplikasi telah terdokumentasi dan telah ada yang berwenang dalam melakukan

pengecekan untuk memastikan integritas dari informasi tersebut.

Level 4 - Pengendalian aplikasi Telah dijalankan sepenuhnya baik secara manual

ataupun otomatis, keduanya merupakan gabungan yang saling mengisi antara satu

dengan yang lain (tidak saling menghilangkan). Penerapan pengendalian aplikasi telah

dilakukan sesuai dengan standar dan best practice. Apabila diindikasi terdapat

kelemahan atau kekurangan pada pengendalian aplikasi, Hasil dari analisa risiko telah

dijadikan dasar dalam melakukan perubahan pengendalian aplikasi. Pengawasan akan

risiko dan penerapan pengendalian internal telah dilakukan dengan baik, audit secara

berkala telah dilakukan untuk menunjang fungsi pengawasan pada pengendalian

aplikasi. Telah dilakukan pelatihan yang secara formal mengajarkan tentang tata cara

penggunaan pengendalian aplikasi pada sistem informasi akuntansi.

Level 5 - Senantiasa dilakukan perbaikan terhadap kebijaksanaan, prosedur dan

standar berdasarkan penilaian dan pengawasan atas implementasi pengendalian

aplikasi yang telah ada. Pengendalian aplikasi telah menggunakan metode peramalan

(forecasting) untuk memprediksi terjadinya kesalahan, pengendalian aplikasi tidak

hanya bersifat statis (programmed) tatapi telah menerapkan prinsip pembelajaran

(learning). Pengguna sistem informasi akuntansi telah mengerti akan pentingnya

pengendalian aplikasi, pengguna berperan serta memperbaiki pengendalian aplikasi

dengan cara memberi masukan mengenai perbaikan yang harus dilakukan. Telah

terjadi integrasi antara pengawasan dan perbaikan yang berkelanjutan dalam

penerapan pengendalian aplikasi.


a. Kepala layanan informasi bisnis – Berkoordinasi dengan bagian keuangan akan

penerapan pengendalian internal baik yang bersifat manual atau otomatis,

melakukan pelatihan kepada pengguna sistem informasi akuntansi mengenai

mekanisme pengendalian aplikasi yang ada pada sistem informasi akuntansi.

b. Kepala keamanan informasi – Mendesain pengendalian aplikasi yang sesuai

dengan kebutuhan (requirements) dan kaidah – kaidah keamanan informasi.

Memastikan bahwa pengendalian aplikasi pada sistem informasi akuntansi telah

sesuai dengan standar – standar akuntansi yang berlaku secara umum.

134

c. Kepala pengembangan - Menurunkan desain pengendalian internal yang terdapat

pada proses bisnis menjadi pengendalian aplikasi seperti mekanisme pengecekan,

otorisasi dan pembagian wewenang pada setiap proses transaksi yang terjadi di

dalam\melalui sistem informasi akuntansi. memastikan kebenaran dari setiap

proses pengendalian aplikasi dengan cara menguji hasil dari proses pengolahan

transaksi yang terjadi pada sistem informasi akuntansi

d. Analis Kepatuhan (Compliance Analyst) - Mengumpulkan kebutuhan

(requirements gathering) pengendalian aplikasi sesuai dengan kaidah dan standar

yang berlaku, Melakukan analisa risiko beserta analisa keuntungan dan

kerugiannya.

IV.3 Pengujian Framework Pengendalian Internal

IV.3.1 Tatacara Pengujian

IV.3.1.1 Lokasi Pengujian

Pengujian dilakukan pada PT Telekomunikasi Indonesia TBK (PT Telkom) bagian

Internal Audit yang berlokasi di Lantai 5 GKP PT Telekomunikasi Indonesia jalan

Japati no 1 Bandung, Jawa Barat. Dipilihnya PT Telkom karena PT Telkom adalah

salah satu dari dua BUMN yang ada di Indonesia yang mencatatkan sahamnya di

bursa efek DOW Jones (Amerika Serikat), dengan dicatatnya saham PT Telkom di

sana maka otomatis PT Telkom memiliki kewajiban untuk patuh terhadap undang –

undang Sarbanes Oxley .

IV.3.1.2 Teknik Pengumpulan Data

Dalam penelitian ini digunakan pendekatan berupa studi literatur dan survey lapangan

dalam bentuk penyebaran kuesioner. Pengumpulan data bertujuan untuk menangkap

dan menjelaskan fakta untuk dapat digunakan dalam membuktikan hipotesis. Data

yang diperlukan dalam analisis dapat berupa data primer maupun sekunder. Data

primer merupakan data yang diperoleh secara langsung, sedangkan data sekunder

merupakan data yang diperoleh melalui tangan kedua. Teknik pengumpulan data yang

digunakan untuk memperoleh kedua jenis data tersebut adalah:

1. Studi literatur, yaitu mempelajari sumber-sumber literatur seperti tertulis

dalam buku, jurnal, dan penelitian terdahulu yang terkait dengan topik

penelitian ini yaitu proses penerapan pengendalian internal di PT Telkom.

135

2. Survey, yang merupakan penelitian langsung terhadap objek penelitian yang

dalam hal ini adalah Auditot Teknologi Informasi. Pengumpulan data

dilakukan dengan cara penyebaran kuesioner.

IV.3.1.3 Kuesioner

Kuesioner yang digunakan dalam pengujian ini adalah kuesioner bagian 3 identifikasi

pengendalian internal dan kuesioner bagian 4 identifikasi dan analisa risiko. Tujuan

dari kuesioner ini adalah untuk mengetahui sejauh mana penerapan tujuh aktivitas

pengendalian internal yang diusulkan pada tesis ini. Pada kuesioner ini juga

ditanyakan tingkatan risiko pengendalian internal dari ketujuh aktivitas pengendalian

internal.

IV.3.2 Analisa Hasil Pengujian

Gambar IV.4 Hipotesa Awal Model Pengendalian Internal

Untuk melakukan pembuktian terhadap model pengukuran, dibuat suatu analisa jalur

yang menggambarkan pola hubungan antar variabel dalam model. Adapun ketentuan

yang dipakai dalam merumuskan diagram jalur adalah hipotesis-hipotesis pada tesis

ini adalah sebagai berikut:

1. IT General Control (X2) mempengaruhi Pengendalian Internal (Y1).

2. Entity Level Control (X1) mempengaruhi Pengendalian Internal (Y1).

3. Application Control (X3)mempengaruhi Pengendalian internal (Y1).

γ1

Pengendalian

Internal

(Y1)

Entity Level Control

(X1) Application Control

(X3)

IT General Control

(X2)

γ2 γ 3

136

4. IT General Control (X2) dan Application Control (X3) saling

mempengaruhi .

5. IT General Control (X2) dan Entity level control (X1) saling

mempengaruhi .

6. Applications control (X3) dan Entity level control (X1) saling

mempengaruhi.

Selanjutnya dari model analisa jalur pada gambar di atas dapat diturunkan persamaan

Y1 = γ 11.X1+ γ 21.X2+ γ31.X3 ..........................................................................(IV.1)

Di mana:

γ ab = koefisien jalur antara Xa dan γa.

IV.3.2.1 Pengaruh variabel independen (X1, X2, X3) terhadap variabel

dependen (Y1) secara bersama-sama

Untuk mengetahui pengaruh secara bersama ketiga variabel independen terhadap

variabel dependen digunakan analisa regresi terhadap hasil survei.

Tabel IV.5 Hasil survei entity level control, it general control, application control,

pengendalian internal


IT General Control

Application Control


1 48 34 15 97

2 39 27 12 78

3 40 28 12 80

4 36 28 12 76

5 50 35 15 100

6 39 28 12 79

7 39 28 12 79

Perhitungan menggunakan aplikasi SPSS versi 17 menghasilkan model summary

sebagai berikut :

137

R Square adalah nilai yang menunjukkan besarnya pengaruh variabel independen

secara gabungan terhadap variabel dependen. Hasil perhitungan menghasilkan nilai R

square sebesar 0,936.

Maka koefisien determinasi adalah:

D = R Square x 100%

= 0,936 x 100%

= 93,6 %

Nilai ini menunjukkan bahwa independen Entity Level Control, IT General Control

dan Application control secara bersama-sama mempengaruhi variabel dependen

Pengendalian Internal sebesar 93,6%, sedangkan 0,64% adalah pengaruh dari faktor-

faktor lain di luar variabel independen tersebut.

Untuk membuktikan kebenaran pengaruh variabel X1, X2, dan X3 terhadap Y1

dilakukan uji hipotesis menggunakan uji F.

HO: tidak ada hubungan linier antara Entity level contro l (X1), IT General control

(X2) dan Application control (X3) secara bersama terhadap pengendalian internal

(Y1).

H1: Ada hubungan linier antara Entity level contro l (X1), IT General control (X2)

dan Application control (X3) secara bersama terhadap pengendalian internal (Y1).

Analisa nova dengan SPSS

Hasil perhitungan menunjukkan nilai F adalah14,539. selanjutnya nilai ini

dibandingkan dengan tabel F. Dari tabel f pada taraf signifikansi sebesar 0.05 derajat

kebebasan 3 dengan numerator jumlah variabel 3 dan denumerator jumlah sampel

138

sebanyak 7 didapat nilai tabel f sebesar 9,28. dengan demikian dapat disimpulkan

bahwa h0 ditolak dan h1 diterima atau terhadap hubungan bersama.

IV.3.2.2 Pengaruh variabel independen (X1, X2, X3) terhadap variabel

dependen (Y1) secara parsial

Untuk mengetahui pengaruh masing - masing variabel dependen terhadap variabel

independen, dilakukan analisa dengan uji T. Besarnya pengaruh dilihat dari besarnya

angka beta dari hasil perhitungan terhadap Tabel IV.5 dengan menggunakan SPSS

versi 17.

Nilai koefisien setiap variabel

Korelasi antara variabel IT General Control dengan Pengendalian internal

HO: tidak ada pengaruh antara IT General Control (X2) dengan pengendalian

internal (Y1).

H1: ada pengaruh antara IT General Control(X2) dengan pengendalian internal(Y1).

Uji hipotesis dilakukan dengan membandingkan nilai t hasil perhitungan dengan t dari

tabel dengan ketentuan jika t perhitungan > T tabel maka H0 ditolak dan H0 diterima.

Demikian juga sebaliknya jika t perhitungan < T tabel maka H0 diterima dan H1

ditolak.

Hasil perhitungan dengan SPSS pada tabel koefisien menunjukkan bahwa nilai t

untuk variabel IT General Control adalah sebesar 0.418 sedangkan nilai t tabel

dengan derajat kebebasan sebesar 4 adalah 2,776. karena nilai t perhitungan tabel

lebih besar dari t perhitungan maka hipotesis h0 diterima dan h1 ditolak, Dengan

demikian dapat disimpulkan bahwa tidak ada hubungan yang linier antara it general

control dan pengendalian internal

139

Korelasi antara variabel Entity Level Control dengan Pengendalian internal

HO: tidak ada pengaruh antara Entity Level control(X1) dengan pengendalian

internal (Y1).

H1: ada pengaruh antara Entity Level control (X1)dengan pengendalian internal

(Y1).




ditolak.


untuk variabel entity level control adalah sebesar 3,19 sedangkan nilai t tabel dengan

derajat kebebasan sebesar 4 adalah 2,776. karena nilai t perhitungan besar dari t tabel

maka hipotesis h0 ditolak dan h1 diterima, Dengan demikian dapat disimpulkan

bahwa ada hubungan yang linier antara entity level control dan pengendalian internal

Korelasi antara variabel Application Control dengan Pengendalian internal

HO: tidak ada pengaruh antara Application Control (X3) dengan pengendalian

internal (Y1).

H1: ada pengaruh antara Application Control (X3)dengan pengendalian internal

(Y1).




ditolak.


untuk variabel application control adalah sebesar -0.838 sedangkan nilai t tabel

dengan derajat kebebasan sebesar 4 adalah 2,776. karena nilai t tabel lebih besar dari t

perhitungan maka hipotesis h0 diterima dan h1 ditolak, Dengan demikian dapat

disimpulkan bahwa tidak ada hubungan yang linier antara application control dan

pengendalian internal

140

IV.3.2.3 Korelasi antara variabel-variabel independen (X1, X2, X3)

Untuk menentukan nilai korelasi antara dua variabel digunakan analisa bivariat

menggunakan Pearson correlation model. Perhitungan dilakukan untuk mengetahui

korelasi antara variabel-variabel sebagai berikut:

1. Korelasi antara IT General Control (X2) dengan Entity Level Control (X1).

2. Korelasi antara Entity Level Control (X1)dan Application Control (X3).

3. Korelasi antara IT General Control (X2) dan Application Control (X3).

Korelasi antara IT General Control (X2) dengan Entity Level Control (X1)

Tabel IV.6 Hasil survei entity level control dan it general control


IT General Control

1 48 34

2 39 27

3 40 28

4 36 28

5 50 35

6 39 28

7 39 28

Hasil perhitungan bivariate adalah :

Hasil perhitungan menunjukkan bahwa nilai korelasi antara it general control dan

entity level control adalah sebesar 0,935 sedangkan nilai signifikannya sebesar 0,02.

karena nilai korelasi jauh di atas nilai signifikan, ini menunjukkan bahwa korelasi

antara kedua variabel sangat signifikan kuat. Dengan demikian terbukti terdapat

korelasi yang kuat antara it general control dan entity level control.

141

Korelasi antara Entity Level Control (X1) dan Application Control (X3)

Tabel IV.7 Hasil survei entity level control dan application control


Application Control

1 48 15

2 39 12

3 40 12

4 36 12

5 50 15

6 39 12

7 39 12


Hasil perhitungan menunjukkan bahwa nilai korelasi antara entity level control dan

aplication control adalah sebesar 0,951 sedangkan nilai signifikannya sebesar 0,01.



korelasi yang kuat antara entity level control dan application control.

Korelasi antara IT General Control (X2) dan Application Control (X3)

Tabel IV.8 Hasil survei it general control dan application control

IT General Control

Application Control

1 34 15

2 27 12

3 28 12

4 28 12

5 35 15

6 28 12

7 28 12

142


Hasil perhitungan menunjukkan bahwa nilai korelasi antara it general control dan

application control adalah sebesar 0,990 sedangkan nilai signifikannya sebesar 0,00.



korelasi yang kuat antara it general control dan application control.

IV.3.3 Penyempurnaan model

Dari analisa regresi dan korelasi, pada korelasi antar variabel dapat diringkas

sebagaimana tabel di bawah ini.

Tabel IV.9 Hasil Pengujian

No Variabel 1 Variabel 2 Nilai

Korelasi

Korelasi

1 Independent (Entity

Level Control, IT

General Control dan

Application Control)

Dependen

(Pengendalian

Internal)

93,6 % Terdapat Korelasi

2 Entity Level Control Pengendalian Internal 3,19 Terdapat Korelasi

3 IT General Control Pengendalian Internal 0,419 Tidak ada

Korelasi

4 Application Control Pengendalian Internal -0,838 Tidak Ada

Korelasi

5 IT General Control Entity Level Control 0.935 Terdapat Korelasi

6 Application Control Entity Level Control 0.951 Terdapat Korelasi

IT General Control Application Control 0.990 Terdapat Korelasi

143

Dengan demikian model pengendalian internal yang telah disempurnakan adalah :

Gambar IV. 5 Penyempurnaan Model

Dari hasil pengujian ini dapat disimpulkan bahwa dari tiga jenis pengendalian

internal, pengendalian entity level control memiliki berkorelasi lebih dibandingkan

dengan pengendalian it general control dan application control. Hasil pengujian ini

dapat diartikan bahwa dalam mengimplementasikan pengendalian internal prioritas

sebaiknya diberikan kepada penerapan pengendalian entity level control, setelah

dirasakan cukup maka barulah beralih dengan mengimplementasikan pengendalian it

general control dan application control .

Untuk membantu dalam penerapan pengendalian it general control dan application

control. Dapat digunakan skala bantu seperti dibawah ini, kegunaan dari skala bantu

tersebut adalah untuk membantu menilai penerapan entity level control berdasarkan

kuesioner penerapan pengendalian internal (kuesioner bagian 3). Contoh skala bantu ,

Skala yang digunakan dapat menggunakan satuan persen yang memiliki rentang 0%

sampai 100%. Nilai yang dihasilkan dikategorikan menjadi lima, yaitu sebagai

berikut:

1. indek < 20.00% = sangat rendah

2. 20.00% ≤ indeks< 40.00% = rendah

3. 40.00% ≤ indek < 60.00% = sedang

4. 60.00% ≤ indek < 80.00% = tinggi

5. indek ≥ 80.00% = sangat tinggi

Pengendalian

Internal

(Y1)


(X1) Application Control

(X3)

IT General Control

(X2)

γ1

Audit Sistem Informasi Akuntansi. BAB IV Perancangan dan ... · PDF fileBAB IV Perancangan dan...

Documents

Transcript of Audit Sistem Informasi Akuntansi. BAB IV Perancangan dan ... · PDF fileBAB IV Perancangan dan...