Karya tulis sebagai salah satu syarat untuk memperoleh ... · Pada Sistem Informasi Akuntansi ......
18
Pemodelan Framework Pengendalian Internal Pada Sistem Informasi Akuntansi (Studi Kasus: PT. Telekomunikasi Indonesia TBK) TESIS Karya tulis sebagai salah satu syarat untuk memperoleh gelar Magister dari Institut Teknologi Bandung Oleh M Hendra Herviawan NIM : 23507035 (Program Studi Magister Informatika) INSTITUT TEKNOLOGI BANDUNG 2009
Transcript of Karya tulis sebagai salah satu syarat untuk memperoleh ... · Pada Sistem Informasi Akuntansi ......
Pemodelan Framework Pengendalian Internal
Pada Sistem Informasi Akuntansi
(Studi Kasus: PT. Telekomunikasi Indonesia TBK)
TESIS
Karya tulis sebagai salah satu syarat
untuk memperoleh gelar Magister dari
Institut Teknologi Bandung
Oleh
M Hendra Herviawan
NIM : 23507035
(Program Studi Magister Informatika)
INSTITUT TEKNOLOGI BANDUNG
2009
ii
ABSTRAK
Pemodelan Framework Pengendalian Internal
Pada Sistem Informasi Akuntansi
(Studi Kasus: PT. Telekomunikasi Indonesia TBK)
Oleh
M Hendra Herviawan
NIM : 23507035
(Program Studi Magister Informatika)
Di awal tahun 2000 terjadi skandal keuangan pada perusahaan- perusahaan besar di
Amerika seperti Enron, Tyco International, WorldCom. Skandal tersebut berupa
kesalahan dalam proses penyampaian transaksi keuangan sehingga laporan audit
transaksi keuangan perusahaan tersebut bersifat tidak bisa diandalkan (unreliable
financial report). Untuk memulihkan kepercayaan investor, pada tanggal 23 Januari
2002 kongres Amerika Serikat mengesahkan undang - undang Public Company
Accounting Reform and Investor Protection Act of 2002 atau undang - undang
perlindungan investor dan pengaturan akuntansi perusahaan publik, saat ini undang -
undang ini lebih terkenal dengan nama SOX atau Sarbox mengambil inisial dari
pencetus undang - undang ini Paul Sarbanes dan G.Oxley.
SOX terdiri atas 11 judul utama dengan 69 pasal. Terdapat dua bagian dalam SOX
yang mewajibkan manajemen untuk dapat memberikan keyakinan yang memadai
terkait dengan penerapan pengendalian internal. Bagian pertama adalah bagian 302,
corporate responsibility for financial report. Bagian kedua yang memiliki implikasi
dengan internal control adalah bagian 404, Management assessment of internal
control. SOX 302 & 404 menyebabkan perusahaan memiliki kewajiban hukum
melaporkan pengendalian internal terhadap proses pelaporan keuangan. Petunjuk
pelaksanaan SOX bagian 302 & 404 yang dikeluarkan oleh SEC menyarankan untuk
menggunakan pengendalian internal berbasiskan TI karena memiliki sifat konsisten
dan otomatis, oleh karena itu pengendalian internal pada TI menjadi penting untuk
menjaga kualitas dan integritas dari informasi yang dihasilkan oleh sistem informasi
akuntansi.
Pengendalian internal adalah sebuah proses yang diprakarsai oleh dewan direksi,
manajemen dan pihak lainnya yang didisain untuk mendapatkan keyakinan yang
memadai (reasonable assurance) agar tercapainya (1) Efektivitas dan efisien dalam
operasional, (2) Reabilitas dari laporan keuangan, (3) Patuh terhadap hukum dan
aturan – aturan. Dalam membangun pengendalian internal COSO mendefinisikan lima
komponen yang dapat digunakan sebagai panduan dalam penerapan pengendalian
internal. Kelima komponen tersebut adalah (1) Lingkungan Pengendalian (Control
iii
environment), (2) Penilaian risiko (Risk assessment), (3) Aktivitas Pengendalian
(Control Activity), (4) Informasi dan Komunikasi (Information and Communication)
dan (5). Pengawasan (Monitoring).
Untuk dapat memberikan keyakinan yang memadai terhadap integritas dari sistem
informasi akuntansi, framework pada tesis ini secara garis besar berisikan (1) Tatacara
penilaian dan perbaikan pengendalian internal, (2) 8 Aktivitas pengendalian internal
pada sistem informasi akuntansi. Tatacara yang akan dipergunakan dalam menilai dan
melakukan perbaikan pengendalian internal pada sistem informasi akuntansi adalah :
(1) Identifikasi rekening dan transaksi yang berpengaruh terhadap laporan keuangan,
(2) Identifikasi sumber daya TI dan pengendalian Internal, (3) Penilaian Risiko,
(4)Perbaikan Pengendalian Internal.
Framework pengendalian internal pada sistem informasi akuntansi berisikan 8
aktivitas pengendalian yang terbagi ke dalam 3 tipe pengendalian internal (Entity level
control, IT General Control, Application Control). Isi dari setiap aktivitas
pengendalian internal adalah : (1) Tujuan pengendalian (Control Objective), (2)
Maturity Level, (3) Kuesioner, (4) Tabel Perbaikan, (5) Peran dan Tanggung Jawab.
Untuk menguji pengendalian internal yang diusulkan pada framework ini dilakukan
penilaian dengan cara menyebarkan kuesioner terhadap penerapan pengendalian
internal berdasarkan framework yang ada pada tesis ini. Penyebaran kuesioner
dilakukan di PT Telekomunikasi Indonesia TBK (PT Telkom), kuesioner dibagikan
kepada bagian Internal Audit yang berlokasi di Lantai 5 GKP PT Telekomunikasi
Indonesia jalan Japati no 1 Bandung, Jawa Barat.
Hasil dari penilaian tersebut menunjukkan bahwa isi dari framework pengendalian
internal pada sistem informasi akuntansi yang diusulkan pada tesis ini dianggap
penting dan sesuai dengan kebutuhan pengendalian internal pada PT. Telkom. Lebih
jauh lagi bahwa hasil penilaian pengendalian internal pada PT. Telkom menyebutkan
bahwa pengendalian Entity Level Control memiliki hubungan langsung terhadap
keberhasilan penerapan pengendalian internal (dibandingkan dengan pengendalian IT
General Control, Application Control). Dari hasil observasi terhadap PT. Telkom
dapat disimpulkan bahwa pada PT. Telkom pengendalian Entity Level Control
merupakan dasar yang menunjang keberhasilan penerapan pengendalian IT General
Control dan Application Control.
Kata Kunci: Sarbanes Oxley Act, risiko, Penilaian risiko dari atas ke bawah,
Pengendalian Internal, Sistem Informasi Akuntansi, Framework, Entity level control,
IT General Control, Application Control. Control Objective, Maturity Level,
Kuesioner, Tabel Perbaikan, Peran dan Tanggung Jawab.
iv
ABSTRACT
Modeling Internal Control Framework
For Accounting Information System
(Case Study: PT. Telekomunikasi Indonesia TBK)
By
M Hendra Herviawan
NIM : 23507035
(Informatic Master Programme)
In early 2000 there are financial scandal at the big companies in America such as
Enron, Tyco International, WorldCom. The scandal was a mistake in the delivery
process of financial transactions so that the audit report the company's financial
transactions are not reliable (unreliable financial report). To restore public investing,
in 23 January 2002 US congress approve Public Company Accounting Reform and
Investor Protection Act of 2002 or SOX. SOX consist of 11 major titles with 69
chapters. There are two parts of SOX that requires management to provide adequate
confidence associated with the implementation of internal control. the first was the
302, the corporate responsibility for financial reports. The second part of which has
implications for the internal control is part of 404, Management assessment of
internal control. SOX 302 & 404 cause the company have a legal obligation to report
on internal control financial reporting process. Instructions implementing SOX
section 302 & 404 issued by the SEC advised to use IT-based internal control
because it has a consistent and automated nature, therefore the internal controls in IT
is important to maintain the quality and integrity of information generated by the
accounting information system.
Internal control is a process initiated by the board of directors, management and other
parties are designed to obtain sufficient confidence (reasonable assurance) that the
achievement of (1) effectiveness and efficiency in operations, (2) reliability of
financial reporting, (3) Obey the laws and rules - rules. COSO defines five internal
control components that can be used as a guide in the implementation of internal
control. five components are: (1) Control environment, (2) risk assessment, (3)
Control Activity, (4) Information and Communication and (5). Monitoring.
In order to provide sufficient confidence for the integrity of accounting information
systems, this framework contains an outline of (1) Methodology assessment and
improvement of internal controls, (2) 8 activity in the internal control of accounting
information systems. The Methodology that will be used in assessing and
improvement of internal controls on accounting information systems are: (1) Identify
the accounts and transactions affecting the financial statements, (2) Identify the IT
v
resources and internal controls, (3) Risk Assessment, (4) Internal Control
Improvements.
Internal control framework for accounting information system contains 8 control
activities that are divided into 3 types of internal controls (Entity-level controls, IT
General Control, Application Control). The contents of any internal control activities
are: (1) Destination control (Control Objective), (2) Maturity Level, (3)
questionnaires, (4) Table Repair, (5) The Role and Responsibilities.
To test the internal control framework proposed in the assessment by disseminating a
questionnaire on the implementation of internal control based on the framework in
this thesis. Questionnaires carried out at PT Telekomunikasi Indonesia Tbk (PT
Telkom), a questionnaire distributed to the Internal Audit section which is located at
5th Floor GKP PT Telekomunikasi Indonesia street Japati No. 1 Bandung, West Java.
The results from these assessments indicate that the contents of the internal control
framework on accounting information system proposed in this thesis are considered
important and in accordance with internal control requirements at PT. Telkom.
Further that the results of the assessment of internal controls at PT. Telkom said that
the Control Level Control Entity has a direct relationship to the successful
implementation of internal controls (compared with control IT General Control,
Application Control). From the observation of PT. Telkom can be concluded that the
PT. Telkom controls Entity Level Control is the foundation to support successful
implementation of IT General Control Control and Application Control.
Keyword: Internal Control, Sarbanes Oxley Act, Risk, Top Down Risk Assessment,
Accounting Information System, Framework, Entity level control, IT General
Control, Application Control. Control Objective, Maturity Level, Questioner,
Recommendation table, Role and Responsibility.
vi
Pemodelan Framework Pengendalian Internal
Pada Sistem Informasi Akuntansi
(Studi Kasus: PT. Telekomunikasi Indonesia TBK)
Oleh
M Hendra Herviawan
NIM : 23507035
(Program Studi Magister Informatika)
Institut Teknologi Bandung
Menyetujui
Pembimbing
Tanggal ………………………..
_______________________________
(Kridanto Surendro, M.Sc., Ph.D)
vii
PEDOMAN PENGGUNAAN TESIS
Tesis S2 yang tidak dipublikasikan terdaftar dan tersedia di Perpustakaan Institut
Teknologi Bandung, dan terbuka untuk umum dengan ketentuan bahwa hak cipta ada
pada pengarang dengan mengikuti aturan HaKI yang berlaku di Institut Teknologi
Bandung. Referensi kepustakaan diperkenankan dicatat, tetapi pengutipan atau
peringkasan hanya dapat dilakukan seizin pengarang dan harus disertai dengan
kebiasaan ilmiah untuk menyebutkan sumbernya.
Memperbanyak atau menerbitkan sebagian atau seluruh tesis haruslah seizin Direktur
Program Pascasarjana, Institut Teknologi Bandung.
viii
KATA PENGANTAR
Alhamdulillah, segala puji dan syukur kepada Allah SWT atas segala rahmat dan
karunia-Nya sehingga penulis dapat menyelesaikan tesis ini sebagai salah satu syarat
untuk kelulusan program magister pada Program Studi Magister Informatika ITB.
Untuk itu penulis menyampaikan terima kasih dan penghargaan yang setinggi-
tingginya kepada pihak-pihak yang telah banyak membantu dalam penyelesaian tesis
ini, yaitu :
1. Bapak Ir. Kridanto Surendro, M.Sc., Ph.D. sebagai Pembimbing dan sebagai
dosen wali, terima kasih atas segala saran, bimbingan dan nasehat Bapak
sehingga tesis ini dapat diselesaikan dengan sebaik-baiknya.
2. Bapak Dr. Ir. Husni S. Sastramihardja, MT, selaku dosen tesis dan dosen
penguji seminar, terima kasih atas segala masukan dan saran Bapak.
3. Ibu Dra. Cristine Suryadi, MT, Dr.Nur Ulfa Mauli Devi, ST., MSC dan Fazat
Nur Azizah, S.T., MSC sebagai dosen penguji, terima kasih atas masukan dan
koreksi Ibu.
4. Dosen-dosen STEI ITB, terima kasih atas bimbingan Bapak/Ibu selama
mengikuti perkuliahan di jalur Sistem Informasi STEI ITB.
5. Staf Tata Usaha Program Studi Magister Informatika ITB yaitu Pak Ade,
Mbak Nur, staf dukungan teknis dan staf perpustakaan yang telah membantu
proses administrasi dan menyediakan fasilitas bagi Penulis untuk
menyelesaikan studi dan tesis ini.
6. PT Telekomunikasi Indonesia TBK (PT Telkom) bagian Internal Audit GKP
Lantai 5 PT Telekomunikasi Indonesia jalan terima kasih atas dukungan dan
bantuannya dalam mengisi kuesioner penerapan pengendalian internal.
7. Papa, mama dan adik-adik tercinta, terima kasih atas doa, dukungan, dan
semangatnya sehingga penulis dapat menyelesaikan pendidikan ini.
8. Teman-teman Program Studi Magister Informatika Jalur Sistem Informasi
Angkatan 2007, terima kasih atas kekompakan dan kebersamaan yang indah.
Semoga segala bantuan dan dukungan mendapatkan balasan yang berlimpah dari
Tuhan Yang Maha Esa. Amin. Penulis menyadari bahwa dalam penyusunan tesis ini
masih memiliki banyak kekurangan, oleh karena itu segala kritik dan saran yang
membangun akan menjadi penyempurna bagi tesis ini.
vii
DAFTAR ISI
ABSTRAK .................................................................................................................... ii
ABSTRACT ................................................................................................................. iv
PEDOMAN PENGGUNAAN TESIS ....................................................................... vii
KATA PENGANTAR ...............................................................................................viii
DAFTAR ISI............................................................................................................... vii
DAFTAR LAMPIRAN ............................................................................................... xi
DAFTAR GAMBAR DAN ILUSTRASI ................................................................. xii
DAFTAR TABEL .....................................................................................................xiii
DAFTAR ISTILAH ................................................................................................... xv
BAB I Pendahuluan .................................................................................................... 1
I.1 Latar Belakang ................................................................................................ 1
I.2 Rumusan Masalah ........................................................................................... 3
I.3 Tujuan.............................................................................................................. 3
I.4 Batasan Masalah .............................................................................................. 3
I.5 Kegunaan Hasil ............................................................................................... 4
I.6 Metodologi ...................................................................................................... 4
BAB II Tinjauan Pustaka.......................................................................................... 6
II.1 Pengendalian Internal (Internal Control) ........................................................ 6
II.1.1 Definisi Pengendalian Internal ................................................................. 6
II.1.2 Tujuan Pengendalian Internal .................................................................. 7
II.1.3 Pengendalian internal dan Risiko............................................................. 8
II.1.4 Contoh penerapan Pengendalian Internal ............................................... 8
II.1.5 Pengelompokan Pengendalian Internal .................................................... 9
II.2 Sarbanes Oxley Act ......................................................................................... 9
II.2.1 Sarbanes Oxley Act Bagian 404 ........................................................... 11
II.2.2 Pengendalian Internal pada Teknologi Informasi .................................. 11
II.3 COSO – Internal Control Framework .......................................................... 12
II.3.1 Definisi dan Tujuan................................................................................ 12
II.3.2 Lima komponen pengendalian internal .................................................. 12
II.3.3 Proses Pengendalian Internal ................................................................. 14
II.4 Sistem Informasi Akuntansi .......................................................................... 20
viii
II.4.1 Sistem informasi dalam prospektif akuntansi ....................................... 20
II.4.2 Subsistem informasi akuntansi .............................................................. 20
II.4.3 Akuntansi, akuntabilitas dan GCC ......................................................... 20
II.4.4 Akuntabilitas sistem informasi akuntansi .............................................. 21
II.5 Manajemen Risiko......................................................................................... 22
II.5.1 Definisi Risiko ....................................................................................... 22
II.5.2 Definisi Manajemen Risiko ................................................................... 22
II.5.3 Ancaman (thread) & Kelemahan (vulnerabilities) ................................ 23
II.5.4 Motivasi dan kegiatan ancaman ............................................................. 23
II.5.5 Strategi penanggulangan risiko .............................................................. 24
II.6 Keamanan Informasi (Information Security) ............................................... 25
II.6.1 Definisi Keamanan Informasi ................................................................ 25
II.6.2 Prinsip – prinsip Keamanan Informasi .................................................. 25
II.6.3 Risiko dari Sistem informasi .................................................................. 26
II.6.4 Aktivitas Keamanan Informasi .............................................................. 26
II.6.5 Kebijaksanaan (policies), Standar (standard) dan Panduan (Guideline)
27
II.6.6 Keamanan Informasi, Sistem informasi dan Pengendalian Internal ...... 28
II.6.7 Framework Keamanan Informasi –ISO: 17799 ..................................... 28
II.7 Framework Yang Berkaitan Dengan Pengendalian Teknologi Informasi .... 29
II.7.1 Internal Control Objective For Sarbanes Oxley 2nd ............................ 29
II.7.2 Guide to the Assessment of IT (GAIT).................................................. 34
BAB III Analisa Kebutuhan Pengendalian Internal ................................................ 38
III.1 Pengendalian Internal Terhadap Laporan Keuangan Berbasiskan
Teknologi Informasi................................................................................................. 38
III.1.1 Pengendalian Internal Terhadap Laporan Keuangan menurut SOX ...... 38
III.1.2 COSO Sebagai Framework Pengendalian Internal................................ 39
III.1.3 Pengendalian Internal berbasiskan TI berdasarkan COSO .................... 39
III.2 Analisa Risiko Pemrosesan Keuangan Berbasiskan TI ............................. 42
III.2.1 Penilaian Risiko Dari Atas ke Bawah (Top Down Risk Assessment) .... 42
III.2.2 Risiko Penggunaan TI Terhadap Integritas Laporan Keuangan ............ 43
III.3 Kebutuhan pengendalian internal pada Sistem Informasi Akuntansi ........ 45
III.3.1 Penilaian kebutuhan pengendalian internal berdasarkan risiko
penggunaan sumber daya Teknologi Informasi ................................................... 45
ix
III.3.2 Pengendalian Internal Terhadap Risiko Penggunaan Aplikasi .............. 46
III.3.3 Pengendalian Internal Terhadap Risiko Penggunaan Infrastruktur dan
Manusia. ............................................................................................................... 46
III.3.4 Pengendalian internal terhadap risiko penggunaan Informasi ............... 47
III.4 Analisa Kebutuhan Framework Pengendalian Internal pada Sistem
Informasi Akuntansi................................................................................................. 47
III.4.1 Analisa Tatacara Penilaian & Perbaikan Pengendalian Internal ............ 47
III.4.2 Analisa Model Aktivitas Pengendalian Internal .................................... 49
III.5 Analisa Kebutuhan Aktivitas Pengendalian Internal ................................. 56
III.5.1 Analisa Kebutuhan Pengendalian Akses dan Wewenang ...................... 56
III.5.2 Analisa Kebutuhan Pengendalian Keamanan Jaringan.......................... 63
III.5.3 Analisa Kebutuhan Pengendalian Kelangsungan layanan Sistem
Informasi Akuntansi............................................................................................. 67
III.5.4 Analisa Kebutuhan Pengendalian Audit Sistem Informasi Akuntansi .. 71
III.5.5 Analisa Kebutuhan Pengendalian Pusat Data ........................................ 75
III.5.6 Analisa Kebutuhan Pengendalian Operasional Komputer ..................... 79
III.5.7 Analisa Kebutuhan Pengendalian Tatacara Pengembangan Sistem ...... 83
III.5.8 Analisa Kebutuhan Pengendalian Aplikasi ............................................ 88
BAB IV Perancangan dan Pengujian ....................................................................... 93
IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal ......................... 93
IV.1.1 Identifikasi Rekening dan Transaksi Keuangan yang Signifikan .......... 95
IV.1.2 Identifikasi Sumber Daya TI dan Pengendalian Internal ...................... 98
IV.1.3 Penilaian Risiko ................................................................................... 101
IV.1.4 Perbaikan Pengendalian Internal.......................................................... 107
IV.2 Aktivitas Pengendalian Internal............................................................... 110
IV.2.1 Pengendalian akses .............................................................................. 110
IV.2.2 Keamanan Jaringan .............................................................................. 114
IV.2.3 Kelangsungan Layanan Sistem Informasi Akuntansi ......................... 116
IV.2.4 Audit Sistem Informasi Akuntansi....................................................... 119
IV.2.5 Pusat Data ............................................................................................ 122
IV.2.6 Operasional Komputer ......................................................................... 125
IV.2.7 Tatacara Pengembangan Sistem .......................................................... 128
IV.2.8 Pengendalian Aplikasi ......................................................................... 131
IV.3 Pengujian Framework Pengendalian Internal .......................................... 134
x
IV.3.1 Tatacara Pengujian ............................................................................... 134
IV.3.2 Analisa Hasil Pengujian ....................................................................... 135
IV.3.3 Penyempurnaan model ......................................................................... 142
BAB V Penutup .................................................................................................... 144
V.1 Kesimpulan.................................................................................................. 144
V.2 Saran ............................................................................................................ 145
Daftar pustaka ............................................................................................................ 146
xi
DAFTAR LAMPIRAN
Lampiran A: Kuesioner Penilaian dan Perbaikan Pengendalian Internal pada Sistem
Informasi Akuntansi................................................................................................... 148
Lampiran B: Hasil Survei ......................................................................................... 179
xii
DAFTAR GAMBAR DAN ILUSTRASI
Gambar II.1. Proses Pengendalian Internal (COSO, 2006) ......................................... 14
Gambar II.2 Aktivitas Keamanan Informasi ................................................................ 26
Gambar II.3. SOX Cobit jalan menuju kepatuhan (ITGI, 2006). ................................ 30
Gambar II.4. Pengendalian Internal pada SOX Cobit (ITGI, 2006). ........................... 31
Gambar II.5 Penilaian Risiko dari Atas Ke Bawah Menurut GAIT (IIA, 2007) ......... 36
Gambar III.1 Framework Aktivitas Pengendalian Internal. ......................................... 51
Gambar III.2Model dari Aktivitas Pengendalian internal pada Sistem Informasi
Akuntansi ..................................................................................................................... 52
Gambar III.3 Penjabaran dari Setiap Aktivitas Pengendalian Internal ........................ 54
Gambar III.4 Pemisahan Kekuasaan (segregations of duties) (Perelsona dkk, 2001). 57
Gambar III.5 Keamanan Pusat Data (Davis, 2007) ..................................................... 76
Gambar III.6 Contoh Pengendalian Pusat Data ........................................................... 78
Gambar IV.1 Tatacara Penilaian dan Perbaikan Pengendalian Internal ...................... 93
xiii
DAFTAR TABEL
Tabel II.1 Motivasi dan Risiko (Gary dkk, 2002). ....................................................... 23
Tabel II.2 Dua Belas pengendalian internal pada SOX Cobit (ITGI, 2006). ............... 33
Tabel III.1 Risiko penggunaan sistem yang berinteraksi dengan laporan keuangan ... 43
Tabel III.2 Risiko penggunaan infrastruktur TI terhadap integritas dari laporan
keuangan ...................................................................................................................... 45
Tabel III.3 Tahapan penilaian dan perbaikan Pengendalian Internal pada Sistem
Informasi Akuntansi..................................................................................................... 49
Tabel III.4 Pengelompokan Pengendalian Internal. ..................................................... 50
Tabel III.5 Pengendalian internal pada Sistem Informasi Akuntansi. ......................... 50
Tabel III.6 Aktivitas Pengendalian Internal ................................................................. 53
Tabel III.7 Risiko dari lingkungan multi pengguna (Multi User) ................................ 56
Tabel III.8 Maturity Level dari Pengendalian Akses ................................................... 59
Tabel III.9 Tujuan Pengendalian Tatakelola Peran dan Tanggung Jawab ................... 61
Tabel III.10 Tujuan Pengendalian Tatakeloa Password .............................................. 61
Tabel III.11 Tujuan Pengendalian Keamanan Fisik ................................................... 62
Tabel III.12 Risiko dari Penggunaan Jaringan ............................................................. 63
Tabel III.13 Maturity Level Keamanan Jaringan ......................................................... 65
Tabel III.14 Tujuan Pengendalian Keamanan Komunikasi ......................................... 66
Tabel III.15 Tujuan Pengendalian Akses Jarak Jauh .................................................. 66
Tabel III.16 Maturity Level Kelangsungan Layanan Sistem Informasi ...................... 69
Tabel III.17 Tujuan Pengendalian Kelangsungan Layanan dan Penilaian Risiko ....... 70
Tabel III.18 Tujuan Pengendalian Pengujian, Pemeliharaan dan Penilaian ulang
Rencana Kelangsungan Layanan ................................................................................. 70
Tabel III.19 Maturity Level Audit Sistem Informasi Akuntansi ................................. 73
Tabel III.20 Tujuan Pengendalian Audit Sistem Informasi Akuntansi ....................... 74
Tabel III.21 Tujuan Pengendalian Tatakelola Log File .............................................. 74
Tabel III.22 Maturity Level Pengendalian Pusat Data ................................................. 77
Tabel III.23 Tujuan Pengendalian Fasilitas ................................................................ 78
Tabel III.24 Tujuan Pengendalian Backup ................................................................. 79
Tabel III.25 Maturity Level Pengendalian Pusat Data ................................................. 81
Tabel III.26 Tujuan Pengendalian Virus\worm\spyware (kode jahat) ........................ 82
Tabel III.27 Tujuan Pengendalian Penanggulangan Masalah dan Kejadian .............. 83
Tabel III.28 Maturity Level Pengendalian Pengembangan Sistem ............................. 85
Tabel III.29 Tujuan Pengendalian Pengadaan dan Perawatan .................................... 86
Tabel III.30 Tujuan Pengendalian Tatakelola Perubahan ........................................... 86
Tabel III.31 Tujuan Pengendalian Tatakelola Konfigurasi.......................................... 87
Tabel III.32 Maturity Level Pengendalian Aplikasi .................................................... 90
Tabel III.33 Tujuan Pengendalian Validasi Masukan................................................. 91
Tabel III.34 Tujuan Pengendalian Pemrosesan .......................................................... 91
Tabel III.35 Tujuan Pengendalian Validasi Keluaran................................................. 92
Tabel IV.1 Skala\ukuran penilaian rekening penting ................................................. 96
Tabel IV.2 Skala Penilaian Kemungkinan Risiko ..................................................... 105
Tabel IV.3 Skala Ukuran Dampak dari Risiko .......................................................... 106
Tabel IV.4 Matrik Penilaian Risiko ........................................................................... 106
Tabel IV.5 Hasil survei entity level control, it general control, application control,
pengendalian internal ................................................................................................. 136
xiv
Tabel IV.6 Hasil survei entity level control dan it general control ........................... 140
Tabel IV.7 Hasil survei entity level control dan application control ........................ 141
Tabel IV.8 Hasil survei it general control dan application control .......................... 141
Tabel IV.9 Hasil Pengujian ........................................................................................ 142
xv
DAFTAR ISTILAH
Istilah Keterangan
COSO Committee of sponsoring organization of the
treadway commission (COSO) adalah
organisasi nirlaba didirikan pada 1985. Pada
tahun 1992 COSO mengeluarkan internal
control framework yang berisikan panduan
dalam membuat dan menjalankan
pengendalian internal.
Material Statement Kesalahan pada informasi dapat
mempengaruhi pengambilan keputusan.
Pengukuran dari material error dilakukan
berdasarkan penilaian seorang ahli.
Pengendalian
(control).
Tindakan - tindakan yang diambil oleh
manajemen, dewan direksi dan pihak lainnya
yang dilakukan untuk mengelola risiko dan
meningkatkan kemungkinan tercapainya
tujuan dan goal- goal yang telah ditetapkan.
Pengendalian Internal
(Internal Control)
Pengendalian internal adalah sebuah proses
yang diprakarsai oleh dewan direksi,
manajemen dan pihak lainnya yang didisain
untuk mendapatkan keyakinan yang memadai
(reasonable assurance) agar tercapainya[4]:
a. Efektif dan efisien dalam operasional.
b. Reabilitas dari laporan keuangan.
c. Patuh terhadap hukum dan aturan –
aturan.
Pengendalian Tingkat
Entiti (Entity Level
Control)
Pengendalian yang mendasari proses
pengendalian internal, Pengendalian tingkat
entity memberikan dasar dalam menjaga
integritas dari sistem informasi akuntansi.
Pengendalian umum
TI (IT General
Control).
Struktur, kebijaksanaan dan prosedur yang
berpengaruh terhadap komponen –
komponen utama sumber daya informasi
yang bertujuan untuk memastikan integritas
dan ketersediaan layanan teknologi
informasi.
Pengendalian Aplikasi
(application control).
Pengendalian yang bertujuan untuk
menanggulangi risiko pada tingkat aplikasi,
dapat berupa pengendalian yang bersifat
otomatis (berada pada kode program)
ataupun bersifat manual (standar, prosedur,
kebijaksanaan).
PCAOB The Public Company Accounting Oversight
Board, adalah organisasi yang tidak
berorientasi pada keuntungan (non profit
coorporation) yang diciptakan sesuai dengan
amanat yang terdapat pada undang – undang
SOX. Organisasi ini bertujuan untuk
xvi
melindungi kepentingan investor dan lebih jauh melindungi kepentingan umum terkait
dengan proses persiapan informasi\laporan
keuangan dan independensi dari hasil audit
melalui pembuatan standar – standar proses
audit laporan keuangan.
Risiko Bawaan
(inherent risk)
Suatu ukuran atas penilaian auditor akan
kemungkinan terdapat suatu kesalahan salah
saji yang material dalam suatu segmen
sebelum mempertimbangkan efektivitas
pengendalian internal
Risiko Pengendalian
(control risk)
Suatu ukuran atas penilaian auditor akan
kemungkinan terdapatnya suatu salah saji
yang melebihi nilai salah saji yang masih
dapat diterima pada suatu segmen yang tidak
tercegah atau terdeteksi oleh pengendalian
internal.
SEC The United states securities and exchange
commission (SEC) adalah badan\departement
yang ada di bawah pemerintah Amerika
bertugas untuk mengawasi dan menerapkan
undang – undang atau peraturan pemerintah
terkait dengan surat – surat berharga.
Top Down Risk
Assessment (TDRA)
Metodologi penilaian risiko dan penentuan
ruang lingkup dalam menilai\audit
pengendalian internal yang dikeluarkan oleh
PCAOB berkenaan dengan undang – undang
SOX bagian 404.
