9 4. Penilaian Risiko – Risiko dianalisis dengan memperhitungkan kemungkinan terjadi dan dampaknya impact, sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola. 5. Respons Risiko – Manajemen memilih respons risiko – menghindar, menerima, mengurangi, atau mengalihkan dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi dan risk appetite. 6. Kegiatan Pengendalian – Kebijakan dan prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif. 7. Informasi dan komunikasi – Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya. 8. Pengawasan – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus, atau dengan keduanya.

3. Control Objectives for Information Technology COBIT

Menurut Campbell COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, dan COBIT versi 4 yang lebih mengarah kepada IT governance. Information Systems Audit and Control Foundation ISACF mengembangkan Control Objectives for Information Technology COBIT. COBIT adalah sebuah kerangka praktik pengendalian untuk teknologi informasi, dan 10 keamanan sistem informasi yang pada umumnya dapat diaplikasikan. COBIT membantu para manajer untuk mempelajari bagaimana menyeimbangkan risiko dan pengendalian investasi dalam lingkungan sistem informasi Romney and Steinbart, 2006. COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, dan COBIT versi 4 yang lebih mengarah kepada IT governance. COBIT terdiri dari 4 domain Gondodiyoto, 2006, yaitu: 1. Planning and Organization. Dalam hal ini mencakup pembahasan strategi untuk mengindentifikasi TI sehingga dapat memberikan yang terbaik untuk pencapaian objektif bisnis. 2. Acquisition and Implementation. Untuk merealisasi strategi TI, solusi TI yang perlu diidentifikasi, dikembangkan sebagai implementasi dan diintegrasikan kedalam proses bisnis. 3. Delivery and Support. Dipusatkan pada penyerahan aktual dari syarat servis dengan jarak dari semua operasi keamanan tradisional dan aspek urutan untuk pelatihan. 4. Monitoring. Semua proses TI yang perlu dinilai secara regular agar kualitas dan kelengkapannya berdasarkan pada syarat pengendalian.

4. Statement On Auditing Standards SAS No. 78

Pernyataan Standar Audit Statement On Auditing Standards —SAS No.78 sesuai dengan berbagai rekomendasi komite organisasi pendukung dari komisi Treadway Committee of Sponsoring Organizations of the Treadway Commission —COSO. Pengendalian internal, seperti didefinisikan dalam SAS 78, terdiri atas lima komponen: lingkungan pengendalian, penilaian risiko, informasi dan komunikasi, pengawasan, dan aktivitas pengendalian Hall, 2007. 11 1. Lingkungan pengendalian adalah dasar untuk keempat komponen pengendalian lainnya. Lingkungan pengendalian menetapkan arah perusahaan dan pengaruh kesadaran pihak manajemen dan para karyawannya akan pengendalian. Lingkungan pengendalian memiliki beberapa elemen penting:  Nilai integritas dan etika pihak manajemen  Struktur perusahaan  Keterlibatan dewan komisaris dan komite audit perusahaan, jika ada  Filosofi pihak manajemen dan gaya beroperasi  Prosedur untuk mendelegasikan tanggung jawab dan wewenang  Metode pihak manajemen untuk menilai kinerja  Pengaruh eksternal, seperti pemeriksaan oleh lembaga yang berwenang  Kebijakan dan praktik perusahaan untuk mengelola sumber daya manusianya. 2. Penilaian Risiko Perusahaan harus melakukan penilaian risiko untuk mengidentifikasi, menganalisis, dan mengelola risiko yang berkaitan dengan pelaporan keuangan. Berbagai risiko dapat timbul dari berbagai perubahan lingkungan, seperti berikut ini:  Perubahan dalam lingkungan operasional yang membebankan berbagai tekanan persaingan baru atas perusahaan.  Personel baru yang memiliki pemahaman berbeda atau tidak memadai atas pengendalian internal.  Sistem informasi baru yang direkayasa ulang sehingga mempengaruhi pemrosesan transaksi. 12  Pertumbuhan yang signifikan dan cepat hingga mengalahkan pengendalian internal yang ada.  Implementasi teknologi baru ke dalam proses produksi atau sistem informasi yang berdampak pada pemrosesan transaksi  Pengenalan lini baru produk atau aktivitas di mana perusahaan memiliki pengalaman sedikit mengenainya  Restrukturisasi organisasional yang mengakibatkan pengurangan danatau relokasi personel hingga operasi bisnis serta pemrosesan transaksi terkena pengaruhnya  Masuk ke pasar asing yang dapat berdampak pada operasi contohnya, risiko yang berkaitan dengan transaksi mata uang asing  Adopsi prinsip akuntansi baru yang berdampak pada pembuatan laporan keuangan 3. Informasi dan Komunikasi Sistem informasi akuntansi terdiri atas berbagai record dan metode yang digunakan untuk memulai, mengidentifikasi, menganalisis, mengklasifikasi, serta mendapat berbagai transaksi perusahaan dan untuk menghitung aktiva serta kewajiban yang terkait. Kualitas dari informasi yang dihasilkan oleh SIA berdampak pada kemampuan pihak manajemen untuk melakukan tindakan dan mengambil keputusan sehubungan dengan operasi perusahaan serta untuk membuat laporan keuangan yang andal. Sistem informasi akuntansi yang efektif akan dapat melakukan berbagai hal berikut ini Hall, 2007:  Mengidentifikasi dan mencatat semua transaksi keuangan yang valid  Menyediakan informasi secara tepat waktu mengenai berbagai transaksi dalam detail yang memadai untuk memungkinkan klasifikasi dan pelaporan keuangan yang benar 13  Secara akurat mengukur nilai keuangan berbagai transaksi agar pengaruhnya dapat dicatat ke dalam laporan keuangan  Secara akurat mencatat berbagai transaksi dalam periode waktu terjadinya 4. Pengawasan adalah proses di mana kualitas dari desain dan operasi pengendalian internal dapat dinilai. Penilaian ini dapat dicapai dengan prosedur yang terpisah atau melalui aktivitas yang berjalan. 5. Aktivitas pengendalian adalah berbagai kebijakan dan prosedur yang digunakan untuk memastikan bahwa tindakan yang tepat telah dilakukan untuk menangani berbagai risiko yang telah diidentifikasi perusahaan. Aktivitas pengendalian dapat dikelompokkan ke dalam dua kategori: pengendalian computer dan pengendalian fisik. Tabel 5.1 Kategori Aktivitas Pengendalian Sumber : Audit dan Assurance Teknologi Informasi 1 ed.2 – James A. Hall, 2007 Aktivitas Pengendalian Pengendalian Umum Verifikasi independen Komputer Otorisasi transaksi Fisik Pengendalian Aplikasi Pemisahan tugas Pengendalian akses Catatan akuntansi Supervisi 14 Pengendalian computer membentuk bagian yang merupakan perhatian utama. Pengendalian ini, yang secara khusus berkaitan dengan lingkungan TI dan audit TI, digolongkan dalam dua kelompok umum: pengendalian umum general control dan pengendalian aplikasi application control. Pengendalian umum berkaitan dengan perhatian tingkat keseluruhan perusahaan, seperti pengendalian terhadap pusat data, basis data perusahaan, akses sistem, pengembangan sistem, dan pemeliharaan program. Pengendalian aplikasi memastikan integritas sistem tertentu seperti pemrosesan pesanan penjualan, utang usaha, dan aplikasi penggajian. Pengendalian fisik terutama berhubungan dengan sistem akuntansi tradisional yang menggunakan prosedur manual. Namun, pemahaman atas konsep pengendalian ini juga memberikan pandangan atas berbagai risiko dan kekhawatiran dalam pengendalian yang berkaitan dengan lingkungan TI. Enam kategori tradisional aktivitas pengendalian: Otorisasi Transaksi. Tujuan dari otorisasi transaksi adalah untuk memastikan bahwa semua transaksi material yang diproses oleh sistem informasi valid dan sesuai dengan tujuan pihak manajemen. Otorisasi dapat bersifat umum atau khusus. Otorisasi umum diberikan pada personel operasional untuk melakukan operasi rutin. Sebaliknya, otorisasi khusus berkaitan dengan keputusan kasus per kasus yang berhubungan dengan transaksi nonrutin. Pemisahan tugas dapat berupa bermacam bentuk, tergantung pada tugas tertentu yang harus dikendalikan. Tiga tujuan pemisahan tugas : a. Pemisahan tugas seharusnya sedemikian rupa sehingga otorisasi untuk suatu transaksi terpisah dari pemrosesan transaksi tersebut. 15 b. Tanggung jawab untuk penyimpanan aktiva seharusnya terpisah dari tanggung jawab pencatatan. c. Perusahaan seharusnya distrukturisasi agar jika ada penipuan maka penipuan hanya dapat dilakukan lewat kolusi antara dua atau lebih individu dengan pekerjaan yang tidak saling bersesuain kompatibel. Dengan kata lain, tidak ada satu orang yang memiliki akses cukup ke aktiva dan catatan pendukungnya, untuk melakukan penipuan. Supervisi. Implementasi pemisahan tugas yang memadai mengharuskan perusahaan mempekerjakan sejumlah besar karyawan. Mewujudkan pemisahan tugas yang memadai sering kali menimbulkan berbagai kesulitan bagi perusahaan kecil. Catatan Akuntansi. Catatan akuntansi tradisional suatu perusahaan terdiri atas dokumen sumber, jurnal dan buku besar. Catatan-catatan ini menangkap aspek ekonomi transaksi dan menyediakan jejak audit peristiwa ekonomi. Pengendalian Akses. Tujuan pengendalian akses adalah untuk memastikan hanya personel yang sah saja yang memiliki akses ke aktiva perusahaan. Akses tidak sah mengekspos aktiva ke penyalahgunaan, pengrusakan, dan pencurian. Jadi, pengendalian akses memainkan bagian penting dalam pengamanan aktiva Hall, 2007.

6. Sarbanes-Oxley Act SOA