9
4. Penilaian Risiko – Risiko dianalisis dengan memperhitungkan kemungkinan
terjadi dan dampaknya impact, sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola.
5. Respons Risiko – Manajemen memilih respons risiko – menghindar, menerima,
mengurangi, atau mengalihkan dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi dan risk appetite.
6. Kegiatan Pengendalian – Kebijakan dan prosedur yang ditetapkan dan
diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif.
7. Informasi dan komunikasi – Informasi yang relevan diidentifikasi, ditangkap, dan
dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya.
8. Pengawasan – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan
apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus, atau dengan
keduanya.
3. Control Objectives for Information Technology COBIT
Menurut Campbell COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada
tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, dan COBIT versi 4 yang lebih mengarah kepada IT governance. Information Systems Audit and
Control Foundation ISACF mengembangkan Control Objectives for Information Technology COBIT. COBIT adalah sebuah kerangka praktik pengendalian untuk teknologi informasi, dan
10
keamanan sistem informasi yang pada umumnya dapat diaplikasikan. COBIT membantu para
manajer untuk mempelajari bagaimana menyeimbangkan risiko dan pengendalian investasi dalam lingkungan sistem informasi Romney and Steinbart, 2006. COBIT muncul pertama kali
pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap pengendalian, COBIT versi 3 pada tahun 2000 yang
berorientasi kepada manajemen, dan COBIT versi 4 yang lebih mengarah kepada IT governance. COBIT terdiri dari 4 domain Gondodiyoto, 2006, yaitu:
1. Planning and Organization. Dalam hal ini mencakup pembahasan strategi untuk mengindentifikasi TI sehingga dapat memberikan yang terbaik untuk pencapaian
objektif bisnis. 2. Acquisition and Implementation. Untuk merealisasi strategi TI, solusi TI yang perlu
diidentifikasi, dikembangkan sebagai implementasi dan diintegrasikan kedalam proses bisnis.
3. Delivery and Support. Dipusatkan pada penyerahan aktual dari syarat servis dengan jarak dari semua operasi keamanan tradisional dan aspek urutan untuk pelatihan.
4. Monitoring. Semua proses TI yang perlu dinilai secara regular agar kualitas dan kelengkapannya berdasarkan pada syarat pengendalian.
4. Statement On Auditing Standards SAS No. 78
Pernyataan Standar Audit Statement On Auditing Standards —SAS No.78 sesuai dengan
berbagai rekomendasi komite organisasi pendukung dari komisi Treadway Committee of Sponsoring Organizations of the Treadway Commission
—COSO. Pengendalian internal, seperti didefinisikan dalam SAS 78, terdiri atas lima komponen: lingkungan pengendalian, penilaian
risiko, informasi dan komunikasi, pengawasan, dan aktivitas pengendalian Hall, 2007.
11
1. Lingkungan pengendalian adalah dasar untuk keempat komponen pengendalian lainnya. Lingkungan pengendalian menetapkan arah perusahaan dan pengaruh kesadaran pihak
manajemen dan para karyawannya akan pengendalian. Lingkungan pengendalian memiliki beberapa elemen penting:
Nilai integritas dan etika pihak manajemen Struktur perusahaan
Keterlibatan dewan komisaris dan komite audit perusahaan, jika ada Filosofi pihak manajemen dan gaya beroperasi
Prosedur untuk mendelegasikan tanggung jawab dan wewenang Metode pihak manajemen untuk menilai kinerja
Pengaruh eksternal, seperti pemeriksaan oleh lembaga yang berwenang Kebijakan dan praktik perusahaan untuk mengelola sumber daya manusianya.
2. Penilaian Risiko Perusahaan harus melakukan penilaian risiko untuk mengidentifikasi, menganalisis, dan
mengelola risiko yang berkaitan dengan pelaporan keuangan. Berbagai risiko dapat timbul dari berbagai perubahan lingkungan, seperti berikut ini:
Perubahan dalam lingkungan operasional yang membebankan berbagai tekanan persaingan baru atas perusahaan.
Personel baru yang memiliki pemahaman berbeda atau tidak memadai atas pengendalian internal.
Sistem informasi baru yang direkayasa ulang sehingga mempengaruhi pemrosesan transaksi.
12
Pertumbuhan yang signifikan dan cepat hingga mengalahkan pengendalian internal yang ada.
Implementasi teknologi baru ke dalam proses produksi atau sistem informasi yang berdampak pada pemrosesan transaksi
Pengenalan lini baru produk atau aktivitas di mana perusahaan memiliki pengalaman sedikit mengenainya
Restrukturisasi organisasional yang mengakibatkan pengurangan danatau relokasi personel hingga operasi bisnis serta pemrosesan transaksi terkena pengaruhnya
Masuk ke pasar asing yang dapat berdampak pada operasi contohnya, risiko yang berkaitan dengan transaksi mata uang asing
Adopsi prinsip akuntansi baru yang berdampak pada pembuatan laporan keuangan 3. Informasi dan Komunikasi
Sistem informasi akuntansi terdiri atas berbagai record dan metode yang digunakan untuk memulai, mengidentifikasi, menganalisis, mengklasifikasi, serta mendapat
berbagai transaksi perusahaan dan untuk menghitung aktiva serta kewajiban yang terkait. Kualitas dari informasi yang dihasilkan oleh SIA berdampak pada kemampuan pihak
manajemen untuk melakukan tindakan dan mengambil keputusan sehubungan dengan operasi perusahaan serta untuk membuat laporan keuangan yang andal. Sistem informasi
akuntansi yang efektif akan dapat melakukan berbagai hal berikut ini Hall, 2007: Mengidentifikasi dan mencatat semua transaksi keuangan yang valid
Menyediakan informasi secara tepat waktu mengenai berbagai transaksi dalam detail yang memadai untuk memungkinkan klasifikasi dan pelaporan keuangan yang benar
13
Secara akurat mengukur nilai keuangan berbagai transaksi agar pengaruhnya dapat dicatat ke dalam laporan keuangan
Secara akurat mencatat berbagai transaksi dalam periode waktu terjadinya 4. Pengawasan adalah proses di mana kualitas dari desain dan operasi pengendalian internal
dapat dinilai. Penilaian ini dapat dicapai dengan prosedur yang terpisah atau melalui aktivitas yang berjalan.
5. Aktivitas pengendalian adalah berbagai kebijakan dan prosedur yang digunakan untuk memastikan bahwa tindakan yang tepat telah dilakukan untuk menangani berbagai risiko
yang telah diidentifikasi perusahaan. Aktivitas pengendalian dapat dikelompokkan ke dalam dua kategori: pengendalian computer dan pengendalian fisik.
Tabel 5.1 Kategori Aktivitas Pengendalian
Sumber : Audit dan Assurance Teknologi Informasi 1 ed.2 – James A. Hall, 2007
Aktivitas Pengendalian
Pengendalian Umum
Verifikasi independen
Komputer
Otorisasi transaksi
Fisik Pengendalian
Aplikasi
Pemisahan tugas
Pengendalian akses
Catatan akuntansi
Supervisi
14
Pengendalian computer membentuk bagian yang merupakan perhatian utama. Pengendalian ini, yang secara khusus berkaitan dengan lingkungan TI dan audit TI,
digolongkan dalam dua kelompok umum: pengendalian umum general control dan pengendalian aplikasi application control. Pengendalian umum berkaitan dengan
perhatian tingkat keseluruhan perusahaan, seperti pengendalian terhadap pusat data, basis data perusahaan, akses sistem, pengembangan sistem, dan pemeliharaan program.
Pengendalian aplikasi memastikan integritas sistem tertentu seperti pemrosesan pesanan penjualan, utang usaha, dan aplikasi penggajian.
Pengendalian fisik terutama berhubungan dengan sistem akuntansi tradisional yang menggunakan prosedur manual. Namun, pemahaman atas konsep pengendalian ini juga
memberikan pandangan atas berbagai risiko dan kekhawatiran dalam pengendalian yang berkaitan dengan lingkungan TI. Enam kategori tradisional aktivitas pengendalian:
Otorisasi Transaksi. Tujuan dari otorisasi transaksi adalah untuk memastikan bahwa semua transaksi material yang diproses oleh sistem informasi valid dan sesuai dengan
tujuan pihak manajemen. Otorisasi dapat bersifat umum atau khusus. Otorisasi umum diberikan pada personel operasional untuk melakukan operasi rutin. Sebaliknya, otorisasi
khusus berkaitan dengan keputusan kasus per kasus yang berhubungan dengan transaksi nonrutin.
Pemisahan tugas dapat berupa bermacam bentuk, tergantung pada tugas tertentu yang harus dikendalikan. Tiga tujuan pemisahan tugas :
a. Pemisahan tugas seharusnya sedemikian rupa sehingga otorisasi untuk suatu transaksi terpisah dari pemrosesan transaksi tersebut.
15
b. Tanggung jawab untuk penyimpanan aktiva seharusnya terpisah dari tanggung jawab pencatatan.
c. Perusahaan seharusnya distrukturisasi agar jika ada penipuan maka penipuan hanya dapat dilakukan lewat kolusi antara dua atau lebih individu dengan pekerjaan yang
tidak saling bersesuain kompatibel. Dengan kata lain, tidak ada satu orang yang memiliki akses cukup ke aktiva dan catatan pendukungnya, untuk melakukan
penipuan.
Supervisi. Implementasi pemisahan tugas yang memadai mengharuskan perusahaan
mempekerjakan sejumlah besar karyawan. Mewujudkan pemisahan tugas yang memadai sering kali menimbulkan berbagai kesulitan bagi perusahaan kecil.
Catatan Akuntansi. Catatan akuntansi tradisional suatu perusahaan terdiri atas dokumen sumber, jurnal dan buku besar. Catatan-catatan ini menangkap aspek ekonomi transaksi
dan menyediakan jejak audit peristiwa ekonomi. Pengendalian Akses. Tujuan pengendalian akses adalah untuk memastikan hanya
personel yang sah saja yang memiliki akses ke aktiva perusahaan. Akses tidak sah mengekspos aktiva ke penyalahgunaan, pengrusakan, dan pencurian. Jadi, pengendalian
akses memainkan bagian penting dalam pengamanan aktiva Hall, 2007.
6. Sarbanes-Oxley Act SOA