PERBEDAAN APPLICATION CONTROL DAN GENERAL CONTROL

Pengendalian merupakan pengawasan terhadap aktivitas dan kegiatan serta mengarahkan agar dalam kegiatan atau aktivitas tadi tidak terjadi penyimpangan. Menurut IAI dan COSO pengendalian diklasifikasikan menjadi dua yaitu General Control dan Application Control.

General Control (pengendalian umum) merupakan sebuah pengendalian secara menyeluruh yang memiliki dampak terhadap lingkungan Sistem Informasi Komputer (SIK), yang di dalamnya meliputi kebijakan dan prosedur mengenai semua aktifitas PDE, yang bertujuan untuk membuat sebuah kerangka pengendalian secara menyeluruh mengenai aktifitas PDE, guna meningkatkan tingkat keyakinan yang memadai bahwa seluruh tujuan pengendalian intern dapat tercapai.

Menurut IAI, pengendalian umum meliputi unsur-unsur sebagai berikut.

1.      Pengendalian Organisasi dan Manajemen, meliputi pemisahan fungsi serta kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.

2.      Pengendalian terhadap Pengembangan dan Pemeliharaan Sistem Aplikasi, ini digunakan untuk memperoleh keyakinan bahwa sistem PDE telah dikembangkan dan dipelihara secara efisien dan ada otorisasinya.

3.      Pengendalian terhadap Operasi Sistem, untuk poin-poin sebagai berikut:

a.       Sistem digunakan hanya untuk hal-hal yang telah ada otorisasinya

b.      Akses ke operasi komputer hanya diijinkan kepada mereka yang telah memiliki otorisasi

c.       Program yang digunakan juga hanya yang ada otorisasinya

d.      Kesalahan pengolahan dapat dideteksi dan dikoreksi.

4.      Pengendalian terhadap Perangkat Lunak Sistem, digunakan untuk meyakinkan bahwa perangkat lunak sistem dimiliki dan dikembangkan secara efisien, serta diotorisasikan.

5.      Pengendalian terhadap Entri Data dan Program Struktur otorisasi ditetapkan dengan jelas atas transaksi, serta akses ke data dan program dibatasi hanya kepada mereka yang memiliki otorisasi.

6.      Pengendalian terhadap Keamanan PDE

Application Control (pengendalian aplikasi), digunakan untuk memberikan kepastian bahwa pencatatan, pengklasifikasian, dan pengikhtisaran transaksi itu sah serta pemutakhiran file-file induk akan menghasilkan informasi yang akurat, lengkap, dan tepat waktu.

Pengendalian aplikasi ini dibagi menjadi tiga kategori pengendalian, yakni pengendalian atas masukan, pengendalian atas pengolahan dan file data komputer, serta pengendalian atas keluaran. Lebih lanjut tujuan pengendalian aplikasi ini adalah untuk memperoleh keyakinan:

1.      Bahwa setiap transaksi telah diproses dengan lengkap dan hanya diproses satu kali

2.      Bahwa setiap data transaksi berisi informasi yang lengkap dan akurat

3.      Bahwa setiap pemrosesan transaksi dilakukan dengan benar dan tepat

4.      Bahwa hasil-hasil pemrosesan digunakan sesuai dengan maksudnya

5.      Bahwa aplikasi-aplikasi yang ada dapat berfungsi terus

Perbedaan utama antara pengendalian umum dan pengendalian aplikasi adalah bahwa sifat pengendalian umum adalah prosedural, sedangkan pengendalian aplikasi bersifat lebih berorientasi pada data. Oleh sebab itu, bagi auditor mungkin saja menilai pengendalian umumnya secara terpisah dari penilaian terhadap pengendalian aplikasi.

Sumber:

http://euiskurniasih.blogdetik.com/2011/10/13/general-control-dan-application-control

James A. Hall. 2011. Accounting Information Systems Seventh Edition. Mason: Cengage Learning.

FRAUD DAN COSO FRAMEWORK

Apa itu Fraud?

             Fraud (penipuan/kecurangan) merupakan kejahatan memanipulasi informasi dengan tujuan mengeruk keuntungan yang sebesar-besarnya. Biasanya kejahatan yang dilakukan adalah memanipulasi informasi keuangan atau bisa juga dikatakan sebagai proses pembuatan, adaptasi, meniru benda, statistik, atau dokumen-dokumen dengan maksud untuk menipu.

            Tipe-tipe (klasifikasi) fraud menurut Association of Certified Fraud Examiners(ACFE) dalam Fraud Tree, terdiri dari 3 tipe besar dari occupational fraud, yaitu: Corruption, Asset Misappropriation, dan Fraudulent Statements (Financial Statement Fraud).

Mengenai terjadinya fraud, terdapat teori-teori yang terus berkembang untuk menjelaskan hal tersebut, seperti: teori segitiga fraud (Cressey’s Fraud Triangle Theory (FTT), 1950), teori permata fraud (Wolfe and Hermanson’s Fraud Diamond Theory (FDT),  2004) dan teori pentagon fraud (Crowe’s Fraud Pentagon Theory (FPT), 2011).

Dalam rangka merespon kebutuhan eksekutif dalam menciptakan cara-cara efektif untuk mengendalikan lebih baik perusahaannya serta memberikan jaminan terhadap tujuan perusahaan yang berhubungan dengan operasi, pencatatan dan ketaatan pada suatu prinsip pengendalian internal yang dapat mencegah fraud, COSO mengembangkan kerangka kerja yang dikenal sebagai COSO (Internal Control) Integrated Framework pada tahun 1992 dan selanjutnya digantikan dengan COSO (Internal Control) Integrated Framework pada tahun 2013.

Fraud Tree

            Fraud atau kecurangan dibagi menjadi 3 bagian besar yaitu Corruption (korupsi), Asset Misappropriation (penyalahgunaan/penyelewengan aset) dan Financial Statement Fraud (kecurangan dalam Laporan Keuangan)

            Corruption dalam bagan Fraud Tree diatas dikelompokan menjadi :

·         Conflict of Interest (benturan kepentingan),

·         Bribery (penyuapan untuk mempercepat penyelesaian masalah),

·         Illegal Gratuities (biasa juga disebut gratifikasi),

·         Economic Extortion (pemerasan).

Dalam Asset Misappropriation ada :

·         Skimming (mengambil keuntungan dari suatu transaksi dengan melibatkan pihak ketiga)

·         Cash Larceny (pencurian uang tunai perusahaan)

·         Fraudulent Disbursement (lebih “maju” dari skimming dan melibatkan lebih banyak pihak dan prosedur)

            Financial Statement Fraud maksudnya adalah manipulasi laporan keuangan, sebagai contoh overstatement berarti penyajian laporan keuangan “ditinggikan” dari aslinya sedangkan understatement sebaliknya yaitu “dikecilkan” dari aslinya. 

1.     Teori Fraud Triangle (Segitiga Fraud)

Teori ini dicetuskan oleh Donald Cressey, dalam teori ini, ada 3 hal yang dapat membuat seseorang melakukan fraud atau kecurangan, yaitu Pressure (dorongan/tekanan), Opportunity (peluang atau kesempatan), dan Rationalization (rasionalisasi/pembenaran).

Pressure (dorongan/tekanan) yang dimaksud disini adalah suatu kejadian dari luar atau dalam orang tersebut yang menimbulkan suatu tekanan/dorongan untuk melakukan fraud, bisa saja karena hutang atau hal-hal lain yang menyebabkan orang tersebut sangat ingin melakukan fraud agar tekanan itu hilang, misalnya orang dengan hutang yang banyak akan merasa tertekan dan akan melakukan segala cara untuk melunasi hutangnya dan bisa juga dengan melakukan korupsi, yang dimana termasuk salah satu bentuk fraud.

Opportunity (peluang/kesempatan) yang dimaksud adalah suatu kondisi dimana tidak ada pengawasan atau lemahnya pengawasan (internal maupun eksternal) sehingga menyebabkan seseorang dapat melakukan fraud dengan mudah tanpa terlacak karena lemahnya/tidak adanya pengawasan.

Rationalization (rasionalisasi/pembenaran) merupakan hal yang paling biasa digunakan untuk melakukan fraud, yaitu pembenaran atas apa yang dilakukannya dan tidak mau mengakui bahwa orang tersebut sudah berulang-ulang melakukan fraud.

Solusi untuk 3 hal ini adalah Etika yaitu rasa sadar diri untuk segera menghentikan fraud-fraud yang dilakukannya, jika orang memiliki Etika yang baik maka orang itu tidak akan memiliki pikiran untuk melakukan fraud sekalipun ada Pressure, Opportunity dan Rationalization.

2.     Teori Diamond

     Teori diamond merupakan pengembangan oleh Wolfe dan Hermanson dari Teori triangle yang sudah dijelaskan diatas, ada penambahan 1 faktor yang mendorong terjadinya fraud yaitu Capability (adanya kemampuan) untuk melakukan fraud, disini maksudnya bahwa selain ada Pressure , Opportunity dan Rationalization , ada Capability seseorang untuk dapat terus menerus melakukan fraud, contohnya tingginya jabatan adalah salah satu Capability seseorang untuk dapat melakukan fraud misalnya Manajemen melakukan korupsi terus menerus karena merasa merasa punya Capability untuk melakukan korupsi tersebut secara terus menerus.

3.     Teori Pentagon

Teori Pentagon merupakan teori yang dikemukakan oleh Crowe H. pada tahun 2011. Teori ini muncul karena teori pendahulunya yang dikemukakan oleh Donald R. Cressey mengenai teori triangle mengalami perluasan karena kondisi sekarang yang sudah berbeda. Dalam teori ini, Crowe menambahkan dua hal yang mendorong seseorang melakukan fraud, yaitu Competence (Kemampuan) dan Arrogance (Sifat arogan).

Kompetensi memiliki makna yang sama dengan elemen teori diamond yaitu kemampuan / kapabilitas (capability) yang dikemukakan oleh Wolfe dan Hermanson.

Arogansi adalah sikap yang menunjukkan bahwa kontrol internal, kebijakan dan peraturan dari perusahaan tidak berlaku untuk dirinya dan merasa dirinya bebas dari kebijakan, peraturan dan kontrol internal perusahaan sehingga merasa tidak bersalah atas fraud-fraud yang dilakukannya.

Menurut Crowe, solusi untuk fraud yaitu dengan meningkatkan kontrol internal agar karyawan/manajer tidak bisa melakukan fraud dengan mudah.

5 Komponen dari COSO Framework

Dalam rangka merespon kebutuhan eksekutif dalam menciptakan cara-cara efektif untuk mengendalikan lebih baik perusahaannya serta memberikan jaminan terhadap tujuan perusahaan yang berhubungan dengan operasi, pencatatan dan ketaatan pada suatu prinsip pengendalian internal yang dapat mencegah fraud, COSO mengembangkan kerangka kerja yang dikenal sebagai COSO (Internal Control) Integrated Framework pada tahun 1992 dan selanjutnya digantikan dengan COSO (Internal Control) Integrated Framework pada tahun 2013 karena banyaknya perubahan di lingkungan bisnis dan operasi beberapa dekade terakhir.

COSO's Internal Control - Integrated Framework adalah kerangka kerja yang dapat menjadikan organisasi untuk efektif dan efisien dalam mengembangkan sistem pengendalian internalnya yang beradaptasi terhadap perubahan di lingkungan bisnis dan operasi, mengurangi risiko sampai ke tingkat yang dapat diterima dan mendukung pengambilan keputusan dan tata kelola yang masuk akal dalam organisasi.

COSO’s Integrated Framework (1992 dan 2013) terdiri dari 5 (lima) komponen, yaitu:

1.     Monitoring (1992) atau Monitoring Activities (2013)

Proses pemantauan atau kegiatan pemantauan menurut COSO dilaksanakan melalui kegiatan pemantauan yang sedang berlangsung secara terus menerus, evaluasi secara terpisah, atau dengan berbagai kombinasi dari keduanya untuk memastikan apakah setiap komponen dari lima komponen pengendalian internal menurut COSO sedang berfungsi atau tidak.

Monitoring merupakan komponen dari COSO Integrated Framework (1992) yang digantikan dengan Monitoring Activities (kegiatan pemantauan) dalam tahun 2013.

2.     Information and Communication (Informasi dan Komunikasi)

Informasi penting untuk entitas dalam menjalankan tanggung jawab pengendalian internalnya untuk mendukung pencapaian tujuannya. Komunikasi adalah kegiatan yang terjadi terus menerus, proses berulang untuk menyediakan, membagikan dan mendapatkan informasi yang penting. Komunikasi menurut COSO dalam lingkup organisasi dibagi menjadi dua, yaitu komunikasi internal dan komunikasi eksternal.

3.     Control Activities (Aktivitas Pengendalian)

Aktivitas kontrol adalah tindakan-tindakan yang ditetapkan melalui kebijakan-kebijakan dan prosedur-prosedur yang membantu menjamin dilaksanakannya arahan-arahan manajemen untuk mengurangi risiko dalam usaha pencapaian tujuan organisasi. Dalam sifatnya, terbagi menjadi lingkungan pengendalian preventif dan mendeteksi, yang aktivitas-aktivitasnya mungkin dilakukan secara manual atau otomatis (melalui IT).

4.     Risk Assessment (Penaksiran Risiko)

Setiap entitas dihadapkan dengan berbagai risiko yang bersumber dari luar dan dalam organisasi. Risiko menurut COSO didefinisikan sebagai kemungkinan bahwa suatu kejadian akan terjadi dan pengaruhnya akan berlawanan untuk proses pencapaian tujuan. Penilaian / penaksiran risiko adalah proses yang dinamis dan berulang untuk mengidentifikasi dan menilai risiko dalam usaha pencapaian tujuan organisasi.

5.     Control Environment (Lingkungan Pengendalian)

Lingkungan pengendalian adalah sekumpulan standar, proses dan struktur yang menyediakan dasar untuk dilakukannya pengendalian internal di seluruh bagian organisasi. Keberhasilan lingkungan pengendalian memiliki dampak yang bersifat "pervasif" atau yang dapat mempengaruhi sistem pengendalian internal secara keseluruhan.

Sumber:

http://www.coso.org/IC.htm

http://www.acfe.com/fraud-tree.aspx

http://cyberlawfraud.blogspot.co.id/2013/04/normal-0-false-false-false-en-us-x-none.html

http://jagoakuntansi.com/2013/12/fraud-triangle-fraud-diamond/

https://ginbres.wordpress.com/2010/12/20/sisi-lain-dalam-upaya-pencegahan-fraud/

http://www.subex.com/blog/diamond-is-the-new-triangle/

https://mukhsonrofi.wordpress.com/2008/10/14/pengertian-atau-definisi-coso/

Tugas Analisa Sistem Online Yang Berhubungan Dengan SIA (Alfacart.com)

APA ITU ALFACART?

            Alfcart.com merupakan terobosan bagi industri ritel yang ada di Indonesia dengan basis belanja online. Alfacart ini adalah hasil dari perkembangan dari Alfamart yang ditujukan untuk memenuhi keinginan dan kebutuhan masyarakat akan belanja yang praktis dan mudah. Sistem yang dibentuk dan dikembangan pada Alfacart itu terhubung dengan seluruh Alfamart yang ada di Indonesia, jadi segala sesuatu yang dibutuhkan oleh masyarakat untuk memenuhi kebutuhannya pasti ada dan juga bagi seluruh masyarakat yang ada di Indonesia baik yang ada di kota besar maupun kota kecil akan mudah dalam mengaksesnya. Contohnya seperti barang-barang elektronik, fashion, kebutuhan sehari-hari yang dibutuhkan masyarakat, handphone, dan lain sebagainya. Dengan lengkapnya barang-barang yang ada makin mempermudah masyarakat dalam memilih kebutuhan sesuai yang diinginkannya.

            Alfacart juga menyediakan sistem layanan seperti Call Center dan e-mail yang dapat digunakan oleh masyarakat untuk memberikan saran ataupun keluhan mengenai belanjanya. Belanja online Alfacart dalam sistem pembayarannya menggunakan pembayaran offline, yaitu dapat melalui Pay at Store, COD (Cost on Delivery), Bank BCA, Bank Mandiri, kartu kredit, maupun non-bank seperti Indosat Dompetku, XL Tunai, T-Cash, dan lain sebagainya.

TIPE SISTEM ALFACART

              Alfacart berperan sebagai penyedia atau penjual yang menjual barang dagangannya, baik barang hasil produksinya sendiri maupun bukan melalui internet. Pelanggan dapat memilih barang yang diinginkannya sesuai dengan kebutuhan. Pada Alfacart, harga tiap barangnya sudah tercantum, bahkan harga setelah adanya diskon juga tercantum. Hal ini sangat mempermudah pembeli dalam memilah barang sesuai dengan budget yang mereka miliki. Dengan melihat uraian diatas, Alfacart masuk dalam sistem Business to Consumer atau sering disebut dengan B2C.

MODEL SISTEM ALFACART

            Penyediaan barang yang diproduksi oleh Alfamart maupun yang lainnya seperti ASUS, Xiaomi, Samsung, dan sebagainya yang kemudian dijual dengan pencantuman harga yang jelas dan juga dengan syarat ketentuan pembayaran serta bentuk pengirimannya, menyebabkan Alfacart tergolong dalam model sistem Content Provider.

REVENUE

            Pendapatan yang diperoleh dari Alfacart adalah dari penjualan barang yang disediakan oleh Alfacart itu sendiri maupun menjual barang produk lain (Reseller). Selain itu pendapatan Alfacart juga diperoleh dari pemasangan iklan yang ada di web. Kerjasama yang dilakukan dalam sistem pembayaran juga merupakan sumber pendapatan yang diterima oleh Alfacart itu sendiri.

SOX DAN TATA KELOLA IT

Ikhitisar dari SOX seksi 302 dan seksi 404

SOX Seksi 302 dan 404 terkonsentrasi dalam pengendalian internal dan tanggung jawab audit.

Seksi 302 memerlukan manajemen perusahaan (termasuk CEO) untuk menjamin informasi finansial dan informasi lainnya yang terkandung dalam laporan kuartalan atau tahunan organisasi. Aturan tersebut juga memerlukan mereka untuk menjamin pengendalian internal terhadap laporan keuangan.

Seksi 404 memerlukan manajemen perusahaan publik untuk menilai efektivitas pengendalian kontrol organisasi terhadap laporan keuangannya. Seksi ini juga memerlukan manajemen untuk menyediakan laporan keuangan yang membahas beberapa poin-poin:

1.      Mendeskripsikan arus transaksi, termasuk dalam aspek IT, dalam perincian yang cukup untuk mengidentifikasi letak-letak di mana kesalahan penyajian dapat terjadi.

2.      Menggunakan pendekatan berdasarkan risiko, dengan menilai desain dan efektivitas operasi dari pengendalian internal yang dipilih berhubungan dengan akun-akun yang material.

3.      Menilai potensi fraud dalam sistem & mengevaluasi pengendalian yang didesain untuk mencegah dan mendeteksinya.

4.      Mengevaluasi dan menyimpulkan kecukupan akan pengendalian terhadap proses pelaporan pernyataan keuangan.

5.      Mengevaluasi pengendalian (umum) entitas secara keseluruhan entity-wide yang sesuai dengan komponen-komponen dari Statement on Auditing Standards No. 78 (SAS 78)/kerangka kerja COSO.

HUBUNGAN ANTARA PENGENDALIAN IT DAN LAPORAN KEUANGAN

Teknologi informasi dalam proses pelaporan keuangan adalah komponen yang tidak terpisahkan dalam SOX untuk dipertimbangkan dan harus dikendalikan. SAS 78/COSO mengidentifikasi 2(dua) kelompok pengendalian sistem informasi: pengendalian informasi dan pengendalian umum. Tujuan dari pengendalian aplikasi adalah untuk memastikan validitas, kelengkapan, dan akurasi transaksi keuangan.

Pengendalian umum atau pengendalian umum komputer atau pengendalian teknologi informasi adalah pengendalian yang tidak diterapkan secara spesifik ke dalam suatu aplikasi, tetapi ke semua bagian sistem sehingga dibutuhkan untuk mendukung fungsi dari pengendalian aplikasi. Pengendalian ini terdiri dari pengendalian terhadap tata kelola IT, infrastruktur IT, pengamanan dan akses ke sistem operasi dan basis data, akuisisi dan pengembangan aplikasi, dan perubahan-perubahan program.

IMPLIKASI AUDIT DARI SEKSI 302 DAN 404

Penetapan SOX memperluas peran auditor eksternal dengan mengamanatkan mereka untuk membuktikan penilaian manajemen atas pengendalian internal. Sebagai bagian dari tanggung jawab pembuktian baru, PCAOB Standard No. 5 secara spesifik memerlukan auditor untuk memahami arus transaksi, termasuk pengendaliannya yang berkaitan dengan inisiasi, pemberian wewenang, pencatatatn dan pelaporan.

Sesuai dengan Seksi 404, diperlukan manajemen untuk menyediakan auditor eksternal dengan bukti terdokumentasi dengan fungsi pengendalian yang terkait untuk memilih akun-akun material yang dilaporkan dan efektivitas pengendaliannya. Fungsi audit internal organisasi atau kelompok SOX tertentu juga mungkin melakukan uji-uji ini sebelum eksternal auditor yang melakukannya.

Seksi 302 mengimplikasikan auditor untuk memiliki tanggung jawab terhadap jaminan kuartalan manajemen terhadap pengendalian internal. Secara spesifik, auditor harus melakukan prosedur tertentu dalam kuartalan untuk mengidentifikasi perubahan bahan dalam pengendalian terhadap pelaporan keuangan.

Terakhir, SOX menempatkan tanggung jawab kepada auditor untuk mendeteksi aktivitas fraud dan menekan pentingnya pengendalian yang didesain untuk mencegah atau mendeteksi fraud yang dapat berujung pada kesalahan penyajian material dari pernyataan keuangan. Manajemen bertanggung jawab untuk mengimplementasikan pengendalian tersebut, dan auditor diperlukan untuk menguji dan mengekspresikannya.

Computer Fraud

Penggunakan teknologi informasi menyebabkan computer fraud masuk ke dalam tanggung jawab manajemen dan audit yang dipaksakan oleh SOX. Computer fraud terdiri dari:

·         Pencurian, penyalahgunaan, atau penyelewengan aset dengan mengubah catatan atau file komputer.

·         Pencurian, penyalahgunaan, atau penyelewengan aset dengan mengubah logika dalam software komputer.

·         Pencurian atau penggunaan ilegal atas informasi di komputer.

·         Pencurian, korupsi, penyalinan ilegal, atau perusakan disengaja terhadap software komputer.

·         Pencurian, penyalahgunaan, atau penyelewengan hardware komputer.

Tahapan-tahapan kunci sistem informasi dalam model umum terdiri dari pengumpulan data, pemrosesan data, manajemen basis data, dan penghasilan informasi adalah area potensial risiko untuk berbagai tipe computer fraud.

PENGUMPULAN DATA. Tujuan pengendalian pada tahap operasi awal dalam sistem informasi ini adalah untuk memastikan bahwa memastikan data kejadian yang masuk ke dalam sistem adalah valid, lengkap, dan bebas dari kesalahan yang bersifat material.

PEMROSESAN DATA. Setelah dikumpulkan, data diproses untuk menghasilkan informasi. Tugas dalam pemrosesan data meliputi algoritma matematika, teknik statistika, posting dan prosedur penyimpulan. Fraud dalam pemrosesan data terdiri dari 2 kelas: program fraud dan operations fraud.Program fraud meliputi beberapa teknik: (1) membuat program ilegal yang dapat mengakses data atau files untuk merubah, menghapus, atau memasukan value dalam catatan akuntansi; (2) merusak atau meng-corrupt logika program dengan virus komputer; atau (3) mengubah logika program yang menyebabkan aplikasi salah dalam memproses data.

Operations fraud is penyalahgunaan atau pencurian sumber daya komputer perusahaan.

MANAJEMEN BASIS DATA. Basis data organisasi adalah gudang fisik untuk data keuangan dan non-keuangan. Fraud manajemen basis data meliputi mengubah, menghapus, mengkorup, merusak, atau mencuri data organisasi.

PENGHASILAN INFORMASI. Penghasilan informasi adalah proses menghimpun, menyusun, membentuk, dan mempresentasikan informasi kepada penggunanya. Bentuk umum computer fraud pada tahap penghasilan informasi adalah mencuri, menyesatkan, atau menyalahgunakan keluaran komputer. Teknik yang digunakan seperti scavenging meliputi pencarian pada tempat sampah di pusat komputer tentang keluaran yang telah disingkirkan dan eavesdropping meliputi pendengaran pada keluaran transmisi dari jaringan telekomunikasi.

Dengan latar belakang tersebut, tempat kejadian disediakan untuk melihat teknik pengendalian dan pengujiannya yang mungkin diperlukan di bawah SOX. PCAOB Auditing Standard No. 5 memastikan bahwa manajemen dan auditor menggunakan pendekatan berbasis risiko daripada one-size-fits-all approach terhadap desain dan penilaian pengendalian. Dengan kata lain, Ukuran dan kompleksitas kebutuhan organisasi dipertimbangkan dalam menentukan sifat dan lingkup pengendalian yang diperlukan.

Pengendalian Tata Kelola IT

Pengendalian tata kelola IT adalah konsep luas yang terkait dengan hak-hak pengambilan keputusan dan penganggung jawaban untuk mendukung tingkah laku yang diinginkan dalam penggunaan IT. Walaupun penting, tidak semua komponen tata kelola IT berhubungan secara spesifik dengan isu pengendalian yang SOX nyatakan dan yang disebut secara ringkas oleh kerangka kerja COSO. 3 isu tata kelola: struktur organisasi dari fungsi IT, kegiatan operasi komputer, dan rencana pemulihan bencana.

Kontrol Struktur Organisasi

Teknologi-teknologi Informasi yang ada kebanyakan dapat mengerjakan beberapa aktivitas secara bersamaan. Satu program komputer dapat melakukan pengautorisasian, pemrosesan dan perekaman semua aspek yang ada dari suatu peristiwa transaksi. Karena itu, fokus dari pemisahan tugas beralih dari tingkat operasional (tugas pemrosesan transaksi yang sekarang dilakukan program komputer) ke tingkat hubungan organisasional dalam fungsi teknologi informasi yang lebih tinggi. Hubungan timbal-balik antara pengembangan sistem, pemeliharaan aplikasi, administrasi database dan aktivitas operasi komputer menjadi perhatian khusus.

Yang termasuk dalam Kontrol Struktur Organisasi yaitu, pemisahan tugas dalam perusahaan terpusat, model pendistribusian, membuat fungsi IT perusahaan sesuai model pendistribusian, fungsi audit yang berkaitan dengan struktur organisasional dan prosedur-prosedur audit yang berkaitan dengan struktur organisasional.

Pusat Kontrol dan Keamanan Komputer

Kebakaran, banjir, badai angin, sabotase, gempa bumi atau bahkan pemadaman listrik dapat menybabkan hilangnya pengorganisasian data dan memberhentikan fungsi-fungsi yang hanya dapat dilakukan oleh komputer. Walaupun kemungkinan terjadinya kejadian-kejadian di atas sangat kecil, dampaknya bisa serius. Jika bencana terjadi, perusahaan tidak hanya kehilangan proses pengorganisasian data tetapi lebih penting lagi, dapat kehilangan kemampuan perusahaan tersebut untuk melakukan kegiatan bisnis.

Untuk mengatasi masalah diatas, dibutuhkan pusat kontrol komputer yang membantu terciptanya lingkungan yang aman dengan cara menentukan lokasi yang tepat, konstruksi bangunan lokasi, akses ke lokasi, pendinginan ruangan untuk mengatasi overheat (salah satunya melalui pemasangan Air Conditioner), alat pemadam kebakaran, kontrol toleransi kesalahan sistem, fungsi audit yang berkaitan dengan pusat keamanan komputer, dan fungsi audit untuk menilai kontrol keamanan fisik.

Perencanaan Pemulihan Bencana

Merupakan sebuah pernyataan menyeluruh tentang semua tindakan dilakukan sebelum, selama, dan setelah terjadi bencana, beserta dengan dokumen, dan pengujian prosedur yang akan menjamin kelangsungan operasi. Meskipun rincian dari setiap rencana memiliki keunikan, semua rencana tersebut memiliki sifat yang umum. Sisa dari bagian ini dikhususkan untuk diskusi tentang isu-isu kontrol berikut:

1.      Menyediakan salinan backup

Unsur yang diperlukan dalam perencanaan pemulihan bencana adalah bahwa ia menyediakan fasilitas pengolahan data duplikat setelah bencana.

2.      Mengidentifikasi aplikasi yang kritis

Elemen penting lain dari perencanaan pemulihan bencana yaitu melibatkan prosedur untuk mengidentifikasi aplikasi kritis dan data perusahaan yang akan dipulihkan. Akhirnya, semua aplikasi dan data harus dikembalikan ke aktivitas bisnis sebelum terjadi bencana. Hal ini akan menentukan kelangsungan hidup organisasi dalam jangka panjang.

3.      Melakukan prosedur backup dan penyimpanan di luar lokasi

Semua data, dokumentasi , dan persediaan yang dibutuhkan untuk melakukan fungsi kritis harus ditentukan dalam perencanaan pemulihan bencana . Orang yang melakukan pengolahan data harus rutin melakukan pembuatan data cadangan dan penyimpanan untuk menjaga sumber daya penting. Dalam hal ini orang yang melakukan pengolahan data harus membuat cadangan data berupa :

a.       Membuat cadangan data file

b.      Membuat cadangan dokumen

c.       Membuat cadangan persediaan dan sumber dokumen

4.      Membuat tim pemulihan bencana

Membuat kelompok yang bertanggung jawab dalam pemulihan bencana dimaksudkan untuk menghindari kelalaian serius atau duplikasi usaha, tanggung jawab tugas individu harus didefinisikan secara jelas dan dikomunikasikan kepada pegawai yang terlibat.

5.      Melakukan tes perencanaan pemulihan bencana

Merupakan salah satu aspek yang paling diabaikan dari perencanaan kontingensi menguji rencana. Namun demikian, tes perencanaan pemulihan bencana penting dan harus dilakukan secara berkala. Tes dilakukan untuk mengidentifikasi kelalaian atau hambatan dalam perencanaan.

6.      Prosedur audit untuk menilai perencanaan pemulihan bencana

Prosedur yang harus dipenuhi dalam audit yaitu,

a.       Mengevaluasi kelengkapan situs cadangan

b.      Auditor harus meninjau daftar aplikasi kritis dan memastikan bahwa itu sudah lengkap

c.       Auditor harus memverifikasi bahwa organisasi memiliki prosedur untuk menyimpan cadangan data.

d.      Cadangan persediaan, Sumber Dokumen, dan Dokumentasi

e.       Dalam hal perencanaan pemulihan bencana, auditor harus memverifikasi bahwa anggotanya adalah karyawan yang aktif dan auditor tahu tanggung jawab masing-masing karyawan.

Outsourcing the IT Function

Biaya, resiko, dan tanggung jawab yang terkait dengan pemeliharaan sebuah perusahaan fungsi teknologi informasi sangatlah penting. Banyak eksekutif dalam perusahaan yang mengotsource perusahaan mereka untuk vendor pihak ketiga yang mengambil alih tanggung jawab untuk pengelolaan aset dan juga staff serta untuk menyalurkan pelayanan seperti enti data, operasi data pusat, pengembangan aplikasi, pemeliharaan aplikasi, dan manajemen jaringan. Manfaat yang sering dirasakan dari outsourcing teknologi informasi antara lain peningkatan kinerja bisnis inti, peningkatan kinerja teknologi informasi (karena keahlian vendor), dan mengurangi biaya teknologi informasi. Dengan memindahkan fasilitas teknologi informasi lepas pantai ke daerah kerja-biaya rendah dan / atau melalui skala ekonomi (dengan menggabungkan karya beberapa klien), vendor dapat melakukan fungsi outsourcing lebih murah daripada perusahaan klien bisa sebaliknya. Penghematan biaya yang dihasilkan kemudian diteruskan ke organisasi klien. Selain itu, banyak outsourcing teknologi informasi pengaturan melibatkan penjualan aset teknologi informasi perusahaan klien, baik manusia dan mesin, dengan Vendor yang perusahaan klien kemudian sewa kembali. Transaksi ini menghasilkan satu kali suntikan dana yang signifikan bagi perusahaan.

Logika yang mendasari outsourcing teknologi informasi berikut dari teori kompetensi inti, yang berpendapat bahwa sebuah organisasi harus fokus secara pada kompetensi bisnis inti, agar memungkinkan vendor Outsourcing untuk secara efisien mengelola daerah non-inti.

Contoh aset tertentu meliputi pengembangan sistem, pemeliharaan aplikasi, data warehousing, dan karyawan sangat terampil dilatih untuk menggunakan perangkat lunak organisasi-spesifik. Ekonomi Biaya Transaksi (TCE) teori menyarankan bahwa perusahaan harus mempertahankan aset TI non-core spesifik tertentu di rumah. Karena sifat esoteris mereka, aset tertentu tidak dapat dengan mudah diganti setelah mereka menyerah dalam pengaturan outsourcing. Karena itu, jika organisasi harus memutuskan untuk membatalkan kontrak outsourcing dengan vendor, mungkin tidak dapat kembali ke keadaan pra-outsource-nya. Di sisi lain, teori TCE mendukung outsourcing komoditas aset, yang dengan mudah diganti atau diperoleh dari vendor alternatif.

Tentu, persepsi CEO dari apa yang merupakan aset komoditas IT memainkan peran penting dalam teknologi informasi outsourcing keputusan. Sering kali ini datang ke soal definisi dan interpretasi. Sebagai contoh, kebanyakan CEO akan mendefinisikan fungsi teknologi informasi mereka sebagai komoditas non-inti, kecuali mereka berada dalam bisnis mengembangkan dan menjual aplikasi teknologi informasi. Akibatnya, keyakinan bahwa semua teknologi informasi dapat, dan harus, menjadi dikelola oleh organisasi layanan besar cenderung menang. persepsi tersebut mencerminkan, sebagian, kedua kurangnya pendidikan eksekutif dan penyebaran informasi yang salah mengenai kebajikan dan keterbatasan teknologi informasi  outsourcing.

RISIKO INHERENT TO IT OUTSOURCING

Skala besar peristiwa IT outsourcing adalah usaha berisiko, sebagian karena ukuran tipis dari keuangan penawaran, tetapi juga karena sifat mereka. Tingkat risiko terkait dengan tingkat spesifisitas aset dari fungsi outsourcing. Bagian berikut menguraikan beberapa masalah terdokumentasi dengan baik.

Outsourcing Biaya Melebihi Manfaat

IT outsourcing telah dikritik dengan alasan bahwa biaya tak terduga muncul dan sepenuhnya diharapkan manfaat tidak menyadari. Salah satu alasan untuk ini adalah bahwa outsourcing klien sering gagal mengantisipasi biaya seleksi vendor, kontraktor, dan transisi dari operasi TI untuk vendor.

IMPLIKASI AUDIT OUTSOURCING TI

Manajemen mungkin outsourcing fungsi TI organisasi mereka, tetapi mereka tidak dapat outsourcing manajemen mereka tanggung jawab di bawah SOX untuk memastikan memadai IT pengendalian internal. PCAOB khusus negara di Audit yang Standard No 2, '' Penggunaan organisasi pelayanan tidak mengurangi manajemen tanggung jawab untuk mempertahankan kontrol internal yang efektif atas pelaporan keuangan. Sebaliknya, manajemen pengguna harus mengevaluasi pengendalian di organisasi jasa, serta kontrol terkait di perusahaan pengguna, ketika membuat penilaian yang tentang pengendalian internal atas pelaporan keuangan. '' Oleh karena itu, jika sebuah perusahaan klien audit outsourcing fungsi IT untuk vendor yang memproses transaksi yang, host data kunci, atau melakukan lainnya yang signifikan jasa, auditor perlu melakukan evaluasi dari kontrol vendor organisasi, atau alternatif mendapatkan laporan SAS No. 70 auditor dari organisasi penjual.

Pernyataan Standar Audit No 70 (SAS 70) adalah standar definitif oleh organisasi yang klien auditor dapat memperoleh pengetahuan yang mengontrol di vendor pihak ketiga adalah cukup untuk mencegah atau mendeteksi kesalahan material yang dapat mempengaruhi laporan keuangan klien. SAS 70 laporan, yang disiapkan oleh auditor vendor, membuktikan kecukupan pengendalian internal vendor. Ini adalah sarana yang merupakan outsourcing vendor dapat memperoleh laporan audit tunggal yang dapat digunakan oleh auditor klien 'dan dengan demikian menghalangi kebutuhan untuk setiap perusahaan klien auditor untuk melakukan audit sendiri kontrol internal vendor organisasi.

Referensi:

James A. Hall. 2011. Accounting Information Systems Seventh Edition. Mason: Cengage Learning.