Ikhitisar
dari SOX seksi 302 dan seksi 404
SOX
Seksi 302 dan 404 terkonsentrasi dalam pengendalian internal dan tanggung jawab
audit.
Seksi
302 memerlukan manajemen perusahaan (termasuk CEO) untuk menjamin informasi
finansial dan informasi lainnya yang terkandung dalam laporan kuartalan atau
tahunan organisasi. Aturan tersebut juga memerlukan mereka untuk menjamin
pengendalian internal terhadap laporan keuangan.
Seksi
404 memerlukan manajemen perusahaan publik untuk menilai efektivitas
pengendalian kontrol organisasi terhadap laporan keuangannya. Seksi ini juga
memerlukan manajemen untuk menyediakan laporan keuangan yang membahas beberapa
poin-poin:
1.
Mendeskripsikan
arus transaksi, termasuk dalam aspek IT, dalam perincian yang cukup untuk
mengidentifikasi letak-letak di mana kesalahan penyajian dapat terjadi.
2.
Menggunakan
pendekatan berdasarkan risiko, dengan menilai desain dan efektivitas operasi
dari pengendalian internal yang dipilih berhubungan dengan akun-akun yang
material.
3.
Menilai
potensi fraud dalam sistem & mengevaluasi pengendalian yang didesain untuk
mencegah dan mendeteksinya.
4.
Mengevaluasi
dan menyimpulkan kecukupan akan pengendalian terhadap proses pelaporan
pernyataan keuangan.
5.
Mengevaluasi
pengendalian (umum) entitas secara keseluruhan entity-wide yang sesuai dengan
komponen-komponen dari Statement on Auditing Standards No. 78 (SAS 78)/kerangka
kerja COSO.
HUBUNGAN ANTARA PENGENDALIAN IT DAN LAPORAN KEUANGAN
Teknologi
informasi dalam proses pelaporan keuangan adalah komponen yang tidak
terpisahkan dalam SOX untuk dipertimbangkan dan harus dikendalikan. SAS 78/COSO
mengidentifikasi 2(dua) kelompok pengendalian sistem informasi: pengendalian
informasi dan pengendalian umum. Tujuan dari pengendalian aplikasi adalah untuk
memastikan validitas, kelengkapan, dan akurasi transaksi keuangan.
Pengendalian
umum atau pengendalian umum komputer atau pengendalian teknologi informasi
adalah pengendalian yang tidak diterapkan secara spesifik ke dalam suatu
aplikasi, tetapi ke semua bagian sistem sehingga dibutuhkan untuk mendukung
fungsi dari pengendalian aplikasi. Pengendalian ini terdiri dari pengendalian
terhadap tata kelola IT, infrastruktur IT, pengamanan dan akses ke sistem
operasi dan basis data, akuisisi dan pengembangan aplikasi, dan
perubahan-perubahan program.
IMPLIKASI AUDIT DARI SEKSI 302 DAN 404
Penetapan
SOX memperluas peran auditor eksternal dengan mengamanatkan mereka untuk
membuktikan penilaian manajemen atas pengendalian internal. Sebagai bagian dari
tanggung jawab pembuktian baru, PCAOB Standard No. 5 secara spesifik memerlukan
auditor untuk memahami arus transaksi, termasuk pengendaliannya yang berkaitan
dengan inisiasi, pemberian wewenang, pencatatatn dan pelaporan.
Sesuai
dengan Seksi 404, diperlukan manajemen untuk menyediakan auditor eksternal
dengan bukti terdokumentasi dengan fungsi pengendalian yang terkait untuk
memilih akun-akun material yang dilaporkan dan efektivitas pengendaliannya.
Fungsi audit internal organisasi atau kelompok SOX tertentu juga mungkin
melakukan uji-uji ini sebelum eksternal auditor yang melakukannya.
Seksi
302 mengimplikasikan auditor untuk memiliki tanggung jawab terhadap jaminan
kuartalan manajemen terhadap pengendalian internal. Secara spesifik, auditor
harus melakukan prosedur tertentu dalam kuartalan untuk mengidentifikasi
perubahan bahan dalam pengendalian terhadap pelaporan keuangan.
Terakhir,
SOX menempatkan tanggung jawab kepada auditor untuk mendeteksi aktivitas fraud
dan menekan pentingnya pengendalian yang didesain untuk mencegah atau
mendeteksi fraud yang dapat berujung pada kesalahan penyajian material dari
pernyataan keuangan. Manajemen bertanggung jawab untuk mengimplementasikan
pengendalian tersebut, dan auditor diperlukan untuk menguji dan
mengekspresikannya.
Computer Fraud
Penggunakan
teknologi informasi menyebabkan computer fraud masuk ke dalam tanggung jawab
manajemen dan audit yang dipaksakan oleh SOX. Computer fraud terdiri dari:
·
Pencurian,
penyalahgunaan, atau penyelewengan aset dengan mengubah catatan atau file
komputer.
·
Pencurian,
penyalahgunaan, atau penyelewengan aset dengan mengubah logika dalam software
komputer.
·
Pencurian
atau penggunaan ilegal atas informasi di komputer.
·
Pencurian,
korupsi, penyalinan ilegal, atau perusakan disengaja terhadap software
komputer.
·
Pencurian,
penyalahgunaan, atau penyelewengan hardware komputer.
Tahapan-tahapan
kunci sistem informasi dalam model umum terdiri dari pengumpulan data, pemrosesan data, manajemen basis data, dan penghasilan informasi adalah area
potensial risiko untuk berbagai tipe computer fraud.
PENGUMPULAN DATA. Tujuan pengendalian pada tahap
operasi awal dalam sistem informasi ini adalah untuk memastikan bahwa
memastikan data kejadian yang masuk ke dalam sistem adalah valid, lengkap, dan
bebas dari kesalahan yang bersifat material.
PEMROSESAN DATA. Setelah dikumpulkan, data
diproses untuk menghasilkan informasi. Tugas dalam pemrosesan data meliputi
algoritma matematika, teknik statistika, posting dan prosedur penyimpulan.
Fraud dalam pemrosesan data terdiri dari 2 kelas: program fraud dan operations
fraud.Program fraud meliputi beberapa teknik: (1) membuat program ilegal yang
dapat mengakses data atau files untuk merubah, menghapus, atau memasukan value
dalam catatan akuntansi; (2) merusak atau meng-corrupt logika program dengan
virus komputer; atau (3) mengubah logika program yang menyebabkan aplikasi
salah dalam memproses data.
Operations fraud is penyalahgunaan atau pencurian
sumber daya komputer perusahaan.
MANAJEMEN BASIS DATA. Basis data organisasi adalah
gudang fisik untuk data keuangan dan non-keuangan. Fraud manajemen basis data
meliputi mengubah, menghapus, mengkorup, merusak, atau mencuri data organisasi.
PENGHASILAN INFORMASI. Penghasilan informasi adalah
proses menghimpun, menyusun, membentuk, dan mempresentasikan informasi kepada
penggunanya. Bentuk umum computer fraud pada tahap penghasilan informasi adalah
mencuri, menyesatkan, atau menyalahgunakan keluaran komputer. Teknik yang
digunakan seperti scavenging meliputi pencarian pada tempat sampah di pusat
komputer tentang keluaran yang telah disingkirkan dan eavesdropping meliputi
pendengaran pada keluaran transmisi dari jaringan telekomunikasi.
Dengan
latar belakang tersebut, tempat kejadian disediakan untuk melihat teknik
pengendalian dan pengujiannya yang mungkin diperlukan di bawah SOX. PCAOB
Auditing Standard No. 5 memastikan bahwa manajemen dan auditor menggunakan
pendekatan berbasis risiko daripada one-size-fits-all approach terhadap desain
dan penilaian pengendalian. Dengan kata lain, Ukuran dan kompleksitas kebutuhan
organisasi dipertimbangkan dalam menentukan sifat dan lingkup pengendalian yang
diperlukan.
Pengendalian Tata Kelola IT
Pengendalian
tata kelola IT adalah konsep luas yang terkait dengan hak-hak pengambilan
keputusan dan penganggung jawaban untuk mendukung tingkah laku yang diinginkan
dalam penggunaan IT. Walaupun penting, tidak semua komponen tata kelola IT
berhubungan secara spesifik dengan isu pengendalian yang SOX nyatakan dan yang
disebut secara ringkas oleh kerangka kerja COSO. 3 isu tata kelola: struktur
organisasi dari fungsi IT, kegiatan operasi komputer, dan rencana pemulihan
bencana.
Kontrol Struktur Organisasi
Teknologi-teknologi
Informasi yang ada kebanyakan dapat mengerjakan beberapa aktivitas secara
bersamaan. Satu program komputer dapat melakukan pengautorisasian, pemrosesan
dan perekaman semua aspek yang ada dari suatu peristiwa transaksi. Karena itu,
fokus dari pemisahan tugas beralih dari tingkat operasional (tugas pemrosesan
transaksi yang sekarang dilakukan program komputer) ke tingkat hubungan
organisasional dalam fungsi teknologi informasi yang lebih tinggi. Hubungan
timbal-balik antara pengembangan sistem, pemeliharaan aplikasi, administrasi
database dan aktivitas operasi komputer menjadi perhatian khusus.
Yang
termasuk dalam Kontrol Struktur Organisasi yaitu, pemisahan tugas dalam
perusahaan terpusat, model pendistribusian, membuat fungsi IT perusahaan sesuai
model pendistribusian, fungsi audit yang berkaitan dengan struktur
organisasional dan prosedur-prosedur audit yang berkaitan dengan struktur
organisasional.
Pusat Kontrol dan Keamanan Komputer
Kebakaran,
banjir, badai angin, sabotase, gempa bumi atau bahkan pemadaman listrik dapat
menybabkan hilangnya pengorganisasian data dan memberhentikan fungsi-fungsi
yang hanya dapat dilakukan oleh komputer. Walaupun kemungkinan terjadinya
kejadian-kejadian di atas sangat kecil, dampaknya bisa serius. Jika bencana
terjadi, perusahaan tidak hanya kehilangan proses pengorganisasian data tetapi
lebih penting lagi, dapat kehilangan kemampuan perusahaan tersebut untuk
melakukan kegiatan bisnis.
Untuk
mengatasi masalah diatas, dibutuhkan pusat kontrol komputer yang membantu
terciptanya lingkungan yang aman dengan cara menentukan lokasi yang tepat,
konstruksi bangunan lokasi, akses ke lokasi, pendinginan ruangan untuk
mengatasi overheat (salah satunya melalui pemasangan Air Conditioner), alat
pemadam kebakaran, kontrol toleransi kesalahan sistem, fungsi audit yang
berkaitan dengan pusat keamanan komputer, dan fungsi audit untuk menilai
kontrol keamanan fisik.
Perencanaan Pemulihan Bencana
Merupakan
sebuah pernyataan menyeluruh tentang semua tindakan dilakukan sebelum, selama,
dan setelah terjadi bencana, beserta dengan dokumen, dan pengujian prosedur
yang akan menjamin kelangsungan operasi. Meskipun rincian dari setiap rencana
memiliki keunikan, semua rencana tersebut memiliki sifat yang umum. Sisa dari
bagian ini dikhususkan untuk diskusi tentang isu-isu kontrol berikut:
1.
Menyediakan
salinan backup
Unsur yang diperlukan dalam
perencanaan pemulihan bencana adalah bahwa ia menyediakan fasilitas pengolahan
data duplikat setelah bencana.
2.
Mengidentifikasi
aplikasi yang kritis
Elemen penting lain dari
perencanaan pemulihan bencana yaitu melibatkan prosedur untuk mengidentifikasi
aplikasi kritis dan data perusahaan yang akan dipulihkan. Akhirnya, semua
aplikasi dan data harus dikembalikan ke aktivitas bisnis sebelum terjadi
bencana. Hal ini akan menentukan kelangsungan hidup organisasi dalam jangka
panjang.
3.
Melakukan
prosedur backup dan penyimpanan di luar lokasi
Semua data, dokumentasi , dan
persediaan yang dibutuhkan untuk melakukan fungsi kritis harus ditentukan dalam
perencanaan pemulihan bencana . Orang yang melakukan pengolahan data harus
rutin melakukan pembuatan data cadangan dan penyimpanan untuk menjaga sumber
daya penting. Dalam hal ini orang yang melakukan pengolahan data harus membuat
cadangan data berupa :
a.
Membuat
cadangan data file
b.
Membuat
cadangan dokumen
c.
Membuat
cadangan persediaan dan sumber dokumen
4.
Membuat
tim pemulihan bencana
Membuat kelompok yang bertanggung
jawab dalam pemulihan bencana dimaksudkan untuk menghindari kelalaian serius
atau duplikasi usaha, tanggung jawab tugas individu harus didefinisikan secara jelas
dan dikomunikasikan kepada pegawai yang terlibat.
5.
Melakukan
tes perencanaan pemulihan bencana
Merupakan salah satu aspek yang
paling diabaikan dari perencanaan kontingensi menguji rencana. Namun demikian,
tes perencanaan pemulihan bencana penting dan harus dilakukan secara berkala.
Tes dilakukan untuk mengidentifikasi kelalaian atau hambatan dalam perencanaan.
6.
Prosedur
audit untuk menilai perencanaan pemulihan bencana
Prosedur
yang harus dipenuhi dalam audit yaitu,
a.
Mengevaluasi
kelengkapan situs cadangan
b.
Auditor
harus meninjau daftar aplikasi kritis dan memastikan bahwa itu sudah lengkap
c.
Auditor
harus memverifikasi bahwa organisasi memiliki prosedur untuk menyimpan cadangan
data.
d.
Cadangan
persediaan, Sumber Dokumen, dan Dokumentasi
e.
Dalam
hal perencanaan pemulihan bencana, auditor harus memverifikasi bahwa anggotanya
adalah karyawan yang aktif dan auditor tahu tanggung jawab masing-masing
karyawan.
Outsourcing the IT Function
Biaya,
resiko, dan tanggung jawab yang terkait dengan pemeliharaan sebuah perusahaan
fungsi teknologi informasi sangatlah penting. Banyak eksekutif dalam perusahaan
yang mengotsource perusahaan mereka untuk vendor pihak ketiga yang mengambil
alih tanggung jawab untuk pengelolaan aset dan juga staff serta untuk
menyalurkan pelayanan seperti enti data, operasi data pusat, pengembangan
aplikasi, pemeliharaan aplikasi, dan manajemen jaringan. Manfaat yang sering
dirasakan dari outsourcing teknologi informasi antara lain peningkatan kinerja
bisnis inti, peningkatan kinerja teknologi informasi (karena keahlian vendor),
dan mengurangi biaya teknologi informasi. Dengan memindahkan fasilitas
teknologi informasi lepas pantai ke daerah kerja-biaya rendah dan / atau
melalui skala ekonomi (dengan menggabungkan karya beberapa klien), vendor dapat
melakukan fungsi outsourcing lebih murah daripada perusahaan klien bisa
sebaliknya. Penghematan biaya yang dihasilkan kemudian diteruskan ke organisasi
klien. Selain itu, banyak outsourcing teknologi informasi pengaturan melibatkan
penjualan aset teknologi informasi perusahaan klien, baik manusia dan mesin,
dengan Vendor yang perusahaan klien kemudian sewa kembali. Transaksi ini
menghasilkan satu kali suntikan dana yang signifikan bagi perusahaan.
Logika
yang mendasari outsourcing teknologi informasi berikut dari teori kompetensi
inti, yang berpendapat bahwa sebuah organisasi harus fokus secara pada
kompetensi bisnis inti, agar memungkinkan vendor Outsourcing untuk secara
efisien mengelola daerah non-inti.
Contoh
aset tertentu meliputi pengembangan sistem, pemeliharaan aplikasi, data
warehousing, dan karyawan sangat terampil dilatih untuk menggunakan perangkat
lunak organisasi-spesifik. Ekonomi Biaya Transaksi (TCE) teori menyarankan
bahwa perusahaan harus mempertahankan aset TI non-core spesifik tertentu di
rumah. Karena sifat esoteris mereka, aset tertentu tidak dapat dengan mudah
diganti setelah mereka menyerah dalam pengaturan outsourcing. Karena itu, jika
organisasi harus memutuskan untuk membatalkan kontrak outsourcing dengan
vendor, mungkin tidak dapat kembali ke keadaan pra-outsource-nya. Di sisi lain,
teori TCE mendukung outsourcing komoditas aset, yang dengan mudah diganti atau
diperoleh dari vendor alternatif.
Tentu,
persepsi CEO dari apa yang merupakan aset komoditas IT memainkan peran penting
dalam teknologi informasi outsourcing keputusan. Sering kali ini datang ke soal
definisi dan interpretasi. Sebagai contoh, kebanyakan CEO akan mendefinisikan
fungsi teknologi informasi mereka sebagai komoditas non-inti, kecuali mereka
berada dalam bisnis mengembangkan dan menjual aplikasi teknologi informasi.
Akibatnya, keyakinan bahwa semua teknologi informasi dapat, dan harus, menjadi
dikelola oleh organisasi layanan besar cenderung menang. persepsi tersebut
mencerminkan, sebagian, kedua kurangnya pendidikan eksekutif dan penyebaran
informasi yang salah mengenai kebajikan dan keterbatasan teknologi
informasi outsourcing.
RISIKO INHERENT TO IT
OUTSOURCING
Skala
besar peristiwa IT outsourcing adalah usaha berisiko, sebagian karena ukuran
tipis dari keuangan penawaran, tetapi juga karena sifat mereka. Tingkat risiko
terkait dengan tingkat spesifisitas aset dari fungsi outsourcing. Bagian
berikut menguraikan beberapa masalah terdokumentasi dengan baik.
Outsourcing Biaya
Melebihi Manfaat
IT
outsourcing telah dikritik dengan alasan bahwa biaya tak terduga muncul dan
sepenuhnya diharapkan manfaat tidak menyadari. Salah satu alasan untuk ini
adalah bahwa outsourcing klien sering gagal mengantisipasi biaya seleksi
vendor, kontraktor, dan transisi dari operasi TI untuk vendor.
IMPLIKASI AUDIT
OUTSOURCING TI
Manajemen
mungkin outsourcing fungsi TI organisasi mereka, tetapi mereka tidak dapat
outsourcing manajemen mereka tanggung jawab di bawah SOX untuk memastikan
memadai IT pengendalian internal. PCAOB khusus negara di Audit yang Standard No
2, '' Penggunaan organisasi pelayanan tidak mengurangi manajemen tanggung jawab
untuk mempertahankan kontrol internal yang efektif atas pelaporan keuangan.
Sebaliknya, manajemen pengguna harus mengevaluasi pengendalian di organisasi
jasa, serta kontrol terkait di perusahaan pengguna, ketika membuat penilaian
yang tentang pengendalian internal atas pelaporan keuangan. '' Oleh karena itu,
jika sebuah perusahaan klien audit outsourcing fungsi IT untuk vendor yang
memproses transaksi yang, host data kunci, atau melakukan lainnya yang
signifikan jasa, auditor perlu melakukan evaluasi dari kontrol vendor
organisasi, atau alternatif mendapatkan laporan SAS No. 70 auditor dari
organisasi penjual.
Pernyataan
Standar Audit No 70 (SAS 70) adalah standar definitif oleh organisasi yang
klien auditor dapat memperoleh pengetahuan yang mengontrol di vendor pihak
ketiga adalah cukup untuk mencegah atau mendeteksi kesalahan material yang
dapat mempengaruhi laporan keuangan klien. SAS 70 laporan, yang disiapkan oleh
auditor vendor, membuktikan kecukupan pengendalian internal vendor. Ini adalah
sarana yang merupakan outsourcing vendor dapat memperoleh laporan audit tunggal
yang dapat digunakan oleh auditor klien 'dan dengan demikian menghalangi
kebutuhan untuk setiap perusahaan klien auditor untuk melakukan audit sendiri
kontrol internal vendor organisasi.
Referensi:
James
A. Hall. 2011. Accounting Information Systems Seventh Edition. Mason: Cengage
Learning.
No comments:
Post a Comment