Gambaran Umum SOX Bagian 302 dan 404

SOX tahun 2002 menetapkan peraturan dan standar tata kelola perusahaan baru untuk perusahaan publik
yang terdaftar di Securities and Exchange Commission (SEC). Meskipun tindakan tersebut mengandung
banyak bagian, bab ini dan dua bab berikut berkonsentrasi pada pengendalian internal dan tanggung
jawab audit sesuai dengan Bagian 302 dan 404.

Bagian 302 mewajibkan manajemen perusahaan (termasuk chief executive officer [CEO]) untuk
mengesahkan informasi keuangan dan informasi lainnya yang terdapat dalam laporan tahunan dan
tahunan organisasi. Aturan tersebut juga mewajibkan mereka untuk mengesahkan pengendalian internal
atas pelaporan keuangan. Petugas sertifikasi diharuskan untuk merancang pengendalian internal, atau
membuat kontrol semacam itu dirancang, dan memberikan kepastian yang memadai mengenai
keandalan proses pelaporan keuangan. Selanjutnya, mereka harus mengungkapkan setiap perubahan
material dalam pengendalian internal perusahaan yang telah terjadi selama kuartal fiskal terakhir.

Bagian 404 mewajibkan manajemen perusahaan publik untuk menilai efektivitas pengendalian internal
organisasi mereka atas pelaporan keuangan. Berdasarkan bagian tindakan ini, manajemen diharuskan
memberikan laporan tahunan yang membahas hal-hal berikut:

1. Jelaskan alur transaksi, termasuk aspek TI, dengan detail yang cukup untuk mengidentifikasi
titik di mana salah saji bisa timbul.
2. Dengan menggunakan pendekatan berbasis risiko, tentukan baik disain dan efektivitas operasi
pengendalian internal terpilih yang terkait dengan akun material.
3. Menilai potensi kecurangan dalam sistem dan mengevaluasi kontrol yang dirancang untuk
mencegah atau mendeteksi kecurangan.
4. Mengevaluasi dan menyimpulkan kecukupan pengendalian atas proses pelaporan laporan
keuangan.
5. Evaluasi kontrol keseluruhan entitas (umum) yang sesuai dengan komponen kerangka
Pernyataan Standar Auditing No. 78 (SAS 78) / COSO.
Mengenai poin terakhir, SEC telah membuat referensi khusus untuk SAS 78/COSO sebagai kerangka
control yang direkomendasikan. Selanjutnya, Standar Audit Pengawas Akuntansi Perusahaan
(PCAOB)No. 5 mendukung penggunaan SAS 78/COSO sebagai kerangka kerja untuk penilaian control.
Meskipun kerangka kerja lain yang sesuai telah diterbitkan, kerangka kerja apapun yang digunakan
harus mencakup semua tema umum COSO. Kami membahas elemen kunci kerangka SAS 78/COSO di
bab 3. Focus kami pada saat ini adalah control it yang sebelumnya tidak dibahas. Aspek kerangka SAS
78/COSO ini digunakan untuk menyajikan masalah control dan audit dalam bab ini dan dua bab berikut.

HUBUNGAN ANTARA KONTROL IT DAN PELAPORAN KEUANGAN

Teknologi informasi mendorong proses pelaporan keuangan organisasi modern. System otomatis
memulai, mengotorisasi, mencatat, dan melaporkan dampak dari transaksi keuangan. Dengan demikian,
elemen-elemen tersebut tidak dapat dipisahkan dari proses pelaporan keuangan yang dianggap SOX dan
harus dikendalikan. SAS 78/COSO mengidentifikasi dua pengelompokan control system informasi yang
luas : control aplikasi dan control umum. Tujuan pengendalian aplikasi adalah untuk memastikan
validitas, kelengkapan, dan keakuratan transaksi keuangan. Kontrol ini dirancang khusus untuk aplikasi.
Contohnya :

 Pencairan dana rutin penyeimbang kas yang memverifikasi bahwa total pembayaran ke
vendor didamaikan dengan total pos ke buku besar pembantu piutang usaha.
 Prosedur penanggalan piutang piutang yang memvalidasi nomor rekening nasabah atas transaksi
penjualan.
  Cek batas sistem penggajian yang mengidentifikasi catatan kartu waktu karyawan dengan jam
kerja yang dilaporkan bekerja melebihi batas normal yang telah ditentukan.

Contoh-contoh ini menggambarkan bagaimana kontrol aplikasi memiliki dampak langsung terhadap
integritas data yang berhasil melalui berbagai sistem pemrosesan transaksi dan ke dalam proses pelaporan
keuangan. Kontrol aplikasi diperiksa secara rinci pada Bab 17.

Kelompok kontrol kedua yang diketahui SAS 78 / COSO mengidentifikasi adalah kontrol umum.
Mereka diberi nama begitu karena tidak spesifik aplikasi tapi lebih tepatnya, berlaku untuk semua
sistem. Kontrol umum memiliki nama lain dalam kerangka kerja lain, termasuk kontrol komputer
umum dan kontrol teknologi informasi. Apapun nama yang digunakan, termasuk kontrol atas tata
kelola TI, infrastruktur TI, keamanan dan akses ke sistem operasi dan database, akuisisi dan
pengembangan aplikasi, dan perubahan program.

Sedangkan kontrol umum tidak mengendalikan transaksi tertentu, namun memiliki pengaruh terhadap
integritas transaksi. Misalnya, pertimbangkan sebuah organisasi dengan kontrol keamanan database yang
buruk. Dalam situasi seperti ini, bahkan data yang diproses oleh sistem dengan kontrol aplikasi built-in
yang memadai mungkin berisiko. Seseorang yang mampu menghindari keamanan database (baik secara
langsung atau melalui program jahat) dapat mengubah, mencuri, atau merusak data transaksi yang
tersimpan. Dengan demikian, kontrol umum diperlukan untuk mendukung berfungsinya kontrol
aplikasi, dan keduanya diperlukan untuk memastikan pelaporan keuangan yang akurat.

IMPLIKASI AUDIT BAGIAN 302 DAN 404

Materi yang tercakup dalam sisa bab ini dan bab-bab berikut mengasumsikan pemahaman dasar tentang
proses audit. Secara khusus, pembaca harus:

 Mampu membedakan antara fungsi atest dan assurance.

 Pahami konsep asertif manajemen dan kenali hubungan antara asersi dan tujuan audit.
 Kenali perbedaan antara tes kontrol dan tes substantif dan pahami hubungan di antara
keduanya.

Lampiran pada bab ini berisi ikhtisar singkat tentang topik ini. Mereka yang kekurangan pengetahuan ini
harus meninjau lampiran sebelum melanjutkan dengan bagian ini.

Sebelum SOX, auditor eksternal tidak diharuskan untuk menguji pengendalian internal sebagai bagian dari
fungsi pengesahannya. Mereka diharuskan untuk mengenal kontrol internal organisasi klien, namun
memiliki pilihan untuk tidak bergantung pada mereka dan karena itu tidak melakukan tes kontrol.
Audit bisa, dan sering dilakukan, oleh karena itu terutama terdiri dari tes substantif.

Perundang-undangan SOX secara dramatis memperluas peran auditor eksternal dengan mewajibkan
mereka untuk menilai penilaian manajemen terhadap pengendalian internal. Ini merupakan penerbitan
opini audit terpisah di samping pendapat atas kewajaran laporan keuangan. Standar opini audit baru ini
tinggi. Memang, auditor dilarang mengeluarkan opini yang tidak wajar jika hanya satu kelemahan material
dalam pengendalian internal yang terdeteksi. Menariknya, auditor diijinkan untuk sekaligus memberikan
pendapat yang memenuhi syarat mengenai penilaian manajemen terhadap pengendalian internal dan opini
wajar tanpa pengecualian atas laporan keuangan. Dengan kata lain
secara teknis mungkin bagi auditor untuk menemukan pengendalian internal atas pelaporan keuangan
menjadi lemah, namun disimpulkan melalui pengujian substantif bahwa kelemahan tersebut tidak
menyebabkan laporan keuangan menjadi salah secara material.

Sebagai bagian dari tanggung jawab pengesahan baru, Standar PCAOB No. 5 secara khusus
mengharuskan auditor memahami arus transaksi, termasuk kontrol yang berkaitan dengan bagaimana
transaksi diinisiasi, disahkan, dicatat, dan dilaporkan. Ini melibatkan pertama memilih akun keuangan yang
memiliki implikasi material untuk pelaporan keuangan. Kemudian, auditor perlu mengidentifikasi kontrol
aplikasi yang terkait dengan akun tersebut. Seperti yang dicatat sebelumnya, keandalan kontrol
aplikasi bergantung pada kontrol umum TI yang mendukungnya. Ini termasuk kontrol atas akses ke
database, sistem operasi, dan jaringan. Jumlah kontrol ini, baik aplikasi dan umum, merupakan
pengendalian internal yang relevan atas pelaporan keuangan yang perlu dikaji ulang. Gambar 15-1
mengilustrasikan hubungan kontrol TI ini.

Kepatuhan terhadap Bagian 404 mewajibkan manajemen untuk memberikan kepada auditor eksternal
bukti terdokumentasi tentang pengendalian fungsi yang terkait dengan akun material terpilih dalam
laporannya mengenai efektivitas pengendalian. Fungsi audit internal organisasi atau kelompok SOX khusus
kemungkinan akan melakukan tes ini. Oleh karena itu, manajemen harus benar- benar melakukan tes
kontrolnya sendiri sebelum auditor melakukan kinerjanya.

Gambar 15-1

Bagian 302 juga membawa implikasi auditor yang signifikan. Selain mengungkapkan pendapat
mengenai efektivitas pengendalian internal, auditor memiliki tanggung jawab mengenai sertifikasi
kuartalan manajemen internal oleh manajemen. Secara khusus, auditor harus melakukan prosedur berikut
setiap tiga bulan untuk mengidentifikasi modifikasi material dalam kontrol atas pelaporan keuangan:

 Manajemen wawancara mengenai adanya perubahan signifikan dalam perancangan atau

pengoperasian pengendalian internal yang terjadi setelah audit tahunan sebelumnya atau tinjauan
sebelumnya atas informasi keuangan sementara.
 Evaluasi implikasi salah saji yang diidentifikasi oleh auditor sebagai bagian dari tinjauan
interim yang terkait dengan pengendalian internal yang efektif.
 Menentukan apakah perubahan dalam pengendalian internal cenderung mempengaruhi
pengendalian internal atas pelaporan keuangan secara material.

Akhirnya, SOX menempatkan tanggung jawab pada auditor untuk mendeteksi aktivitas penipuan dan
menekankan pentingnya kontrol yang dirancang untuk mencegah atau mendeteksi kecurangan yang dapat
menyebabkan salah saji material atas laporan keuangan. Manajemen bertanggung jawab untuk menerapkan
kontrol semacam itu, dan auditor secara tegas diminta untuk mengujinya. Karena komputer berada di
jantung sistem pelaporan keuangan dan pelaporan organisasi modern, topik penipuan komputer
termasuk dalam tanggung jawab manajemen dan audit yang diberlakukan oleh SOX. Bagian berikut
membahas beberapa masalah penipuan komputer.

Penipuan Komputer

Kami melihat di Bab 3 bahwa perkiraan kerugian kecurangan untuk tahun 2008 melebihi $ 990 miliar.
Berapa banyak yang bisa ditelusuri ke kecurangan komputer ini sulit untuk dikatakan. Salah satu alasan
untuk ketidakpastian adalah bahwa kecurangan komputer tidak didefinisikan dengan baik. Misalnya, kita
melihat di bagian etika Bab 3 bahwa beberapa orang menganggap menyalin perangkat lunak
komputer komersial menjadi tidak etis atau ilegal. Di sisi lain dari masalah ini, vendor perangkat lunak
menganggap tindakan semacam itu sebagai kriminal.

Terlepas dari seberapa sempit atau secara umum kecurangan komputer didefinisikan, ini adalah fenomena
yang berkembang pesat. Untuk tujuan pembahasan kami, kecurangan komputer meliputi:

 Pencurian, penyalahgunaan, atau penyalahgunaan aset dengan mengubah catatan dan file yang
dapat dibaca komputer.
 Pencurian, penyalahgunaan, atau penyalahgunaan aset dengan mengubah logika
perangkat lunak komputer.
 Pencurian atau penggunaan ilegal informasi yang dapat dibaca oleh komputer.
 Pencurian, korupsi, penyalinan ilegal, atau perusakan perangkat lunak komputer yang
disengaja.
 Pencurian, penyalahgunaan, atau penyalahgunaan perangkat keras komputer. Gambar
15-2

Model umum untuk sistem informasi akuntansi yang ditunjukkan pada Gambar 15-2 secara
konseptual menggambarkan tahap kunci dari sebuah sistem informasi. Setiap tahap dalam
pengumpulan data model, pengolahan data, pengelolaan basis data, dan generasi informasi -
merupakan area potensial risiko untuk jenis kecurangan komputer tertentu. Pada bagian ini kita hanya
memeriksa risikonya; teknik kontrol khusus yang diperlukan untuk mengurangi risikonya dibahas nanti di
bab ini dan di dua bab yang tersisa.

PENGUMPULAN DATA. Pengumpulan data merupakan tahap operasional pertama dalam sistem
informasi. Tujuan pengendaliannya adalah untuk memastikan bahwa data acara yang masuk dalam sistem
valid, lengkap, dan bebas dari kesalahan material. Dalam banyak hal, ini adalah tahap terpenting
dalam sistem. Jika transaksi yang keliru atau salah melewati pengumpulan data tidak terdeteksi,
organisasi menanggung risiko bahwa sistem akan memproses transaksi dan akan berdampak pada
laporan keuangan.

Titik akses yang paling umum untuk melakukan kecurangan komputer ada pada tahap pengumpulan data.
Penipuan jenis ini hanya membutuhkan sedikit atau tanpa keterampilan komputer dari pihak penipu, namun
memerlukan kontrol yang dirancang dengan buruk. Pelaku hanya perlu memahami bagaimana sistem bekerja
mengendalikan kelemahannya. Tindakan curang melibatkan memasukkan data yang dipalsukan ke dalam
sistem. Ini mungkin melibatkan penghapusan, pengubahan, atau transaksi. Misalnya, untuk melakukan
penipuan gaji, pelaku dapat memasukkan transaksi penggajian yang tidak benar bersamaan dengan
transaksi sah lainnya. Jika tidak ada kontrol internal untuk mendeteksi penyisipan, sistem akan
menghasilkan tambahan gaji untuk pelaku. Variasi jenis penipuan ini adalah mengubah bidang Jam Kerja
dalam transaksi penggajian yang sah untuk meningkatkan jumlah gaji.

Masih ada varian lain dalam penipuan ini adalah menguangkan uang tunai untuk membayar hutang palsu.
Dengan memasukkan dokumen pendukung yang tidak benar (pesanan pembelian, laporan penerimaan, dan
faktur pemasok) pada tahap pengumpulan data sistem hutang, pelaku dapat mengelabui sistem tersebut
untuk membuat catatan hutang untuk pembelian yang tidak ada. Begitu catatan dibuat, sistem akan
menganggapnya sah dan, pada tanggal jatuh tempo, akan membubarkan dana kepada pelaku untuk
membayar kewajiban palsu.

Sistem jaringan mengekspos organisasi untuk melakukan transaksi penipuan dari lokasi terpencil.
Masquerading, piggybacking, dan hacking adalah contoh teknik penipuan semacam itu. Masquerading
melibatkan pelaku yang mendapatkan akses ke sistem dari lokasi terpencil dengan berpura-pura menjadi
pengguna yang berwenang. Ini biasanya membutuhkan akses otorisasi terlebih dulu. Piggybacking
adalah teknik di mana pelaku di lokasi terpencil mengetuk jalur telekomunikasi dan memasukkannya
ke pengguna yang berwenang yang masuk ke sistem. Begitu masuk dalam sistem, pelaku bisa menyamar
sebagai pengguna yang berwenang. Hacking mungkin melibatkan teknik piggybacking atau masquerading.
Hacker dibedakan dari penjahat komputer lainnya karena motif mereka biasanya tidak menipu untuk
keuntungan finansial. Lebih sering mereka termotivasi oleh tantangan untuk masuk ke sistem daripada
pencurian aset. Namun demikian, hacker telah menyebabkan kerusakan dan kerugian yang besar pada
organisasi dengan menghancurkan dan merusak data perusahaan.

PENGOLAHAN DATA. Setelah terkumpul, data biasanya membutuhkan pengolahan untuk

menghasilkan informasi. Tugas dalam pengolahan data mencakup algoritma matematis (seperti model
pemrograman linier) yang digunakan untuk aplikasi penjadwalan produksi, teknik statistik untuk
peramalan penjualan, dan pembuatan laporan dan ringkasan yang digunakan untuk aplikasi akuntansi.
Kecurangan pengolahan data terbagi dalam dua kelas: penipuan program dan kecurangan operasi.

Kecurangan program mencakup teknik berikut: (1) membuat program ilegal yang dapat mengakses file
data untuk mengubah, menghapus, atau memasukkan nilai ke dalam catatan akuntansi; (2)
menghancurkan atau merusak logika program menggunakan virus komputer; atau (3) mengubah logika
program sehingga aplikasi memproses data secara tidak benar. Misalnya, program yang digunakan
bank untuk menghitung bunga pada akun pelanggannya biasanya akan menghasilkan kesalahan
pembulatan karena ketepatan perhitungan bunga lebih besar daripada ketepatan pelaporan. Oleh karena
itu, angka minat yang dihitung ke beberapa desimal menghasilkan nilai hingga sepersekian sen sen dan
harus dibulatkan ke angka keseluruhan untuk tujuan pelaporan. Program perhitungan bunga biasanya
memiliki rutin pembulatan standar untuk melacak kesalahan pembulatan sehingga total biaya bunga ke
bank sama dengan jumlah kredit individual. Ini melibatkan penempatan sementara jumlah pecahan yang
tersisa dari setiap perhitungan dalam akumulator memori internal. Bila jumlah akumulator mencapai satu
sen (plus atau minus), maka jumlah penny akan ditambahkan ke akun pelanggan tertentu yang sedang
diproses pada saat itu. Dengan kata lain, satu sen ditambahkan ke (atau dikurangkan dari) akun
pelanggan secara acak. Suatu bentuk kecurangan program yang disebut penipuan salami melibatkan
modifikasi logika pembulatan program sehingga tidak lagi menambahkan satu sen secara acak. Sebagai
gantinya, program yang dimodifikasi selalu menambahkan angka plus ke akun pelaku, namun masih
menambahkan minus sen secara acak. Hal ini dapat mengalihkan sejumlah uang ke pelaku, namun
catatan akuntansi tetap seimbang untuk menyembunyikan kejahatan tersebut.
Kecurangan operasi adalah penyalahgunaan atau pencurian sumber daya komputer perusahaan. Hal ini
sering melibatkan penggunaan komputer untuk melakukan bisnis pribadi. Sebagai contoh, seorang
programmer dapat menggunakan komputer perusahaan waktu untuk menulis perangkat lunak yang ia jual
secara komersial. BPA di kantor pengawas dapat menggunakan komputer perusahaan untuk menyiapkan
laporan pajak dan laporan keuangan untuk klien pribadinya. Demikian pula, pengacara perusahaan dengan
praktik pribadi di samping dapat menggunakan komputer perusahaan untuk mencari kasus pengadilan dan
keputusan dalam basis data komersial. Biaya untuk mengakses database dibebankan ke organisasi dan
disembunyikan di antara biaya sah lainnya.

MANAJEMEN DATABASE. Database organisasi adalah gudang fisik untuk data keuangan dan non
finansial. Kecurangan pengelolaan basis data mencakup mengubah, menghapus, merusak,
menghancurkan, atau mencuri data organisasi. Karena akses ke file database merupakan elemen
 penting dari kecurangan ini, hal ini sering dikaitkan dengan penipuan transaksi atau program. Teknik
penipuan yang umum adalah dengan mengakses database dari situs remote dan mencari file untuk
mendapatkan informasi bermanfaat yang dapat disalin dan dijual ke pesaing. Karyawan yang tidak puas telah
diketahui menghancurkan file data perusahaan hanya untuk membahayakan organisasi. Salah satu caranya
adalah memasukkan rutinitas destruktif yang disebut logika bom ke dalam sebuah program. Pada waktu
tertentu, atau saat kondisi tertentu terpenuhi, bom logika menghapus file data yang diakses oleh program.
Misalnya, programmer yang tidak puas yang sedang mempertimbangkan untuk meninggalkan sebuah
organisasi memasukkan bom logika ke dalam sistem penggajian. Beberapa minggu kemudian ketika
sistem mendeteksi bahwa nama pemrogram telah dihapus dari file penggajian, bom logika diaktifkan dan
menghapus keseluruhan file penggajian.

GENERASI INFORMASI Generasi informasi adalah proses penyusunan, penyusunan, pemformatan, dan
penyajian informasi kepada pengguna. Informasi bisa berupa dokumen operasional seperti sales order,
laporan yang dikirim ke layar komputer, atau laporan keuangan yang diterbitkan.

Bentuk umum kecurangan komputer di tahap pembangkitan informasi adalah mencuri,

menyalahgunakan, atau menyalahgunakan keluaran komputer. Satu teknik rendah namun efektif yang
disebut pemulungan melibatkan pencarian melalui tempat sampah dari pusat komputer untuk keluaran yang
dibuang. Dengan demikian, pelaku dapat memperoleh informasi yang berguna dari laporan hard copy yang
ditolak selama pemrosesan. Terkadang laporan keluaran yang tidak sejajar di atas kertas atau sedikit kacau
saat dicetak akan dibuang ke tempat sampah.

Bentuk lain dari kecurangan yang disebut menguping meliputi mendengarkan transmisi output melalui
jalur telekomunikasi. Teknologi tersedia sehingga memungkinkan pelaku mencegat pesan yang dikirim
melalui saluran telepon tanpa kabel dan saluran microwave. Sebagian besar ahli sepakat bahwa praktis tidak
mungkin mencegah pelaku yang bertekad mengakses saluran komunikasi data. Enkripsi data,
bagaimanapun, dapat membuat data yang tidak berguna diambil dengan cara ini.

Dengan latar belakang ini, adegan diatur untuk melihat teknik kontrol dan tes kontrol yang mungkin
diperlukan di bawah SOX. Standar Audit Auditor PCAOB No. 5 menekankan bahwa manajemen dan auditor
menggunakan pendekatan berbasis risiko dan bukan pendekatan satu ukuran sesuai untuk disain dan
penilaian kontrol. Dengan kata lain, ukuran dan kompleksitas organisasi perlu dipertimbangkan dalam
menentukan sifat dan tingkat kontrol yang diperlukan. Pembaca harus mengenali, oleh karena itu, bahwa
kontrol yang disajikan dalam sisa bab ini dan dalam dua bab berikut ini menggambarkan kebutuhan sebuah
organisasi generik dan mungkin tidak berlaku dalam situasi tertentu.

Kontrol Tata Kelola TI

Tata kelola TI adalah konsep luas yang berkaitan dengan hak keputusan dan akuntabilitas untuk
mendorong perilaku yang layak dalam penggunaan TI. Meskipun penting, tidak semua elemen tata kelola
TI terkait secara khusus mengendalikan masalah yang ditangani SOX dan yang diuraikan dalam kerangka
kerja COSO. Dalam bab ini, kami mempertimbangkan tiga masalah tata kelola yang dilakukan: struktur
organisasi fungsi TI, operasi komputer, dan perencanaan pemulihan bencana.
Diskusi tentang masing-masing masalah tata kelola ini dimulai dengan penjelasan tentang sifat risiko dan
deskripsi kontrol yang diperlukan untuk mengurangi risiko. Kemudian, tujuan audit disajikan. Ini
menetapkan apa yang perlu diverifikasi mengenai fungsi kontrol yang ada. Akhirnya, contoh tes kontrol
ditawarkan yang menggambarkan bagaimana auditor dapat mengumpulkan bukti untuk memenuhi tujuan
audit. Ini tujuan kontrol dan tes terkait dapat dilakukan oleh auditor internal yang memberikan bukti
kepatuhan manajemen dengan SOX atau oleh auditor eksternal sebagai bagian dari fungsi pengujian
mereka. Dalam hal ini, kami tidak membuat perbedaan antara dua peran.

Struktur Pengendalian Organisasi

Secara khusus, tugas operasional harus dipisahkan menjadi:
 Pisahkan tugas otorisasi transaksi dari proses transaksi.
 Pisahkan pencatatan dari penitipan aset.
 Bagilah tugas pemrosesan transaksi di antara individu sehingga kecurangan akan membutuhkan
kolusi antara dua orang atau lebih.
Kecenderungan dalam lingkungan TI adalah mengkonsolidasikan kegiatan. Aplikasi tunggal dapat
memberi otorisasi, memproses, dan mencatat semua aspek transaksi. Dengan demikian, fokus kontrol
segregasi bergeser dari tingkat operasional (tugas pemrosesan transaksi yang dilakukan program
komputer sekarang) ke hubungan organisasi tingkat tinggi dalam fungsi TI. Keterkaitan antara
pengembangan sistem, pemeliharaan aplikasi, administrasi database, dan aktivitas operasi komputer
menjadi perhatian khusus.

 Pemisahan Tugas Di Dalam Kantor Pusat

Ini dikaji ulang di sini untuk mempelajari tujuan pengendalian di balik pemisahan tugas-tugas ini.
Jika posisi yang ditunjukkan dalam tabel ini tidak umum.

 Memisahkan Sistem Baru Pembangunan dari Pemeliharaan

Beberapa perusahaan mengatur fungsi pengembangan sistem mereka menjadi dua kelompok: analisis dan
pemrograman system. Alternatif organisasi. Kelompok analisis sistem bekerja dengan pengguna untuk
menghasilkan perancangan detil sistem baru. Kelompok pemrograman mengkodekan program sesuai
dengan spesifikasi desain ini. Dengan pendekatan ini, pemrogram yang mengkode program asli juga
mempertahankannya selama fase pemeliharaan siklus pengembangan sistem. Meskipun pengaturan yang
populer,  pendekatan ini mempromosikan dua masalah potensial: dokumentasi dan kecurangan yang tidak
memadai.

 Struktur Unggulan untuk Pengembangan Sistem

Struktur organisasi yang unggul dimana fungsi pengembangan sistem dipisahkan menjadi dua kelompok
independen: pengembangan sistem dan pemeliharaan sistem baru. Kelompok pengembangan sistem baru
bertanggung jawab untuk merancang, memprogram, dan mengimplementasikan proyek sistem baru.
Setelah berhasil diimplementasikan, tanggung jawab atas pemeliharaan berkelanjutan sistem ini sampai
pada kelompok pemeliharaan sistem. Struktur ini membantu menyelesaikan dua masalah kontrol yang
dijelaskan sebelumnya.

 Model Distribusi
Dampak pada struktur organisasi yang beralih ke model pemrosesan data terdistribusi (DDP) di mana
departemen pengguna akhir mengendalikan layanan TI. Efek dari ini adalah mengkonsolidasikan
beberapa fungsi komputer yang secara tradisional dipisahkan dan untuk mendistribusikan beberapa
aktivitas yang dikonsolidasikan di bawah model terpusat. Terlepas dari banyaknya kelebihan yang DDP
berikan, pendekatan ini membawa implikasi  pengendalian TI yang harus diakui oleh manajemen dan
akuntan. Ini dibahas pada bagian  berikut.

 Menciptakan Fungsi TI Perusahaan

Model yang sepenuhnya terpusat dan terdistribusi sepenuhnya mewakili posisi ekstrim pada rangkaian
alternatif struktural. Kebutuhan kebanyakan perusahaan berada di antara titik akhir ini. Bagi perusahaan-
perusahaan ini, masalah kontrol yang terkait dengan DDP dapat, sampai batas tertentu, dapat diatasi
dengan menerapkan fungsi TI perusahaan. Fungsi TI perusahaan adalah unit yang lebih ramping dengan
misi yang berbeda daripada fungsi TI terpusat. Kelompok ini memberikan saran dan keahlian teknis untuk
berbagai fungsi TI terdistribusi. Beberapa layanan pendukung yang diberikan dijelaskan pada  bagian
berikut.

4. Computer Center Securty and Controls ( Keamanan dan Kontrol Pusat Komputer )

Kebakaran, banjir, angin, sabotase, gempa bumi, atau bahkan pemadaman listrik dapat
menghilangkan sebuah organisasi fasilitas pengolahan data dan menghentikan fungsi yang dilakukan atau
dibantu oleh komputer. Meskipun kemungkinan kejadian bencana semacam itu jauh, konsekuensinya bagi
organisasi bisa menjadi serius. Jika terjadi bencana, organisasi tidak hanya kehilangan investasinya di
fasilitas pengolahan data, namun yang lebih penting, juga kehilangan kemampuannya untuk berbisnis.
Tujuan dari bagian ini adalah untuk menyajikan kontrol pusat komputer yang membantu menciptakan
lingkungan yang aman. Kita akan mulai dengan melihat kontrol yang dirancang untuk mencegah dan
mendeteksi ancaman ke pusat komputer. Namun, tidak peduli berapa banyak yang diinvestasikan dalam
kendali, beberapa bencana tidak dapat diantisipasi dan dicegah.

 KONTROL PUSAT KOMPUTER

Kelemahan dalam keamanan pusat komputer berpotensi berdampak pada fungsi pengendalian aplikasi
terkait dengan proses pelaporan keuangan. Oleh karena itu, lingkungan fisik ini merupakan masalah
kontrol untuk kepatuhan SOX. Berikut adalah beberapa fitur kontrol yang berkontribusi langsung pada
keamanan pusat komputer ;

A. Lokasi fisik
Lokasi fisik yang dipilih untuk pusat komputer dapat mempengaruhi risiko bencana. Sedapat mungkin,
pusat komputer harus berada jauh dari bahaya buatan manusia dan alam, seperti pabrik pengolahan,
sumber listrik gas dan air, bandara, daerah dengan tingkat kejahatan tinggi, dataran banjir, dan kesalahan
geologi.

B. Konstruksi
Idealnya, pusat komputer harus ditempatkan di gedung berlantai satu konstruksi padat dengan akses
terkontrol (dibahas pada bagian berikut). Utilitas (tenaga dan telepon) dan jalur komunikasi harus berada
di bawah tanah. Jendela bangunan tidak boleh dibuka. Sistem penyaringan udara harus berada di tempat
yang mampu menyingkirkan serbuk sari, debu, dan tungau debu.

C. Mengakses
Akses ke pusat komputer harus dibatasi oleh operator dan karyawan lain yang bekerja di sana.
Pemrogram dan analis yang kadang-kadang perlu memperbaiki kesalahan program harus diminta masuk
dan keluar. Pusat komputer harus menyimpan catatan akurat dari semua kejadian tersebut untuk
memverifikasi fungsi kontrol akses. Pintu masuk utama ke pusat komputer harus melalui satu pintu saja,
meski ada alarm darurat dengan alarm. Untuk mencapai tingkat keamanan yang lebih tinggi, kamera
sirkuit tertutup dan sistem perekaman video harus memantau akses.

D. AC
Komputer berfungsi paling baik di lingkungan ber-ac. Untuk computer mainframe,menyediakan ac yang
memadai sering merupakan persyaratan garansi vendor.

E. Pemadam kebakaran
Ancaman yang paling umum terhadap peralatan komputer perusahaan adalah kebakaran. Setengah dari
perusahaan yang mengalami kebakaran gulung tikar karena kehilangan catatan kritis, seperti piutang
usaha. Penerapan sistem pemadaman kebakaran yang efektif memerlukan konsultasi dengan spesialis.
Beberapa fitur utama dari sistem seperti itu tercantum di bagian berikut.

1. Alarm otomatis dan manual harus ditempatkan di lokasi strategis di sekitar instalasi. Alarm ini
harus dihubungkan ke stasiun pemadam kebakaran permanen.
2. Harus ada sistem pemadam kebakaran otomatis yang mengeluarkan jenis penekan (karbon
dioksida atau halon) yang sesuai untuk lokasi tersebut. Misalnya, penyemprotan air dan bahan
kimia tertentu di komputer bisa melakukan kerusakan sebanyak api.
3. Harus ada pemadam api manual yang ditempatkan di lokasi strategis.

4. Bangunan itu harus konstruksi yang bagus untuk menahan kerusakan air yang menyebabkan
peralatan pemadam kebakaran.

5. Pintu keluar api harus ditandai dengan jelas dan diterangi saat terjadi kebakaran.

 Kontrol Tolerasi kesalahan

Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasinya saat bagian dari sistem
gagal karena kegagalan perangkat keras, kesalahan program aplikasi, atau kesalahan operator.
Menerapkan komponen sistem yang berlebihan dapat mencapai berbagai tingkat toleransi kesalahan.
Redundant disk dan power supplies adalah dua contoh umum.

 Array redundant disk independen (RAID) melibatkan penggunaan disk paralel yang mengandung
elemen data dan aplikasi yang berlebihan. Jika satu disk gagal, data yang hilang secara otomatis
direkonstruksi dari komponen berlebihan yang tersimpan pada disk lainnya.
 Uninterruptible power supplies membantu mencegah kehilangan data dan korupsi sistem. Jika
terjadi kegagalan pasokan listrik, daya cadangan jangka pendek disediakan agar sistem dapat
ditutup dengan cara yang terkendali. Menerapkan kontrol toleransi kesalahan memastikan bahwa
 tidak ada satu titik kegagalan sistem potensial. Kegagalan total hanya bisa terjadi jika terjadi
kegagalan beberapa komponen.

 Tujuan audit terkait dengan keamanan pusat computer

Tujuan auditor adalah untuk mengevaluasi control yang mengatur keaman pusat computer. Secara
khusus auditor harus memverifikasi bahwa ;
1. Kontrol keamanan fisik memadai untuk melindungi organisasi secara wajar dari paparan
fisik
2. Perlindungan asuransi atas peralatan memadai untuk mengkompensasi organisasi untuk
penghacuran atau kerusakan pada pusat komputernya.
3. Dokumentasi operator memadai untuk menangani operasi rutin serta kegagalan system.

 Prosedur Audit untuk Menilai Kontrol Keamanan Fisik

Berikut ini adalah beberapa tes kontrol keamanan fisik.

1. UJI KONSTRUKSI FISIK. Auditor harus memperoleh rencana arsitektural untuk menentukan
bahwa pusat komputer kokoh terbuat dari bahan tahan api. Harus ada drainase yang memadai di
bawah lantai yang terangkat agar air mengalir jika terjadi kerusakan air dari api di lantai atas atau
dari sumber lain. Selain itu, auditor harus menilai lokasi fisik pusat komputer. Fasilitas ini harus
ditempatkan di area yang meminimalkan keterpaparannya terhadap kebakaran, kerusuhan sipil,
dan bahaya lainnya.
2. UJI SISTEM DETEKSI KEBAKARAN. Auditor harus menetapkan alat deteksi kebakaran dan
penindasan, baik manual maupun otomatis, ada di tempat dan diuji secara berkala. Sistem deteksi
kebakaran harus mendeteksi asap, panas, dan asap yang mudah terbakar. Buktinya dapat
diperoleh dengan meninjau catatan tes api resmi dari tes yang disimpan di pusat komputer.
3. UJI PENGENDALIAN AKSES Auditor harus menetapkan bahwa akses rutin ke pusat komputer
dibatasi pada pegawai yang berwenang. Rincian tentang akses pengunjung (oleh pemrogram dan
lainnya), seperti waktu kedatangan dan keberangkatan, tujuan, dan frekuensi akses, dapat
diperoleh dengan meninjau log akses. Untuk menetapkan kebenaran dokumen ini, auditor dapat
secara diam-diam mengamati proses dimana akses diizinkan.

 Pengujian Toleransi Toleransi Toleransi

1. SERANGAN. Banyak konfigurasi RAID menyediakan pemetaan grafis dari penyimpanan disk
mereka yang berlebihan. Dari pemetaan ini, auditor harus menentukan apakah tingkat RAID yang
ada memadai untuk organisasi, mengingat tingkat risiko bisnis yang terkait dengan kegagalan
disk. Jika organisasi tidak menggunakan RAID, potensi satu titik kegagalan sistem ada. Auditor
harus meninjau ulang dengan prosedur alternatif administrator sistem untuk pemulihan dari
kegagalan disk.
2. Cadangan bahan bakar. Auditor harus melakukan verifikasi dari catatan uji bahwa personil pusat
komputer melakukan tes berkala terhadap catu daya cadangan untuk memastikan bahwa ia
memiliki kapasitas yang cukup untuk menjalankan komputer dan penyejuk udara. Tes penting ini
dan hasilnya harus dicatat secara formal.
 Prosedur Audit untuk Memeriksa Cakupan Asuransi
Auditor setiap tahun harus meninjau cakupan asuransi organisasi di perangkat keras komputer,
peralatan lunak, dan fasilitas fisiknya. Auditor harus memverifikasi bahwa semua akuisisi baru tercantum
pada polis dan peralatan dan perangkat usang telah dihapus. Polis asuransi harus mencerminkan
kebutuhan manajemen dalam hal cakupan. Misalnya, perusahaan mungkin ingin diasuransikan sebagian
dan memerlukan pertanggungan minimum. Di sisi lain, perusahaan dapat mencari cakupan biaya
penggantian yang lengkap.

 Prosedur Audit untuk Memeriksa Kecukupan Dokumentasi Operator

Operator komputer menggunakan dokumentasi yang disebut run manual untuk menjalankan aspek
aspek tertentu dari sistem. Secara khusus, sistem batch yang besar seringkali memerlukan perhatian
khusus dari operator. Sepanjang hari, operator komputer dapat melakukan puluhan program komputer
yang masing-masing memproses beberapa file dan menghasilkan banyak laporan. Untuk mencapai
operasi pengolahan data yang efektif, manual yang dijalankan harus cukup rinci untuk memandu operator
dalam tugas mereka. Auditor harus meninjau manual yang dijalankan untuk kelengkapan dan akurasi. Isi
khas dari run manual meliputi:

1. Nama sistem, seperti '' Purchases System ''

2. Jadwal lari (harian, mingguan, waktu dalam sehari)
3. Perangkat perangkat keras yang dibutuhkan (kaset, disk, printer, atau perangkat keras
khusus)
4. Persyaratan berkas menentukan semua file (input) transaksi, file induk, dan file output
yang digunakan dalam sistem
5. Instruksi run-time yang menjelaskan pesan kesalahan yang mungkin muncul, tindakan
yang akan diambil, dan nama dan nomor telepon pemrogram yang sedang dihubungi, jika
sistem gagal.
6. Daftar pengguna yang menerima output dari pelarian Selain itu, auditor harus
memverifikasi bahwa dokumentasi sistem tertentu, seperti diagram alir sistem, diagram
alur logika, dan daftar kode program, bukan merupakan bagian dari dokumentasi
operator. Untuk alasan yang telah dibahas sebelumnya, operator seharusnya tidak
memiliki akses terhadap rincian operasional logika internal sistem.

PERENCANAAN PEMULIHAN BENCANA

Merupakan sebuah pernyataan menyeluruh tentang semua tindakan dilakukan sebelum, selama, dan
setelah terjadi bencana, beserta dengan dokumen, dan pengujian prosedur yang akan menjamin
kelangsungan operasi. Meskipun rincian dari setiap rencana memiliki keunikan, semua rencana tersebut
memiliki sifat yang umum. Sisa dari bagian ini dikhususkan untuk diskusi tentang isu-isu kontrol berikut:

1.Menyediakan salinan backup

Unsur yang diperlukan dalam perencanaan pemulihan bencana adalah bahwa ia menyediakan fasilitas
pengolahan data duplikat setelah bencana.

2.Mengidentifikasi aplikasi yang kritis

Elemen penting lain dari perencanaan pemulihan bencana yaitu melibatkan prosedur untuk
mengidentifikasi aplikasi kritis dan data perusahaan yang akan dipulihkan. Akhirnya, semua aplikasi dan
data harus dikembalikan ke aktivitas bisnis sebelum terjadi bencana. Hal ini akan menentukan
kelangsungan hidup organisasi dalam jangka panjang.

3.Melakukan prosedur backup dan penyimpanan di luar lokasi

Semua data, dokumentasi , dan persediaan yang dibutuhkan untuk melakukan fungsi kritis harus
ditentukan dalam perencanaan pemulihan bencana . Orang yang melakukan pengolahan data harus rutin
melakukan pembuatan data cadangan dan penyimpanan untuk menjaga sumber daya penting. Dalam hal
ini orang yang melakukan pengolahan data harus membuat cadangan data berupa :

a. Membuat cadangan data file

b. Membuat cadangan dokumen

c. Membuat cadangan persediaan dan sumber dokumen

4.Membuat tim pemulihan bencana

Membuat kelompok yang bertanggung jawab dalam pemulihan bencana dimaksudkan untuk menghindari
kelalaian serius atau duplikasi usaha, tanggung jawab tugas individu harus didefinisikan secara jelas dan
dikomunikasikan kepada pegawai yang terlibat.

5.Melakukan tes perencanaan pemulihan bencana

Merupakan salah satu aspek yang paling diabaikan dari perencanaan kontingensi menguji rencana.
Namun demikian, tes perencanaan pemulihan bencana penting dan harus dilakukan secara berkala. Tes
dilakukan untuk mengidentifikasi kelalaian atau hambatan dalam perencanaan.

6.Prosedur audit untuk menilai perencanaan pemulihan bencana

Prosedur yang harus dipenuhi dalam audit yaitu,

a.Mengevaluasi kelengkapan situs cadangan

b.Auditor harus meninjau daftar aplikasi kritis dan memastikan bahwa itu sudah lengkap

c.Auditor harus memverifikasi bahwa organisasi memiliki prosedur untuk menyimpan cadangan data.

d.Cadangan persediaan, Sumber Dokumen, dan Dokumentasi

e.Dalam hal perencanaan pemulihan bencana, auditor harus memverifikasi bahwa anggotanya adalah
karyawan yang aktif dan auditor tahu tanggung jawab masing-masing karyawan.

Outsoucing / mengalihdayakan fungsi teknologi informasi

 Biaya, resiko, dan tanggung jawab yang terkait dengan pemeliharaan sebuah perusahaan fungsi
teknologi informasi sangatlah penting. Banyak eksekutif dalam perusahaan yang mengotsource
perusahaan mereka untuk vendor pihak ketiga yang mengambil alih tanggung jawab untuk
 pengelolaan aset dan juga staff serta untuk menyalurkan pelayanan seperti enti data, operasi data
pusat, pengembangan aplikasi, pemeliharaan aplikasi, dan manajemen jaringan.
 Manfaat dari outsourcing teknologi informasi antara lain peningkatan kinerja bisnis inti,
peningkatan kinerja teknologi informasi (karena keahlian vendor), dan mengurangi biaya
teknologi informasi.
 outsourcing teknologi informasi pengaturan melibatkan penjualan aset teknologi informasi
perusahaan klien, baik manusia dan mesin, dengan Vendor yang perusahaan klien kemudian sewa
kembali. Transaksi ini menghasilkan satu kali suntikan dana yang signifikan bagi perusahaan.
 Risiko melekat pada itu outsourcing

Acara outsourcing skala besar itu adalah usaha berisiko, sebagian karena ukuran rumahan dari penawaran
keuangan ini, namun juga karena sifatnya. Tingkat risiko terkait dengan tingkat spesifisitas aset dari
fungsi outsourcing. Bagian berikut menguraikan beberapa masalah yang terdokumentasi dengan baik.

a. Kegagalan untuk tampil. = Setelah perusahaan klien memiliki outsourced aset tertentu, kinerjanya
menjadi dikaitkan dengan kinerja vendor. Implikasi negatif dari ketergantungan tersebut
diilustrasikan dalam masalah keuangan yang telah melanda sistem vektor volor elektronik yang
besar, Corp. (EDS). Dalam usaha pemotongan biaya, EDS menghentikan tujuh ribu karyawan,
yang mempengaruhi kemampuannya untuk melayani klien lain.
b. Eksploitasi Vendor = Skala besar itu outsourcing melibatkan transfer ke vendor '' aset tertentu ''
seperti desain, pengembangan, dan pemeliharaan aplikasi bisnis unik yang sangat penting untuk
kelangsungan hidup organisasi. Aset tertentu, sementara berharga kepada klien, sedikit nilai bagi
vendor di luar kontrak langsung dengan klien. Memang, mereka mungkin tidak perlu. Organisasi
klien tidak beres.. Karena vendor mengasumsikan risiko dengan memperoleh aset dan dapat
mencapai tidak ada skala skala dengan mencapainya.
c. Biaya Outsourcing Melebihi Manfaat = Ini keluarnya telah dikritik dengan alasan bahwa biaya
tak terduga muncul dan tingkat keuntungan yang diharapkan tidak direalisasikan. Satu survei
mengungkapkan bahwa 47 persen dari 66 perusahaan yang disurvei melaporkan bahwa biaya dari
outsourcing tersebut melebihi manfaat outsourcing.
d. Mengurangi Keamanan = Informasi yang masuk akal ke vendor TI yang melampaui
menimbulkan pertanyaan yang unik dan serius mengenai pengendalian internal dan perlindungan
data pribadi yang sensitif. Ketika sistem keuangan perusahaan dikembangkan dan di-host di luar
negeri, dan kode program dikembangkan melalui antarmuka dengan jaringan perusahaan host,
perusahaan-perusahaan A.S. berisiko kehilangan kendali informasi mereka. Untuk perusahaan
besar A.S. bergantung pada tindakan keamanan vendor outsourcing, kebijakan akses data, dan
undang-undang privasi dari host negara.
e. Kehilangan keunggulan strategis = Organisasi yang menggunakannya secara strategis harus
menyelaraskan strategi bisnis dan strategi TI atau menjalankan risiko penurunan kinerja bisnis.
Untuk mempromosikan penyelarasan semacam itu, perusahaan membutuhkan manajer dan
petugas informasi utama (CIO) yang memiliki pengetahuan kerja yang kuat tentang bisnis
organisasi. Untuk mencapai kesejajaran semacam itu mengharuskan hubungan kerja yang dekat
antara manajemen perusahaan dan manajemen TI dalam pengembangan strategi bisnis dan
strategi yang sama. Namun, sulit untuk mencapai saat perencanaan secara geografis dipotong-
putus lepas pantai atau bahkan di dalam negeri. Selanjutnya, karena pembenaran keuangan untuk
itu Outsourcing tergantung pada vendor yang mencapai skala ekonomi, vendor secara alami
 didorong untuk mencari solusi umum yang dapat digunakan oleh banyak klien daripada
menciptakan solusi unik untuk masing-masing. Ini Dasar yang mendasarny Outsourcing tidak
sesuai dengan pengejaran klien keuntungan strategis di pasar.
 Implikasi audit dari outsourcing

Manajemen dapat melakukan outsourcing fungsi organisasi mereka, namun mereka tidak dapat
melakukan outsourcing tanggung jawab manajemen mereka di bawah SOX untuk memastikan kontrol
internal yang memadai. Tanggung jawab untuk menjaga pengendalian internal yang efektif atas
pelaporan keuangan. Agar, manajemen pengguna harus mengevaluasi kontrol pada organisasi layanan,
serta kontrol terkait di perusahaan pengguna, ketika membuat penilaian tentang pengendalian internal atas
pelaporan keuangan. Oleh karena itu, jika sebuah perusahaan klien audit mengakutnya, fungsi yang akan
digunakan untuk vendor yang memproses transaksi, menghosting data kunci, atau melakukan layanan
signifikan lainnya, auditor perlu melakukan evaluasi kontrol organisasi vendor, atau secara alternatif
mendapatkan laporan Auditor SAS No. 70 dari organisasi vendor. Pernyataan Standar Audit No 70 (SAS
70) adalah standar definitif oleh organisasi yang klien auditor dapat memperoleh pengetahuan yang
mengontrol di vendor pihak ketiga adalah cukup untuk mencegah atau mendeteksi kesalahan material
yang dapat mempengaruhi laporan keuangan klien.