MODUL PERKULIAHAN

SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

COMPUTER SECURUTY, SARBANES OXLEY ACT DAN

CORPORATE GOVERNANCE

Program
Fakultas TatapMuka Kode MK DisusunOleh
Studi
Ekonomi dan Akuntansi 06 Kode MK Dr. Erna Setiany, SE, M.Si.
Bisnis
Abstract Kompetensi

Ancaman terhadap Sistem Mahasiswa mampu memahami

Informasi Akuntansi. Pengenalan ancaman terhadap Sistem
fraud, pelaku fraud dan alasannya, Informasi Akuntansi. Mengenal
computer fraud, pencegahan dan fraud dan computer fraud.
pendetaksian fraud.

Pembahasan
SOX 2002 menetapkan peraturan dan standar tata kelola perusahaan yang baru untuk
publik
perusahaan yang terdaftar di Securities and Exchange Commission (SEC). Saat bertindak
mengandung banyak bagian, bab ini dan dua bab berikutnya berkonsentrasi pada internal
kontrol dan tanggung jawab audit sesuai dengan Bagian 302 dan 404.
Bagian 302 mengharuskan manajemen perusahaan (termasuk CEO) untuk menjamin
keuangan dan informasi lain yang terkandung dalam laporan triwulanan dan tahunan
organisasi. Itu Aturan juga mengharuskan mereka untuk mengesahkan kontrol internal atas
pelaporan keuangan. 

Sertifikasi petugas diminta untuk mendesain kontrol internal, atau menyebabkan kontrol
tersebutuntuk dirancang, dan untuk memberikan jaminan yang wajar untuk keandalan
keuangan proses pelaporan. Selain itu, mereka harus mengungkapkan perubahan materi
apa pun di perusahaan kontrol internal yang terjadi selama kuartal fiskal terbaru.
Bagian 404 mengharuskan manajemen perusahaan publik untuk menilai efektivitas
kontrol internal organisasi mereka atas pelaporan keuangan. Di bawah bagian akting ini,
manajemen diperlukan untuk memberikan laporan tahunan yang membahas poin-poin
berikut:
1. pernyataan tanggung jawab manajemen untuk menetapkan dan mempertahankan yang
memadai kontrol internal

2. penilaian efektivitas pengendalian internal perusahaan atas keuangan

pelaporan

3. pernyataan bahwa auditor eksternal organisasi telah mengeluarkan laporan pengesahan

pada kontrol internal perusahaan

4. kesimpulan tertulis yang eksplisit mengenai efektivitas pengendalian internal atas

keuangan reporting1

5. pernyataan yang mengidentifikasi kerangka kerja yang digunakan oleh manajemen untuk
melakukan penilaian mereka kontrol internal.

Mengenai titik akhir, SEC telah membuat referensi khusus untuk COSO sebagai
rekomendasi
kerangka kontrol. Selanjutnya, Standar Audit PCAOB No. 5 mendukung penggunaan COSO

2018 Teori Akuntansi

2 Dr. Erna Setiany, SE, M.Si.
PusatBahan Ajar dan eLearning
http://www.mercubuana.ac.id
sebagai kerangka kerja untuk penilaian kontrol. Meskipun lainnya
kerangka kerja yang sesuai telah dipublikasikan, kerangka kerja apa pun yang digunakan
arus mencakup semua Tema umum COSO. membahas elemen kunci dari kerangka kerja
COSO, yang adalah dasar untuk SAS 78, dalam Bab 3. Fokus pada titik ini adalah pada
kontrol TI (sebagian dari aktivitas kontrol), yang sebelumnya tidak dibahas. Aspek dari
kerangka kerja COSO ini digunakan untuk menyajikan masalah kontrol dan audit dalam ini
dan dua bab berikutnya.

Hubungan antara Kontrol TI dan Pelaporan Keuangan Teknologi informasi mendorong

proses pelaporan keuangan organisasi modern. Sistem otomatis memulai, mengotorisasi,
mencatat, dan melaporkan efek transaksi keuangan. Dengan demikian, mereka adalah
elemen tak terpisahkan dari proses pelaporan keuangan yang SOX mempertimbangkan dan
harus dikontrol. COSO mengidentifikasi dua kelompok informasi yang luas kontrol sistem:
kontrol aplikasi dan kontrol umum. Tujuan dari aplikasi kontrol adalah untuk memastikan
validitas, Kelengkapan, dan keakuratan transaksi keuangan. Kontrol ini dirancang untuk
khusus aplikasi. 

Contohnya termasuk: Dana tunai menyeimbangkan rutin penyeimbangan yang

memverifikasi bahwa total pembayaran ke vendor rekonsiliasi dengan total posting ke buku
besar pembantu piutang usaha. Prosedur cek cek piutang yang memvalidasi nomor akun
pelanggan
pada transaksi penjualan. Pemeriksaan batas sistem penggajian yang mengidentifikasi
catatan kartu waktu karyawan dengan yang dilaporkan jam bekerja melebihi batas normal
yang telah ditentukan.

Contoh-contoh ini menggambarkan bagaimana kontrol aplikasi berdampak langsung pada

integritas data yang membuat jalan mereka melalui berbagai sistem pemrosesan transaksi
dan ke dalam proses pelaporan keuangan. Kontrol aplikasi diperiksa secara rinci di Bab 17.
Kelompok kontrol kedua yang luas yang diidentifikasi COSO adalah kontrol umum. Mereka
dinamakan demikian karena mereka tidak spesifik-aplikasi tetapi, lebih tepatnya, berlaku
untuk semua sistem. Kontrol umum memiliki nama lain dalam kerangka kerja lain, termasuk
kontrol komputer umum dan kontrol teknologi informasi. Apapun nama yang digunakan,
mereka termasuk kontrol lebih dari tata kelola TI, infrastruktur TI, keamanan dan akses ke
sistem operasi dan basis data, akuisisi dan pengembangan aplikasi, dan perubahan
program.
Sedangkan kontrol umum tidak mengontrol transaksi tertentu, mereka memiliki efek
integritas transaksi. Misalnya, pertimbangkan organisasi dengan keamanan basis data yang

2018 Teori Akuntansi

3 Dr. Erna Setiany, SE, M.Si.
PusatBahan Ajar dan eLearning
http://www.mercubuana.ac.id
buruk
kontrol. Dalam situasi seperti itu, bahkan data diproses oleh sistem dengan aplikasi built-in
yang memadai kontrol mungkin berisiko. Seseorang yang mampu menghindari keamanan
basis data (baik secara langsung atau melalui program jahat), kemudian dapat berubah,
dicuri, atau rusak tersimpan data transaksi. Dengan demikian, kontrol umum diperlukan
untuk mendukung fungsi aplikasi kontrol, dan keduanya diperlukan untuk memastikan
pelaporan keuangan yang akurat.

Implikasi Audit dari Bagian 302 dan 404 Materi yang dibahas dalam sisa bab ini dan bab-
bab berikutnya mengasumsikan pemahaman dasar tentang proses audit. Secara khusus,
pembaca harus:

1. Mampu membedakan antara fungsi atestasi dan jaminan.

2. Memahami konsep asersi manajemen dan mengenali hubungan antara asersi dan tujuan
audit.

3. Ketahui perbedaan antara tes kontrol dan tes substantif dan pahami hubungan di antara
mereka.

Apendiks pada bab ini berisi gambaran singkat tentang topik-topik ini. Mereka kurang ini
pengetahuan harus meninjau apendiks sebelum melanjutkan dengan bagian ini.
Sebelum SOX, auditor eksternal tidak diperlukan untuk menguji kontrol internal sebagai
bagian dari fungsi bukti mereka. Mereka harus mengenal internal organisasi klien
kontrol, tetapi memiliki pilihan untuk tidak bergantung pada mereka dan dengan demikian
tidak melakukan tes kontrol. Audit dapat, dan sering dilakukan, oleh karena itu terutama
terdiri dari pengujian substantif.

Peraturan SOX secara dramatis memperluas peran auditor eksternal dengan mewajibkan
hal itu mereka membuktikan penilaian manajemen terhadap kontrol internal. Ini merupakan
penerbitan dari opini audit terpisah selain pendapat atas kewajaran laporan keuangan.
Standar untuk opini audit baru ini tinggi. Memang, auditor dihalangi
dari mengeluarkan opini wajar tanpa pengecualian jika hanya satu kelemahan material
dalam pengendalian internal terdeteksi. Menariknya, auditor diizinkan untuk secara
bersamaan memberikan pendapat yang berkualitas tentang penilaian manajemen atas

2018 Teori Akuntansi

4 Dr. Erna Setiany, SE, M.Si.
PusatBahan Ajar dan eLearning
http://www.mercubuana.ac.id
pengendalian internal dan opini wajar tanpa Pengecualian atas keuangan
pernyataan.  Dengan kata lain, secara teknis mungkin bagi auditor untuk
menemukan kontrol internal lebih dari pelaporan keuangan menjadi lemah, tetapi
menyimpulkan melalui tes substantif bahwa kelemahan tidak menyebabkan laporan
keuangan secara material salah diwakili.

Sebagai bagian dari tanggung jawab atestasi baru, Standar No. 5 PCAOB secara
khusus membutuhkan auditor untuk memahami arus transaksi, termasuk kontrol
yang terkait bagaimana transaksi dimulai, diotorisasi, dicatat, dan dilaporkan. Ini
melibatkan pertama memilih akun keuangan yang memiliki implikasi material untuk
pelaporan keuangan. Kemudian, auditor perlu mengidentifikasi kontrol aplikasi yang
terkait dengan akun tersebut. Seperti sebelumnya dicatat, keandalan kontrol aplikasi
ini bertumpu pada kontrol umum TI yang mendukung mereka, seperti kontrol atas
akses ke database, sistem operasi dan jaringan, dan seterusnya. Jumlah kontrol ini,
baik aplikasi dan umum, merupakan kontrol internal yang relevan atas pelaporan
keuangan yang perlu ditinjau.Gambar 15-1 menggambarkan hubungan kontrol IT ini.

Kepatuhan dengan Bagian 404 mengharuskan manajemen untuk menyediakan

auditor eksternal dengan hasil tes yang terdokumentasi dari kontrol yang berfungsi
sebagai bukti pendukung untuk pernyataan dalam laporannya tentang efektivitas
pengendalian. Fungsi audit internal organisasi atau khusus
Kelompok SOX kemungkinan akan melakukan tes ini. Karena itu, manajemen harus
benar-benar melakukan tes kontrol sendiri sebelum auditor melakukan tugasnya.
Bagian 302 juga membawa implikasi auditor yang signifikan. Selain
mengekspresikan suatu pendapat tentang efektivitas pengendalian internal, auditor
memiliki tanggung jawab mengenai manajemen sertifikasi triwulanan dari kontrol
internal. Secara husus, auditor harus melakukan prosedur berikut secara triwulanan
untuk mengidentifikasi odifikasi material apa pun di kontrol laporan keuangan:
Manajemen wawancara mengenai perubahan signifikan dalam desain atau operasi
pengendalian internal yang terjadi setelah audit tahunan sebelumnya atau
peninjauan sebelumnya informasi keuangan sementara.

2018 Teori Akuntansi

5 Dr. Erna Setiany, SE, M.Si.
PusatBahan Ajar dan eLearning
http://www.mercubuana.ac.id
Kontrol Tata Kelola TI
Tata kelola TI adalah konsep luas yang berkaitan dengan hak keputusan dan akuntabilitas
untuk mendorong perilaku yang diinginkan dalam penggunaan TI. Padahal penting, tidak
semua elemen TI governance berhubungan secara khusus untuk mengontrol masalah yang
dialamatkan oleh SOX dan yang digariskan dalam kerangka kerja COSO. Dalam bab ini,
mempertimbangkan tiga masalah tata kelola yang dilakukan:

Struktur Organisasi Dari Fungsi IT, Operasi Komputer, Dan

Perencanaan.
Pemulihan Bencana
Diskusi tentang masing-masing masalah tata kelola ini dimulai dengan penjelasan tentang
sifat risiko dan deskripsi kontrol yang diperlukan untuk mengurangi risiko. Kemudian, audit
tujuan disajikan. Ini menetapkan apa yang perlu diverifikasi mengenai fungsi tersebut dari
kontrol di tempat. Akhirnya, contoh tes kontrol ditawarkan yang menggambarkan bagaimana
auditor dapat mengumpulkan bukti untuk memenuhi tujuan audit. Tujuan pengendalian ini
dan

2018 Teori Akuntansi

6 Dr. Erna Setiany, SE, M.Si.
PusatBahan Ajar dan eLearning
http://www.mercubuana.ac.id
tes terkait dapat dilakukan oleh auditor internal yang menyediakan bukti manajemen sesuai
dengan SOX atau oleh auditor eksternal sebagai bagian dari fungsi atestasi mereka. Dalam
kasus ini, tidak membedakan antara dua peran.

Kontrol Struktur Organisasi

Bab-bab sebelumnya telah menekankan pentingnya memisahkan tugas-tugas yang tidak
kompatibel dalam
kegiatan manual. Secara khusus, tugas operasional harus dipisahkan ke:
1. Pisahkan tugas otorisasi transaksi dari pemrosesan transaksi.
2. Memisahkan penyimpanan catatan dari tahanan aset.
3. Bagilah tugas pemrosesan transaksi antar individu sehingga penipuan akan
membutuhkan kolusi antara dua atau lebih individu.

Kecenderungan dalam lingkungan TI adalah untuk mengkonsolidasikan kegiatan. Aplikasi

tunggal dapat mengotorisasi, memproses, dan merekam semua aspek transaksi. Dengan
demikian, fokus segregasi shift control dari level operasional (tugas pemrosesan transaksi
komputer itu program sekarang melakukan) untuk hubungan organisasi tingkat yang lebih
tinggi dalam fungsi TI.

Keamanan dan Kontrol Pusat Komputer

Kebakaran, banjir, angin, sabotase, gempa bumi, atau bahkan pemadaman listrik
dapat mencabut suatu organisasi fasilitas pemrosesan datanya dan menghentikan
fungsi-fungsi yang dilakukan atau dibantu oleh komputer. Meskipun kemungkinan
peristiwa bencana seperti itu jauh, konsekuensi bagi organisasi bisa menjadi
serius. Jika bencana terjadi, itu organisasi tidak hanya kehilangan investasinya di
fasilitas pemrosesan data, tetapi yang lebih penting, itu juga kehilangan
kemampuannya untuk berbisnis.

Tujuan dari bagian ini adalah untuk menyajikan kontrol pusat komputer yang
membantu membuat lingkungan yang aman. Kami akan mulai dengan melihat
kontrol yang dirancang untuk mencegah dan mendeteksi ancaman ke pusat
komputer. Namun, tidak peduli berapa banyak yang diinvestasikan dalam kendali,
beberapa bencana tidak dapat diantisipasi dan dicegah. Apa yang dilakukan
perusahaan mempersiapkan diri untuk acara semacam itu? Bagaimana itu akan

2018 Teori Akuntansi

7 Dr. Erna Setiany, SE, M.Si.
PusatBahan Ajar dan eLearning
http://www.mercubuana.ac.id
pulih?Pertanyaan-pertanyaan ini berada di jantung rencana pemulihan bencana
organisasi. Bagian selanjutnya membahas masalah secara khusus berkaitan dengan
pengembangan rencana pemulihan bencana.

Kontrol Pusat Komputer

Kelemahan dalam keamanan pusat komputer memiliki dampak potensial pada
fungsi aplikasi kontrol yang terkait dengan proses pelaporan keuangan. Karena itu,
lingkungan fisik ini adalah masalah kontrol untuk kepatuhan SOX. Berikut ini adalah
beberapa kontrol fitur yang berkontribusi langsung terhadap keamanan pusat
komputer.

Lokasi Fisik

Lokasi fisik yang dipilih untuk pusat komputer dapat mempengaruhi risiko bencana.
Sedapat mungkin, pusat komputer harus ditempatkan jauh dari buatan manusia dan
bahaya alam, seperti pabrik pengolahan, gas dan air utama, bandara, kejahatan
tinggi daerah, dataran banjir, dan sesar geologis.

Konstruksi

Idealnya, sebuah pusat komputer harus ditempatkan dalam bangunan konstruksi

satu lantai yang kokoh dengan akses yang terkontrol (dibahas di bagian
berikut). Utility (daya dan telepon) dan jalur komunikasi harus di bawah
tanah. Jendela bangunan seharusnya Tidak buka. Sistem penyaringan udara harus
berada di tempat yang mampu mengeluarkan serbuk sari, debu, dan tungau debu.
Mengakses Akses ke pusat komputer harus dibatasi untuk operator dan karyawan
lainnya yang bekerja di sana. Programmer dan analis yang terkadang perlu
memperbaiki program kesalahan harus diminta untuk masuk dan keluar. Pusat
komputer harus menjaga akurat catatan semua kejadian tersebut untuk
memverifikasi fungsi kontrol akses. Pintu masuk utama ke pusat komputer harus
melalui satu pintu, meskipun api keluar dengan alarm perlu. Untuk mencapai tingkat
keamanan yang lebih tinggi, kamera sirkuit tertutup dan perekaman video sistem
harus memantau akses.

2018 Teori Akuntansi

8 Dr. Erna Setiany, SE, M.Si.
PusatBahan Ajar dan eLearning
http://www.mercubuana.ac.id
AC
Komputer berfungsi paling baik di lingkungan ber-AC. Untuk komputer mainframe,
menyediakan AC yang memadai sering merupakan persyaratan garansi
vendor.Komputer beroperasi terbaik dalam rentang suhu 70 hingga 75 derajat
Fahrenheit dan seorang kerabat kelembaban 50 persen. Kesalahan logika dapat
terjadi pada perangkat keras komputer ketika suhu berangkat secara signifikan dari
kisaran ini. Juga, risiko kerusakan sirkuit dari listrik statis meningkat ketika
kelembaban turun. Kelembaban tinggi, di sisi lain, dapat penyebabkan jamur
tumbuh dan produk kertas (seperti dokumen sumber) untuk membengkak dan
peralatan selai.

Supresi Api

Ancaman paling umum terhadap peralatan komputer perusahaan adalah api.Setengah dari
perusahaan yang menderita kebakaran gulung tikar karena hilangnya catatan kritis, seperti
akun piutang. Penerapan sistem pemadaman api yang efektif membutuhkan konsultasi
dengan spesialis. Beberapa fitur utama dari sistem seperti itu tercantum di berikut ini
bagian.

a. . Alarm otomatis dan manual harus ditempatkan di lokasi strategis di sekitar instalasi.
Alarm ini harus dihubungkan ke stasiun pemadam kebakaran yang dikelola secara
permanen.
b. Harus ada sistem pemadam kebakaran otomatis yang membagi-bagikan yang
sesuai
jenis penekan (karbon dioksida atau halon) untuk lokasi. Misalnya, penyemprotan
air dan bahan kimia tertentu di komputer dapat merusak sebanyak api
c. Harus ada alat pemadam api manual yang ditempatkan di lokasi strategis.
d. Bangunan harus dari konstruksi suara untuk menahan kerusakan air yang terbakar
penyebab peralatan penindasan.
e. Pintu keluar api harus ditandai dengan jelas dan diterangi selama kebakaran.

Kontrol Toleransi Kesalahan

Toleransi kesalahan adalah kemampuan sistem untuk melanjutkan operasi ketika bagian
dari sistem gagal karena kegagalan perangkat keras, kesalahan program aplikasi, atau

2018 Teori Akuntansi

9 Dr. Erna Setiany, SE, M.Si.
PusatBahan Ajar dan eLearning
http://www.mercubuana.ac.id
kesalahan operator. Menerapkan komponen sistem redundan dapat mencapai berbagai
tingkat toleransi kesalahan.

Redundant disk dan catu daya adalah dua contoh umum.

Redundant array of independent disks (RAID) melibatkan penggunaan disk paralel yang
berisi

elemen data dan aplikasi yang berlebihan. Jika satu disk gagal, data yang hilang secara
otomatis direkonstruksi dari komponen redundan yang disimpan di disk lain. Suplai daya tak
terputus membantu mencegah kehilangan data dan korupsi sistem. Dalam terjadi kegagalan
pasokan daya, daya cadangan jangka pendek disediakan untuk memungkinkan sistem
untuk menutup secara terkendali. Menerapkan kontrol toleransi kesalahan memastikan itu
tidak ada satu pun titik potensi kegagalan sistem. Kegagalan total hanya dapat terjadi di
kejadian kegagalan beberapa komponen.

Tujuan Audit yang Berkaitan dengan Keamanan Pusat Komputer

Tujuan auditor adalah untuk mengevaluasi kontrol yang mengatur keamanan pusat
komputer. Secara khusus, auditor harus memverifikasi bahwa (1) kontrol keamanan fisik
memadai untuk melindungi organisasi dari eksposur fisik secara wajar; (2) pertanggungan
asuransi peralatan cukup untuk mengkompensasi organisasi untuk penghancuran, atau
kerusakan ke, pusat komputernya; dan (3) dokumentasi operator cukup untuk menangani
rutin operasi serta kegagalan sistem.

Prosedur Audit untuk Menilai Kontrol Keamanan Fisik

Berikut ini adalah tes kontrol keamanan fisik.

Tes Konstruksi Fisik.

2018 Teori Akuntansi

10 Dr. Erna Setiany, SE, M.Si.
PusatBahan Ajar dan eLearning
http://www.mercubuana.ac.id
Auditor harus mendapatkan rencana arsitektur untuk menentukan bahwa pusat komputer
kokoh terbuat dari bahan tahan api. Harus ada cukup drainase di bawah lantai yang
ditinggikan untuk memungkinkan air mengalir dalam hal air kerusakan dari api di lantai atas
atau dari sumber lain. Selain itu, auditor harus menilai lokasi fisik dari pusat komputer.
Fasilitas harus ditempatkan di area yang meminimalkan paparan api, kerusuhan sipil, dan
bahaya lainnya.

Tes Sistem Deteksi Kebakaran.

Auditor harus menetapkan bahwa deteksi api dan peralatan supresi, baik manual maupun
otomatis, sudah tersedia dan diuji secara teratur. Sistem pendeteksi kebakaran harus
mendeteksi asap, panas, dan asap yang mudah terbakar. Itu bukti dapat diperoleh dengan
meninjau catatan marshal pemadam kebakaran resmi, yang disimpan di pusat komputer.

Tes Kontrol Akses.

Auditor harus menetapkan bahwa akses rutin ke komputer pusat terbatas untuk karyawan
yang berwenang. Detail tentang akses pengunjung (oleh programmer dan lain-lain), seperti
waktu kedatangan dan keberangkatan, tujuan, dan frekuensi akses, bisa diperoleh dengan
meninjau log akses. Untuk menetapkan kebenaran dokumen ini, auditor mungkin diam-diam
mengamati proses dimana akses diizinkan.

Referensi:

Hall, James A. Accounting Information Systems, 3rd, 2001, South Western Publishing, USA.

Romney, Marshal B., Paul John Steinbart. Accounting Information Systems, 9th edition, New
Jersey. Pearson_Prentice Hall.

2018 Teori Akuntansi

11 Dr. Erna Setiany, SE, M.Si.
PusatBahan Ajar dan eLearning
http://www.mercubuana.ac.id