Audit Sistem Informasi Berbasis Komputer 1 AUDIT SISTEM INFORMASI BERBASIS KOMPUTER PENERAPAN SARBANES-OXLEY DI INDONESIA I. PENDAHULUAN Audit sistem informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relative baru ditemukan dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas bisnis. Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas sumber data, dan data file. Beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat yang meliputi beberapa aturan penting seperti Sarbanes Oxley Act. Sarbanes-Oxley Act (SOA) merupakan sebuah produk hukum (Undang-Undang) di Amerika Serikat (AS) yang mengatur tentang akuntabilitas, praktik akuntansi dan keterbukaan informasi, termasuk tata cara pengelolaan data di perusahaan publik. Namun di Indonesia baru sebagian kecil yang baru menerapkan aturan tersebut. A. Latar Belakang Munculnya Sarbanes – Oxley Sarbanes-Oxley atau kadang disingkat SOx atau SOA adalah hukum federal Amerika Serikat yang ditetapkan pada 30 Juli 2002. Undang-undang ini diprakarsai oleh Senator Paul Sarbanes (Maryland) dan Representative Michael Oxley (Ohio) yang disetujui oleh Dewan dengan suara 423-3 dan oleh Senat dengan suara 99-0 serta disahkan menjadi hukum oleh Presiden George W. Bush. Undang-undang ini dikeluarkan sebagai respons dari Kongres Amerika Serikat terhadap berbagai skandal pada beberapa perusahaan besar seperti: Enron, Tyco International, Adelphia, Peregrine Systems, WorldCom (MCI), AOL TimeWarner, Aura Systems, Citigroup, Computer Associates International, CMS Energy, Global Crossing, HealthSouth, Quest Communication, Safety-Kleen dan Xerox, yang juga melibatkan beberapa KAP yang termasuk dalam “the big five” seperti: Arthur Andersen, KPMG dan PWC.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Audit Sistem Informasi Berbasis Komputer 1
AUDIT SISTEM INFORMASI BERBASIS KOMPUTER
PENERAPAN SARBANES-OXLEY DI INDONESIA
I. PENDAHULUAN
Audit sistem informasi merupakan proses pengumpulan dan evaluasi bukti-bukti untuk
menentukan apakah sistem komputer yang digunakan telah dapat melindungi aset milik organisasi,
mampu menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara efektif, serta
menggunakan sumber daya yang dimiliki secara efisien. Audit SI/TI relative baru ditemukan
dibanding audit keuangan, seiring dengan meningkatnya penggunan TI untuk mensupport aktifitas
bisnis.
Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi: Audit secara
keseluruhan menyangkut efektifitas, efisiensi, availability system, reliability, confidentiality, dan
integrity, serta aspek security. Selanjutnya adalah audit atas proses, modifikasi program, audit atas
sumber data, dan data file.
Beberapa aturan mengenai IT audit sudah disusun di Amerika Serikat yang meliputi
beberapa aturan penting seperti Sarbanes Oxley Act. Sarbanes-Oxley Act (SOA) merupakan sebuah
produk hukum (Undang-Undang) di Amerika Serikat (AS) yang mengatur tentang akuntabilitas,
praktik akuntansi dan keterbukaan informasi, termasuk tata cara pengelolaan data di perusahaan
publik. Namun di Indonesia baru sebagian kecil yang baru menerapkan aturan tersebut.
A. Latar Belakang Munculnya Sarbanes – Oxley
Sarbanes-Oxley atau kadang disingkat SOx atau SOA adalah hukum federal Amerika Serikat
yang ditetapkan pada 30 Juli 2002. Undang-undang ini diprakarsai oleh Senator Paul Sarbanes
(Maryland) dan Representative Michael Oxley (Ohio) yang disetujui oleh Dewan dengan suara 423-3
dan oleh Senat dengan suara 99-0 serta disahkan menjadi hukum oleh Presiden George W. Bush.
Undang-undang ini dikeluarkan sebagai respons dari Kongres Amerika Serikat terhadap berbagai
skandal pada beberapa perusahaan besar seperti: Enron, Tyco International, Adelphia, Peregrine
International, CMS Energy, Global Crossing, HealthSouth, Quest Communication, Safety-Kleen dan
Xerox, yang juga melibatkan beberapa KAP yang termasuk dalam “the big five” seperti: Arthur
Andersen, KPMG dan PWC.
Audit Sistem Informasi Berbasis Komputer 2
Skandal-skandal yang menyebabkan kerugian bilyunan dolar bagi investor karena runtuhnya
harga saham perusahaan-perusahaan yang terpengaruh ini mengguncang kepercayaan masyarakat
terhadap pasar saham. Semua skandal
ini merupakan contoh tragis
bagaimana kecurangan (fraud
schemes) berdampak sangat buruk
terhadap pasar, stakeholders dan para
pegawai.
Dengan diterbitkannya undang-
undang ini, ditambah dengan beberapa
aturan pelaksanaan dari Securities
Exchange Commision (SEC) dan
beberapa self regulatory bodies lainnya, diharapkan akan meningkatkan standar akuntabilitas
perusahaan, transparansi dalam pelaporan keuangan, memperkecil kemungkinan bagi perusahaan
atau organisasi untuk melakukan dan menyembunyikan fraud, serta membuat perhatian pada
tingkat sangat tinggi terhadap corporate governance.
Perundang-undangan ini menetapkan suatu standar baru dan lebih baik bagi semua dewan
dan manajemen perusahaan publik serta kantor akuntan publik walaupun tidak berlaku bagi
perusahaan tertutup. Akta ini terdiri dari 11 bab atau bagian yang menetapkan hal-hal mulai dari
tanggung jawab tambahan Dewan Perusahaan hingga hukuman pidana. Sarbox juga menuntut
Securities and Exchange Commission (SEC) untuk menerapkan aturan persyaratan baru untuk
menaati hukum ini. Saat ini, corporate governance dan pengendalian internal bukan lagi sesuatu
yang mewah lagi karena kedua hal ini telah disyaratkan oleh undang-undang.
B. Audit Sistem informasi
Audit pada dasarnya adalah sebuah proses yang sistematis dan objektif dalam mengevaluasi
kegiatan ekonomi serta memperolah bukti-bukti yang relevan, guna memberikan asersi dan menilai
sejauh apakah tindakan ekonomi yang dijalankan sesuai dengan kriteria yang berlaku dan
melaporkannya kepada pihak yang berkepentingan. Terdiri dari dua dimensi utama, yaitu Audit
keuangan dan Audit operasional terhadap sumber daya informasi, Audit TI dapat diartikan secara
harfiah menjadi dua. Yang pertama, audit keuangan bertujuan untuk memastikan tidak adanya salah
saji material pada laporan keuanggan dengan menggunakan sistem audit berbasis komputer.
Sementara pemahaman kedua mengaudit efektivitas, efisiensi, serta tepat guna atau tidaknya unit
fungsional sestem serta kinerja manajemen TI pada suatu perusahaan. Sehingga definisi yang
Audit Sistem Informasi Berbasis Komputer 3
digunakan adalah: Audit sistem informasi (teknologi informasi) merupakan proses pengumpulan dan
evaluasi bukti-bukti untuk menentukan apakah sistem computer yang digunakan telah dapat
melindungi asset milik organisasi mampu menjaga integritas data, dapat membantu pencapaian
tujuan organisasi secara efektif, serta dapat menggunakan sumber daya yang dimiliki secara efektif,
serta dapat menggunakan sumber daya yang dimilki secara efisien
Audit TI dikelompokkan berdasarkan letak kendalinya yaitu :
Pengendalian umum (general kontrol).
Audit secara keseluruhan yang menyangkut availability sistem, reliability, confidentiality,
integrity dan security.
Audit proses meliputi modifikasi pada program audit, atas sumber data, audit file data, audit
storage, serta alur data dan infomasi dalam perusahaan.
Pada dasarnya, tahapan-tahapan dalam audit TI tidak berbeda dengan audit pada umumnya.
Perbedaan dengan audit biasa, seringkali auditor TI menerapakan teknik audit berbantuan
komputer. Teknik ini digunakan untuk menganalisis data. Secara garis besar terdapat 5 tahapan
utama dalam metodologi audit TI yaitu ;
Fase 1 : Perencanaan
Fase 2 : Indentifikasi Resiko dan Kendali
Fase 3 : Evaluasi Kendali dan Bukti
Fase 4 : Dokumentasi dan Rapat
Fase 5 : Laporan dan Presentasi
C. Aktivitas SOA pada perusahaan
Dalam Sarbanes Oxley Act diatur tentang akuntansi, pengungkapan dan pembaharuan
governance yang mensyaratkan adanya pengungkapan yang lebih banyak mengenai informasi
keuangan, keterangan tentang hasil-hasil yang dicapai manajemen, kode etik bagi pejabat di
bidang keuangan, pembatasan kompensasi eksekutif, dan pembentukan komite audit yang
independen. Selain itu diatur pula mengenai hal-hal sebagai berikut:
a. Menetapkan beberapa tanggung jawab baru kepada dewan komisaris, komite
audit, dan pihak manajemen
b. Mendirikan the Public Company Accounting Oversight Board, sebuah dewan
yang independen dan bekerja full-time bagi pelaku pasar modal
Audit Sistem Informasi Berbasis Komputer 4
c. Penambahan tanggung jawab dan anggaran SEC (Securities Exchange
Commision) secara signifikand. Mendefinisikan jasa “non-audit” yang tidak boleh
diberikan oleh KAP kepada klien .
d. Memperbesar hukuman bagi terjadinya corporate fraud (manipulasi perusahaan)
e. Mensyaratkan adanya aturan mengenai cara menghadapi conflicts of interest
f. Menetapkan beberapa persyaratan pelaporan yang baru
Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan publik untuk
membuat suatu sistem pelaporan yang memungkinkan bagi pegawai atau pengadu untuk
melaporkan terjadinya penyimpangan. Sistem pelaporan ini diselenggarakan oleh komite audit.
Perusahaan dapat menggunakan jasa pelaporan hotlines seperti ACFE’s EthicsLine. ACFE dapat
membantu menyusun hotlines pengaduan yang akan menerima dan merahasiakan pengaduan,
dan memberikan informasi kepada perusahaan agar dapat mengambil tindakan yang tepat. Sistem
hotlines ini akan mendorong para pegawai untuk melaporkan karena mereka merasa aman dari
tindakan pembalasan dari yang dilaporkan, dan inilah elemen penting dan kritis bagi program
pencegahan fraud yang kuat.
II. SOX’S ACT
Secara keseluruhan SOX’s Act terdiri dari 11 Title dan 69 Sections, yaitu:
Sec. 1. Short title; table of contents. Sec. 2. Definitions. Sec. 3. Commission rules and enforcement. TITLE I—PUBLIC COMPANY ACCOUNTING OVERSIGHT BOARD Sec. 101. Establishment; administrative provisions. Sec. 102. Registration with the Board. Sec. 103. Auditing, quality control, and independence standards and rules. Sec. 104. Inspections of registered public accounting firms. Sec. 105. Investigations and disciplinary proceedings. Sec. 106. Foreign public accounting firms. Sec. 107. Commission oversight of the Board. Sec. 108. Accounting standards. Sec. 109. Funding. TITLE II—AUDITOR INDEPENDENCE Sec. 201. Services outside the scope of practice of auditors. Sec. 202. Preapproval requirements. Sec. 203. Audit partner rotation. Sec. 204. Auditor reports to audit committees. Sec. 205. Conforming amendments. Sec. 206. Conflicts of interest. Sec. 207. Study of mandatory rotation of registered public accounting firms.
Audit Sistem Informasi Berbasis Komputer 5
Sec. 208. Commission authority. Sec. 209. Considerations by appropriate State regulatory authorities. TITLE III—CORPORATE RESPONSIBILITY Sec. 301. Public company audit committees. Sec. 302. Corporate responsibility for financial reports. Sec. 303. Improper influence on conduct of audits. Sec. 304. Forfeiture of certain bonuses and profits. Sec. 305. Officer and director bars and penalties. Sec. 306. Insider trades during pension fund blackout periods. Sec. 307. Rules of professional responsibility for attorneys. Sec. 308. Fair funds for investors. TITLE IV—ENHANCED FINANCIAL DISCLOSURES Sec. 401. Disclosures in periodic reports. Sec. 402. Enhanced conflict of interest provisions. Sec. 403. Disclosures of transactions involving management and principal stockholders. Sec. 404. Management assessment of internal controls. Sec. 405. Exemption. Sec. 406. Code of ethics for senior financial officers. Sec. 407. Disclosure of audit committee financial expert. Sec. 408. Enhanced review of periodic disclosures by issuers. Sec. 409. Real time issuer disclosures. TITLE V—ANALYST CONFLICTS OF INTEREST Sec. 501. Treatment of securities analysts by registered securities associations and national securities exchanges. TITLE VI—COMMISSION RESOURCES AND AUTHORITY Sec. 601. Authorization of appropriations. Sec. 602. Appearance and practice before the Commission. Sec. 603. Federal court authority to impose penny stock bars. Sec. 604. Qualifications of associated persons of brokers and dealers. TITLE VII—STUDIES AND REPORTS Sec. 701. GAO study and report regarding consolidation of public accounting firms. Sec. 702. Commission study and report regarding credit rating agencies. Sec. 703. Study and report on violators and violations Sec. 704. Study of enforcement actions. Sec. 705. Study of investment banks. TITLE VIII—CORPORATE AND CRIMINAL FRAUD ACCOUNTABILITY Sec. 801. Short title. Sec. 802. Criminal penalties for altering documents. Sec. 803. Debts nondischargeable if incurred in violation of securities fraud laws. Sec. 804. Statute of limitations for securities fraud. Sec. 805. Review of Federal Sentencing Guidelines for obstruction of justice and extensive criminal
fraud. Sec. 806. Protection for employees of publicly traded companies who provide evidence of fraud. Sec. 807. Criminal penalties for defrauding shareholders of publicly traded companies. TITLE IX—WHITE-COLLAR CRIME PENALTY ENHANCEMENTS Sec. 901. Short title. Sec. 902. Attempts and conspiracies to commit criminal fraud offenses. Sec. 903. Criminal penalties for mail and wire fraud. Sec. 904. Criminal penalties for violations of the Employee Retirement Income Security Act of 1974. Sec. 905. Amendment to sentencing guidelines relating to certain white-collar offenses.
Audit Sistem Informasi Berbasis Komputer 6
Sec. 906. Corporate responsibility for financial reports. TITLE X—CORPORATE TAX RETURNS Sec. 1001. Sense of the Senate regarding the signing of corporate tax returns by
chief executive officers. TITLE XI—CORPORATE FRAUD AND ACCOUNTABILITY Sec. 1101. Short title. Sec. 1102. Tampering with a record or otherwise impeding an official proceeding. Sec. 1103. Temporary freeze authority for the Securities and Exchange Commission. Sec. 1104. Amendment to the Federal Sentencing Guidelines. Sec. 1105. Authority of the Commission to prohibit persons from serving as officers
or directors. Sec. 1106. Increased criminal penalties under Securities Exchange Act of 1934. Sec. 1107. Retaliation against informants.
Secara umum SOX’s Act terdiri dari tiga bagian penting yang harus diperhatikan oleh
manajemen perusahaan publik, yaitu: Seksi 404, 906, dan 302. Peraturan ini sudah mulai
dilaksanakan oleh perusahaan-perusahaan publik di AS sejak dikeluarkannya peraturan
tersebut, Juli 2002, namun yang menjadi penekanan adalah seksi 302 dan seksi 404.
Seksi 404 berisi peraturan yang mewajibkan manajemen untuk menilai internal kontrol
yang sudah dilaksanakan atas laporan keuangannya serta pengesahan dari auditor eksternal.
Seksi 906 berisi peraturan yang mewajibkan manajemen perusahaan secara periodik untuk
melaporkan segala sesuatu menyangkut informasi keuangan yang juga tunduk kepada peraturan
bursa saham, serta menyatakan dengan benar kondisi laporan keuangan dan hasil operasi
perusahaan. SOX’s act seksi 302 berisi peraturan yang hampir sama dengan seksi 906, tetapi seksi
302 berisi tambahan atas pengungkapan yang berhubungan dengan pengungkapan internal
kontrol dan prsodurnya, serta internal kontrol dan penipuan/kecurangan.
Berikut ini dijelaskan beberapa bagian (section) dari Sarbanes-Oxley Act yang perlu
mendapat perhatian.
A. Seksi 101
Seksi 101 SOX mengatur tentang pembentukan dan ”administrative provisions” dari Public
Company Accounting Oversight Board (PCAOB). PCAOB memiliki 5 anggota yang menguasai
keuangan (financially-literate), menjabat selama 5 tahun. Dua anggota dari PCAOB harus CPA
(Certified Public Accountant), dan sisa tiga anggotanya tidak harus dan dapat bukan CPA.
B. Seksi 102
Seksi 102 SOX mengatur tentang pendaftaran atau registrasi dengan PCAOB. Kantor akuntan
publik (audit firms) yang terlibat dalam audit perusahaan publik harus terdaftar dalam audit
perusahaan publik harus terdaftar pada PCAOB.
C. Seksi 103
Seksi 103 SOX mengatur tentang auditing, pengendalian mutu, dan aturan, aturan dan
standar indenpendensi. PCAOB akan membuat standar auditing dan standar atestasi yang berkaitan,
Audit Sistem Informasi Berbasis Komputer 7
standar pengendalian mutu, dan standar etik yang digunakan kantor akuntan publik dalam
penyusunan dan penerbitan laporan audit dari emiten (issuers) sebagaimana yang disyaratkan oleh
Sarbones-Oxley Act (SOX) dan peraturan SEC. PCAOB akan memasukkan standar auditing suatu
persyaratan bahwa kantor akuntan publik harus menyusun dan memelihara kertas kerja untuk