Article

Penulis: Umar Alhabsyi, ST, MT, CISA, CRISC, COBIT 2019.

MILLENNIA-SOLUSI.ID— Hampir tidak ada area dalam pengelolaan organisasi saat ini yang terbebas dari pengaruh Teknologi Informasi (TI). Pengaruh TI telah merasuk ke hampir seluruh penjuru fungsi bisnis yang dikelola organisasi. Sektor finansial merupakan salah satu area dalam organisasi yang penggunaan TI nya cukup intensif. Saat ini peran tradisional para Akuntan profesional telah banyak diambil alih oleh sistem TI. Peran para profesional Akuntan itu saat ini bergeser ke peran yang lebih bersifat analisis dan kontrol. Proses-proses klasik akuntan seperti pencatatan transaksi, penjurnalan, pelaporan, dan seterusnya kini sudah di-handle oleh sistem TI.

Kondisi ini tentunya akan berpengaruh terhadap apa yang harus dilakukan dalam Audit Finansial. Karena banyak proses pengelolaan keuangan organisasi yang dilakukan oleh sistem TI, maka mutlak pula dilakukan pemeriksaan terhadap sistem TI beserta kontrol-kontrol yang melingkupinya. Sehingga dapat dipastikan dapat menekan risiko penyajian pernyataan finansial yang salah, Risk of Material Misstatement (RMM).

Sehingga akibat dari penggunaan TI dalam pengelolaan finansial tersebut, maka sejak saat itu pula dibutuhkan kompetensi  TI pula dalam melakukan Audit Finansial, tidak hanya butuh Akuntan. Tidak hanya itu, Auditor juga mesti tahu kontrol-kontrol TI apa saja yang wajib diperiksa ketika melakukan audit finansial tersebut.

Ada setidaknya 5 kontrol TI yang wajib diperiksa dalam sebuah audit finansial. Kontrol-kontrol tersebut selalu disebutkan pada hampir setiap literatur dan standard terkait Audit. Baik itu dari ISACA (Information System Audit and Control Association), AICPA (American Institute of Certified Public Accountants), maupun dari PCAOB (Public Company Accounting and Oversight Board) [Singleton, 2010]. Pada artikel kali ini akan dijelaskan sekilas mengenai  kelima kontrol TI tersebut.

1. Kontrol TI pada tingkatan organisasi.

Kontrol TI pada level organisasi merupakan kontrol yang diterapkan oleh manajemen terhadap fungsi TI secara general. Kelompok ini memberikan payung kontrol baik atas akuisisi-akuisisi TI, implementasinya, maupun manajemen layanan-layanan TI yang digunakan dalam organisasi. Oleh karena itu jelas hal ini perlu diperhatikan pada audit finansial karena semua pelaporan finansial berada di bawah payung ini.

Termasuk dalam kontrol-kontrol yang mesti diperiksa dalam hal ini antara lain adalah kebijakan dan prosedur TI yang diberlakukan, manajemen dan pengorganisasian TI, perencanaan dan strategi TI, SDM TI yang dimiliki, dan manajemen risiko TI yang diterapkan. Tentu signifikansi pemeriksaan kontrol-kontrol ini akan dipengaruhi oleh skala perusahaan serta kompleksitas TI yang digunakan disana.

2. Manajemen Perubahan.

Pada dasarnya, kontrol ini merupakan kontrol yang diberlakukan untuk memastikan semua perubahan yang dilakukan pada TI telah melalui mekanisme otorisasi yang memadai dan diterapkan secara aman. Manajemen perubahan ini berlaku baik untuk software maupun hardware yang digunakan (termasuk sistem operasi dan jaringannya).

3. Keamanan Informasi.

Keamanan informasi terkait dengan audit finansial karena adanya risiko inheren akan adanya pihak yang tidak berhak mendapatkan akses pada aplikasi-aplikasi dan data finansial dan kemudian baik sengaja atau tidak sengaja mengakibatkan kesalahan pada data yang dilaporkan. Kontrol terhadap keamanan informasi ini perlu diperiksa baik yang terkait dengan kontrol akses fisik maupun logik. Kontrol terhadap akses fisik misalnya melihat bagaimana sistem penguncian pintu, kamera dan kontrol lainnya yang ditujukan untuk membatasi orang yang bisa mengakses ke server dan infrastruktur secara fisik. Sedangkan kontrol akses secara logik terkait dengan akses pada aplikasi dan data. Bagaimana mekanisme otorisasi untuk setiap akses pada aplikasi maupun data (termasuk dari mulai akses ke jaringannya), serta pengaturan siapa berhak akses apa.

Semakin kompleks sistem yang digunakan, misalnya sistem bisa diakses dari jarak jauh, maka diperlukan tambahan kontrol pengaman misalnya penggunaan kartu, pin token, biometrik, dsb.

4. Backup dan Recovery.

Mekanisme backup dan recovery terkait dengan kemampuan organisasi untuk pulih kembali dari sebuah kejadian kritikal yang menyebabkan hilangnya data dan/atau sistem. Banyak hal bisa terjadi pada sebuah sistem TI, baik yang sederhana seperti hard disk terhapus secara tidak sengaja sampai dengan kebakaran pada data center. Dalam audit finansial, pemeriksaan kontrol ini penting untuk memastikan bahwa terjadinya sesuatu pada sistem dan/atau data tidak berakibat kesalahan pada laporan keuangan yang dihasilkan.

5. Penyedia Pihak Ketiga.

Kontrol ini terkait dengan pihak ketiga yang memberikan layanan kepada user untuk bidang-bidang yang terkait dengan transaksi atau proses pelaporan keuangan. Ada kalanya juga sebagian fungsi TI juga di-outsource ke pihak ketiga sehingga membutuhkan kontrol yang memadai juga (misalnya help desk, teknisi jaringan, dll). Aspek lainnya terkait dengan pihak ketiga ini adalah manajemen vendor. Yaitu kontrol yang perlu diterapkan sejak proses pemilihan vendor, serta mitigasi atas risiko-risiko dari layanan TI yang dilakukan oleh vendor tersebut yang ada kaitannya dengan pelaporan finansial.

Itulah kelima area kontrol TI yang harus diperiksa dalam sebuah audit finansial. Dimana pada setiap area tersebut terdapat potensi terjadinya kesalahan dalam statement finansial organisasi (RMM). Memang, beberapa area bisa saja kurang relevan untuk sebuah organisasi dengan skala dan kompleksitas TI yang rendah, namun bukan berarti dapat diabaikan begitu saja.