ITGC OLEH AUDITOR: PROSEDUR DAN MANFAAT

Lingkungan dalam Teknologi Informasi (IT) Perusahaan banyak berubah signifikan dengan perubahan pada sistem informasi (system dan software) dan kecanggihan dari perangkat keras yang diutilisasi. Akibat keadaan tersebut, pemahaman akan Pengendalian Umum IT atau biasa disebut IT General Controls (ITGC), menjadi hal yang sangat penting. Di samping itu, kerangka kerja atas keamanan informasi dari standar organisasi internasional (COSO, ISACA, ISO) juga mengalami peningkatan secara besar-besaran.  

Perubahan lingkungan IT yang signifkan dan terus menerus dapat mengakibatkan peningkatan risiko dalam akses, serta berdampak pada penyusunan laporan keuangan. Data keuangan (sumber laporan keuangan) disimpan dalam sistem seperti database, juga fungsionalitas memastikan bahwa data dapat diakses dan diproses. Akses pengguna yang diberikan/diperoleh dapat berdampak pada perlindungan data meliputi hal-hal berikut SPAP 315, A64:

• Pengendalian secara autentikasi. Memastikan bahwa pengguna yang mengakses aplikasi atau aspek lain dalam lingkungan IT sesuai kredensial yang ditetapkan.
• Pengendalian secara otorisasi. Memungkinkan pengguna mengakses informasi yang diperlukan sesuai dengan tanggung jawab pekerjaan dan pemisahan tugas yang tepat.
• Pengendalian atas penyediaan, pencabutan dan perubahan akses. Memberi otorisasi kepada pengguna baru dan perubahan pada hak akses pengguna yang sudah ada. Termasuk, menghapus akses pengguna setelah penghentian (berhenti).
• Pengendalian atas akses istimewa. Mengizinkan akses administratif (super admin) atau pengguna yang memiliki akses lebih atau istimewa atas administrasi system atau aplikasi.
• Pengendalian secara peninjauan akses pengguna. Sertifikasi ulang atau mengevaluasi akses pengguna untuk otorisasi secara berkelanjutan.
• Pengendalian atas konfigurasi keamanan. Setiap teknologi umumnya memiliki pengaturan konfigurasi utama yang membantu membatasi akses dan potensi kehilangan data atau ketidakmampuan untuk mengakses data ketika dibutuhkan.
• Pengendalian atas akses fisik—Akses fisik ke pusat data, perangkat keras atau fisik dari aset IT lain. 

Pemahaman terhadap Lingkungan IT klien merupakan hal yang wajib bagi auditor melalui identifikasi atas kerangka ITGC (yang disarankan), seperti yang ditetapkan dalam pedoman yang diterbitkan oleh International Auditing and Assurance Standards Board (IAASB) dalam International Standards on Auditing (ISA) 315 (revisi 2019), serta berfokus pada keamanan data. Auditor akan melakukan penilaian risiko dan menggunakan pertimbangan profesional untuk menentukan faktor risiko dalam lingkungan IT dan pengendalian yang tepat untuk memitigasinya.

Apa itu ITGC?

ITGC adalah kumpulan kebijakan dan prosedur yang mengatur (pengendalian) terhadap sistem IT di suatu Perusahaan yang beroperasi dengan menjamin kerahasiaan, integritas dan ketersediaan data. ITGC mencakup setiap aspek IT, termasuk implementasi perangkat lunak, pembuatan akun pengguna dan pengelolaan data. 

ITGC dapat dibagi menjadi beberapa kategori, antara lain: 

1. Pengendalian administrasi IT umum, yang berkaitan dengan pengelolaan dan pengawasan sistem IT, rencana jangka panjang IT (IT strategic planning), penilaian risiko terkait IT. Pengendalian ini juga mencakup keamanan IT (IT security). 
2. Pengendalian atas akses, yang mencakup berbagai metode untuk mencegah akses tidak sah dan manipulasi data. Pengendalian atas akses juga meliputi otentikasi pengguna, enkripsi data, penguncian akun dan audit jejak.
3. Pengendalian siklus hidup pengembangan sistem (SDLC), yang terkait atas pengembangan, pengujian, implementasi dan pemeliharaan suatu sistem. Pengendalian SDLC juga meliputi dokumentasi, persetujuan, pelacakan perubahan dan evaluasi kinerja. 
4. Pengendalian perubahan program, yang mengatur perubahan program dan konfigurasi sistem. Pengendalian perubahan program juga meliputi analisis dampak, pengujian regresi, pemisahan tugas dan pencatatan aktivitas. 
5. Pengendalian keamanan fisik perangkat keras dan pusat data, yang mencakup pengamanan terhadap lingkungan fisik (hardware) dari ancaman eksternal maupun internal, termasuk kerusakan, gangguan listrik dan bencana alam. Pengendalian keamanan fisik pusat data meliputi penguncian pintu dan jendela, sistem alarm dan CCTV, deteksi asap dan api, serta sistem pendingin udara. 
6. Pegendalian cadangan dan pemulihan sistem dan data, yang terkait atas penyalinan dan pencadangan (backup & restore) secara berkala dan dapat dipulihkan dalam waktu singkat jika terjadi kehilangan atau kerusakan. Pengendalian cadangan dan pemulihan sistem dan data juga meliputi penjadwalan cadangan, penyimpanan media cadangan di lokasi aman, pengujian pemulihan secara rutin, serta rencana pemulihan bencana. 
7. Pengendalian operasi komputer, yang berkaitan dengan pengoperasian sistem IT secara efisien dan efektif. Pengendalian operasi komputer juga meliputi pemantauan kinerja sistem, penyelesaian masalah teknis, manajemen kapasitas dan ketersediaan, serta pelaporan insiden (helpdesk).  

Mengapa ITGC penting?

ITGC penting karena dapat membantu perusahaan dalam memastikan efektivitas dan kepatuhan sistem informasi yang digunakan untuk proses bisnis dan pelaporan keuangan. ITGC juga dapat meningkatkan keamanan dan integritas data, program, dan output yang dihasilkan oleh sistem informasi. ITGC membantu mencegah akses tidak sah, pelanggaran data, dan gangguan operasional. ITGC juga dapat mengurangi risiko terjadinya kesalahan, manipulasi, atau penyalahgunaan teknologi informasi yang dapat berdampak negatif pada kinerja dan reputasi perusahaan.  ITGC yang efektif dapat meningkatkan keandalan dan akurasi pelaporan keuangan dan mengurangi risiko kecurangan. ITGC juga menjadi salah satu persyaratan dalam memenuhi standar audit dan regulasi yang berlaku.

Siapa, Kapan dan Apa Manfaat reviu ITGC?

Reviu atau penilaian atas ITGC idealnya dilakukan secara berkala oleh pihak eksternal independen, setidaknya sekali dalam setahun (disarankan sebelum audit umum), atau sesuai dengan kebutuhan dan risiko yang dihadapi oleh perusahaan. ITGC perlu direviu dan dinilai oleh pihak eksternal yang independen karena hal ini dapat memberikan manfaat bagi perusahaan, antara lain: 

• Meningkatkan kepercayaan dan kredibilitas dari stakeholder, regulator, auditor, dan pelanggan terhadap kualitas dan kepatuhan sistem informasi yang digunakan oleh perusahaan. 
• Mendapatkan masukan dan saran yang objektif dan profesional dari pihak eksternal yang memiliki kompetensi dan pengalaman dalam bidang IT audit. 
• Mengidentifikasi kelemahan, risiko, dan peluang perbaikan dalam penerapan ITGC, serta merekomendasikan tindakan korektif dan preventif yang sesuai. 
• Memenuhi standar audit dan regulasi yang berlaku, seperti SOX Compliance, yang mengharuskan perusahaan untuk melakukan penilaian atas efektivitas ITGC secara berkala.

Bagaimana melakukan penilaian atas ITGC oleh pihak eksternal independen?

Perencanaan

Pekerjaan Lapangan

Pelaporan dan Rekomendasi

SW Digital Transformation and Cybertrust kerapkali menjadi pilihan pihak independen melakukan penilaian ITGC klien-klien kami karena pertimbangan sebagai berikut:

• Pengalaman yang Mendalam membantu kami memahami kerumitan sistem kontrol dan risiko.
• Relevansi dan Kekinian mengikuti perkembangan terbaru dalam dunia teknologi dan audit, memastikan bahwa layanan kami sesuai dengan standar internasional terbaru.
• Hasil yang Terukur dengan data dan fakta mengenai keberhasilan implementasi ITGC akan menjadi bagian integral dari layanan kami yang berdampak secara nyata.
• Dukungan untuk Peningkatan yang tidak hanya fokus pada penilaian ITGC semata, melainkan rekomendasi untuk perbaikan dan peningkatan sistem kontrol klien.