Kelemahan Material ICOFR Area User Access/Akses Pengguna ITGC Peloton Interactive, Inc.

Peloton Interactive, Inc. (Perusahaan) adalah perusahaan asal Amerika Serikat yang bergerak di bidang peralatan olahraga dan media, serta berbasis di New York City. Produk-produk perusahaan ini mencakup sepeda statis, treadmill, dan mesin dayung dalam ruangan yang dilengkapi dengan layar sentuh terhubung ke internet, yang menayangkan kelas kebugaran langsung dan on-demand melalui layanan berlangganan. Peralatan ini juga dilengkapi dengan sensor bawaan yang memantau metrik seperti daya keluaran (power output), sehingga memberikan umpan balik secara real-time atas kinerja pengguna dan menampilkan peringkat di papan skor untuk bersaing dengan pengguna lain.

Per 31 Desember 2023 manajemen mengidentifikasi kelemahan material terkait dengan pengendalian umum teknologi informasi (Information Technology General Controls atau ITGC) pada area akses pengguna untuk suatu sistem teknologi informasi tertentu yang digunakan oleh Precor, anak usaha Perusahaan. Secara khusus, Perusahaan tidak merancang dan memelihara pengendalian akses pengguna yang memadai untuk memastikan pemisahan tugas yang tepat serta membatasi akses pengguna dan akses istimewa terhadap aplikasi keuangan, program, dan data hanya kepada personel Perusahaan yang berwenang. Pengendalian proses bisnis otomatis maupun manual yang bergantung pada ITGC yang terdampak juga dianggap tidak efektif karena dapat terpengaruh secara negatif sejauh mana pengendalian tersebut bergantung pada informasi dan konfigurasi dari sistem TI yang terdampak.

Per 30 Juni 2024, manajemen telah berhasil meremediasi kelemahan material tersebut dengan menerapkan langkah-langkah berikut:

• Menyesuaikan hak akses bagi seluruh pengguna sistem dan transaksi kritikal berdasarkan tanggung jawab pekerjaan, dengan mempertimbangkan pemisahan tugas (segregation of duties);
• Membatasi hak dan akses berlebih bagi semua pengguna sistem;
• Menerapkan pengendalian yang mewajibkan evaluasi ulang secara berkala atas hak akses pengguna, termasuk akses administratif;
• Merancang pengendalian kompensasi berupa tinjauan proses bisnis untuk konflik pemisahan tugas berisiko tinggi yang tidak dapat diatasi hanya dengan pembatasan akses pengguna dalam sistem;
• Menggunakan konsultan untuk membantu dalam dokumentasi, evaluasi, remediasi, dan pengujian pengendalian internal atas pelaporan keuangan terkait pengendalian akses pengguna, berdasarkan kriteria yang ditetapkan dalam Kerangka Pengendalian Internal Terintegrasi (2013) yang diterbitkan oleh Committee of Sponsoring Organizations (COSO) dari Treadway Commission; dan
• Memberikan pelatihan kepada personel terkait mengenai perancangan dan pelaksanaan pengendalian internal atas pelaporan keuangan yang berkaitan dengan ITGC Perusahaan.

Sumber: SEC (2024). Form 10-K.