RESUME PENGAUDITAN PDE-SIA

Tentang
Internal Controls Concepts Knowledge

Kelas H1
Kelompok 4 :
1.
2.
3.
4.
5.
6.
7.
8.

Ramadhania Intan C.
Diah Fitria D.
Fitriana
Ni Wayan Putri M.P
Tsalsabillah F.
Maria Ulfa
Mafula Rohkma
Shabrina Eka Putri

(2011310782)
(2011310810)
(2011310841)
(2011310842)
(2011310845)
(2011310848)
(2011310851)
(2011310899)

SEKOLAH TINGGI ILMU EKONOMI PERBANAS SURABAYA

Jl. Nginden Semolo 34-36 Surabaya 6011

KATA PENGANTAR
Bismillahirahmannirrahim
Segala puji bagi ALLAH SWT, Tuhan Semesta Alam yang telah memberikan Ilmu,
Kesehatan, Kebahagiaan dan Kemampuan kepada kita untuk menuangkan gagasan dari
artikel ini yang bisa kita susun sehingga menjadi sebuah resume.
Kami menyusun resume ini karena kami mempunyai tujuan untuk menyampaikan
informasi informasi dyang terkait dengan artikel ini mengenai mata kuliah Pengauditan
PDE-SIA Internal Controls Concepts Knowledge. Yang Insya Allah resume ini dapat
memberikan manfaat kepada kita semua.
Resume yang kami susun ini masih jauh dari kelengkapan dan kesempurnaan, karena
kami masih dalam tahap belajar untuk mencari pengalaman yang baru dan juga ingin
menambah informasi yang masih belum kita ketahui.
Semoga resume ini bisa diterima dan menambah referensi ataupun pengetahuan baru
bagi pembaca. Kami berharap resume ini bisa dijadikan sebagai salah satu untuk menambah
ilmu bagi mahasiswa serta masyarakat umum.
Masukan, saran dan kritikan yang membangun sangat kita butuhkan demi perbaikan dan
menuju kualitas isi resume ini. Terima Kasih.

Surabaya, 07 Oktober 2014

Penyusun

PENGENDALIAN INTERNAL

Ketidakpastian yang sering muncul biasanya terdapat pada pengendalian. Pengendalian

dapat didefinisikan sebagai tindakan yang diambil oleh manajemen untuk meningkatkan
kepastian bahwa tujuan dan sasaran yang ditetapkan akan tercapai. Hasilnya dapat berupa
perencanaan manajemen, pengorganisasian, dan pengarahan, serta jenis-jenis lain (seperti
pengendalian manajemen, pengendalian internal, dll) yang dapat dimasukkan dalam istilah
umum.
Pengendalian manajemen bertujuan untuk memastikan bahwa organisasi bekerja pada
tujuan yang dinyatakan:
Tujuan dan sasaran perusahaan merupakan pernyataan sasaran perusahaan (penetrasi
pasar yang akan meningkat sebesar 10% di tahun mendatang).
Tujuan pengelolaan menentukan bagaimana sasaran perusahaan akan tercapai (penetrasi
pasar akan meningkat dengan memanfaatkan informasi dalam data warehouse untuk
menentukan pelanggan masa depan saat ini dan keinginan serta kebutuhan).
Pengendalian internal memastikan bahwa program dapat memastikan tujuan manajemen
yang direncanakan dan dilaksanakan dengan baik (pemeriksaan berkala akan dilakukan
dari integritas data yang ada di data warehouse dan pemasaran yang dilatih secara penuh
dengan penggunaan alat melalui data mining untuk memenuhi kebutuhan atas informasi).
Tanggung jawab pengendalian merupakan tugas manajemen yang meliputi perencanaan,
pengorganisasian, dan mengarahkan.
Perencanaan adalah hal yang diartikan sebagai pembentukan tujuan dan sasaran serta
memilih metode yang lebih memanfaatkan sumber daya.
Pengorganisasian melibatkan pengumpulan sumber daya yang diperlukan dan mengatur
sumber daya sedemikian rupa agar tujuan dapat dicapai.
Proses pengarahan pada manajemen meliputi autorisasi, instruksi, dan monitoring kinerja
secara berkala dengan membandingkan aktual kinerja yang direncanakan.
Pada lingkungan SI, melibatkan kepastian bahwa system berfungsi sebagaimana yang
dimaksud, integritas data terjaga, mempertahankan kerahasiaan, sistem tersedia jika
diperlukan, akurasi data dan kelengkapan yang terjaga, dan akses diberikan secara resmi.

Keputusan manajemen dapat diklasifikasikan yaitu Strategic, Tactical, atau Operasional

dan semua keputusan pada tingkat yang dipengaruhi oleh SI dimana dirancang untuk
memberikan dasar bagi keputusan yang dibuat.
SI Audit harus memastikan bahwa sistem pengendalian internal akan efektif dan
berfungsi sebagaimana yang dimaksud.
Tingkat pengendalian yang diperlukan secara keseluruhan akan dipengaruhi oleh tujuan.
Tujuan dan sasaran perusahaan merupakan pernyataan dari sasaran perusahaan yang
umumnya sangat luas, sementara sasaran manajemen menentukan bagaimana sasaran
perusahaan akan terpenuhi secara mendetail. Pengendalian internal dirancang untuk
memastikan

bahwa program-program dapat

memastikan

tujuan manajemen

telah

direncanakan dan dilaksanakan dengan baik.

Pada tingkat yang lebih detail, sasaran operasi merupakan penggerak yang
mengendalikan kegiatan sehari-hari, ada beberapa permasalahan yang timbul, misalnya,
kebutuhan atas kerahasiaan dan kebutuhan atas ketersediaan data; seperti konflik antara
efisiensi pengolahan data dengan efektivitas. Prioritas sasaran operasi mengarahkan
pengembangan pengendalian dan akan memberikan dampak pada keseluruhan sistem
penegndalian.
Diasumsikan bahwa organisasi beroperasi dalam lingkungan keamanan yang tinggi.
Sasaran pengendalian mungkin menimbulkan kerugian permanen informasi yang berdampak
pada kebocoran informasi. Dalam keadaan lingkungan keamanan yang lebih rendah
memungkinkan adanya perhatian khusus pada hilangnya kerahasiaan yang masalah tersebut
relatif kecil. Hal ini merupakan gambaran evaluasi risiko yang menentukan sifat dan arah
struktur pengendalian internal dan kerja Audit SI.
PERTIMBANGAN BIAYA/MANFAAT

Sebuah sasaran harus mempertimbangkan biaya untuk mencapai sasaran tersebut. "As quickly
as possible" yang berarti tanpa kontrol selain untuk menekankan pada kecepatan sementara.
"No errors" yang berarti pengendalian internal yang kuat mencakup semua aspek kualitas.
Oleh karena itu sebuah pengendalian harus praktis, bermanfaat, dapat dicapai, dan
kompatibel dengan tujuan baik operasi dan pengendalian dan selalu ada hubungan yang
seimbang antara biaya dan manfaat. Karena semua pengendalian merupakan sumber biaya

dalam

bentuk

uang,

tenaga,

daya

komputasi,

dan

waktu,

pengendalian

selalu

menyeimbangkan antara biaya dan manfaat. (Apakah layak menghabiskan $ 200 untuk
mencegah kemungkinan kehilangan $ 100?)
TUJUAN PENGENDALIAN INTERNAL
Secara keseluruhan, tujuan pengendalian internal, pada tingkat rinci, dapat dilihat untuk
mencakup:
1.

Keandalan dan Integritas informasi. Jika manajemen tidak dapat mempercayai keandalan
dan integritas informasi yang dimiliki dan diproses dalam SI, maka semua informasi
harus dianggap sebagai tersangka dan, dalam beberapa kasus, ini mungkin lebih

2.

merugikan organisasi daripada hilangnya sistem informasi.

Kepatuhan dengan Kebijakan, Rencana, Prosedur, Hukum, dan Peraturan. Hukum dan
peraturan yang dikenakan eksternal dan harus dipatuhi. sistem informasi yang tidak
memadai dapat menyebabkan organisasi tidak sengaja melanggar hukum negara dengan
akibat kerugian dalam hal denda, hukuman, dan mungkin penjara untuk pejabat
perusahaan.

Kebijakan organisasi internal, rencana, dan prosedur yang dirancang untuk memastikan
operasi yang direncanakan, sistematis, dan teratur. Form waktu untuk manajer mungkin
diperlukan untuk mengevaluasi kecukupan kebijakan tersebut, rencana, dan prosedur sejak
sifat bisnis mungkin telah berubah, risiko mungkin harus ditinjau kembali dan tujuan
pengendalian kembali prioritas.
a.

Pengamanan Aset. Kehilangan aset biasanya salah satu risiko yang paling terlihat suatu
organisasi dapat menghadapi dan biasanya ini mengarah pada pelaksanaan teh kontrol
yang paling terlihat, seperti kunci pintu, lemari besi, penjaga keamanan, dan sebagainya.
Dalam sebuah organisasi SI tergantung kontrol aset juga mungkin termasuk tidak

b.

berwujud seperti tahanan ganda, pemisahan tugas, dan teknik otentikasi komputer.
Efektivitas dan Efisiensi Operasional. Efektivitas melibatkan pencapaian tujuan yang
ditetapkan dan harus menjadi fokus utama dari semua operasi dan kontrol. Banyak
sistem informasi, pada saat desain asli, yang berfokus pada pencapaian objectivies
perusahaan. Efisiensi digolongkan sebagai pengukuran optimalisasi "sumber daya yang
langka" dan termasuk pengurangan limbah serta pengurangan di bawah pemanfaatan
sumber daya.

JENIS PENGENDALIAN INTERNAL

Pengendalian tersebut dapat diklasifikasikan menjadi:
Pengendalian pencegahan, yang terjadi sebelum fakta tetapi tidak pernah bisa 100%
efektifi dan karena itu tidak dapat sepenuhnya diandalkan.
Pengendalian detektif, yang mendeteksi penyimpangan setelah kejadian dan mungkin
lebih murah daripada memeriksa setiap transaksi dengan kontrol pencegahan.
Pengendalian korektif memastikan koreksi masalah diidentifikasi oleh kontrol detektif
dan biasanya memerlukan intervensi manusia dalam SI. kontrol korektif itu sendiri
sangat-rawan kesalahan karena mereka terjadi dalam kondisi yang tidak biasa dan
biasanya membutuhkan keputusan manusia yang akan dibuat, dan tindakan diputuskan
dan dilaksanakan.
Pengendalian direktif dirancang untuk menghasilkan hasil yang positif dan mendorong
perilaku yang dapat diterima. mereka sendiri tidak mencegah perilaku yang tidak
diinginkan dan biasanya digunakan di mana ada kebijaksanaan manusia dalam suatu
situasi.
Pengendalian kompensasi dapat dilihat ada di mana kelemahan dalam satu kontrol dapat
dikompensasikan kontrol di tempat lain. mereka digunakan untuk membatasi eksposur
risiko dan Mei perangkap evaluator waspada.
Secara umum, maka, manajemen dan auditor harus selalu diingat bahwa di bawah-kontrol
murah untuk menerapkan tapi mungkin dikenakan biaya organisasi, sementara lebih-kontrol
mahal dan akhirnya melumpuhkan.
SISTEM PENGENDALIAN INTERNAL
Sistem Pengendalian Internal adalah keseluruhan pengendalian kombinasi dari elemen
individu untuk membuat Sistem pengendalian internal. Pada gilirannya, dipengaruhi oleh
lingkungan pengendalian. Hal ini dapat didefinisikan sebagai keseluruhan infrastruktur di
mana elemen kontrol lainnya akan berfungsi dan menetapkan kondisi di mana sisa
pengendalian internal akan beroperasi. Elemen utama dalam hal ini termasuk struktur
organisasi. Ini mendefinisikan tanggung jawab manajer individu, menentukan batas-batas
kewenangan, dan memungkinkan untuk memastikan pemisahan tugas yang tepat. Jika sesuai
struktur dalam organisasi, dengan kelebihan kekuatan yang diberikan kepada perorangan atau
jika tugas pemisahan yang rendah, pengendalian efektivitas individu dapat diperbaiki lagi dan
tidak mungkin untuk dijalankan, misalnya, pembagian tugas dalam sistem komputer dengan
menggunakan hak akses rinci jika satu orang telah diberikan hak akses seberang tugas

kompatibel sebagai bagian dari prosedur operasi normal. Kerangka pengendalian meliputi
kebijakan dan prosedur yang menggambarkan ruang lingkup dari fungsi, kegiatan,
keterkaitan dengan departemen lain, serta pengaruh eksternal dari hukum dan peraturan, adat
istiadat, perjanjian serikat, dan lingkungan kompetitif. Struktur pengendalian mungkin rumit
atau sederhana. Organisasi besar cenderung memiliki kerangka pengendalian yang sangat
terstruktur, sedangkan organisasi yang lebih kecil sering menggunakan kontak pribadi antara
karyawan.
UNSUR PENGENDALIAN INTERNAL
Mengingat tujuan pengendalian keseluruhan tertulis di bagian sebelumnya, struktur
pengendalian harus dirancang untuk memastikan:

Pemisahan Tugas. Pengendalian untuk memastikan bahwa mereka yang secara fisik
menangani aset bukanlah mereka yang mencatat pergerakan aset. Atau mereka orang
yang sama yang merekonsiliasi catatan-catatan atau bahkan mereka yang
mengotorisasi transaksi tersebut. Dalam sistem komputer modern ini biasanya dicapai
dengan kombinasi identifikasi pengguna, otentikasi pengguna, dan otorisasi

pengguna.
Kompetensi dan Integritas seseorang. Dasar dari sistem pengendalian adalah orangorang yang menjalankan sistem itu sendiri. Dalam rangka untuk pengendalian efektif,
mereka yang melakukan pengendalian harus mampu melakukannya dan cukup jujur
untuk melakukannya secara konsisten. Ini berarti bahwa hanya pengguna yang
mengikuti prosedur yang memadai dalam lingkungan sistem informasi modern, dan
tingkat resiko yang tinggi serta pengendalian kesadaran yang diperlukan dalam rangka

untuk memastikan bahwa pengendalian berfungsi sebagaimana yang dimaksud.

Tingkat yang tepat dari otoritas. Sebuah kesalahan umum dalam struktur
pengendalian adalah pemberian terlalu banyak kewenangan dalam batas-batas
pengendalian. Pihak berwenang seharusnya hanya boleh diberikan pada yang
memiliki kebutuhan dasar. Jika tidak ada kebutuhan untuk individu tertentu dengan
memiliki otoritas tertentu, mereka tidak seharusnya diperbolehkan. Jelas ini
membutuhkan upaya pada bagian dari orang-orang yang menetapkan otoritas dalam
mengidentifikasi mana tingkat kewenangan yang sebenarnya dibutuhkan dan hanya
diinginkan. Hal ini, sayangnya, masih terjadi di banyak situs yang mengakses kontrol
terbatas pada otentikasi pengguna dan setelah otentikasi, misalnya pengguna akan

memiliki akses tidak terbatas ke dalam semua bidang fungsional dalam sistem

informasi.
Akuntabilitas. Untuk semua keputusan, transaksi, dan tindakan yang diambil harus
ada pengendalian yang akan memungkinkan penentuan siapa yang melakukan dengan
tingkat kepercayaan yang diterima. Ini biasanya melibatkan penggunaan log kontrol
dan audit. Cukup mempertahankan log tersebut dan catatan dapat menjadi
kontraproduktif karena mereka dapat memberikan rasa aman yang salah. Untuk
catatan tersebut menjadi pengendalian yang efektif mereka harus meneliti secara

teratur dan tindakan yang tepat diambil untuk memperbaiki setiap perbedaan dicatat.
Sumber daya yang memadai. Pengendalian diusahakan dengan sumber daya yang
tidak memadai biasanya akan gagal setiap kali mereka berada dibawah stres. Sumber
daya yang memadai termasuk tenaga kerja, keuangan, peralatan, bahan, dan
metodologi. Manajemen sering meremehkan biaya sumber daya untuk menerapkan
pengendalian, tidak memberikan pemikiran untuk biaya pengendalian tersebut dan

kurangnya manajemen sumber daya untuk melaksanakan.

Pengawasan dan ulasan. Pengawasan yang memadai dari jenis yang sesuai
merupakan dasar untuk pelaksanaan pengendalian intern yang baik. Hal ini sayangnya
masih benar bahwa dalam banyak kasus orang tidak melakukan apa yang diharapkan,
tapi hanya melakukan apa yang diperiksa.

SISTEM MANUAL DAN OTOMATIS

Dalam sistem informasi kami ada dua komponen perangkat lunak utama yang menambah
atau mengurangi suatu pengendalian. Komponen ini adalah:
Sistem software (perangkat lunak). Sistem perangkat lunak meliputi program komputer
dan perangkat keras komputer pengendali rutin, pengolahan dan fungsi non pengguna.
Kategori ini berisi sistem operasi, perangkat lunak telekomunikasi dan data perangkat
lunak manajemen.
Aplikasi software. Aplikasi yang terdapat pada software termasuk program komputer
yang ditulis untuk mendukung fungsi bisnis seperti Buku Besar, Pembayaran, Sistem
persediaan, Sistem pemesanan dan fungsi bisnis lainnya. Selain itu, banyak organisasi
menjadi lebih dan lebih bergantung pada sistem aplikasi yang dibuat dalam lingkungan
sendiri pengguna.
Sistem Pengguna Akhir. Sistem pengguna akhir adalah jenis khusus dari sistem aplikasi
yang dihasilkan di luar sistem informasi (SI) organisasi untuk memenuhi kebutuhan

pengguna tertentu. Dalam banyak kasus sistem ini dirancang untuk mencapai tujuan
operasional spesifik dengan pengendalian yang dapat diimplementasikan.
PROSEDUR PENGENDALIAN
Dalam rangka untuk memastikan bahwa pengendalian atas investasi komputer perusahaan
memadai, berbagai kontrol atau pengendalian sangatlah diperlukan, termasuk:
General IS Controls (Pengendalian Umum Atas Sistem Informasi). Meliputi
lingkungan dimana sistem komputer digunakan.
Operasi Komputer. Meliputi operasi sehari-hari dari mesin.
Keamanan Fisik. Meliputi keamanan perangkat keras fisik, software, bangunan dan staf.
Keamanan Logis. Meliputi cara di mana data dan perangkat lunak yang dilindungi dari
akses melalui sistem itu sendiri.
Program Perubahan Pengendalian. Untuk memastikan bahwa sistem yang benar dan
fungsional terus berjalan.
Pengembangan sistem. Untuk memastikan bahwa sistem yang digunakan oleh
organisasi bersifat efektif, efisien dan ekonomis.
PENGENDALIAN APLIKASI
Sistem aplikasi memiliki set mereka sendiri dibangun pada kontrol yang terutama sistem
berorientasi bisnis. Umumnya mereka termasuk tujuan pengendalian seperti akurasi,
kelengkapan dan otorisasi. di samping itu, auditor dapat menemukan kontrol kompensasi, di
mana kontrol yang lemah di satu daerah dapat dikompensasikan dengan kontrol lain.
Seperti yang dinyatakan sebelumnya, pengendalian biasanya digolongkan ke dalam
kategori umum pencegahan, detektif dan korektif. dapat berguna bagi auditor dalam
menentukan tingkat ketergantungan untuk ditempatkan pada struktur pengendalian untuk
mengkategorikan pengendalian dengan cara lain. Pengendalian dapat diklasifikasikan sebagai
diskresi atau non diskresioner, di mana pengendalian diskresioner adalah mereka yang
memiliki kebijaksanaan manusia. Ini akan mencakup pengendalian seperti supervisory
review tanda tangan. Pengendalian non diskresioner disediakan oleh sistem dan tidak dapat
diganti. mereka termasuk kontrol seperti penggunaan nomor PIN.
Jenis klasifikasi pengendalian lain bisa sukarela atau mandat. Pengendalian sukarela
yang dipilih oleh organisasi untuk mendukung bisnisnya, sementara Pengendalian wajib
adalah mereka yang diperlukan oleh hukum dan peraturan.

Kontrol atau pengendalian dapat dilaksanakan secara manual atau otomatis, di mana
kontrol manual dilaksanakan oleh intervensi manual dan kontrol otomatis dilaksanakan oleh
sistem komputer itu sendiri.
Kontrol juga terdiri dari kontrol aplikasi atau sistem informasi umum, dengan kontrol
aplikasi yang berkaitan dengan fungsi bisnis dan kontrol sistem informasi umum tentang
bagaimana menjalankan fungsi sistem informasi.
Sebuah Pengendalian yang mungkin termasuk pencegahan, diskresi, sukarela, manual,
pengendalian umum jika:
Mencegah kesalahan
Bisa diubah atau dihilangkan
Apakah tidak diharuskan oleh hukum
Apakah yang dilakukan oleh manusia
Alamat lingkungan di mana kontrol lain beroperasi
TUJUAN DAN RISIKO PENGENDALIAN
Semua lingkungan komputer menghadapi berbagai risiko, termasuk bahaya seperti:
penipuan
gangguan usaha
kesalahan
ketidakpuasan pelanggan
citra publik yang buruk
Penggunaan efektif dan tidak efisien sumber daya
ini dikendalikan melalui berbagai tujuan pengendalian yang menangani bidang-bidang
ancaman spesifik.

TUJUAN UMUM PENGENDALIAN

Tujuan-tujuan ini bersifat umum, mencakup seluruh aspek integritas informasi, keamanan
komputer, dan kepatuhan terhadap kebijakan, rencana, aturan, hukum, dan peraturanperaturan.
DATA DAN TUJUAN TRANSAKSI
Proses transaksi dan penanganan data adalah subjek untuk mengontrol prosedur pada setiap
tahap pengolahan.
Pada tahap input atau masukan contoh dari tujuan pengendalian adalah :
Semua transaksi awal dan catatan yang lengkap
Semua transaksi yang lengkap dan akurat dimasukkan ke dalam sistem.
Semua transaksi dimasukkan hanya sekali
Metode input dapat mencakup campuran dari input online, sekumpulan input, input dari
sistem interface, dan pertukaran data elektronik. Kontrol atau pengendalian pada tahap ini
biasanya mencakup :
Penggunaan dokumen pra-nomor
Rekonsiliasi dari pengendalian total
Validasi data dalam segala bentuk
Aktivitas mencatat dalam buku harian
dokumen peninjuan
otorisasi akses
dokumen pembatalan
Pada tahap pemrosesan contoh dari tujuan pengendalian adalah:
Transaksi-transaksi yang disetujui akan diterima oleh sistem dan kemudian diproses
Semua transaksi yang ditolak akan dilaporkan, dikoreksi, dan di input kembali.
Semua transaksi yang diterima diproses hanya sekali.
Semua transaksi diproses secara akurat

 Semua transaksi leangkap akan diproses

Jenis proses yang mungkin termasuk dari sekumpulan proses, update interaktif (waktu
nyata), serta sekumpulan proses online di mana data diambil secara online tapi pemrosesan
berlangsung dalam sekumpulan lingkungan
Kontrol atau pengendalian pada tahap ini biasanya mencakup:
Pengendalian total
Programmed balancing
Pemisahan tugas
Akses Terbatas
Berkas label
Laporan pengecualian
error log
Tes kewajaran
Memperbaruhi pengendalian secara bersamaan.
Pada tahap output contoh tujuan pengendalian adalah:
Jaminan bahwa hasil dari input dan proses adalah output
Otput yang tersedia hanya untuk personil yang berwenang
Output dapat mencakup cetakan hard copy, file output untuk pengolahan selanjutnya,
atau balasan penyelidikan online.
Kontrol atau pengendalian pada tahap ini biasanya mencakup:
Jejak audit lengkap
Log distribusi output (keluaran)
TUJUAN PROGRAM PENGENDALIAN
Pegembangan dan menjalankan program komputer itu tergantung pada tujuan pengendalian
dan prosedur. Tujuan pengendalian terdiri dari:

Integritas program dan pengolahan

Pencegahan perubahan yang tidak diinginkan

Memastikan desain dan pengembangan kontrol yang memadai

Memastikan pengujian

Transfer program terkendali

Pemeliharaan berkelanjutan sistem

Tipe pengendalian pengembangan pada program terdiri dari:

1 Penggunaan siklus pengembangan sistem formal (SDLC)
2 Keterlibatan Pengguna
3 Dokumentasi yang memadai
4 Rencana pengujian formal
5 Konversi yang direncanakan
6 Penggunaan tinjauan pasca implementasi
7 Pembentukan jaminan kualitas (QA) fungsi
8 Keterlibatan auditor internal
Jika tujuan pengendalian ini dilakukan untuk kontrol yang tepat, maka risiko dalam sistem
komputer harus diminimalkan secara efektif.
TATA KELOLA PERUSAHAAN
Tata kelola perusahaan melibatkan mekanisme bisnis perusahaan yang diarahkan dan
dikendalikan. Ini menyangkut mekanisme di mana manajemen perusahaan yang bertanggung
jawab atas perilaku perusahaan dan kinerja serta memberikan kerangka kerja dengan tujuan
yang ditetapkan perusahaan, dan sarana untuk mencapai tujuan-tujuan tersebut maka
ditentukan pemantauan terhadap kinerja
Kerangka tata kelola perusahaan terletak pada lingkungan hukum, peraturan, dan
kelembagaan yang termasuk faktor-faktor seperti etika bisnis dan kesadaran perusahaan dari
kepentingan lingkungan dan sosial dari masyarakat di mana organisasi beroperasi .Karena ini
juga dapat berdampak pada reputasi dan keberlangsungan jangka panjang dari suatu
organisasi.
Setelah dipimpn oleh komisi laporan Treadway atas kecurangan pelaporan keuangan di
Amerika Serikat pada tahun 1987, sejumlah komisi yang didirikan di berbagai negara
menyelidiki praktik tata kelola perusahaan dan membuat rekomendasi antara lain mengenai
perubahan undang-undang, rekomendasi kode perusahaan "etika "perilaku, dan kriteria untuk
mengevaluasi dan melaporkan praktik tata kelola perusahaan di seluruh dunia.

Dalam banyak kasus laporan ini meminta penguatan kesesuaian dan kepatuhan peran
dewan. Laporan yang menganjurkan peran eksekutif non independen, pembentukan komite
terhadap kepatuhan, direktur non independen dalam komite audit, komite remunerasi untuk
mengawasi remunerasi direksi dan komite nominasi berkaitan dengan pencalonan direksi
baru dan pemisahan peran ketua dewan dari CEO bisnis.
Berbagai laporan berisi rekomendasi untuk meningkatkan praktik tata kelola perusahaan,
beberapa di antaranya dimasukkan ke dalam perubahan undang-undang perusahaan dan
persyaratan pencatatan bursa efek
COSO dan Teknologi Informasi
COSO secara khusus membahas persyaratan pengendalian dalam komponen tertentu
dari kerangka COSO Teknologi Informasi (misalnya, aktivitas pengendalian). Meskipun ada
banyak bagian dalam Undang-Undang Sarbanes-Oxley, yaitu pasal 302 dan 404 mungkin
memiliki pengaruh paling besar terhadap sistem informasi.
Pasal 302:
... Mengharuskan manajemen perusahaan, dengan partisipasi dari pejabat eksekutif dan
karyawan keuangan, untuk membuat pernyataan triwulan dan tahunan sehubungan dengan
pengendalian internal perusahaan atas pelaporan keuangan:
* pernyataan bahwa petugas sertifikasi bertanggung jawab untuk membangun dan
mempertahankan pengendalian internal atas pelaporan keuangan
* pernyataan bahwa pernyataan para pegawai telah merancang pengendalian internal atas
pelaporan keuangan seperti yang akan dirancang atas pelaporan keuangan, atau disebabkan
pengendalian internal atas pelaporan keuangan seperti yang akan dirancang di bawah
pengawasan mereka, untuk memberikan keyakinan yang memadai mengenai keandalan
pelaporan keuangan dan persiapan laporan keuangan untuk keperluan eksternal sesuai dengan
prinsip akuntansi yang berlaku umum
* pernyataan bahwa laporan tersebut mengungkapkan perubahan dalam pengendalian internal
perusahaan atas pelaporan keuangan yang terjadi selama tiga bulan fiskal yang material
terpengaruh, atau sewajarnya mungkin akan mempengaruhi , pengendalian internal
perusahaan atas pelaporan keuangan

Pasal 404 melanjutkan dengan menyatakan bahwa:

Laporan manajemen mengenai pengendalian internal atas pelaporan keuangan diperlukan
untuk, meliputi:
* tanggung jawab manajemen untuk entablish dan melakukan pengendalian internal yang
memadai atas pelaporan keuangan bagi perusahaan
* mengidentifikasi kerangka yang digunakan oleh manajemen untuk melakukan penilaian
diperlukan efektivitas pengendalian internal perusahaan atas pelaporan keuangan
* penilaian terhadap efektivitas pengendalian internal perusahaan atas pelaporan keuangan
per akhir tahun fiskal perusahaan terbaru, termasuk pernyataan eksplisit mengenai apakah
pengendalian internal atas pelaporan keuangan yang efektif
* pernyataan bahwa kantor akuntan publik yang mengaudit laporan keuangan termasuk
dalam laporan tahunan telah mengeluarkan laporan pengesahan penilaian manajemen
terhadap pengendalian internal perusahaan atas pelaporan keuangan
Manajemen harus menyediakan, baik dalam laporannya pada pengendalian internal atas
pelaporan keuangan dan dalam surat pernyataan kepada auditor, kesimpulan tertulis tentang
efektivitas kontrol internal perusahaan atas pelaporan keuangan.
Kesimpulan tentang efektifitas pengendalian internal perusahaan atas pelaporan
keuangan dapat mengambil banyak bentuk; Namun, manajemen diperlukan untuk
menyatakan suatu kesimpulan langsung tentang apakah pengendalian internal perusahaan
atas pelaporan keuangan yang efektif.
Manajemen dilarang menyimpulkan bahwa pengendalian internal perusahaan atas
pelaporan keuangan adalah efektif jika ada satu atau lebih kelemahan material. Disamping
itu, manajemen yang dibutuhkan untuk pengungkapan semua kelemahan material yang ada
pada akhir tahun fiskal terbaru.
Pasal tersebut membahas pengendalian internal atas pelaporan keuangan yang
mengharuskan manajemen perusahaan publik ditentukan oleh tindakan untuk menilai
efektivitas pengendalian internal organisasi atas pelaporan keuangan dan setiap tahun
melaporkan hasil penilaian itu. Untuk perusahaan yang terdaftar, ini berarti menilai
efektivitas pengendalian internal organisasi melalui sistem informasi mereka karena ini
membentuk sumber dasar untuk informasi keuangan yang terkandung dalam laporan
keuangan.
Sementara Sarbanes-Oxley memerlukan manajemen yang telah menerapkan kerangka
kontrol yang cocok dengan COSO, tidak ada panduan tentang apa kerangka yang akan
digunakan.

Lembaga

Teknologi

Informasi

Governance

(ITGI)

membahas

tujuan

pengendalian TI untuk Sarbanes-Oxley: Pentingnya TI dalam desain, implementasi dan

keberlangsungan pengendalian internal untuk pelaporan keuangan dan pengungkapan.
ITGI menunjukkan bahwa:
Organisasi perlu perwakilan dari IT pada Tim Sarbanes-Oxley mereka untuk memastikan
bahwa pengendalian umum TI dan aplikasi kontrol ada dan mendukung tujuan dari upaya
kepatuhan.
Beberapa bidang utama tanggung jawab IT meliputi:
* memahami program pengendalian internal organisasi dan proses pelaporan keuangan
* merencanakan sistem TI yang mendukung pengendalian internal dan proses pelaporan
keuangan atas laporan keuangan
* mengidentifikasi risiko yang terkait dengan sistem IT
* merancang dan menerapkan kontrol yang dirancang untuk mengurangi risiko diidentifikasi
dan pemantauan mereka untuk efektivitas lanjutan
* mendokumentasikan dan pengujian kontrol IT
* memastikan bahwa kontrol TI pembaruan dan perubahan, jika diperlukan, untuk
berhubungan dengan perubahan dalam pengendalian internal proses pelaporan keuangan
* pemantauan TI kontrol untuk operasi yang efektif dari waktu ke waktu
* partisipasi IT di kantor manajemen proyek Sarbanes-Oxley
Kemudian penting untuk menunjukkan bagaimana kontrol TI yang diimplementasikan
mendukung kerangka COSO. Sebuah organisasi harus memiliki kontrol TI kompetensi di
semua komponen COSO. Seperti yang tercantum dibagian 4, COSO mengidentifikasi lima
komponen penting dari pengendalian internal yang efektif menjadi:
* Lingkungan Pengendalian
* Penilaian Risiko
* Aktivitas Pengendalian
* Informasi dan Komunikasi
* Pengawasan
COSO sendiri tidak memberikan informasi cukup rinci untuk informasi kontrol yang tepat
dalam TI. Dengan demikian, manajemen TI akan diminta untuk menerapkan kerangka
kontrol yang lebih rinci sebagaimana didefinisikan dalam pasal 4 seperti COBIT, yang
sejalan dengan Sarbanes -Oxley tindakan dan memfasilitasi struktur kontrol dirancang sesuai
dengan bagian 404 selalu tanamkan dalam keberatan bahwa COBIT dirancang untuk
memberikan kontrol atas tujuan operasional dan kepatuhan. Pelaporan keuangan hanya salah
satu dari tujuan-tujuan tersebut.