Anda di halaman 1dari 11

BAB II

PEMBAHASAN

2.1 Konsep Dasar Pengendalian Internal

Pengendalian internal adalah proses yang diterapkan untuk menghasilkan keyakinan


yang memadai agar tujuan pengendalian berikut terpenuhi:

1. Perlindungan aset: mencegah atau mendeteksi perolehan, penggunaan atau perpindahan


aset secara tidak sah.
2. Menjaga catatan secara terinci agar dapat melaporkan aset-aset perusahaan secara
akurat dan wajar.
3. Memberikan informasi yang akurat dan andal.
4. Menyusun laporan keuangan sesuai dengan kriteria (standar) yang diharuskan
5. Mendukung dan meningkatkan efisiensi operasi.
6. Mendorong kepatuhan terhadap kebijakan manajemen yang telah ditetapkan
7. Mematuhi hukum dan peraturan yang berlaku.
Pengendalian internal merupakan suatu proses karena melekat kedalam aktivitas
operasional organisasi dan merupakan bagian yang tidak terpisahkan dari aktivitas manajemen.
Pengendalian internal hanya mampu memberikan tingkat keyakinan yang memadai; keyakinan
absolut sangat sulit untuk dicapai dan memerlukan biaya yang sangat tinggi. Selain itu, sistem
pengendalian internal juga memiliki keterbatasan yang melekat, seperti misalnya kemungkinan
terjadinya kesalahan kesalahan kecil, pertimbangan dan pegambilan keputusan yang tidak
tepat, dominasi manajemen dan bahkan kolusi.

2.2 Mengapa Pengendalian Berbasis Teknologi Informasi dan Keamanan Sistem


Diperlukan

Romney and Steinbart (2015), menjelaskan bahwa pengembangan sebuah sistem


pengendalian internal mengharuskan pemahaman atas kapabilitas dan resiko teknologi
informasi, maupun cara menggunakan teknologi informasi untuk mencapai tujuan
pengendalian organisasi. Akuntan dan para pengembang sistem membantu manajemen dalam
mencapaii tujuan pengendalian organisasi melalui (1) mendesain sistem pengandalian yang
efektif yang menggunakan pendekatan yang proaktif untuk menghilangkan ancaman terhadap
sistem serta mendeteksi, memperbaiki dan memulihkan kembali sistem ketika terjadi ancaman,

1
dan (2) membuat sistem mudah untuk membangun pengendalian kedalam sebuah sistem pada
tahap desain awal daripada menambahkan fitur fitur dalam sistem setelah digunakan.

Pengendalian intern melakukan tiga fungsi penting (Romney and Steinbart, 2015) :

1. Pengendalian Preventif mencegah masalah sebelum mereka muncul. Contohnya


termasuk mempekerjakan personil yang berkualitas, memisahkan tugas karyawan, dan
mengendalikan akses fisik ke aset dan informasi.
2. Pengendalian Detektif menemukan masalah yang tidak dicegah. Contohnya termasuk
duplikat pemeriksaan perhitungan dan mempersiapkan rekonsiliasi bank dan saldo
pemeriksaan bulanan.
3. Pengendalian Korektif mengidentifikasi dan maupun memperbaiki dan memulihkan
kembali sistem akibat error serta benar dan pulih dari kesalahan yang dihasilkan.
Contohnya termasuk menjaga salinan cadangan dari file, mengoreksi kesalahan entri
data, dan mengumpulkan transaksi untuk diproses selanjutnya.
Romney and Steinbart (2015), menegaskan bahwa pengendalian internal sering
dipisahkan menjadi dua kategori :
1. Pengendalian Umum memastikan pengendalian lingkungan dalam keadaan stabil dan
di kelola dengan baik. Contohnya mencakup keamanan, Infrastruktur TI, dan akuisisi
perangkat lunak, pengembangan, dan pemeliharaan.
2. Pengendalian Aplikasi mencegah, mendeteksi, dan memperbaiki kesalahan transaksi
dan fraud dalam program aplikasi. Pengendalian aplikasi berkaitan dengan akurasi,
kelengkapan, keabsahan, dan otorisasi dari data yang diambil, dimasukkan, diproses,
disimpan, dikirimkan ke sistem lain, dan dilaporkan.
Robert Simons, seorang professor bisnis Harvard, telah menganut empat kaitan
pengendalian untuk membantu manajemen nyelesaikan konflik di antara kreatifitas dan
pengendalian.
a) Sistem kepercayaan (Belief system) menjelaskan cara sebuah perusahaan
menciptakan nilai, membantu pegawai memahami visi manajemen, mengomunikasikan
nilai-nilai dasar perusahaa, dan menginspirasi pegawai untuk bekerja berdasarkan nilai
tersebut.
b) Sistem batas (Boundary system) membantu pegawai bertindak secara etis dengan
membangun batas-batas dalam perilaku kepegawaian. Sistem tersebut tidak
memberitahukan secara langsung kepada pegawai apa yang dilakukan, tetapi mereka
didorong untuk menyelesaikan masalah secara kreatif dan memenuhi kebutuhan

2
pelanggan di samping memenuhi standar kinerja minimum, menghindari tindakan yang
dilarang, dan menghindari tindakan yang mungkin merusak reputasi mereka.
c) Sebuah sistem pengendalian diagnostic (diacnostic control system) mengukur,
mengawasi, dan membandingkan perkembangan perusahaan actual berdasarkan
anggaran dan tujuan kinerja. Umpan balik membantu manajemen mennyesuaikan dan
menyempurnakan input serta proses sehingga output di masa depan makin mendekati
tujuan yang diingin dicapai.
d) Sebuah sistem pengendalian interaktif (interactive control system) membantu
manajer untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan lebih
terlibat di dalam keputusan mereka. Data sistem interaktif diinterpretasikan dan
didiskusikan dalam pertemuan tatap muka para atasan,bawahan dan rekanan

2.3 Membandingkan Kerangka Pengendalian Internal

Dalam membandingkan kerangka pengendalian internal terdapat beberapa pendekatan


yang digunakan. Tiga pendekatan yang umum digunakan adalah sebagai berikut :

1. COSO Internal Control Integrated Framework


Commitee of Sponsoring Organization of the Treadway Commision (COSO) merupakan
suatu inisiatif gabungan yang terdiri dari american accounting, the american institute of
certified public accountants, the institute of internal auditor, the institute of management
accountants dan financial executive. Organisasi ini didirikan untuk menyumbangkan
contoh pemikiran melalui pengembangan kerangka dan panduan dalam manajemen resiko
perusahaan, pengendalian internal dan mencegah terjadinya kerugian.
Model COSO terdiri atas lima komponen pengendalian internal sebagai berikut:
Pengendalian Lingkungan (Control Environment)
Komponen ini merupakan pondasi awal untuk pengembangan Sistem Internal Controls
dengan menyediakan disiplin dan struktur yang bersifat fundamental. Hal ini
diantaranya mencakup: Integritas dan Nilai Etika, Komitmen terhadap Kompetensi.

Penilaian Risiko (Risk Assessment)


Terdiri dari identifikasi risiko dan analisis risiko. Identifikasi risiko merupakan
pengujian terhadap faktor-faktor eksternal seperti perkembangan teknologi, persaingan,
dan perubahan ekonomi. Factor internal diantaranya kompetensi karyawan, sifat dari
aktivitas bisnis, dan karakteristik pengelolaan sistem informasi. Sedangkan Analisis

3
Risiko dilakukan dengan mengestimasi signifikansi risiko, menilai kemungkinan
terjadinya risik, dan bagaimana mengelola risiko tersebut.

Pengendalian Kegiatan (Control Activities)


Komponen ini berupa kegiatan, kebijakan, prosedur dan praktek yang menjamin
pencapaian tujuan institusi. Kegiatan ini memungkinkan pengambilan berbagai
tindakan yang diperlukan untuk mengelola risiko terhadap pencapaian tujuan
organisasi. Kegiatan pengendalian berlangsung di seluruh organisasi, semua tingkatan
dan pada semua fungsi yang ada.
Informasi dan Komunikasi (Communication and Information)
Sistem informasi dan komunikasi menangkap dan mendistribusikan informasi yang
diperlukan untuk melaksanakan, mengelola dan mengendalikan kegiatan operasional
organisasi

Pemantauan (Monitoring)
Keseluruhan proses harus dimonitoring dan dimidifikasi dilakukan bila diperlukan,
sehingga sistem dapat berubah jika kondisinya memerlukan demikian. Pemantuan
merupakan suatu proses yang menilai mutu sistem Internal Controls sepanjang waktu.

2. COSO Interprise Risk Management (ERM) Framework


Di tahun 2004, COSO mengeluarkan report Enterprise Risk Management Integrated
Framework, sebagai pengembangan COSO framework di atas. Kerangka pengendalian
COSO ERM yang komprehensif menggunakan pendekatan berbasis manajemen resiko
bukan berdasarkan pengendalian.
Pada dasarnya Enterprise Risk Management merupakan sebuah proses yang diterapkan
dalam penentuan strategi perusahaan, didesain untuk mengidentifikasi kemungkinan yang
potensial yang mungkin mempengaruhi entitas (perusahaan), dan mengelola risiko-risiko
dan kecenderungan risiko yang mungkin terjadi, untuk menyediakan jaminan yang layak
mengenai pencapaian tujuan entitas.

Manfaat dari penerapan Enterprise Risk Management :

1. Meningkatkan kemampuan sebuah perusahaan untuk dapat menyelaraskan risk appetite


dengan strategi dan arah kebijakan perusahaan sehingga dapat meningkatkan kualitas
keputusan yang diambil oleh manajemen perusahaan dalam merespon risiko.

4
2. ERM juga dapat mengidentifikasi dan mengelola risiko secara menyeluruh dan
karenanya dapat meminimalisasi kerugian operasional.

Ada Beberapa Elemen-Elemen dari ERM Framework :

1. Lingkungan Internal ( Internal Environment)


Hal ini menjadi penting karena pada dasarnya sistem manajemen risiko didesain oleh
lingkungan internal perusahaan (dalam hal ini manajemen dan karyawan). Lingkungan
internal terdiri dari banyak elemen, termasuk dari nilai yang dianut didalam sebuah
perusahaan, kompetensi dari sumber daya manusianya, gaya kepemimpinan,
mekanisme pengambilan keputusan, pola penentuan wewenang dan tanggung jawab.
Elemen dasar lingkungan pengendalian :
a. Filosofi, gaya operasi dan risk appetite dari manajemen
b. Dewan direksi
c. Komitmen terhadap integritas, nilai-nilai etika dan kompetensi
d. Struktur Organisasi
e. Metode yang digunakan dalam menetapkan otorisasi dan tanggung jawab
f. Standart kebijakan sumber daya manusia
g. Pengaruh Eksternal
2. Penetapan Sasaran Organisasi (Objective Setting)
Perusahaan harus menetukan apa sasaran strategis yang tepat dan menentukan ukuran
kinerja untuk menentukan apakah sasaran dan target kinerjanya dapat tercapai.
Penentuan sasaran organisasi meliputi empat aspek :
a. Sasaran strategi (strategi objective)
b. Sasaran Operasi (Operation Objective)
c. Sasaran Pelaporan ( Reporting Objective)
d. Sasaran Kepatuhan ( Compliance Objective)
3. Identifikasi Resiko
COSO mengidentifikasikan kejadian Kejadian/insiden yang berasal dari sumber
internal atau ekstenal yang mempengaruhi implementasi strategi / pencapaian sasaran.
Suatu kejadian mencerminkan suatu ketidakpastian , mungkin terjadi / mungkin tidak
terjadi. Manajemen harus mencoba untuk mengantisipasi semua kejadian.
4. Penilaian Resiko (Risk Assesment)
perusahaan dapat memprediksi seberapa besar potensi sebuah kejadian risiko dapat
mempengaruhi pencapaian tujuan. Suatu entitas tentunya menghadapi berbagai resiko

5
yang berasal dari internal maupun eksternal yang akan berpengaruh terhadap
pencapaian tujuan perusahaan. Resiko yang melekat (inherent risk) merupakan resiko
yang sudah melekat sebelum melakukan pengendalian apapun. Resiko residual
(Residual risk) merupakan resiko yang bisa diketahui setelah manajemen melakukan
pengendalian internal.
5. Aktivitas Pengendalian ( Control Activities)
Aktivitas pengendalian berupa kebijakan dan prosedur yang memberikan keyakinan
yang memadai bahwa sasaran pengendalian dapat terpenuhi dan respon terhadap resiko
telah dijalankan.
6. Informasi Dan Berkomunikasi ( Information and communication)
Informasi dan komunikasi terkait langsung dengan tujuan utama sistem informasi
akuntansi yakni untuk mendapatkan, mencatat, memproses,menyimpan dan
menginformasikan kepada organisasi.
7. Pemantauan (Monitoring)
ERM harus secara berkala dimonit dan dimodifikasikan bila diperlukan dan
kekurangan-kekurangan nya harus di informasikan kepada manajemen. Dengan metode
pemantauan :
a. Melaksanakan Evaluasi atas ERM
b. Menerapkan supervisi yang efektif
c. Menggunakan sistem akuntansi pertanggung jawaban
d. Memonitoring aktivitas sistem
e. Melacak pembelian piranti lunak dan piranti mobile
f. Melakukan audit secara berkala
g. Mempekerjakan pegawai khusus yang menangani keamanan komputer dan
memiliki chief compliance officer
h. Menugaskan spesialis/ ahli forensik
i. Memasang piranti lunak yang mampu mendeteksi kecurangan
j. Membuka fraud hotline

3. COBIT Framework

6
Control Objectives for Information and Related Technology atau CoBIT adalah proses
yang sedang dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian
dari Information System Audit and Control Association (ISACA) untuk membantu
perusahaan dalam mengelola sumber daya teknologi informasi. Control Objective for
Information & Related Technology (COBIT) adalah sekumpulan dokumentasi best
practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan
manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-
masalah teknis IT (Sasongko, 2009).

Definisi Pengendalian Internal menurut COBIT

COBIT mengadopsi definisi pengendalian dari COSO yaitu : Kebijakan, prosedur, dan
praktik, dan struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar
bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah atau
dideteksi dan diperbaiki. Sedangkan COBIT mengadaptasi definisi tujuan pengendalian
(control objective) dari SAC yaitu : Suatu pernyataan atas hasil yang diinginkan atau

7
tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam
aktivitas IT tertentu.

Sudut Pandang CoBIT tentang Pengendalian Internal :

Pengguna Utama
a. Manajemen : Menjadi acuan bagi manajemen untuk melakukan praktik
pengamanan dan pengendalian dari lingkungan informasi teknologi (IT).
b. User : Digunakan bagi para pengguna untuk memastikan terdapat pengamanan dan
pengendalian.
c. Audit : Digunakan bagi para auditor untuk menghasilkan opini audit serta untuk
memberikan masukan-masukan dalam hal yang terkait keamanan dan pengendalian
IT.
Tujuan pengendalian internal bagi organisasi
a. Operasi yang efektif dan efisien : Operasi dapat dikatakan EFEKTIF jika informasi
yang diperoleh relevan dan berkaitan dengan proses bisnis yang ada dan juga dapat
diperoleh tepat waktu, benar, konsisten serta bermanfaat. Dikatakan EFISIEN jika
dalam penyediaan informasi melalui sumber daya (yang paling produktif dan
ekonomis) dapat optimal.
b. Kerahasiaan : Menyangkut perhatian atas perlindungan informasi yang sensitif dari
pihak-pihak yang tidak berwenang.
c. Integritas : Berkaitan dengan akurasi dan kelengkapan dari informasi dan juga
validitasnya sesuai dengan nilai-nilai dan harapan bisnis.
d. Ketersediaan Informasi : Informasi harus dapat tersedia ketika dibutuhkan oleh
suatu proses bisnis baik sekarang maupun dimasa yang akan datang. Hal ini juga
terkait dengan pengamanan atas sumber daya yang perlu dan adanya kemampuan
yang terikat.
e. Pelaporan Keuangan yang handal : Dengan pemberian informasi keuangan yang
tepat bagi manajemen untuk mengoperasikan perusahaan dan juga untuk memenuhi
kewajiban dalam membuat pelaporan keuangan.
f. Ketaatan pada ketentuan hukum dan peraturan : Berhubungan dengan pemenuhan
sesuai dengan ketentuan hukum, peraturan dan perjanjian kontrak dimana dalam hal
ini proses bisnis dianggap sebagai subjek.
Domain
Planning and Organization
8
Domain ini mencakup strategi serta taktik atas identifikasi bagaimana IT secara
maksimal dapat berkontribusi dalam pencapaian tujuan bisnis. Selain itu, realisasi
dari visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk berbagai
perspektif yang berbeda. Ditambah dengan pengorganisasian yang baik dengan
menempatkan infrastruktur teknologi ditempat yang semestinya.
PO1 Tentukan rencana teknologi informasi strategis
PO2 Tentukan arsitektur informasi
PO3 Tentukan arah teknologi
PO4 Tentukan organisasi TI dan hubungan
PO5 Mengelola investasi di bidang teknologi informasi
PO6 Berkomunikasi tujuan manajemen dan arah
PO7 Mengelola sumber daya manusia
PO8 Memastikan kepatuhan dengan persyaratan eksternal
PO9 Menilai risiko
PO10 Mengelola proyek
PO11 Mengelola kualitas
Acquisition & Implementation
Agar tercapainya strategi IT, solusi IT harus diidentifikasi, dikembangkan,
diimplementasikan dan terintegrasi dengan baik ke dalam proses bisnis. Selain itu,
perubahan serta pemeliharaan sistem yang ada harus dicakup dalam domainini
untuk memastikan bahwa siklus hidup akan terus berlangsung untuk sistem-sistem
ini.
AI1 Mengidentifikasi solusi otomatis
AI2 Memperoleh dan memelihara perangkat lunak aplikasi
AI3 Memperoleh dan memelihara infrastruktur teknologi
AI4 Mengembangkan dan memelihara prosedur IT
AI5 Memenuhi Sumber Data TI
AI6 Mengelola perubahan
AI7 Instalasi dan mengakreditasi sistem beserta perubahannya
Delivery & Support
Domain ini memberikan fokus utama pada aspek penyampaian IT. Dalam delivery
and support tercakup area-area seperti pengaplikasian aplikasi-aplikasi dalam
sistem IT dan hasilnya, dan juga, proses dukungan yang memungkinkan

9
pengoperasian sistem IT tersebut dengan efektif dan efisien. Proses dukungan ini
termasuk isu tentang keamanan dan pelatihan.
DS1 mendefinisikan dan mengelola tingkat layanan
DS2 Mengelola layanan pihak ketiga
DS3 Mengelola kinerja dan kapasitas
DS4 Memastikan layanan yang berkelanjutan
DS5 Pastikan sistem keamanan
DS6 Mengidentifikasi dan mengalokasikan biaya
DS7 Mendidik dan melatih pengguna
DS8 Mengelola service dan insiden
DS9 Mengelola konfigurasi
DS10 Mengelola permasalahan
DS11 Mengelola Data
DS12 Mengelola Fasilitas
DS13 Mengelola operasi
Monitoring
Semua proses IT perlu dinilai secara teratur sepanjang waktu untuk dapat menjaga
kualitas dan pemenuhan atas syarat pengendalian. Domain ini menunjuk pada
perlunya pengawasan manajemen atas proses pengendalian dalam organisasi serta
penilaian independen yang dilakukan oleh auditor internal maupun eksternal, atau
dapat diperoleh dari sumber-sumber alternatif lainnya.
M1 Mengawasi dan mengevaluasi kinerja TI
M2 Mengawasi dan mengevaluasi control internal
M3 Memastikan pemenuhan terhadap kebutuhan eksternal
M4 Menyediakan tata kelola TI

Tujuan utama yang diharapkan dari adanya CoBIT yaitu agar perusahaan mampu
meningkatkan nilai tambah dalam bidang IT dan dapat mengurangi risiko-risiko inheren yang
ada didalamnya.

Tujuan diluncurkan COBIT adalah untuk mengembangkan, melakukan riset dan


mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date
untuk digunakan dalam kegiatan bisnis sehari-hari.

10
Perbedaan COSO dan COBIT

COSO CoBIT
Fokus Pengguna Manajemen manajemen, operator dan
auditor sistem informasi.
Sudut Pandang kesatuan beberapa proses kesatuan beberapa proses
secara umum yang terdiri atas kebijakan,
prosedur, penerapan serta
struktur organisasi
Tujuan yang ingin dicapai pengoperasian sistem yang pengoperasian sistem yang
efektif dan efisien, efektif dan efisien,
pelaporan laporan keuangan kerahasiaan, kesatuan dan
yang handal serta ketersediaan informasi yang
kesesuaian dengan peraturan dilengkapi dengan sistem
yang berlaku pelaporan keuangan yang
handal disesuaikan dengan
peraturan yang berlaku
Komponen/domain pengendalian atas perencanaan dan
lingkungan, manajemen pengorganisasian, pemaduan
resiko, pengawasan serta dan penerapan, pengawasan
pengendalian atas aktivitas atas dukungan serta
informasi dan komunikasi pendistribusian

PERSAMAAN COSO dan CoBIT

a. Seluruh tujuan dari framework CoBIT, eSAC dan COSO adalah pengendalian serta
pengawasan atas proses dan lingkungan.
b. Pertanggungjawaban ditujukan pada manajemen.
c. Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku

11