Risiko (risk) dan Kontrol (control) berkaitan dengan exposures. Kata exposures itu sendiri
menurut The English Oxford Dictionary adalah berasal dari kata expose yang berarti uncover
make visible atau leave unprotected. Sedangkan kata risiko (risk) is the probability of
occurance. Controls are need to reduce exposures. Risiko yang dihadapi pada sistem
berbasis teknologi informasi lebih rumit dan perlu didesain dengan metoda yang berbeda
dibanding sistem secara manual.
Dalam kehidupan sehari hari kita menghadapi exposures tersebut, misalnya : kehilangan
sesuatu, terlalu boros, kecelakaan, bahkan salah memutuskan arah yang kita tuju. Bagi
perusahaan, exposures yang dihadapi misalnya adalah terjadinya kelalaian (kesalahan) atau
kecurangan (penyalahgunaan), kesalahan pencatatan/pelaporan keuangan, kehilangan asset
perusahaan, piutang tak tertagih, pengeluaran yang melebihi seharusnya, kinerja perusahaan
dibawah standar, dan sebagainya.
Berbagai bentuk exposures yang terjadi (common exposures) bagi suatu perusahaan antara
lain adalah sebagai berikut :
Mengenai jenis jenis risiko, dalam bukunya yang berjudul Accounting Information
System, F.L. Jones dan D.V. Rama (2003,p127-134) tidak membahas masalah business risk,
tetapi menyebut risiko pelaksanaan (execution risks) yang mungkin lebih sempit ruang
lingkupnya. Jones dan Rama berpendapat risiko pada hakekatnya dapat dikelompokkan
kedalam 4 jenis risiko, yaitu :
1. Execution risk 4. Performance risk
2. Information risk 5. IT Security Risks
3. Asset protection risk 6. Continuity Risks
Data
Data ialah fakta tentang peristiwa atau kenyataan lain yang mendukung suatu
pengetahuan untuk dijadikan dasar guna penyusunan keterangan, pembuatan kesimpulan dan
penetapan keputusan.
Informasi
Informasi adalah daya yang telah diolah menjadi suatu bentuk yang sesuai dengan
keinginan. Data merupakan bahan yang diolah menjadi suatu bentuk yang lebih berguna dan
lebih mempunyai arti, sedangkan informasi adalah hasil pengolahan data, sehingga
bertambah kegunaannya dan dapat dipakai untuk suatu tujuan tertentu atau untuk analisis dan
pengambilan keputusan. Biasanya informasi terdiri dari processed data, selected data, atau
sorted data yaitu data yang terpilih atau terpilih, tergabung dan disusun sesuai dengan
kebutuhan pemakai data, masalah, waktu dan fungsinya.
Dampak Komputerisasi
Pada saat ini telah terjadi perubahan-perubahan didalam komponen/sumber daya
system informasi. Jika penerapan computer sudah penuh dan cara manual sudah betul-betul
ditinggalkan, maka perlu perubahan-perubahan yang terjadi cukup drastis.
a. Perubahan struktur Organisasi
b. Resiko Sistem Berbasis Komputer
Berbagai resiko koumpterisasi pada sistem yang perlu diwaspadai :
Penggunaan Teknologi secara tidak layak
Kesalahan berantai atau penanggulangan kesalahan secara cepat dan konsisten.
Logika pengolahan yang salah
Ketidakmampuan sistem analis dalam menerjemahkan kebutuhan calon pemakai.
Konsentrasi data pada satu lokasi atau satu orang.
Konsentrasi tanggung jawab pada petugas teknis komputer
Kerusakan sistem komunikasi dapat melumpukan operasi perusahaan bila dari awal
tidak dipersiapkan sistem cadangan.
Data input tidak akurat, kurang mutakhir, palsu, dan tidak segera dapat dideteksi atau
dikoreksi seperti hanya sistem tradisional.
Kemungkinan kerusakan data/informasi.
Penyalahgunaan komputer
Perubahan Proses
Perubahan ini mempunyai pengaruh yang cukup besar, karena komputer dapat
beroperasi dengan lebih cepat, konsistensi dan dalam waktu relative tidak terbatas. Jika yang
berkerja manusia, maka makin lama akan makin lelah dan cenderung dapat membuat
kesalahan, karena mentalnya melemah. Sedangkan komputer tidak mempunyai mental, hanya
mempunyai mental sehingga salah kalau komponennya saja yang rusak.
PERUBAHAN AUDIT
Komputerisasi memang secara mendasar merubah desain sistem informasi, maupun
struktur pengendalian internnya. Misalnya, bukti jejak audit (audit trail) sebetulnya tetap
masih ada, tetapi banyak elemennya yang berubah. Secarta manual, jalur audit trail dari
laporan laporan yang dihasilkan ke catatan dan dokumen-dokumen dasar sebagai bukti
transaksi cukup jelas dan dapat diikuti atau ditelusuri jejaknya. Dalam siklus akuntansi
keuangann sistem akuntansi tradisional, data piutang pada neraca dapat dengan mudah
dilacak ke neraca lajur, kemudian ke buku besar, ke jurnal dan selanjutnya ke dokumen. Pada
sistem komputer, audit trail linkage menjadi lebih sulit dan bahkan sering suatu desain
komputerisasi dapat memotong jalur yang menunjukkan hubungan antara output dengan dari
mana inputnya. Dalam sistem informasi akuntansi berbasis komputer desainnya tidak harus
dengan jurnal ataupun buku besar. Mungkin saja data mentah pada suatu master file langsung
degenerate menjadi laporan akuntansi. Oleh karena itu didalam mendesain sistem informasi
akuntansi dan struktur pengendalian intern desainer harus mempertimbangkan aspek agar
sistem yang dihasilkan cukup baik, komprehensif, andal, dan dapat mengurangi resiko
informasi yang dihasilkan.
BAB 5
PENDAHULUAN
Suatu organisasi atau entitas bisnis/ perusahaan memerlukan system pengendalian intern
karena beberapa alasan sebagai berikut :
a. Kewajiban hokum, karena perusahaan memang diwajibkan oleh aturan atau peraturan-
peraturan legal (misalnya aturan Badan Pengelola Pasar Modal, atau bahkan Undang-
undang) untuk menyusun struktur pengendalian intern.
b. Struktur pengendalian intern perusahaan ialah kebutuhan/tanggung jawab direksi suatu
perusahaan.
Konsep klasik pada sistem manual tentang sistem pengendalian intern ialah :
Otorisasi
Otorisasi umum berarti bahwa manajemen menetapkan kebijakan yang dirumuskan untuk
dilaksanakan didalam organisasi. Contoh otorisasi umum adalah dikeluarkannya daftar harga
penjualan yang pasti untuk barang-barang yang akan dijual, jumlah kredit maksimum yang
dapat diberikan kepada pelanggan, dan penetapan saat pemesanan kembali secara otomatis
untuk melakukan setiap pembelian. Otorisasi khusus berlaku bagi transaksi tertentu.
Hubungan antara
Asersi Manajemen Tujuan Umum Audit
Keabsahan
1. Eksistensi/Keterjadian Kelengkapan
2. Kelengkapan Kepemilikan
3. Hak dan Kewajiban Penilaian, Klasifikasi,Pisah-
4. Penilaian/alokasi batas, akurasi-mekanis.
5. Penyajian dan Pengungkapan Pengungkapan.
Referensi Model
Referensi adalah acuan yang dapat kita pakai sebagai dasar pemikiran perancangan/
desain sistem pengendalian intern pada suatu organisasi tertentu. Ada beberapa framework/
model yang akan digunakan sebagai referensi, yaitu : COSO, CobIT, dan SAC. Beberapa
model lain, misalnya :
Menurut COSO, internal control adalah suatu proses, melibatkan seluruh anggota organisasi,
dana memiliki tiga tujuan utama, yaitu : efektivitas dan efisiensi operasi, mendorong
kehandalan laporan keuangan, dan dipatuhinya hukum dan peraturan yang ada.
Model (framework) COSO terdiri lima komponen yang salin berhubungan yang akan
menunjang pecpaian tujuan perusahaan yaitu :
a. Efektivitas e. Ketersediaan
b. Efisiensi f. Kepatuhan
c. Kerahasiaan g. Keakuratan Informasi
d. integritas
Kerangka kerja CobIT ini terdiri atas beberapa arahan (guidelines), yakni :
a. Control Objectives
b. Audit Guidelines
c. Managament Guidelines
Audit Sistem Informasi berbasis TI oleh internal auditor dapat dimulai dengan
menentukan area-area yang relevan dan berisiko tinggi, melalui analisis atas ke-34 proses
tersebut. Dalam penugasan tertentu (misalnya audit atas proyek Ti) dapat dimulai dengan
memilih proses yang relevan dari proses-proses tersebut. Auditor dapat memakai Audit
Guidelines sebagai tambahan materi untuk merancang prosedur audit. Auditor dapat
memeriksa apakah tiap-tiap high level control objective telah disusun/ditetapkan/ dijalankan,
apakah kriteria telah ditetapkan, dan apakah sudah mencakup aspek-aspek yang terkait.
SAC dikembangkan dan dikelola oleh the IIA Research Foundation. Sebagai organ/fungsi
pengendalian dalam organisi, para auditor internal (yang tergabung dalam IIA)
berkepenntingan untuk membantu top management dalam penilaian risiko dan pengendalaian
intern perusahaan.
SAC telah dikenal sejak tahun 2977 ketika SAC pertama diterbitkan oleh the Instittute
Auditors Research Foundation. Dalam pandangan SAC, pengendalian intern teknologi
informasi mencakup tiga area :