Sistem Informasi Dan Pengendalian Internal
Sistem Informasi Dan Pengendalian Internal
Oleh Kelompok 4 :
Ni Putu Indah Muliantari 1707611005
Ida Bagus Surya Purwitha 1707611008
Putu Shaini Kusuma Sudarmawan 1707611011
Ida Ayu Widyawati 1707611013
Pengendalian internal adalah proses yang diterapkan untuk menghasilkan tingkat keyakinan
yang memadai agar tujuan pengendalian berikut dapat terpenuhi:
Pengendalian internal merupakan suatu proses, karena melekat ke dalam aktivitas operasional
organisasi dan merupakan bagian yang tak terpisahkan dari aktivitas manajemen. Pengendalian
internal hanya mampu memberikan tingkat keyakinan yang memadai; keyakinan absolut sangat
sulit untuk dicapai dan memerlukan biaya yang sangat tinggi. Selain itu, sistem pengendalian
internal juga memiliki keterbatasan yang melekat, seperti misalnya kemungkinan terjadinya
kesalahan-kesalahan kecil, pertimbangan dan pengambilan keputusan yang tidak tepat, dominasi
manajemen, dan bahkan kolusi.
Mengembangkan sistem pengendalian internal memerlukan pemahaman yang menyeluruh
atas kapabilitas dan risiko dari teknologi informasi (IT), demikian pula halnya dengan bagaimana
menggunakan TI utuk mencapai pengendalian internal organisasi. Akuntan dan pengembangan
sistem sistem membantu manajemen dalam mecapai tujuan pengendalian dengan cara : (1)
merancang sistem pengendalian yang efektif sehingga dapat mengambil pendekatan proaktif untuk
menghilangkan ancaman terhadap sistem serta medeteksi, mengoreksi dan memulihkan dari
ancaman tersebut ketika terjadi; dan (2) memudahkan manajemen untuk membangun
pengendalian ke dalam suatu sistem pada tahap perancangan awal dibandingkan dengan
menambahkannya setelah ancaman tersebut terjadi.
Pengendalian internal menjalankan tiga fungsi penting :
1. Pengendalian preventif untuk mencegah masalah sebelum terjadi. Misalnya mempekerjakan
personil yang memiliki keahlian, membagi wewenang karyawan, dan mengendalikan akses
fisik atas aset dan informasi.
2. Pengendalian detektif untuk menemukan masalah yang tidak dapat dicegah. Misalnya
pengecekan ulang atas penghitungan dan penyusunan rekonsiliasi bank dan neraca saldo
bulanan.
3. Pengendalian korektif untuk mengidentifikasi dan memperbaiki masalah serta memperbaiki
dan memulihkannya dari kesalahan yang terjadi. Misalnya mengarsip salinan dokumen,
mengoreksi input data yang salah, dan memasukkan ulang transaksi untuk pemrosesan
berikutnya.
Pengendalian internal dikategorikan dalam dua kategori :
1. Pengendalian umum untuk memastikan lingkungan pengendalian dari suatu organisasi stabil
dan dikelola dengan baik. Contohnya termasuk keamanan, infrastruktur TI, serta perolehan,
pengembangan dan perawatan piranti lunak.
2. Pengendalian internal untuk memastikan transaksi telah diproses dengan benar. Pengendalian
aplikasi untuk memastikan transaksi telah diproses dengan benar. Pengendalian aplikasi
menekan pada akurasi, kelengkapan, validitas, dan otorisasi data yang diperoleh, dimasukkan,
diproses, disimpan, dipindahkan ke sistem lain, serta dilaporkan.
Robert Simons dalam Romney dan Steinbart (2012), mengemukakan empat level
pengendalian untuk membantu manajemen dalammengatasi konflik antara kreativitas dan
pengendalian. Keempat level tersebut adalah :
1. Belief system menggambarkan bagaimana suatu organisasi menciptakan nilai, membantu para
pegawainya dalam memahami visi manajemen, mengkomunikasikan nilai dasar dari organisasi
tersebut dan mengaspirasi pegawainya untuk menerapkan nilai-nilai tersebut.
2. Boundary system membantu para pegawai agar dapat bertindak etis dengan menetapkan
batasan batsan atas perilaku pegawai. Pegawai tidak harus diberitahu apa yang harus mereka
lakukan, melainkan mereka didorong secara kreatif menyelesaikan masalah dan memenuhi
kebutuhan pelanggan sembari memenuhi standar kinerja minimumnya dan menghindari
tindakan-tindakan yang mungkin dapat merusak reputasi mereka.
3. Diagnostic control system mengukur, memonitor dan membandingkan kemajual aktual
perusahaan dengan anggaran dan target kinerjanya. Umpan balik dapat membantu manajemen
untuk menyesuaikan dan memberbaiki input dan proses sehingga output di masa mendatang
dapat memenuhi target kinerja yang diinginkan.
4. Interactive control system membantu manajemen untuk memusatkan perhatian dari
bawahannya hanya ke isu-isu strategis dan lebih terlibat dalam proses pengambilan keputusan.
Data sistem interaktif diinterpretasikan dan dibahas secara tatap muka dalam suatu rapat antara
atasan, bawahan dan rekan sejawatnya.
2. Mengapa Pengendalian Berbasis Teknologi Informasi Dan Keamanan Diperlukan
Romney and Steinbart (2015), menjelaskan bahwa pengembangan sebuah sistem pengendalian
internal mengharuskan pemahaman atas kapabilitas dan resiko teknologi informasi, maupun cara
menggunakan teknologi informasi untuk mencapai tujuan pengendalian organisasi. Akuntan dan
para pengembang sistem membantu manajemen dalam mencapaii tujuan pengdalian organisasi
melalui (1) mendesain sistem pengandalian yang efektif yang menggunakan pendekatan yang
proaktif untuk menghilangkan ancaman terhadap sistem serta mendeteksi, memperbaiki dan
memulihkan kembali sistem ketika terjadi ancaman, dan (2) membuat sistem mudah untuk
membangun pengendalian kedalam sebuah sistem pada tahap desain awal daripada menambahkan
fitur – fitur dalam sistem setelah digunakan.
Pengendalian intern melakukan tiga fungsi penting (Romney and Steinbart, 2015) :
1. Pengendalian Preventif mencegah masalah sebelum mereka muncul. Contohnya termasuk
mempekerjakan personil yang berkualitas, memisahkan tugas karyawan, dan mengendalikan
akses fisik ke aset dan informasi.
2. Pengendalian Detektif menemukan masalah yang tidak dicegah. Contohnya termasuk duplikat
pemeriksaan perhitungan dan mempersiapkan rekonsiliasi bank dan saldo pemeriksaan
bulanan.
3. Pengendalian Korektif mengidentifikasi dan maupun memperbaiki dan memulihkan kembali
sistem akibat error serta benar dan pulih dari kesalahan yang dihasilkan. Contohnya termasuk
menjaga salinan cadangan dari file, mengoreksi kesalahan entri data, dan mengumpulkan
transaksi untuk diproses selanjutnya.
Romney and Steinbart (2015), menegaskan bahwa pengendalian internal sering dipisahkan
menjadi dua kategori :
1. Pengendalian Umum memastikan pengendalian lingkungan dalam keadaan stabil dan di kelola
dengan baik. Contohnya mencakup keamanan, Infrastruktur TI, dan akuisisi perangkat lunak,
pengembangan, dan pemeliharaan.
2. Pengendalian Aplikasi mencegah, mendeteksi, dan memperbaiki kesalahan transaksi dan fraud
dalam program aplikasi. Pengendalian aplikasi berkaitan dengan akurasi, kelengkapan, keabsahan,
dan otorisasi dari data yang diambil, dimasukkan, diproses, disimpan, dikirimkan ke sistem lain,
dan dilaporkan.
3. Membandingkan Kerangka Pengendalian Internal
Dalam mengembangkan kerangka pengendalian internal terdapat beberapa pendekatan yang
digunakan. Tiga pendekatan yang umumnya digunakan adalah sebagai berikut:
1. COBIT Framework
Information System Audit and Control Association (IASACA) mengembangkan kerangka
Control Objective for Information and Related Technology (COBIT). COBIT menyusun
standar pengendalian dari 36 sumber yang berbeda ke dalam suatu kerangka tunggal yang
memungkinkan untuk (1) menjadi acuan bagi manajemen untuk melakukan praktik
pengamanan dan pengendalian dari lingkungan teknologi informasi (TI), (2) digunakan
bagi para pengguna untuk mrmastikan terdapat pengamanan dan pengendalian TI yang
memadai, dan (3) digunakan oleh para auditor untuk menghasilkan opini audit serta untuk
memberikan masukan-masukan dalam hal yang terkait dengan keamanan dan
pengendalian TI.
1. Sasaran bisnis. Untuk memenuhi sasaran-sasaran bisnis, informasi harus sesuai dengan
tujuh kategori kriteria pengendalian yang ditetapkan oleh Committee of Sponsoring
Organization (COSO);
2. Sumber daya TI. Hal ini mencakup orang, system aplikasi, teknologi, fasilitas, dan data;
3. Proses TI. Terbagi ke dalam empat aspek, yakni perencanaan dan organisasi, akuisisi dan
implementasi, pelaksanaan dan dukungan, serta monitoring dan evaluasi.
Produk yang telah dihasilkan oleh COSO antara lain Internal Control – Integrated
Framework(1992) dan Enterprise Risk Management – Integrated Framework (1994). Indonesia
mengadopsi Internal Control – Integrated Framework (1992) dalam Peraturan Pemerintah Nomor
60 Tahun 2008 mengenai Sistem Pengendalian Intern Pemerintah. Dalam perkembangannya
COSO telah mengeluarkan kerangka IC terbaru yaitu Internal Control – Integrated
Framework (2013) untuk menggantikan kerangka IC yang lama.
Tujuan dari IC terdiri dari operations, reporting, dan compliance dapat dijelaskan sebagai
berikut:
1. Operations Objectives.
Tujuan operasional terkait dengan pencapaian visi, misi, dan tujuan didirikannya entitas.
Tujuan ini terkait dengan peningkatan financial performance, produktivitas,
kualitas, enviromental practices, return of assets, dan likuiditas. Salah satu tujuan yang terkait
dengan tujuan operasional adalah Pengamanan Aset. Entitas dapat menentukan tujuan yang
terkait dengan pencegahan kehilangan aset serta secara periodik mendeteksi dan melaporkan
kehilangan aset.
2. Reporting Objectives.
Tujuan pelaporan berkaitan dengan penyusunan laporan untuk digunakan oleh organisasi dan
stakeholders dalam hubungannya dengan pelaporan finansial/non-finansial serta pelaporan
eksternal/internal. Karakteristik dari pelaporan finansial/non-finansial eksternal adalah
disesuaikan dengan aturan dan kebutuhan eksternal, dipersiapkan sesuai dengan standar
eksternal, dan mungkin diharuskan menurut regulator, kontrak, dan perjanjian. Sedangkan
karakteristik pelaporan finansial/non-finansial internal adalah digunakan dalam pengambilan
keputusan dan pengelolaan bisnis serta ditetapkan oleh manajemen dan board.
3. Compliance Objectives.
Aturan dan hukum merupakan standar minimal dari perilaku organisasi. Organisasi diharapkan
akan menggabungkan standar tersebut ke dalam tujuan dari entitas, bahkan organisasi dapat
menetapkan standar yang lebih tinggi daripada yang ditetapkan oleh hukum dan peraturan.
Satu tujuan dan tujuan lainnya dapat saling tumpang tindih atau saling membantu. Misalnya
dalam hal pelaporan keuangan, dapat menjadi dasar bagi manajemen dalam melakukan review
dalam kinerja operasionalnya serta kepatuhannya terhadap aturan. Selain itu, pengamanan aset
yang merupakan salah satu contoh tujuan operasional juga berpengaruh terhadap ketepatan
jumlah aset dalam pelaporan. Sehingga dapat disimpulkan bahwa penetapan tujuan-tujuan ini
tetap saling berkesinambungkan, tapi tetap bergantung dengan situasi yang ada.
Selain tujuan, IC juga memiliki lima komponen serta 17 prinsip. Komponen dalam IC adalah
sebagai berikut:
Control Environment.
Lingkungan pengendalian adalah rangkaian standar, proses dan struktur yang menjadi dasar dalam
pelaksanaan IC di seluruh organisasi. Terdapat lima prinsip yang terkait dengan komponen ini
yaitu:
Risk Assessment.
Penilaian risiko melibatkan proses yang dinamis dan berulang untuk mengidentifikasi dan
menganalisis risiko untuk mencapai tujuan, serta membentuk dasar mengenai bagaimana risiko
harus dikelola. Terdapat empat prinsip yang berkaitan dengan komponen ini yaitu:
Terkait dengan pengelolaan risiko, COSO telah mengeluarkan kerangka tersendiri mengenai
Enterprise Risk Management – Integrated Framework (2004)
Control Activities.
Aktivitas Pengendalian merupakan tindakan yang ditetapkan dengan prosedur dan kebijakan untuk
meyakinkan bahwa manajemen telah mengarah untuk memitigasi risiko dalam rangka pencapaian
tujuan. Terdapat tiga prinsip dalam komponen ini yaitu:
Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi terhadap
mitigasi risiko sampai pada tingkat yang dapat diterima dalam rangka pencapaian tujuan.
Organisasi memilih dan mengembangkan aktivitas pengendalian secara umum terkait
teknologi dalam rangka pencapaian tujuan.
Organisasi menyebarkan aktivitas pengendalian melalui kebijakan dan prosedur dalam
pengimplementasiannya.
Informasi diperlukan dalam rangka pelaksanaan tanggung jawab IC nya dalam rangka pencapaian
tujuan. Sedangkan komunikasi terjadi baik secara internal maupun eksternal dengan menyediakan
informasi yang diperlukan dalam rangka pelaksanaan IC sehari-hari. Terdapat tiga prinsip dalam
komponen ini yaitu:
Organisasi memperoleh dan menggunakan informasi yang berkualitas dan relevan dalam
rangka mendukung fungsi dari komponen lain dalam IC.
Organisasi secara internal mengomunikasikan informasi, termasuk tujuan dan tanggung jawab
IC dalam rangka mendukung fungsi dari komponen lain dari IC.
Organisasi berkomunikasi dengan pihak eksternal terkait hal yang mempengaruhi fungsi dari
komponen lain dalam IC.
Monitoring Activity.
Evaluasi berkelanjutan, terpisah, atau kombinasi keduanya untuk memastikan seluruh komponen
IC ada dan berfungsi. Terdapat dua prinsip dalam komponen ini yaitu:
Keterbatasan yang pertama adalah kondisi awal sebelum dibangunnya IC. IC tidak bisa
mencakup seluruh kegiatan yang dilakukan oleh organisasi. Salah satu hal yang tidak dicakup
adalah pra-kondisi entitas sebelum IC diterapkan. Kelemahan entitas dalam memilih,
mengembangkan, dan mengevaluasi manajemen dapat membatasi kemampuannya dalam
melakukan pengawasan terhadap IC. Selain itu tidak tepatnya proses penetapan strategi dan
tujuan akan mengakibatkan pemilihan tujuan yang tidak realistis, tidak tepat, dan tidak spesifik.
2. Judgement.
Keterbatasan kedua adalah fakta bahwa penilaian manusia dalam pengambilan keputusan bisa
keliru. Manusia memiliki kelemahan dalam mengambil keputusan bisnis yang berdasarkan
pada waktu, informasi yang terbatas, serta di bawah tekanan, sehingga bisa menghasilkan
keputusan (penilaian) yang tidak tepat dan perlu diubah.
3. Breakdowns.
Keterbatasan ketiga adalah kerusakan yang dapat terjadi karena kesalahan pegawai. Sistem IC
yang baik bisa mengalami kerusakan. Personel mungkin dapat salah memahami instruksi,
melakukan kesalahan, atau memiliki terlalu banyak tugas
4. Management Override.
Keterbatasan keempat adalah kemampuan manajemen untuk mengabaikan IC. Entitas dengan
sistem pengendalian internal yang efektif masih mungkin untuk memiliki manajer yang
mengesampingkan IC.
5. Collusion
Keterbatasan kelima adalah kemampuan manajemen, personel lain, dan pihak ketiga untuk
melakukan kolusi. Kolusi dapat mengakibatkan defisiensi dalam IC. Individu yang beraksi
secara bersama-sama dapat menyembunyikan tindakan kecurangan dan mengubah informasi
keuangan atau lainnya sehingga tidak dapat dicegah dan dideteksi oleh IC.
Dengan terbitnya Internal Control – Integrated Framework Tahun 2013, terjadi beberapa
perubahan dibandingkan dengan Internal Control – Integrated Framework Tahun 1992.
Perubahan-perubahan yang terjadi secara umum antara lain:
1. Kerangka yang baru memberikan perhatian yang lebih besar pada prinsip. Prinsip-prinsip ini
dimaksudkan untuk profit companies, non-profit companies, badan pemerintah dan organisasi
lainnya. Komponen dan prinsip terdiri dari kriteria yang akan membantu manajemen untuk
menilai apakah entitas telah memiliki IC yang efektif.
2. Memperluas kategori reporting objectives dengan mempertimbangkan pelaporan eksternal di
luar pelaporan keuangan serta pelaporan internal baik keuangan maupun non-keuangan.
3. Menjelaskam peran penetapan tujuan, tidak hanya merupakan proses manajemen yang
dilakukan di pra-kondisi IC, tetapi diperluas dengan menentukan tujuan dengan
mempertimbangkan kesesuaiannya.
4. Memperluas konsep governance terutama yang terkait dengan board of directors, commitee of
the board, termasuk audit, kompensasi, nominasi, dan komite governance.
5. Mempertimbangkan globalisasi dengan mencakup perubahan dalam model operasi
manajemen, struktur legal entitas dan peran terkait, tanggung jawab dan akuntabilitas terkait
IC dalam unit dan sub-unit serta mempertimbangkan risiko internal terkait merger dan akuisisi.
6. Mempertimbangkan struktur organisasi dan model bisnis yang berbeda yang telah banyak
mengalami perubahan, tanggung jawab IC dari tiap model, dan pencapaian dalam efektivitas
IC.
7. Mempertimbangkan tuntutan dan kompleksitas dalam undang-undang, peraturan, dan standar
dengan mengakui peran regulator dan standard-setter dalam penetapan tujuan serta
menetapkan kriteria untuk menilai dan melaporkan defisiensi IC.
8. Mempertimbangkan ekspektasi yang lebih besar terhadap kompetensi dan akuntabilitas.
Organisasi bisa menggeser model operasi dengan mendelegasikan kewenangan dan
akuntabilitas yang lebih besar.
9. Mencerminkan peningkatan relevansi teknologi yang berpengaruh terhadap bagaimana
komponen IC dilaksanakan.
10. Memuat lebih banyak pembahasan mengenai fraud serta mempertimbangkan potensi fraud
sebagai prinsip IC.Selain perubahan-perubahan tersebut, terdapat juga perubahan-perubahan
dalam tata letak kerangka seperti tata letak chapter serta perubahan kunci yang terjadi pada
komponen IC.
c. Dewan Direksi
Dewan direksi yang terlibat mewakili pemegang saham dan memberikan tinjauan independen
terhadap manajemen yang bertindak sebagai check and balance dalam tindakannya. SOX
mengharuskan perusahaan publik untuk memiliki komite audit dari luar, direktur independen.
Komite ini bertanggung jawab untuk pelaporan keuangan, kepatuhan terhadap peraturan,
pengendalian internal, dan perekrutan dan mengawasi auditor internal dan eksternal, yang
melaporkan semua kebijakan dan praktik akuntansi.
d. Struktur organisasi.
Aspek penting dari struktur organisasi meliputi berikut :
Sentralisasi atau desentralisasi kewenangan
Hubungan pelaporan langsung atau matriks
Organisasi oleh industri, lini produk, lokasi, atau jaringan pemasaran
Bagaimana alokasi tanggung jawab memepengaruhi kebutuhan informasi
Organisasi dan garis wewenang untuk akuntansi, audit, dan fungsi sistem informasi
Ukuran dan sifat kegiatan perusahaan
e. Metode dalam menetapkan wewenang dan tanggung jawab.
Manajemen harus memastikan karyawan memahami tujuan dan sasaran, menetukan
kewenangan dan tanggungjawab untuk tujuan dan sasaran pada departemen dan individu,
mengendalikan akuntanbilitas individu untuk mencapai tujuan dan sasaran, serta mendorong
penggunaan inisiatif untuk memecahkan masalah. Kewenangan dan tanggungjawab
ditentukan dan dikomunikasikan menggunakan prsedur dan deskipsii pekerjaan formal,
pelatihan karyawan jadwal operasi, anggaran, kode pelaksanaan, serta prosedur dan kebjikan
tertulis. Kebijakan dan prosedur manual menjelaskan praktek-praktek bisnis yang tepat,
menggambarkan pengetahuan dan pengalama yang dibutuhkan, menjelaskan prosedur
dokumen, menjelaskan bagaiman menangani transaksi serta membuat daftar sumber daya yang
disediakan untuk mengerjakan tugas-tugas tertentu.
f. Standar SDM yang menarik mengembangkan dan mempertahankan orang-orang yang
kompeten. Salah satu kekuatan pengendalial terbesar adalah kejujuran karyawan; salah satu
kelemahan pengendalian terbesar adalah ketidakjujuran karyawan. Sumber daya (SDM)
kebijakan dan praktek sumberdaya manusia yang mengatur kondisi pekerjaan, insentif kerja,
dan kemajuan karir dapat menjadi kekuatan dalam mendorong kejujuran, efisiensi, dan
loyalitas pelayanan. Kebijakan SDM harus menyampaikan tingkat keahlian, kompetensi,
perilaku etis, dan integritas yang dibutuhkan.
g. Pengaruh Eksternal
Pengaruh eksternal termasuk ketentuan yang dihasruskan oleh otoritas bursa, penyusun standar
akuntansi keuangan, badan pengawas pasar modal, dan pemerintah. Selain itu, pengaruh
eksteranl juga termasuk ketentuan yang dikeluarkan oleh regulator industri.
8. Risk Response
Romney and Steinbart (2015), menegaskan bahwa untuk menyelaraskan risiko diidentifikasi
dengan toleransi perusahaan terhadap risiko, manajemen harus menggunakan pandangan yang luas
tentang risiko. Mereka harus menilai kemungkinan risiko dan dampak serta biaya dan manfaat dari
respon alternatif. Manajemen dapat merespon risiko dalam salah satu dari empat cara :
a. Mengurangi kemungkinan dan dampak risiko dengan menerapkan sistem pengendalian intern
yang efektif.
b. Menerima kemungkinan dan dampak risiko.
c. Membagi risiko atau mentransfer ke orang lain dengan membeli asuransi, outsourcing
aktivitas, atau memasukkannya ke dalam transaksi yang terlindungi.
d. Menghindari risiko dengan tidak terlibat dalam kegiatan yang menghasilkan risiko.
9. Aktivitas Pengendalian
Aktivitas pengendalian berupa kebijakan dan prosedur yang memberikan keyakinan yang
memadai bahwa sasaran pengendalian dapat terpenuhi dan respon terhadap resiko telah dijalankan.
Merupakan tanggung jawab bagi manajemen untuk mengembangkan sistem yang aman dan
memadai. Manajemen menetapkan dan menjalankan seperangkat prosedur untuk memastikan
kepatuhan dan pelaksanaan pengendalian internal.
Prosedur akitivitas pengendalian terdiri dari tujuh kategori berikut :
a. Otorisasi atas transaksi dan aktivitas secara memadai
b. Pemisahan tugas
c. Pengendalian atas pengembangan proyek dan akuisisi
d. Pengendalian atas manajemen perubahan
e. Perancangan dan penggunaan dokumen dan catatan-catatan
f. Perlindungan atas aset, catatan dan data
g. Pemeriksaan dan pengerjaan secara independen
DAFTAR PUSTAKA