SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

Oleh Kelompok 4 :
Ni Putu Indah Muliantari 1707611005
Ida Bagus Surya Purwitha 1707611008
Putu Shaini Kusuma Sudarmawan 1707611011
Ida Ayu Widyawati 1707611013

PROGRAM PENDIDIKAN PROFESI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS UDAYANA
2017
1. Konsep Dasar Pengendalian Internal

Pengendalian internal adalah proses yang diterapkan untuk menghasilkan tingkat keyakinan
yang memadai agar tujuan pengendalian berikut dapat terpenuhi:

1. Perlindungan aset : mencegah atau mendeteksi perolehan,penggunaan atau perpindahan aset

secara tidak sah.
2. Menjaga catatan secara terinci agar dapat melaporkan aset-aset perusahaan secara akurat dan
wajar.
3. Memberikan informasi yang akurat dan andal.
4. Menyusun laporan keuangan yang sesuai dengan kriteria (standar) yang di haruskan.
5. Mendukung dan meningkatkan efisiensi operasi.
6. Mendorong kepatuhan terhadap kebijakan manajemen yang telah ditetepkan.
7. Mematuhi hukum dan peraturan yang berlaku.

Pengendalian internal merupakan suatu proses, karena melekat ke dalam aktivitas operasional
organisasi dan merupakan bagian yang tak terpisahkan dari aktivitas manajemen. Pengendalian
internal hanya mampu memberikan tingkat keyakinan yang memadai; keyakinan absolut sangat
sulit untuk dicapai dan memerlukan biaya yang sangat tinggi. Selain itu, sistem pengendalian
internal juga memiliki keterbatasan yang melekat, seperti misalnya kemungkinan terjadinya
kesalahan-kesalahan kecil, pertimbangan dan pengambilan keputusan yang tidak tepat, dominasi
manajemen, dan bahkan kolusi.
Mengembangkan sistem pengendalian internal memerlukan pemahaman yang menyeluruh
atas kapabilitas dan risiko dari teknologi informasi (IT), demikian pula halnya dengan bagaimana
menggunakan TI utuk mencapai pengendalian internal organisasi. Akuntan dan pengembangan
sistem sistem membantu manajemen dalam mecapai tujuan pengendalian dengan cara : (1)
merancang sistem pengendalian yang efektif sehingga dapat mengambil pendekatan proaktif untuk
menghilangkan ancaman terhadap sistem serta medeteksi, mengoreksi dan memulihkan dari
ancaman tersebut ketika terjadi; dan (2) memudahkan manajemen untuk membangun
pengendalian ke dalam suatu sistem pada tahap perancangan awal dibandingkan dengan
menambahkannya setelah ancaman tersebut terjadi.
 Pengendalian internal menjalankan tiga fungsi penting :
1. Pengendalian preventif untuk mencegah masalah sebelum terjadi. Misalnya mempekerjakan
personil yang memiliki keahlian, membagi wewenang karyawan, dan mengendalikan akses
fisik atas aset dan informasi.
2. Pengendalian detektif untuk menemukan masalah yang tidak dapat dicegah. Misalnya
pengecekan ulang atas penghitungan dan penyusunan rekonsiliasi bank dan neraca saldo
bulanan.
3. Pengendalian korektif untuk mengidentifikasi dan memperbaiki masalah serta memperbaiki
dan memulihkannya dari kesalahan yang terjadi. Misalnya mengarsip salinan dokumen,
mengoreksi input data yang salah, dan memasukkan ulang transaksi untuk pemrosesan
berikutnya.
Pengendalian internal dikategorikan dalam dua kategori :
1. Pengendalian umum untuk memastikan lingkungan pengendalian dari suatu organisasi stabil
dan dikelola dengan baik. Contohnya termasuk keamanan, infrastruktur TI, serta perolehan,
pengembangan dan perawatan piranti lunak.
2. Pengendalian internal untuk memastikan transaksi telah diproses dengan benar. Pengendalian
aplikasi untuk memastikan transaksi telah diproses dengan benar. Pengendalian aplikasi
menekan pada akurasi, kelengkapan, validitas, dan otorisasi data yang diperoleh, dimasukkan,
diproses, disimpan, dipindahkan ke sistem lain, serta dilaporkan.

Robert Simons dalam Romney dan Steinbart (2012), mengemukakan empat level
pengendalian untuk membantu manajemen dalammengatasi konflik antara kreativitas dan
pengendalian. Keempat level tersebut adalah :

1. Belief system menggambarkan bagaimana suatu organisasi menciptakan nilai, membantu para
pegawainya dalam memahami visi manajemen, mengkomunikasikan nilai dasar dari organisasi
tersebut dan mengaspirasi pegawainya untuk menerapkan nilai-nilai tersebut.
2. Boundary system membantu para pegawai agar dapat bertindak etis dengan menetapkan
batasan batsan atas perilaku pegawai. Pegawai tidak harus diberitahu apa yang harus mereka
lakukan, melainkan mereka didorong secara kreatif menyelesaikan masalah dan memenuhi
kebutuhan pelanggan sembari memenuhi standar kinerja minimumnya dan menghindari
tindakan-tindakan yang mungkin dapat merusak reputasi mereka.
3. Diagnostic control system mengukur, memonitor dan membandingkan kemajual aktual
perusahaan dengan anggaran dan target kinerjanya. Umpan balik dapat membantu manajemen
untuk menyesuaikan dan memberbaiki input dan proses sehingga output di masa mendatang
dapat memenuhi target kinerja yang diinginkan.
4. Interactive control system membantu manajemen untuk memusatkan perhatian dari
bawahannya hanya ke isu-isu strategis dan lebih terlibat dalam proses pengambilan keputusan.
Data sistem interaktif diinterpretasikan dan dibahas secara tatap muka dalam suatu rapat antara
atasan, bawahan dan rekan sejawatnya.
2. Mengapa Pengendalian Berbasis Teknologi Informasi Dan Keamanan Diperlukan
Romney and Steinbart (2015), menjelaskan bahwa pengembangan sebuah sistem pengendalian
internal mengharuskan pemahaman atas kapabilitas dan resiko teknologi informasi, maupun cara
menggunakan teknologi informasi untuk mencapai tujuan pengendalian organisasi. Akuntan dan
para pengembang sistem membantu manajemen dalam mencapaii tujuan pengdalian organisasi
melalui (1) mendesain sistem pengandalian yang efektif yang menggunakan pendekatan yang
proaktif untuk menghilangkan ancaman terhadap sistem serta mendeteksi, memperbaiki dan
memulihkan kembali sistem ketika terjadi ancaman, dan (2) membuat sistem mudah untuk
membangun pengendalian kedalam sebuah sistem pada tahap desain awal daripada menambahkan
fitur – fitur dalam sistem setelah digunakan.

Pengendalian intern melakukan tiga fungsi penting (Romney and Steinbart, 2015) :
1. Pengendalian Preventif mencegah masalah sebelum mereka muncul. Contohnya termasuk
mempekerjakan personil yang berkualitas, memisahkan tugas karyawan, dan mengendalikan
akses fisik ke aset dan informasi.
2. Pengendalian Detektif menemukan masalah yang tidak dicegah. Contohnya termasuk duplikat
pemeriksaan perhitungan dan mempersiapkan rekonsiliasi bank dan saldo pemeriksaan
bulanan.
3. Pengendalian Korektif mengidentifikasi dan maupun memperbaiki dan memulihkan kembali
sistem akibat error serta benar dan pulih dari kesalahan yang dihasilkan. Contohnya termasuk
menjaga salinan cadangan dari file, mengoreksi kesalahan entri data, dan mengumpulkan
transaksi untuk diproses selanjutnya.
Romney and Steinbart (2015), menegaskan bahwa pengendalian internal sering dipisahkan
menjadi dua kategori :

1. Pengendalian Umum memastikan pengendalian lingkungan dalam keadaan stabil dan di kelola
dengan baik. Contohnya mencakup keamanan, Infrastruktur TI, dan akuisisi perangkat lunak,
pengembangan, dan pemeliharaan.

2. Pengendalian Aplikasi mencegah, mendeteksi, dan memperbaiki kesalahan transaksi dan fraud
dalam program aplikasi. Pengendalian aplikasi berkaitan dengan akurasi, kelengkapan, keabsahan,
dan otorisasi dari data yang diambil, dimasukkan, diproses, disimpan, dikirimkan ke sistem lain,
dan dilaporkan.
3. Membandingkan Kerangka Pengendalian Internal
Dalam mengembangkan kerangka pengendalian internal terdapat beberapa pendekatan yang
digunakan. Tiga pendekatan yang umumnya digunakan adalah sebagai berikut:
1. COBIT Framework
Information System Audit and Control Association (IASACA) mengembangkan kerangka
Control Objective for Information and Related Technology (COBIT). COBIT menyusun
standar pengendalian dari 36 sumber yang berbeda ke dalam suatu kerangka tunggal yang
memungkinkan untuk (1) menjadi acuan bagi manajemen untuk melakukan praktik
pengamanan dan pengendalian dari lingkungan teknologi informasi (TI), (2) digunakan
bagi para pengguna untuk mrmastikan terdapat pengamanan dan pengendalian TI yang
memadai, dan (3) digunakan oleh para auditor untuk menghasilkan opini audit serta untuk
memberikan masukan-masukan dalam hal yang terkait dengan keamanan dan
pengendalian TI.

Kerangka pengendalian COBIT menekan tiga aspek penting berikut :

1. Sasaran bisnis. Untuk memenuhi sasaran-sasaran bisnis, informasi harus sesuai dengan
tujuh kategori kriteria pengendalian yang ditetapkan oleh Committee of Sponsoring
Organization (COSO);
 2. Sumber daya TI. Hal ini mencakup orang, system aplikasi, teknologi, fasilitas, dan data;
3. Proses TI. Terbagi ke dalam empat aspek, yakni perencanaan dan organisasi, akuisisi dan
implementasi, pelaksanaan dan dukungan, serta monitoring dan evaluasi.

3.1 COSO Internal Control Integrated Framework

The Committee of Sponsoring Organization of Treadway Commission adalah joint

initiative dari lima organisasi sukarela dari sektor privat yang bertujuan untuk mengembangkan
kerangka dan panduan mengenai Manajemen Risiko, Pengendalian Internal, dan
Pencegahan Fraud. Kelima organisasi tersebut terdiri dari American Accounting Associaton
(AAA), American Institute of Certified Public Accountant (AICPA), Financial Executive
International (FEI), The Association of Accountant and Financial Professionals in Business (IMA),
dan The Institute of Internal Auditor (IIA).

Produk yang telah dihasilkan oleh COSO antara lain Internal Control – Integrated
Framework(1992) dan Enterprise Risk Management – Integrated Framework (1994). Indonesia
mengadopsi Internal Control – Integrated Framework (1992) dalam Peraturan Pemerintah Nomor
60 Tahun 2008 mengenai Sistem Pengendalian Intern Pemerintah. Dalam perkembangannya
COSO telah mengeluarkan kerangka IC terbaru yaitu Internal Control – Integrated
Framework (2013) untuk menggantikan kerangka IC yang lama.

COSO mendefinisikan IC adalah process, effected by an entity’s board of directors,

management, and other personnel, designed to provide reasonable assurance regarding the
achievement of objectives relating to operations, reporting, and compliance. Definisi ini sengaja
dibuat secara luas agar dapat menangkap konsep yang penting mengenai bagaimana suatu
organisasi merancang, mengimplementasikan, melaksanakan IC, dan menilai efektivitas dari
sistem pengendalian internal, serta memberikan dasar dalam pengaplikasiannya di berbagai tipe
organisasi. Selain itu definisi ini juga mengakomodasi bagian-bagian dari IC.

Tujuan dari IC terdiri dari operations, reporting, dan compliance dapat dijelaskan sebagai
berikut:

1. Operations Objectives.
Tujuan operasional terkait dengan pencapaian visi, misi, dan tujuan didirikannya entitas.
Tujuan ini terkait dengan peningkatan financial performance, produktivitas,
kualitas, enviromental practices, return of assets, dan likuiditas. Salah satu tujuan yang terkait
dengan tujuan operasional adalah Pengamanan Aset. Entitas dapat menentukan tujuan yang
 terkait dengan pencegahan kehilangan aset serta secara periodik mendeteksi dan melaporkan
kehilangan aset.

2. Reporting Objectives.
Tujuan pelaporan berkaitan dengan penyusunan laporan untuk digunakan oleh organisasi dan
stakeholders dalam hubungannya dengan pelaporan finansial/non-finansial serta pelaporan
eksternal/internal. Karakteristik dari pelaporan finansial/non-finansial eksternal adalah
disesuaikan dengan aturan dan kebutuhan eksternal, dipersiapkan sesuai dengan standar
eksternal, dan mungkin diharuskan menurut regulator, kontrak, dan perjanjian. Sedangkan
karakteristik pelaporan finansial/non-finansial internal adalah digunakan dalam pengambilan
keputusan dan pengelolaan bisnis serta ditetapkan oleh manajemen dan board.
3. Compliance Objectives.
Aturan dan hukum merupakan standar minimal dari perilaku organisasi. Organisasi diharapkan
akan menggabungkan standar tersebut ke dalam tujuan dari entitas, bahkan organisasi dapat
menetapkan standar yang lebih tinggi daripada yang ditetapkan oleh hukum dan peraturan.
Satu tujuan dan tujuan lainnya dapat saling tumpang tindih atau saling membantu. Misalnya
dalam hal pelaporan keuangan, dapat menjadi dasar bagi manajemen dalam melakukan review
dalam kinerja operasionalnya serta kepatuhannya terhadap aturan. Selain itu, pengamanan aset
yang merupakan salah satu contoh tujuan operasional juga berpengaruh terhadap ketepatan
jumlah aset dalam pelaporan. Sehingga dapat disimpulkan bahwa penetapan tujuan-tujuan ini
tetap saling berkesinambungkan, tapi tetap bergantung dengan situasi yang ada.

Selain tujuan, IC juga memiliki lima komponen serta 17 prinsip. Komponen dalam IC adalah
sebagai berikut:

Control Environment.

Lingkungan pengendalian adalah rangkaian standar, proses dan struktur yang menjadi dasar dalam
pelaksanaan IC di seluruh organisasi. Terdapat lima prinsip yang terkait dengan komponen ini
yaitu:

 Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika

 Board of directors menunjukkan independensi dari manajemen dan melaksanakan pengawasan
terhadap pengembangan dan pelaksanaan IC.
 Dengan pengawasan Board, manajemen menetapkan struktur, bentuk pelaporan, tanggung
jawab dan otoritas yang diperlukan dalam rangka pencapaian tujuan.
 Organisasi menetapkan komitmen dalam menarik, mengembangkan, dan mempertahankan
individu yang kompeten dalam rangka pencapaian tujuan.
 Organisasi memegang individu yang bertanggungjawab dalam IC dalam rangka pencapaian
tujuan.

Risk Assessment.

Penilaian risiko melibatkan proses yang dinamis dan berulang untuk mengidentifikasi dan
menganalisis risiko untuk mencapai tujuan, serta membentuk dasar mengenai bagaimana risiko
harus dikelola. Terdapat empat prinsip yang berkaitan dengan komponen ini yaitu:

 Organisasi menentukan tujuan yang spesifik sehingga memungkinkan untuk dilakukan

identifikasi dan penilaian risiko yang terkait dengan tujuan.
 Organisasi mengidentifikasi risiko yang terkait dengan pencapaian tujuan di seluruh entitas
dan menganalisis risiko untuk menjadi dasar bagaimana risiko akan diperlakukan.
 Organisasi mempertimbangkan potensi fraud dalam penilaian risiko.
 Organisasi mengidentifikasi dan menilai perubahan yang akan memengaruhi sistem
pengendalian internal secara signifikan.

Terkait dengan pengelolaan risiko, COSO telah mengeluarkan kerangka tersendiri mengenai
Enterprise Risk Management – Integrated Framework (2004)

Control Activities.

Aktivitas Pengendalian merupakan tindakan yang ditetapkan dengan prosedur dan kebijakan untuk
meyakinkan bahwa manajemen telah mengarah untuk memitigasi risiko dalam rangka pencapaian
tujuan. Terdapat tiga prinsip dalam komponen ini yaitu:
 Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi terhadap
mitigasi risiko sampai pada tingkat yang dapat diterima dalam rangka pencapaian tujuan.
 Organisasi memilih dan mengembangkan aktivitas pengendalian secara umum terkait
teknologi dalam rangka pencapaian tujuan.
 Organisasi menyebarkan aktivitas pengendalian melalui kebijakan dan prosedur dalam
pengimplementasiannya.

Information and Communication.

Informasi diperlukan dalam rangka pelaksanaan tanggung jawab IC nya dalam rangka pencapaian
tujuan. Sedangkan komunikasi terjadi baik secara internal maupun eksternal dengan menyediakan
informasi yang diperlukan dalam rangka pelaksanaan IC sehari-hari. Terdapat tiga prinsip dalam
komponen ini yaitu:

 Organisasi memperoleh dan menggunakan informasi yang berkualitas dan relevan dalam
rangka mendukung fungsi dari komponen lain dalam IC.
 Organisasi secara internal mengomunikasikan informasi, termasuk tujuan dan tanggung jawab
IC dalam rangka mendukung fungsi dari komponen lain dari IC.
 Organisasi berkomunikasi dengan pihak eksternal terkait hal yang mempengaruhi fungsi dari
komponen lain dalam IC.

Monitoring Activity.

Evaluasi berkelanjutan, terpisah, atau kombinasi keduanya untuk memastikan seluruh komponen
IC ada dan berfungsi. Terdapat dua prinsip dalam komponen ini yaitu:

 Organisasi memilih, mengembangkan, dan melaksanakan evaluasi berkelanjutan dan/atau

terpisah untuk memastikan seluruh komponen IC ada dan berfungsi.
 Organisasi mengevaluasi dan mengomunikasikan defisiensi IC pada pihak yang bertanggung
jawab agar diambil tindakan korektif.
IC memberikan keyakinan yang memadai, bukan mutlak, dalam rangka pencapaian tujuan, akan
tetapi terdapat keterbatasan yang berasal dari:

1. Preconditions of Internal Control.

Keterbatasan yang pertama adalah kondisi awal sebelum dibangunnya IC. IC tidak bisa
mencakup seluruh kegiatan yang dilakukan oleh organisasi. Salah satu hal yang tidak dicakup
adalah pra-kondisi entitas sebelum IC diterapkan. Kelemahan entitas dalam memilih,
mengembangkan, dan mengevaluasi manajemen dapat membatasi kemampuannya dalam
melakukan pengawasan terhadap IC. Selain itu tidak tepatnya proses penetapan strategi dan
tujuan akan mengakibatkan pemilihan tujuan yang tidak realistis, tidak tepat, dan tidak spesifik.
2. Judgement.
Keterbatasan kedua adalah fakta bahwa penilaian manusia dalam pengambilan keputusan bisa
keliru. Manusia memiliki kelemahan dalam mengambil keputusan bisnis yang berdasarkan
pada waktu, informasi yang terbatas, serta di bawah tekanan, sehingga bisa menghasilkan
keputusan (penilaian) yang tidak tepat dan perlu diubah.
3. Breakdowns.
Keterbatasan ketiga adalah kerusakan yang dapat terjadi karena kesalahan pegawai. Sistem IC
yang baik bisa mengalami kerusakan. Personel mungkin dapat salah memahami instruksi,
melakukan kesalahan, atau memiliki terlalu banyak tugas
4. Management Override.
Keterbatasan keempat adalah kemampuan manajemen untuk mengabaikan IC. Entitas dengan
sistem pengendalian internal yang efektif masih mungkin untuk memiliki manajer yang
mengesampingkan IC.
5. Collusion
Keterbatasan kelima adalah kemampuan manajemen, personel lain, dan pihak ketiga untuk
 melakukan kolusi. Kolusi dapat mengakibatkan defisiensi dalam IC. Individu yang beraksi
secara bersama-sama dapat menyembunyikan tindakan kecurangan dan mengubah informasi
keuangan atau lainnya sehingga tidak dapat dicegah dan dideteksi oleh IC.

Dengan terbitnya Internal Control – Integrated Framework Tahun 2013, terjadi beberapa
perubahan dibandingkan dengan Internal Control – Integrated Framework Tahun 1992.
Perubahan-perubahan yang terjadi secara umum antara lain:

1. Kerangka yang baru memberikan perhatian yang lebih besar pada prinsip. Prinsip-prinsip ini
dimaksudkan untuk profit companies, non-profit companies, badan pemerintah dan organisasi
lainnya. Komponen dan prinsip terdiri dari kriteria yang akan membantu manajemen untuk
menilai apakah entitas telah memiliki IC yang efektif.
2. Memperluas kategori reporting objectives dengan mempertimbangkan pelaporan eksternal di
luar pelaporan keuangan serta pelaporan internal baik keuangan maupun non-keuangan.
3. Menjelaskam peran penetapan tujuan, tidak hanya merupakan proses manajemen yang
dilakukan di pra-kondisi IC, tetapi diperluas dengan menentukan tujuan dengan
mempertimbangkan kesesuaiannya.
4. Memperluas konsep governance terutama yang terkait dengan board of directors, commitee of
the board, termasuk audit, kompensasi, nominasi, dan komite governance.
5. Mempertimbangkan globalisasi dengan mencakup perubahan dalam model operasi
manajemen, struktur legal entitas dan peran terkait, tanggung jawab dan akuntabilitas terkait
IC dalam unit dan sub-unit serta mempertimbangkan risiko internal terkait merger dan akuisisi.
6. Mempertimbangkan struktur organisasi dan model bisnis yang berbeda yang telah banyak
mengalami perubahan, tanggung jawab IC dari tiap model, dan pencapaian dalam efektivitas
IC.
7. Mempertimbangkan tuntutan dan kompleksitas dalam undang-undang, peraturan, dan standar
dengan mengakui peran regulator dan standard-setter dalam penetapan tujuan serta
menetapkan kriteria untuk menilai dan melaporkan defisiensi IC.
8. Mempertimbangkan ekspektasi yang lebih besar terhadap kompetensi dan akuntabilitas.
Organisasi bisa menggeser model operasi dengan mendelegasikan kewenangan dan
akuntabilitas yang lebih besar.
9. Mencerminkan peningkatan relevansi teknologi yang berpengaruh terhadap bagaimana
komponen IC dilaksanakan.
10. Memuat lebih banyak pembahasan mengenai fraud serta mempertimbangkan potensi fraud
sebagai prinsip IC.Selain perubahan-perubahan tersebut, terdapat juga perubahan-perubahan
dalam tata letak kerangka seperti tata letak chapter serta perubahan kunci yang terjadi pada
komponen IC.

3.2 COSO Enterprise Risk Management

Setiap kegiatan usaha pada dasarnya akan selalu diliputi denganketidakpastian yang dipenuhi
dengan berbagai risiko yang saling berkaitan dalam arti satu kegiatan tidak hanya memiliki satu
jenis risikosaja, tetapi dapat menyebabkan risiko-risiko lain. Misalnya sebuah permasalahan
hukum yang dihadapi oleh perusahaan tidak hanya memiliki risiko hukum semata, tetapi juga
memiliki risiko reputasi pada saat yang bersamaan. Karenanya menjadi penting untuk
menerapkansebuah konsep penanganan risiko secara menyeluruh dan terintegrasi satu sama lain.
Konsep tersebut adalah konsep yang kita kenal dengan istilah Enterprise Risk Management
Integrated Framework yang diterbitkan oleh The Committee of Sponsoring Organizations of the
Treadway Commission (COSO).
Enterprise risk management menangani resiko dan peluang yang dialami oleh perusahaan,
yang nantinya akan mempengaruhi penciptaan nilai. Enterprise risk management adalah sebuah
proses, yang dilakukan oleh dewan direksi, manajemen dan personil lainnya, diterapkan dalam
pengaturan strategi perusahaan, yang dirancang untuk mengidentifikasi kejadian potensial yang
dapat mempengaruhi entitas, dan mengelola risiko berada dalam entitas, untuk memberikan
keyakinan memadai mengenai pencapaian tujuan entitas.
Kerangka pengendalian COSO ERM menggunakan pendekatan berbasis manajemen risiko,
bukan berdasarkan pendekatan pengendalian. ERM menambahkan tiga elemen tambahan
disamping lima eleman pengendalian COSO Internal Control Framework, yaitu : penetapan
sasaran, mengindentifikasi kejadian yang berdampak pada perusahaan, dan mengembangkan
respon terhadap risikon yang dinilai.
ERM terdiri dari beberapa komponen, antara lain :
a. Lingkungan Internal (Internal Environment)
 Lingkungan pengendalian berisi seperangkat standar, proses, prosedur, dan struktur yang
menjadi dasar bagi organisasi dalam melaksanakan pengendalian internal. Lingkunhan
pengendalian berisi nilai etika dan integritas dari organisasi tersebut.
b. Penetapan Sasaran Organisasi (Objective Setting)
Perusahaan harus menentukan apa sasaran strategis yang tepat dan menentukan ukuran kinerja
untuk menentukan apakah sasaran dan target kinerjanya dapat tercapai. Penentuan sasaran
organisasi meliputi empat aspek, yaitu :
 Sasaran strategis yang merupakan sasaran tingat tinggi yang sejalan dengan misi dan visi
perusahaan.
 Sasaran operasi, terkait dengan efektivitas dan efisiensi kegiatan operasional perusahaan, serta
bagaimana perusahaan mengalokasikan sumber-sumber daya yang dimiliki oleh perusahaan.
 Sasaran pelaporan membantu memastikan perusahaan mematuhi seluruh peraturan dan hukum
yang berlaku.
c. Identifikasi Risiko (Risk Identification)
COSO mendefinisikan kejadia sebagai kejadiaan atau insiden yang bersal dari sumber internal
atau eksternal yang mempengaruhi implementasi strategi atau pencapaian sasaran. Manajemen
harus mencoba untuk mengantisipasi semua kejadian positif dan negatif, menentukan mana
yang paling mungkin terjadi dan yang mana yang paling kecil kemungkinannya terjadi, dan
memahami hubungan antar kejadian.
d. Penilaian Risiko (Risk Assessment)
Risiko didefinisikan sebagai kemungkinan bahwa suatu kejadian akan terjadi dan berdampak
negatif terjadap pencapaian organisasi. Manajemen dapat merespon risiko dengan menerapkan
salah satu dari empat cara, antara lain :
 Mengurangi kemungkinan dan dampak dari risiko dengan menerapkan sistem pengendalian
internal yang efektif.
 Menerima kemungkinan dan dampak dari risko
 Membagi risiko ke pohak lain dengan membeli asuransi, outsourcing suatu aktivitas atau
melakukan transaksi hedging.
 Menghindari risiko dengan tidak terlibat dalam aktivitas yang menghasilkan risiko.
e. Aktivitas Pengendalian (Control Activities)
 Aktivitas ini berupa kebijakan dan prosedur yang memberikan keyakinan yang memadai
bahwa sasaran pengendalian dapat terpenuhi dan respon terhadap risiko telah dijalankan.
f. Informasi dan Berkomunikasi (Information and Communication)
Ini terkait langsung dengan tujuan utama sistem informasi akuntansi yaitu untuk
mendapatkan,mencatat. Memproses, menyimpan, mengikhtisarkan dan mengkomunikasikan
informasi mengenai suatu organisasi.
g. Pemantauan (Monitoring)
ERM harus secara berkala dimonitor dan dimodifikasi bila diperlukan, dan kekurangan-
kekurangan di dalamnya harus dilaporkan kepada manajemen.
3.3 COBIT
Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari ISACA
(Information Systems Audit and Control Association) pada tahun 1996. COBIT adalah merupakan
kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa
digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan
pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan
kebijakan yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu
meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah organisasi
dari sisi penerapan IT.
COBIT menyusun standar pengendalian dari 36 sumber yang berbeda ke dalam satu kerangka
tunggal yang memungkinkan untik menjadsi acuan bagi manajemen untuk melakukan praktik
pengamanan dan pengendalian dari lingkungan TR, digunakan bagi para pengguna untuk
memastikan terdapat pengamanan dan pengendalian TI, dan digunakan oleh para auditor untuk
menghasilkan opini audit serta untuk memberikan masukan-masukan dalam hal terkait dengan
keamanan dan pengendalian TI.
Kerangka pengendalian COBIT menekankan tiga aspek yaitu :
a. Sasaran bisnis , untuk memenuhi sasaran ini informasi harus sesuai dengan tujuh kriteria
pengendalian yang ditetapkan COSO
b. Sumber daya TI, mencakup orang, sistem aplikasi, teknologi, fasilitas, dan data.
c. Proses TI terbagi dalam empat aspek : perencanaan dan organisasi, akuisisi dan implementasi,
pelaksanaan dan dukungan, serta monitoring dan evaluasi.
 Berikut merupakan kerangka dari pengendalian COBIT :

Gambar 1.1 Kerangka Pengendalian COBIT

COBIT memiliki 4 Cakupan Domain :

1. Perencanaan dan Organisasi (Plan and Organise)
 Domain ini mencakup strategi dan taktik yang menyangkut identifikasi tentang bagaimana TI
dapat memberikan kontribusi terbaik dalam pencapaian tujuan bisnis organisasi sehingga
terbentuk sebuah organisasi yang baik dengan infrastruktur teknologi yang baik pula.
2. Pengadaan dan Implementasi (Acquire and Implement)
Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dibangun atau diperoleh dan
kemudian diimplementasikan dan diintegrasikan dalam proses bisnis.
3. Pengantaran dan Dukungan (Deliver and Support)
Domain ini berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri dari
operasi pada security dan aspek kesinambungan bisnis sampai dengan pengadaan training.
4. Pengawasan dan Evaluasi (Monitor and Evaluate)
Semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan kesesuaiannya
dengan kebutuhan kontrol.

4. ELEMEN UTAMA DALAM LINGKUNGAN PENGENDALIAN INTERNAL

(INTERNAL ENVIRONMENT)
Menurut Romney and Steinbart (2015), sebuah lingkungan internal terdiri dari :
a. Filosofi manajemen, gaya operasi, dan resiko. Filosofi manajemen, gaya operasi, dan resiko
dapat dinilai dengan menjawab pertanyaan-pertanyaan sebagai berikut :
 Apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk mencapai
tujuannya, atau apakah ia menilai resiko dan imbalan potensial sebelum bertindak?
 Apakah manajemen memanipulasi ukuran kinerja, seperti laba bersih, sehingga mereka
terlihat lebih menguntungkan?
 Apakah manajemen menekan para untuk mencapai hasil tanpa metode, atau apakah itu
menuntut perilaku etis? Dengan kata lain menghalalkan segala cara?
b. Komitmen terhadap integritas, nilai etika, dan kompetensi. Perusahaan mendukung integritas
dengan:
 Secara aktif mengajari dan menerapkannya. Sebagai contoh membuat jelas bahwa laporan
yang jujur lebih penting daripada yang menguntungkan.
 Menghindari harapan yang tidak realistis atau insentif yang memotivasi tindakan tidak
jujur atau ilegal, seperti praktik penjualan yang terlalu agresif penjualan, taktik negosiasi
yang tidak etik dan tidak wajar, dan hasil keuangan yang dilaporkan.
  Secara kosisten menghargai kejujuran dan memberikan label verbal terhadap prilaku jujur
dan tidak jujur.
 Mengembangkan kode etik tertulis yang secara eksplisit menggambarkan perilaku jujur
dan tidak jujur.
 Mewajibkan karyawan untuk melaporkan tindakan tidak jujur atau ilegal dan
mendisiplinkan karyawan yang dengan sengaja tidak melaporkanya, karyawan harus
diberhentikan dan dituntut untuk menunjukkan bahwa perilaku seperti itu tidak
diperbolehkan.
 Membuat komitmen terhadap kompetensi. Perusahaan harus mempekerjakan karyawan
yang kompeten dengan pengetahuan, pengalaman, pelatihan, dan keterampilan yang
diperlukan.

c. Dewan Direksi
Dewan direksi yang terlibat mewakili pemegang saham dan memberikan tinjauan independen
terhadap manajemen yang bertindak sebagai check and balance dalam tindakannya. SOX
mengharuskan perusahaan publik untuk memiliki komite audit dari luar, direktur independen.
Komite ini bertanggung jawab untuk pelaporan keuangan, kepatuhan terhadap peraturan,
pengendalian internal, dan perekrutan dan mengawasi auditor internal dan eksternal, yang
melaporkan semua kebijakan dan praktik akuntansi.
d. Struktur organisasi.
Aspek penting dari struktur organisasi meliputi berikut :
 Sentralisasi atau desentralisasi kewenangan
 Hubungan pelaporan langsung atau matriks
 Organisasi oleh industri, lini produk, lokasi, atau jaringan pemasaran
 Bagaimana alokasi tanggung jawab memepengaruhi kebutuhan informasi
 Organisasi dan garis wewenang untuk akuntansi, audit, dan fungsi sistem informasi
 Ukuran dan sifat kegiatan perusahaan
e. Metode dalam menetapkan wewenang dan tanggung jawab.
Manajemen harus memastikan karyawan memahami tujuan dan sasaran, menetukan
kewenangan dan tanggungjawab untuk tujuan dan sasaran pada departemen dan individu,
mengendalikan akuntanbilitas individu untuk mencapai tujuan dan sasaran, serta mendorong
 penggunaan inisiatif untuk memecahkan masalah. Kewenangan dan tanggungjawab
ditentukan dan dikomunikasikan menggunakan prsedur dan deskipsii pekerjaan formal,
pelatihan karyawan jadwal operasi, anggaran, kode pelaksanaan, serta prosedur dan kebjikan
tertulis. Kebijakan dan prosedur manual menjelaskan praktek-praktek bisnis yang tepat,
menggambarkan pengetahuan dan pengalama yang dibutuhkan, menjelaskan prosedur
dokumen, menjelaskan bagaiman menangani transaksi serta membuat daftar sumber daya yang
disediakan untuk mengerjakan tugas-tugas tertentu.
f. Standar SDM yang menarik mengembangkan dan mempertahankan orang-orang yang
kompeten. Salah satu kekuatan pengendalial terbesar adalah kejujuran karyawan; salah satu
kelemahan pengendalian terbesar adalah ketidakjujuran karyawan. Sumber daya (SDM)
kebijakan dan praktek sumberdaya manusia yang mengatur kondisi pekerjaan, insentif kerja,
dan kemajuan karir dapat menjadi kekuatan dalam mendorong kejujuran, efisiensi, dan
loyalitas pelayanan. Kebijakan SDM harus menyampaikan tingkat keahlian, kompetensi,
perilaku etis, dan integritas yang dibutuhkan.
g. Pengaruh Eksternal
Pengaruh eksternal termasuk ketentuan yang dihasruskan oleh otoritas bursa, penyusun standar
akuntansi keuangan, badan pengawas pasar modal, dan pemerintah. Selain itu, pengaruh
eksteranl juga termasuk ketentuan yang dikeluarkan oleh regulator industri.

5. Empat Tipe Tujuan Pengendalian yang Perlu Ditetapkan (Objective Setting)

Perusahaan harus menentukan apa sasaran strategis yang tepat dan menentukan ukuran kinerja
untuk menentukan apakah sasaran dan target kinerjanya dapat tercapai. Penentuan sasaran
organiasi meliputi 4 aspek:
a. Sasaran strategis (strategic objective), yang merupakan sasaran tingkat tinggi yang sejalan
dengan misi dan visi perusahaan.
b. Sasaran operasi (operation objectives), terkait dengan efektivitas dan efisiensi kegiatan
operasional perusahaan serta bagaimana mengalokasikan sumber-sumber daya yang dimiliki
perusahaan. Saaran operasi ini mencerminkan preferensi, pertimbangan dan gaya manajemen
serta menjadi faktor kunci kesuksesan.
c. Sasaran pelaporan (reporting objectives), membantu memastikan akurasi, kelengkapan dan
 keandalan laporan perusahaan, meningkatkan pengambilan keputusan, dan memonitor
aktivitas dan kinerja perusahaan.
d. Sasaran kepatuhan (compliance objectives), memastikan perusahaan mematuhi seluruh
peraturan dan hukum yang berlaku. Sebagian besar sasaran kepatuhaan perusahaan dan
banyak sasaran kepatuhan, didorong oleh entitas eksternal yang menetapkan hukum dan
peraturan tersebut. Seberapa baik perusahaan memenuhi unsur sasaran kepatuhan dan sasaran
pelaporan dapat secara signifikan mengangkat reputasi perusahaan.
6. Identifikasi Kejadian (Event Identification)
COSO mendefinisikan kejadian (event) sebagai “kejadian atau insiden yang berasal dari
sumber internal atau eksternal yang mempengaruhi implementasi strategi atau pencapaian
sasaran.Kejadian bisa memiliki dampak positif atau negatif atau keduanya. Suatu kejadian
mencerminkan ketidakpastian; mungkin terjadi, mungkin tidak terjadi. Jika terjadi, sulit diketahui
kapan kapan akan terjadi, hingga kejadian itu terjadi, mungkin sulit untuk menentukan dampaknya.
Ketika kejadian tersebut terjadi, mungkin memicu terjadinya kejadian lain. Kejadian dapat terjadi
sendiri-sendiri atau berurutan. Manajemen harus mencoba untuk mengantasi semua kejadian
positif dan negatif, menentukan mana yang paling mungkin terjadi, dan yang mana yang paling
kecil kemungkinannya terjadi, dan memahami hunungan antar-kejadian.

7. Penilaian Risiko (Risk Assessment)

Berdasarkan rumusan COSO, bahwa penilaian risiko melibatkan proses yang dinamis dan
interaktif untuk mengidentifikasi dan menilai risiko terhadap pencapaian tujuan. Risiko itu sendiri
dipahami sebagai suatu kemungkinan bahwa suatu peristiwa akan terjadi dan mempengaruhi
pencapaian tujuan entitas, dan risiko terhadap pencapaian seluruh tujuan dari entitas ini dianggap
relatif terhadap toleransi risiko yang ditetapkan. Oleh karena itu, penilaian risiko membentuk dasar
untuk menentukan bagaimana risiko harus dikelola oleh organisasi.

8. Risk Response
Romney and Steinbart (2015), menegaskan bahwa untuk menyelaraskan risiko diidentifikasi
dengan toleransi perusahaan terhadap risiko, manajemen harus menggunakan pandangan yang luas
tentang risiko. Mereka harus menilai kemungkinan risiko dan dampak serta biaya dan manfaat dari
respon alternatif. Manajemen dapat merespon risiko dalam salah satu dari empat cara :
a. Mengurangi kemungkinan dan dampak risiko dengan menerapkan sistem pengendalian intern
yang efektif.
b. Menerima kemungkinan dan dampak risiko.
c. Membagi risiko atau mentransfer ke orang lain dengan membeli asuransi, outsourcing
aktivitas, atau memasukkannya ke dalam transaksi yang terlindungi.
d. Menghindari risiko dengan tidak terlibat dalam kegiatan yang menghasilkan risiko.

9. Aktivitas Pengendalian
Aktivitas pengendalian berupa kebijakan dan prosedur yang memberikan keyakinan yang
memadai bahwa sasaran pengendalian dapat terpenuhi dan respon terhadap resiko telah dijalankan.
Merupakan tanggung jawab bagi manajemen untuk mengembangkan sistem yang aman dan
memadai. Manajemen menetapkan dan menjalankan seperangkat prosedur untuk memastikan
kepatuhan dan pelaksanaan pengendalian internal.
Prosedur akitivitas pengendalian terdiri dari tujuh kategori berikut :
a. Otorisasi atas transaksi dan aktivitas secara memadai
b. Pemisahan tugas
c. Pengendalian atas pengembangan proyek dan akuisisi
d. Pengendalian atas manajemen perubahan
e. Perancangan dan penggunaan dokumen dan catatan-catatan
f. Perlindungan atas aset, catatan dan data
g. Pemeriksaan dan pengerjaan secara independen

10. Informasi dan Komunikasi

Informasi dan komunikasi memerlukan ketujuh komponen dalam model pengendalian ERM.
Hal ini terkait langsung dengan tujuan utama sistem informasi akuntansi yaitu untuk mendapatkan,
mencatat, memproses, menyimpan, mengikhtisarkan dan mengkomunikasikan informasi
mengenai suatu organisasi. Termasuk didalamnya adalah memahami bagaimana transaksi dimulai,
data diperoleh, arsip diakses dan diperbarui, data diproses, dam informasi dilaporkan. Selain itu
juga mencakup memahami catatan-catatan akuntansi dan prosedur akuntansi, dokumen
pendukung, dan laporan keuangan. Unsur-unsur tersebut memberikan jejak audit (audit trail) yang
memungkinkan penelusuran kembali transaksi dari awal hingga ke pelaopran keuangan.

DAFTAR PUSTAKA

M.B. Romneyand P.J.Steinbart. 2012. Accounting Information Systems 13th Edition

 Prentice Hall.

Modul Chartered Accountant: Siste Informasi dan Pengendalian Internal. 2017.

Ikatan Akuntan Indonesia.