BAB I

PENDAHULUAN

1.1 Latar Belakang

Sistem informasi akuntansi sebagai sistem yang terbuka tidak bisa dijamin sebagai
suatu sistem yang bebas dari kesalahan maupun kecurangan. Pengendalian intern yang baik
merupakan cara bagi suatu sistem untuk melindungi diri dari tindakan-tindakan yang
merugikan. Sistem pengendalian internal ini dapat mencegah timbulnya kerugian karena
penggunaan sumber daya yang boros, keputusan manajemen yang tidak akurat dan
sebagainya. Konsep pengendalian ini semakin lama semakin penting dan menempati posisi
yang strategis karena ancaman terhadap Sistem Informasi Akuntansi meningkat baik dari sisi
jenis maupun intensitasnya. Karena itu, dalam kesempatan kali ini, penulis ingin membahas
lebih lanjut tentang Konsep Pengendalian Intern dalam sebuah Sistem Informasi Akuntansi.
Sistem pengendalian pada suatu perusahaan semakin berkembang seiring dengan
kemajuan ilmu pengetahuan dan teknologi. Hal ini di latarbelakangi oleh kebutuhan
masyarakat industri terhadap performance terbaik suatu sistem. Pada umumnya, suatu sistem
terdiri dari rangkaian plant dan sistem pengendali didalamnya. Plant merupakan seperangkat
peralatan (obyek fisik) yang digunakan untuk melakukan suatu operasi tertentu.
Sistem informasi yang baik adalah sistem informasi yang dapat memberikan hasil
sebagaimana yang diharapkan oleh perancang dan pemiliknya. Sistem informasi yang baik
tidak dapat muncul dengan sendirinya, melainkan harus dirancang dan dikembangkan dengan
baik. Cara merancang dan mengembangkan sistem yang baik harus dimulai dari perencanaan
yang matang, perancangan yang baik, dan implementasi sistem dengan memperhatikan
berbagai faktor yang menyebabkan sukses dan gagalnya sistem.
Sistem informasi dalam setiap perusahaan bisa saling berbeda dan ada yang sederhana,
ada juga yang rumit. Masing-masing sistem dapat dimiliki perusahaan dengan berbagai cara.
Berbagai cara mendapatkan sistem dan program komputer akan dibahas dalam makalah ini.

1.2 Rumusan Masalah

Adapun rumusan masalah yang akan dibahas sebagai berikut:
1. Bagaimana konsep dasar pengendalian internal?
2. Bagaimana pengendalian berbasis teknologi informasi dan keamanan sistem
diperlukan?
3. Bagaimana perbandingan kerangka pengendalian internal?
1
 4. Apakah elemen utama dalam lingkungan internal?
5. Apakah empat tipe tujuan pengendalian yang perlu ditetapkan?

1.3 Tujuan
1. Untuk mengetahui konsep dasar pengendalian internal.
2. Untuk mengetahui pengendalian berbasis teknologi informasi dan keamanan sistem
diperlukan.
3. Untuk mengetahui perbandingan kerangka pengendalian internal.
4. Untuk mengetahui elemen utama dalam lingkungan internal.
5. Untuk mengetahui empat tipe tujuan pengendalian yang perlu ditetapkan.

2
 BAB II
TINJAUAN PUSTAKA

2.1 Definisi Pengendalian Internal

Pengertian pengendalian internal (internal control) adalah merupakan semua elemen
dari sebuah organisasi yang diambil bersama-sama dalam mencapai tujuan organisasi, atau
tindakan yang dapat meningkatkan kemungkinan mencapai tujuan perusahaan. Dalam teori
akuntansi dan organisasi, pengendalian intern didefinisikan sebagai suatu proses, yang
dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi, yang dirancang untuk
membantu organisasi mencapai suatu tujuan atau objektif tertentu. Internal Control
merupakan suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu
organisasi. Ia berperan penting untuk mencegah dan mendeteksi penggelapan (fraud) dan
melindungi sumber daya atau aset. dijelaskan bahwa manajemen harus melakukan proses
Audit Pengendalian internal, tujuannya untuk memastikan apakah bawahannya telah
melaksanakan tugasnya sesuai dengan sistem dan prosedur sehingga terhindar dari
kemungkinan adanya kecurangan.
Definisi internal control menurut COSO, Definisi atau pengertian internal control
menurut COSO yang dikutip dalam bahasa inggris adalah sebagai berikut.

“Definition internal control is broadly defined as a process, effected by an entity's

board of directors, management, and other personnel, designed to provide reasonable
assurance regarding the achievement of objectives relating to operations, reporting, and
compliance"

Jika diterjemahkan menggunakan terjemahan bebas maka Definisi atau pengertian

Internal Control menurut coso adalah suatu proses, dipengaruhi oleh Dewan Direksi,
manajemen, dan personil lainnya, yang dirancang untuk memberikan keyakinan memadai
tentang pencapaian tujuan Organisasi berupa efektivitas dan efisiensi operasi, keandalan
pelaporan keuangan, dan kepatuhan terhadap peraturan dan hukum yang berlaku. Manajemen
merencanakan, mengorganisasi, dan mengarahkan tindakan yang memadai untuk
memberikan kepastian yang dapat diterima mengenai pencapaian tujuan perusahaan.
Pengertian pengendalian internal menurut para ahli:
Berikut ini adalah beberapa pengertian pengendalian internal (internal control) menurut
para ahli dari bahasa inggris yang telah diterjemahkan kedalam bahasa indonesia
menggunakan terjemahan bebas dan pendapat dari para ahli di Indonesia, diantaranya:

3
 Menurut Baridwan definisi sistem pengendalian intern dalam arti yang luas adalah
meliputi struktur organisasi dan semua cara-cara serta alat-alat yang dikoordinasikan yang
digunakan didalam perusahaan dengan tujuan untuk menjaga keamanan harta milik
perusahaan, memajukan efisiensi di dalam operasi, dan membantu menjaga dipatuhinya
kebijaksanaan manajemen yang telah ditetapkan lebih dahulu (Baridwan, 2001:13).
Menurut Ikatan Akuntansi Indonesia pengendalian internal adalah sistem yang meliputi
organisasi semua metode dan ketentuan yang terorganiasi yang dianut dalam suatu
perusahaan untuk melindungi harta miliknya, mencek kecermatan dan keandalan data
akuntansi serta meningkatkan efisiensi usaha (IAI, 2007:39).
Krismaji menyebutkan pengertian pengendalian internal (internal control) adalah
rencana organisasi dan metode yang digunakan untuk menjaga atau melindungi aktiva, dan
menghasilkan informasi yang akurat dan dapat dipercaya (Krismiaji, 2010:218).

2.2 Unsur -Unsur Pengendalian Internal

Adapun unsur-unsur pengendalian internal adalah sebagai berikut:
1. Pengendalian Lingkungan
Pembentukan suasana organisasi serta memberikan kesadaran tentang perlunya
pengendalian bagi suatu organisasi, yang merupakan dasar bagi semua komponen
pengendalian internal lain yang melahirkan hierarki dalam membentuk struktur
organisasi. Lingkungan pengendalian memiliki tujuh komponen, antara lain:
a. Integritas dan nilai-nilai etis
b. Komitmen terhadap kompetensi
c. Filosofi dan gaya operasi manajemen
d. Partisipasi dewan komisaris dan komite pemeriksaan
e. Struktur organisasi
f. Kebijakan dan praktik SDM
g. Pelimpahan wewenang dan tanggung jawab
2. Penilaian Resiko
Merupakan kegiatan yang dilakukan oleh manajemen dalam mengidentifikasi dan
menganalisis resiko yang menghambat perusahaan dalam mencapai tujuannya. Berikut ini
adalah lima hal kenapa penilaian resiko sangat penting adalah:
a. Bidang baru bisnis yang memerlukan prosedur akuntansi yang belum pernah
diterapkan sebelumnya
b. Perubahan standar akuntansi
4
 c. Hukum dan peraturan baru
d. Perubahan yang terkait revisi sistem dan teknologi baru
e. Pertumbuhan pesat entitas yang menuntut perubahan fungsi tugas
3. Pengendalian Aktivitas
Kebijakan dan prosedur yang dimiliki oleh manajemen untuk memberikan jaminan yang
meyakinkan bahwa manajemen telah melakukan sebagai mana seharusnya. Pengendalian
aktivitas meliputi lima komponen sebagai berikut:
a. Pemisahan tugas yang memadai
b. Otorisasi yang sesuai atas transaksi dan aktivitas
c. Dokumen dan catatan yang memadai
d. Pengendalian fisik atas aktiva dan catatan
e. Pemeriksaan kinerja secara independen
4. Informasi dan Komunikasi
Diperlukan untuk semua tingkatan manajemen organisasi untuk mengambil keputusan,
laporan keuangan dan mengetahui kepatuhan terhadap kebijakan yang ditentukan oleh
perusahaan sebelumnya. Proses informasi dan komunikasi meliputi:
a. Memulai, mencatat, memproses dan melaporkan transaksi suatu entitas di perusahaan.
b. Mempertahankan akuntabilitas aktiva terkait.
5. Monitoring
Merupakan sebuah proses penilaian berkelanjutan dan periodik pelaksanaan internal
apakah sudah terlaksana dengan baik dan telah dimodifikasi sesuai dengan perubahan
kondisi terhadap kualitas kinerja sistem pengendalian internal.
Sedangkan dalam PP No. 60 tahun 2008 terdapat lima unsur dari pengendalian internal
pemerintahan yaitu:
a. Pengendalian Lingkungan
b. Penilaian Resiko
c. Kegiatan Pengendalian
d. Informasi dan Komunikasi
e. Pemantauan Pengendalian Internal
Penjelasan dari lima poin unsur pengendalian internal pemerintahan diatas adalah
sebagai berikut:
a. Pengendalian Lingkungan
Pimpinan instansi pemerintah wajib menciptakan dan memelihara lingkungan
pengendalian yang menimbulkan perilaku positif dan kondusif untuk penerapan sistem
5
 pengendalian intern dalam lingkungan kerjanya melalui penilaian integritas dan nilai
etika meliputi:
a. Komitmen terhadap kompetensi
b. Kepemimpinan yang kondusif
c. Pembentukan struktur organisasi yang sesuai dengan kebutuhan
d. Pendelegasian wewenang dan tanggung jawab yang tepat, Pendelegasian wewenang
dan tanggung jawab mencakup: wewenang diberikan kepada pegawai yang tepat
sesuai dengan tingkat tanggung jawabnya dalam rangka pencapaian tujuan Instansi
Pemerintah.
e. Penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya
manusia
f. Perwujudan peran aparat dalam pengawasan intern pemerintah yang efektif
g. Hubungan kerja yang baik dengan instansi pemerintah terkait. Mencakup
diwujudkan dengan adanya mekanisme saling uji antar Instansi Pemerintah terkait.
b. Penilaian Risiko
a. Identifikasi Resiko
b. Analisis Resiko
c. Kegiatan Pengendalian
Pimpinan Instansi Pemerintah wajib menyelenggarakan kegiatan pengendalian sesuai
dengan ukuran, kompleksitas, dan sifat dari tugas dan fungsi Instansi Pemerintah yang
bersangkutan. Kegiatan pengendalian mencakup:
a. Reviu atas kinerja Instansi Pemerintah yang bersangkutan
b. Pembinaan sumber daya manusia
c. Pengendalian atas pengelolaan sistem informasi
d. Informasi dan Komunikasi
Pimpinan Instansi Pemerintah wajib mengidentifikasi, mencatat, dan
mengkomunikasikan informasi dalam bentuk dan waktu yang tepat.
e. Pemantauan Pengendalian Internal

2.3 Tujuan Pengendalian Internal

Menurut Haryono (2001: 4) mengemukakan tujuh prinsip pengendalian internal yang
pokok, yaitu:
1. Penetapan tanggungjawab secara jelas.

6
2. Penyelenggaraan pencatatan perusahaan.
3. Pengasuransian kekayaan dan karyawan perusahaan
4. Pemisahan peralatan dan penyimpanan aktiva.
5. Pemisahan tanggungjawab atas transaksi yang berkaitan.
6. Pelaksanaan pemeriksaan secara independen.
7. Pemakaian peralatan mekanis bila memungkinkan.
Dari pendapat tersebut di atas, maka masing-masing tujuan dapat diuraikan sebagai
berikut:
1) Mengamankan harta perusahaan. Harta perusahaan perlu diamankan dari segala
kemungkinan yang merugikan, kecurangan dan sebagainya. Dan untuk mengawasi
kemungkinan tersebut, maka perlu dirancang berbagai metode dan cara-cara tertentu
untuk mencegah terjadinya hal-hal di atas.
2) Menguji ketelitian dan kebenaran data akuntansi perusahaan. Catatan akuntansi harus
terus-menerus diuji coba (internal check), agar kebenaran data akuntansi dapat di
pertahankan. Untuk melaksanakan uji coba tersebut, maka perlu dipisahkan berbagai
fungsi yang ada dalam struktur organisasi perusahaan terutama yang menyangkut
transaksi keuangan.
3) Meningkatkan efisiensi operasi perusahaan. Dengan menggunakan metode dan prosedur
untuk mengendalikan pemeliharaan, yaitu dengan menyusun pengendalian, pemeriksaan
intern akan menjadi alat yang efisien untuk mengendalikan pemeliharaan dengan tujuan
akhir menciptakan efektifitas.
4) Ketaatan pada kebijaksanaan yang telah digariskan oleh pimpinan perusahaan.
Kebijaksanaan pimpinan yang telah ditetapkan dengan surat keputusan, juga memerlukan
berbagai aktivitas pengeluaran dan penerimaan dari pendapatan.

7
 BAB III
ISI

3.1 Konsep Dasar Pengendalian Internal

Pengendalian Intern (internal control). Adalah rencana organisasi dan metode yang
digunakan untuk menjaga atau melindungi aktiva, menghasilkan informasi yang akurat dan
dapat dipercaya, memperbaiki efisiensi, dan untuk mendorong ditaatinya kebijakan
manajemen. Antara sebuah tujuan dengan tujuan lainnya seringkali bertentangan.
Pengendalian Manajemen (management control). Merupakan konsep yang lebih luas
dibandingkan dengan pengendalian intern, yang memiliki karakteristik sebagai berikut: (a)
merupakan bagian yang integral dari tanggung jawab manajemen, (b) dirancang untuk
mengurangi terjadinya berbagai kesalahan (error & irregularities), dan untuk mencapai
tujuan organisasi, dan (c) berorientasi kepada personil dan mencoba membantu karyawan
mencapai tujuan organisasi dengan mengikuti kebijakan organisasi.
Pengendalian Adiministrasi (administrative control). Adalah pengendalian yang
menjamin efisiensi operasional dan ketaatan kebijakan manajemen. Sebaliknya, pengendalian
akuntansi (accounting control) adalah pengendalian yang bertujuan membantu menjaga
aktiva dan menjamin akurasi dan daya andal catatan keuangan perusahaan.
Struktur Pengendalian Intern (internal control structure), memiliki tiga elemen, yaitu:
a. Lingkungan pengendalian, yang menggambarkan efek kolektif dari berbagai faktor pada
penetapan, peningkatan, atau penurunan efektivitas prosedur dan kebijakan khusus.
b. Sistem akuntansi, terdiri atas metode dan catatan yang ditetapkan untuk
mengidentifikasi, merangkai, menganalisis, menggolongkan, mencatat, dan melaporkan
transaksi-transaksi perusahaan dan untuk memelihara akuntabilitas aktiva dan kewajiban
yang terkait.
c. Prosedur pengendalian, adalah kebijakan dan prosedur yang ditambahkan ke lingkungan
pengendalian dan sistem akuntansi yang telah ditetapkan oleh manajemen untuk
memberikan jaminan yang layak bahwa tujuan khusus organisasi akan dicapai.

3.2 Mengapa Pengendalian Berbasis Teknologi Informasi dan Keamanan Sistem

diperlukan
Romney and Steinbart (2015), menjelaskan bahwa pengembangan sebuah sistem
pengendalian internal mengharuskan pemahaman atas kapabilitas dan risiko teknologi

8
informasi, maupun cara menggunakan teknologi informasi untuk mencapai tujuan
pengendalian organisasi. Akuntan dan para pengembang sistem membantu manajemen dalam
mencapai tujuan pengdalian organisasi melalui (1) mendesain sistem pengandalian yang
efektif yang menggunakan pendekatan yang proaktif untuk menghilangkan ancaman terhadap
sistem serta mendeteksi, memperbaiki dan memulihkan kembali sistem ketika terjadi
ancaman, dan (2) membuat sistem mudah untuk membangun pengendalian kedalam sebuah
sistem pada tahap desain awal daripada menambahkan fitur – fitur dalam sistem setelah
digunakan.
Pengendalian intern melakukan tiga fungsi penting (Romney and Steinbart, 2015) :
1. Pengendalian Preventif mencegah masalah sebelum mereka muncul. Contohnya
termasuk mempekerjakan personil yang berkualitas, memisahkan tugas karyawan,
dan mengendalikan akses fisik ke aset dan informasi.
2. Pengendalian Detektif menemukan masalah yang tidak dicegah. Contohnya
termasuk duplikat pemeriksaan perhitungan dan mempersiapkan rekonsiliasi bank
dan saldo pemeriksaan bulanan.
3. Pengendalian Korektif mengidentifikasi dan maupun memperbaiki dan memulihkan
kembali sistem akibat error serta benar dan pulih dari kesalahan yang dihasilkan.
Contohnya termasuk menjaga salinan cadangan dari file, mengoreksi kesalahan
entri data, dan mengumpulkan transaksi untuk diproses selanjutnya.
Romney and Steinbart (2015), menegaskan bahwa pengendalian internal sering
dipisahkan menjadi dua kategori :
a. Pengendalian Umum memastikan pengendalian lingkungan dalam keadaan stabil dan
di kelola dengan baik. Contohnya mencakup keamanan, Infrastruktur TI, dan akuisisi
perangkat lunak, pengembangan, dan pemeliharaan.
b. Pengendalian Aplikasi mencegah, mendeteksi, dan memperbaiki kesalahan transaksi
dan fraud dalam program aplikasi. Pengendalian aplikasi berkaitan dengan akurasi,
kelengkapan, keabsahan, dan otorisasi dari data yang diambil, dimasukkan, diproses,
disimpan, dikirimkan ke sistem lain, dan dilaporkan.

3.3 Membandingkan Kerangka Pengendalian Internal

Pada tahun 2001, COSO bekerjasama dengan Pricewaterhouse Coopers memulai
proyek untuk mengembangkan sebuah kerangka kerja manajemen risiko yang dapat
digunakan untuk mengevaluasi dan meningkatkan efektivitas ERM. Kerjasama ini

9
membuahkan hasil pada tahun 2004 dengan dirilisnya COSO ERM – Integrated Framework,
yang mendefinisikan manajemen risiko sebagai:
“Proses yang dipengaruhi oleh Board of Directors, manajemen, dan personil lain dalam
entitas, diaplikasikan pada pembentukan strategi dan pada seluruh bagian perusahaan,
dirancang untuk mengidentifikasi kejadian potensial yang dapat mempengaruhi entitas, dan
mengelola risiko selaras dengan risk appetite entitas, untuk menyediakan jaminan yang wajar
terhadap pencapaian sasaran dari entitas.”
Dalam kerangka manajemen risikonya, COSO ERM menuntut perusahaan untuk dapat
menentukan terlebih dahulu sasaran perusahaannya, yang terdiri dari empat kategori yaitu:
a. Strategis: sasaran yang mendukung dan selaras dengan misi perusahaan.
b. Operasi: efektivitas dan efisiensi dari penggunaan sumber daya perusahaan.
c. Pelaporan: keterpercayaan dari pelaporan
d. Pemenuhan: pemenuhan terhadap hukum dan regulasi yang berlaku.
Manfaat dari penerapan Enterprise Risk Management adalah meningkatkan
kemampuan sebuah perusahaan untuk dapat menyelaraskan risk appetite dengan strategi dan
arah kebijakan perusahaan sehingga dapat meningkatkan kualitas keputusan yang diambil
oleh manajemen perusahaan dalam merespon risiko. ERM juga dapat mengidentifikasi dan
mengelola risiko secara menyeluruh dan karenanya dapat meminimalisasi kejutan dan
kerugian operasional. Perlu diingat bahwa ERM bukanlah sebuah tujuan, melainkan sarana
untuk mendukung penerapan tata kelola perusahaan. Jadi tugas unit manajemen risiko
tidaklah selesai dengan hanya sebatas telah memiliki sistem Enterprise Risk Management.
Dalam COSO ERM, manajemen risiko terdiri dari delapan komponen yang saling
terkait, yaitu:
1. Lingkungan internal
Mengidentifikasi kondisi internal perusahaan, meliputi kekuatan dan kelemahannya,
serta pandangan entitas terhadap risiko dan manajemen risiko.
2. Penetapan sasaran
Sasaran kegiatan manajemen risiko harus sejalan dengan sasaran dari perusahaan,
serta konsisten dengan risk appetite perusahaan.
3. Identifikasi kejadian
Kejadian internal dan eksternal yang dapat mempengaruhi pencapaian sasaran
perusahaan harus diidentifikasi, meliputi risiko dengan kesempatan yang dapat
muncul.
4. Penilaian risiko
10
 Risiko dianalisis berdasarkan kemungkinan dan dampaknya. Hasil analisis risiko
akan dijadikan dasar untuk menentukan perlakuan risiko.
5. Perlakuan risiko
Terdapat empat alternatif pada perlakuan risiko, yaitu menghindari (avoidance),
menerima (acceptance), mengurangi (reduction), dan membagi risiko (sharing).
Pemilihan perlakuan risiko dilakukan dengan membandingkan hasil analisis risiko
dengan risk appetite dan risk tolerance.
6. Aktivitas pengendalian
Membangun dan mengimplementasikan kebijakan dan prosedur untuk memastikan
perlakuan risiko diterapkan dengan efektif.
7. Informasi dan komunikasi
Informasi yang relevan diidentifikasi, diperoleh, dan dikomunikasikan dalam
bentuk dan waktu yang tepat agar personil dapat melakukan tanggung jawabnya
dengan baik.
8. Pemantauan
Seluruh kegiatan ERM harus dipantau, dievaluasi dan dikembangkan.

Gambar 3.1 Ilustrasi Keterkaitan Sasaran, Komponen ERM dan Unit Kerja
Perusahaan

Sumber: COSO Enterprise Risk management - Integrated Framework (Executive Summary)

COSO ERM – Integrated Framework juga mendeskripsikan peran dan tanggung jawab
dari unit-unit kerja perusahaan dalam penerapan manajemen risiko. Satu prinsip dasar yang
ditanamkan COSO ERM adalah bahwa “semua bagian di dalam perusahaan memiliki
tanggung jawab terhadap ERM”, yang artinya implementasi manajemen risiko harus
11
mencakup entity-level, division, business unit, hingga subsidiary, dan mencakup seluruh
seluruh sumber daya manusia di dalamnya. Walau begitu, terdapat pembagian peran dan
tanggung jawab dalam penerapan ERM. Berikut adalah pembagian peran dan tanggung jawab
yang dijelaskan COSO ERM:
a. Board of Directors (BoD) memiliki tanggung jawab penting dalam melakukan
pemantauan terhadap penerapan manajemen risiko, dengan turut
memperhitungkan risk appetite dari entitas;
b. Chief Executive Officer (CEO) memiliki tanggung jawab untuk memastikan
berjalannya ERM yang efektif pada keseluruhan perusahaan;
c. Manajer memiliki tanggung jawab dalam mendukung penerapan prinsip ERM
perusahaan, memastikan pemenuhan ERM dengan risk appetite, dan mengelola
risiko di ranah kewenangannya agar konsisten dengan risk tolerance yang
dimilikinya;
d. Risk officer, financial officer, dan internal audit memiliki peran kunci dalam
mendukung efektivitas penerapan manajemen risiko perusahaan;
e. Petugas operasional (atau biasa disebut risk coordinator) bertanggung jawab dalam
menerapkan manajemen risiko perusahaan sejalan dengan prosedur dan kebijakan
manajemen risiko perusahaan;
f. Pihak eksternal (seperti pelanggan, kompetitor, otoritas, dan pihak yang
berperan dalam value chain perusahaan) tidak memiliki tanggung jawab dalam
memastikan efektivitas ERM dari entitas, tetapi pihak-pihak tersebut berperan
penting dalam menyediakan informasi yang dapat mendukung efektivitas
manajemen risiko.

3.3.1 COBIT
COBIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang
dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara
risiko bisnis, kebutuhan control dan masalah-masalah teknis IT (Sasongko, 2009). COBIT
mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan
TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan
bisnis, memaksimalkan keuntungan, resiko IT dikelola secara tepat, dan sumber daya TI
digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
Frame Work COBIT

12
 COBIT membagi tahapan pengelolaan IT ke dalam 4 domain yaitu Planning and
Organisation, Acquisition & Implementation, Delivery & Support, dan Monitoring and
Evaluation (Bowen, Paul L, dkk, 2007; Naser Eslami, dkk, 2008; Sarno dan Anisah, 2010;
Musa, Ahmad, 2009, Suryani, 2009).
COBIT digunakan untuk membantu manajemen senior, pemilik proses bisnis, user, dan
auditor dalam memahami dan mengelola resiko yang berhubungan dengan teknologi
informasi dalam suatu kebijakan yang jelas. COBIT juga mendukung pengelolaan dalam
penataan teknologi informasi dengan menyediakan kerangka kerja untuk mengatur
keselarasan teknologi informasi dengan bisnis.
Kerangka kerja tersebut juga berguna untuk menghasilkan keuntungan yang maksimal,
resiko dikelola secara tepat, dan sumber daya digunakan secara bertanggungjawab. COBIT
mengelompokkan semua aktivitas bisnis yang terjadi dalam organisasi menjadi 34 proses
yang terbagi ke dalam empat buah domain proses tersebut, meliputi:
a. Planning & Organisation.
Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI
dengan strategi perusahaan, mencakup masalah strategi, taktik dan identifikasi cara terbaik IT
untuk memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi.
Domain ini mencakup:
1. PO1–Menentukan Rencana Strategis
2. PO2–Menentukan Arsitektur Informasi
3. PO3–Menentukan arah teknologi
4. PO4–Menentukan proses IT, organisasi dan hubungannya
5. PO5–Mengelola Investasi IT
6. PO6–Mengkomunikasikan Tujuan dan Arahan Managemen
7. PO7–Mengelola Sumberdaya Manusia
8. PO8–Mengelola Kualitas
9. PO9–Menilai dan Mengelola Resiko IT
10. PO10–Mengelola Proyek
b. Acquisition & Implementation.
Domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses
bisnis organisasi, juga meliputi perubahan dan perawatan yang dibutuhkan sistem yang
sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga. Domain ini
meliputi:
11. AI1–Mengidentifikasi solusi yang dapat diotomatisasi.
13
12. AI2–Mendapatkan dan Memelihara Software Aplikasi.
13. AI3–Mendapatkan dan Memelihara infrastuktur teknologi
14. AI4–Mengaktifkan operasi dan penggunaan
15. AI5–Menyediakan sumber daya IT.
16. AI6–Mengelola perubahan
17. AI7–Instalasi dan akreditasi solusi dan perubahan.
c. Delivery & Support.
Domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas
layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang
berjalan. Domain ini meliputi:
18. DS1 – Menentukan dan mengelola tingkat layanan.
19. DS2 – Mengelola layanan dari pihak ketiga
20. DS3 – Mengelola performa dan kapasitas.
21. DS4 – Menjamin layanan yang berkelanjutan
22. DS5 – Menjamin keamanan sistem.
23. DS6 – Mengidentifikasi dan mengalokasikan dana.
24. DS7 – Mendidikan melatih pengguna
25. DS8–Mengelola service desk dan insiden.
26. DS9–Mengelola konfigurasi.
27. DS10–Mengelola Permasalahan.
28. DS11–Mengelola data
29. DS1 –Mengelola lingkungan fisik
30. DS13–Mengelola operasi.
d. Monitoring and Evaluation
Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi,
pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang
dilakukan. Domain ini meliputi:
31. ME1 – Mengawasi dan mengevaluasi performansi IT.
32. ME2 – Mengevaluasi dan mengawasi kontrol internal
33. ME3–Menjamin kesesuaian dengan kebutuhan eksternal.
34. ME4–Menyediakan IT Governance.
Seluruh tahapan COBIT yang terbagi dalam 4 domain dan 34 proses
(Cobit Framework) tersebut, ditunjukkan pada Gambar 3.2, sebagai berikut:

14
 Gambar 3.2 COBIT Framework

Sumber: COBIT 4.1 Excerp, Executive Summary Framework, 2008)

3.4 Element Utama dalam Lingkungan Internal (Internal environment)

Lingkungan Internal (Internal Environment), atau budaya perusahaan mempengaruhi
cara organisasi menetapkan strategi dan tujuannya; membuat struktur aktivitas bisnis; dan
menidentifikasi, menilai, serta merespon risiko. Ini adalah fondasi dari seluruh komponen

15
ERM lainnya. Lingkungan Internal yang lemah atau tidak efisien sering kali menghasilkan
kerusakan didalam manajemen dan pengendalian risiko. Hal tersebut secara esensial
merupakan hal yang sama dengan lingkungan pengendalian pada kerangka IC. Sebuah
Lingkungan Internal mencakup hal-hal sebagai berikut.
1. Filosofi Manajemen, Gaya pengoprasian, dan Selera Risiko.
Secara keseluruhan, sebuah organisasi memiliki sebuah filosofi atau kepercayaan dan
sikap yang dianut bersama, tentang risiko yang mempengaruhi kebijakan, prosedur,
komunikasi lisan dan tulisan serta keputusan. Perusahaan juga memiliki selera risiko (Risk
Appetite), yaitu jumlah risiko yang bersedia diterima oleh sebuah perusahaan untuk mencapai
tujuan dan sasarannya. Untuk menghindari risiko yang tidak semestinya, selera risiko harus
selaras dengan strategi perusahaan.
Semakin bertanggung jawab filosofi dan gaya pengoprasian manajemen, serta makin
jelas mereka berkomunikasi, maka semakin besar kemungkinan para pegawai akan bertindak
dengan tanggung jawab. Jika manajemen hanya memiliki sedikit perhatian pada pengendalian
internal dan manajemen risiko, maka pegawai akan menjadi kurang rajin untuk mencapai
tujuan pengendalian. Budaya di Springer’s Lumber & Supply menjadi sebuah contoh. Maria
Piler menemukan bahwa garis wewenang dan tanggung jawab di tetapkan dengan longgar
dan mencurigai bahwa manajemen mungkin telah menggunakan ‘’Akuntansi Kreatif ‘’ untuk
meningkatkan kinerja perusahaan. Jason Scott menemukan bukti atas praktik pengendalian
internal yang buruk dalam fungsi pembelian dan utang. Dua kondisi tersebut mungkin
berkaitan; sikap longgar manajemen mungkin menyebabkan ketidakpedulian departemen
kepedulian terhadap praktik pengendalian internal yang baik.
2. Komitmen terhadap Integrasi, Nilai – Nilai Etis, dan Kompetensi.
Standar etis merupakan bisnis yang baik Integritas dimulai dari puncak kepemimpinan
dengan para pegawai perusahaan mengadopsi sikap manajemen puncak tentang resiko dan
pengendalian. Perusahaan mendukung Integritas dengan:
a. Mengajarkan dan mensyaratkan secara aktif.
b. Menghindari pengharapan atau insentif yang tidak realitis sehingga motivasinya
tindakan dusta atau ilegal.
c. Memberikan penghargaan atas kejujuran serta memberikan lebel ferbal pada perilaku
jujur dan tidak jujur secara konsisten.
d. Mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit
perilaku–perilaku jujur dan tidak jujur.
e. Mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan
mendisiplinkan pegawai yang tidak melaporkannya.
f. Membuat sebuah komitmen untuk kompetensi.
3. Pengawasan Pengendalian Oleh Dewan Direksi

16
Dewan Direksi yang terlibat mewakili kepentingan dan memberikan tinjauan independen
manajemen yang bertindak seperti sebuah pengecekan dan penyimbangan atas tindakan
tersebut. Komitmen Audit (Audit Committee), Komitmen audit bertanggung jawab atas
pelaporan keuangan, kepatuhan terhadap pengaturan, pengendalian internal, serta perekrutan
dan pengawasan baik auditor maupun pengawasan ekternal, yang melaporkan seluruh
kebijakan dan praktik akuntansi kepentingan kepada komitmen tersebut.

3.5 Empat Tipe Tujuan Pengendalian yang perlu ditetapkan (Objectives Setting)
Menurut Romney and Steinbart (2015), ada empat tujuan pengendalian yang perlu
ditetapkan dalam suatu perusahaan, yaitu :
1. Tujuan strategis, yang merupakan tujuan tingkat tinggi yang selaras dengan misi
perusahaan, mendukung misi serta menciptakan nilai bagi pemegang saham. Manajemen
harus mengidentifikasi cara-cara alternatif untuk mencapai tujuan strategis;
mengidentifikasi dan menilai risiko serta implikasi dari setiap alternatif, merumuskan
strategi perusahaan, dan mengatur operasi, kepatuhan, dan tujuan pelaporan.
2. Tujuan operasi, yang berhubungan dengan efektivitas dan efisiensi operasional
perusahaan, menentukan bagaimana mengalokasikan sumber daya. Mereka
mencerminkan preferensi manajemen, penilaian, dan gaya serta merupakan faktor kunci
dalam keberhasilan perusahaan. Mereka bervariasi dalam satu perusahaan yang mungkin
memutuskan untuk menjadi pengguna pertama dari teknologi, yang lain mungkin
mengadopsi teknologi ketika terbukti, dan pihak lainnya mungkin mengadopsi hanya
diterima secara umum.
3. Tujuan pelaporan membantu memastikan keakuratan, kelengkapan, dan keandalan
laporan perusahaan, meningkatkan pengambilan keputusan, dan memonitor kegiatan
perusahaan serta kinerja.
4. Tujuan Kepatuhan membantu perusahaan mematuhi semua hukum dan peraturan yang
berlaku. Kebanyakan tujuan kepatuhan, dan tujuan pelaporan, yang dikenakan oleh
entitas eksternal dalam menanggapi hukum atau peraturan. Seberapa baik perusahaan
memenuhi kepatuhan dan tujuan pelaporan secara signifikan dapat mempengaruhi
reputasi perusahaan.
Berdasarkan konsep COSO, bahwa pengendalian internal ditujukan untuk mencapai
tiga kategori tujuan yang memungkinkan organisasi untuk fokus pada aspek pengendalian
internal yang berbeda, yang mencakup tujuan-tujuan operasi, tujuan-tujuan pelaporan, dan
tujuan-tujuan ketaatan.
17
 Tujuan-tujuan operasi berkaitan dengan efektivitas dan efisiensi operasi entitas,
termasuk tujuan operasional dan keuangan, dan untuk menjaga aset dan kerugian. Tujuan-
tujuan pelaporan berkaitan dengan kepentingan pelaporan keuangan baik untuk kalangan
internal maupun eksternal yang memenuhi kriteria andal, tepat waktu, transparan dan
persyaratan-persyaratan lain yang ditetapkan oleh pemerintah, pembuat-pembuat standar
yang diakui, ataupun kebijakan-kebijakan entitas. Sementara itu, tujuan-tujuan ketaatan
berkaitan dnegan ketaatan terhadap hukum dan peraturan dengan mana entitas merupakan
subjeknya.
Tujuan-tujuan pengendalian internal dalam versi ICIF COSO tahun 2013 ini pada
dasarnya relatif sama dengan yang dikemukakan pada tahun 1992, namun tujuan-tujuan
tersebut mengalami perluasan, misalnya pada tujuan-tujuan operasi yang tidak hanya
mencakup kinerja keuangan dan pengamanan aset saja, tetapi juga operasi perusahaan/entitas
secara keseluruhan.

3.6 Identifikasi Kejadian (Event Identification)

COSO mendefinisikan sebuah peristiwa sebagai "insiden atau kejadian yang berasal
dari sumber internal atau eksternal yang mensugesti implementasi taktik atau pencapaian
tujuan. Peristiwa mungkin memiliki dampak faktual atau negatif atau keduanya. Suatu
peristiwa mencerminkan ketidakpastian, mungkin atau mungkin tidak terjadi, sulit untuk
mengetahui kapan hingga ia terjadi, mungkin sulit untuk menentukan dampaknya saat itu
terjadi, mungkin memicu peristiwa lain dapat terjadi secara individu atau bersamaan.
Manajemen harus mencoba untuk mengantisipasi semua kemungkinan peristiwa faktual atau
negatif, menentukan mana yang paling dan paling mungkin terjadi, dan memahami
keterkaitan antar peristiwa.
Sebagai contoh, implementasi sistem Electronic Data Interchange (EDI) yang
menciptakan dokumen elektronik, mengirimkan mereka ke pelanggan dan pemasok, dan
mendapatkan jawaban elektronik. Beberapa peristiwa perusahaan yang mungkin dihadapi
ialah memilih teknologi yang tepat, susukan yang tidak sah, hilangnya integritas data,
ketidaklengkapan sistem transaksi, dan sistem yang tidak kompetibel.
Beberapa perusahaan teknik digunakan untuk mengidentifikasi kejadian termasuk
menggunakan daftar lengkap peristiwa potensial, melaksanakan analisis internal, pemantauan
program terkemuka dan memicu poin, melaksanakan lokakarya dan wawancara, dengan
menggunakan data mining, dan menganalisis proses bisnis.

18
3.7 Penilaian Risiko (Risk Assessment)
Risiko atas kejadian yang teridentifikasi dapat dinilai melalui beberapacara yang
berbeda yaitu dengan kemungkinan, pengaruh positif dan negatif, secara individu dan sesuai
kategori, pengaruhnya terhadap unit organisasi baik pada risiko turunan maupun risiko
berbasis residual. Risiko Turunan terjadi sebelum manajemen melakukan langkah-langkah
untuk mengendalikan kemungkinan atau pengaruh suatu kejadian. Risiko Residual adalah
risiko yang tersisa setelah manajemen melakukan kendali internal atau respon lainnya
terhadap risiko. Perusahaan harus menilai risiko turunan, memberikan respon dan kemudian
menilai/menaksir risiko residualnya. Perusahaan dapat menilai risiko turunan, memberikan
respon dan kemudian menilai risiko residual.

3.8 Risk Response

Untuk meluruskan risiko yang diidentifikasi melalui toleransi perusahaan terhadap
risiko, manajemen harus memandang secara luas risiko pada entitas. Manajemen menilai
kemungkinan dan pengaruh risiko, sebagaimana biaya dan benefit atas respon alternativ.
Manajemen dapat merespon risiko dengan salah satu diantara 4 (empat) cara berikut :
1. Reduce (Mengurangi). Mengurangi kemungkinan dan pengaruh risiko dengan
melaksanakan sistem yang efektif terhadap kendali internal.
2. Accept (Menerima). Menerima kemungkinan dan pengaruh risiko.
3. Share (Membagikan). Membagi risiko atau mentransfer risiko tersebut ke orang lain
dengan membeli asuransi, outsourching aktivitas, atau memasukkan ke dalam
transaksi lindung nilai (hedging).
4. Avoid (Menghindari). Menghindari risiko dengan tidak melakukan kegiatan yang
menghasilkan risiko. Dalam hal ini perusahaan perlu menjual pembagiannya, keluar
dari lini produk, atau tidak mengembangkan perusahaan sebagai antisipasinya.
Menghindari risiko dengan tidak melakukan kegiatan yang menghasilkan risiko. Dalam
hal ini perusahaan perlu menjual pembagiannya, keluar dari lini produk, atau
tidak mengembangkan perusahaan sebagai antisipasinya. Akuntan dan perancang sistem
membantu manajemen merancang sistem kendali yang efektif untuk menghindari risiko
turunan tersebut. Mereka juga mengevaluasi sistem kendali internal untuk memastikan bahwa
sistem bekerja secara efektif.
3.9 Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan aturan yang memberikan jaminan cukup
bahwa tujuan pengendalian manajemen dicapai. Pada umumnya aktivitasnya dapat
dikelompokan menjadi lima kelompok yakni :

19
 1. Otorisasi yang tepat terhadap aktivitas dan transaksi
2. Pemisahan tugas
3. Perancangan dan penggunaan dokumen dan catatan yang memadai
4. Perlindungan yang memadai terhadap akses dan penggunaan aktiva dan catatan
5. Pengecekan independen terhadap kinerja

3.10 Informasi dan Komunikasi

Sistem informasi dan komunikasi haruslah memperoleh dan mempertukarkan informasi
yang dibutuhkan untuk mengatur, mengelola, dan mengendalikan operasi perusahaan. Tujuan
utama dari sistem informasi akuntansi (SIA-accounting information system) adalah untuk
mengumpulkan, mencatat, memproses, menyimpan, meringkas, mengkomunikasikan
informasi mengenai sebuah organisasi. Hal tersebut meliputi pemahaman cara transaksi
dilakukan, data diperoleh, file di akses serta diperbarui, data diproses, dan informasi
dilaporkan. Hal itu meliputi pemahaman pencatatan dan prosedur akuntansi, dokumen-
dokumen pendukung, dan laporan keuangan. Hal-hal tersebut memberikan jejak audit (audit
trail), yang memungkinkan transaksi untuk ditelurusuri secara bolak-balik antara asalnya dan
laporan keuangan.
Sebagai tambahan untuk pengidentifikasian dan pencatatan seluruh transaksi yang
valid, SIA harus mengklasifikasikan transaksi secara tepat, mencatat transaksi pada nilai
moneter yang sesuai, mencatat transaksi di dalam periode akuntansi yang sesuai, dan
menyajikan transaksi secara tepat dan pengungkapkan lainnya di dalam laporan keuangan.
Komunikasi harus dilakukan secara internal dan eksternal untuk menyediakan
informasi yang dibutuhkan guna menjalankan aktivitas pengendalian internal harian. Seluruh
personel harus memahami tanggung jawab mereka.
Kerangka IC yang diperbarui memerinci bahwa 3 prinsip berikut berlaku di dalam
proses informasi dan komunikasi :
1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk
mendukung pengendalian internal.
2. Mengkomunikasikan informasi secara internal, termaksud tujuan dan tanggung jawab
yang diperlukan untuk kompenen-kompenen lain dari pengendalian internal.
3. Mengkomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-pihak
eksternal.
Akuntan dalam melaksanakan proses ini harus memahami bagaimana (1) transaksi
terjadi (2) data direkam dalam machine readable form (3) file-file komputer diakses dan di-
update (4) data diproses untuk menghasilkan laporan, dan (5) informasi dilaporan ke
pengguna intern dan pengguna ekstern.
Cara pelaporan kepada para pengguna tergantung pada beberapa faktor berikut :

20
1. Jenis Output, Softcopy atau Hardcopy. Jenis output ini akan membedakan cara
pelaporan kepada pemakai.
2. Teknologi informasi yang dipakai. Apabila perusahaan memanfaatlam teknologi
informasi untuk menyamoaikan berbagai laporan, maka laporan tersebut lebih
cepat, lebih tepat waktu, dan lebih terjamin kerahasiaannya.
3. Jenis laporan yang dirahasiakan.

21
 BAB IV
KESIMPULAN DAN SARAN
4.1. Kesimpulan
Dalam suatu sistem informasi akuntansi terkandung unsur-unsur pengendalian, maka
baik buruknya sistem informasi akuntansi sangat mempengaruhi fungsi manajemen dalam
melakukan pengendalian internal, karena informasi yang dihasilkannya akan dijadikan salah
satu dasar dalam pengambilan keputusan yang berkaitan dengan aktivitas perusahaan.
Mengingat begitu pentingnya penerapan sistem informasi akuntansi dalam suatu perusahaan,
maka tidak dapat dibayangkan bagaimana jadinya kalau suatu perusahaan tidak memiliki
sistem informasi akuntansi yang memadai. Perusahaan tersebut mungkin tidak dapat
memproses transaksinya secara jelas, terinci dan terstruktur. Kemudian perusahaan tersebut
mungkin tidak akan memperoleh informasi yang relevan dan dapat dipercaya yang
diperlukannya untuk dijadikan dasar dalam mengambil keputusan yang menyangkut aktivitas
dan kelangsungan hidup perusahaan.
Pengendalian Intern (internal control) adalah rencana organisasi dan metode yang
digunakan untuk menjaga atau melindungi aktiva, menghasilkan informasi yang akurat dan
dapat dipercaya, memperbaiki efisiensi, dan untuk mendorong ditaatinya kebijakan
manajemen. Pengendalian intern melakukan tiga fungsi penting (Romney and Steinbart,
2015):
1. Pengendalian Preventif mencegah masalah sebelum mereka muncul. Contohnya
termasuk mempekerjakan personil yang berkualitas, memisahkan tugas karyawan, dan
mengendalikan akses fisik ke aset dan informasi;
2. Pengendalian Detektif menemukan masalah yang tidak dicegah. Contohnya termasuk
duplikat pemeriksaan perhitungan dan mempersiapkan rekonsiliasi bank dan saldo
pemeriksaan bulanan;
3. Pengendalian Korektif mengidentifikasi dan maupun memperbaiki dan memulihkan
kembali sistem akibat error serta benar dan pulih dari kesalahan yang dihasilkan.
Contohnya termasuk menjaga salinan cadangan dari file, mengoreksi kesalahan entri
data, dan mengumpulkan transaksi untuk diproses selanjutnya.

4.2. Saran
Sistem informasi akuntansi dirancang sedemikian rupa oleh suatu perusaha sehingga
dapat memenuhi fungsinya yaitu menghasilkan informasi akuntansi yang tepat waktu, relevan
dan dapat dipercaya. Dalam pelaksanaannya, diperlukan pengenalian internal untuk dapat
memastikan sistem informasi berjalan sesuai rencana sehingga mendukung pencapaian tujuan

22
perusahaan. Dalam penerapan pengendalian internal, manajemen perlu melakukan langkah-
langkah agar penerapan pengendalian internal berjalan efektif, yaitu:
1. Mengetahui bentuk, struktur dan karakteristik utama perusahaan sebelum menentukan
kebijakan;
2. Melakukan analisis SWOT untuk menilai kondisi internal dan eksternal perusahaan yang
akan mempengaruhi pencapaiian tujuan;
3. Memilih bentuk pengendalian internal yang sesuai dengan bentuk, struktur dan
karakteristik utama perusahaan;
4. Memastikan SDM yang berkualitas dalam menjalankan sistem informasi dan
pengendalian internal;
5. Meakukan evaluasi secara berkala untuk menilai efektifitas pengendalian internal dalam
sistem informasi perusahaan.

23
 DAFTAR PUSTAKA

10 Reasons not to Like the COSO ERM Framework. Norman Marks on Governance, Risk
Management, and Audit. http://normanmarks.wordpress.com/2011/02/21/10-reasons-not-to-
like-the-c...

COSO Enterprise Risk Management (ERM) – Integrated Framework (Executive Summary).

Diunduh dari http://www.coso.org/publications/erm/coso_erm_executivesummary.pdf

Comparing the COSO ERM Framework with ISO31000. Linkedin Discussion (dimulai oleh Alex
Dali, President at Global Institute for Risk Management Standards - G31000). Diunduh
dari http://www.linkedin.com/groups/Comparing-COSO-ERM-Framework-ISO-1834592....

Hapzi Ali, 2017, Modul Perkuliahan Sistem Informasi dan Pengendalian Internal,
Membandingkan Kerangka Pengendalian Internal : 1. Coso Internal Control Integrated
Framework, 2. COSO Enterprise Risk Management, 3. COBIT, Universitas Mercu Buana.

International Standard for Organization (ISO) 31000:2009 Risk Management – Principles and
Guidelines.

24