A.

Memperkirakan Biaya dan Manfaat

Tujuan dari sistem pengendalian internal yakni untuk memberikan jaminan memadai
bahwa kejadian tidak terjadi. Sistem ini tidak memberikan perlindungan yang mudah
dikarenakan memiliki banyak biaya sangat besar dan secara negatif memengaruhi efesiensi
operasional , begitu pula sebaliknya.Manfaat dari pengendalian internal harus melebihi
biayanya. Manfaat tersebut sulit dihitung secara akurat , termasuk penjualan dan produktivitas
yang meningkat, kerugian yang dikurangi, integrasi yang lebih baik dengan pelanggan dan
pemasok, loyalitas pelanggan yang meningkat, keunggulan kompetitif dan premi asuransi yang
lebih rendah.

Salah satu cara untuk memperkirakan nilai pengendalian internal melibatkan kerugian yang
diperrkirakan , hasil matematis dampak kemungkinan.

Kerugian yang perkirakan = Dampak x Kemungkinan

Nilai dari prosedur pengendalian yakni selisih antara kerugian yang diperkirakan dengan
prosedur-prosedur pengendalian dan kerugian yang diperkirakan tanpa prosedur tersebut
 B. Menentukan Efektivitas Biaya/Manfaat

Dalam mengevaluasi pengendalian internal, manajemen harus lebih mempertimbangkan

faktor-faktor yang lain daripada faktor-faktor yang ada dalam perhitungan biaya/manfaat yang
diperkirakan. Sebagai contoh jika sebuah kejadian mengancam ekstensi sebuah perusahaan ,
biaya ektranya dapat dianggap sebagai sebuah premi asuransi kerugian bencana.

Tabel 7-1 Analisis Biaya/Manfaat dari Prosedur Validasi Penggajian

Tanpa Prosedur Dengan Prosedur Selisih Perkiraan
Validasi Validasi Bersih
Biaya untuk memproses $10.000 $10.000
ulang seluruh
penggajian
Kemungkinan 15% 1%
kesalahan data
penggajian
Biaya pemrosesan $1.500 $100 $1.400
ulang yang diperkirakan
($10.000xkemungkinan)
Biaya prosedur validasi $0 $600 $(600)
Manfaat perkiraan $800
bersih dari prosedur
validasi

C. Mengimplementasikan Pengendalian atau Menerima, Membagi , atau Menghindari Resiko

Pengendalian biaya efektif harus di implementasikan untuk mengurangi resiko . Risiko
yang tidak dikuragi harus diterima, dibagi, dan dihindari. Risiko dapat diterima jika ia berada
dalam jangkauan toleransi risiko perusahaan . contohnya, sebuah risiko dengan
kemungkinan dan dampak yang kecil. Respons untuk menurunkan atau membagi risiko
membantu membawa risiko residual kedalam sebuah jangkauan toleransi risiko yang dapat
diterima.

1. Aktivitas Pengendalian
Kebijakan , prosedur, dan aturan yang memberikan jaminan memadai bahwa tujuan
pengendalian telah dicapai dan respons risiko dilakukan. Manajemen harus memastikan bahwa
1. Pengendalian dipilih dan dikembangkan untuk membantu mengurangi resiko hingga level
yang dapat diterima
2. Pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi
3. Aktivitas pengendaliana diimplementasikan dan dijalankan sesuai dengan kebijakan dan
prosedur perusahaan yang telah ditentukan

Pengendalian jauh lebih efektif ketika dijalankan sejak system dibangun, daripada sesudah
dibangun. Hal yang penting bahwa aktivitas pengendalian tetap berjalan selama musim libur
akhir tahun, karena jumlah penipuan komputer yang tidak proporsional dan perampokan
keamanan yang dilakukan pada waktu tersebut. Beberapa alasannya yaitu ; 1. Liburan pegawai
yang diperpanjang, 2. Para pelajar libur sekolah dan mempunyai waktu lebih, 3. Para hacker
yang budaya nya berbeda meningkatkan serangan mereka.

Prosedur pengendaian dilakukan dalam kategori-kategori berikut :

1. Otoritas transaksi dan aktivitas yang layak

2. Pemisahan tugas
3. Pemngembangan proyek dan pengendalian akuisisi(perolehan)
4. Mengubah pengendalian manajemen
5. Mendesain dan menggunakan dokumen serta catatan
6. Pengamanan aset, data, dan catatan
7. Pengecekan kinerja yang independen

A. Otorisasi Transaksi dan Aktivitas yang Tepat

Otoritas merupakan sebuah pengendalian penting , otoritas sering di dokumentasikan

dengan penandatanganan , penginisialisasikan , dan pemasukan sebuah kode otoritas pada
sebuah dokumen atau catatan. Aktivitas atau transaksi tertentu bisa jadi merupakan
konsekuensi bahwa manajemen memberikan otoritas khusus agar aktifitas atau transaksi
tersebut terjadi. Para pegawai yang memproses transaksi harus memverifikasikan adanya
otoritas yang sesuai. Para auditor meninjau transaksi untuk memverifikasi otoritasi yang tepat ,
seperti ketiadaan transaksi-transaksi yang mengindikasikan sebuah masalah pengendalian yang
mungkin terjadi.

B. Pemisahan Tugas
Pengendalian internal yang baik mensyaratkan tidak ada satu pegawai pun yang diberi
terlalu banyak tanggung jawab atas transksi atau proses bisnis. Pemisahan tugas dibagi menjadi
dua bahasan yaitu pemisahan tugas akuntansi dan tugas sistem
1. Pemisahan tugas akuntansi, yang efektif tercapai apabila fungsi-fungsi berikut dipisahkan
- Otorisasi : menyetujui transaksi dan keputusan
- Pencatatan : mempersiapkan dokumen sumber ; memasukan data ke dalam sistem
komputer, memelihara jurnal, buku besar, file atau database ; dan menyiapkan
rekonsiliasi dan laporan kinerka
- Penyimpanan ; menangani kas, peralatan, persediaan atau aktiva tetap ; menerima cek
pelanggan yang dating ; menulis cek
 Dalam sebuah sistem dengan pemisahan tugas yang efektif , sulit bagi pegawai untuk
berhasil mengelapkan. Mendeteksi penipuan dengan dua atau lebih orang yang terlibat kolusi
dalam usahannya menolak pengendalian akan lebih sulit karena lebih mudah untuk melakukan
dan menyamarkan penipuan. Pegawai dapat berkomplot dengan pegawai lain , pelanggan , atau
vendor . Kolusi pegawai/vendor yang paling sering dilakukan, meliputi penagihan pada harga
yang melambung , melakukan pekerjaan dibawah standard dan menerima bayaran penuh,
bayaran untuk tidakbekerja, menggandakan tagihan, dan pembelian lebih banyak abrang secara
tidak perlu dari perusahaan yang berkomplot.

2. Pemisahan tugas sistem, untuk melawan ancaman orang yang memiliki akses tidak terbatas
kekomputer , program , dan data langsung dapat dengan menerapkan pemisahan tugas
sistem. Wewenang dan tanggung jawab dibagi menurut fungsi-fungsi sbb ;
1. Administrator sistem , memastikan seluruh komponen sistem informasi berjalan dengan
lancar dan efesien
2. Manajemen jaringan , bahwa perangkat ditautkan kejarinan internal dan eksternal
organisasi dan memastikan pula bahwa jaringan tsb beroperasi dengan baik
3. Manajemen keamanan, memastikan sistem yang ada aman dan terlindungi dari
ancaman internal dan eksternal
4. Manajemen perubahan, memastikan perubahan dibuat dengan lancar dan efesien tidak
memengaruhi keterandalan, keamanan, kerahasiaan , integritas, dan ketersediaan
sistem secara negatif
5. Pengguna, memcatat transaksi, melakukan otorisasi data unuk diproses dan
menggunakan output sistem
6. Analisis sistem , membantu pengguna menentukan kebutuhan informasi mereka dan
mendesain sistem agar sesuai dengan kebutuhan-kebutuhan tersebut
7. Pemrogram , membuat dan mengembangkan desain analis, mengodekan dan menguji
program komputer
8. Operator komputer, menjalankan perangkat lunak pada komputer perusahaan
 9. Perpustakaan sistem informasi memelihara dan menyimpan database, file dan program
perusahaan dalam area penyimpanan terpisah
10. Pengendalian data, memastikan bahwa data sumber telah disetujui dengan semestinya,
mengawasi alur kerja melalui komputer , merekonsiliasikan input dan ouput ,
memelihara catatan kesalahan input untuk memastikan kebenaran dan kepatuhan
kembali, serta mendistribusikan ouput sistem

C. Pengembangan Proyek dan Pengendalian Akuisisi(Perolehan)

Pengendalian pengembangan sistem yang penting meliputi hal-hal berikut;
1. Komite pengarah, memandu dan mengawasi pengembangan dan akuisisi sistem
informasi
2. Rencana induk strategis, dikembangkan dan diperbarui tiap tahun untuk
menyelaraskan sistem informasi organisasi dengn strategi-strategi bisnisnya.
3. Rencana pengembangan proyek, menunjukan tugas-tugas yang dijalankan , orang
yang akan menjalankannya , biaya proyek, tanggal penyelesaian dan tonggak proyek
4. Jadwal pengolahan data, menunjukan kapan setiap tugas seharusnya dijalankan
5. Pengukuran kinerja sistem , untuk mengevaluasi sistem
6. Tinjauan pasca implementasi , dijalankan setelah sebuah proyek pengembangan
diselesaikan untuk menentukan apakah manfaat antisipasian tercapai

Beberapa perusahaan memperkerjakan seorang sistem integrator untuk mengelola

sebuah upaya pengembangan sistem yang melibatkan personel dalam perusahaan ,
kliennya dan vendor lainnya. Perusahaan-perusahaan yang menggunakan sistem ini
sebaiknya mengunakan proses pengendalian manajemen proyek yang sama dengan proyek
internal. Selain itu perusahaan harus melakukan hal berikut : 1.mengembangkan spesifikasi
yang jelas, dan 2. mengawasi proyek

D. Mengubah Pengendalian Manajemen

Organisasi memodifikasi sistem yang berjalan untuk merefleksikan praktik-praktik bisnis
baru dan memanfaatkan pengusaan TI. Mereka bertugas untuk perubahan harus
memastikan bahawa mereka tidak memperkenalkan kesalahan sehingga menfasilitasikan
penipuan
E. Mendesain dan Menggunakan Dokumen dan Catatan
Menggunakan desain dokumen elektronik dan kertas yang sesai dapat membantu
memastikan pencatatan yang akurat serta lengkap dari seluruh data transaksi yang relevan.
Dokumen yang mengawali sebuah transaksi harus menyediakan sebuah ruang untuk
otorisasi. Jejak audit memfasilitasi penelusuran tranksasi individu melalui sistem,
memperbaiki kesalahan , dan memverifikasi output sistem.

F. Pengamanan Aset , Catatan, dan Data

Pegawai merupakan risiko keamanan yang lebih besar dibandingkan orang luar. Para
pegawai juga menyebabkan ancaman yang tidak disengaja, seperti menghapus tanpa
 sengaja data perusahaan , membuka lampiran e-mail yang sarat dengan virus atau
mencoba memperbaiki perangkat keras atau lunak tanpa keahlian yang memadai. Penting
bagi kita untuk melakukan hal-hal berikut :
- Menciptakan dan menegakkan kebijakan dan prosedur yang tepat
- Memelihara catatan akurat dari seluruh aset
- Membatasi akses terhadap aset
- Melindungi catatan dan dokumen

G. Pengecekan Kinerja yang Independen

Pengecekan kinerja independen yakni meliputi :
- Tinjauan tingkat atas
- Tinjauan analitis
- Rekonsiliasi catatan-catatan yang dikelola secara independen
- Perbandingan terhadap kuantitas actual dengan jumlah dicatat
- Akuntansi double-entry
- Tinjauan independen

2. Informasi dan Komunikasi

Sistem informasi akuntansi adalah untuk mengumpulkan , mencatat, memproses ,
menyimpan , meringkas, dan mengomunikasikan informasi mengenai sebuah organisasi.
Komunikasi harus dilakukan secara internal dan eksternal untuk menyediakan informasi yang
dibutuhkan guna menjalankan aktivitas pengendalian internal harian. Seluruh personel harus
memahami tanggung jawab mereka.
Kerangka IC yang diperbarui memerinci bahwa tiga prinsip berlaku dalam proses
informasi dan komunikasi , yaitu :
1.Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk
mendukung pengendalian internal
2.Mengkomunikasikan informasi secara internal , termasuk tujuan dan tanggung jawab yang
deperlukan untuk mendukung komponen-komponen lain dari pengendalian internal.
3.Mengkomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-pihak eksternal

3. Pengawasan
Sistem pengendalian internal dipilih atau dikembangkan harus diawasi secara
berkelanjutan, dievaluasi, dan dimodifikasi sesuai kebutuhan. Segala kekurangan harus
dilaporkan kepada manajemen senior dan dewan direksi.

A. Menjalankan Evaluasi Pengendalian Internal

Efektifitas pengendalian internal diukur dengan menggunakan evaluasi forma atau
evaluasi penilaian diri. Sebuah tim dapat dibentuk untuk melakukan evaluasi, atau hal ini dapat
dilakukan dengan pengauditan internal.
B. Implementasi Pengawasan yang Efektif
Pengawasan yang efektif melibatkan melatih dan mendampingi pegawai , mengawasi
kinerja mereka, mengoreksi kesalahan , dan mengawasi pegawai yang memiliki akses terhadap
aset. Pengawasan terutama penting untuk organisasi tanpa pelaporan pertanggungjawaban
atau sebuah pemisahan tugas yang memadai.

C. Menggunakan Sistem Akuntansi Pertangggungjawaban

Sistem akuntansi pertanggungjawaban meliputi anggaran, kuota, jadwal, biaya standar
kinerja aktual dan yang direncanakan dan prosedur untuk menyelidiki serta mengoreksi varians
yang signfikan.

D. Mengawasi Aktivitas Sistem

Untuk membuat pegawai menyetujui secara tertulis kebijakan-kebijakan harus
menyertakan :
1. Teknologi yang digunakan oleh seorang pegawai untuk pekerjaannya adalah milik
perusahaan
2. Email yang diterima oleh komputer perusahaan bukanlah email pribadi dan dapat dibaca leh
resonel pengawas , kebijakan ini memungkinkan sebuah perusahaan farmasi besar untuk
mengidentifikasi dan menghentikan seorang pegawai yang mengirimkan data produksi obat
rahasia kepada seorang pihak eksternal
3. Para pegawai tidak boleh menggunakan teknologi untuk berkontribusi pada lingkungan kerja
yang bermusuhan

E. Melacak Perangkat Lunak dan Perangkat Bergerak yang Dibeli

Untuk mematuhi hak cipta dan melindungi diri dari gugatan pembajakan perangkat
lunak, perusahaan harus melakukan audit secara periodik. Peningkatan jumlah perangkat
bergerak harus dilacak dan diawasi karena kerugian dapat menunjukan pengungkapan yang
substansial. Barang-barang yang dilacak adalah perangkat , siapa yang memiliki , tugas apa yang
mereka jalankan , fitur keamanan yang dipasang , dan perangkat lunak apa yang dibutuhkan
oleh perusahaan untuk memelihara sistem dan keamanan jaringan nyang memadai.

F. Menjalankan Audit Berkala

Audit keamanan ekternal, internal dan jaringan dapat menilai dan mengawasi risiko
maupun mendeteksi penipuan dan kesalahan. Menginformasikan para pegawai audit
membantu menyelesaikan masalah-masalah privasi , menghalangi penipuan, dan mengurangi
kesalahan. Audit internal menilai keterandalan serta integritas informasi dan operasi keuangan ,
mengevaluasi efektifitas pengendalian internal, dan menilai kepatuhan pegawai dengan
kebijakan dan prosedur manajemen maupun perundangan dan peraturan yang berlaku.
G. Memperkerjakan Petugas Keamanan Komputer dan Chief Compliance officer
Seorang computer security officer (CSO) bertugas atas keamanan sistem , independen
dari fungsi sistem informasi , dan melapor kepada Chief Operating Officer (COO) / CEO.
Banyaknya tugas terkait atau bentuk kepatuhan lainnya telah menuntun banyak perusahaan
untuk mendelegasikan seluruh masalah kepatuhan kepada seorang chief compliance officer.
Banyak perusahaan menggunakan konsultan komputer dari luar atau tim dalam perusahaan
untuk menguji dan mengevaluasi prosedur keamanan serta sistem komputer

H. Menyewa Spesialis Forensik

Spesialis forensik komputer menemukan, mengekstrasikan , mengamankan dan
mendokumentasikan bukti komputer seperti keabsahan , akurasi, dan integritas bahwa tidak
akan menyerah pada tantangan-tantangan hukum. Beberapa hal umum yang diselidiki yaitu
penggunaan internet yang tidak tepat, penipuan, sabotase, kehilangan, pencurian, atau korupsi
data dsb

I. Memasang Perangkat Lunak Deteksi Penipuan

Jaringan saraf program dengan kemampuan pembelajaran , dapat menidentifikasi
penipuan secara akurat.

J. Mengimplementasikan Hotline Penipuan

Orang-orang yang menyaksikan perilaku curang sering kali terbagi diantar dua perasaan
yang bertentangan. Meskipun mereka ingin melindungi aset perusahaan dan melaporkan pelaku
penipuan , mereka merasa tidak nyaman untuk melakukan pelaaporan penipuan sehingga
mereka memilih untuk diam. Sebuah hotline penipuan merupakan cara efekti untuk mematuhi
hukum dan menyelesaikan konflik