Masyarakat telah semakin tergantung pada sistem informasi akuntansi, yang juga telah berkembang semakin kompleks untuk memenuhi peningkatan kebutuhan atas informasi. Sejalan dengan peningkatan kompleksitas sistem dan ketergantungan pada sistem tersebut, perusahaan menghadapi peningkatan risiko atas sistem mereka yang sedang di negosiasikan tersebut. Mengapa ancaman terhadap sistim informasi akuntansi terus meningkat hampir setiap tahun, lebih dari 60% mengalami sebuah kegagalan besar dalam mengendalikan keamanan dan intregitas sistim komputer mereka. Penyebab-penyebanya adalah sebagai berikut: 1. Informasi tersedia untuk junlah karyawan yang sangat besar. Chevron contohnya memiliki 35.000 unit personal komputer. 2. Informasi yang didistribusikan dalam jaringan informasi sukar untuk diawasi. Di Chevron, informasi didistribusikan ke setiap sistim dan ke beribu-ribu karyawan diseluruh dunia. Setiap sistim dan karyawan berpotensi mewakili titik rentan pengawasan. 3. Pelanggan dan supplier dapat mengakses setiap sistim dan data. Contoh WalMart membolehkan vendornya untuk mengakses database mereka. Bayangkan kepercayaan yang diberikan seperti ini kepada vendor yang memiliki hubungan dengan pesaing. Organisasi belum melakukan proteksi data secara cukup memiliki beberapa alasan: Beberapa perusahaan melihat bahwa kehilangan beberapa informasi penting masih jauh dan sepertinya bukan ancaman Implikasi pengendalian akibat berpindahnya sistim komputer yang tersentral kesistim berbasis internet tidak sepenuhnya dipahami. Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber strategisdan melindunginya membutuhkan sebuah strategi, contohnya sebuah perusahaankehilangan jutaan dollar karena tidak melindungi transmisi data. Seorang pesaingmasuk ke jaringan telepon dan mengfax design produk baru. Produktivitas dan biaya menekan motivasi manajemen Segala potensi kejadian yang merugikan disebut ancaman (threat) atau sebuah kejadian (event). Kerugian uang yang potensial dari sebuah ancaman disebut paparan atau dampak. Kemungkinan bahwa paparan (exposure) atau dampak (impact) akan terjadi disebut sebagai kemungkinan (likelihood) ancaman. 1.2 Rumusan Masalah 1. Kerangka Pengendalian pada SIA 2. Penjelasan mengenai Lingkungan Internal 3. Penjelasan mengenai Penilaian Resiko dan Respons Risiko 4. Informasi dan Komunikasi seperti apa 5. Pengawasan pada SIA
BAB II
PEMBAHASAN
2.1 Kerangka Pengendalian
Bagian ini membahas tiga kerangka yang digunakan untuk mengembangkan sistem pengendalian internal; Kerangka COBIT Information system audit and control association (ISACA) mengembangkan kerangka control objective for information and related technology (COBIT). COBIT menggabungkan Asosiasi Pengendalian dan Audit Sistim Informasi (ISACA) telah membuat kerangka tujuan pengendalian untuk informasi dan teknologi (COBIT). COBIT menggabungkan standar pengendalian dari 36 sumber yang berbeda kedalam sebuah kerangka tunggal yang memungkinkan (1)manajemen untuk membuat patokan keamanan dan pelaksanaan pengendalian dari lingkungan IT, (2)Pengguna dijamin bahwa keamanan IT yang cukup dan keberadaan pengendalian, dan (3)para Auditor memperkuat opini pengendalian internal dan mempertimbangkan masalah keamanan IT dan pengendalian yang dilakukan. COBIT 5 didasarkan pada lima prinsip utama tata kelola dan manajemen TI. Prinsip-prinsip berikut ini memungkinkan dalam membantu organisasi membangun sebuah tata kelola yang efektif dan kerangka manajemen yang melindungi investasi pemangku kepentingan dan memhasilkan sistem informasi terbaik. 1. Memenuhi keperluan pemangku kepentingan. Kerangka COBIT 5 membantu para pengguna mengatur proses dan prosedur bisnis untuk menciptakan sebuah sistem informasi yang menambah niali untuk pemangku kepentingan.ia juga memungkinkan perusahaan menciptakan keseimbangan yang tepat di antara resiko dan penghargaan. 2. Mencakup perusahaan dari ujung ke ujung. Kerangka COBIT tidak hanya berfokus pada operasi IT, ia juga mengintegrasikan semua ungsi dan proses IT kedalam fungsi serta proses keseluranperusahaan 3. Mengajukan sebuah kerangka terintegrasi dan tunggal. Kerangaka cobit 5 dapat disejajarkan pada tingkat yang tinggi dengan standar dan kerangaka lainya. 4. Memukinkan pendekatan holistik. Kerangka cobit 5 memeberi sebuah pendekatan holistik yang menghasilkan tata kelola dan manajemen yang efektif dari semua fungsi TI di perusahaan 5. Memisahkan tata kelola dari manajemen. Kerangka cobit 5 membedakan antara tata kelola manajemen
Kerangka Manajemen Risiko Perushaan
Untuk meningkatkan proses manajemen resiko, COSO membuat kernagka kerja pengendalian internal kedua yang dianamakan Enterprise Risk Management (ERM) atau Manajemen Resiko Perusahaan. ERM adalah proses dewan direktur dan manajemen mempersiapkan strategi, mengidentifikasikan kejadian-kejadian yang mempengaruhi entitas, menilai dan mengelola resiko dan menyediakan jaminan yang wajar bahwa perusahaan meraih sasaran dan tujuannya. Prinsip-prinsip dasar dibelakang ERM sebagai berikut: Perusahaan dibentuk untuk menciptakan nilai bagi pemilik-pemilknya Manajemen harus memutuskan berapa banyak ketidakpastian yang akan ia terima saat menciptakan nilai. Ketidakmenentuan akan menghasilkan resiko, dimana sesuatu yang terjadi secaranegatif akan mempengaruhi kemampuan perusahaan untuk menciptakan atau mempertahankan nilai. Ketidakmenentuan menghasilkan kesempatan, dimana sesuatu yang terjadi secara positif akan mempengaruhi kemampuan perusahaan untuk menciptakan nilai dan mempertahankan nilai. Kerangka kerja ERM bisa mengelola ketidakmenentuan dan juga menciptakandan mempertahankan nilai
Kerangka Manajemen Risiko Perusahaan Versus Kerangka Pengendalian Internal
Kerangka IC telah diadopsi secara luas sebagai cara untuk mengevaluasi pengendalian internal, seperti yang ditentukan oleh SOX. Kerangka ERM yang lebih komprehensif menggunakan pendekatan berbasis pengendalian. ERM menambahkan tiga elemen tambahan kekerangka IC COSO; penetapan tujuan, pengidentifikasian kejadian yang mungkin memengaruhi perusahaan, dan pengembangan sebuah respons untuk risiko yang dinilai. Hasilnya, pengendalian bersifat fleksibel dan relevan karna mereka ditautkan dengan tujuan organisasi terkini. Model ERM juga mengakui bahwa risiko, selain dikendalikan, dapat pula diterima, dihindari, dibuat berjenis-jenis, dibagi, atau ditransfer.
2.2 Linkungan Internal
Lingkungan Internal (Internal Environment), atau budaya perusahaan mempengaruhi cara organisasi menetapkan strategi dan tujuannya; membuat struktur aktivitas bisnis; dan menidentifikasi, menilai, serta merespon resiko. Ini adalah fondasi dari seluruh komponen ERM lainnya. Lingkungan Internal yang lemah atau tidak efisien sering kali menghasilkan kerusakan didalam manajemen dan pengendalian resiko. Hal tersebut secara esensial merupakan hal yang sama dengan lingkungan pengendalian pada kerangka IC. Sebuah Lingkungan Internal mencakup Hal-hal sebagai berikut. 1. Filosofi Manajemen, Gaya pengoprasian, dan Selera Resiko. Secara keseluruhan, sebuah organisasi memiliki sebuah filosofi atau kepercayaan dan sikap yang dianut bersama, tentang resiko yang mempengaruhi kebijakan, prosedur, komunikasi lisan dan tulisan serta keputusan . Perusahaan juga memiliki selera resiko (Risk Appetite), yaitu jumlah resiko yang bersedia diterima oleh sebuah perusahaan untuk mencapai tujuan dan sasarannya. Untuk menghindari resiko yang tidak semestinya, selera resiko harus selaras dengan strategi perusahaan. Semakin bertanggung jawab filosofi dan gaya pengoprasian manajemen, serta makin jelas mereka berkomunikasi, maka semakin besar kemungkinan para pegawai akan bertindak dengan tanggung jawab. Jika manajemen hanya memiliki sedikit perhatian pada pengendalian internal dan manajemen resiko, maka pegawai akan menjadi kurang rajin untuk mencapai tujuan pengendalian. Budaya di Springer’s Lumber & Supply menjadi sebuah contoh. Maria Piler menemukan bahwa garis wewenang dan tanggung jawab di tetapkan dengan longgar dan mencurigai bahwa manajemen mungkin telah menggunakan ‘’Akuntansi Kreatif ‘’ untuk meningkatkan kinerja perusahaan. Jason Scott menemukan bukti atas praktik pengendalian internal yang buruk dalam fungsi pembelian dan utang. Dua kondisi tersebut mungkin berkaitan; sikap longgar manajemen mungkin menyebabkan ketidakpedulian departemen kepedulian terhadap praktik pengendalian internal yang baik. 2. Komitmen terhadap Integrasi, Nilai – Nilai Etis, dan Kompetensi. Standar etis merupakan bisnis yang baik Integritas dimulai dari puncak kepemimpinan dengan para pegawai perusahaan mengadopsi sikap manajemen puncak tentang resiko dan pengendalian. Perusahaan mendukung Integritas dengan : Mengajarkan dan mensyaratkan secara aktif. Menghindari pengharapan atau insentif yang tidak realitis sehingga motivasinya tindakan dusta atau ilegal Memberikan penghargaan atas kejujuran serta memberikan lebel ferbal pada perilaku jujur dan tidak jujur secara konsisten. Mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit perilaku – perilaku jujur dan tidak jujur. Mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan mendisiplinkan pegawai yang tidak melaporkannya. Membuat sebuah komitmen untuk kompetensi. 3. Pengawasan Pengendalian Oleh Dewan Direksi Dewan Direksi yang terlibat mewakili kepentingan dan memberikan tinjauan independen manajemen yang bertindak seperti sebuah pengecekan dan penyimbangan atas tindakan tersebut. Komitmen Audit (Audit Committee), Komitmen audit bertanggung jawab atas pelaporan keuangan, kepatuhan terhadap pengaturan, pengendalian internal, serta perekrutan dan pengawasan baik auditor maupun pengawasan ekternal, yang melaporkan seluruh kebijakan dan praktik akuntansi kepentingan kepada komitmen tersebut.
2.3 Penilaian Risiko dan Respons Risiko
Resiko atas kejadian yang teridentifikasi dapat dinilai melalui beberapacara yang berbeda yaitu dengan kemungkinan, pengaruh positif dan negatif,secara individu dan sesuai katagori, pengaruhnya terhadap unit organisasi baik pada resiko turunan maupun resiko berbasis residual. Resiko Turunan terjadi sebelum manajemen melakukan langkah-langkah untuk mengendalikan kemungkinan atau pengaruh suatu kejadian. Resiko Residual adalah resiko yang tersisa setelah manajemen melakukan kendali internal atau respon lainnya terhadap resiko. Perusahaan harus menilai resiko turunan, memberikan respon dan kemudian menilai/menaksir resiko residualnya. Perusahaan dapat menilai resiko turunan, memberikan respond dan kemudian menilai resiko residual. Untuk meluruskan resiko yang diidentifikasi melalui toleransi perusahaan terhadap resiko, manajemen harus memandang secara luas resiko pada entitas. Manajemen menilai kemungkinan dan pengaruh resiko, sebagaimana biaya dan benefit atas respon alternativ. Manajemen dapat merespon resiko dengan salah satu diantara 4(empat) cara berikut :
1. Reduce (Mengurangi). Mengurangi kemungkinan dan pengaruh resiko dengan melaksanakan
sistem yang efektif terhadap kendali internal. 2. Accept (Menerima). Menerima kemungkinan dan pengaruh resiko. 3. Share (Membagikan). Membagi resiko atau mentransfer resiko tersebut keorang lain dengan membeli asuransi, outsourching aktivitas, atau memasukkan ke dalam transaksi lindung nilai (hedging). 4. Avoid (Menghindari). Menghindari resiko dengan tidak melakukan kegiatan yang menghasilkan resiko. Dalam hal ini perusahaan perlu menjual pembagiannya, keluar dari lini produk, atau tidak mengembangkan perusahaan sebagai antisipasinya.