BAB I

PENDAHULUAN

1.1 Latar Belakang

Masyarakat telah semakin tergantung pada sistem informasi akuntansi, yang juga telah
berkembang semakin kompleks untuk memenuhi peningkatan kebutuhan atas informasi. Sejalan
dengan peningkatan kompleksitas sistem dan ketergantungan pada sistem tersebut, perusahaan
menghadapi peningkatan risiko atas sistem mereka yang sedang di negosiasikan tersebut.
Mengapa ancaman terhadap sistim informasi akuntansi terus meningkat hampir setiap tahun,
lebih dari 60% mengalami sebuah kegagalan besar dalam mengendalikan keamanan dan
intregitas sistim komputer mereka. Penyebab-penyebanya adalah sebagai berikut:
1. Informasi tersedia untuk junlah karyawan yang sangat besar. Chevron contohnya memiliki
35.000 unit personal komputer.
2. Informasi yang didistribusikan dalam jaringan informasi sukar untuk diawasi. Di Chevron,
informasi didistribusikan ke setiap sistim dan ke beribu-ribu karyawan diseluruh dunia. Setiap
sistim dan karyawan berpotensi mewakili titik rentan pengawasan.
3. Pelanggan dan supplier dapat mengakses setiap sistim dan data. Contoh WalMart membolehkan
vendornya untuk mengakses database mereka. Bayangkan kepercayaan yang diberikan seperti ini
kepada vendor yang memiliki hubungan dengan pesaing.
Organisasi belum melakukan proteksi data secara cukup memiliki beberapa alasan:
 Beberapa perusahaan melihat bahwa kehilangan beberapa informasi penting masih jauh dan
sepertinya bukan ancaman
 Implikasi pengendalian akibat berpindahnya sistim komputer yang tersentral kesistim berbasis
internet tidak sepenuhnya dipahami.
 Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber strategisdan
melindunginya membutuhkan sebuah strategi, contohnya sebuah perusahaankehilangan jutaan
dollar karena tidak melindungi transmisi data. Seorang pesaingmasuk ke jaringan telepon dan
mengfax design produk baru.
 Produktivitas dan biaya menekan motivasi manajemen
Segala potensi kejadian yang merugikan disebut ancaman (threat) atau sebuah kejadian (event).
Kerugian uang yang potensial dari sebuah ancaman disebut paparan atau dampak. Kemungkinan
 bahwa paparan (exposure) atau dampak (impact) akan terjadi disebut sebagai kemungkinan
(likelihood) ancaman.
1.2 Rumusan Masalah
1. Kerangka Pengendalian pada SIA
2. Penjelasan mengenai Lingkungan Internal
3. Penjelasan mengenai Penilaian Resiko dan Respons Risiko
4. Informasi dan Komunikasi seperti apa
5. Pengawasan pada SIA

BAB II

PEMBAHASAN

2.1 Kerangka Pengendalian

Bagian ini membahas tiga kerangka yang digunakan untuk mengembangkan sistem pengendalian
internal;
Kerangka COBIT
Information system audit and control association (ISACA) mengembangkan kerangka
control objective for information and related technology (COBIT). COBIT menggabungkan
Asosiasi Pengendalian dan Audit Sistim Informasi (ISACA) telah membuat kerangka tujuan
pengendalian untuk informasi dan teknologi (COBIT). COBIT menggabungkan standar
pengendalian dari 36 sumber yang berbeda kedalam sebuah kerangka tunggal yang
memungkinkan (1)manajemen untuk membuat patokan keamanan dan pelaksanaan pengendalian
dari lingkungan IT, (2)Pengguna dijamin bahwa keamanan IT yang cukup dan keberadaan
 pengendalian, dan (3)para Auditor memperkuat opini pengendalian internal dan
mempertimbangkan masalah keamanan IT dan pengendalian yang dilakukan.
COBIT 5 didasarkan pada lima prinsip utama tata kelola dan manajemen TI. Prinsip-prinsip
berikut ini memungkinkan dalam membantu organisasi membangun sebuah tata kelola yang
efektif dan kerangka manajemen yang melindungi investasi pemangku kepentingan dan
memhasilkan sistem informasi terbaik.
1. Memenuhi keperluan pemangku kepentingan. Kerangka COBIT 5 membantu para pengguna
mengatur proses dan prosedur bisnis untuk menciptakan sebuah sistem informasi yang
menambah niali untuk pemangku kepentingan.ia juga memungkinkan perusahaan menciptakan
keseimbangan yang tepat di antara resiko dan penghargaan.
2. Mencakup perusahaan dari ujung ke ujung. Kerangka COBIT tidak hanya berfokus pada operasi
IT, ia juga mengintegrasikan semua ungsi dan proses IT kedalam fungsi serta proses
keseluranperusahaan
3. Mengajukan sebuah kerangka terintegrasi dan tunggal. Kerangaka cobit 5 dapat disejajarkan
pada tingkat yang tinggi dengan standar dan kerangaka lainya.
4. Memukinkan pendekatan holistik. Kerangka cobit 5 memeberi sebuah pendekatan holistik yang
menghasilkan tata kelola dan manajemen yang efektif dari semua fungsi TI di perusahaan
5. Memisahkan tata kelola dari manajemen. Kerangka cobit 5 membedakan antara tata kelola
manajemen

Kerangka Manajemen Risiko Perushaan

Untuk meningkatkan proses manajemen resiko, COSO membuat kernagka kerja pengendalian
internal kedua yang dianamakan Enterprise Risk Management (ERM) atau Manajemen Resiko
Perusahaan. ERM adalah proses dewan direktur dan manajemen mempersiapkan strategi,
mengidentifikasikan kejadian-kejadian yang mempengaruhi entitas, menilai dan mengelola
resiko dan menyediakan jaminan yang wajar bahwa perusahaan meraih sasaran dan tujuannya.
Prinsip-prinsip dasar dibelakang ERM sebagai berikut:
 Perusahaan dibentuk untuk menciptakan nilai bagi pemilik-pemilknya
 Manajemen harus memutuskan berapa banyak ketidakpastian yang akan ia terima saat
menciptakan nilai.
 Ketidakmenentuan akan menghasilkan resiko, dimana sesuatu yang terjadi secaranegatif akan
mempengaruhi kemampuan perusahaan untuk menciptakan atau mempertahankan nilai.
 Ketidakmenentuan menghasilkan kesempatan, dimana sesuatu yang terjadi secara positif akan
mempengaruhi kemampuan perusahaan untuk menciptakan nilai dan mempertahankan nilai.
 Kerangka kerja ERM bisa mengelola ketidakmenentuan dan juga menciptakandan
mempertahankan nilai

Kerangka Manajemen Risiko Perusahaan Versus Kerangka Pengendalian Internal

Kerangka IC telah diadopsi secara luas sebagai cara untuk mengevaluasi pengendalian
internal, seperti yang ditentukan oleh SOX. Kerangka ERM yang lebih komprehensif
menggunakan pendekatan berbasis pengendalian. ERM menambahkan tiga elemen tambahan
kekerangka IC COSO; penetapan tujuan, pengidentifikasian kejadian yang mungkin
memengaruhi perusahaan, dan pengembangan sebuah respons untuk risiko yang dinilai.
Hasilnya, pengendalian bersifat fleksibel dan relevan karna mereka ditautkan dengan tujuan
organisasi terkini. Model ERM juga mengakui bahwa risiko, selain dikendalikan, dapat pula
diterima, dihindari, dibuat berjenis-jenis, dibagi, atau ditransfer.

2.2 Linkungan Internal

Lingkungan Internal (Internal Environment), atau budaya perusahaan mempengaruhi cara
organisasi menetapkan strategi dan tujuannya; membuat struktur aktivitas bisnis; dan
menidentifikasi, menilai, serta merespon resiko. Ini adalah fondasi dari seluruh komponen ERM
lainnya. Lingkungan Internal yang lemah atau tidak efisien sering kali menghasilkan kerusakan
didalam manajemen dan pengendalian resiko. Hal tersebut secara esensial merupakan hal yang
sama dengan lingkungan pengendalian pada kerangka IC. Sebuah Lingkungan Internal
mencakup Hal-hal sebagai berikut.
1. Filosofi Manajemen, Gaya pengoprasian, dan Selera Resiko.
Secara keseluruhan, sebuah organisasi memiliki sebuah filosofi atau kepercayaan dan sikap
yang dianut bersama, tentang resiko yang mempengaruhi kebijakan, prosedur, komunikasi lisan
dan tulisan serta keputusan . Perusahaan juga memiliki selera resiko (Risk Appetite), yaitu
jumlah resiko yang bersedia diterima oleh sebuah perusahaan untuk mencapai tujuan dan
 sasarannya. Untuk menghindari resiko yang tidak semestinya, selera resiko harus selaras dengan
strategi perusahaan.
Semakin bertanggung jawab filosofi dan gaya pengoprasian manajemen, serta makin jelas
mereka berkomunikasi, maka semakin besar kemungkinan para pegawai akan bertindak dengan
tanggung jawab. Jika manajemen hanya memiliki sedikit perhatian pada pengendalian internal
dan manajemen resiko, maka pegawai akan menjadi kurang rajin untuk mencapai tujuan
pengendalian. Budaya di Springer’s Lumber & Supply menjadi sebuah contoh. Maria Piler
menemukan bahwa garis wewenang dan tanggung jawab di tetapkan dengan longgar dan
mencurigai bahwa manajemen mungkin telah menggunakan ‘’Akuntansi Kreatif ‘’ untuk
meningkatkan kinerja perusahaan. Jason Scott menemukan bukti atas praktik pengendalian
internal yang buruk dalam fungsi pembelian dan utang. Dua kondisi tersebut mungkin berkaitan;
sikap longgar manajemen mungkin menyebabkan ketidakpedulian departemen kepedulian
terhadap praktik pengendalian internal yang baik.
2. Komitmen terhadap Integrasi, Nilai – Nilai Etis, dan Kompetensi.
Standar etis merupakan bisnis yang baik Integritas dimulai dari puncak kepemimpinan
dengan para pegawai perusahaan mengadopsi sikap manajemen puncak tentang resiko dan
pengendalian. Perusahaan mendukung Integritas dengan :
 Mengajarkan dan mensyaratkan secara aktif.
 Menghindari pengharapan atau insentif yang tidak realitis sehingga motivasinya tindakan dusta
atau ilegal
 Memberikan penghargaan atas kejujuran serta memberikan lebel ferbal pada perilaku jujur dan
tidak jujur secara konsisten.
 Mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit perilaku – perilaku
jujur dan tidak jujur.
 Mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan mendisiplinkan
pegawai yang tidak melaporkannya.
 Membuat sebuah komitmen untuk kompetensi.
3. Pengawasan Pengendalian Oleh Dewan Direksi
Dewan Direksi yang terlibat mewakili kepentingan dan memberikan tinjauan independen
manajemen yang bertindak seperti sebuah pengecekan dan penyimbangan atas tindakan tersebut.
Komitmen Audit (Audit Committee), Komitmen audit bertanggung jawab atas pelaporan
 keuangan, kepatuhan terhadap pengaturan, pengendalian internal, serta perekrutan dan
pengawasan baik auditor maupun pengawasan ekternal, yang melaporkan seluruh kebijakan dan
praktik akuntansi kepentingan kepada komitmen tersebut.

2.3 Penilaian Risiko dan Respons Risiko

Resiko atas kejadian yang teridentifikasi dapat dinilai melalui beberapacara yang berbeda
yaitu dengan kemungkinan, pengaruh positif dan negatif,secara individu dan sesuai katagori,
pengaruhnya terhadap unit organisasi baik pada resiko turunan maupun resiko berbasis residual.
Resiko Turunan terjadi sebelum manajemen melakukan langkah-langkah untuk mengendalikan
kemungkinan atau pengaruh suatu kejadian. Resiko Residual adalah resiko yang tersisa setelah
manajemen melakukan kendali internal atau respon lainnya terhadap resiko. Perusahaan harus
menilai resiko turunan, memberikan respon dan kemudian menilai/menaksir resiko residualnya.
Perusahaan dapat menilai resiko turunan, memberikan respond dan kemudian menilai resiko
residual.
Untuk meluruskan resiko yang diidentifikasi melalui toleransi perusahaan terhadap resiko,
manajemen harus memandang secara luas resiko pada entitas. Manajemen menilai kemungkinan
dan pengaruh resiko, sebagaimana biaya dan benefit atas respon alternativ. Manajemen dapat
merespon resiko dengan salah satu diantara 4(empat) cara berikut :

1. Reduce (Mengurangi). Mengurangi kemungkinan dan pengaruh resiko dengan melaksanakan

sistem yang efektif terhadap kendali internal.
2. Accept (Menerima). Menerima kemungkinan dan pengaruh resiko.
3. Share (Membagikan). Membagi resiko atau mentransfer resiko tersebut keorang lain dengan
membeli asuransi, outsourching aktivitas, atau memasukkan ke dalam transaksi lindung nilai
(hedging).
4. Avoid (Menghindari). Menghindari resiko dengan tidak melakukan kegiatan yang menghasilkan
resiko. Dalam hal ini perusahaan perlu menjual pembagiannya, keluar dari lini produk, atau
tidak mengembangkan perusahaan sebagai antisipasinya.