PENGENDALIAN PREVENTIF, DETEKTIF DAN

KOREKTIF DALAM SISTEM INFORMASI

OLEH: SURYANIH
NIM: 55517110017
DOSEN: Prof. Hapzi Ali, CMA

PROGRAM MAGISTER AKUNTANSI

UNIVERSITAS MERCU BUANA
2017
 PENGENDALIAN INTERNAL

Pengendalian internal berkaitan dengan pemeriksaan laporan keuangan dan

pengendalian menajemen yang berkaitan dengan kinerja audit mempunyai karakteristik
yang sama, namun mempunyai tujuan berbeda. Akuntan yang melakukan pemeriksaan
laporan keuangan memahami bahwa pengendalian internal berkaitan dengan kompetensi
bukti yang dibutuhkan dalam suatu pemeriksaan. Pengendalian manajemen dalam kinerja
audit meliputi pengendalian internal dan pengendalian eksternal.

A. PENGERTIAN PENGENDALIAN INTERNAL DAN PENGENDALIAN

MANAJEMEN
Perbedaan Pengendalian Manajemen dan Pengendalian Internal
Pengendalian Manajemen Pengendalian Internal
Terdiri dari pengendalian internal dan Terdiri dari pengendalian administratif dan
pengendalian eksternal pengendalian akuntansi
Lebih menekankan pada pencapaian tujuan Lebih menekankan pada pengendalian terhadap
perusahaan dan menghubungkan pengendalian otorisasi atas transaksi dan mengamankan aktiva
manajemen untuk mencapai tujuan tersebut. perusahaan dengan melakukan pencatatan
akuntansi yang baik
Lebih menekankan pada pengendalian eksternal Lebih menekankan pada pengendalian internal
Pengendalian meliputi semua kegiatan majanemen Pengendalian meliputi (i) aktivitas akuntansi
seperti produksi, transportasi, dan riset pada untuk mengamankan assets perusahaan,
aktivitas akuntansi memeriksa akurasi dan keandalan data akuntansi
(ii) meningkatkan efisien dan efektif, (iii)
mendorong ketaatan terhadap hukum dan
peraturan yang berlaku.

DEFINISI PENGENDALIAN
SAS 55 (AU 319.6) menyebutkan bahwa suatu susunan pengendalian internal
terdiri dari kebijakan- kebijakan dan prosedur- prosedur yang dibuat untuk memberikan
kepastian secara wajar bahwa tujuan perusahaan secara khusus akan dicapai. AICPA
(American Institute of Certified Public Accountance) dalam Herbert (1979:121-122)
mengatakan bahwa pengendalian internal terdiri dari pengendalian administratif dan
pengendalian akuntansi.
1. Pengendalian administratif meliputi perencanaan organisasi, prosedur dan
pencatatan yang berkaitan dengan proses keputusan berdasarkan otorisasi
manajemen atas transaksi. Otorisasi merupakan fungsi manajemen yang berkaitan
langsung dengan tanggung jawab pencapaian tujuan organisasi dan merupakan
langkah awal untuk menetapkan pengendalian transaksi akuntansi.
2. Pengendalian akuntansi terdiri dari perencanaan organisasi, prosedur dan catatan
 yang berkaitan dengan perlindungan aktiva (asset), dan kendala pencatatan
akuntansi yang dirancang untuk memberikan keyakinan yang wajar.

UNSUR-UNSUR PENGENDALIAN INTERNAL

Sawyer et. al., (2003:66) mengatakan bahwa terdapat lima komponen
pengendalian internal yang saling berkaitan pada pernyataan COSO (committee of
sponsoring organization) atau disebut dengan model pengendalian COSO 3. Kelima
komponen tersebut adalah :
1. Lingkungan pengendalian
2. Penentuan risiko
3. Aktivitas pengendalian
4. Informasi dan Komunikasi
5. Pengawasan

PENGENDALIAN PREVENTIF, DETEKTIF, DAN KOREKTIF

Pengendalian Preventif merupakan pengendalian yang diterapkan untuk
mencegah terjadinya kecurangan. Pengendalian preventif bisa meliputi karyawan yang
kompeten dan dapat dipercaya, penggunaan komputer yang memadai, prosedur
pencatatan yang layak.
Pengendalian Detektif dirancang untuk menemukan terjadinya kecurangan. Pengendalian
ini mencakup pemeriksaan dan perbandingan seperti catatan kinerja dan pemeriksaan
independen atas kinerja. Selain itu, pengendalian detektif juga meliputi konfirmasi
dengan pemasok utang usaha, penggunaan teknik-teknik komputer seperti limit transaksi,
kata kunci, pengeditan, dan sistem pemeriksaan seperti audit internal.
Pengendalian Korektif dirancang untuk memastikan bahwa tindakan korektif diambil
untuk memperbaiki hal-hal yang tidak diharapkan atau untuk memastikan bahwa hal-hal
tersebut (seperti penyalahgunaan, otorisasi yang tidak layak, atau pencurian) tidak
terulang.

STANDAR-STANDAR PENGENDALIAN INTERNAL

Secara details standar meliputi :
1. Dokumentasi struktur, semua transaksi, dan kejadian signifikan harus
didokumentasikan dengan baik, dokumentasi tersebut harus siap tersedia.
2. Pencatatan transaksi dan kejadian dilakukan dengan wajar dan tepat waktu.
3. Transaksi dan kejadian harus diotorisasi dan dilaksanakan oleh yang berwenang
memberikan otorisasi tersebut.
4. Pembagian tugas, otorisasi,pemrosesan dan pemeriksaan transaksi harus dipisahkan
ke masing-masing individu (per unit).
5. Pengawasan harus dilakukan dengan baikdan berkelanjutan untuk memastikan
pencapaian tujuan pengendalian internal.
6. Akses dan akuntabilitas ke sumber daya atau catatan.

SARANA UNTUK MENCAPAI PENGENDALIAN

Ada beberapa sarana operasional yang dapat digunakan manajer untuk
mengendalikan fungsi didalam perusahaan adalah sebagai berikut:
1. Organisasi
2. Kebijakan
3. Prosedur
4. Personalia
5. Akuntansi
6. Penganggaran
7. Pelaporan

PERAN AUDITOR INTERNAL

Auditor Internal bisa sangat membantu manajemen dengan mengevaluasi sistem
pengendalian dan menunjukkan kelemahan-kelemahan dalam pengendalian internal.
Auditor internal juga berperan untuk membantu manajemen dalam beberapa hal, yakni:
1. Memonitor aktivitas manajemen puncak yang tidak dapat dilakukan sendiri oleh
manajemen puncak.
2. Mengidentifikasi dan meminimalkan risiko.Semua organisasi menetapkan
manajemen risiko dengan melakukan pendekatan yang holistik meliputi semua risiko
pada perusahaan, yang berasal dari hukum, politik dan pembuat peraturan, hubungan
dengan pemegang saham, dan pengaruh persaingan.
3. Memvalidasi laporan kepada manajemen puncak. Para manajemen membuat
keputusan berdasarkan laporan yang dibuat oleh auditor internal.
4. Melindungi manajemen dalam bidang teknis, Auditor internal harus tau data berasal,
bagaiman memprosesnya, dan pengaman data-data perusahaan.
5. Membantu membuat proses keputusan.
6. Mereview aktivitas perusahaan tidak hanya masa lalu, tetapi juga masa depan.
7. Membantu manajer membuat perencanaan, mengorganisasi, mengarahkan dan
mengendalikan masalah.

PENDEKATAN SIKLUS UNTUK PENGENDALIAN INTERNAL AKUNTANSI

Lima Siklus Transaksi
Siklus Contoh transaksi

Pendapatan Penerimaan pelanggan, kredir, pengiriman barang, penjualan, pengurangan

penjualan, penerimaan kas, piutang, garansi, penyisihan piutang tak tertagih
Pengeluaran Pembelian, gaji, pengeluaran kas, utang usaha, utang biaya
Produksi atau konversi Produksi, perencanaan persediaan, akuntansi peralatan danbiaya tangguhan,
serta akuntansi biaya
Pendanaan Saham dan utang, investasi, saham yang diperoleh kembali, opsi saham,
dividen
Pelaporan Keuangan Penyusunan laporan keuangan dan pengungkapanterkait atas informasi
Eksternal keuangan lainnya, termasuk misalnya pengendalian atas evaluasi laporan
keuangan dan kebijakan estimasi, pemilihan prinsip-prinsip akuntansi,
aktivitas-aktivitas dan kebijakan- kebijakan yang tidak biasa atau jarang
terjadi, dan yang tidak bersifat transaksional seperti kontijensi.

AUDIT TERHADAP PENGENDALIAN

Audit pengendalian adalah untuk menentukan bahwa:
1. Pengendalian memang diterapkan
2. Pengendalian secara struktural memang wajar
3. Pengendalian dirancang untuk mencapai tujuan manajemen khusus atau untuk
mencapai ketaatan dengan persyaratan yang ditentukan, atau untuk memastikan
akurasi dan kelayakan transaksi.
4. Pengendalian memang digunakan.
5. Pengendalian secara efisien melayani tujuan tersebut.
6. Pengendalian bersifat efektif, dan
7. Manajemen menggunakan keluaran yang dihasilkan sistem pengendalian.

AUDITING COSO
Audit internal yang dirancang untuk mempertimbangkan konsep pengendalian
COSO yang baru menjadi lebih rumit dibandingkan audit pengendalian internal yang
tradisional. Kebanyakan meningkatnya kesulitan muncul dari kebutuhan untuk
mempertimbangkan pengendalian lunak yang melekat pada filosofi COSO dan juga lebih
banyak pendekatan tradisional yang dilakukan dalam audit pengendalian.

HUBUNGAN ANTARA COSO DAN SERBANES OXLEY (SOX)

Hubungan antara COSO dan SOX adalah SOX memerlukan penilaian dari asersi
manajemen terhadap pengendalian internal atas laporan keuangan. Penilaian ini diukur
oleh kerangka kerja (framework) yang menentukan apakah pengendalian internal sudah
berjalan efektif. Kerangka kerja COSO merupakan kebutuhan penilaian pengendalian
internal.

COSO ASSERTION
COSO assersi meliputi:
1. Existence adalah keberadaan yang meliputi aktiva, kewajiban dan kepemilikan yang
ada pada saat pelaporan.
2. Occurrence adalah pencatatan transaksi
3. Completeness merupakan semua transaksi selama
4. Rights dan Obligations merupakan aktiva dan kewajiban yang dilaporkan di neraca
pada periode pelaporan.
5. Valuation dan allocation merupakan aktiva, kewajiban, pendapatan, dan beban yang
dicatat dalam jumlah yang tepat sesuai dengan prinsip akuntansi.
6. Presentation dan disclosure merupakan item-item dalam laporan keuangan yang
disajikan secara wajar.

Dalam standar butir 2130.A1 disebutkan bahwa Aktivitas Audit Internal harus
mengevaluasi kecukupan dan efektivitas pengendalian dalam merespons risiko dalam
tata kelola organisasi, operasi, dan sistem informasi mengenai:
 Keandalan dan integritas informasi keuangan dan operasional;
 Efektivitas dan efisiensi operasi dan program;
 Pengamanan aset, dan
 Kepatuhan terhadap hukum, peraturan, kebijakan, prosedur, dan kontrak.

Butir pertama tersebut, keandalan dan integritas informasi keuangan dan operasional,
diatur lebih lanjut sebagai berikut:
1. Auditor internal perlu memastikan apakah manajemen senior dan Dewan memiliki
pemahaman yang jelas bahwa keandalan dan integritas informasi adalah tanggung
jawab manajemen. Tanggung jawab ini mencakup keseluruhan informasi penting
organisasi, terlepas dari bagaimana cara informasi tersebut disimpan. Informasi
keandalan dan integritas di sini termasuk akurasi, kelengkapan, dan keamanan.
2. CAE memastikan apakah aktivitas audit internal memiliki, atau memiliki akses
terhadap, sumber daya audit yang kompeten untuk mengevaluasi keandalan dan
integritas informasi beserta eksposur risiko-risikonya. Risiko Ini meliputi eksposur
risiko baik internal dan eksternal, serta eksposur yang berkaitan dengan hubungan
organisasi dengan entitas di luar organisasi.

3. CAE memastikan apakah kelemahan dan kondisi-kondisi yang mungkin merupakan

ancaman bagi organisasi lainnya dalam keandalan dan integritas informasi dapat
segera diketahui manajemen senior, Dewan, dan aktivitas audit internal.

4. Auditor internal menilai efektivitas pengendalian preventif, detektif, dan langkah-

langkah mitigasi terhadap insiden di waktu lalu, serta insiden yang mungkin terjadi
masa mendatang. Auditor internal juga memastikan apakah Dewan telah secara tepat
diberitahu tentang ancaman, insiden, eksploitasi kerentanan, beserta tindakan
korektifnya.
5. Auditor internal secara periodik menilai keandalan informasi dan
integritas organisasi dan merekomendasikan, bila perlu, peningkatan atau
pelaksanaan pengendalian dan pengamanan baru. Penilaian tersebut dapat dilakukan
sebagai satu penugasan tersendiri atau terintegrasi ke dalam audit lain atau
penugasan dilakukan sebagai bagian dari rencana audit internal. Sifat penugasan
tersebut akan menentukan proses pelaporan apa yang paling tepat kepada
manajemen senior dan Dewan.

ACCES CONTROL
Salah satu bagian mendasar dalam Information System Security adalah Access Control.
Menurut definisi dari CISSP (Certified Information System Security Profesional) Study
Guide, Access Control didefinisikan sebagai suatu proses untuk mengatur / mengontrol
siapa saja yang berhak mengakses suatu resource-rosource tertentu yang terdapat di
dalam sebuah sistem.
Di dalam proses ini akan diidentifikasi siapa yang sedang melakukan request untuk
mengases suatu resource tertentu dan apakah orang tersebut memiliki hak akses
(authorized) untuk mengakses resource tersebut.
Access control memproteksi data terhadap unauthorize access atau akses yang dilakukan
oleh orang yang memang tidak memiliki hak akses terhadap reource tersebut. Akses di
sini bisa berupa melihat data (view) ataupun melakukan perubahan terhadapt suatu data
(modify).
Dengan demikian Access Control mendukung terwujudnya
1. Confidentiality
Memastikan data hanya bisa dilihat oleh orang yang memiliki hak akses untuk melihat
data tersebut atau dikenal dengan istilah No Unauthorized Read
2. Integrity
Memastikan data hanya bisa ditulisi dan diubah oleh orang yang memiliki hak akses
untuk melakukan penulisan ataupun pengubahan terhadap data tersebut atau dikenal
dengan istilah No Unauthorized Write

Ketika membahas tentang Access Control, kita akan menemui dua entitas utama yang
terlibat, yaitu
1. Subject of the Access Control
Yang menjadi subject di sini adalah entitas yang mengajukan request / permintaan untuk
melakukan akses ke data.
2. Object of the Access Control
Yang menjadi object di sini adalah entitas yang mengandung atau mengatur data. Atau
dengan kata lain object adalah resource yang tersedia di dalam suatu sistem

Least Privilege
Dalam menyusun dan membuat perencanaan Access Control, salah satu prinsip yang
harus dipegang adalah Least Privilege. Yang dimaksud dengan Least Privilege di sini
adalah hanya memberikan hak akses yang memang dibutuhkan oleh subject yang
bersangkutan untuk melakukan tugas-tugas yang memang menjadi bagian dari tanggung
jawabnya. Yang perlu dicatat di sini adalah jangan pernah memberikan akses penuh (Full
Access) terhadap semua resource yang tersedia di dalam sistem kepada subject. Berikan
hak akses sesuai dengan yang dibutuhkannya. Tujuan utama dari prinsip ini adalah
meminimalisir terjadinya Authorization Creep atau suatu kejadian yang tidak disengaja di
mana suatu subject diberi hak akses yang seharusnya tidak dia miliki. Kondisi ini
tentunya memiliki potensi untuk memunculkan threat / ancaman terhadap sistem yang
kita miliki.
Access Control sendiri dapat dibagi menjadi 3, yaitu Physical Access Control,
Administrative Access Control, dan Logical Access Control.
Physical Access Control
Physical Access Control ditujukan untuk membatasi akses secara fisik ke perangkat
hardware yang membangun suatu sistem
Physical Access Control terbagi menjadi tiga bentuk, yaitu
1. Perimiter Security
Perimiter Security bertujuan untuk membatasi akses masuk ke area atau lokasi di mana
perangkat hardware berada. Contoh nyata dari penerapan Perimiter Security adalah
penggunaan pagar dan tembok, penerapan limited access room di mana hanya beberapa
orang saja yang diijinkan memasuki suatu ruangan tertentu. Pembatasan masuk ruangan
bisa dilakukan menggunakan kunci ruangan ataupun perangkat autentikasi semisal card
reader dan perangkat biometric seperti finger print scanner.
2. Cable Protection
Proteksi kabel dapat dilakukan melalui beberapa cara, yaitu shielding untuk
meningkatkan ketahanan terhadap EMI (Electro Magnetic Interference), memilih jenis
kabel yang tahan terhadap EMI seperti fiber optic, dan juga penggunaan conduit untuk
memproteksi kabel dari gangguan kerusakan secara fisik seperti misalnya gigitan tikus.
Penggunaan cable shielding dimaksudkan untuk memproteksi data yang dilewatkan
melalui suatu kabel dari gangguan EMI (protected the data). Sedangkan penggunaan
conduit dimaksudkan untuk memproteksi kabel itu sendiri secara fisik dari serangan yang
mungkin mengakibatkan kerusakan secara fisik (protected the cable).
3.Pembagian Area Kerja (separation of duties and work areas)
Pembagian area kerja secara fisik di antara karyawan ditujukan untuk meminimalisir
terjadinya shoulder surfing. Yang dimaksud dengan istilah shoulder surfing adalah di
mana seorang karyawan dapat melihat dan mengamati aktifitas yang dilakukan oleh
karyawan lainnya dengan mengintip lewat balik bahu. Memang terdengar konyol, tetapi
beberapa aksi pencurian password juga dilakukan dengan mekanisme seperti ini. Selain
itu, dengan membagi area kerja secara fisik dapat menghidarkan seorang karyawan untuk
mengetahui dan mempelajari keseluruhan proses yang sifatnya sensitif. Seorang
karyawan hanya mengetahui sebagian saja dari proses sensitif tersebut yaitu proses yang
memang menjadi bagian dari area kerja dan tanggung jawabnya.

Administrative Access Control

Administrative Access Control akan berisi sekumpulan peraturan dan strategi untuk
membatasi akses terhadap suatu resource tertentu dalam upaya pengaman terhadap
sistem. Selain itu, Administrative Access Control juga berbicara mengenai mekanisme
monitoring / pengawasan dan pendeteksian terhadap pelanggaran akses terhadap suatu
resource.
Ada 4 point utama yang terkandung dalam Administrative Access Control, yaitu:
1. Policies and Procedure
Di sini berbicara mengenai penyusunan aturan / kebijakan dan prosedur yang jelas
berkaitan dengan akses terhadap resource-resource yang terdapat di dalam sistem. Dalam
point ini peranan dan dukungan dari pimpinan dalam tataran eksekutif sangatlah penting
sehingga kebijakan dan juga prosedur yang sudah disusun memiliki kekuatan (dan
terkadang memang perlu agak dipaksakan) untuk bisa diimplementasikan dan diikuti
oleh semua karyawan yan terlibat di dalam sistem. Tanpa adanya dukungan dari
pimpinan maka kebijakan dan prosedur yang sudah disusun menjadi powerless atau tak
memiliki kekuatan apa-apa.
2. Hiring Pratices
Di sini berbicara mengenai mekanisme perekrutan karyawan baru. Dalam proses
perekrutan, salah satu point yang perlu diperhatikan adalah tanggapan dan pendapat dari
si calon karyawan tersebut berkenaan dengan kebijakan dan prosedur yang sudah
disusun. Rekrutlah karyawan yang memang sejalan dan sependapat dengan kebijakan
dan prosedur yang berlaku di perusahaan.
3. Security Awareness Training
Selain merekrut karyawan yang sependapat dengan kebijakan dan prosedur yang berlaku,
perllu juga dilakukan pelatihan / training berkaitan dengan security awareness. Di sini
setiap karyawan akan dijelaskan dan disadarkan betapa pentingnya aspek keamanan
terhadap sistem. Diharapkan setelah mengikuti pelatihan ini setiap karyawan dapat
mengikuti dan menjalankan setiap kebijakan dan prosedur yang berkaitan dengan
keamanan sistem dengan penuh tanggung jawab karena telah menyadari betapa
pentingnya aspek keamanan sistem yang terkandung di dalamnya.
4. Monitoring
Point terakhir adalah monitoring atau pengawasan terhadap kebijakan dan prosedur yang
berlaku. Di sini akan dilakukan pemantauan apakah setiap prosedur sudah dilakukan
dengan baik atau adakah pelanggaran-pelanggaran yang terjadi terhadap kebijakan dan
prosedur yang berlaku. Tujuan utama dari point ini adalah memastikan setiap kebijakan
dan prosedur yang berlaku berjalan dengan baik.

Logical Access Control

Logical Access Control akan berbicara mengenai hal-hal teknis yag diberlakukan untuk
melakukan pengaturan / pengendalian akses terhadap resource-resource yang ada di
dalam suatu sistem.
Ada 3 point utama yang terkandung dalam Logical Access Control, yaitu:
1. Object Access Restriction
Point ini dimaksudkan untuk mengijinkan akses kepada authorized user. Hal ini bisa
dilakukan dengan menggunakan Role Based Access Control di mana akan didefinisikan
akses apa saja yang diijinkan kepada seorang atau sekumpulan karyawan berkaitan
dengan jabatan dan wewenang yang dimilikinya.
2. Encryption
Melakukan penyandian data sehinga data hanya bisa dibaca oleh orang-orang yang
memang memiliki hak akses.
3. Network Architecture / Segregation
Melakukan segmentasi pada infrastruktur jaringan komputer yang ada. Hal ini ditujukan
untuk menghindari adanya aksi pencurian data yang dilakukan melalui infratruktur
jaringan yang ada.
Yang perlu diingat adalah physical, administrative, dan logical access control ketiganya
adalah sama-sama penting dan kesemuanya menuntut perhatian yang serius.

Kerangka konseptual pengendalian internal (COSO) sekarang telah menjadi standar di

seluruh dunia untuk membangun pengendalian internal. The Committee of Sponsoring
Organizations of the Treadway Commission’s didirikan pada tahun 1985, yang
merupakan aliansi dari lima organisasi profesi diantaranya :
 Financial Executives International (FEI)

 the American Accounting Association (AAA)

 the American Institute of Certified Public Accountants (AICPA)

 the Institute of Internal Auditors (IIA)

 the Institute of Management Accountants (IMA) (formerly the National

Association of Accountants).

Misi utama dari COSO adalah “Memperbaiki/meningkatkan kualitas laporan keuangan

entitas melalui etika bisnis, pengendalian internal yang efektif, dan corporate
governance.”
Untuk menindaklanjuti rekomendasi dari komisi treadway, COSO mengembangkan studi
mengenai sebuah model untuk mengevaluasi pengendalian internal. Pada tahun 1992,
menyelesaikan studi tersebut dengan memperkenalkan sebuah “kerangka kerja
pengendalian internal” yang akhirnya menjadi sebuah pedoman bagi para eksekutif,
dewan direksi, regulator, penyusun standar, organisasi profesi , dan lainnya sebagai
kerangka kerja yang komprehensif untuk mengukur efektifitas pengendalian internal
mereka.

A. Kerangka Kerja Pengendalian Internal (Internal Control-Integrated

Framework)
Dalam laporan tersebut, COSO menetapkan definisi pengendalian internal,
menjelaskan komponen-komponennya, dan menyediakan kriteria terhadap sistem
pengendalian yang dapat dievaluasi. Termasuk juga disebutkan didalamnya adalah
memberikan pedoman penyusunan pengendalian internal untuk tujuan pelporan
kepada publik dan menyediakan bahan-bahan kepada manajemen, auditor, dan
pengguna lainnya untuk mengevaluasi sistem pengendalian internal. Jadi, dua tujuan
utama dari laporan tersebut adalah (1) untuk menetapkan definisi umum
pengendalian internal yang melayani berbagai pihak, dan (2) menyediakan standar
terhadap organisasi yang dapat menilai sistem pengendalian dan menentukan cara
untuk meningkatkan/memperbaiki sistem tersebut.
Definisi Pengendalian Internal COSO adalah “suatu proses, yang dipengaruhi
oleh dewan komisaris, manajemen, dan personil lainnya dari sebuah entitas, yang
dirancang untuk memberikan keyakinan/jaminan yang wajar berkaitan dengan
pencapaian tujuan dalam kategori berikut :
  Efektivitas dan efisiensi operasi

 Keandalan laporan keuangan

 Kepatuhan terhadap hukum dan peraturan yang berlaku

Laporan ini menekankan bahwa sistem pengendalian internal adalah merupakan

alat/perangkat dari manajemen dan bukan pengganti manajemen. Jadi manajemen dan
sistem pengendalian seharusnya dibentuk didalam kegiatan operasi.

1. Definisi
COSO menekankan Pengendalian Internal sebagai suatu “proses” yang merupakan
bagian tidak terpisahkan dari aktivitas bisnis entitas yang berkelanjutan (on going
business activities). Untuk tujuan pelaporan manajemen kepada publik, Pengendalian
Internal terkait penjagaan asset dari pengambilan, penggunaan, atau penghilangan yang
tidak terotorisasi adalah suatu proses yang dipengaruhi oleh dewan komisaris,
manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk memberikan
keyakinan/jaminan yang wajar berkaitan dengan pencegahan atau deteksi dini terhadap
pengambilan, penggunaan, atau penghilangan yang tidak terotorisasi terhadap asset
entitas sehingga dapat memberikan pengaruh/efek yang material terhadap laporan
keuangan.
COSO juga menyatakan konsep keyakinan yang wajar (reasonable assurance) terkait
Pengendalian Internal bahwa adanya Pengendalian Internal yang baik tidak serta merta
memberikan jaminan penuh kepada entitas bisa mencapai tujuannya namun sebatas
keyakinan yang wajar. Selain itu terdapat keterbatasan yang melekat terhadap
Pengendalian Internal bahwa tidak semua jenis pengendalian dapat diimplementasikan
karena pertimbangan biaya dan manfaat (cost and benefit) sehingga dapat mengakibatkan
Pengendalian Internal kurang efektif seperti yang diharapkan.
2. Pihak yang terlibat
Dokumen COSO menyatakan bahwa pihak-pihak yang terlibat terkait Pengendalian
Internal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yang mendukung
pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawab atas penetapan,
penjagaan, dan pengawasan sistem Pengendalian Internal adalah tanggung jawab
manajemen.

3. Tujuan Pengendalian Internal bagi Organisasi

COSO mengasumsikan bahwa entitas telah menetapkan sendiri tujuan dari aktivitas
operasinya. Namun COSO mengidentifikasikan tiga tujuan utama dari entitas, antara lain
:

 Efektivitas dan efisiensi operasi

 Keandalan laporan keuangan

 Kepatuhan terhadap hukum dan peraturan yang berlaku

4. Komponen
COSO mengidentifikasi Sistem Pengendalian Internal yang efektif meliputi lima
komponen yang saling berhubungan untuk mendukung pencapaian tujuan entitas, yaitu

(a) Penilaian Risiko (Risk Assessment)

Terdiri dari identifikasi risiko dan analisis risiko. Identifikasi risiko meliputi pengujian
terhadap faktor-faktor eksternal seperti perkembangan teknologi, persaingan, dan
perubahan ekonomi. Factor internal diantaranya kompetensi karyawan, sifat dari
aktivitas bisnis, dan karakteristik pengelolaan sistim informasi. Sedangkan Analisis
Risiko meliputi mengestimasi signifikansi risiko, menilai kemungkinan terjadinya risik,
dan bagaimana mengelola risiko.
(b) Lingkungan Pengendalian (Control Environment)
Merupakan pondasi dari komponen lainnya dan meliputi beberapa faktor diantaranya :
 Integritas dan Etika

 Komitmen untuk meningkatkan kompetensi

 Dewan komisaris dan komite audit

 Filosofi manajemen dan jenis operasi

 Kebijakan dan praktek sumber daya manusia

COSO menyediakan pedoman untuk mengevaluasi tiap factor tersebut diatas. Misal,
Filosofi manajemen dan jenis operasi dapat dinilai dengan cara menguji sifat dari
penerimaan risiko bisnis, frekuensi interaksi dari tiap subordinat, dan pengaruhnya
terhadap laporan keuangan.
(c) Aktivitas Pengendalian (Control Activities)

Terdiri dari kebijakan dan prosedur yang menjamin karyawan melaksanakan arahan
manajemen. Aktivitas Pengendalian meliputi reviu terhadap sistim pengendalian,
pemisahan tugas, dan pengendalian terhadap sistim informasi. Pengendalian terhadap
sistim informasi meliputi dua cara :
 General controls, mencakup kontrol terhadap akses, perangkat lunak, dan system
development.

 Application controls, mencakup pencegahan dan deteksi transaksi yang tidak

terotorisasi. Berfungsi untuk menjamin completeness, accuracy, authorization
and validity dari proses transaksi

(d) Informasi dan komunikasi

COSO menyatakan perlunya untuk mengakses informasi dari dalam dan luar,
mengembangkan strategi yang potensial dan system terintegrasi, serta perlunya data yang
berkualitas. Sedangkan diskusi mengenai komunikasi berfokus kepada menyampaikan
permasalahan Pengendalian Internal, dan mengumpulkan informasi pesaing.
(e) Pengawasan (Monitoring)
Karena Pengendalian Internal harus dilakukan sepanjang waktu, maka COSO
menyatakan perlunya manajemen untuk terus melakukan pengawasan terhadap
keseluruhan Sistim Pengendalian Internal melalui aktivitas yang berkelanjutan dan
melalui evaluasi yang ditujukan terhadap aktivitas atau area yang khusus.

5. Fokus utama
COSO menetapkan Pengendalian Internal merupakan partisipasi dari semua stakeholder
entitas yang meliputi seluruh/semua area atau fungsi bisnis entitas.

6. Evaluasi keefektifan Pengendalian Internal

Meskipun COSO menekankan Pengendalian Internal sebagai suatu “proses” namun
keefektifan dari pelaksanaannya dinyatakan sebagai sebuah kondisi dalam suatu titik
waktu tertentu. Jika defisiensi Pengendalian Internal telah dikoreksi/dibetulkan pada saat
pelaporan, COSO menyetujui apabila laporan manajemen pada pihak luar menyatakan
bahwa Pengendalian Internal telah berjalan efektif.
7. Bagaimana pelaporan masalah Pengendalian Internal
COSO mendiskusikan bagaimana manajemen memperoleh dan mengolah informasi jika
terjadi defisiensi Pengendalian Internal. COSO merekomendasikan kepada personil yang
mengidentifikasi terjadinya defisiensi untuk segera melaporkannya kepada atasan
langsungnya, namun jika informasinya sensitive maka perlu adanya jalur khusus
penyampaian informasi
Daftar Pustaka:
1. https://www.academia.edu/9163201/BAB_3_PENGENDALIAN_INTERNA
L_A._PENGERTIAN_PENGENDALIAN_INTERNAL_DAN_PENGENDA
LIAN_MANAJEMEN?auto=download
2. http://auditorinternal.com/2011/07/18/keandalan-dan-integritas-informasi/
3. http://boedy.blogspot.co.id/2007/12/access-control-sebagai-bagian-
dalam.html
4. Accounting Information System, James A. Hall
5. Sistem Informasi Akuntansi, Krismiaji