OLEH: SURYANIH
NIM: 55517110017
DOSEN: Prof. Hapzi Ali, CMA
DEFINISI PENGENDALIAN
SAS 55 (AU 319.6) menyebutkan bahwa suatu susunan pengendalian internal
terdiri dari kebijakan- kebijakan dan prosedur- prosedur yang dibuat untuk memberikan
kepastian secara wajar bahwa tujuan perusahaan secara khusus akan dicapai. AICPA
(American Institute of Certified Public Accountance) dalam Herbert (1979:121-122)
mengatakan bahwa pengendalian internal terdiri dari pengendalian administratif dan
pengendalian akuntansi.
1. Pengendalian administratif meliputi perencanaan organisasi, prosedur dan
pencatatan yang berkaitan dengan proses keputusan berdasarkan otorisasi
manajemen atas transaksi. Otorisasi merupakan fungsi manajemen yang berkaitan
langsung dengan tanggung jawab pencapaian tujuan organisasi dan merupakan
langkah awal untuk menetapkan pengendalian transaksi akuntansi.
2. Pengendalian akuntansi terdiri dari perencanaan organisasi, prosedur dan catatan
yang berkaitan dengan perlindungan aktiva (asset), dan kendala pencatatan
akuntansi yang dirancang untuk memberikan keyakinan yang wajar.
AUDITING COSO
Audit internal yang dirancang untuk mempertimbangkan konsep pengendalian
COSO yang baru menjadi lebih rumit dibandingkan audit pengendalian internal yang
tradisional. Kebanyakan meningkatnya kesulitan muncul dari kebutuhan untuk
mempertimbangkan pengendalian lunak yang melekat pada filosofi COSO dan juga lebih
banyak pendekatan tradisional yang dilakukan dalam audit pengendalian.
COSO ASSERTION
COSO assersi meliputi:
1. Existence adalah keberadaan yang meliputi aktiva, kewajiban dan kepemilikan yang
ada pada saat pelaporan.
2. Occurrence adalah pencatatan transaksi
3. Completeness merupakan semua transaksi selama
4. Rights dan Obligations merupakan aktiva dan kewajiban yang dilaporkan di neraca
pada periode pelaporan.
5. Valuation dan allocation merupakan aktiva, kewajiban, pendapatan, dan beban yang
dicatat dalam jumlah yang tepat sesuai dengan prinsip akuntansi.
6. Presentation dan disclosure merupakan item-item dalam laporan keuangan yang
disajikan secara wajar.
Dalam standar butir 2130.A1 disebutkan bahwa Aktivitas Audit Internal harus
mengevaluasi kecukupan dan efektivitas pengendalian dalam merespons risiko dalam
tata kelola organisasi, operasi, dan sistem informasi mengenai:
Keandalan dan integritas informasi keuangan dan operasional;
Efektivitas dan efisiensi operasi dan program;
Pengamanan aset, dan
Kepatuhan terhadap hukum, peraturan, kebijakan, prosedur, dan kontrak.
Butir pertama tersebut, keandalan dan integritas informasi keuangan dan operasional,
diatur lebih lanjut sebagai berikut:
1. Auditor internal perlu memastikan apakah manajemen senior dan Dewan memiliki
pemahaman yang jelas bahwa keandalan dan integritas informasi adalah tanggung
jawab manajemen. Tanggung jawab ini mencakup keseluruhan informasi penting
organisasi, terlepas dari bagaimana cara informasi tersebut disimpan. Informasi
keandalan dan integritas di sini termasuk akurasi, kelengkapan, dan keamanan.
2. CAE memastikan apakah aktivitas audit internal memiliki, atau memiliki akses
terhadap, sumber daya audit yang kompeten untuk mengevaluasi keandalan dan
integritas informasi beserta eksposur risiko-risikonya. Risiko Ini meliputi eksposur
risiko baik internal dan eksternal, serta eksposur yang berkaitan dengan hubungan
organisasi dengan entitas di luar organisasi.
ACCES CONTROL
Salah satu bagian mendasar dalam Information System Security adalah Access Control.
Menurut definisi dari CISSP (Certified Information System Security Profesional) Study
Guide, Access Control didefinisikan sebagai suatu proses untuk mengatur / mengontrol
siapa saja yang berhak mengakses suatu resource-rosource tertentu yang terdapat di
dalam sebuah sistem.
Di dalam proses ini akan diidentifikasi siapa yang sedang melakukan request untuk
mengases suatu resource tertentu dan apakah orang tersebut memiliki hak akses
(authorized) untuk mengakses resource tersebut.
Access control memproteksi data terhadap unauthorize access atau akses yang dilakukan
oleh orang yang memang tidak memiliki hak akses terhadap reource tersebut. Akses di
sini bisa berupa melihat data (view) ataupun melakukan perubahan terhadapt suatu data
(modify).
Dengan demikian Access Control mendukung terwujudnya
1. Confidentiality
Memastikan data hanya bisa dilihat oleh orang yang memiliki hak akses untuk melihat
data tersebut atau dikenal dengan istilah No Unauthorized Read
2. Integrity
Memastikan data hanya bisa ditulisi dan diubah oleh orang yang memiliki hak akses
untuk melakukan penulisan ataupun pengubahan terhadap data tersebut atau dikenal
dengan istilah No Unauthorized Write
Ketika membahas tentang Access Control, kita akan menemui dua entitas utama yang
terlibat, yaitu
1. Subject of the Access Control
Yang menjadi subject di sini adalah entitas yang mengajukan request / permintaan untuk
melakukan akses ke data.
2. Object of the Access Control
Yang menjadi object di sini adalah entitas yang mengandung atau mengatur data. Atau
dengan kata lain object adalah resource yang tersedia di dalam suatu sistem
Least Privilege
Dalam menyusun dan membuat perencanaan Access Control, salah satu prinsip yang
harus dipegang adalah Least Privilege. Yang dimaksud dengan Least Privilege di sini
adalah hanya memberikan hak akses yang memang dibutuhkan oleh subject yang
bersangkutan untuk melakukan tugas-tugas yang memang menjadi bagian dari tanggung
jawabnya. Yang perlu dicatat di sini adalah jangan pernah memberikan akses penuh (Full
Access) terhadap semua resource yang tersedia di dalam sistem kepada subject. Berikan
hak akses sesuai dengan yang dibutuhkannya. Tujuan utama dari prinsip ini adalah
meminimalisir terjadinya Authorization Creep atau suatu kejadian yang tidak disengaja di
mana suatu subject diberi hak akses yang seharusnya tidak dia miliki. Kondisi ini
tentunya memiliki potensi untuk memunculkan threat / ancaman terhadap sistem yang
kita miliki.
Access Control sendiri dapat dibagi menjadi 3, yaitu Physical Access Control,
Administrative Access Control, dan Logical Access Control.
Physical Access Control
Physical Access Control ditujukan untuk membatasi akses secara fisik ke perangkat
hardware yang membangun suatu sistem
Physical Access Control terbagi menjadi tiga bentuk, yaitu
1. Perimiter Security
Perimiter Security bertujuan untuk membatasi akses masuk ke area atau lokasi di mana
perangkat hardware berada. Contoh nyata dari penerapan Perimiter Security adalah
penggunaan pagar dan tembok, penerapan limited access room di mana hanya beberapa
orang saja yang diijinkan memasuki suatu ruangan tertentu. Pembatasan masuk ruangan
bisa dilakukan menggunakan kunci ruangan ataupun perangkat autentikasi semisal card
reader dan perangkat biometric seperti finger print scanner.
2. Cable Protection
Proteksi kabel dapat dilakukan melalui beberapa cara, yaitu shielding untuk
meningkatkan ketahanan terhadap EMI (Electro Magnetic Interference), memilih jenis
kabel yang tahan terhadap EMI seperti fiber optic, dan juga penggunaan conduit untuk
memproteksi kabel dari gangguan kerusakan secara fisik seperti misalnya gigitan tikus.
Penggunaan cable shielding dimaksudkan untuk memproteksi data yang dilewatkan
melalui suatu kabel dari gangguan EMI (protected the data). Sedangkan penggunaan
conduit dimaksudkan untuk memproteksi kabel itu sendiri secara fisik dari serangan yang
mungkin mengakibatkan kerusakan secara fisik (protected the cable).
3.Pembagian Area Kerja (separation of duties and work areas)
Pembagian area kerja secara fisik di antara karyawan ditujukan untuk meminimalisir
terjadinya shoulder surfing. Yang dimaksud dengan istilah shoulder surfing adalah di
mana seorang karyawan dapat melihat dan mengamati aktifitas yang dilakukan oleh
karyawan lainnya dengan mengintip lewat balik bahu. Memang terdengar konyol, tetapi
beberapa aksi pencurian password juga dilakukan dengan mekanisme seperti ini. Selain
itu, dengan membagi area kerja secara fisik dapat menghidarkan seorang karyawan untuk
mengetahui dan mempelajari keseluruhan proses yang sifatnya sensitif. Seorang
karyawan hanya mengetahui sebagian saja dari proses sensitif tersebut yaitu proses yang
memang menjadi bagian dari area kerja dan tanggung jawabnya.
1. Definisi
COSO menekankan Pengendalian Internal sebagai suatu “proses” yang merupakan
bagian tidak terpisahkan dari aktivitas bisnis entitas yang berkelanjutan (on going
business activities). Untuk tujuan pelaporan manajemen kepada publik, Pengendalian
Internal terkait penjagaan asset dari pengambilan, penggunaan, atau penghilangan yang
tidak terotorisasi adalah suatu proses yang dipengaruhi oleh dewan komisaris,
manajemen, dan personil lainnya dari sebuah entitas, yang dirancang untuk memberikan
keyakinan/jaminan yang wajar berkaitan dengan pencegahan atau deteksi dini terhadap
pengambilan, penggunaan, atau penghilangan yang tidak terotorisasi terhadap asset
entitas sehingga dapat memberikan pengaruh/efek yang material terhadap laporan
keuangan.
COSO juga menyatakan konsep keyakinan yang wajar (reasonable assurance) terkait
Pengendalian Internal bahwa adanya Pengendalian Internal yang baik tidak serta merta
memberikan jaminan penuh kepada entitas bisa mencapai tujuannya namun sebatas
keyakinan yang wajar. Selain itu terdapat keterbatasan yang melekat terhadap
Pengendalian Internal bahwa tidak semua jenis pengendalian dapat diimplementasikan
karena pertimbangan biaya dan manfaat (cost and benefit) sehingga dapat mengakibatkan
Pengendalian Internal kurang efektif seperti yang diharapkan.
2. Pihak yang terlibat
Dokumen COSO menyatakan bahwa pihak-pihak yang terlibat terkait Pengendalian
Internal adalah dewan komisaris, manajemen, dan pihak-pihak lainnya yang mendukung
pencapaian tujuan organisasi. Serta menyatakan bahwa tanggung jawab atas penetapan,
penjagaan, dan pengawasan sistem Pengendalian Internal adalah tanggung jawab
manajemen.
4. Komponen
COSO mengidentifikasi Sistem Pengendalian Internal yang efektif meliputi lima
komponen yang saling berhubungan untuk mendukung pencapaian tujuan entitas, yaitu
COSO menyediakan pedoman untuk mengevaluasi tiap factor tersebut diatas. Misal,
Filosofi manajemen dan jenis operasi dapat dinilai dengan cara menguji sifat dari
penerimaan risiko bisnis, frekuensi interaksi dari tiap subordinat, dan pengaruhnya
terhadap laporan keuangan.
(c) Aktivitas Pengendalian (Control Activities)
Terdiri dari kebijakan dan prosedur yang menjamin karyawan melaksanakan arahan
manajemen. Aktivitas Pengendalian meliputi reviu terhadap sistim pengendalian,
pemisahan tugas, dan pengendalian terhadap sistim informasi. Pengendalian terhadap
sistim informasi meliputi dua cara :
General controls, mencakup kontrol terhadap akses, perangkat lunak, dan system
development.
5. Fokus utama
COSO menetapkan Pengendalian Internal merupakan partisipasi dari semua stakeholder
entitas yang meliputi seluruh/semua area atau fungsi bisnis entitas.