TUGAS RMK

SISTEM INFORMASI AKUNTANSI

EKSPOSUR RISIKO DAN STRUKTUR PENGENDALIAN

INTERNAL SERTA PENGENDALIAN UMUM DAN
PENGENDALIAN APLIKASI

Oleh:
KELOMPOK 3

Ni Nengah Pariati (1391661001)

Anak Agung Dwipayani (1391661002)
I.A. Gede Sutha Megasari (1391661009)
Ni Ketut Sri Dahayani (1391661021)
A.A. Ayu Ratih Radityastuti (1391661023)

PROGRAM MAGISTER AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS UDAYANA
DENPASAR
2014
 EKSPOSUR RISIKO DAN
STRUKTUR PENGENDALIAN INTERNAL

I. STRUKTUR PENGENDALIAN INTERNAL

1.1 Sifat Pengendalian
Salah satu fungsi dasar manajemen adalah meyakinkan bahwa tujuan
perusahaan tercapai. Jadi, keputusan manajemen terkait pengendalian sangat
krusial bagi kesuksesan perusahaan mencapai tujuannya. Manajemen
bertanggungjawab menetapkan dan mempertahankan rerangka pengendalian atas
struktur formal perusahaan, sistem informasi akuntansi, sistem informasi
manajemen atau operasi, dan sistem organisasional. Rerangka pengendalian
meyakinkan bahwa ukuran pengendalian yang relevan bertujuan menyediakan
jaminan yang beralasan bahwa eksposur risiko yang pasti ditiadakan dengan tiga
struktur formal yang diimplementasikan. Karena ukuran pengendalian dan
keamanan diimplementasikan dengan struktur formal perusahaan dan terjalin
dekat, rerangka pengendalian disebut pengendalian internal (internal control) atau
struktur pengendalian internal. Struktur ini menyediakan pengertian fungsi proses
pengendalian internal. Jika struktur pengendalian internal yang tepat
diimplementasikan, semua operasi, sumber daya fisik, dan data akan dimonitor
dan di bawah kendali, tujuan akan tercapai, risiko akan diminimalisasi, dan output
informasi yang terpercaya.
Di sisi lain, jika struktur pengendalian internal lemah, sumber daya
perusahaan mungkin mudah terserang adanya kehilangan karena pencurian,
kelalaian, ketidakpedulian, dan risiko lain. Akibatnya, sistem informasi akuntansi
akan seperti menghasilkan informasi yang tidak reliabel, tidak tepat waktu, dan
mungkin tidak berhubungan dengan tujuan perusahaan.
1.2 Pentingnya Proses Pengendalian dan Pengukuran Pengendalian untuk
Para Akuntan
Pengendalian internal sebagai sebuah proses dan struktur, adalah perhatian
yang besar bagi akuntan. Sebagai pengguna kunci dalam sistem informasi
akuntansi, akuntan seharusnya memegang peranan aktif dalam pembangunan dan
peninjauan struktur pengendalian internal atau rerangkanya. Mereka juga
seharusnya bekerja dekat dengan pendesain mesin selama fase pembangunan

1
 sistem informasi untuk meyakinkan bahwa ukuran pengendalian yang terencana
cukup memadai dan dapat diaudit. Selama audit, mereka bisa menaksir
kepercayaan untuk ditempatkan pada struktur pengendalian internal ketika
melakukan langkah program audit berikutnya. Pembangunan dan pengevaluasian
struktur pengendalian internal adalah keahlian yang harus dikuasai oleh akuntan.

II. STRUKTUR PENGENDALIAN INTERNAL

2.1 Committtee of Sponsoring Organizations of the Treadway Commission
(COSO)
Sebelum laporan COSO dipublikasikan, badan akuntansi besar yang
terlibat dalam penetapan dan penaksiran proses pengendalian internal melihat
sistem pengendalian internal perusahaan dalam cara yang berbeda. Pengendalian
internal didefinisikan berbeda, tujuan yang dicapai melalui proses pengendalian
tidak distandardisasi, dan komponen dalam sistem pengendalian internal berbeda
secara luas. Laporan COSO sukses dalam menyediakan konsensus dalam tiga area
ini.
Tujuan Pengendalian Internal
Studi penunjuk COSO, berjudul Internal Control-Integrated Framework,
diterima secara luas oleh badan-badan akuntansi utama Amerika Serikat sebagai
otoritas dalam pengendalian internal. Studi ini mendefinisikan pengendalian
internal sebagai sistem, struktur atau proses, diimplementasikan oleh dewan
komisaris perusahaan, manajemen dan personil lain yang dimaksudkan untuk
menyediakan jaminan yang beralasan tentang pencapaian tujuan pengendalian
dalam kategori berikut ini.
a. Efektivitas dan efisiensi operasi
b. Reliabilitas pelaporan keuangan
c. Pemenuhan hukum dan peraturan yang dapat diaplikasikan
2.2 Pandangan Berorientasi Keuangan pada Struktur Pengendalian Internal
Perusahaan memerlukan kelima komponen struktur pengendalian internal
untuk meyakinkan adanya pengendalian yang kuat atas aktivitas mereka. Tingkat
untuk masing-masing komponen yang diimplementasikan dipengaruhi oleh

2
ukuran dan kompleksitas perusahaan, jenis industri, filosofi manajemen, dan
budaya perusahaan.
a. Komponen lingkungan pengendalian
Setiap organisasi tanpa memperhatikan ukurannya, seharusnya merencanakan
lingkungan pengendalian internal yang kuat. Pengendalian yang lemah
seringkali mengindikasikan kelemahan komponen lainnya dalam struktur
pengendalian internal. Lingkungan pengendalian merefleksikan keseluruhan
sikap dan kesadaran dewan komisaris, komite audit, manajer, pemilik, dan
karyawan mengenai pentingnya dan menekankan pengendalian internal dalam
perusahaan. Komponen lingkungan pengendalian perusahaan terdiri dari
tujuh subkomponen yaitu: filosofi manajemen dan gaya operasi, nilai etis dan
integritas, komitmen terhadap kompetensi, dewan komisaris atau komite
audit, struktur organisasi, penetapan otoritas dan tanggungjawab, serta praktik
dan kebijakan sumber daya manusia.
b. Komponen penaksiran risiko
Semua perusahaan, tanpa memperhatikan ukuran, struktur, atau industri
menghadapi risko eksternal dan internal yang signifikan. Komponen
penaksiran risiko dalam struktur pengendalian internal perusahaan terdiri dari
identifikasi dan analisis risiko yang relevan yang mencegah pencapaian
tujuan perusahaan secara keseluruhan, tujuan unit organisasi dan formasi
perencanaan untuk menetapkan bagaimana mengatur risiko.
c. Komponen aktivitas pengendalian
Sebuah perusahaan seharusnya membangun aktivitas pengendalian-kebijakan,
praktik, dan prosedur untuk membantu meyakinkan bahwa karyawan telah
menjalankan pengarahan manajemen secara tepat.
d. Komponen informasi dan komunikasi
Informasi harus diidentifikasi, diproses dan dikomunikasikan sehingga
personil yang tepat dapat menjalankan tanggungjawabnya. Pemungsian
sistem informasi secara tepat membantu meyakinkan tanggungjawab yang
dicapai.

3
 e. Komponen pengawasan
Tujuan pengawasan, komponen terakhir struktur pengendalian internal adalah
menaksir kualitas struktur pengendalian internal dengan mengadakan
aktivitas terus menerus dan evaluasi terpisah. Aktivitas pengawasan terus
menerus seperti supervisi karyawan, diadakan tiap hari, dan aktivitas
pengawasan terpisah seperti audit struktur pengendalian internal dan catatan
akuntansi diselenggarakan secara periodik.

III. PANDANGAN BERORIENTASI NONKEUANGAN PADA STRUKTUR

PENGENDALIAN INTERNAL
3.1 Sistem Pengendalian Manajemen
Proses pengendalian manajemen lebih berfokus pada kinerja manajerial
daripada operasi teknis. Sistem pengendalian manajemen melibatkan
pengendalian pembangunan dan aktivitas pengawasan untuk mengevaluasi kinerja
dan mensupervisi aktivitas perusahaan secara terus menerus. Tujuannya adalah
untuk mendorong pemenuhan kebijakan dan prosedur perusahaan dan hukum
serta peraturan.
3.2 Sistem Pengendalian Operasional
Proses atau sistem yang mempertimbangkan efektivitas dan efisiensi
dalam menyelenggarakan tugas operasi dari hari ke hari disebut pengendalian
operasional. Sistem pengendalian operasional dalam perusahaan antara lain sistem
pengendalian persediaan, kredit, produksi, dan kas.

IV. EKSPOSUR RISIKO

Eksposur risiko mungkin bangkit dari berbagai sumber eksternal maupun
internal, seperti karyawan, pelanggan, heker komputer, pelaku kriminal, dan
terjadi secara alami.
4.1 Jenis-jenis Risiko
Adapun beberapa jenis risiko, yaitu:
a. Kesalahan yang tidak disengaja
Kesalahan mungkin terjadi secara tidak sengaja pada saat input data, seperti
nama atau nomor pelanggan.

4
b. Kesalahan yang disengaja
Kesalahan secara sengaja mencerminkan kecurangan, jika dilakukan untuk
memperoleh keuntungan yang tidak fair dan tidak mematuhi hukum.
c. Kehilangan aset secara tidak sengaja
d. Pencurian asset
Asset perusahaan mungkin dicuri oleh pihak eksternal seperti pencuri
professional yang merusak gudang.
e. Pelanggaran keamanan
Seseorang yang tidak diotorisasi mungkin memperoleh akses ke file data dan
catatan perusahaan, misalnya heker.
f. Bencana dan aksi kekerasan
Aksi pencuri tertentu merusak asset perusahaan, seperti data. Jika terjadi
secara serius, hal ini dapat mengganggu operasi bisnis dan mendorong
perusahaan pada kebangkrutan.
4.2 Tingkat Eksposur Risiko
Eksposur pada risiko dipengaruhi oleh faktor-faktor di bawah ini:
a. Frekuensi
Semakin sering keterjadiannya, maka eksposur pada risiko juga semakin
besar.
b. Sifat mudah terserang
Semakin mudah terserang suatu asset tersebut, maka eksposur terhadap risiko
semakin besar.
c. Ukuran
Semakin tinggi nilai moneter kehilangan potensial, semakin besar risiko
eksposur.
4.3 Kondisi Permasalahan yang Mempengaruhi Eksposur Risiko
a. Kolusi
Kondisi kegagalan yang harus diperhatikan adalah kolusi internal, yaitu
kerjasama dua atau tiga karyawan untuk tujuan kecurangan.

5
 b. Kurangnya pelaksanaan
Kondisi permasalahan yang lain adalah kurangnya pelaksanaan. Sebuah
perusahaan mungkin memiliki kebijakan manajemen yang cukup memadai
dan prosedur pengendalian namun mungkin terlihat tidak teratur.
c. Kriminalitas komputer
Kriminalitas komputer adalah risiko relatif saat ini yang proporsinya
meningkat.

V. PENIPUAN KOMPUTER DAN KONTROL MASALAH - MASALAH

YANG BERHUBUNGAN DENGAN KOMPUTER
Sistem komputer menyajikan khusus masalah kemungkinan terkena risiko
dan masalah dalam kontrol. Setelah survey kemungkinan terkena dan masalah-
masalah, kita akan menguji dampak dari sistem kontrol komputer.
5.1 Sifat Kejahatan Komputer
Dalam kejahatan komputer, yang dimaksud adalah komputer yang terlibat
secara langsung atau tidak langsung dalam tindak pidana. Sabotase fasilitas
komputer diklasifikasikan sebagai kejahatan komputer langsung, dan akses yang
tidak sah dari data yang tersimpan adalah kejahatan komputer tidak langsung
karena keberadaan komputer menciptakan lingkungan untuk melakukan
kejahatan.
Tipe orang yang melakukan kejahatan komputer tampaknya memiliki
profil yang mirip dengan seorang penjahat berkerah putih. Ia cenderung cerdas
dan tanpa catatan kriminal sebelumnya dan jarang rentan terhadap kekerasan
terhadap orang lain. Sejak komputer dilihat sebagai benda mati tanpa perasaan
manusia, pelaku dapat memperlakukan setiap rencana manipulasi sebagai
tantangan bukan sebagai tindakan ilegal.
5.2 Importance Dalam Penipuan Komputer
Pelanggaran yang melibatkan sistem berbasis komputer telah tumbuh
dalam kuantitas dan serius dalam beberapa tahun terakhir. Penipuan komputer
menimbulkan derajat yang sangat tinggi risiko, karena semua faktor-faktor seperti
frekuensi, kerentanan, dan ukuran cenderung ada. Sistem dasar komputer
mungkin dapat memproses ribuan transaksi per jam, dengan masing-masing

6
subjek transaksi yang salah atau aktivitas penipuan. Sebuah komputer dan data
yang tersimpan sering rentan terhadap akses yang tidak sah serta kerusakan. Yang
membuat keadaan menjadi lebih buruk, kegiatan penipuan baik resmi atau tidak
resmi sangat sulit dideteksi. Selain itu, kerugian rata-rata per insiden penipuan
komputer adalah lebih besar dari rata-rata kerugian penipuan ketika sistem manual
yang terlibat.
5.3 Jenis-jenis Kejahatan Komputer
Kejahatan komputer mengambil berbagai bentuk. Dua jenis sudah
terdaftar adalah akses data yang tidak resmi dan sabotase fasilitas komputer. Jenis
lainnya adalah:
a. Pencurian perangkat keras komputer dan perangkat lunak. Jenis kejahatan ini
cukup lazim dikenal sebagai pembajakan software. Ini melibatkan membuat
salinan yang tidak sah dari program dan paket perangkat lunak, baik dari
disket, atau dari file yang tersimpan pada disk.
b. Penggunaan yang tidak sah dari fasilitas komputer untuk penggunaan pribadi.
c. Kejahatan ini dapat dilakukan oleh hacker, yang menerobos masuk ke sistem
komputer melalui terminal jarak jauh atau mikro, atau oleh seorang karyawan
yang menjalankan program sendiri pada komputer perusahaan.
d. Modifikasi penipuan atau penggunaan data atau program.
e. Dalam kebanyakan kasus penipuan pelaku bermaksud untuk mencuri aset,
seperti uang tunai atau barang dagangan. Misalnya, agen pembelian dapat
memasukkan transaksi pembelian yang tidak sah melalui terminal dan
memiliki barang dagangan yang dikirim ke rumahnya. Seorang programmer
yang bekerja di bank mungkin memodifikasi program dengan cara yang
menyebabkan penarikan terhadap akun pribadinya dibebankan ke rekening
tidak aktif.
5.4 Alasan Mengapa Komputer Penyebab Masalah Kontrol
Sistem informasi otomatis memanipulasi dan menuliskan data dengan
akurasi tanpa cela. Meskipun keuntungan yang signifikan ini, komputer tidak
memperkenalkan masalah dalam kontrol karena beberapa karakteristik yang
melekat pada sistem komputer.

7
a. Pengolahan yang Terpusat
Dalam sistem pemrosesan manual yang dilakukan oleh panitera berbagai
departemen yang bisa cross-check pekerjaan satu sama lain, sehingga dapat
mendeteksi kesalahan dalam proses. Dalam sistem berbasis komputer,
pengolahan sering terkonsentrasi dengan fasilitas komputer mandiri. Unit
organisasi tertentu dilewati selama operasi pengolahan. Akibatnya, kurang
adanya Kesempatan untuk mendeteksi kesalahan.
b. Kemungkinan Jejak Audit Dirusak.
Bagian dari jejak audit lebih cenderung terfragmentasi atau dihilangkan
dalam sistem berbasis komputer daripada system manual. Sumber dokumen
mungkin tidak dapat digunakan, misalnya, ketika order penjualan yang
diterima melalui telepon dan masuk langsung melalui terminal. Salah satu
konsekuensi adalah bahwa aksi penipu cenderung sedikit meninggalkan jejak
yang dapat dideteksi.
c. Penilaian Manusia di Lewati
Komputer diprogram dengan instruksi membabi buta, mereka latihan tanpa
penilaian. Sehingga ada sedikit peluang untuk orang-orang menemukan
kesalahan dan data dipertanyakan atau untuk mengamati langkah-langkah
pengolahan.
d. Data Disimpan Lebih berorientasi Perangkat dibanding Berorientasi
Manusia
Data disimpan dalam sistem berbasis komputer yang berorientasi pada
karakteristik media optik magnetik. Pertama, data tidak terlihat. walaupun
karakteristik ini tidak menyebabkan masalah serius, perlu bagi pengguna
perlu bagi pengguna untuk mengambil langkah-langkah spesifik untuk
mengambil data dalam bentuk yang dapat dibaca. Kedua, data yang disimpan
(kecuali saya read-only memory) bisa dihapus. Data demikian berharga,
seperti rekening catatan penerimaan piutang, mungkin akan hilang. Ketiga,
data disimpan dalam bentuk kompresi. Sebuah magnetic disk tunggal dapat
menyimpan data sebagai beberap file cabinets.. Dengan demikian kerusakan
dapat menyebabkan hilangnya sejumlah besar data berharga. Akhirnya, data
yang disimpan relatif diakses . Kondisi ini sangat akut dalam kasus on-line

8
 sistem puter dan jaringan komputer, karena orang dapat mengakses data dari
titik variabel mana terminal dan on-line mikro komputer berada.
e. Peralatan Komputer Powerfull Tapi Complex dan Rentan
Karena kemampuan processing, sebuah sistem berbasis komputer dapat
menyebarkan kesalahan dan laporan lebih cepat. Karena kompleksitasnya,
sistem komputer cenderung membingungkan bagi banyak karyawan, baik
pada administrasi dan tingkat manajerial. Karena menyebabkan kebingungan
dapat menyebabkan karyawan untuk membuat kesalahan. Hal ini juga dapat
menyebabkan karyawan untuk kembali mempertanyakan output komputer
atau menyarankan perbaikan dalam sistem komputer.

VI. KELAYAKAN KONTROL

Membangun struktur pengendalian internal yang efektif dan layak
bukanlah tugas yang sederhana. Masalah audit dan biaya juga harus
dipertimbangkan.
6.1 Pertimbangan Audit
Tipical AIS mengalami audit berkala. Biasanya, struktur pengendalian
intern menerima pengawasan tertentu selama audit tersebut. Dengan demikian
struktur pengendalian intern harus dirancang untuk sepenuhnya dapat diaudit.
Misalnya, analisis dan rekonsiliasi tertentu dapat secara otomatis dihasilkan secara
rutin untuk digunakan oleh auditor. Secara umum, auditor internal harus
dikonsultasikan dalam tahap pengembangan sistem, sehingga semua kontrol yang
diperlukan dibicarakan sebelumnya.
6.2 Pertimbangan Manfaat dan Biaya
Memasukkan kontrol ke dalam sistem informasi melibatkan biaya.
Menambahkan kontrol setelah sistem diimplementasikan biasanya cenderung
lebih mahal dan sulit. Jika setiap kontrol dibayangkan dimasukkan dalam struktur
organisasi, total biaya kemungkinan akan selangit. Dengan demikian auditor
internal suatu perusahaan harus melakukan Analisis Biaya-Manfaat (cost and
benefit analysis). Di mana pertanyaan kunci berikut ini diajukan: Apakah
penambahan kontrol tertentu memberikan manfaat yang diharapkan (misalnya,
nilai) yang melebihi biaya kontrol? Jawabannya adalah ya lentur, dan ada

9
keyakinan memadai bahwa kontrol akan mencapai tujuan tertentu, kontrol adalah
tindakan yang diinginkan. Manfaat luas disediakan oleh kontrol biasanya terdiri
dari mengurangi eksposur risiko atau kejadian yang tidak diinginkan, yaitu
mengurangi resiko gagal untuk mencapai satu atau lebih tujuan yang berkaitan
dengan struktur pengendalian intern. Total biaya kontrol termasuk biaya satu kali,
biaya berulang, tambahan kerugian yang disebabkan oleh kegagalan kontrol, dan
biaya kesempatan. Biasanya, hanya tiga biaya yang pertama yang diukur ketika
sebuah analisis biaya-manfaat disiapkan. Satu kali biaya termasuk instalasi
perangkat keamanan dan pelatihan pegawai, biaya berulang mungkin untuk
persediaan dan gaji bagi karyawan baru yang dibutuhkan untuk melaksanakan
kontrol. Sebuah biaya peluang muncul dari efisiensi berkurang dalam proses
transaksi yang disebabkan oleh menambahkan kontrol, efisiensi berkurang
mungkin atau tidak mungkin diterjemahkan ke dalam pendapatan yang hilang.
Sebuah analisis biaya-manfaat melibatkan fase saling menyelesaikan (1)
analisis risiko dan (2) nilai analisis kontrol.
Langkah Analisis Risiko
1. Menentukan sumber daya komputer tertentu tunduk pada control
Sumber daya ini terdiri dari orang-orang, hardware, software. persediaan, file,
situs-housing computer.
2. Menentukan semua potensi ancaman terhadap sistem komputer perusahaan.
Ancaman jatuh ke salah satu dari empat kategori: Kisah alam , ancaman
bukan manusia disengaja , ancaman manusia nonintentional, dan ancaman
manusia yang disengaja.
3. Menilai risiko yang relevan dengan perusahaan yang terkena. Artinya,
peringkat risiko untuk kemungkinan mereka terjadinya. Misalnya, kelalaian
dapat terjadi berkali-kali dalam satu hari ketika badai dapat terjadi sekali
dalam 25 tahun. Dengan demikian . lokasi geografis suatu perusahaan harus
dipertimbangkan ketika rank - ordering risiko.
4. Mengukur tingkat masing-masing eksposur risiko yang relevan Dalam dolar.
Misalnya , jika eksposur adalah kemungkinan hilangnya aset, nilai akan
menjadi jumlah yang dibutuhkan untuk mengganti aset.

10
 5. Memperkirakan efek dari eksposur risiko yang relevan dengan mengestimasi
frekuensi dalam accurrence pada periode yang wajar. Langkah ini akan
memberikan kerugian yang diperkirakan per tahun setiap eksposur risiko.
Dengan demikian kerugian diperkirakan per tahun dihitung sebagai berikut:
kerugian yang diperkirakan dari kejadian tunggal dari eksposur risiko
dikalikan dengan jumlah yang diharapkan dari kejadian risiko per tahun.
Produk yang dihasilkan adalah potensi kerugian yang dapat ditimbulkan
dengan tidak mengurangi atau menghindari risiko tertentu. Atau, itu adalah
manfaat yang bisa diperoleh dengan menghindari risiko atau meningkatkan
keandalan informasi.

Langkah Menilai Analisis Kontrol

1. Menghitung biaya menginstal dan memelihara kontrol yang dapat menangkal
setiap eksposur risiko yang relevan.
2. membandingkan manfaat terhadap biaya dari setiap kontrol.

VII. KEKUATAN UNTUK PERBAIKAN PENGENDALIAN

7.1 Kebutuhan dalam Manajemen
Para manajer sebagian besar perusahaan telah mengakui saham vital
mereka bergantung pada struktur pengendalian yang memadai. Koran dan media
lainnya telah mempublikasikan contoh meningkatnya kejahatan kerah putih, serta
terbuka dengan barang dagangan dan aset portable lainnya. Manajer telah
mencatat bahwa kehilangan rata-rata dari setiap kejahatan juga telah meningkat
secara dramatis. Di sisi lain, mereka tumbuh prihatin dengan akurasi dan
keandalan informasi yang mereka terima. Menjadi pengguna utama informasi dari
AIS, mereka menghargai kemungkinan keputusan yang buruk berdasarkan
informasi yang tidak akurat dan tidak lengkap. Lebih jauh lagi, dengan
meningkatnya ketergantungan pada sistem komputer, mereka telah mendapatkan -
penginstitusian keseriusan pelanggaran keamanan.
7.2 Masalah Etika Asosiasi Profesional
Asosiasi akuntansi profesional seperti American Institute of Certified
Public Akuntan (AICPA), Institute of Management Accountants ( IMA ), The

11
lnstitute of Internal Auditors (IIA), dan The Information System Audit And
Control Association ( ISACA ) (dahulu EDP Auditor Association ) telah memiliki
kode etik profesi yang berlaku selama bertahun-tahun. Salah satu tujuan paling
penting dalam kode etik adalah untuk membantu para profesional memilih di
antara alternatif yang tidak jelas, termasuk dalam aturan yang berkaitan dengan
hal-hal seperti kemerdekaan, kompetensi teknis, dan praktik-praktik yang sesuai
selama audit dan konsultasi keterlibatan yang melibatkan sistem informasi.
Program sertifikasi asosiasi ini meningkatkan kesadaran tentang kode etik dan
pentingnya dalam mengembangkan profesionalisme.
Asosiasi profesional komputer, seperti the Association of Information
Technology Professionals (AITP), formerly the Data Processing Management
Assoaation (DPMA), and the Association for Computing Machinery (ACM),
telah mengembangkan kode etik, komite etika, dan program sertifikasi. Alamat
Kode Asosiasi professional komputer ini menangani masalah-masalah seperti
kewajiban kepada asosiasi profesi, profesi, kolega, klien, majikan, dan
masyarakat.
7.3 Pemilihan Tindakan dan Kuasa dalam Lembaga Pemerintah
Penyelidikan oleh lembaga pemerintah seperti Securities and Exchange
Commission (SEC) telah mengungkapkan kegiatan ilegal dalam perusahaan
Amerika yang tidak terdeteksi oleh struktur pengendalian internal mereka.
Akibatnya, kongres mengeluarkan Foreign Corrupt Practices Act pada tahun
1977. Manajer perusahaan-perusahaan secara hukum maupun secara etis
bertanggung jawab untuk membangun dan mempertahankan struktur
pengendalian internal yang memadai. Mereka diharapkan untuk membangun
tingkat "kesadaran kontrol" sehingga karyawan tidak cenderung untuk
menumbangkan struktur kontrol. Manajemen sengaja menghindari tindakan yang
bisa dikenai hukuman pidana. Tidaklah mengherankan bahwa banyak manajemen
telah mengambil tindakan signifikan. Sebagai contoh, banyak perusahaan
sekarang mempertahankan departemen audit internal yang cukup besar.

12
 PENGENDALIAN UMUM DAN PENGENDALIAN APLIKASI

Auditor, serta para akuntan yang terlibat dalam desain sistem, perlu memiliki
pengetahuan luas tentang aktivitas pengendalian spesifik yang berkaitan dengan sistem
informasi akuntansi. Akuntan di masa depan kemungkinan akan kontak dengan kedua
sistem yaitu sistem manual dan program berbasis komputer serta harus menyadari
adanya kontrol yang berbeda yang berhubungan dengan keduanya.

I. PENGENDALIAN KLASIFIKASI
1.1 Klasifikasi Berdasarkan Penghindaran Risiko
Pengendalian dapat diklasifikasikan sesuai dengan cara-cara mereka
memerangi risiko yang tegas dan informasi yang beredar. Pengendalian
pencegahan (preventive control) menghentikan atau mencegah peristiwa terjadi,
seperti kesalahan atau kerugian keuangan. Pengendalian deteksi (detective
control) menemukan ancaman yang telah terjadi. Pengendalian deteksi (detective
control) lebih aktif dibandingkan pengendalian preventif. contoh pengendalian
deteksi misalnya secara visual memverifikasi data untuk kesalahan segera setelah
memasukkan data melalui komputer mikro.
1.2 Klasifikasi Berdasarkan Pengaturan
Salah satu klasifikasi yang paling berguna dari sistem pengolahan
informasi yang dijelaskan dalam laporan COSO yakni ada dua kelompok,
Pengendalian Umum (General Control) dan Pengendalian Aplikasi (Application
Control). Pengendalian umum berkaitan dengan semua kegiatan yang melibatkan
sistem informasi akuntansi perusahaan dan sumber daya perusahaan.
Pengendalian aplikasi berhubungan dengan pengolahan tugas akuntansi spesifik
dan dapat disebut sebagai pengendalian transaksi.

II. PENGENDALIAN UMUM

Berikut ini adalah kelompok utama dari pengendalian umum dalam sistem
pengolahan informasi:

13
2.1 Pengendalian Organisasional
Struktur organisasi sebuah perusahaan adalah merupakan sebuah
representasi pengendalian hubungan kerja karyawan dan unit. Tujuan
pengendalian, ketika merancang struktur organisasi, adalah untuk membangun
kemandirian organisasi. Independensi organisasi melibatkan dua atau lebih
karyawan atau unit organisasi dalam setiap prosedur yang dapat ditugaskan untuk
memeriksa pekerjaan satu sama lain sehingga jika ada kesalahan yang dibuat oleh
satu karyawan atau unit akan terdeteksi oleh orang lain dan penipuan dapat
dilakukan hanya dengan kolusi saja.
Untuk memahami mengenai independensi organisasi, kita harus meninjau
penerapannya dalam berbagai jenis sistem.
a. Sistem manual. Kegiatan otorisasi, pencatatan, dan fungsi kustodian
seharusnya terpisah dalam manual sistem. Tetapi karyawan yang menangani
aset tidak harus mengotorisasi transaksi yang melibatkan aset tersebut. Semua
karyawan bisa terlibat dalam semua aktivitas
b. Sistem berbasis komputer. Kemandirian organisasi juga harus dipertahankan
dalam sistem berbasis komputer, meskipun penyesuaian yang diperlukan juga
melalui manual. Fungsi sistem informasi memiliki tanggung jawab yang
berkaitan dengan pengolahan dan data pengendalian. sehingga harus
terorganisir secara independen semua departemen yang menggunakan
pengiriman berkas dan informasi, departemen yang memiliki tugas
operasional dan kustodian, dan orang-orang yang mengotorisasi transaksi.
Fungsi pengembangan sistem (system development function) bertugas
menganalisis, mendesain program, dan mendokumentasikan berbagai aplikasi
yang dibutuhkan oleh departemen pengguna dan perusahaan secara
keseluruhan. Fungsi pengolahan data memiliki tanggung jawab untuk
memastikan bahwa data transaksi diproses dan dikontrol serta file dan set data
lainnya ditangani dengan benar. Output dapat dicetak atau ditampilkan pada
printer, plotter, atau terminal yang terletak di departemen penerima.
2.2 Pengendalian Dokumentasi
Sistem Informasi Akutansi (SIA) merupakan campuran kompleks
prosedur, pengendalian, form, peralatan, dan pengguna. Jika instruksi dan

14
pedoman untuk operasi seperti sistem tidak memadai, sistem ini cenderung
berfungsi secara tidak efisien dan menyebabkan gangguan berbahaya bagi operasi.
Dokumentasi lengkap dan jelas sehingga harus disiapkan dan dipelihara dalam
kondisi up-to-date. Dokumentasi terdiri dari prosedur manual dan cara lain untuk
menggambarkan SIA dan operasinya. itu juga harus mencakup aspek-aspek
perusahaan yang berdampak pada SIA, seperti pernyataan kebijakan, bagan
organisasi, dan deskripsi pekerjaan. Dokumentasi merupakan roda penggerak
penting dalam struktur pengendalian internal.
a. Sistem Manual. Jenis dokumentasi dalam sistem manual berupa dokumen
sumber, jurnal, buku besar, laporan-laporan, dokumen keluaran, diagram
akun, langkah-langkah prosedural, kamus data, dan prosedur pengendalian.
Prosedur seharusnya didokumentasikan dalam bentuk cerita naratif, bagan,
dan diagram alur.
b. Sistem Berbasis Komputer. Semua jenis dokumen yang dipakai dalam sistem
manual juga dipakai dalam sistem berbasis komputer. Meskipun
menggunakan sistem komputerisasi yang canggih, sistem komputasi juga
memerlukan tenaga manusia untuk mengoperasikannya.
c. Pengendalian Dokumentasi. Sebuah sistem harus memastikan bahwa semua
jenis dokumentasi tidak hanya dipersiapkan dan selalu up to date tetapi juga
harus aman dan diawasi penggunaannya. Satu karyawan (dinamakan
pustakawan data) selalu bertanggungjawab untuk pengendalian,
penyimpanan, dan distribusi dokumen. Tidak ada karyawan yang diijinkan
untuk memindah atau menghapus dokumen tersebut tanpa ada otorisasi dari
pustakawan data.
d. Dokumentasi yang dihasilkan oleh komputer. Di perusahaan besar komputer
secara otomatis dapat mempersiapkan banyak dokumentasi dari sebuah
aplikasi. Rekayasa perangkat lunak dibantu komputer dan paket perangkat
lunak khusus lainnya dapat menggantikan dokumentasi tulisan tangan dengan
dokumentasi yang dihasilkan oleh komputer.
2.3 Pengendalian Akuntabilitas Aset
Aset perusahaan adalah sumber daya produktif. Aset ini rentan terjadi
kerugian berupa pencurian, usang, kecelakaan, kerusakan, dan keputusan bisnis

15
yang buruk. Risiko lain adalah bahwa tanpa pengendalian internal aset akan
dinilai salah dalam laporan keuangan, mungkin karena kesalahan penghitungan
aset.
Pengendalian akuntabilitas aset membantu agar aset benar-benar dan
sungguh-sungguh dihargai dalam catatan akuntansi meliputi penggunaan buku
besar pembantu, rekonsiliasi, prosedur pengakuan, ulasan dan penilaian ulang.
Pengendalian ini diperlukan dalam kedua sistem manual dan otomatis.
Buku Besar Pembantu. Buku besar pembantu harus dipertahankan untuk
aset, seperti piutang, aset tetap, investasi, dan hutang. Jumlah ini didasarkan pada
dokumen transaksi harian. Total akun dalam buku besar pembantu harus seimbang
dengan rekening kontrol yang sesuai dalam buku besar.
Rekonsiliasi, terdiri dari perbandingan nilai-nilai yang telah dihitung
secara independen. Rekonsiliasi juga dapat melibatkan perbandingan fisik sumber
daya dengan jumlah tercermin dalam catatan akuntansi.
Review and reassessments, review oleh pihak luar akan memberikan
verifikasi independent atas saldo asset dan juga akuntanbilitas contohnya auditor
bisa memverifikasi asset tetap yang ada dalam catatan dengan yang sebenarnya
ada dan dinilai dengan semestinya (reassessment adalah evaluasi kembali nilai
aset contohnya menghitung fisik persediaan secara periodik kemudian
dibandingkan dengan jumlah yang ada dalam catatan persediaan jika diperlukan
kuantitas dan jumlah dalam catatan disesuaikan yang menunjukkan adanya
kerugian, kerusakan, dan penyimpanan yang terlalu lama).
2.4 Pengendalian Manajemen Praktis
Meliputi kebijakan dan praktik sumber daya manusia, komitmen terhadap
kompetensi, praktik perencanaan, praktik audit, dan pengendalian pengembangan
sistem aplikasi (prosedur perubahan sistem dan prosedur pengembangan sistem
baru).
2.5 Pengendalian Pusat Operasi Informasi
Kontrol ini berkaitan terutama untuk sistem berbasis komputer dan dapat
dibagi menjadi dua yaitu prosedur operasi komputer dan perangkat keras
komputer dan perangkat lunak pemeriksaan. Terdapat beberapa contoh dari
pengendalian operasi pusat informasi:

16
 a. Pengawasan yang tepat atas operator komputer
b. Program diagnostic preventif untuk memantau hardware atau software fungsi
a disaster recovery plan dalam hal bencana alam buatan manusia atau kontol
hardware seperti duplikat sirkuit.
c. Cek software seperti label periksa.

III. PENGENDALIAN APLIKASI

Pengendalian ini berkaitan langsung dengan sistem pemrosesan transaksi,
yang bertujuan untuk membantu meyakinkan bahwa semua transaksi diotorisasi,
dicatat, diklarifikasi, diproses, dan dilaporkan dengan akurat. Pengendalian
aplikasi umunya dibagi menjadi pengendalian input, proses, dan output.
Pengendalian aplikasi secara umum dapat dibagi menjadi 3 yaitu:
3.1 Pengendalian Otorisasi
Transaksi yang tidak memiliki otorisasi dapat menyebabkan hilangnya
aset. Otorisasi dari seseorang yang tidak terlibat dalam pemrosesan, menerapkan
kebijakan manajemen dengan memastikan transaksi yang dimasukkan ke dalam
sistem buku besar adalah valid dan tepat. Mereka memiliki tujuan meyakinkan
bahwa transaksi yang valid dan tepat, output adalah tidak benar karena input tidak
valid, dan asset lebih terlindungi.
Otorisasi dapat diklasifikasikan sebagai umum dan khusus.
a. Otorisasi umum menetapkan kondisi standar untuk persetujuan transaksi dan
eksekusi.
b. Otorisasi khusus menetapkan kriteria khusus untuk jumlah tertentu,
peristiwa, kejadian, dll.
Dalam sistem batch processing manual dan komputerisasi, otorisasi
terwujud melalui tanda tanda tangan, inisial, perangko, dan dokumen transaksi.
Dalam online sistem komputerisasi, otorisasi biasanya diverifikasi oleh sistem,
misalnya, validasi harga persediaan dengan nomor kode dalam paket buku besar.
3.2 Pengendalian Input
Pengendalian input berusaha untuk menjamin validitas, akurasi, dan
kelengkapan data yang dimasukkan ke dalam SIA. Pengendalian input dapat
dibagi menjadi:

17
a. Data Observasi dan Recording
1. Penggunaan dokumen pra – bernomor
2. Menjaga formulir dengan kunci dan pengaman.
3. Sistem komputer online menawarkan fitur berikut:
 Layar menu, layar terformat
 Menggunakan scanner yang membaca kode bar atau dokumen
cetakan lain untuk mengurangi kesalahan input
 Menggunakan mekanisme umpan balik seperti slip konfirmasi untuk
menyetujui transaksi
 Menggunakan echo routines
b. Data Transkripsi (Batching dan Konversi)
Data transkripsi mengacu pada persiapan data untuk pengolahan
komputerisasi dan mencakup:
1. Sumber dokumen yang terstruktur hati-hati dan layar masukan
2. Batch controls total yang membantu mencegah hilangnya transaksi dan
posting salah data transaksi
3. Penggunaan dari batch control logs di bagian batch control
4. Rekam hitung total jumlah dokumen sumber transaksi dalam batch.
5. Verifikasi kunci yang terdiri dari re-keying data dan membandingkan
hasil operasi dua - keying
6. Verifikasi visual yang terdiri dari membandingkan data dari dokumen
sumber asli terhadap data yang dikonversi.
c. Tes mengedit Data Transaksi
Contoh dari tes mengedit data transaksi adalah:
1. Validity Check ( mis., M = laki-laki, F = perempuan)
2. Limit Check (misalnya , jam kerja tidak melebihi 40 jam)
3. Reasonable Chek (misalnya, kenaikan gaji wajar dibandingkan dengan
gaji pokok)
4. Field Check (misalnya, nomor tidak muncul dalam bidang disediakan
untuk kata-kata)
5. Sequence Check (misalnya, input data berturut-turut dalam beberapa
urutan ditentukan)

18
 6. Range Check (misalnya, bidang tertentu jatuh dalam kisaran yang
ditentukan untuk membayar harga untuk karyawan per jam dalam suatu
perusahaan harus jatuh antara $ 8 dan $ 20)
7. Relationship Check Hubungan Periksa (elemen data logika terkait yang
kompatibel - karyawan dinilai sebagai "jam" dibayar pada tingkat dalam
kisaran $ 8 dan $ 20)
d. Transmisi Data Transaksi
Ketika data harus ditransmisikan dari titik asal ke pusat pengolahan data
dan fasilitas komunikasi yang digunakan , cek berikut juga harus
dipertimbangkan :
1. Echo check: transmisi data kembali ke terminal yang berasal untuk
perbandingan dengan data yang dikirimkan
2. Redundancy data check: transmisi data tambahan untuk membantu dalam
proses verifikasi
3. Completeness check; memverifikasi bahwa semua data yang dibutuhkan
telah dimasukkan dan ditransmisikan
3.3 Pengendalian Proses
Meyakinkan bahwa data diproses akurat dan lengkap, tidak ada transaksi
yang tidak diotorisasi dimasukkan, file dan program yang tepat dimasukkan, dan
semua transaksi bisa ditelusuri dengan mudah. Berikut ini beberapa contoh dari
pengendalian proses yaitu:
a. Manual Cross Check - termasuk memeriksa pekerjaan karyawan lain ,
rekonsiliasi dan pengakuan
b. Processing Logics Check - banyak mengedit cek diprogram , seperti cek
urutan dan pemeriksaan kewajaran ( misalnya, catatan penggajian ) yang
digunakan dalam tahap input, juga dapat digunakan selama pemrosesan
c. Run-to-Run Totals - Data batched harus dikontrol selama proses berjalan
sehingga tidak ada catatan yang dihilangkan atau salah dimasukkan ke dalam
sebuah file transaksi
d. File and Program Changes - untuk memastikan bahwa transaksi yang
diposting ke rekening yang tepat, file induk harus diperiksa untuk kebenaran,
dan program harus divalidasi

19
 e. Audit Trail Linkage - jejak audit yang jelas diperlukan untuk memungkinkan
transaksi individu untuk ditelusuri, untuk memberikan dukungan dalam saldo
buku besar, untuk menyiapkan laporan keuangan dan untuk memperbaiki
kesalahan transaksi atau data yang hilang
3.4 Pengendalian Output
Output harus lengkap dan handal dan harus didistribusikan ke penerima
yang tepat atau pihak yang tepat. Ada dua jenis utama dari pengendalian output
yaitu:
a. Memvalidasi hasil pengolahan
Daftar kegiatan pengolahan dokumen dan mencerminkan perubahan yang
dibuat untuk menguasai file. Karena tingginya volume transaksi, perusahaan
besar dapat memilih untuk meninjau laporan pengecualian bahwa perubahan
materi disorot pada filr induk.
b. Mengatur ditribusi dan penggunaan output yang dicetak
Laporan hanya boleh didistribusikan kepada pengguna yang sesuai dengan
mengacu pada daftar distribusi resmi. Laporan yang bersifat sensitive harus di
saring setelah digunakan bukan untuk dibuang.

IV. PENGENDALIAN PADA SISTEM KOMPUTER YANG BERBEDA-BEDA

4.1 Sistem Pemrosesan Periodik dengan Update Sekuensial
Pengendalian yang khas dari sistem ini adalah batch control total dan batch
transmittal sheets, key verification of critical data input field, a data control
group, a data librarian, programmed edit checks, file and program checks, dan
printed transaction listing and proof account activity listings. Prosedur koreksi
kesalahan memastikan bahwa kesalahan yang terdeteksi, diperbaiki dan
dimasukkan ulang untuk selanjutnya diproses.
4.2 Pemrosesan Periodik dengan Update Langsung dan atau Sistem
Pemrosesan Segera
Pengendalian yang khas dari sistem ini adalah akses atau identifikasi kode
ditambah password untuk users, restricted function pada terminal digunakan
untuk akses dan merubah data, terminal online ditempatkan di tempat yang aman,
kontrol transaksi tunggal, kontrol transaksi kelompok, prosedur lockout untuk

20
 mencegah eror dalam updating, data online dan programs log. Prosedur koreksi
kesalahan: petugas harus segera memperbaiki kesalahan sebelum program
menerima data tambahan mengenai transaksi. Elemen data yang telah diperbaiki
di’edit ulang dan elemen secara berurutann diedit sampai semua elemen transaksi
yang disyaratkan diterima.
4.3 Sistem Database
Semua pengendalian khas di atas dapat digunakan juga dalam sistem
database, termasuk :
a. Software manajemen database yang mengontrol semua akses ke data
b. Password berlapis yang membatasi akses
c. dokumentasi menyeluruh yang ditekankan pada data yang up to date dan
kamus data komprehensif online
d. database administrator yang memonitor dan mensupervisi
e. modul keamanan suara yang memproteksi dari akses tidak terotorisasi
f. otorisasi dan persetujuan

21