Chapter 7- Control and Accounting Information Systems

Internal Control (Pengendalian internal) adalah Proses implementasi organisasi dan metode bisnis yang
dipergunakan dalam rangka mencapai tujuan sbb :
- menjaga aset (mencegah&mendeteksi perolehan/penggunaan yang tidak diautorisasi)
- memberikan informasi yang akurat dan andal
- mendorong dan memperbaiki efisiensi organisasi
- mendorong kesesuaian dengan kebijakan yang telah ditetapkan
- Menyimpan catatan secara terperinci (melaporkan aset perusahaan secara akurat dan wajar)
- Menyiapkan laporan keuangan sesuai dengan kriteria yang ditetapkan

Terdapat 3 fungsi Internal Control:

1. Pengendalian untuk pencegahan prosedur dan kebijakan yang dibuat untuk mencegah timbulnya
suatu masalah misalnya adanya pemisahan tugas, pembagian wewenang dan tanggung jawab,
mengendalikan akses fisik atas aset, fasilitas dan informasi.

2. Pengendalian untuk pemeriksaan prosedur dan kebijakan yang dibuat untuk mengungkapkan
adanya masalah atau penyimpangan. Misalnya: pemeriksaan salianan atas perhitungan,
mempersiapkan rekonsiliasi bank dan neraca saldo setiap bulan.

3. Pengendalian korektif prosedur dan kebijakan yang dibuat untuk memecahkan

masalah/penyimpangan yang terjadi yang ditemukan pada ditemukan oleh pengendalian
pemeriksaan. Misalnya: prosedur yanng dibuat untuk identifikasi penyebab maslah, perbaikan
kesalahan dan mengubah sistem agar masalah dimasa datang dapat diminimalisasi.

Internal Control dapat dipisahkan menjadi 2 kategori:

1. Kontrol umum memastikan lingkungan kontrol organisasi stabil dan baik dikelola.
Contohnya : keamanan; Infrastruktur TI; dan akuisisi perangkat lunak, pengembangan,
dan kontrol perawatan.

2. Kontrol aplikasi mencegah, mendeteksi, dan memperbaiki kesalahan transaksi dan penipuan
dalam pengunaan program. Menitikberatkan akurasi, kelengkapan, validitas, ancaman / peristiwa
- Setiap potensi yang merugikan organisasi.

Control Objectives for Information and Related Technology (COBIT) adalah kerangka kerja yang Bertujuan
untuk :
1. Manajemen membandingkan praktik keamanan dan kontrol Lingkungan IT (business objective)
2. Pengguna layanan IT yang dalam memastikan adanya keamanan dan kontrol memadai,
3. Auditor dalam membuktikan opini dan memberi advise terkait keamanan dan masalah kontrol.

COBIT 5 adalah kerangka kerja komprehensif yang membantu perusahaan mencapai tata kelola TI dan
tujuan manajemen.
Kelengkapan ini adalah salah satu kekuatan dari COBIT 5 dan mendasari penerimaan internasionalnya
yang berkembang sebagai kerangka kerja untuk mengelola dan mengendalikan sistem informasi.
COBIT 5 mengidentifikasi lima proses (evaluasi, pengarahan dan pemantauan — atau EDM) dan 32 proses
manajemen dipecah menjadi empat domain sbb:
1. Align, plan, and organize (APO)
2. Build, acquire, and implement (BAI)
3. Deliver, service, and support (DSS)
4. Monitor, evaluate, and assess (MEA)

Committee of Sponsoring Organizations (COSO) – Privatesector group yang terdiri Asosiasi Akuntansi
Amerika, AICPA, Institut Auditor Internal, Institut Akuntan Manajemen, dan Lembaga Eksekutif Keuangan.

COSO’s Enterprise Risk Management Framework

Dalam rangka meningkatkan proses manajemen risiko, COSO mengembangkan kerangka kerja kontrol
kedua yang disebut Enterprise Risk Management — Integrated Framework (ERM).

ERM adalah proses yang digunakan dewan direksi dan manajemen untuk menetapkan strategi,
mengidentifikasi peristiwa yang dapat memengaruhi entitas, menilai dan mengelola risiko, dan
memberikan jaminan yang wajar bahwa perusahaan mencapai visi dan misi perusahaan.
Prinsip dasar di balik ERM adalah sebagai berikut:
- Perusahaan dibentuk untuk menciptakan nilai bagi pemiliknya.
- Manajemen harus memutuskan seberapa banyak ketidakpastian yang dapat diterimanya dalam
proses Create Value.
- Risiko ketidakpastian (uncertainty result), yang merupakan kemungkinan bahwa sesuatu
berdampak negatif pada kemampuan perusahaan untuk menciptakan atau mempertahankan
nilai.
- Peluang ketidakpastian (uncertainty result), yang merupakan kemungkinan bahwa sesuatu
berdampak positif pada kemampuan perusahaan untuk menciptakan atau mempertahankan nilai.
- Kerangka kerja ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan
nilai.
Lingkungan Pengendalian Terdiri dari beberapa faktor yaitu:
1. Komitmen atas integritas dan nilai-nilai etika
2. Filosofi manajemen dan gaya operasi
3. Struktur organisasional
4. Badan audit dewan komisaris
5. Metode pemberian otoritas dan tanggung jawab
6. Kebijakan dan praktik-praktik dalam SDM
7. Pengaruh-pengaruh eksternal

Objective Setting adalah komponen ERM yang kedua, Manajemen menentukan apa yang ingin dicapai
oleh perusahaan yang sering dituangkan dalam Visi dan Misi perusahaan.
- Tujuan strategis - tujuan High Level yang selaras dengan misi perusahaan dan menciptakan nilai
pemegang saham.
- Tujuan operasi - tujuan yang berhubungan dengan keefektifan dan efisiensi operasi perusahaan
dan menentukan bagaimana mengalokasikan sumber daya.
- Tujuan pelaporan - tujuan untuk membantu memastikan keakuratan, kelengkapan, dan
keandalan laporan perusahaan; memperbaiki pengambilan keputusan; dan memantau kegiatan
perusahaan dan kinerja.
- Tujuan kepatuhan - tujuan untuk membantu perusahaan mematuhi semua hukum dan
peraturan yang berlaku.

Event Identification COSO mendefinisikan suatu peristiwa sebagai “insiden atau kejadian yang berasal
dari sumber internal atau eksternal yang mempengaruhi implementasi strategi atau pencapaian tujuan.

Risk Assessment and Risk Response selama proses penetapan tujuan, manajemen harus menetapkan
tujuan mereka dengan cukup jelas agar risiko dapat diidentifikasi dan dinilai.
- Inherent risk - Kerentanan satu set akun atau transaksi untuk masalah kontrol yang signifikan
tanpa adanya kontrol internal.
- Residual risk - Risiko yang tersisa setelah manajemen menerapkan kontrol internal atau respons
risiko lainnya.
Control Activities adalah kebijakan, prosedur, dan aturan yang memberikan jaminan yang masuk akal
bahwa tujuan pengendalian terpenuhi dan respons risiko dilakukan.
Merupakan tanggung jawab manajemen untuk mengembangkan sistem yang aman dan terkontrol
secara memadai. Manajemen harus memastikan bahwa:
1. Kontrol dipilih dan dikembangkan untuk membantu mengurangi risiko ke tingkat yang dapat
diterima.
2. Kontrol umum yang tepat dipilih dan dikembangkan melalui teknologi.
3. Kegiatan pengendalian dilaksanakan dan diikuti sebagaimana ditentukan dalam kebijakan
perusahaan dan prosedur.

Segregation of Duties Memisahkan akuntansi fungsi otorisasi, tahanan, dan rekaman untuk
meminimalkan kemampuan karyawan untuk melakukan penipuan.
Information and communication systems
Kerangka kerja IC yang diperbarui menetapkan bahwa tiga prinsip berikut ini berlaku untuk proses
informasi dan komunikasi:
1. Dapatkan atau hasilkan informasi berkualitas tinggi yang relevan untuk mendukung kontrol
internal
2. Mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab, yang
diperlukan untuk mendukung komponen lain dari kontrol internal
3. Mengkomunikasikan hal-hal kontrol internal yang relevan kepada pihak eksternal

Monitoring
Sistem kontrol internal yang dipilih atau dikembangkan harus terus dipantau, dievaluasi,
dan dimodifikasi sesuai kebutuhan. Setiap kekurangan harus dilaporkan kepada manajemen senior dan
jajaran direksi.
- Mengevaluasi kerangka kendali - Melakukan audit berkala.
internal. - Mempekerjakan petugas keamanan dan
- Pengawasan yang efektif. petugas kepatuhan.
- Sistem akuntansi pertanggungjawaban. - Libatkan spesialis forensik.
- Memantau aktivitas sistem. - Instal perangkat lunak pendeteksi
- Lacak perangkat lunak dan perangkat penipuan.
seluler yang dibeli. - Terapkan hotline penipuan.