MENGAPA ANCAMAN TERHADAP SISTEM INFORMASI AKUNTANSI

MENINGKAT
Beberapa kegagalan utama dalam mengendalikan keamanan dan integritas sistem komputer :

1. Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada.

2. Informasi pada jaringan komputer distribusi sulit dikendalikan.
3. Pelanggan serta pemasok memiliki akses ke sistem dan data satu sama lain.

Alasan organisasi belum melindungi data dengan baik :

1. Beberapa perusahaan memandang kehilangan atas informasi penting sebagai sebuah
ancaman yang tidak mungkin terjadi.
2. Implikasi pengendalian atas pemindahan dari sistem komputer tersentralisasi ke sistem
berbasis internet tidak sepenuhnya dipahami.
3. Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber daya strategi
dan melindungi informasi harus menjadi sebuah ketentuan strategis.
4. Produktivitas dan penekanan biaya memotivasi manajemen untuk mengabaikan ukuran-
ukuran pengendalian yang memakan waktu.

Ancaman/kejadian (threat/event): segala potensi kejadian yang merugikan atau kejadian tidak
diinginkan yang dapat merusak SIA atau organisasi.
Paparan/dampak (exposure/impact): kerugian uang yang potensial dari sebuah ancaman
tertentu yang akan menjadi kenyataan.
Kemungkinan (likelihood): probabilitas bahwa suatu ancaman akan terjadi.

Ikhtisar Konsep Pengendalian

Pengendalian internal (internal control): proses dan prosedur yang dijalankan untuk
menyediakan jaminan memadai bahwa tujuan pengendalian dipenuhi.
pengendalian internal menjalankan tiga fungsi penting sebagai berikut :

1. Pengendalian preventif (preventive control): pengendalian yang mencegah masalah

sebelum timbul. Contoh: merekrut personel berkualifikasi, memisahkan tugas pegawai,
dan mengendalian akses fisik atas aset dan informasi.
2. Pengendalian detektif (detective control): pengendalian yang didesain untuk
menemukan masalah pengendalian yang tidak terelakkan. Contoh: menduplikasi
pengecekan kalkulasi dan menyiapkan rekonsiliasi bank serta neraca saldo tahunan.
3. Pengendalian korektif (corrective control): pengendalian yang mengidentifikasi dan
memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang
dihasilkan. Contoh: menjaga salinan backup pada file, perbaikan kesalahan entri data, dan
pengumpulan ulang transaksi-transaksi untuk pemrosesan selanjutnya.

Pengendalian internal sering kali dipisahkan dalam dua kategori :

 1. Pengendalian umum (deneral control): pengendalian yang didesain untuk memastikan
sistem informasi organisasi serta pengendalian lingkungan stabil dan dikelola dengan
baik. Contoh: keamanan; infrastruktur TI; dan pengendalian pembelian perangkat lunak,
pengembanagan, dan pemeliharaan.
2. Pengendalian aplikasi (application control): pengendalian yang mencegah, mendeteksi,
dan mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi. Contoh:
ketepatan, kelengkapan, validitas, serta otorisasi data yang didapat, dimasukkan, diproses,
disimpan, ditransmisikan ke sistem lain, dan dilaporkan.

Robert Simons, seorang profesor bisnis Harvard, menganut empat kaitan pengendalian untuk
membantu manajemen menyelesaikan konflik di antara kreativitas dan pengendalian:

1. Sistem kepercayaan (belief system): sistem yang menjelaskan cara sebuah perusahaan
menciptakan nilai, membantu pegawai memahami visi perusahaan, mengomunikasikan
nilai-nilai dasar perusahaan, dan menginspirasi pegawai untuk bekerja berdasarkan nilai-
nilai tersebut.
2. Sistem batas (boundary system): sistem yang membantu pegawai bertindak secara etis
dengan membangun batas pada perilaku kepegawaian.
3. Sistem pengendalian diagnostik (diagnostic control system): sistem yang mengukur,
mengawasi, dan membandingkan perkembangan perusahaan aktual dengan anggaran dan
tujuan kinerja.
4. Sistem pengendalian interaktif (interactive control system): sistem yang membantu
manajer untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan lebih
terlibat di dalam keputusan mereka.

Praktik Korupsi Asing dan Sarbanes-Oxley Acts

Foreign Corrupt Practices Act (FCPA): undang-undang yang dikeluarkan untuk mencegah
perusahaan menyuap pejabat asing agar mendapatkan bisnis; juga mengharuskan semua
perusahaan milik publik untuk memelihara sebuah sistem pengendalian akuntansi internal.
Sarbanes-Oxley Act (SOX): undang-undang yang dimaksudkan untuk mencegah kejahatan
laporan keuangan, membuat laporan keuangan lebih transparan, memberikan perlindungan pada
investor, memperkuat pengendalian internal pada perusahaan publik, dan menghukum eksekutif
yang melakukan kejahatan. Aspek terpenting SOX:

1. Public Company Accounting Oversight Board (PCAOB): dewan yang dibuat oleh SOX
yang mengatur profesi pengauditan; dibuat sebagai bagian dari SOX.
2. Aturan-aturan baru bagi para auditor.
3. Peran baru bagi komite audit.
4. Aturan baru bagi manajemen.
5. Ketentuan baru pengendalian internal.
Setelah SOX dikeluarkan, SEC (Securities and Exchange Comission) memerintahkan bahwa
manajemen harus:Mendasarkan evaluasinya pada sebuah kerangka pengendalian yang berlaku.

1. Mengungkapkan semua kelemahan pengendalian internal material.

2. Menyimpulkan bahwa sebuah perusahaan tidak memiliki pengendalian internal pelaporan
keuangan yang efektif jika terdapat kelemahan material.

Kerangka Pengendalian
ada tiga kerangka pengendalian untuk mengembangkan sistem pengendalian internal :
Kerangka Cobit
Control Objective for Information and Related Technology (COBIT) : sebuah kerangka
keamanan dan pengendalian yang memungkinkan (1) manajemen untuk membuat tolok ukur
praktik-praktik keamanan dan pengendalian lingkungan TI; (2) para pengguna layanan TI dijamin
dengan adanya keamanan dan pengendalian yang memadai; (3) para auditor memperkuat opini
pengendalian internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang
dilakukan.
5 prinsip utama tata kelola dan manajemen TI (COBIT 5):

1. Memenuhi keperluan pemangku kepentingan.

2. Mencakup perusahaan dari ujung ke ujung.
3. Mengajukan sebuah kerangka terintegrasi dan tunggal.
4. Memungkinkan pendekatan holistik.
5. Memisahkan tata kelola dari manajemen.

Kerangka Pengendalian Internal COSO

1. Committee of Sponsoring Organizations (COSO): sebuah kelompok sektor swasta yang

terdiri atas Asosiasi Akuntansi Amerika (American Accounting Association), AICPA,
Ikatan Auditor Internal (Institute of Management Accountans), dan Ikatan Eksekutif
Keuangan (Financial Executives Institute).
2. Pengendalian Internal (Internal Control)-Kerangka Terintegrasi-IC: sebuah kerangka
COSO yang menjelaskan pengendalian internal dan memberikan panduan untuk
mengevaluasi dan meningkatkan sistem pengendalian internal.

Kerangka Manajemen Risiko Perusahaan COSO

Manajemen Risiko Perusahaan (Enterprise Risk Management)- Kerangka
Terintegrasi (Integrated Framework)-ERM: sebuah kerangka COSO yang memperbaiki proses
manajemen risiko dengan memperluas (menambahkan tiga elemen tambahan) Pengendalian
Internal COSO-Terintegrasi. Prinsip-prinsip dasar dibalik ERM :

1. Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya.

 2. Manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima saat
menciptakan nilai.
3. Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu secara
negatif memengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan
nilai.
4. Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa sesuatu
secara positif memengaruhi kemampuan perusahaan untuk menghasilkan atau
mempertahankan nilai.
5. Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan
nilai.

Lingkungan Internal
Lingkungan internal (internal environment) : budaya perusahaan yang merupakan fondasi dari
seluruh elemen ERM lainnya karena ini memengaruhi cara organisasi menetapkan strategi dan
tujuannya; membuat struktur aktivitas bisnis; dan mengidentifikasi, menilai, serta merespons
risiko. Sebuah lingkungan internal mencakup :

1. Filosofi manajemen, gaya pengoperasian, dan selera risiko.

2. Komitmen terhadap integritas, nilai-nilai etis, dan kompentensi.
3. Pengawasan pengendalian internal oleh dewan direksi.
4. Struktur organisasi.
5. Metode penetapan wewenang dan tanggung jawab.
6. Standar-standar sumber daya manusia yang menarik, mengembangkan, dan
mempertahankan individu yang kompeten.
7. Pengaruh eksternal.

Filosofi Manajemen, Gaya Pengoperasian, dan Selera Risiko.

Selera risiko (risk appetite): jumlah risiko yang sebuah perusahaan ingin terima untuk
mencapai tujuan dan tujuannya. Untuk menghindari risiko yang tidak semestinya, selera risiko
harus selaras dengan strategi perusahaan.
Komitmen Terhadap Integritas, Nilai Etis, dan Kompetensi.
Perusahaan mendukung integritas dengan:

1. Mengajarkan dan mensyaratkannya secara aktif.

2. Menghindari pengharapan atau insentif yang tidak realistis, sehingga memotivasi
tindakan ilegal.
3. Memberikan penghargaan atas kejujuran serta memberikan label verbal pada perilaku
jujur dan tidak jujur secara konsisten.
4. Mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit perilaku-
perilaku jujur dan tidak jujur.
 5. Mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan
mendisiplinkan pegawai yang diketahui tidak melaporkannya.
6. Membuat sebuah komitmen untuk kompetensi.

Pengawasan Pengendalian Internal Oleh Dewan Direksi.

Komite audit (audit committee): sejumlah anggota dewan direksi yang berasal dari luar dan
independen yang bertanggung jawab untuk pelaporan keuangan, kepatuhan terhadap peraturan,
pengendalian internal, serta perekrutan dan pengawasan auditor internal dan eksternal.
Struktur Organisasi
Aspek-apek penting dari struktur organisasi:

1. Sentralisasi atau desentralisasi wewenang.

2. Hubungan pengarahan atau matriks pelaporan.
3. Organisasi berdasarkan industri, lini produk, lokasi, atau jaringan pemasaran.
4. Bagaimana alokasi tanggung jawab memengaruhi ketentuan informasi.
5. Organisasi dan garis wewenang untuk akuntansi, pengauditan, dan fungsi sistem
informasi.
6. Ukuran dan jenis aktivitas perusahaan.

Metode Penetapan Wewenang dan Tanggung Jawab

Kebijakan dan prosedur manual (policy and procedures manual): sebuah dokumen yang
menjelaskan praktik bisnis yang sesuai, mendeskripsikan pengetahuan dan pengalaman yang
dibutuhkan, menjelaskan cara menangani transaksi serta mendata sumber daya yang tersedia
untuk melaksanakan tugas-tugas tertentu.
Standar Sumber Daya Manusia yang Menarik, Mengembangkan, dan Mempertahankan
Individu yang Kompeten.
Salah satu kekuatan pengendalian terbesar adalah kejujuran pegawai; dan salah satu kelemahan
pengendalian terbesar adalah ketidakjujuran pegawai. Adanya kebijakan dan praktik-praktik yang
mengatur kondisi kerja, insentif pekerjaan, dan kemajuan karier dapat menjadi kekuatan untuk
mendorong kejujuran, efisiensi, dan layanan yang loyal.
Perekrutan
Pengecekan latar belakang (background check): sebuah investigasi para pegawai atau
calon pegawai yang memasukkan verifikasi pendidikan dan pengalaman kerja mereka, berbicara
berdasarkan referensi, pengecekan catatan kriminal atau masalah kredit, dan pemeriksaan
informasi lain yang tersedia secara publik.
Mengompensasi, Mengevaluasi, dan Mempromosikan
Para pegawai seharusnya diberi penilaian kinerja periodik untuk membantu mereka
memahami kekuatan dan kelemahan mereka.
Pelatihan
 Program pelatihan mengajarkan para pegawai baru akan tanggung jawab mereka; tingkat
kinerja dan perilaku yang diharapkan; serta kebijakan dan prosedur, budaya, dan gaya
pengoperasian perusahaan.
Pengelolaan Para Pegawai yang Tidak Puas
Perusahaan membutuhkan prosedur untuk mengidentifikasi pegawai yang tidak puas dan
membantu mereka mengatasi perasaan itu atau memindahkan mereka dari pekerjaan yang
sensitif.
Pemberhentiaan
Pegawai yang diberhentikan harus segera dipindahkan dari pekerjaan yang sensitif dan ditolak
aksesnya ke sistem informasi.
Libur dan Rotasi Tugas
Melakukan rotasi tugas pegawai secara periodik dan membuat pegawai mengambil liburan
dapat mencapai hasil yang sama.
Perjanjian Kerahasiaan dan Asuransi Ikatan Kesetiaan
Asuransi ikatan kesetiaan melingkupi para pegawai kunci yang melindungi perusahaan
terhadap kerugian yang timbul dari tindakan penipuan yang disengaja.
Menuntut dan Memenjarakan Pelaku
Sebagian besar penipuan tidak dilaporkan/dituntut karena:

1. Perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah bencana
hubungan publik.
2. Penegak hukum dan pengadilan sibuk dengan kriminal kekerasan dan memiliki lebih
sedikit waktu dan ketertarikan pada penipuan komputer yang tidak menimbulkan
kerusakan secara fisik.
3. Menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan waktu.
4. Banyak petugas penegak hukum, pengacara dan hakim kurang memiliki kecapakan
komputer yang diperlukan untuk menyelidiki dan menuntut kejahatan komputer.
5. Hukuman untuk penipuan biasanya ringan.

Pengaruh Eksternal
Pengaruh eksternal meliputi persyaratan-persyaratan yang diajukan oleh bursa efek, Financial
Accounting Standars Board (FASB), PCAOB, dan SEC.

Penetapan Tujuan
1. Tujuan strategis (strategic objective): tujuan tingkat tinggi yang disejajarkan dan
mendukung misi perusahaan serta menciptakan nilai pemegang saham.
2. Tujuan operasi (operation objective): tujuan yang berhubungan dengan efektivitas dan
efisiensi operasi perusahaan serta menentukan cara mengalokasikan sumber daya.
 3. Tujuan pelaporan (reporting objective): tujuan yang membantu memastikan ketelitian,
kelengkapan, dan keterandalan laporan perusahaan; meningkatkan pembuatan keputusan;
dan mengawasi aktivitas serta kinerja perusahaan.
4. Tujuan kepatuhan (compliance objective): tujuan yang membantu perusahaan
mematuhi

Penilaian Risiko dan Respons Risiko

Risiko bawaan (inherent risk): kelemahan dari sebuah penetapan akun atau transaksi pada
masalah pengendalian yang signifikan tanpa adanya pengendalian internal.
Risiko residual (residual risk): risiko yang tersisa setelah manajemen mengimplementasikan
pengendalian internal atau beberapa respons lainnya terhadap risiko.
Beberapa cara manajemen merespon risiko:

1. Memperkirakan kemungkinan dan dampak.

2. Mengidentifikasi pengendalian.
3. Memperkirakan biaya dan manfaat.
4. Menentukan efektivitas biaya/manfaat.
5. Mengimplementasikan pengendalian atau menerima, membagi, atau menghindari risiko.

Aktivitas Pengendalian
Aktivitas pengendalian (control activities): kebijakan, prosedur, dan aturan yang memberikan
jaminan memadai bahwa tujuan pengendalian telah dicapai dan respons risiko dilakukan.
Manajemen harus memastikan bahwa:

1. Pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level
yang dapat diterima.
2. Pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi.
3. Aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan
prosedur perusahaan yang telah ditentukan.

Prosedur pengendalian dilakukan dalam kategori-kategori berikut:

1. Otorisasi transaksi dan aktivitas yang layak.

2. Pemisahan tugas.
3. Pengembangan proyek dan pengendalian akuisisi (perolehan).
4. Mengubah pengendalian manajemen.
5. Mendesain dan menggunakan dokumen serta cararan.
6. Pengamanan aset, catatan, dan data.
7. Pengecekan kinerja yang independen.
Informasi dan Komunikasi
Jejak audit (audit trail): sebuah jalur yang memungkinkan transaksi untuk ditelusuri melalui
sistem pengolahhan data dari titik asal ke output atau sebaliknya dari output ke titik awal.
Tiga prinsip Kerangka IC yang diperbarui yang berlaku dalam proses informasi dan komunikasi:

1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk
mendukung pengendalian internal.
2. Mengomunikasikan informasi secara internal, termasuk tujuan dan tanggungjawab yang
diperlukan untuk mendukung komponen-komponen lain dari pengendalian internal.
3. Mengomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-pihak
eksternal.

Pengawasan
1. MENJALANKAN EVALUASI PENGENDALIAN INTERNAL. Efektivitas
pengendalian internal diukur dengan menggunakan evaluasi formal atau evaluasi
penilaian diri.
2. IMPLEMENTASI PENGAWASAN YANG EFEKTIF. Pengawasan yang efektif
melibatkan melatih dan mendampingi pegawai, mengawasi kinerja mereka, mengoreksi
kesalahan, dan mengawasi pegawai yang memiliki akses terhadap aset.
3. MENGGUNAKAN SISTEM AKUNTANSI PERTANGGUNGJAWABAN. Meliputi
anggaran, kuota, jadwal, biaya standar, dan standar kualitas; perbandingan laporan kinerja
aktual dan yang direncanakan; dan prosedur untuk menyelidiki serta mengoreksi varians
yang signifikan.
4. MENGAWASI AKTIVITAS SISTEM. Seluruh transaksi dan aktivitas sistem harus
direkam di dalam sebuah log yang mengindikasikan siapa mengakses data apa, kapan,
dan dari perangkat online yang mana.
5. MELACAK PERANGKAT LUNAK DAN PERANGKAT BERGERAK YANG
DIBELI. Untuk mematuhi hak cipta dan melindungi dirinya dari gugatan pembajakan
perangkat lunak, perusahaan harus melakukan audit perangkat lunak secara periodik.
6. MENJALANKAN AUDIT BERKALA. Audit keamanan eksternal, internal, dan
jaringan dapat menilai dan mengawasi risiko maupun mendeteksi penipuan dan
kesalahan.
7. MEMPEKERJAKAN PETUGAS KEAMANAN KOMPUTER DAN CHIEF
COMPLIANCE OFFICER. Computer Security Officer (CSO): seorang pegawai yang
independen dari fungsi sistem informasi yang mengawasi sistem, menyebarkan informasi
mengenai penggunaan sistem yang tidak sesuai dan konsekuensinya, serta melaporkan
kepada manajemen puncak. Chief Compliance Officer (CCO): seorang pegawai yang
bertanggung jawab atas semua tugas kepatuhan yang terkait SOX serta pengaturan hukum
dan peraturan.
8. MENYEWA SPESIALIS FORENSIK. Penyelidik forensik: individu yang memiliki
spesialisasi dalam penipuan, sebagian besar dari mereka memiliki pelatihan khusus dari
agen-agen penegak hukum lainnya, seperti FBI atau IRS atau memiliki sertifikasi
profesional seperti Certified Fraud Examiner (CFE).
9. MEMASANG PERANGKAT LUNAK DETEKSI PENIPUAN. Jaringan
saraf (neural network): sistem komputasi yang meniru proses pembelajaran otak dengan
menggunakan jaringan prosesor yang terhubung satu sama lain dengan menjalankan
berbagai operasi secara serentak dan berinteraksi dengan dinamis.
10. MENGIMPLEMENTASIKAN HOTLINE PENIPUAN. Hotline penipuan: nomor
telepon yang dapat dihubungi oleh para pegawai untuk melaporkan penipuan dan
penyalahgunaan secara anonim (tanpa nama).