CORPORATE GOVERNANCE

 Corporate Governance (CG) adalah cara bagaimana suatu perusahaan dikelola untuk
menciptakan nilai, mendorong, akuntabilitas dan pentendalian, serta mengelola risiko.
TUJUAN SISTEM CG:
1. Memastikan bahwa pemetsng saham minoritas menerima informasi yang dapat
diandalkan mengenai nilai perusahaan.
2. Memotivasi manajer untuk memaksimalkan nilai perusahaan.
3. Menyediakan akuntabilitas dan sistem pengendalian yang sesuai dengan resiko yang
dihadapi perusahaan.

• HUBUNGAN CG DENGAN SIA

o Mekanisme CG mencakup bagaimana perusahaan mencapai tujuannya serta mengawasi
dan memberikan penghargaan atas kinerja perusahaan (perencanaan dan
pengendalian)
o Kunci utama perencanaan dan pengendalian bergantung pada akuntansi (laporan
keuangan merupakan cara utama mengkomunikasikan rincian kinerja kepada
stakeholder)
INTERNAL CONTROL
 Risiko pengendalian meningkat dalam beberapa tahun terakhir karena:
o Informasi tersedia bagi banyaknya pegawai
o Distributed computer networks membuat data tersedia bagi banyak pengguna, dan
jaringan ini sulit dikendalikan dibandingkan centralized mainframe systems
o Pelanggan dan pemasok mempunyai akses atas sistem dan data satu sama lain,
mengakibatkan kerahasiaan menjadi pertimbangan utama
 Threat -> potensi kejadian yang merugikan atau peristiwa yang tidak diinginkan yang bisa
merugikan SIA atau organisasi.
 Exposure(impact) -> kerugian potensial yang mungkin timbul jika ancaman menjadi kenyataan
 likelihood -> probabilitas terjadinya ancaman
 Internal control -> proses yang diterapkan oleh dewan direksi, manajemen, dan semua yang
berada di bawah arahan mereka untuk memberikan keyakinan yang memadai bahwa tujuan
pengendalian berikut tercapai.
o Keamanan aset (Termasuk data) termasuk pencegahan atau deteksi tepat waktu atas
akusisi, penggunaan, pengehntian aset yang tidak diotorisasi.
o Catatan rinci yang mencerminkan aset perusahaan dengan wajar dan akurat
o Tersediannya informasi yang akurat dan andal
o Terdapat keyakinan yang memadai bahwa laporan keuangan disusun berdasar SAK
o Efesiensi operasional diberitahukan dan ditingkatkan termasuk memastikan bahwa
penerimaan dan pengeluaran perusahaan sesuai dengan otorisasi manajemen dan
direksi
o Kepatuhan terhadap kebijakan manajerial yang telat ditentukan
o Organisasi patuh terhadap hukum dan peraturan yang berlaku
 Pengendalian internal merupakan sebuah proses karena merupakan bagian dsri kegiatan
operasional dan kegiatan manajemen dasar
 Pengendalian internal memberikan keyakinan yang memadai, bukan absolut, karena keyakinan
absolut sulit atau tidak mungkin dicapai dan mahal
 Keterbatasan sistem pengendalian internal:
o Rentan terhadap kesalahan dan keputusan yang buruk
o Dapat dikesampingkan oleh manajemen atau dengan kolusi dari 2 atau lebih karyawan
o Tujuan pengendalian internal yang seringkali bertolak belakang satu sama lain, misal
pengendalian atas keamanan aset dapat mengurangi efesiensi operasional.
 Banyak yang berpendapat bahwa ada konflik dasar antara kreativitas dan pengendalian, 4 levers
of controls untuk merekonsiliasi konflik tsb:
o A belief system-> sistem yang menggambarkan bagaimana perusahaan menciptakan
nilai, membantu karyawan memahami visi manajemen, mengkomunikasikan nilai inti
perusahaan ke pegawai dan menginspirasi mereka untuk hidup menurut nilai tsb
o A boundary system-> sistem yang membantu pegawai bertindak etis dengan
menetapkan batasan yang tidak boleh dilanggar
o A diagnostic control system -> sistem yang mengukur, memantau, dan membandingkan
kinerja aktual dengan anggaran dan tujuan perusahaan
o An interactive control system -> sistem yang membantu manajer dalam mengarahkan
perhatian karyawan terhadap isu strategis dan untuk lebih terlibat dalam pengambilan
keputusan
 Tujuan utama Foreign Corrupt Practices Act(1977) -> mencegah suap atas pejabat asing untuk
mendapatkan bisnis
 Dampak-> perusahaan harus mempunyai sistem pengendalian akuntansi internal yang baik
 SOX (2002) bertujuan:
o Mencegah fraud atas laporan keuangan
o Meningkatkan transparasi laporan keuangan
o Melindungi investor
o Meningkatkan pengendalian internal perusahaan publik
o Memberikan sanksi bagi yang melakukan fraud
 Dampak-> pada cara kerha dewan direksi, manajemen dan akuntan
 Aspek penting SOX:
o Public Company Accounting Oversight Board (PCAOB)
o Aturan baru untuk auditor
o Aturan baru untuk komite audit
o Aturan baru untuk manajemen
o Persyaratan pengendalian internal baru

 Setelah SOX diberlakukan, SEC mengharuskan manajemen untuk:

o Melakukan evaluasi berdasarkan kerangka pengendalian yang diakui misalnya COSO
o Mengungkapkan semua kelemahan pengendalian internal yang material
o Menyatakan bahwa perusahaan tidak mempunyai pengendalian internal dalam
pelaporan keuangan yang efektif jika ada kelemahan yang material
elibe
 Kerangka kerja yang dapat membantu perusahaan mengembangkan system pengendalian
internal yang bagus:
o COBIT framework
o COSO internal control framework
o COSO’s Enterprise Risk Management framework (ERM)
 COBIT (Controll Objectives for Information and Related Technology) framework dikembangkan
oleh Information System Audit and Control Association (ISACA) -> kerangka system
pengendalian dan keamanan atas pengendalian TI -> memungkinkan:
o Manajemen mempunyai suatu benchmark atas pengendalian dan keamanan lingkungan
TI
o Pengguna jasa TI yakin bahwa terdapat pengendalian dan keamanan yang memadai
o Pembuktian atau dukungan bagi auditor terkait opini mereka atas pengendalian internal
dan saran mengenai pengendalian dan keamanan TI
 COBIT 5 framework didasarkan pada 5 prinsip utama tata kelola TI dan manajemen, yaitu:
o Memenuhi kepentingan stakeholder
o Mencakup keseluruhan perusahaan (end-to-end)
o Menerapkan 1 kerangka yang terintegrasi
o Memungkinkan pendekatan holistic
o Memisahkan tata kelola dengan manajemen
- Tata kelola -> direct, monitor, evaluate
- Manajemen :
o Align, plan, organize (APO)
o Build, acquire, implement (BAI)
o Deliver, service, support (DSS)
o Monitor, evaluate, assess(MEA)
 Control Environment -> mengatur budaya organisasi dan mempengaruhi kesadaran
pengendalian manajemen dan karyawannya -> dasar dari 4 komponen pengendalian lainnya.

 Risk Assesment dilakukan untuk mengidentifikasi, menganaisa, dan mengelola risiko yang
relevan dengan pelaporan keuangan

 Kualitas informasi yang dihasilkan SIA akan mempengaruhi kemampuan manajemen dalam
melakukan tindakan dan membuat keputusan terkait kegiatan perusahaan dan penyiapan
laporan keuangan yang andal

 Transaction Authorization
o Untuk memastikan bahwa semua transaksi material yang telah diproses oleh system
informasi merupakan transaksi yang sah dan sesuai dengan tujuan manajemen
 Segregation of Duties
o Dalam system manual, pemisahan dilakukan antara:
- Authorizing and processing a transaction
- Custody and recordkeeping of the asset
- Substask (jurnal, subledger, GL)
 Supervision
 o Pemisahan tugas mengakibatkan perusahaan harus mempunyai banyak karyawan
sehingga sulit diterapkan pada perusahaan kecil -> diperlukan supervise (compensating
control)
o Asumsi yang mendasari pengendalian supervise -> perusahaan memperkerjakan
karyawan yang kompeten dan dapat dipercaya
 Independent Verification
o Melalui verifikasi independen, manajemen dapat:
- Menilai kinerja setiap individu
- Menilai integritas system pemrosesan transaksi
- Menilai ketepatan data yang ada dalam catatan akuntansi
 Contoh : membandingkan fisik asset dengan catatan akuntansinya

IT CONTROLS

GERNAL CONTROLS

 Pengendalian umum meliputi:

1. Physical controls
2. Segregation of duties
3. User access
4. System development procedures
5. User awareness of risks
6. Data storage procedures

 PHYSICAL CONTROLS
o Pengendalian fisik -> pembatasan akses terhadap sumber daya perusahaan (terutama
sumber daya komputasi)
o Pengendalian fisik dapat terjadi dari :
- Mengunci tempat komputasi
- Pemanfaatan tempat yang tidak menarik perhatian
- Penggunaan kartu akses
- kontrol akses biometric
- Onsite security
- CCTV
- Gudang terkunci untuk penyimpanan barang dagang
- Dll

 SEGREGATION DUTIES
o Pemisahan tugas antara:
- Pengguna TI
- Orang yang melakukan maintenance atas sistem TI
- Perancang system
- Penguji system
- Orang yang memiliki akses atas sumber daya data
 USER ACCESS
o Cara paling utama adalah penggunaan password -> pemberian kode identifikasi untuk
kepada user, yang hanya diketahui user, dengan tujuan untuk membatasi akses logis
atas system perusahaan
o Hal yang harus diperhatikan terkait password:
- Format password
- Umur password
- Keunikan password
- Apa yang harus dilakukan ketika login gagal
- Keamanan password
 SYSTEM DEVELOPMENT PROCEDURES
o Perusahaan dapat memiliki SI yang berbeda, yang memerlukan maintance dan
pengembangan pada berbagai waktu, sehingga penting bagi perusahaan untuk memiliki
serangkaian prosedur perancangan dan implementasi system baru
o Prosedut tersebut mencakup tahapan proses pengembangan dan orang-orang yang
terlibat
 USER AWERENESS OF RISKS
o Perusahaan harus memastikan bahwa karyawannya sadar dan waspada atas risiko dari
setiap SI
o Hal tersebut dapat dicapai dengan memberikan pengarahan, membuat kebijakan dan
prosedur
 DATA STORAGE PROCEDURES
o Ancaman atas data dapat berasal dari internal maupun eksternal
o Portability juga meningkatkan risiko atas data
o Prosedur pengendalian terkait akses, duplikasi, dan pengiriman data merupakan akses
penting dalam kebijakan pengendalian umum, seperti:
- Pembatasan hak akses user atas data, missal read only, read and copy
- Enkripsi
- Catatan atas user yang mengakses dan mengubah data
- Firewalls
- Update antivirus
- Scan system secara berkala
- Scan attachment sebelum dibuka
 DATA STORAGE PROCEDURES
o Kebijakan backup penting dilakukan untuk proses recovery ketika terjadi kerusakan atau
kehilangan data
o Hal penting terkait kebijakan backup:
- Keeping multiple backups
- Storing backups offsite
- Keeping multiple versions of backups
- Deciding what and how frequently to backup

APPLICATION CONTOLS
 Pengendalian aplikasi -> pengendalian yang terkait dengan aplikasi tertentu, seperti payroll,
pembelian, pengeluaran kas, dll
 3 kategori pengendalian aplikasi:
1. Pengendalian input
2. Pengendalian proses
3. Pengendalian output

APPLICATION CONTROLS-INPUT CONTROLS-CHECK DIGIT

 2 Jenis kesalahan input data:
o Transcription error
- Addition error
- Truncation error
- Substitution error
o Transposition error
- Single transposition error
- Multiple transposition error
 Check digit -> control digit yang ditambahkan ke kode data ketika diinput
 Bentuk check digit:
o Jumlahkan digit kode data (Sederhana, hanya bisa mendeteksi transcription
error)
o Modulus 11
 Pengendalian input lainnya:
o Penggunaan dokumen yang terstandar dan disesuaikan dengan dokumen hardcopynya -
> untuk memastikan semua data telah diinput dengan lengkap
o Sequence check -> untuk memastikan nomor urut dokumen tidak ada yang terlewat
o Penggunaan dokumen turn around
o Automated form completion (misal: input kode pelanggan, keluar informasi mengenai
pelanggan tersebut, seperti nama, alamat, dll)
o Independent reviews -> pekerjaan 1 orang diawasi oleh orang lain untuk memastikan
kelengkapan dan keakuratan
APPLICATION CONTROLS – PROCESSING CONTROL
 Pengendalian proses -> prosedur terprogram yang memastikan bahwa logika aplikasi berfungsi
dengan baik
 Contoh pengendalian proses:
o Batch control -> digunakan untuk mengelola transaksi dalam jumlah besar pada system
pemrosesan batch
- Dilakukan dengan cara membandingkan output dengan input
- Tujuan : memastikan semua record diproses, tidak ada record yang diproses
lebih dari sekali, terdapat jejak audit selama pemrosesan data
- Batch control record berisi informasi relevan mengenai suatu batch transaksi,
seperti nomor batch, tanggal batch. Kode transaksi, record count, batch control
total (financial), hash total(non financial)
(GAMBAR)
 o Run-to-run control
- Menggunakan nilai yang terdapat pada batch control record untuk mengawasi
batch ketika berpindah dari suatu tahapan pemrosesan data ke tahapan
pemrosesan data lainnya.
(GAMBAR)

APPLICATION CONTROL-OUTPUT CONTROL

 Pengendalian output -> pengendalian akses terhadap output dari system beserta isi dari output
tersebut
 Contoh pengendalian output:
o Hak akses atas laporan
o Pemberian nomor halaman
o Penggunaan end-of-report-footer
o Penggunaan printer dengan bijak

DISASTER RECOVERY PLANS

 Aspek penting lainnya dari system pengendalian perusahaan adalah kemampuan perusahaan
untuk pulih kembali dari bencana dan meminimalkan kerugian
 Disaster recovery plan (DRP) -> strategy yang akan dilakukan perusahaan, ketika terjadi bencana
yang menggangu kegiatan normal perusahaan, untuk mengembalikan proses kegiatan dan
memulihkan data secepat mungkin
 Beberapa hal yang termasuk dalam DRP :
o Temporary site:
- Hot site -> fasilitas pemrosesan yang terletak jauh dari perusahaan dan
dilengkapi dengan kantor dan peralatan lainnya sehingga proses transaksi dapat
segera dilakukan hanya beberapa saat setelah terjadi bencana
- Cold site -> fasilitas pemrosesan minimum yang tidak dilengkapi dengan
peralatan dan data yang memadai
o Staffing-> tugas dan wewenang setiap staf harus didokumentasi dan harus dipasitkan
mereka menjalankannya dengan baik
- Staff evakuasi
- Akses terhadap staf setelah terjadi bencana
o Restore business relantionships
- Penting juga memikirkan bagaimana perusahaan dapat berinteraksi dengan
pihak setelah bencana terjadi, terutama ketika hubungan dengan pihak luar
dilakukan melalui jaringan

LIMITATION OF CONTROL

 Sistem pengendalian internal tidak dapat memastikan 100% bahwa tujuan perusahaan tercapai,
hal ini disebabkan oleh :
o Judgement error
o Unexpected transactions
o Collusion
o Management override
o Weak internal controls
o Conflicting signals
o Management incompetence
o External factors
o Fraud
o Regulatory environment
o Control matrix