Corporate Governance (CG) adalah cara bagaimana suatu perusahaan dikelola untuk
menciptakan nilai, mendorong, akuntabilitas dan pentendalian, serta mengelola risiko.
TUJUAN SISTEM CG:
1. Memastikan bahwa pemetsng saham minoritas menerima informasi yang dapat
diandalkan mengenai nilai perusahaan.
2. Memotivasi manajer untuk memaksimalkan nilai perusahaan.
3. Menyediakan akuntabilitas dan sistem pengendalian yang sesuai dengan resiko yang
dihadapi perusahaan.
Risk Assesment dilakukan untuk mengidentifikasi, menganaisa, dan mengelola risiko yang
relevan dengan pelaporan keuangan
Kualitas informasi yang dihasilkan SIA akan mempengaruhi kemampuan manajemen dalam
melakukan tindakan dan membuat keputusan terkait kegiatan perusahaan dan penyiapan
laporan keuangan yang andal
Transaction Authorization
o Untuk memastikan bahwa semua transaksi material yang telah diproses oleh system
informasi merupakan transaksi yang sah dan sesuai dengan tujuan manajemen
Segregation of Duties
o Dalam system manual, pemisahan dilakukan antara:
- Authorizing and processing a transaction
- Custody and recordkeeping of the asset
- Substask (jurnal, subledger, GL)
Supervision
o Pemisahan tugas mengakibatkan perusahaan harus mempunyai banyak karyawan
sehingga sulit diterapkan pada perusahaan kecil -> diperlukan supervise (compensating
control)
o Asumsi yang mendasari pengendalian supervise -> perusahaan memperkerjakan
karyawan yang kompeten dan dapat dipercaya
Independent Verification
o Melalui verifikasi independen, manajemen dapat:
- Menilai kinerja setiap individu
- Menilai integritas system pemrosesan transaksi
- Menilai ketepatan data yang ada dalam catatan akuntansi
Contoh : membandingkan fisik asset dengan catatan akuntansinya
IT CONTROLS
GERNAL CONTROLS
PHYSICAL CONTROLS
o Pengendalian fisik -> pembatasan akses terhadap sumber daya perusahaan (terutama
sumber daya komputasi)
o Pengendalian fisik dapat terjadi dari :
- Mengunci tempat komputasi
- Pemanfaatan tempat yang tidak menarik perhatian
- Penggunaan kartu akses
- kontrol akses biometric
- Onsite security
- CCTV
- Gudang terkunci untuk penyimpanan barang dagang
- Dll
SEGREGATION DUTIES
o Pemisahan tugas antara:
- Pengguna TI
- Orang yang melakukan maintenance atas sistem TI
- Perancang system
- Penguji system
- Orang yang memiliki akses atas sumber daya data
USER ACCESS
o Cara paling utama adalah penggunaan password -> pemberian kode identifikasi untuk
kepada user, yang hanya diketahui user, dengan tujuan untuk membatasi akses logis
atas system perusahaan
o Hal yang harus diperhatikan terkait password:
- Format password
- Umur password
- Keunikan password
- Apa yang harus dilakukan ketika login gagal
- Keamanan password
SYSTEM DEVELOPMENT PROCEDURES
o Perusahaan dapat memiliki SI yang berbeda, yang memerlukan maintance dan
pengembangan pada berbagai waktu, sehingga penting bagi perusahaan untuk memiliki
serangkaian prosedur perancangan dan implementasi system baru
o Prosedut tersebut mencakup tahapan proses pengembangan dan orang-orang yang
terlibat
USER AWERENESS OF RISKS
o Perusahaan harus memastikan bahwa karyawannya sadar dan waspada atas risiko dari
setiap SI
o Hal tersebut dapat dicapai dengan memberikan pengarahan, membuat kebijakan dan
prosedur
DATA STORAGE PROCEDURES
o Ancaman atas data dapat berasal dari internal maupun eksternal
o Portability juga meningkatkan risiko atas data
o Prosedur pengendalian terkait akses, duplikasi, dan pengiriman data merupakan akses
penting dalam kebijakan pengendalian umum, seperti:
- Pembatasan hak akses user atas data, missal read only, read and copy
- Enkripsi
- Catatan atas user yang mengakses dan mengubah data
- Firewalls
- Update antivirus
- Scan system secara berkala
- Scan attachment sebelum dibuka
DATA STORAGE PROCEDURES
o Kebijakan backup penting dilakukan untuk proses recovery ketika terjadi kerusakan atau
kehilangan data
o Hal penting terkait kebijakan backup:
- Keeping multiple backups
- Storing backups offsite
- Keeping multiple versions of backups
- Deciding what and how frequently to backup
APPLICATION CONTOLS
Pengendalian aplikasi -> pengendalian yang terkait dengan aplikasi tertentu, seperti payroll,
pembelian, pengeluaran kas, dll
3 kategori pengendalian aplikasi:
1. Pengendalian input
2. Pengendalian proses
3. Pengendalian output
Aspek penting lainnya dari system pengendalian perusahaan adalah kemampuan perusahaan
untuk pulih kembali dari bencana dan meminimalkan kerugian
Disaster recovery plan (DRP) -> strategy yang akan dilakukan perusahaan, ketika terjadi bencana
yang menggangu kegiatan normal perusahaan, untuk mengembalikan proses kegiatan dan
memulihkan data secepat mungkin
Beberapa hal yang termasuk dalam DRP :
o Temporary site:
- Hot site -> fasilitas pemrosesan yang terletak jauh dari perusahaan dan
dilengkapi dengan kantor dan peralatan lainnya sehingga proses transaksi dapat
segera dilakukan hanya beberapa saat setelah terjadi bencana
- Cold site -> fasilitas pemrosesan minimum yang tidak dilengkapi dengan
peralatan dan data yang memadai
o Staffing-> tugas dan wewenang setiap staf harus didokumentasi dan harus dipasitkan
mereka menjalankannya dengan baik
- Staff evakuasi
- Akses terhadap staf setelah terjadi bencana
o Restore business relantionships
- Penting juga memikirkan bagaimana perusahaan dapat berinteraksi dengan
pihak setelah bencana terjadi, terutama ketika hubungan dengan pihak luar
dilakukan melalui jaringan
LIMITATION OF CONTROL
Sistem pengendalian internal tidak dapat memastikan 100% bahwa tujuan perusahaan tercapai,
hal ini disebabkan oleh :
o Judgement error
o Unexpected transactions
o Collusion
o Management override
o Weak internal controls
o Conflicting signals
o Management incompetence
o External factors
o Fraud
o Regulatory environment
o Control matrix