Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada. Sebagai contoh, Chevron
memiliki 35.000 PC.
Informasi pada jaringan komputer distribusi sulit dikendalikan.
Pelanggan serta pemasok memiliki akses ke sistem dan data satu sama lain.
Beberapa perusahaan memandang kehilangan atas informasi penting sebagai sebuah ancaman
yang tidak mungkin terjadi.
Implikasi pengendalian atas pemindahan dari sistem komputer tersentralisasi ke sistem berbasis
internet tidak sepenuhnya dipahami.
Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber daya strategi dan
melindungi informasi harus menjadi sebuah ketentuan strategis.
Produktivitas dan penekanan biaya memotivasi manajemen untuk mengabaikan ukuran-ukuran
pengendalian yang memakan waktu.
Mengamankan aset - mencegah atau mendeteksi perolehan, penggunaan, atau penempatan yang
tidak sah.
Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara akurat dan
wajar.
Memberikan informasi yang akurat dan reliabel.
Menyiapkan laporan keuangan yang sesuai dengan kriteria yang telah ditetapkan.
Mendorong dan memperbaiki efisiensi operasional.
Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan.
Mematuhi hukum dan peraturan yang berlaku.
Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut:
Robert Simons, seorang profesor bisnis Harvard, telah menganut empat kaitan pengendalian untuk
membantu manajemen menyelesaikan konflik di antara kreativitas dan pengendalian.
1. Sistem kepercayaan (belief system): sistem yang menjelaskan cara sebuah perusahaan
menciptakan nilai, membantu pegawai memahami visi perusahaan, mengomunikasikan nilai-nilai
dasar perusahaan, dan menginspirasi pegawai untuk bekerja berdasarkan nilai-nilai tersebut.
2. Sistem batas (boundary system): sistem yang membantu pegawai bertindak secara etis dengan
membangun batas pada perilaku kepegawaian.
3. Sistem pengendalian diagnostik (diagnostic control system): sistem yang mengukur,
mengawasi, dan membandingkan perkembangan perusahaan aktual dengan anggaran dan tujuan
kinerja.
4. Sistem pengendalian interaktif (interactive control system): sistem yang membantu manajer
untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan lebih terlibat di dalam
keputusan mereka.
Public Company Accounting Oversight Board (PCAOB): dewan yang dibuat oleh SOX yang
mengatur profesi pengauditan; dibuat sebagai bagian dari SOX.
Aturan-aturan baru bagi para auditor.
Peran baru bagi komite audit.
Aturan baru bagi manajemen.
Ketentuan baru pengendalian internal.
KERANGKA PENGENDALIAN
Pada pembahasan ini, ada tiga kerangka yang digunakan untuk mengembangkan sistem pengendalian
internal.
KERANGKA COBIT
Control Objective for Information and Related Technology (COBIT): sebuah kerangka keamanan dan
pengendalian yang memungkinkan 1) manajemen untuk membuat tolok ukur praktik-praktik keamanan
dan pengendalian lingkungan TI; 2) para pengguna layanan TI dijamin dengan adanya keamanan dan
pengendalian yang memadai; 3) para auditor memperkuat opini pengendalian internal dan
mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.
Beberapa prinsip yang memungkinkan dalam membantu organisasi membangun sebuah tata kelola yang
efektif dan kerangka manajemen yang melindungi investasi pemangku kepentingan dan menghasilkan
sistem informasi terbaik:
COBIT 5: sebuah kerangka komprehensif yang membantu perusahaan mencapai tujuan tata kelola dan
manajemen TI.
Model COBIT 5 tentang referensi proses mengidentifikasi lima proses tata kelola (merujuk pada
mengevaluasi, mengarahkan, mengawasi- evaluate, direct, dan monitor atau EDM) dan 32 proses
manajemen. Tiga puluh dua proses manajemen dibagi ke dalam empat domain sebagai berikut:
LINGKUNGAN INTERNAL
Lingkungan internal (internal environment): budaya perusahaan yang merupakan fondasi dari seluruh
elemen ERM lainnya karena ini memengaruhi cara organisasi menetapkan strategi dan tujuannya;
membuat struktur aktivitas; dan mengidentifikasi, menilai, serta merespons risiko. Sebuah lingkungan
internal mencakup:
STRUKTUR ORGANISASI
Aspek-apek penting dari struktur organisasi menyertakan hal-hal berikut:
PEREKRUTAN
Pengecekan latar belakang (background check): sebuah investigasi para pegawai atau calon pegawai
yang memasukkan verifikasi pendidikan dan pengalaman kerja mereka, berbicara berdasarkan referensi,
pengecekan catatan kriminal atau masalah kredit, dan pemeriksaan informasi lain yang tersedia secara
publik.
PELATIHAN
Pelatihan mengajarkan pegawai baru akan tanggung jawab mereka.
PEMBERHENTIAN
Pegawai yang diberhentikan harus segera dipindahkan dari pekerjaan yang sensitif dan ditolak aksesnya
ke sistem informasi.
1. perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah bencana hubungan
publik.
2. penegak hukum dan pengadilan sibuk dengan kriminal kekerasan dibandingkan dengan penipuan.
3. menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan waktu.
4. banyak petugas penegak hukum, pengacaram dan hakim kurang memiliki kecapakan komputer
yang diperlukan untuk menyelidiki dan menuntut kejahatan komputer.
5. hukuman untuk penipuan biasanya ringan.
PENGARUH EKSTERNAL
Pengaruh eksternal meliputi persyaratan-persyaratan yang diajukan oleh bursa efek, Financial
Accounting Standars Board (FASB), PCAOB, dan SEC.
PENETAPAN TUJUAN
Tujuan strategis (strategic objective): tujuan tingkat tinggi yang disejajarkan dan mendukung misi
perusahaan serta menciptakan nilai pemegang saham.
Tujuan operasi (operation objective): tujuan yang berhubungan dengan efektivitas dan efisiensi operasi
perusahaan serta menentukan cara mengalokasikan sumber daya.
Tujuan pelaporan (reporting objective): tujuan yang membantu memastikan ketelitian, kelengkapan,
dan keterandalan laporan perusahaan; meningkatkan perbuatan keputusan; dan mengawasi aktivitas serta
kinerja perusahaan.
Tujuan kepatuhan (compliance objective): tujuan yang membantu perusahaan mematuhi seluruh hukum
dan peraturan yang berlaku.
IDENTIFIKASI KEJADIAN
Kejadian (event): sebuah insiden atau peristiwa positif atau negatif dari sumber-sumber internal dan
eksternal yang memengaruhi implementasi strategi atau pencapaian tujuan.
MENGIDENTIFIKASI PENGENDALIAN
Manajemen harus mengidentifikasi pengendalian yang melindungi perusahaan dari setiap kejadian.
AKTIVITAS PENGENDALIAN
Aktivitas pengendalian (control activities): kebijakan, prosedur, dan aturan yang memberikan jaminan
memadai bahwa tujuan pengendalian telah dicapai dan respons risiko dilakukan. Manajemen harus
memastikan bahwa:
1. pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level yang
dapat diterima,
2. pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi,
3. aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan prosedur
perusahaan yang telah ditentukan.
PEMISAHAN TUGAS
Pemisahan tugas terdiri dari beberapa pemisahan yang akan dibahas berikut ini.
Kolusi (collusion): kerja sama antara dua orang atau lebih dalam sebuah upaya untuk menggagalkan
pengendalian internal.
Hotline peniputan (fraud hotline): nomor telepon yang dapat dihubungi oleh para pegawai untuk
melaporkan penipuan dan penyalahgunaan secara anonim (tanpa nama).