SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

Disusun guna memenuhi tugas mata kuliah

Sistem Informasi dan Pengendalian Internal

Oleh :
Kelompok 1
Hayu Arianti (180020113111001)
Dentar Pri Anggy A (180020113111005)

PROGRAM PENDIDIKAN PROFESI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS BRAWIJAYA
2018

1.1 KONSEP DASAR PENGENDALIAN INTERNAL

 Pengendalian internal (internal control) adalah proses yang dijalankan untuk
menyediakan jaminan memadai bahwa tujuan-tujuan pengendalian berikut telah dicapai:

1. Mengamankan aset – mencegah atau mendeteksi perolehan, penggunaan, atau

penempatan yang tidak sah.
2. Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara
akurat dan wajar.
3. Memberikan informasi yang akurat dan reliabel.
4. Menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan.
5. Mendorong dan memperbaiki efisiensi operasional.
6. Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan.
7. Mematuhi hukum dan peraturan yang berlaku.

Mengembangkan sebuah sistem pengendalian internal memerlukan pemahaman yang

seksama terhadap kemampuan teknologi informasi (information system) dan risikonya. Para
akuntan dan pengembang sistem membantu manajemen mencapai tujuan pengendaliannya
dengan (1) mendesain sistem pengendalian yang efektif dengan menggunakan pendekatan
proaktif untuk mengeliminasi ancaman sistem, serta yang dapat mendeteksi, memperbaiki, dan
memulihkan dari ancaman ketika terjadi, dan (2) membuatnya lebih mudah guna membentuk
pengendalian ke dalam sebuah sistem pada tahapan desain awal daripada menambahkannya
setelah terbentuk.

Pengendalian internal menjalankan tiga fungsi penting sebagai berikut:

1. Pengendalian preventif (preventive control), mencegah masalah sebelum timbul.

2. Pengendalian detektif (detective control), menemukan masalah yang tidak terelakkan.
3. Pengendalian korektif (corrective control), mengidentifikasi dan memperbaiki
masalah serta memperbaiki dan memulihkannya dari kesalahan yang dihasilkan.

Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut.

1. Pengendalian umum (general control), memastikan lingkungan pengendalian sebuah

organisasi stabil dan dikelola dengan baik.
2. Pengendalian aplikasi (application control), mencegah, mendeteksi, dan mengoreksi
kesalahan transaksi serta penipuan di dalam program aplikasi.
 Robert Simons, seorang profesor bisnis Harvard, telah menganut empat kaitan
pengendalian untuk membantu manajemen menyelesaikan konflik di antara kreativitas dan
pengendalian.

1. Sebuah sistem kepercayaan (belief system) menjelaskan cara sebuah perusahaan

menciptakan nilai, membantu pegawai memahami visi manajemen,
mengkomunikasikan nilai-nilai dasar perusahaan, dan menginspirasi pegawai untuk
bekerja berdasarkan nilai-nilai tersebut.
2. Sebuah sistem batas (boundary system) membantu pegawai bertindak secara etis
dengan membangun batas-batas dalam perilaku kepegawaian. Sistem tersebut
mendorong pegawai untuk menyelesaikan masalah secara kreatif dan memenuhi
kebutuhan pelanggan disamping memenuhi standar kerja minimum, menghindari
tindakan yang dilarang, dan menghindari tindakan yang mungkin merusak reputasi
mereka.
3. Sebuah sistem pengendalian diagnostik (diagnostic control system) mengukur,
mengawasi, dan membandingkan perkembangan perusahaan aktual berdasarkan
anggaran dan tujuan kinerja.

4. Sebuah sistem pengendalian interaktif (interactive control system) membantu manajer

untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan lebih terlibat
di dalam keputusan mereka.

1.1.1 PRAKTIK KORUPSI ASING DAN SARBANES-OXLEY ACTS

Pada 1977, Foreign Corrupt Practices Act (FCPA) dikeluarkan untuk mencegah
perusahaan menyuap pejabat asing agar mendapatkan bisnis. Kongres menggabungkan aturan
dari sebuah pernyataan American Institute of Certified Public Accountants (AICPA) ke dalam
FCPA yang mengharuskan perusahaan untuk memelihara sistem pengendalian internal yang
baik. Namun, ketentuan-ketentuan ini tidak cukup untuk mencegah masalah yang lebih jauh.
Pada akhir 1990 dan awal 2000, berita melaporkan penipuan akuntansi di Enron,
WorldCom, Xerox, Tyco, Global Crossing, Adelphia, dan perusahaan lainnya. Ketika Enron,
dengan aset $62 miliar, dinyatakan bangkrut pada Desember 2001, ini adalah kebangkrutan
terbesar sepanjang sejarah Amerika Serikat. Pada Juni 2002, Arthur Andersen, salah satu kantor
CPA terbesar, kolaps. Kebangkrutan Enron disepelekan ketika WorldCom, dengan aset lebih dari
$100 miliar, mengajukan kebangkrutan pada Juli 2002. Merespons penipuan tersebut, Kongres
mengeluarkan Sarbanes-Oxley Act (SOX) pada 2002. SOX diterapkan bagi perusahaan-
perusahaan publik dan auditor mereka serta didesain untuk mencegah penipuan laporan
keuangan, membuat laporan keuangan lebih transparan, melindungi investor, memperkuat
pengendalian internal, dan menghukum eksekutif yang melakukan penipuan.
Selain itu, SOX merupakan undang-undang berorientasi bisnis yang paling penting dalam
80 tahun terakhir. Undang-undang ini mengubah cara dewan direksi dan manajemen beroperasi
serta memiliki dampak yang kuat terhadap CPA yang mengaudit mereka. Berikut beberapa aspek
terpenting SOX:
1. Public Company Accounting Oversight Board (PCAOB). Tujuan SOX menciptakan
Public Company Accounting Oversight Board (PCAOB) adalah untuk mengendalikan
profesi pengauditan (auditing). PCAOB menetapkan serta memberlakukan
pengauditan, pengendalian kualitas, etika, independensi, dan standar-standar audit
lainnya.
2. Aturan-aturan baru bagi para auditor. Auditor harus melaporkan informasi tertentu ke
komite audit perusahaan, seperti kebijakan dan praktik akuntansi yang penting. SOX
membatasi auditor dalam melakukan layanan non audit tertentu, seperti desain sistem
informasi dan implementasi. Kantor audit tidak dapat memberikan layanan kepada
perusahaan jika manajemen puncak dipekerjakan oleh kantor pengauditan (auditing)
dan bekerja pada audit perusahaan dalam kurun waktu 12 bulan sebelumnya.
3. Peran baru bagi komite audit. Anggota komite audit harus berada di dewan direksi
perusahaan dan independen dari perusahaan. Seorang anggota komite audit harus
seorang pakar keuangan. Komite audit mempekerjakan, mengompensasi, dan
mengawasi para auditor yang melapor langsung kepada mereka.
4. Aturan baru bagi manajemen. SOX mengharuskan CEO dan CFO untuk menyatakan
bahwa (1) pernyataan dan pengungkapan keuangan disajikan dengan wajar, ditinjau
oleh manajemen, dan tidak menyesatkan; dan bahwa (2) para auditor diberitahukan
tentang semua kelemahan pengendalian internal material dan diberitahukan juga
 tentang penipuan. Jika manajemen dengan sengaja melanggar aturan tersebut, mereka
dapat dituntut dan didenda.
5. Ketentuan baru pengendalian internal. Bagian 404 mengharuskan perusahaan untuk
menerbitkan sebuah laporan pendukung laporan keuangan yang menyatakan bahwa
manajemen bertanggung jawab untuk menetapkan dan memelihara sistem
pengendalian internal yang memadai. Laporan tersebut harus mengandung penilaian
manajemen pengendalian internal perusahaan, membuktikan ketepatan mereka, dan
melaporkan kelemahan yang signifikan atau ketidakpatuhan material.

Setelah SOX dikeluarkan, SEC memerintahkan bahwa manajemen harus:

1. Mendasarkan evaluasinya pada sebuah kerangka pengendalian yang berlaku.

Kerangka yang paling mungkin, diformulasikan oleh Committee of Sponsoring
Organization (COSO).
2. Mengungkap semua kelemahan pengendalian internal material.
3. Menyimpulkan bahwa sebuah perusahaan tidak memiliki pengendalian internal
pelaporan keuangan yang efektif jika terdapat kelemahan material.

1.2 MENGAPA PENGENDALIAN BERBASIS TEKNOLOGI INFORMASI DAN

KEAMANAN SISTEM DIPERLUKAN

Pengendalian berbasis teknologi informasi dan kemanan sistem diperlukan disebabkan

adanya ancaman terhadap sistem informasi akuntansi yang semakin meningkat. Hampir setiap
tahun, lebih dari 60% organisasi mengalami kegagalan utama dalam mengendalikan keamanan
dan integritas sistem komputer mereka. Alasan untuk kegagalan tersebut meliputi:

1. Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada. Sebagai contoh,
Chevron memiliki 35.000 PC.
2. Informasi pada jaringan komputer didistribusi sulit dikendalikan. Informasi di
Chevron, didistribusikan di antara banyaknya sistem dan ribuan pegawai di seluruh
dunia. Setiap sistem dan pegawai mencerminkan sebuah titik kerentanan
pengendalian yang potensial.
 3. Pelanggan serta pemasok memiliki akses ke sistem dan data satu sama lain. Sebagai
contoh, Walmart mengizinkan vendor untuk mengakses database-nya. Bayangkan,
masalah kerahasiaan yang dapat terjadi jika vendor membentuk persekutan dengan
pesaing Walmart.

Organisasi belum melindungi data dengan baik karena:

1. Beberapa perusahaan memandang kehilangan atas informasi penting sebagai ancaman

yang tidak mungkin terjadi.
2. Implikasi pengendalian atas pemindahan dari sistem komputer tersentralisasi ke
sistem berbasis internet tidak sepenuhnya dipahami.
3. Banyak perusahaan tidak menyadari bahwa informasi adalah sumber daya strategis
dan melindungi informasi harus menjadi sebuah ketentuan strategis. Sebagai contoh,
sebuah perusahaan kehilangan jutaan dolar karena ia tidak melindungi transmisi data.
Seorang pesaing menyadap ke dalam sambungan telepon perusahaan dan
mendapatkan faks desain produk baru.
4. Produktivitas dan penekanan biaya memotivasi manajemen untuk mengabaikan
ukuran-ukuran pengendalian yang memakan waktu.

1.3 KERANGKA PENGENDALIAN INTERNAL

1.3.1 KERANGKA COBIT
Information Systems Audit and Control Association (ISACA) mengembangkan kerangka
Control Objective for Information and Related Technology (COBIT). COBIT menggabungkan
standar-standar pengendalian dari banyak sumber berbeda ke dalam sebuah kerangka tunggal
yang memungkinkan (1) manajemen untuk membuat tolok ukur praktik-praktik keamanan dan
pengendalian lingkungan TI; (2) para pengguna layanan TI dijamin dengan adanya keamanan
dan pengendalian yang memadai; dan (3) para auditor memperkuat opini pengendalian internal
dan mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.
Kerangka COBIT 5 menjelaskan praktik-praktik terbaik untuk tata kelola dan manajemen
TI yang efektif. Selain itu, COBIT 5 didasarkan pada lima prinsip utama tata kelola dan
manajemen TI. Prinsip-prinsip berikut ini memungkinkan dalam membantu organisasi
membangun sebuah tata kelola yang efektif dan kerangka manajemen yang melindungi investasi
pemangku kepentingan dan menghasilkan sistem informasi terbaik.
1. Memenuhi keperluan pemangku kepentingan. Kerangka COBIT 5 membantu para
pengguna mengatur proses dan prosedur bisnis untuk menciptakan sebuah sistem
informasi yang menambah nilai untuk pemangku kepentingan. Ia juga memungkinkan
perusahaan menciptakan keseimbangan yang tepat diantara risiko dan penghargaan.
2. Mencakup perusahaan dari ujung ke ujung. Kerangka COBIT 5 tidak hanya berfokus
pada operasi TI, ia juga mengintegrasikan semua fungsi dan proses TI ke dalam
fungsi serta proses keseluruhan perusahaan.
3. Mengajukan sebuah kerangka terintegrasi dan tunggal. Kerangka COBIT 5 dapat
disejajarkan pada tingkatan yang tinggi dengan standar dan kerangka lainnya,
sehingga sebuah kerangka yang menyeluruh bagi tata kelola TI dan manajemen
diciptakan.
4. Memungkinkan pendekatan holistik. Kerangka COBIT 5 memberikan sebuah
pendekatan holistik yang menghasilkan tata kelola dan manajemen yang efektif dari
semua fungsi TI di perusahaan.
5. Memisahkan tata kelola dari manajemen. Kerangka COBIT 5 membedakan antara
tata kelola dan manajemen.
Tujuan tata kelola adalah menciptakan nilai dengan mengoptimalkan penggunaan sumber
daya organisasi untuk menghasilkan manfaat yang diinginkan dengan cara yang secara efektif
mengatasi risiko. Tata kelola adalah tanggung jawab dewan direksi yang (1) mengevaluasi
keperluan pemangku kepentingan untuk mengidentifikasi tujuan, (2) memberikan arahan bagi
manajemen dengan memprioritaskan tujuan, dan (3) mengawasi kinerja manajemen. Manajemen
bertanggung jawab atas perencanaan, pembangunan, pelaksanaan, dan pengawasan aktivitas
serta proses yang digunakan oleh organisasi untuk mengejar tujuan atau tujuan yang ditetapkan
dewan direksi.
Tata kelola dan manajemen TI merupakan proses berkelanjutan. Dewan direksi dan
manajemen mengawasi aktivitas organisasi dan menggunakan umpan balik tersebut untuk
memodifikasi rencana dan prosedur yang ada atau mengembangkan strategi baru untuk
merespons perubahan-perubahan di dalam tujuan bisnis dan perkembangan baru dalam TI.
 COBIT 5 adalah sebuah kerangka komprehensif yang membantu perusahaan mencapai
tujuan tata kelola dan manajemen TI mereka. Model COBIT 5 tentang referensi proses
mengidentifikasi lima proses tata kelola (merujuk pada mengevaluasi, mengarahkan, mengawasi-
evaluate, direct, dan monitor-atau EDM) dan 32 proses manajemen. Tiga puluh dua proses
manajemen dibagi ke dalam empat domain sebagai berikut.
1. Menyelaraskan, merencanakan, dan mengatur (align, plan, dan organize-APO)
2. Membangun, mengakuisisi, menerapkan (build, acquire, dan implement-BAI)
3. Mengantar, melayani, mendukung (deliver, service, dan support-DSS)
4. Mengawasi, mengevaluasi, menilai (monitor, evaluate, dan assess-MEA)

1.3.2 KERANGKA PENGENDALIAN INTERNAL COSO

Committee of Sponsoring Organizations (COSO) terdiri dari Asosiasi Akuntansi Amerika
(American Accounting Association), AICPA, Ikatan Auditor Internal (Institute of Internal
Auditors), Ikatan Akuntan Manajemen (Institute of Management Accountants), dan Ikatan
Eksekutif Keuangan (Financial Executive Institute). Pada 1992, COSO menerbitkan
Pengendalian Internal (Internal Control)-Kerangka Terintegrasi (Integrasi Framework)-IC, yang
diterima secara luas sebagai otoritas untuk pengendalian internal yang digabungkan ke dalam
kebijakan, peraturan, dan regulasi yang digunakan untuk mengendalikan aktivitas bisnis.

Pada 2013, kerangka IC diperbarui untuk kesepakatan yang lebih baik lagi dengan proses
bisnis dan penguasaan teknologi terkini. Kerangka IC revisi juga memberikan panduan lebih
tepat bagi para pengguna tentang cara menerapkan dan mendokumentasikan kerangka. Kerangka
IC baru tetap menggunakan lima komponen dari kerangka asli dan menambahkan 17 prinsip
yang membangun serta mendukung konsep. Masing-masing dari lima komponen setidaknya
memiliki dua hingga lima prinsip.

1.3.3 KERANGKA MANAJEMEN RISIKO PERUSAHAAN COSO

Untuk memperbaiki proses manajemen risiko, COSO mengembangkan kerangka

pengendalian kedua yang disebut Manajemen Risiko Perusahaan (Enterprise Risk Management)-
Kerangka Terintegrasi (Integrated Framework)-ERM. Kerangka ERM adalah proses yang
digunakan oleh dewan direksi dan manajemen untuk mengatur strategi, mengidentifikasi
kejadian yang mungkin mempengaruhi entitas, menilai dan mengelola risiko, serta menyediakan
jaminan memadai bahwa perusahaan mencapai tujuan dan sasarannya. Prinsip-prinsip dasar di
balik ERM adalah sebagai berikut.
1. Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya.
2. Manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima
saat menciptakan nilai.
3. Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu
secara negatif mempengaruhi kemampuan perusahaan untuk menghasilkan atau
mempertahankan nilai.
4. Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa sesuatu
secara positif mempengaruhi kemampuan perusahaan untuk menghasilkan atau
mempertahankan nilai.
5. Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan
mempertahankan nilai.

1.3.4 KERANGKA MANAJEMEN RISIKO PERUSAHAAN VERSUS KERANGKA

PENGENDALIAN INTERNAL
Kerangka IC telah diadopsi secara luas sebagai cara untuk mengevaluasi pengendalian
internal, seperti yang ditentukan oleh SOX. Kerangka ERM yang lebih komprehensif
menggunakan pendekatan berbasis risiko daripada berbasis pengendalian. ERM menambahkan
tiga elemen tambahan ke kerangka IC COSO: penetapan tujuan, pengidentifikasian kejadian
yang mungkin mempengaruhi perusahaan, dan pengembangan sebuah respons untuk risiko yang
dinilai. Hasilnya, pengendalian bersifat fleksibel dan relevan karena mereka ditautkan dengan
tujuan organisasi terkini. Model ERM juga mengakui bahwa risiko, selain dikendalikan, dapat
pula diterima, dihindari, dibuat berjenis-jenis, dibagi, atau ditransfer.

1.4 ELEMEN UTAMA DALAM LINGKUNGAN INTERNAL (INTERNAL

ENVIRONMENT)

Lingkungan internal (internal environment), atau budaya perusahaan, mempengaruhi cara

organisasi menetapkan strategi dan tujuannya; membuat struktur aktivitas bisnis, dan
mengidentifikasi, menilai, serta merespons risiko. Ini adalah fondasi dari seluruh komponen
ERM lainnya. Sebuah lingkungan internal mancakup hal-hal sebagai berikut.

1.4.1 FILOSOFI MANAJEMEN, GAYA PENGOPERASIAN, DAN SELERA RISIKO

Secara keseluruhan, sebuah organisasi memiliki sebuah filosofi atau kepercayaan dan
sikap yang dianut bersama, tentang risiko yang mempengaruhi kebijakan, prosedur, komunikasi
lisan dan tulisan, serta keputusan. Perusahaan juga memiliki selera risiko (risk appetite), yaitu
jumlah risiko yang bersedia diterima oleh sebuah perusahaan untuk mencapai tujuan dan
sasarannya. Untuk menghindari risiko yang tidak semestinya, selera risiko harus selaras dengan
strategi perusahaan.
Filosofi manajemen, gaya pengoperasian, dan selera risiko dapat dinilai dengan
menjawab petanyaan-pertanyaan seperti berikut.
1. Apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk mencapai
tujuan atau apakah manajemen menilai risiko dan manfaat potensial sebelum
bertindak?
2. Apakah manajemen memanipulasi ukuran-ukuran kinerja, seperti pendapatan bersih,
sehingga mereka terlihat baik?
3. Apakah manajemen menekan para pegawai untuk mencapai hasil terlepas dari
metodenya atau apakah manajemen menuntut perilaku yang etis? Dengan kata lain,
apakah pada akhirnya hal tersebut membuahkan hasil?

1.4.2 KOMITMEN TERHADAP INTEGRITAS, NILAI-NILAI ETIS, DAN

KOMPETENSI
Organisasi membutuhkan sebuah budaya yang menekankan integritas dan komitmen
pada nilai-nilai etis serta kompetensi. Integritas dimulai dari puncak kepemimpinan dengan para
pegawai perusahaan mengadopsi sikap manajemen puncak tentang risiko dan pengendalian.
Perusahaan mendukung instegritas dengan:
1. Mengajarkan dan mensyaratkannya secara aktif.
2. Menghindari pengharapan atau insentif yang tidak realistis, sehingga memotivasi
tindakan dusta atau ilegal.
 3. Memberikan penghargaan atas kejujuran serta memberikan label verbal pada perilaku
jujur dan tidak jujur secara konsisten.
4. Mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit
perilaku-perilaku jujur dan tidak jujur.
5. Mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan
mendisplinkan pegawai yang diketahui tidak melaporkannya.
6. Membuat sebuah komitmen untuk kompetensi.

1.4.3 PENGAWASAN PENGENDALIAN INTERNAL OLEH DEWAN DIREKSI

Dewan direksi yang terlibat mewakili pemangku kepentingan dan memberikan tinjauan
independen manajemen yang bertindak seperti sebuah pengecekan dan penyeimbangan atas
tindakan tersebut. SOX mensyaratkan perusahaan publik untuk memiliki sebuah komite audit
(audit committee) dari dewan luar dan independen. Komite audit bertanggung jawab atas
pelaporan keuangan, kepatuhan terhadap peraturan, pengendalian internal, serta perekrutan dan
pengawasan baik auditor internal maupun eksternal, yang melaporkan seluruh kebijakan dan
praktik akuntansi penting kepada komite tersebut. Para dewan harus menyetujui strategi
perusahaan dan meninjau kebijakan-kebijakan keamanan.

1.4.4 STRUKTUR ORGANISASI

Sebuah struktur organisasi perusahaan memberikan sebuah kerangka untuk operasi
perencanaan, pelaksanaan, pengendalian, dan pengawasan. Aspek-aspek penting dari struktur
organisasi menyertakan hal-hal sebagai berikut.
1. Sentralisasi atau desentralisasi wewenang.
2. Hubungan pengarahan atau matriks pelaporan.
3. Organisasi berdasarkan industri, lini produk, lokasi, atau jaringan pemasaran.
4. Bagaimana alokasi tanggung jawab mempengaruhi ketentuan informasi.
5. Organisasi dan garis wewenang untuk akuntansi, pengauditan, dan fungsi sistem
informasi.
6. Ukuran dan jenis aktivitas perusahaan.
1.4.5 METODE PENETAPAN WEWENANG DAN TANGGUNG JAWAB
Manajemen harus memastikan para pegawai memahami sasaran dan tujuan entitas,
menetapkan wewenang, tanggung jawab untuk sasaran dan tujuan baik untuk departemen
maupun individu, memilih individu yang ebrtanggung jawab untuk mencapainya, serta
mendorong penggunaan inisiatif untuk menyelesaikan masalah. Wewenang dan tanggung jawab
ditetapkan dan dikomunikasikan menggunakan deskripsi pekerjaan formal, pelatihan pegawai,
jadwal pengoperasian, anggaran, kode etik, serta kebijakan dan prosedur tertulis. Kebijakan dan
prosedur manual (policy and procedures manual) menjelaskan praktik bisnis yang sesuai,
mendeskripsikan pengetahuan dan pengalaman yang dibutuhkan, menjelaskan prosedur
dokumen, menjelaskan cara menangani transaksi, dan mendata sumber daya yang disediakan
untuk melaksanakan tugas-tugas tertentu.

1.4.6 STANDAR-STANDAR SUMBER DAYA MANUSIA YANG MENARIK,

MENGEMBANGKAN, DAN MEMPERTAHANKAN INDIVIDU YANG
KOMPETEN
Salah satu dari kekuatan pengendalian terbesar adalah kejujuran pegawai; salah satu dari
kelemahan pengendalian terbesar adalah ketidakjujuran pegawai. Berikut ini merupakan
kebijakan dan prosedur SDM yang penting.
1. Perekrutan.
Para pegawai seharusnya dipekerjakan berdasarkan latar belakang pendidikan,
pengalaman, pencapaian, kejujuran dan integritas, serta persyaratan kerja yang sesuai.
Kualifikasi pelamar dapat dievaluasi menggunakan resume, surat referensi,
wawancara, dan pengecekan latar belakang. Pengecekan latar belakang (background
check) yang teliti memuat pembicaraan berdasarkan referensi, pengecekan catatan
kriminal, pemeriksaan catatan kredit, dan melakukan verifikasi pendidikan serta
pengalaman kerja.
2. Mengompensasi, mengevaluasi, dan mempromosikan.
Pegawai dengan kompensasi buruk cenderung lebih merasakan dendam dan tekanan
finansial yang dapat memotivasi penipuan. Para pegawai seharusnya diberi penilaian
kinerja periodik untuk membantu mereka memahami kekuatan dan kelemahan
mereka. Promosi seharusnya didasarkan pada kinerja dan kualifikasi.
3. Pelatihan.
Program pelatihan seharusnya mengajarkan para pegawai baru akan tanggung jawab
mereka; tingkat kinerja dan perilaku yang diharapkan; serta kebijakan dan prosedur,
budaya, dan gaya pengoperasian perusahaan. Pelatihan yang berkelanjutan dapat
membantu para pegawai menghadapi tantangan-tantangan baru, tetap berada di depan
dalam persaingan, beradaptasi dalam perubahan teknologi, dan secara efektif
menghadapi lingkungan yang berubah.
4. Pengelolaan para pegawai yang tidak puas.
Beberapa pegawai yang tidak puas, membalas dendam dengan tindakan yang dirasa
salah, dan melakukan penipuan atau menyabotase sistem. Perusahaan membutuhkan
prosedur untuk mengidentifikasi pegawai yang tidak puas dan membantu mereka
mengatasi perasaan itu atau memindahkan mereka dari pekerjaan yang sensitif.
5. Pemberhentian.
Para pegawai yang diberhentikan harus segera dipindahkan dari pekerjaan yang
sensitif dan ditolak aksesnya ke sistem informasi.
6. Liburan dan Rotasi Tugas.
Skema penipuan yang mensyaratkan perhatian pelaku yang berkelanjutan terungkap
ketika pelaku beristirahat. Melakukan rotasi tugas pegawai secara periodik dan
membuat pegawai mengambil liburan dapat mencapai hasil yang sama.
7. Perjanjian Kerahasiaan dan Asuransi Ikatan Kesetiaan.
Seluruh pegawai, pemasok, dan kontraktor seharusnya menandatangani dan
mematuhi sebuah perjanjian kerahasiaan. Asuransi ikatan kesetiaan melingkupi para
pegawai kunci yang melindungi perusahaan terhadap kerugian yang timbul dari
tindakan penipuan yang disengaja.
8. Menuntut dan Memenjarakan Pelaku. Sebagian besar penipuan tidak dilaporkan atau
dituntut karena beberapa alasan.
a. Perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah
bencana hubungan publik. Pengungkapan dapat menguak kerentanan sistem dan
menarik lebih banyak penipuan atau serangan hacker.
 b. Penegak hukum dan pengadilan sibuk dengan kriminal kekerasan serta memiliki
lebih sedikit waktu dan ketertarikan pada penipuan komputer yang tidak
menimbulkan kerusakan secara fisik.
c. Menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan
waktu.
d. Banyak petugas penegak hukum, pengacara, dan hakim kurang memiliki
kecakapan komputer yang diperlukan untuk menyelidiki dan menuntut kejahatan
komputer.
e. Hukuman untuk penipuan biasanya ringan.

1.4.7 PENGARUH EKSTERNAL.

Pengaruh eksternal meliputi persyaratan-persyaratan yang diajukan oleh bursa efek,
Financial Accounting Standard Board (FASB), PCAOB, dan SEC. Mereka juga menyertakan
persyaratan yang dipaksakan oleh badan-badan regulasi, seperti bank, utilitas, dan perusahaan
asuransi.

1.5 EMPAT TIPE TUJUAN PENGENDALIAN YANG PERLU DITERAPKAN

(OBJECTIVE SETTING)
Penetapan tujuan adalah komponen ERM yang kedua. Manajemen menentukan hal yang
ingin dicapai oleh perusahaan, sering disebut sebagai visi atau misi perusahaan. Manajemen
menetapkan tujuan pada tingkatan perusahaan dan kemudian membaginya ke dalam tujuan yang
lebih spesifik untuk subunit perusahaan. Empat tipe tujuan pengendalian yang perlu diterapkan
diantaranya:
1. Tujuan strategis (strategic objective), merupakan sasaran tingkat tinggi yang
disejajarkan dengan misi perusahaan, mendukungnya, serta menciptakan nilai
pemegang saham.
2. Tujuan operasi (operation objective) yaitu berhubungan dengan efektivitas dan
efisiensi operasi perusahaan, menentukan cara mengalokasikan sumber daya. Tujuan
ini merefleksikan preferensi, pertimbangan, dan gaya manajemen serta merupakan
sebuah faktor penting dalam keberhasilan perusahaan.
 3. Tujuan pelaporan (reporting objective) membantu memastikan ketelitian,
kelengkapan, dan keterandalan laporan perusahaan; meningkatkan pembuatan
keputusan; dan mengawasi aktivitas serta kinerja perusahaan.
4. Tujuan kepatuhan (compliance objective) membantu perusahaan mematuhi seluruh
hukum dan peraturan yang berlaku. Sebagian besar tujuan kepatuhan dan banyak
tujuan pelaporan dipaksakan oleh entitas eksternal agar merespons hukum dan
peraturan.

1.6 IDENTIFIKASI KEJADIAN (EVENT IDENTIFICATION)

Committee Of Sponsormg Organivations (COSO) mcndcfinisikan kejadian (event)
sebagai "scbuah insidcn amu pcristiwa yang bcmsal dari sumber-sumbcr internal atau eksternal
Yang mcmcngaruhi implcmcnlasi slratcgi atau pcncapaian tujuan. Kejadian mungkin memiliki
dampak positifatau ncgatif atau kcdunnya.” Sebuah kcjadian menunjukkan ketidakpastian;
mungkin atau tidak mungkin tcrjadi. lika terjadi, sulit untuk diketahui kapan. Sampai terjadi,
mungkin sulit untuk mcncmukan dampaknya. Kelika tcrjadi, dapat memicu kejadian yang lain.
Kejadian bisa terjadi secara individu atau sccara serentak. Manajemen harus mencoba untuk
mengantisipasi scluruh kemungkinan kejadian positif atau negatif, menentukan mana yang lebih
dan kurang mungkin untuk terjadi, dan memahami hubungan timbal-balik kejadian.

Sebagai contoh, pertimbangkan bahwa implementasi dari sebuah sistem pertukaran data
elektronik (electronic data interchange-EDI) yang menciptakan dokumen elektronik,
mengirimkan data-data tersebut ke pelanggan dan pemasok, dan menerima respons elektronik
kembali. Beberapa kejadian yang dapat dialami sebuah perusahaan adalah memilih teknologi
yang tidak sesuai, akses yang tidak sah, kehilangan integritas data, transaksi yang tidak lengkap,
kegagalan sistem, dan sistem yang tidak kompatibel.

Perusahaan menggunakan beberapa teknik untuk mengidentifikasi kejadian termasuk

penggunaan sebuah daftar komprehensifdari kejadian potensial, pelaksanaan sebuah analisis
internal, pengawasan kejadian-kejadian yang menjadi penyebab dan titik-titik pemicu,
pengadaan seminar dan wawancara, penggunaan data mining, dan penganalisisan prosesproses
bisnis.
1.7 PENILAIAN RISIKO (RISK ASSESSMENT) DAN RISK RESPONSE

Selama proses penetapan tujuan, manajemen harus memerinci tujuan-tujuan mereka

dengan cukup jelas agar risiko dapat diidentifikasi dan dinilai. Sebagaimana dibahas pada Bab 5,
ha] ini seharusnya menyertakan sebuah penilaian atas semua ancaman, termasuk bencana alam
dan politis, kerusakan perangkat lunak dan kegagalan peralatan, tindakan yang tidak disengaja,
serta kemungkinan tindakan yang disengaja seperti penipuan. Mempertimbangkan risiko
penipuan secara khusus adalah penting karena hal tersebut merupakan salah satu dari 17 prinsip
yang termasuk di dalam kerangka IC baru. Manajemen harus mengidentiflkasi dan manganalisis
risiko untuk menentukan cara risiko-risiko seharusnya dikelola. Manajemen juga harus
mengidentifikasi dan menilai perubahan-perubahan yang dapat secara signifikan berdampak
pada sistem pengendalian internal.

Risiko-risiko sebuah kejadian yang teridentikaasi dinilai dalam beberapa cara yang
berbeda: kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan kategori,
dampak pada unit organisasi yang lain, serta berdasarkan pada sifat bawaan dan residual. Risiko
bawaan (inherent risk) adalah kelemahan dari sebuah penetapan akun atau transaksi pada
masalah pengendalian yang signifikan tanpa adanya pengendalian internal. Risiko residual
(residual risk) adalah risiko yang yang tersisa setelah manajemen mengimplememasikan
pengendalian internal atau beberapa respons lainnya terhadap risiko. Perusahaan harus menilai
risiko bawaan. mengembangkan respons, dan kemudian menilai risiko residual.

Untuk menyelaraskan risiko yang diidentitikasikan dengan toleransi perusahaan terhadap

risiko, manajcmen hams mengambil pandangan entitas yang luas pada risiko. Mcreka harus
memlai kemungkinan dan dampak risiko, seperli biaya dan manfaat dari respons rcapOl‘S
allernattf. Manajemen dapat merespons risiko dengan salah satu dari empat cam berikut.

 Mengurangi. Mcngurangi kemungkinan dan dampak risiko dengan

mengimplementasikan sistcm pcngcndalian internal yang efcklif.
 Mcncrima. Mcncrima kcmungkinan dan dampak risiko.
 Membagikan. Membagikan risiko alau mcnlransfcrnya kepada orang lain dengan
asuransi pembclian, mengalihdayakan sebuah aktivitas, atau masuk ke dalam
transaksi lindung nilai (hedging).
  Menghindari. Mcnghindari risiko dengan tidak melakukan aktivitas yang
menciptakan risiko. Hal ini bisa jadi mensyaratkan perusahaan untuk menjual sebuah
divisi, keluar dari lini produk, atau tidak mcmperluas perusahaan seperti yang
diharapkan.

Para akuntan dan perancang sistem membantu manajemen merancang sistem

pengendalian yang efektif untuk mengurangi risiko bawaan. Mereka juga mengevaluasi sistem
pengendalian internal untuk memastikan bahwa sistem tersebut beroperasi dengan efektif.
Mereka menilai dan mengurasi risiko menggunakan strategi penilaian dan respons risiko yang
ditampilkan pada Figur 7-1. Langkah pertama adalah identifikasi kejadian, yang telah dibahas.

1.7.1 MEMPERKIRAKAN KEMUNGKINAN DAN DAMPAK

Beberapa kejadian memiliki risiko yang lebih besar karena lebih cenderung untuk terjadi.
Para pegawaj cenderung membuat sebuah kesalahan daripada melakukan penipuan dan sebuah
perusahaan cenderung menjadi korban penipuan daripada gempa bumi. Kemungkinan terjadinya
sebuah gempa bumi mungkin kecil, tetapi dampaknya dapat menghancurkan sebuah perusahaan.
Dampak dari penipuan biasanya tidak sebesar itu, karena kebanyakan kasus penipuan tidak
mengancam eksistensi perusahaan. Kemungkinan dan dampak harus dipertimbangkan
bersamaan. Oleh karena itu, keduanya meningkat, baik materialitas dari kejadian maupun
kebutuhan untuk melindunginya akan muncul.

Alat-alat perangkat lunak membantu penilaian dan respons risiko secara otomatis. Blue
Cross Blue Shield di Florida menggunakan perangkat lunak ERM yang mengizinkan manajer
memasukkan risiko yang dirasakan; menilai sifat, kemungkinan, dan dampaknya; serta
menetapkan pemeringkatan numerik. Sebuah penilaian risiko keseluruhan perusahaan
dikembangkan dengan mengagregasi seluruh pemeringkatan.
1.7.2 MENGIDENTIFIKASI PENGENDALIAN

Manajemen harus mengidentifikasi pengendalian yang melindungi perusahaan dari setiap

kejadian. Pen _endalian urevemif biasanya superior dibandingkan Rsngendalian detektif Ketika
pcngendalian prevenlif gagal, pengendalian detektif menjadi sangat diperlukan untuk
mencmukan masalah. Pengendalian korektif membantu memulihkan dari segala masalah. Sebuah
sistem pengendalian internal yang baik harus menggunakan ketiganya.

1.7.3 MEMPERKIHAKAN BIAYA DAN MANFAAT

'Iujuan dari perancangan sebuah sistem pengendalian internal adalah untuk memberikan
jaminan memadai bahwa kejadian tidak lerjadi. tidak ada sistem pengendalian internal yang
memberlkan perlindungan sangat mudah terhadap seluruh kcjadian, karena memiliki banyak
Sekali pengendalian membutuhkan biaya sangat besar dam secara negatif memengaruhi etisiensi
Operasional. Kebalikannya, memiliki terlalu sedikit pengendalian tidak akan memberiknn
Jaminan memadai yang diperlukan.

Manfaat dari prosedur pengcndaliw internal hams melebihi biayanya. Manfaat-manfaat

tcrsebut sulit dihitung secara akumt, termasuk penjunlan dan produktivitas yang meningkat,
 kerugian yang dikurangi, integrasi yang lebih baik dengan pelanggan dan pemasok,
loyalitas pclanggan yang meningkat, keunggulan kompetitif, dan premi asuransi yang lebih
rendah, Biaya biasanya lebih mudah diukur dibandingkan manfaat. Elemen biaya yang umum,
yaitu personcl, tcrmasuk waktu untuk menjalankan prosedur pengendalian, biaya perekrutan
pcgawai tambahan untuk mencapai pemisahan tugas yang efektif, dan biaya pemrograman
pcngendalian kc dalam sebuah sistem komputer.

Salah satu cara untuk memperkirakan nilai pengendalian internal melibatkan kerugian
yang dipa-kirahn (expected loss), hasil matematis dampak dan kemungkinan.

Kerugian yang diperkirakan = Dampak x Kemungkinan

Nilai dari prosedur pengendalian adalah selisih antara kerugian yang diperkirakan dengan
prosedur-prosedur pcngendalian dan kerugian yang diperldrakan tanpa prosedur tersebut.

1.7.4 MENENTUKAN EFEKTIVITAS BIAYNMANFMT

Manajemen menentukan apakah sebuah pengendalian mempakan biaya menguntungkm

Sebagni contoh, kesalahan data di Atlantic Richtield mengharuskan keseluruhan penggajian
untuk diproses ulang, dengan biaya 310.000. Sebuah tahap validasi data akan menurunkan
kcmunkinan kcjadian dari 15% menjadi 1%, dengan biaya $600 per periode pembayaran.

1.7.5 MENGIMPLEMENTASIKAN PENGENDALIAN ATAU MENERIMA.

MEMBAGI. ATAU MENGHINDARI RISIKO

Pengendalian biaya efcktif harus diimplcmcntasikan untuk mengurangi risiko. Risiko

yang lidak dikurangi hams ditcrima, dibagi, atau dihindari. Risiko dapat diterima jika ia berada
dalam jangkauan toleransi risiko perusahaan. Contohnya adalah sebuah risiko dengan
yemungkinan dan dampak yang kccil. Respons untuk menurunkan atau membagi risiko embantu
membawa risiko residual ke dalam sebuah jangkauan toleransi risiko yang dapat Aiterima.
Sebuah perusahaan mungkin memilih untuk menghindari risiko ketika tidak ads cam biaya-
efektif untuk membawa risiko ke dalam sebuah jangkauan toleransi risiko yang dapat diterima.

1.8 AKTIVITAS PENGENDALIAN

Aktivitas pengendalian (control activities) adalah kebijakan, prosedur, dan aturan yang
memberikan jaminan memadai bahwa tujuan pengendalian telah dicapai dan respons risiko
dilakukan. Hal tersebut merupakan tanggung jawab manajemen untuk mengembangkan sebuah
sistem yang aman dan dikendalikan dengan tepat. Manajemen harus memastikan bahwa:

1. pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level
yang dapat diterima;
2. pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi;
3. aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan
prosedur perusahaan yang telah ditentukan.

Petugas keamanan informasi dan staf operasi bertanggung jawab untuk memastikan
bahwa prosedur pengendalian telah diikuti.

Pengendalian akan jauh lebih efektifketika dijalankan sejak sistem dibangun, daripada
mudah dibangun. Akibatnya, manajer perlu melibatkan analis sistem, desa'mer, dan pengguna
akhir ketika mendesain sistem pengendalian berbasis komputer. Hal yang penting bahwa
aktivitas pengendalian tetap berjalan selama musim liburan akhir tahun, karena jumlah.

pcnipuan komputer yang tidnk proporsional dan pcrampokan kcamanan yang dilakukan
pada waktu tcrscbut. Beberapa alasannya, yaitu (l) liburan pcgawai yang diperpanjang bcrarli
bahwa orang yang “mcngurusi lnkn" lcbih scdikit; (2) para pclajar libur sckolah dan mcmpunyai
waktu dam (3) para hacker yang budayanya bcrbcda mcningkatkan serangan mereka.

Prosedur pengendalian dilakukan dalam kategori-kategori berikut:

1. Otorisasi transaksi dun aktivilas yang layak.

2. Pemisahan tugas.
3. Pengcmbangan proyek dan pengendalian akuisisi (perolehan). Mengubah
pengendalian manajcmcn.
 4. Mendesain dan menggunakan dokumen serta catatan.
5. Pengamanan aset, catatan, dan data.
6. Pengecekan kincrja yang independen.

Fokus 7-1 membahas sebuah pelanggaran atas aktivitas pengendalian tertentu,

dikombinasikan dengan faktor lingkungan internal, yang dapat menghasilkan penipuan.

1.8.1 OTORISASI TRANSAKSI DAN AKTIVITAS YANG TEPAT

Oleh karena manajemen kekurangan waktu dan sumber daya untuk mengawasi setiap
aktivitas dan keputusan perusahaan, ia menetapkan kebijakan bagi pegawai untuk diikuti dan
kemudian memberdayakan mereka. Pemberdayaan ini disebut otorisasi (authorization), yang
merupakan sebuah prosedur pengendalian penting. Otorisasi sering didokumentasikan dengan
penandatanganan, penginisialisasian, dan pemasukan sebuah kode otorisasi pada sebuah
dokumen atau catatan. Sistem komputer dapat merekam sebuah tanda tangan digital (digital
signature), simbol penandatanganan sebuah dokumen secara elektronik dengan data yang tidak
dapat dipalsukan. Tanda tangan digital dibahas pada Bab 9.

Aktivitas atau transaksi tertentu bisa jadi merupakan konsekuensi bahwa manajemen
memberikan otorisasi khusus (specific authorization) agar aktivitas atau transaksi tersebut
terjadi. Sebagai contoh, tinjauan dan persetujuan manajemen bisa jadi diperlukan untuk
penjualan dengan kelebihan $50.000. Sebaliknya, manajemen mengotorisasi pegawaj untuk
menangani transaksi rutin tanpa persetujuan khusus, sebuah prosedur yang dikenal sebagai
otorisasi umum (general authorization). Manajemen harus memiliki kebijakan tertulis balk pada
otorisasi khusus maupun umum untuk semua jenis transaksi.

Para pegawai yang memproses transaksi harus memverikaasi adanya otorisasi yang
sesuaj. Para auditor meninjau transaksi untuk memverifikasi otorisasi yang tepat, seperti
ketiadaan transaksi-transaksi yang mengindikasikan sebuah masalah pengendalian yang mungkin
terjadi. Sebagai contoh, Jason Scott menemukan bahwa beberapa pembelian tidak memiliki
daftar permintaan pembelian. Bahkan, beberapa pembelian tersebut telah “diotorisasi secara
pribadi” oleh Bill Springer, wakil presiden pembelian. Jason juga menemukan bahwa beberapa
pembayaran telah diotorisasi tanpa dokumen pendukung yang sesuai, seperti pesanan pembelian
dan laporan penerimaan. Temuan-temuan ini memunculkan pertanyaan mengenai kecukupan
pada prosedur pengendalian internal Springer.

1.8.2 PEMISAHAN TUGAS

Pengendalian internal yang baik mensyaratkan tidak ada satu pegawai pun yang diberi
terlalu banyak tanggung jawab atas transaksi atau proses bisnis. Seorang pegawai tidak boleh
berada di sebuah posisi untuk melakukan dun menyamarkan penipuan. Pemisahan tugas dibahafv
dalam dua sesi terpisah: pemisahan lugas akuntansi dan pemisahan tugas sistem.

PEMlSAHAN TUGAS AKUNTANSI Scbagaimana yang ditunjukkan pada Figur 7-2,

pemisahan tugas akuntansi (segregation ofaccouming duties) yang cfcktif tcrcapai kctika fungsi-
fungsi berikut dipisahkan.

 Otorisasi-menyetujui transaksi dan keputusan.

 Pencatatan-mempersiapkan dokumen sumber; memasukkan data ke dalam sistem
komputer, memclihara jurnal, buku besar, 1¢ atau database; dan menyiapkan
rekonsiliasi dan laporan kinerja.
 Penyimpanan-menangani kas, peralatan, persediaan, atau aktiva tetap; menerima cek
pelanggan yang datang; menulis cek.

Jika seseorang melakukan dua dari fungsi-fungsi tersebut, masalah dapat timbul. sebagai
contoh, bendahara kota di Fairfax, Virginia, menggelapkan $600000. Ketika warga
menggunakan uang untuk membayar pajak, dia menyimpan uangnya dan memasukkan
pembayaran pada catatan pajak properti, tetapi tidak melaporkan ke pengawas. Secara periodik,
dia membuat sebuah entri jurnal penyesuaian untuk membawa catatannya ke dalam persetujuan
dengan jurnal yang ada pada pengawas. Ketika dia menerima cek di dalam surat yang akan
hilang jika tidak dicatat, dia memasukkannya ke dalam register kas dan mencuri sejumlah uang.
Oleh karena bendahara bertanggung jawab baik atas penyimpanan penerimaan uang dan
pencatatan penerimaan tersebut, dia mampu mencuri penerimaan uang dan memalsukan rekening
untuk menyamarkan pencurian.
 Seorang direktur Newport Beach, California, menggelapkan $1,2 juta. Bertanggung
jawab untuk mengotorisasi transaksi, dia memalsukan faktur-faktur untuk dokumen kemudahan
otorisasi pembayaran kc pemilik properti nyata atau 6ktif. Para petugas departemen keuangan
memberinya cek untuk diantar ke pemilik properti. Dia memalsukan tnnda langan dan
mcnyclorkan cck kc dalam rckcningnya sendiri. Oleh karena ia diberi kcwcnangan pcnyimpmmn
cck. din dapat mclakukan otorisasi transaksi tiktif dan mencun‘ pcmbnyamnnya.

Dircktur pcnggajian di L08 Angclcs Dodgers mcnggclapkan $330000. Dia melemburkan

para pcgawai pada jam jam mcrcka tidak bckcrja dan menerima 50% pembayaran kemba“ \mmk
kompcnsasi ckstra. Dia mcnambahkan nama-nama Flktif ke penggajian Dodgers dan mcncairkan
slip gajinya. Pcnipuan terscbut tcrungkap ketika ia sedang sakit dan pegawai lain mclakukan
tugasnya. Olch karena pclaku bertanggung jawab untuk melakukan otorisasi perekrutan pegawai
dan mencatat jam bekerja pegawai, ia tidak perlu menyiapkan atau menangani slip gaji.
Perusahaan mengirimkan cek ke alamat yang dia sebutkan.

Dalam sebuah sistem dengan pemisahan tugas yang efektif, sulit bagi seorang pegawaj
untuk dapat berhasil menggelapkan. Mendeteksi penipuan dengan dua atau lebih orang yang
terlibat kolusi (collusion) dalam usahanya menolak pengendalian akan lebih sulit karena lebih
mudah untuk melakukan dan menyamarkan penipuan. Sebagai contoh, dua wanita pada sebuah
perusahaan kartu kredit berkolusi. Seorang wanita melakukan otorisasi rekening kartu kredit
baru, wanita lainnya menghapuskan rekening tak terbayarkan yang kurang dari $1.000. Wanita
pertama menciptakan rekening baru untuk masing-masing dari mereka dengan menggunakan
data fiktif. Ketika jumlah yang jatuh tempo mendekati batas $1.000, wanita yang melakukan
pengumpulan tersebut menghapuskannya. Proses tersebut kemudian diulang. Mereka tertangkap
ketika kekasih mereka yang baru saja diputuskan membalas dendam kepada mereka dengan
melaporkan skema tersebut kepada perusahaan kartu kredit.

Pegawai dapat berkomplot dengan pegawai lain, pelanggan, atau vendor. Kolusi pegawai/
vendor yang paling sering dilakukangmeliputi penagihan pada harga yang melambung,
melakukan pekerjaan di bawah standar dan menerima bayaran penuh, bayaran untuk tidak

pekerja, menggandakan tagihan, dan pembelian lebih banyak barang secara tidak perlu \
dari perusahaan yang berkomplot. Kolusi pcgawai/pelanggan yang paling sering adalah \
yembayaran pinjaman atau asuransi yang tidak tcrotorisasi, menerima aset atau jasa pada harga
diskon yang tidak terotorisasi, membiarkan jumlah yang dipinjam. dan perpanjangan ,anggal
jatuh tempo yang tidak tcrotorisasi.

PEMISAHAN TUGAS SISTEM Dalam scbuah sistem informaqi, proscdur yang dijalankan
oleh individu bcrbcda dikombinasikan. Olch karcna itu. setiap orang yang memiliki akses yang
gidak terbatas ke komputcr, program, dan data langsung dapat melakukan scrta menyamarkan
penipuan. Untuk mclawan ancaman ini, organisasi mcnerapkan pemisahan tugas sistem
(segregation ofsystem duties). chcnang dan tanggung jawab harus dibagi dengan jelas menurut
fungsi-fungsi sebagai berikut.

1. Administrator sistem. Administrator sistem (system administrator) memastikan

seluruh komponen sistem informasi bcrjalan dengan Iancar dan efisien.
2. Manajemenjaringan. Manajer jaringan (network manager) memastikan bahwa
perangkat ditautkan ke jaringan internal dan eksternal organisasi dan memastikan
pula bahwa jaringan tersebut beroperasi dengan baik.
3. Manajemen keamanan. Manajemen keamanan (security management) memastikan
bahwa sistem yang ada aman dan terlindungi dari ancaman internal dan eksternal.
4. Manajemen perubahan. Manajemen perubahan (change management) adalah proses
untuk memastikan perubahan dibuat dengan Iancar dan efisien tidak memengaruhi
keterandalan, keamanan, kerahasiaan, integritas, dan ketersediaan sistem secara
negatif.
 5. Pengguna. Pengguna (users) mencatat transaksi, melakukan otorisasi data untuk
diproses, dan menggunakan output sistem.
6. Analisis sistem. Analis sistem (system analysts) membantu pengguna menentukan
kebutuhan informasi mereka dan mendesain sistem agar sesuai dengan
kebutuhankebutuhan tersebut.
7. Pemrograman. Pemrogram (programmer) membuat dan mengembangkan desain
analis, mengodekan, dan menguji program komputer.
8. Operasi komputer. Operator komputer (computer operator) menjalankan perangkat
lunak pada komputer perusahaan. Mereka memastikan bahwa data dimasukkan
dengan tepat, diproses dengan benar, dan output yang diperlukan akan dihasilkan.
9. Perpustakaan sistem informasi. Pustakawan sistem informasi memelihara
penyimpanan database, file, dan program perusahaan dalam area penyimpanan
terpisah yang disebut dengan perpustakaan sistem informasi (information system
library).
10. Pengendalian data. Kelompok pengendalian data (data control group) memastikan
bahwa data sumber telah disetujui dengan semestinya, mengawasi alur kerja melalui
komputer, merekonsiliasi input dan output, memelihara catatan kesalahan input untuk
memastikan kebenaran dan kepatuhannya kembali, serta mendistribusikan output
sistem.

Memungkinkan seseorang untuk melakukan dua atau lebih pekerjaan tersebut dapat
membuka peluang penipuan pada perusahaan. Sebagai contoh, jika seorang pemrogram
kloperrasi kredit menggunakan data aktual untuk menguji programnya, dia dapat menghapuskan
saldo pinjaman mobilnya selama pengujian. Begitu pula jika seorang operator komputer
memiliki akses ke logika dan dokumentasi pemrograman, dia mungkin dapat menaikkan Saiinya
sambil memproses penggajian.
1.8.3 PENGEMBANGAN PROYEK DAN PENGENDALIAN AKUISISI
(PEROLEHAN)

Memiliki metodologi menjadi hal paling untuk mcngatur pengembangan. akuisisi

implementasi dan memelihara sistem informasi. Melodologi harus mengandung pcngendalian
yang tepat unluk persetujuan mamjemen, keterlibatan pengguna. analisis desain, pengujian,
implementasi, dan konversi. Metodologi-metodologi tersebut dibahas pada Bab 20 sampai 22.

Pengendalian pengcmbangan sislcm yang panting mcliputi hal-hal sebagai berikut,

1. Sebuah komite pengarah (steering committee) memandu dan mengawasi

pengembangan dan akuisisi (perolehan) sistem informasi.
2. Sebuah rencana induk strategis (strategic master plan) dikembangkan dan diperbarui
setiap tahun untuk menyelaraskan sistem informasi organisasi dengan strategi-strategi
bisnisnya. Ini menunjukkan proyek-proyek yang harus diselesaikan serta
menunjukkan persyaratan~persyaratan perangkat keras, perangkat lunak, personel,
dan infrastruktur perusahaan.
3. Sebuah rencana pengembangan proyek (project development plan) menunjukkan
tugas-tugas yang dijalankan, orang yang akan menjalankannya, biaya proyek, tanggal
penyelesaian, dan tonggak proyek (project milestones)-poin-poin signifikan ketika
kemajuan ditinjau dan waktu penyelesaian aktual serta perkiraan dibandingkan.
Setiap proyek ditugaskan kepada seorang manajer dan tim yang bertanggung jawab
atas keberhasilan atau kegagalannya.
4. Sebuah jadwal pengolahan data (data processing schedule) menunjukkan kapan setiap
tugas seharusnya dijalankan.
5. Pengukuran kinerja sistem (system performance measurement) ditetapkan untuk
mengevaluasi sistem. Pengukuran yang umum meliputi throughput (output per unit
waktu), pemanfaatan (utilization)-persentase waktu penggunaan sistem, dan waktu
respons (response time)-lamanya waktu yang diperlukan sistem untuk merespons.
6. Sebuah tinjauan pasca-implementasi (postimplementation review) dijalankan setelah
sebuah proyek pengembangan diselesaikan untuk menentukan apakah manfaat
antisipasian tercapai.
 Beberapa perusahaan mempekerjakan seorang sistem integator (system integrator) untuk
mengelola sebuah upaya pengembangan sistem yang melibatkan personel dalam perusahaan,
kliennya, dan vendor lainnya. Proyek-proyek pengembangan ini tunduk pada kelebihan biaya
(cost overun) dan tenggat waktu yang terlewatkan sebagaimana sistem dikembangkan secara
internal. Sebagai contoh, Westpac Banking memulai sebuah proyek pengembangan sistem $85
juta selama 5 tahun untuk mendesentralisasikan sistem, menciptakan produk keuangan baru, dan
mengurangi departemen sistemnya. Tiga tahun dan $150 juta berikutnya, tidak ada hasil yang
dapat dipergunakan yang tercapai, dan jelas bahwa tanggal penyelesaian terjadwal tidak akan
terpenuhi. Westpac melarikan diri dari tanggung jawabnya dengan memecat IBM. pengembang
perangkat lunak utama, dan meminta Accenture untuk meninjau proyek dan mengembangkan
rekomendasi guna mengatasinya.

Perusahaan-perusahaan yang menggunakan sistem integator sebaiknya menggunakan

proses dan pengendalian manajemen proyek yang sama dengan proyek internal. Selain itu.
perusahaan harus melakukan hal sebagai berikut.

 Mengembangkan spesifikasi yang jelas. Ini termasuk deskripsi dan defnisi sistem
yang pasti, tenggat waktu yang jelas, dan kriteria penerimaan yang tepat. Suffolk
County, New York, menghabiskan 12 bulan dan $500000 mempersiapkan spesitikasi
mendetail untuk sebuah sistem peradilan kriminal senilai $16 juta sebelum menerima
tawaran. Hanya 6 dari 22 integrator yang diundang dalam tawaran proyek karena
biaya ketat di daerah dan standar kualitas. Pejabat daerah meyakini kesungguhan
upaya awal mereka dapat membantu memastikan keberhasilan sistem baru dan
menghemat anggaran daerah sebesar $3 juta.
 Mengawasi proyek. Perusahaan harus menetapkan prosedur formal untuk mengukur
dam melaporkan status sebuah proyek. Pendekatan terbaik adalah membagi proyek ke
dalam tgas-tugas yang dapat dikelola. menentuknn tanggung jawab untuk setiap
tugas, dun mengadakan pertemuan setidaknya setiap bulan untuk meninjau kemajuan
serta menilai kualitas.
1.8.4 PERGUBAH PENGENDALIAN MANMEMEN

Organisasi memodifikasi sistem yang berjalan untuk merefleksikan praktik-praktik bisnis

dan untuk memanfaatkan penguasaan TI. Mereka yang bertugas untuk perubahan memastikan
bahwa mereka tidak memperkenalkan kesalahan sehingga memfasilitasiipuan. Aspek-aspek
perilaku untuk perubahan dibahas pada Bab 20 dan perubahan Pengendalian manajemen dibahas
pada Bab 10.

1.8.5 MENDESAIN DAN MENGGUNAKAN DOKUMEN DAN CATATAN

Desain dan penggunaan dokumen elektronik dan kertas yang sesuai dapat membantu
memastikan pencatatan yang akurat serta lengkap dari seluruh data transaksi yang relevan
Bcntuk dan isinya hams sesederhana mungkin, meminimalkan kesalahan, dan memfasilitasi
tinjauan serta veriiikasi. Dokumen yang mengawali sebuah transaksi harus menyediakan sebuah
ruang untuk otorisasi. Mereka yang mentransfer aset membutuhkan sebuah ruang untuk tanda
tangan pihak penerimaan. Dokumen harus dinomori secara urut, sehingga masing~masing dapat
dibukukan. jejak audit memfasilitasi penelusuran transaksi individu melalui sistem, memperbaiki
kesalahan, dan memveriflkasi output sistem. Desain dokumen, bentuk dan layar dibahas pada
Bab 22.

1.8.6 PENGAMANAN ASET, CATATAN, DAN DATA

Sebuah perusahaan harus melindungi kas dan aset fisik beserta informasinya. Seorang
reporter dari Reuters mengetahui bahwa Intentia, sebuah pengembang perangkat lunak Swedia,
mengeluarkan laporan pendapatan kuartal pertama dan keduanya di situs dengan alamat situs
yang nyaris serupa. Dia menebak alamat situs kuartal ketiga dan menemukan angka-angka yang
belum dirilis, kemudian membuat cerita mengenai hasil yang mengecewakan. Intentia
mengajukan tuntutan peretasan (hacking) kriminal, tetapi tidak lolos. Swedish Stock Exchange
mengecam Intentia karena tidak melindungi informasi keuangannya.

Para pegawai merupakan risiko keamanan yang lebih besar dibandingkan orang luar.
Mereka mampu menyembunyikan tindakan ilegal mereka dengan lebih baik karena mereka
mengetahui kelemahan sistem dengan lebih baik. Hampir 50% perusahaan melaporkan para
orang dalam mengakses data tanpa otorisasi yang semestinya. Seorang ahli perangkat lunak di
America Online dituntut karena menjual 92 juta alamat e-mail yang ia dapatkan secara ilegal
menggunakan identitas (ID) dan kata sandi pegawai lain. Sebuah pebisnis perjudian Internet
membeli nama-nama tersebut dan menggunakannya untuk meningkatkan pendapatan sebesar
$10.000 sampai $20.000 per hari. Pencurian data tersebut tidak diketahui selama setahun, sampai
seorang tanpa nama memberi informasi kepada pihak berwajib bahwa bisnis perjudian tersebut
menjual ulang nama-nama itu kepada pelaku spamming yang menjual produk peningkatan
kekuatan pria herbal.

Para pegawai juga menyebabkan ancaman yang tidak sengaja, seperti menghapus tanpa
sengaaja data perusahaan, membuka lampiran email yang sarat dengan virus, atau mencoba
memperbaiki perangkat keras atau lunak tanpa keahlian yang memadai. Hal-hal yang membantu
pengamanan asset.

 Menciptakan dan menegakkan kebijakan dan prosedur yang tepat. Sering kali selum1
kebijakan dan prosedur, tetapi tidak ditegakkan. Sebuah laptop dengan nama-nama
nomor Social Security, dan langgal lahir milik 26,5 juta orang dicuri dari sebuah
rumah seorang analis Departemen Veteran Affairs (VA). Departemen VA tidak
memaksakan kcbijakan bahwa data yang sensitifharus dienkripsi dan tidak boleh
keluar dari kamor VA. Memperingatkan 26,5 juta orang dan membelikan mereka
layanan pengecekan kredi, membebankan pembayar pajak sebesar $100 juta. Dua
tahun sebelum pencurian, seoran inspektur jenderal melaporkan identifikasi
pengendalian yang tidak layak atas data yang sensitif sebagai sebuah kelemahan,
tetapi tidak pernah ditunjukkan.
 Memelihara catatan akurat dari seluruh aset. Secara periodik merekonsiliasi jumlah
tercatat atas aset perusahaan ke perhitungan fisik dari aset-aset tersebut.
 Membatasi akses terhadap aset. Pembatasan akses terhadap area penyimpanan dapat
melindungi persediaan dan peralatan. Register kas, brankas, peti uang (lockbox), dan
kotak penyimpanan aman (safety deposit box) membatasi akses terhadap kas dan aset
kertas. Lebih dari $1 juta digelapkan dari Perini Corp. karena cek kosong disimpan di
dalam ruang penyimpanan tak terkunci. Seorang pegawai menggunakan cek untuk
 vendor flktif, menjalankannya melalui mesin penandaan cek tak terkunci, dan
menguangkan cek.
 Melindungi catatan dan dokumen. Area penyimpanan tahan api, lemari arsip (filing
cabinet) terkunci backup, dan penyimpanan di luar situs akan melindungi catatan dan
dokumen. Akses terhadap cek dan dokumen bank harus dibatasi ke personel
berwenang. Seorang pesuruh di Inglewood, California, mencuri 34 cek bank, menulis
cek dari $50.000 sampai $470000, memalsukan nama kantor kota, dan
menguangkannya.

1.8.7 PENGECEKAN KINERJA YANG INDEPENDEN

Pengecekan kinerja yang independen, dilakukan oleh seseorang, tetapi bukan merupakan
orang yang melakukan operasi aslinya, membantu memastikan bahwa transaksi diproses dengan
tepat. Pengecekan kinerja yang independen ini meliputi:

 Tinjauan tingkat atas. Manajemen harus mengawasi basil perusahaan dan

membandingkan kinerja perusahaan secara periodik terhadap (1) kinerja yang
direncanakan, seperti yang ditunjukkan di dalam anggaran, target, dan perkiraan; (2)
kinerja periode sebelumnya; dan (3) kinerja pesaing.
 Tinjauan analitis. Sebuah tinjauan analitis (analytical review) adalah sebuah
pemeriksaan hubungan di antara set-set data yang berbeda. Sebagai contoh, dengan
meningkatnya penjualan kredit, seharusnya piutang juga meningkat. Selain itu,
terdapat hubungan antara penjualan dan akun-akun seperti harga pokok penjualan,
persediaan, dan ongkos angkut.
 Rckonsiliasi catatan-catatan yang dikelola secara independen. Catatan-cataian harus
direkonsiliasi terhadap dokumen atau catatan dengan saldo yang sama. Sebagai
contoh. sebuah rekonsiliasi bank memverifikasi bahwa saldo rekening yang dicek
perusahaan cocok dcngan saldo apomn bank. (Zontoh yang lain ndalah
mcmbandingkan total buku bcsar pcmbamu dcngan total huku bcsar umum.
 Perbandingan terhadap kuamitas aktual dengan jumlah dicatat. Aset yang signifikan
secara periodik dihitung dan dirckonsiliasikan terhadap catatan perusahaan. Pada
 akhir shift setiap kasir, kas di dalam mesin kasir harus sesuai dengan jumlah dalam
pita mesin kasir. Persediaan hams dihitung secara periodik dan direkonsiliasikan
terhadap catatan-catatan persediaan.
 Akuntansi double-entry. Pepatah bahwa debit yang seimbang dengan kredit
menyediakan berbagai peluang untuk pengecekan independen. Debit di dalam entri
penggajian mungkin bisa dialokasikan pada berbagai akun persediaan dan/atau biaya;
kredit dialokasikan pada akun-akun kewajiban untuk utang gaji, pajak ditahan,
asuransi pegawai, dan iuran serikat pekerja. Sete1ah entri penggajian, pembandingan
debit dan kredit total merupakan sebuah pengecekan yang kuat terhadap ketepatan
kedua proses. Setiap perbedaan mengindikasikan adanya kesalahan.

Tinjauan independen. Setelah sebuah transaksi diproses, orang kedua meninjau pekerjaan
orang pertama, mengecek otorisasi yang semestinya, meninjau dokumen pendukung, dan
mengecek ketepatan harga, kuantitas, serta ekstensi.

1.9 INFORMASI DAN KOMUNIKASI

Sistem informasi dan komunikasi haruslah memperoleh dan mempertukarkan informasi

yang dibutuhkan untuk mengatur, mengelola, dan mengendalikan operasi perusahaan. Tujuan
utama dari sistem informasi akuntansi (SIA-accounting information system) adalah untuk
mengumpulkan, mencatat, memproses, menyimpan, meringkas, dan mengomunikasikan
informasi mengenai sebuah organisasi. Hal tersebut meliputi pemahaman cara transaksi
dilakukan, data diperoleh, file diakses serta diperbarui, data diproses, dan informasi dilaporkan.
Hal itu meliputi pemahaman pencatatan dan perosedur akuntansi, dokumendokumen pendukung,
dan laporan keuangan. Hal-hal tersebut memberikan jejak audit (audit trail), yang
memungkinkan transaksi untuk ditelusuri secara bolak-balik antara asalnya dan laporan
keuangan.

Sebagai tambahan untuk pengidentifikasian dan pencatatan seluruh transaksi yang valid,
SIA harus mengklasitikasikan transaksi secara tepat, mencatat transaksi pada nilai moneter yang
sesuai, mencatat transaksi di dalam periode akuntansi yang sesuai, dan menyajikan transaksi
secara tepat dan pengungkapan lainnya di dalam laporan keuangan.
 Komunikasi hams dilakukan secara internal dan ekstemal untuk menyediakan informasi
yang dibutuhkan guna menjalankan aktivitas pengendalian internal harian. Seluruh personel
harus memahami tanggung jawab mereka.

Kerangka IC yang diperbarui memerinci bahwa tiga prinsip berikut berlaku di dalam proses
informasi dan komunikasi.

1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk
mendukung pengendalian internal.
2. Mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab
yang diperlukan untuk mendukung komponemkomponen lain dari pengendalian
internal.
3. Mengomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-pihak
eksternal.

Sistem alumi secara umum terdiri nun beberapa subsistem, masing-masing dirancang untuk
memproses suatu jenis transaksi tertentu menggunakan urutan prosedur, sama yang disebut
siklus akuntansi. Siklus akuntasi utama dan tujuan serta prosedur yang terrkait dijelas di Bah 12
sampul I6.

2.1 PENGAWASAN

Sistem pengcndalian internal yang dipilih atau dikembangkan harus diawasi secara
berkelanjutan. dievaluasi. dan dimodifikasi sesuai kebutuhan. Segala kekurangan ham;
dilaporkan kepada manajemcn senior dan dcwan direksi. Metode-metode utama dalam
pengawasan kinerja dibahas pada bagian ini.

2.0.1 MENJALANKAN EVALUASI PENGENDALIAN INTERNAL

Efektivitas pengendalian internal diukur dengan menggunakan evaluasi formal atau

evaluasi penilaian diri. Sebuah tim dapat dibentuk untuk melakukan evaluasi, atau hal ini dapat
dilakukan dengan pengauditan internal.
2.0.2 IMPLEMENTASI PENGAWASAN YANG EFEKTIF

Pengawasan yang efektif melibatkan melatih dan mendampingi pegawai, mengawasi

kinerja mereka, mengoreksi kesalahan, dan mengawasi pegawai yang memiliki akses terhadap
aset. Pengawasan terutama penting untuk organisasi tanpa pelaporan pertanggungjawaban atau
sebuah pemisahan tugas yang memadai.

2.0.3 MENGGUNAKAN SISTEM AKUNTANSI PERTANGGUNGJAWABAN

Sistcm akuntansi pertanggungjawaban meliputi anggaran, kuota, jadwal, biaya standar,

dan standar kualitas; perbandingan laporan kinerja aktual dan yang direncanakan; dan prosedur
untuk menyelidiki serta mengoreksi varians yang signifikan.

2.0.4 MENGAWASI AKTIVITAS SISTEM

Paket perangkat lunak analisis dan manajemen risiko meninjau ukuran-ukuran keamanan
komputer dan jaringan, mendeteksi akses ilegal, menguji kelemahan dan kerentanan, melaporkan
kelemahan yang ditemukan, dan menyarankan perbaikan. Parameter biaya dapat dimasukkan
dalam tingkat penerimaan saldo atas toleransi risiko dan efelctivitas biaya. Perangkat lunak juga
mengawasi dan melawan virus, spyware, adware, spam, phishing, dan e-mail yang tidak pantas.
Perangkat lunak memblokir iklan pop-up, mencegah browser dibajak. dan memvalidasi ID
penelepon dengan membandingkan suara penelepon dengan sebuah cetak suara yang terekam
sebelumnya. Perangkat lunak dapat membantu perusahaan memulihkan dari tindakan berbahaya.
Sebuah paket manajemen risiko membantu sebuah perusahaan memulihkan dari amukan seorang
pegawai yang tidak puas. Setelah sebuah evaluasi kinerja yang negatif, si pelaku mencabut kabel
dari PC, mengubah le pengendalian persediaan. dan mcngedit file kata sandi untuk menghentikan
orang-orang masuk ke dalam jaringan. Perangkat lunak tersebut dengan segera
mengidentifikasifile yang rusak dan memperingatkan kantor pusat perusahaan. Kerusakan
dibatalkan dengan penggunaan perangkat lunak yang memulihkanfile yang rusak ke status
aslinya.
 Seluruh transaksi dan aktivitas sistem harus direkam di dalam sebuah log yang
mengindikasikan siapa mengakses data apa, kapan, dan dari perangkat online yang manaLog-log
tersebut harus ditinjau dengan sering dan digunakan untuk mengawasi aktivitas

Privacy Foundation mcmpcrkirakan bahwa scpcrtiga dari seluruh pekerja Ameriké

mcnggunakan komputcr yang diawasi dam jumluh tcrscbut diharapkan meningkat. Perusahaan/
rusahaan yang mcngawasi aklivitas sistcm lidak bolch mclanggar privasi pegawai. Satu cam
untuk mclakukannya adalah mcmbuat pcgawai menyclujui sccara tertulis kebijakan-kebijakari
tenulis yang menycrtakan:

 Teknologi yang digunakan oleh seorang pcgawai untuk pekerjaannya adalah milil‘
perusahaan.
 E-mail yang diterima oleh komputer perusahaan bukanlah e-mail pribadi dan dapat
dibacéa oleh personel pengawas. Kebijakan ini memungkinkan sebuah perusahaan
farmasi besaf untuk mengidentifikasi dan menghentikan seorang pegawai yang
mengirimkan data produksi obat rahasia kepada seorang pihak eksternal.
 Para pegawai tidak boleh menggunakan teknologi untuk berkontribusi pada
lingkungan kerja yang bermusuhan.

2.0.5 MELACAK PERANGKAT LUNAK DAN PEBANGKAT BEBGERAK YANG

DIBELI

Business Software Alliance (BSA) melacak dan mendenda perusahaan-perusahaan yang

melanggar perjanjian lisensi perangkat lunak. Untuk mematuhi hak cipta dan melindungi dirinya
dari gugatan pembajakan perangkat lunak, perusahaan harus melakukan audit perangkat lunak
secara periodik. Harus ada lisensi yang cukup untuk seluruh pengguna darl perusahaan tidak
wajib membayar untuk lisensi yang lebih dari yang dibutuhkan. Pengguna hams diinformasikan
mengenai konsekuensi penggunaan perangkat lunak yang tidak berlisensi.

Peningkatan jumlah perangkat bergerak (mobile) harus dilacak dan diawasi karena
kerugiannya dapat menunjukkan pengungkapan yang substansial. Barang-barang yang dilacak
adalah perangkat, siapa yang memiliki, tugas apa yang mereka jalankan, Iitur keamanan yang
dipasang, dan perangkat lunak apa yang dibutuhkan oleh perusahaan untuk memelihara sistem
dan keamanan jaringan yang memadai.

2.0.6 MENJALANKAN AUDIT BERKALA

Audit keamanan eksternal, internal, dan jaringan dapat menilai dan mengawasi risiko
maupun mendeteksi penipuan dan kesalahan. Menginformasikan para pegawai audit membantu
menyelesaikan masalah-masalah privasi, menghalangi penipuan, dam mengurangi kesalahan.
Para auditor harus menguji pengendalian sistem secara reguler dan menelusurifile penggunaan
sistem untuk mencari aktivitas mencurigakan secara periodik. Selama audit keamanan sebuah
perusahaan kesehatan, para auditor berpura-pura menjadi staf pendukung komputer yang
membujuk l6 dari 22 pegawai untuk mengungkapkan ID pengguna dan kata sandi mereka.
Mereka juga menemukan bahwa para pegawai menguji sebuah sistem baru yang mengckspos
iaringan perusahaan atas serangan dari luar. Pengauditan sistem dijelaskan pada Bab 11. Audit
internal menilai keterandalan serta integritas informasi dan operasi keuangan, mengevaluasi
efektivitas pengendalian internal, dun menilai kepatuhan pcguwai dengdn kebijakan dan
prosedur manajemen maupun perundangan dun pcraluran yang berlaku. Fungsi audit internal
harus independen dari fungsi akuntansi dan pengoperasian secara 0rganisasi. Audit internal harus
melapor kepada komite audit, bukan pengawas atau CFO.

2.0.7 MEMPEKERJAKAN PETUGAS KEAMANAN KOMPUTER DAN CHIEF

COMPLIANCE OFFICER

Seorang computer security officer (CSO) bcrmgus alas kcamanan sistem, independen
dari fungsi sistem intormasi dan melapor chief operating officer (COO) atau CEO. Banyaknya
tugas terkait SOX atau bentuk kepatuhan lainnya telah menuntun banyak perusahaan untuk
mendelegasikan scluruh masalah kepaluhan kepada scorang chief compliance officer (CCO)
Banyak perusahaan mcnggunakan konsullan komputcr dari luar atau tim dalam perusahaan hntuk
menguji dan mengevaluasi prosedur keamanan serta sistem komputer.
2.0.8 MENYEWA SPESIALIS FORENSIK

Penyelidik forensik (forensic investigators) yang memiliki spesialisasi dalam kasus

penipuan adalah kelompok yang tumbuh dengan cepat pada profesi akuntansi. Kehadiran mereka
meningkAt dikarenakan beberapa faldor, terutama SOX, aturan-aturan akuntansi baru, dan
permintaan dewan direksi bahwa penyelidikan forensik merupakan bagian berkelanjutan dari
pelaporan keuangan dan proses tata kelola perusahaan. Sebagian besar penyelidik forensik
mendapatkan pelatihan khusus dan' FBI, IRS, atau agen-agen penegak hukum lainnya. Para
penyelidik dengan kemampuan komputer yang dapat menyeret pelaku penipuan banyak sekali
yang membutuhkannya. Association ofCertified Fraud Examiners mensponsori sebuah program
sertifikasi profesional Certified Fraud Examiner (CFE). Untuk menjadi seorang CFE, para
kandidat hams melalui sebuah ujian selama 2 hari. Saat ini ada sekitar 35.000 CFE di seluruh
dunia.

Para spesialis forensik komputer (computer forensics specialists) menemukan,

mengekstraksi, mengamankan, dan mendokumentasi bukti komputer seperti keabsahan, akurasi,
dan integritas bahwa tidak akan menyerah pada tantangan-tantangan hukum. Forensik komputer
dapat diperbandingkan dengan menjalankan “autopsi” pada sebuah sistem komputer untuk
menentukan apakah sebuah kejahatan dilakukan serta siapa yang melakukannya, dan kemudian
mempersiapkan bukti yang dibutuhkan oleh para pengacara guna membuktikan tuntutan di
pengadilan. Beberapa hal yang lebih umum diselidiki, yaitu penggunaan Internet yang tidak
tepat; penipuan; sabotase; kehilangan, pencurian, atau korupsi data; memunculkan informasi
“terhapus” dan‘ e-mail dan database; dan menemukan siapa yang menjalankan aktivitas-aktivitas
komputer tertentu. Sebuah tim forensik Deloitte & Touche mengungkapkan bukti yang
membantu menyatakan seorang manajer pembelian Giant Supermarket bersalah karena telah
menerima lebih dari $600000 dalam kickback pemasok.

2.0.9 MEMASANG PERANGKAT LUNAK DETEKSI PENIPUAN

Para penipu mengikuti pola-pola yang berbeda dan meninggalkan petunjuk yang dapat
dilacak iengan perangkat lunak deteksi penipuan. ReliaStar Financial menggunakan perangkat
lunak lari IBM unluk mendeteksi hal-hal sebagai berikut.
  Seorang chiropractor di Los Angeles mengirimkan ratusan ribu dolar dalam
pernyataan palsu. Perangkat lunak mengidentifikasi sejumlah pasien tidak lazim yang
tinggal Jebih dari 50 mil jauhnya dari kantor si dokter dan menandai tagihan tersebut
untuk penyelidikan.
 Seorang dokter di Long Island mengirimkan tagihan mingguan untuk sebuah prosedur
aneh dan mahal yang blasanya dilakukan hanya sekali atau dua kali seumur hidup.
 580mg ahli penyakit kaki menemui empat pasien dan menagih untuk 500 prosedur
terpisah.

latingan saraf (neural network)--prograrn dengan kemampuan pembelajaran-dapat

mengidentmkasi penipuan secara akurat. Operasi Visa dan MasterCard di Mellon Bank
menggunakan sebuah jaringan saraf untuk melacak 1,2 juta rekening. Iaringan saraf dapat
menunjukkan penggunaan kartu kredit ilegal dan memperingatkan pernilik segera setelah kartu
dicuri. Iaringan saraf juga dapat menunjukkan arah gejala sebelum para penyelidik bank
melakukannya. Sebagai contoh, seorang penyelidik mempelajari sebuah penipuan baru dari bank
lain. Ketika ia pergi untuk mengecek penipuan tersebut, jaringan saraf telah mengidentifikasinya
dan telah mencetak transaksi yang sesuai dengan polanya. Perangkat lunak tersebut
membebankan biaya bank kurang dari $1 juta dan membayar untuk program itu sendiri dalam
enam bulan.

2.1.0 MENGIMPLEMENTASiKAN HOTLINE PENIPUAN

Orang-orang yang menyaksikan periiaku curang sering kali terbagi di antara dua perasaan
Yang bertentangan. Meskipun mereka ingin melindungi aset perusahaan dan melaporkan pelaku
penipuan, mereka merasa tidak nyaman untuk melakukan pelaporan penipuan, sehingga yang
sering terjadi adalah mereka tetap diam. Keengganan ini lebih kuat jika mereka 1akut akan para
whistle blower yang diasingkan, dianiaya, atau mengalami bahaya pada karier mereka.

Sarbanes~0xley Act (SOX) mengamanatkan sebuah mekanisme bagi para pegawai agar
melaporkan penipuan dan penyalahgunaan. Sebuah hotline penipuan (fraud hotline) merupakan
cara yang efektif untuk mematuhi hukum dan menyelesaikan konflik whistle blower. Dalam
sebuah studi, para peneliti menemukan bahwa 33% dari 212 penipuan dideteksi melalui petunjuk
anonim. Industri asuransi membangun sebuah hotline untuk mengendalikan pemyataan yang
menipu sebesar $17 miliar setahun. Dalam bulan pertama, lebih dari 2.250 telepon diterima; 15%
dilakukan tindakan penyelidikan. Dampak negatif dari hotline adalah banyaknya panggilan yang
tidak layak untuk diselidiki; beberapa di antaranya dimotivasi oleh kehendak untuk membalas
dendam, beberapa adalah laporan kesalahan yang tidak jelas; dan lainnya tidak memiliki
manfaat.