Oleh :
Kelompok 1
Hayu Arianti (180020113111001)
Dentar Pri Anggy A (180020113111005)
Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut.
Pada 1977, Foreign Corrupt Practices Act (FCPA) dikeluarkan untuk mencegah
perusahaan menyuap pejabat asing agar mendapatkan bisnis. Kongres menggabungkan aturan
dari sebuah pernyataan American Institute of Certified Public Accountants (AICPA) ke dalam
FCPA yang mengharuskan perusahaan untuk memelihara sistem pengendalian internal yang
baik. Namun, ketentuan-ketentuan ini tidak cukup untuk mencegah masalah yang lebih jauh.
Pada akhir 1990 dan awal 2000, berita melaporkan penipuan akuntansi di Enron,
WorldCom, Xerox, Tyco, Global Crossing, Adelphia, dan perusahaan lainnya. Ketika Enron,
dengan aset $62 miliar, dinyatakan bangkrut pada Desember 2001, ini adalah kebangkrutan
terbesar sepanjang sejarah Amerika Serikat. Pada Juni 2002, Arthur Andersen, salah satu kantor
CPA terbesar, kolaps. Kebangkrutan Enron disepelekan ketika WorldCom, dengan aset lebih dari
$100 miliar, mengajukan kebangkrutan pada Juli 2002. Merespons penipuan tersebut, Kongres
mengeluarkan Sarbanes-Oxley Act (SOX) pada 2002. SOX diterapkan bagi perusahaan-
perusahaan publik dan auditor mereka serta didesain untuk mencegah penipuan laporan
keuangan, membuat laporan keuangan lebih transparan, melindungi investor, memperkuat
pengendalian internal, dan menghukum eksekutif yang melakukan penipuan.
Selain itu, SOX merupakan undang-undang berorientasi bisnis yang paling penting dalam
80 tahun terakhir. Undang-undang ini mengubah cara dewan direksi dan manajemen beroperasi
serta memiliki dampak yang kuat terhadap CPA yang mengaudit mereka. Berikut beberapa aspek
terpenting SOX:
1. Public Company Accounting Oversight Board (PCAOB). Tujuan SOX menciptakan
Public Company Accounting Oversight Board (PCAOB) adalah untuk mengendalikan
profesi pengauditan (auditing). PCAOB menetapkan serta memberlakukan
pengauditan, pengendalian kualitas, etika, independensi, dan standar-standar audit
lainnya.
2. Aturan-aturan baru bagi para auditor. Auditor harus melaporkan informasi tertentu ke
komite audit perusahaan, seperti kebijakan dan praktik akuntansi yang penting. SOX
membatasi auditor dalam melakukan layanan non audit tertentu, seperti desain sistem
informasi dan implementasi. Kantor audit tidak dapat memberikan layanan kepada
perusahaan jika manajemen puncak dipekerjakan oleh kantor pengauditan (auditing)
dan bekerja pada audit perusahaan dalam kurun waktu 12 bulan sebelumnya.
3. Peran baru bagi komite audit. Anggota komite audit harus berada di dewan direksi
perusahaan dan independen dari perusahaan. Seorang anggota komite audit harus
seorang pakar keuangan. Komite audit mempekerjakan, mengompensasi, dan
mengawasi para auditor yang melapor langsung kepada mereka.
4. Aturan baru bagi manajemen. SOX mengharuskan CEO dan CFO untuk menyatakan
bahwa (1) pernyataan dan pengungkapan keuangan disajikan dengan wajar, ditinjau
oleh manajemen, dan tidak menyesatkan; dan bahwa (2) para auditor diberitahukan
tentang semua kelemahan pengendalian internal material dan diberitahukan juga
tentang penipuan. Jika manajemen dengan sengaja melanggar aturan tersebut, mereka
dapat dituntut dan didenda.
5. Ketentuan baru pengendalian internal. Bagian 404 mengharuskan perusahaan untuk
menerbitkan sebuah laporan pendukung laporan keuangan yang menyatakan bahwa
manajemen bertanggung jawab untuk menetapkan dan memelihara sistem
pengendalian internal yang memadai. Laporan tersebut harus mengandung penilaian
manajemen pengendalian internal perusahaan, membuktikan ketepatan mereka, dan
melaporkan kelemahan yang signifikan atau ketidakpatuhan material.
1. Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada. Sebagai contoh,
Chevron memiliki 35.000 PC.
2. Informasi pada jaringan komputer didistribusi sulit dikendalikan. Informasi di
Chevron, didistribusikan di antara banyaknya sistem dan ribuan pegawai di seluruh
dunia. Setiap sistem dan pegawai mencerminkan sebuah titik kerentanan
pengendalian yang potensial.
3. Pelanggan serta pemasok memiliki akses ke sistem dan data satu sama lain. Sebagai
contoh, Walmart mengizinkan vendor untuk mengakses database-nya. Bayangkan,
masalah kerahasiaan yang dapat terjadi jika vendor membentuk persekutan dengan
pesaing Walmart.
Pada 2013, kerangka IC diperbarui untuk kesepakatan yang lebih baik lagi dengan proses
bisnis dan penguasaan teknologi terkini. Kerangka IC revisi juga memberikan panduan lebih
tepat bagi para pengguna tentang cara menerapkan dan mendokumentasikan kerangka. Kerangka
IC baru tetap menggunakan lima komponen dari kerangka asli dan menambahkan 17 prinsip
yang membangun serta mendukung konsep. Masing-masing dari lima komponen setidaknya
memiliki dua hingga lima prinsip.
Sebagai contoh, pertimbangkan bahwa implementasi dari sebuah sistem pertukaran data
elektronik (electronic data interchange-EDI) yang menciptakan dokumen elektronik,
mengirimkan data-data tersebut ke pelanggan dan pemasok, dan menerima respons elektronik
kembali. Beberapa kejadian yang dapat dialami sebuah perusahaan adalah memilih teknologi
yang tidak sesuai, akses yang tidak sah, kehilangan integritas data, transaksi yang tidak lengkap,
kegagalan sistem, dan sistem yang tidak kompatibel.
Risiko-risiko sebuah kejadian yang teridentikaasi dinilai dalam beberapa cara yang
berbeda: kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan kategori,
dampak pada unit organisasi yang lain, serta berdasarkan pada sifat bawaan dan residual. Risiko
bawaan (inherent risk) adalah kelemahan dari sebuah penetapan akun atau transaksi pada
masalah pengendalian yang signifikan tanpa adanya pengendalian internal. Risiko residual
(residual risk) adalah risiko yang yang tersisa setelah manajemen mengimplememasikan
pengendalian internal atau beberapa respons lainnya terhadap risiko. Perusahaan harus menilai
risiko bawaan. mengembangkan respons, dan kemudian menilai risiko residual.
Beberapa kejadian memiliki risiko yang lebih besar karena lebih cenderung untuk terjadi.
Para pegawaj cenderung membuat sebuah kesalahan daripada melakukan penipuan dan sebuah
perusahaan cenderung menjadi korban penipuan daripada gempa bumi. Kemungkinan terjadinya
sebuah gempa bumi mungkin kecil, tetapi dampaknya dapat menghancurkan sebuah perusahaan.
Dampak dari penipuan biasanya tidak sebesar itu, karena kebanyakan kasus penipuan tidak
mengancam eksistensi perusahaan. Kemungkinan dan dampak harus dipertimbangkan
bersamaan. Oleh karena itu, keduanya meningkat, baik materialitas dari kejadian maupun
kebutuhan untuk melindunginya akan muncul.
Alat-alat perangkat lunak membantu penilaian dan respons risiko secara otomatis. Blue
Cross Blue Shield di Florida menggunakan perangkat lunak ERM yang mengizinkan manajer
memasukkan risiko yang dirasakan; menilai sifat, kemungkinan, dan dampaknya; serta
menetapkan pemeringkatan numerik. Sebuah penilaian risiko keseluruhan perusahaan
dikembangkan dengan mengagregasi seluruh pemeringkatan.
1.7.2 MENGIDENTIFIKASI PENGENDALIAN
'Iujuan dari perancangan sebuah sistem pengendalian internal adalah untuk memberikan
jaminan memadai bahwa kejadian tidak lerjadi. tidak ada sistem pengendalian internal yang
memberlkan perlindungan sangat mudah terhadap seluruh kcjadian, karena memiliki banyak
Sekali pengendalian membutuhkan biaya sangat besar dam secara negatif memengaruhi etisiensi
Operasional. Kebalikannya, memiliki terlalu sedikit pengendalian tidak akan memberiknn
Jaminan memadai yang diperlukan.
Salah satu cara untuk memperkirakan nilai pengendalian internal melibatkan kerugian
yang dipa-kirahn (expected loss), hasil matematis dampak dan kemungkinan.
Nilai dari prosedur pengendalian adalah selisih antara kerugian yang diperkirakan dengan
prosedur-prosedur pcngendalian dan kerugian yang diperldrakan tanpa prosedur tersebut.
Aktivitas pengendalian (control activities) adalah kebijakan, prosedur, dan aturan yang
memberikan jaminan memadai bahwa tujuan pengendalian telah dicapai dan respons risiko
dilakukan. Hal tersebut merupakan tanggung jawab manajemen untuk mengembangkan sebuah
sistem yang aman dan dikendalikan dengan tepat. Manajemen harus memastikan bahwa:
1. pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level
yang dapat diterima;
2. pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi;
3. aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan
prosedur perusahaan yang telah ditentukan.
Petugas keamanan informasi dan staf operasi bertanggung jawab untuk memastikan
bahwa prosedur pengendalian telah diikuti.
Pengendalian akan jauh lebih efektifketika dijalankan sejak sistem dibangun, daripada
mudah dibangun. Akibatnya, manajer perlu melibatkan analis sistem, desa'mer, dan pengguna
akhir ketika mendesain sistem pengendalian berbasis komputer. Hal yang penting bahwa
aktivitas pengendalian tetap berjalan selama musim liburan akhir tahun, karena jumlah.
pcnipuan komputer yang tidnk proporsional dan pcrampokan kcamanan yang dilakukan
pada waktu tcrscbut. Beberapa alasannya, yaitu (l) liburan pcgawai yang diperpanjang bcrarli
bahwa orang yang “mcngurusi lnkn" lcbih scdikit; (2) para pclajar libur sckolah dan mcmpunyai
waktu dam (3) para hacker yang budayanya bcrbcda mcningkatkan serangan mereka.
Oleh karena manajemen kekurangan waktu dan sumber daya untuk mengawasi setiap
aktivitas dan keputusan perusahaan, ia menetapkan kebijakan bagi pegawai untuk diikuti dan
kemudian memberdayakan mereka. Pemberdayaan ini disebut otorisasi (authorization), yang
merupakan sebuah prosedur pengendalian penting. Otorisasi sering didokumentasikan dengan
penandatanganan, penginisialisasian, dan pemasukan sebuah kode otorisasi pada sebuah
dokumen atau catatan. Sistem komputer dapat merekam sebuah tanda tangan digital (digital
signature), simbol penandatanganan sebuah dokumen secara elektronik dengan data yang tidak
dapat dipalsukan. Tanda tangan digital dibahas pada Bab 9.
Aktivitas atau transaksi tertentu bisa jadi merupakan konsekuensi bahwa manajemen
memberikan otorisasi khusus (specific authorization) agar aktivitas atau transaksi tersebut
terjadi. Sebagai contoh, tinjauan dan persetujuan manajemen bisa jadi diperlukan untuk
penjualan dengan kelebihan $50.000. Sebaliknya, manajemen mengotorisasi pegawaj untuk
menangani transaksi rutin tanpa persetujuan khusus, sebuah prosedur yang dikenal sebagai
otorisasi umum (general authorization). Manajemen harus memiliki kebijakan tertulis balk pada
otorisasi khusus maupun umum untuk semua jenis transaksi.
Para pegawai yang memproses transaksi harus memverikaasi adanya otorisasi yang
sesuaj. Para auditor meninjau transaksi untuk memverifikasi otorisasi yang tepat, seperti
ketiadaan transaksi-transaksi yang mengindikasikan sebuah masalah pengendalian yang mungkin
terjadi. Sebagai contoh, Jason Scott menemukan bahwa beberapa pembelian tidak memiliki
daftar permintaan pembelian. Bahkan, beberapa pembelian tersebut telah “diotorisasi secara
pribadi” oleh Bill Springer, wakil presiden pembelian. Jason juga menemukan bahwa beberapa
pembayaran telah diotorisasi tanpa dokumen pendukung yang sesuai, seperti pesanan pembelian
dan laporan penerimaan. Temuan-temuan ini memunculkan pertanyaan mengenai kecukupan
pada prosedur pengendalian internal Springer.
Pengendalian internal yang baik mensyaratkan tidak ada satu pegawai pun yang diberi
terlalu banyak tanggung jawab atas transaksi atau proses bisnis. Seorang pegawai tidak boleh
berada di sebuah posisi untuk melakukan dun menyamarkan penipuan. Pemisahan tugas dibahafv
dalam dua sesi terpisah: pemisahan lugas akuntansi dan pemisahan tugas sistem.
Jika seseorang melakukan dua dari fungsi-fungsi tersebut, masalah dapat timbul. sebagai
contoh, bendahara kota di Fairfax, Virginia, menggelapkan $600000. Ketika warga
menggunakan uang untuk membayar pajak, dia menyimpan uangnya dan memasukkan
pembayaran pada catatan pajak properti, tetapi tidak melaporkan ke pengawas. Secara periodik,
dia membuat sebuah entri jurnal penyesuaian untuk membawa catatannya ke dalam persetujuan
dengan jurnal yang ada pada pengawas. Ketika dia menerima cek di dalam surat yang akan
hilang jika tidak dicatat, dia memasukkannya ke dalam register kas dan mencuri sejumlah uang.
Oleh karena bendahara bertanggung jawab baik atas penyimpanan penerimaan uang dan
pencatatan penerimaan tersebut, dia mampu mencuri penerimaan uang dan memalsukan rekening
untuk menyamarkan pencurian.
Seorang direktur Newport Beach, California, menggelapkan $1,2 juta. Bertanggung
jawab untuk mengotorisasi transaksi, dia memalsukan faktur-faktur untuk dokumen kemudahan
otorisasi pembayaran kc pemilik properti nyata atau 6ktif. Para petugas departemen keuangan
memberinya cek untuk diantar ke pemilik properti. Dia memalsukan tnnda langan dan
mcnyclorkan cck kc dalam rckcningnya sendiri. Oleh karena ia diberi kcwcnangan pcnyimpmmn
cck. din dapat mclakukan otorisasi transaksi tiktif dan mencun‘ pcmbnyamnnya.
Dalam sebuah sistem dengan pemisahan tugas yang efektif, sulit bagi seorang pegawaj
untuk dapat berhasil menggelapkan. Mendeteksi penipuan dengan dua atau lebih orang yang
terlibat kolusi (collusion) dalam usahanya menolak pengendalian akan lebih sulit karena lebih
mudah untuk melakukan dan menyamarkan penipuan. Sebagai contoh, dua wanita pada sebuah
perusahaan kartu kredit berkolusi. Seorang wanita melakukan otorisasi rekening kartu kredit
baru, wanita lainnya menghapuskan rekening tak terbayarkan yang kurang dari $1.000. Wanita
pertama menciptakan rekening baru untuk masing-masing dari mereka dengan menggunakan
data fiktif. Ketika jumlah yang jatuh tempo mendekati batas $1.000, wanita yang melakukan
pengumpulan tersebut menghapuskannya. Proses tersebut kemudian diulang. Mereka tertangkap
ketika kekasih mereka yang baru saja diputuskan membalas dendam kepada mereka dengan
melaporkan skema tersebut kepada perusahaan kartu kredit.
Pegawai dapat berkomplot dengan pegawai lain, pelanggan, atau vendor. Kolusi pegawai/
vendor yang paling sering dilakukangmeliputi penagihan pada harga yang melambung,
melakukan pekerjaan di bawah standar dan menerima bayaran penuh, bayaran untuk tidak
pekerja, menggandakan tagihan, dan pembelian lebih banyak barang secara tidak perlu \
dari perusahaan yang berkomplot. Kolusi pcgawai/pelanggan yang paling sering adalah \
yembayaran pinjaman atau asuransi yang tidak tcrotorisasi, menerima aset atau jasa pada harga
diskon yang tidak terotorisasi, membiarkan jumlah yang dipinjam. dan perpanjangan ,anggal
jatuh tempo yang tidak tcrotorisasi.
PEMISAHAN TUGAS SISTEM Dalam scbuah sistem informaqi, proscdur yang dijalankan
oleh individu bcrbcda dikombinasikan. Olch karcna itu. setiap orang yang memiliki akses yang
gidak terbatas ke komputcr, program, dan data langsung dapat melakukan scrta menyamarkan
penipuan. Untuk mclawan ancaman ini, organisasi mcnerapkan pemisahan tugas sistem
(segregation ofsystem duties). chcnang dan tanggung jawab harus dibagi dengan jelas menurut
fungsi-fungsi sebagai berikut.
Memungkinkan seseorang untuk melakukan dua atau lebih pekerjaan tersebut dapat
membuka peluang penipuan pada perusahaan. Sebagai contoh, jika seorang pemrogram
kloperrasi kredit menggunakan data aktual untuk menguji programnya, dia dapat menghapuskan
saldo pinjaman mobilnya selama pengujian. Begitu pula jika seorang operator komputer
memiliki akses ke logika dan dokumentasi pemrograman, dia mungkin dapat menaikkan Saiinya
sambil memproses penggajian.
1.8.3 PENGEMBANGAN PROYEK DAN PENGENDALIAN AKUISISI
(PEROLEHAN)
Mengembangkan spesifikasi yang jelas. Ini termasuk deskripsi dan defnisi sistem
yang pasti, tenggat waktu yang jelas, dan kriteria penerimaan yang tepat. Suffolk
County, New York, menghabiskan 12 bulan dan $500000 mempersiapkan spesitikasi
mendetail untuk sebuah sistem peradilan kriminal senilai $16 juta sebelum menerima
tawaran. Hanya 6 dari 22 integrator yang diundang dalam tawaran proyek karena
biaya ketat di daerah dan standar kualitas. Pejabat daerah meyakini kesungguhan
upaya awal mereka dapat membantu memastikan keberhasilan sistem baru dan
menghemat anggaran daerah sebesar $3 juta.
Mengawasi proyek. Perusahaan harus menetapkan prosedur formal untuk mengukur
dam melaporkan status sebuah proyek. Pendekatan terbaik adalah membagi proyek ke
dalam tgas-tugas yang dapat dikelola. menentuknn tanggung jawab untuk setiap
tugas, dun mengadakan pertemuan setidaknya setiap bulan untuk meninjau kemajuan
serta menilai kualitas.
1.8.4 PERGUBAH PENGENDALIAN MANMEMEN
Desain dan penggunaan dokumen elektronik dan kertas yang sesuai dapat membantu
memastikan pencatatan yang akurat serta lengkap dari seluruh data transaksi yang relevan
Bcntuk dan isinya hams sesederhana mungkin, meminimalkan kesalahan, dan memfasilitasi
tinjauan serta veriiikasi. Dokumen yang mengawali sebuah transaksi harus menyediakan sebuah
ruang untuk otorisasi. Mereka yang mentransfer aset membutuhkan sebuah ruang untuk tanda
tangan pihak penerimaan. Dokumen harus dinomori secara urut, sehingga masing~masing dapat
dibukukan. jejak audit memfasilitasi penelusuran transaksi individu melalui sistem, memperbaiki
kesalahan, dan memveriflkasi output sistem. Desain dokumen, bentuk dan layar dibahas pada
Bab 22.
Sebuah perusahaan harus melindungi kas dan aset fisik beserta informasinya. Seorang
reporter dari Reuters mengetahui bahwa Intentia, sebuah pengembang perangkat lunak Swedia,
mengeluarkan laporan pendapatan kuartal pertama dan keduanya di situs dengan alamat situs
yang nyaris serupa. Dia menebak alamat situs kuartal ketiga dan menemukan angka-angka yang
belum dirilis, kemudian membuat cerita mengenai hasil yang mengecewakan. Intentia
mengajukan tuntutan peretasan (hacking) kriminal, tetapi tidak lolos. Swedish Stock Exchange
mengecam Intentia karena tidak melindungi informasi keuangannya.
Para pegawai merupakan risiko keamanan yang lebih besar dibandingkan orang luar.
Mereka mampu menyembunyikan tindakan ilegal mereka dengan lebih baik karena mereka
mengetahui kelemahan sistem dengan lebih baik. Hampir 50% perusahaan melaporkan para
orang dalam mengakses data tanpa otorisasi yang semestinya. Seorang ahli perangkat lunak di
America Online dituntut karena menjual 92 juta alamat e-mail yang ia dapatkan secara ilegal
menggunakan identitas (ID) dan kata sandi pegawai lain. Sebuah pebisnis perjudian Internet
membeli nama-nama tersebut dan menggunakannya untuk meningkatkan pendapatan sebesar
$10.000 sampai $20.000 per hari. Pencurian data tersebut tidak diketahui selama setahun, sampai
seorang tanpa nama memberi informasi kepada pihak berwajib bahwa bisnis perjudian tersebut
menjual ulang nama-nama itu kepada pelaku spamming yang menjual produk peningkatan
kekuatan pria herbal.
Para pegawai juga menyebabkan ancaman yang tidak sengaja, seperti menghapus tanpa
sengaaja data perusahaan, membuka lampiran email yang sarat dengan virus, atau mencoba
memperbaiki perangkat keras atau lunak tanpa keahlian yang memadai. Hal-hal yang membantu
pengamanan asset.
Menciptakan dan menegakkan kebijakan dan prosedur yang tepat. Sering kali selum1
kebijakan dan prosedur, tetapi tidak ditegakkan. Sebuah laptop dengan nama-nama
nomor Social Security, dan langgal lahir milik 26,5 juta orang dicuri dari sebuah
rumah seorang analis Departemen Veteran Affairs (VA). Departemen VA tidak
memaksakan kcbijakan bahwa data yang sensitifharus dienkripsi dan tidak boleh
keluar dari kamor VA. Memperingatkan 26,5 juta orang dan membelikan mereka
layanan pengecekan kredi, membebankan pembayar pajak sebesar $100 juta. Dua
tahun sebelum pencurian, seoran inspektur jenderal melaporkan identifikasi
pengendalian yang tidak layak atas data yang sensitif sebagai sebuah kelemahan,
tetapi tidak pernah ditunjukkan.
Memelihara catatan akurat dari seluruh aset. Secara periodik merekonsiliasi jumlah
tercatat atas aset perusahaan ke perhitungan fisik dari aset-aset tersebut.
Membatasi akses terhadap aset. Pembatasan akses terhadap area penyimpanan dapat
melindungi persediaan dan peralatan. Register kas, brankas, peti uang (lockbox), dan
kotak penyimpanan aman (safety deposit box) membatasi akses terhadap kas dan aset
kertas. Lebih dari $1 juta digelapkan dari Perini Corp. karena cek kosong disimpan di
dalam ruang penyimpanan tak terkunci. Seorang pegawai menggunakan cek untuk
vendor flktif, menjalankannya melalui mesin penandaan cek tak terkunci, dan
menguangkan cek.
Melindungi catatan dan dokumen. Area penyimpanan tahan api, lemari arsip (filing
cabinet) terkunci backup, dan penyimpanan di luar situs akan melindungi catatan dan
dokumen. Akses terhadap cek dan dokumen bank harus dibatasi ke personel
berwenang. Seorang pesuruh di Inglewood, California, mencuri 34 cek bank, menulis
cek dari $50.000 sampai $470000, memalsukan nama kantor kota, dan
menguangkannya.
Pengecekan kinerja yang independen, dilakukan oleh seseorang, tetapi bukan merupakan
orang yang melakukan operasi aslinya, membantu memastikan bahwa transaksi diproses dengan
tepat. Pengecekan kinerja yang independen ini meliputi:
Tinjauan independen. Setelah sebuah transaksi diproses, orang kedua meninjau pekerjaan
orang pertama, mengecek otorisasi yang semestinya, meninjau dokumen pendukung, dan
mengecek ketepatan harga, kuantitas, serta ekstensi.
Sebagai tambahan untuk pengidentifikasian dan pencatatan seluruh transaksi yang valid,
SIA harus mengklasitikasikan transaksi secara tepat, mencatat transaksi pada nilai moneter yang
sesuai, mencatat transaksi di dalam periode akuntansi yang sesuai, dan menyajikan transaksi
secara tepat dan pengungkapan lainnya di dalam laporan keuangan.
Komunikasi hams dilakukan secara internal dan ekstemal untuk menyediakan informasi
yang dibutuhkan guna menjalankan aktivitas pengendalian internal harian. Seluruh personel
harus memahami tanggung jawab mereka.
Kerangka IC yang diperbarui memerinci bahwa tiga prinsip berikut berlaku di dalam proses
informasi dan komunikasi.
1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk
mendukung pengendalian internal.
2. Mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab
yang diperlukan untuk mendukung komponemkomponen lain dari pengendalian
internal.
3. Mengomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-pihak
eksternal.
Sistem alumi secara umum terdiri nun beberapa subsistem, masing-masing dirancang untuk
memproses suatu jenis transaksi tertentu menggunakan urutan prosedur, sama yang disebut
siklus akuntansi. Siklus akuntasi utama dan tujuan serta prosedur yang terrkait dijelas di Bah 12
sampul I6.
2.1 PENGAWASAN
Sistem pengcndalian internal yang dipilih atau dikembangkan harus diawasi secara
berkelanjutan. dievaluasi. dan dimodifikasi sesuai kebutuhan. Segala kekurangan ham;
dilaporkan kepada manajemcn senior dan dcwan direksi. Metode-metode utama dalam
pengawasan kinerja dibahas pada bagian ini.
Paket perangkat lunak analisis dan manajemen risiko meninjau ukuran-ukuran keamanan
komputer dan jaringan, mendeteksi akses ilegal, menguji kelemahan dan kerentanan, melaporkan
kelemahan yang ditemukan, dan menyarankan perbaikan. Parameter biaya dapat dimasukkan
dalam tingkat penerimaan saldo atas toleransi risiko dan efelctivitas biaya. Perangkat lunak juga
mengawasi dan melawan virus, spyware, adware, spam, phishing, dan e-mail yang tidak pantas.
Perangkat lunak memblokir iklan pop-up, mencegah browser dibajak. dan memvalidasi ID
penelepon dengan membandingkan suara penelepon dengan sebuah cetak suara yang terekam
sebelumnya. Perangkat lunak dapat membantu perusahaan memulihkan dari tindakan berbahaya.
Sebuah paket manajemen risiko membantu sebuah perusahaan memulihkan dari amukan seorang
pegawai yang tidak puas. Setelah sebuah evaluasi kinerja yang negatif, si pelaku mencabut kabel
dari PC, mengubah le pengendalian persediaan. dan mcngedit file kata sandi untuk menghentikan
orang-orang masuk ke dalam jaringan. Perangkat lunak tersebut dengan segera
mengidentifikasifile yang rusak dan memperingatkan kantor pusat perusahaan. Kerusakan
dibatalkan dengan penggunaan perangkat lunak yang memulihkanfile yang rusak ke status
aslinya.
Seluruh transaksi dan aktivitas sistem harus direkam di dalam sebuah log yang
mengindikasikan siapa mengakses data apa, kapan, dan dari perangkat online yang manaLog-log
tersebut harus ditinjau dengan sering dan digunakan untuk mengawasi aktivitas
Teknologi yang digunakan oleh seorang pcgawai untuk pekerjaannya adalah milil‘
perusahaan.
E-mail yang diterima oleh komputer perusahaan bukanlah e-mail pribadi dan dapat
dibacéa oleh personel pengawas. Kebijakan ini memungkinkan sebuah perusahaan
farmasi besaf untuk mengidentifikasi dan menghentikan seorang pegawai yang
mengirimkan data produksi obat rahasia kepada seorang pihak eksternal.
Para pegawai tidak boleh menggunakan teknologi untuk berkontribusi pada
lingkungan kerja yang bermusuhan.
Peningkatan jumlah perangkat bergerak (mobile) harus dilacak dan diawasi karena
kerugiannya dapat menunjukkan pengungkapan yang substansial. Barang-barang yang dilacak
adalah perangkat, siapa yang memiliki, tugas apa yang mereka jalankan, Iitur keamanan yang
dipasang, dan perangkat lunak apa yang dibutuhkan oleh perusahaan untuk memelihara sistem
dan keamanan jaringan yang memadai.
Audit keamanan eksternal, internal, dan jaringan dapat menilai dan mengawasi risiko
maupun mendeteksi penipuan dan kesalahan. Menginformasikan para pegawai audit membantu
menyelesaikan masalah-masalah privasi, menghalangi penipuan, dam mengurangi kesalahan.
Para auditor harus menguji pengendalian sistem secara reguler dan menelusurifile penggunaan
sistem untuk mencari aktivitas mencurigakan secara periodik. Selama audit keamanan sebuah
perusahaan kesehatan, para auditor berpura-pura menjadi staf pendukung komputer yang
membujuk l6 dari 22 pegawai untuk mengungkapkan ID pengguna dan kata sandi mereka.
Mereka juga menemukan bahwa para pegawai menguji sebuah sistem baru yang mengckspos
iaringan perusahaan atas serangan dari luar. Pengauditan sistem dijelaskan pada Bab 11. Audit
internal menilai keterandalan serta integritas informasi dan operasi keuangan, mengevaluasi
efektivitas pengendalian internal, dun menilai kepatuhan pcguwai dengdn kebijakan dan
prosedur manajemen maupun perundangan dun pcraluran yang berlaku. Fungsi audit internal
harus independen dari fungsi akuntansi dan pengoperasian secara 0rganisasi. Audit internal harus
melapor kepada komite audit, bukan pengawas atau CFO.
Seorang computer security officer (CSO) bcrmgus alas kcamanan sistem, independen
dari fungsi sistem intormasi dan melapor chief operating officer (COO) atau CEO. Banyaknya
tugas terkait SOX atau bentuk kepatuhan lainnya telah menuntun banyak perusahaan untuk
mendelegasikan scluruh masalah kepaluhan kepada scorang chief compliance officer (CCO)
Banyak perusahaan mcnggunakan konsullan komputcr dari luar atau tim dalam perusahaan hntuk
menguji dan mengevaluasi prosedur keamanan serta sistem komputer.
2.0.8 MENYEWA SPESIALIS FORENSIK
Para penipu mengikuti pola-pola yang berbeda dan meninggalkan petunjuk yang dapat
dilacak iengan perangkat lunak deteksi penipuan. ReliaStar Financial menggunakan perangkat
lunak lari IBM unluk mendeteksi hal-hal sebagai berikut.
Seorang chiropractor di Los Angeles mengirimkan ratusan ribu dolar dalam
pernyataan palsu. Perangkat lunak mengidentifikasi sejumlah pasien tidak lazim yang
tinggal Jebih dari 50 mil jauhnya dari kantor si dokter dan menandai tagihan tersebut
untuk penyelidikan.
Seorang dokter di Long Island mengirimkan tagihan mingguan untuk sebuah prosedur
aneh dan mahal yang blasanya dilakukan hanya sekali atau dua kali seumur hidup.
580mg ahli penyakit kaki menemui empat pasien dan menagih untuk 500 prosedur
terpisah.
Orang-orang yang menyaksikan periiaku curang sering kali terbagi di antara dua perasaan
Yang bertentangan. Meskipun mereka ingin melindungi aset perusahaan dan melaporkan pelaku
penipuan, mereka merasa tidak nyaman untuk melakukan pelaporan penipuan, sehingga yang
sering terjadi adalah mereka tetap diam. Keengganan ini lebih kuat jika mereka 1akut akan para
whistle blower yang diasingkan, dianiaya, atau mengalami bahaya pada karier mereka.
Sarbanes~0xley Act (SOX) mengamanatkan sebuah mekanisme bagi para pegawai agar
melaporkan penipuan dan penyalahgunaan. Sebuah hotline penipuan (fraud hotline) merupakan
cara yang efektif untuk mematuhi hukum dan menyelesaikan konflik whistle blower. Dalam
sebuah studi, para peneliti menemukan bahwa 33% dari 212 penipuan dideteksi melalui petunjuk
anonim. Industri asuransi membangun sebuah hotline untuk mengendalikan pemyataan yang
menipu sebesar $17 miliar setahun. Dalam bulan pertama, lebih dari 2.250 telepon diterima; 15%
dilakukan tindakan penyelidikan. Dampak negatif dari hotline adalah banyaknya panggilan yang
tidak layak untuk diselidiki; beberapa di antaranya dimotivasi oleh kehendak untuk membalas
dendam, beberapa adalah laporan kesalahan yang tidak jelas; dan lainnya tidak memiliki
manfaat.