BAB 7 PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI

1. IKHTISAR KONSEP PENGENDALIAN

Pengendalian internal adalah proses yang dijalankan untuk menyediakan jaminan memadai bahwa
tujuan-tujuan pengendalian berikut telah dicapai.

Mengamankan aset - mencegah atau mendeteksi perolehan, penggunaan, atau penempatan yang tidak
sah.

Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara akurat dan wajar.

Memberikan informasi yang akurat dan reliabel.

Menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan.

Mendorong dan memperbaiki efisiensi operasional.

Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan/

Mematuhi hukum dan peraturan yang berlaku.

Pengendalian internal memberikan jaminan memadai-jaminan menyeluruh yang sulit dicapai dan terlalu
mahal. Para akuntan dan pengembang sistem membantu manajemen mencapai tujuan pengendaliannya
dengan, (1) mendesain sistem pengendalian yang efektif dengan menggunakan pendekatan proaktif
untuk mengeliminasi ancaman sistem, serta yang dapat mendeteksi, memperbaiki, dan memulihkan dari
ancaman ketika terjadi; dan (2) membuatnya lebih mudah guna membentuk pengendalian kedalam
sebuah sistem pada tahapan desain awal daripada menambahkannya secara terbentuk.

Pengendalian internal menjalankan tiga fungsi penting sebagai berikut:

Pengendalian preventif (preventive control)

Pengendalian detektif (detective control)

Pengendalian korektif (corrective control)

Pengendalian internal seringkali dipisahkan dalam dua kategori sebagai berikut:

Pengendalian umum (general control)

Pengendalian aplikasi (application control)

Robert Simons, menganut empat kaitan pengendalian untuk membantu manajemen menyelesaikan
konflik diantara kreatifitas dan pengendalian.
Sistem kepercayaan (belief system)

Sistem batas (boundary system)

Sistem pengendalian diagnostik (diagnostic control system)

Sistem pengendalian interaktif (interactive control system)

A. Praktik Korupsi Asing dan Sarbanes-Oxley Acts

Foreign Corrupt Practices Art (FCPA) adalah undang-undang yang dikeluarkan untuk mencegah
perusahaan menyuap pejabat asing agar mendapatkan bisnis; juga mengharuskan semua perusahaan
milik publik untuk memelihara sebuah sistem pengendalian akuntansi internal. Sarbanes-Oxley Act (SOX)
adalah undang-undang yang dimaksudkan untuk mencegah kejahatan laporan keuangan, lebih
transparan, memberikan perlindungan kepada investor, memperkuat pengendalian internal pada
perusahaan publik, dan menghukum eksekutif yang melakukan kejahatan.

Berikut beberapa aspek terpenting SOX:

Public Company Accounting Oversight Board (PCAOB).

Aturan-aturan baru bagi para auditor.

Peran baru bagi komite audit.

Aturan baru bagi manajemen.

Ketentuan baru pengendalian internal.

Setelah SOX dikeluarkan, SEC memerintahkan bahwa manajemen harus:

mendasarkan evaluasinya pada sebuah kerangka pengendalian yang berlaku.

mengungkap semua kelemahan pengendalian internal material

menyimpulkan bahwa sebuah perusahaan tidak memiliki pengendalian internal pelaporan keuangan
yang efektif jika terdapat kelemahan material.

2. KERANGKA PENGENDALIAN

Kerangka Control Objective for Information and Related Technology (COBIT) adalah sebuah kerangka
keamanan dan pengedalian yang memungkinkan (1) manajemen untuk membuat tolak ukur praktik-
praktik keamanan dan pengendalian lingkunan TI; (2) para pengguna layana TI dijamin dengan adanya
keamanan dan pengendalian yang memadai; dan (3) para auditor memperkuat opini pengendalian
internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan. COBIT 5
didasarkan pada lima prinsip utama tata kelola dan manajemen TI:

Memenuhi keperluan pemangku kepentingan.

Mencakup perusahaan dari ujung ke ujung.

Mengajukan sebuah kerangka terintegrasi dan tunggal.

Memungkinkan pendekatan holistik.

Memisahkan tata kelola dari manajemen.

Tata kelola adalah tanggung jawab direksi yang (1) mengevaluasi keperluan pemangku kepentingan
untuk mengidentifikasi tujuan, (2) memberikan arahan bagi manajemen dengan memprioritaskan
tujuan, dan (3) mengawasi kinerja manajemen. tiga puluh dua proses manajemen dibagi ke dalam
empat domain sebagai berikut:

Menyelaraskan, merencanakan, dan mengatur.

Membangun, mengakuisisi, menerapkan.

Mengantar, melayani, mendukung.

Mengawasi, mengevaluasi, menilai.

A. Kerangka Pengendalian Internal COSO

Committe of Sponsoring Organizations (COSO) adalah sebuah kelompok sektor swasta yang terdiri atas
Asosiasi Akuntansi Amerika (American Accounting Association), AICPA, Ikatan Auditor Internal (Institute
of Internal Auditors), Ikatan Akuntan Manajemen (Institute of Management Accountants), dan Ikatan
Eksekutif Keuangan (Financial Executives Institute).

Pengendalian Internal (Internal Control) - Kerangka Terintegrasi - IC adalah sebuah kerangka COSO yang
menjelaskan pengendalian internal dan memberikan panduan untuk mengevaluasi dan meningkatkan
sistem pengendalian internal.

B. Kerangka Manajemen Risiko Perusahaan COSO

Untuk memperbaiki proses manajemen risiko, COSO mengembangkan kerangka pengendalian kedua
yang disebut Manajemen Risiko Perusahaan (Enterprise Risk Management) - Kerangka Terintegrasi
( Integrated Framework) - ERM. Kerangka ERM adalah sebuah kerangka COSO yang memperbaiki proses
manajemen risiko dengan memperluas (menambahkan tiga elemen tambahan) Pengendalian Internal
COSO - Terintegrasi.

C. Kerangka Manajemen Risiko Perusahaan Versus Kerangka Pengendalian Internal

Kerangka ERM yang lebih komprehensif menggunakan pendekatan berbasis risiko daripada berbasis
pengendalian. ERM menambahkan tiga elemen tambahan ke kerangka IC COSO: penetapan tujuan,
pengidentifikasian kejadian yang mungkin memengaruhi perusahaan, dan pengembangan sebuah
respons untuk resiko yang dinilai. Hasilnya, pengendalian bersifat fleksibel dan relevan. Jika seseorang
dapat memahami model ERM, maka akan lebih mudah untuk memahami model IC karena model IC
adalah 5 dari 8 komponen model ERM.

3. LINGKUNGAN INTERNAL

Lingkungan internal (internal environment), adalah budaya perusahaan yang merupakan fondasi dari
seluruh elemen ERM lainnya karena ini memengaruhi cara organisasi menetapkan strategi dan
tujuannya; membuat struktur aktivitas bisnis; dan mengidentifikasi, menilai, serta merespon risiko.

Sebuah lingkungan internal mencakup hal-hal sebagai berikut:

Filosofi manajemen, gaya pengoperasian, dan selera risiko.

Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi.

Pengawasan pengendalian internal oleh dewan direksi.

Struktur organisasi.

Metode penetapan wewenang dan tanggung jawab.

Standar-standar sumber daya manusia yang menarik, mengembangkan, dan mempertahankan individu
yang kompeten.

Pengaruh eksternal.

A. Filosofi Manajemen, Gaya Pengoperasian, dan Selera Risiko

Perusahaan juga memiliki selera risiko (risk appetite), yaitu jumlah risiko yang bersedia diterima oleh
sebuah perusahaan untuk mencapai tujuan dan sasarannya. Untuk menghindari risiko yang tidak
semestinya, selera risiko harus selaras dengan strategi perusahaan.

B. Komitmen Terhadap Integritas, Nilai Etis, dan Kompetensi

Perusahaan mendukung integritas dengan:

mengajarkan dan mensyaratkan secara aktif.

menghindari pengharapan atau insentif yang tidak realistis.

memberikan penghargaan atas kejujuran serta memberikan label verbal pada perilaku jujur dan tidak
jujur secara konsisten.
mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit perilaku-perilaku jujur dan
tidak jujur.

mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan mendisiplinkan pegawai
yang diketahui tidak melaporkannya.

membuat sebuah komitmen untuk kompetensi.

C. Pengawasan Pengendalian Internal Oleh Dewan Direksi

SOX mensyaratkan perusahaan publik untuk memiliki sebuah komite audit (Audit Committee) dari
dewan luar dan independen. Komite audit bertanggung jawab atas pelaporan keuangan, kepatuhan
terhadap peraturan, pengendalian internal, serta perekrutan dan pengawasan baik auditor internal
maupun eksternal, yang melaporkan seluruh kebijakan dan praktik akuntansi penting kepada komite
tersebut.

D. Struktur Organisasi

Aspek-aspek penting dari struktur organisasi menyertakan hal-hal sebagai berikut:

Sentralisasi atau desentralisasi wewenang.

Hubungan pengarahan atau matriks pelaporan.

Organisasi berdasarkan industri, lini produk, lokasi, atau jaringan pemasaran.

Bagaimana alokasi tanggung jawab mempengaruhi ketentuan informasi.

Organisasi dan garis wewenang untuk akuntansi, pengauditan, dan fungsi sistem informasi.

Ukuran dan jenis aktivitas perusahaan.

E. Metode Penetapan Wewenang dan Tanggung Jawab

Kebijakan dan prosedur manual adalah sebuah dokumen yang menjelaskan praktik bisnis yang sesuai,
mendiskripsikan pengetahuan dan pengalaman yang dibutuhkan, menjelaskan prosedur dokumen,
menjelaskan cara menangani transaksi, serta mendata sumber daya yang tersedia untuk melaksanakan
tugas-tugas tertentu.

F. Standar Sumber Daya Manusia yang Menarik, Mengembangkan, dan Mempertahankan Individu
yang Kompeten

Kebijakan SDM harus berisi tingkatan keahlian yang diperlukan, perilaku etis, dan integritas yang
diperlukan. Berikut ini merupakan kebijakan dan prosedur SDM yang penting.
Perekrutan. Para pegawai seharusnya dipekerjakan berdasarkan latar belakang pendidikan, pengalaman,
pencapaian, kejujuran dan integritas, serta persyaratan kerja yang sesuai. Kualifikasi pelamar dapat
dievaluasi menggunakan resume, surat referensi, wawancara, dan pengecekan latar belakang.
Pengecekan latar belakang yang teliti memuat pembicaraan berdasarkan referensi, pengecekan catatan
kriminal, pemeriksaan catatan kredit, dan melakukan verifikasi pendidikan, serta pengalaman kerja.

Mengompensasi, Mengevaluasi, dan Mempromosikan. Pegawai dengan kompensasi buruk cenderiung

merasakan dendam dan tekanan finansial yang dapat memotivasi penipuan. Para pegawai seharusnya
diberi penilaian kinerja periodik untuk membantu mereka memahami kekuatan dan kelemahan mereka.

Pelatihan. Pelatihan yang berkelanjutan membantu para pegawai menghadapi tantangan-tantangan

baru, tetap berada di depan dalam persaingan, beradaptasi dalam perubahan teknologi, dan secara
efektif menghadapi lingkungan yang berubah. Penipuan mungkin tidak akan terjadi ketika para pegawai
mempercayai bahwa keamanan adalah urusan setiap orang, bangga akan perusahaan mereka dan
protektif terhadap asetnya, serta mengakui ke[erluan untuk melaporkan penipuan.

Pengelolaan Para Pegawai yang Tidak Puas. Perusahaan membutuhkan prosedur untuk mengidentifikasi
pegawai yang tidak puas dan membantu mereka mengatasi perasaan itu atau memindahkan mereka
dari pekerjaan yang sensitif.

Pemberhentian. Para pegawai yang diberhentikan harus segera dipindahkan dari pekerjaan yang sensitif
dan ditolak aksesnya ke sistem informasi.

Liburan dan Rotasi Tugas. Skema penipuan yang mensyaratkan perhatian pelaku yang berkelanjutan
terungkap ketika pelaku beristirahat. Melakukan rotasi tugas pegawai secara periodik dan membuat
pegawai mengambil liburan dapat mencapai hasil yang sama.

Perjanjian Kerahasiaan dan Asuransi Ikatan Kesetiaan. Seluruh pegawai harus menandatangani dan
mematuhi sebuah perjanjian kerahasiaan. Asuransi ikatan kesetiaan melingkupi para pegawai kunci yang
melindungi perusahaan terhadap kerugiaan yang timbul dari tindakan penipuan yang disengaja.

Menuntut dan Memenjarakan Pelaku. Sebagian besar penipuan tidak dilaporkan atau dituntut karena
beberapa alasan:

Perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah bencana hubungan publik.

Penegak hukum dan pengadilan sibuk dengan kriminal kekerasan serta memiliki sedikit waktu dan
ketertarikan pada penipuan komputer.

Menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan waktu.

Banyak petugas penegak hukum, pengacara, dan hakim kurang memiliki kecakapan komputer yang
diperlukan untuk menyelidiki dan menuntut kejahatan komputer.
Hukuman untuk penipuan biasanya ringan.

Pengaruh Eksternal. Pengaruh eksternal meliputi persyaratan-persyaratan oleh bursa efek dan Financial
Accounting Standards Board (FASB), PCAOB, dan SEC.

4. PENETAPAN TUJUAN

Penetapan tujuan adalah komponen ERM yang kedua. Tujuan strategis (strategic objective) merupakan
sasaran tingkat tinggi yang disejajarkan dengan misi perusahaan, mendukungnya, serta menciptakan
nilai pemegang saham. Tujuan operasi (operation objective) yaitu tujuan yang berhubungan dengan
efektifitas dan efisiensi operasi perusahaan serta menentukan cara mengalokasikan sumber daya.
Tujuan pelaporan (reporting objective) membantu memastikan ketelitian, kelengkapan, dan
keterandalan laporan perusahaan; meningkatkan pembuatan keputusan; dan mengawasi aktivitas serta
kinerja perusahaan. Tujuan kepatuhan (compliance objective) membantu perusahaan mematuhi seluruh
hukum dan peraturan yang berlaku.

5. IDENTIFIKASI KEJADIAN

"Committee of Sponsoring Organization (COSO) mendefinisikan kejadian sebagai sebuah insiden atau
peristiwa positif atau negatif dari sumber-sumber internal dan eksternal yang memengaruhi
implementasi strategi atau pencapaian tujuan. Sebuah kejadian menunjukan ketikdakpastian; mungkin
atau tidak mungkin terjadi.

6. PENILAIAN RISIKO DAN RESPONS RISIKO

Risiko bawaan adalah kelemahan dari sebuah penetapan akun atau transaksi pada masalah
pengendalian yang signifikan tanpa adanya pengendalian internal. Risiko residual adalah risiko yang
tersisa setelah manajemen mengimplementasikan pengendalian internal atau beberapa respons lainnya
terhadap risiko. Manajemen dapat merespons risiko dengan salah satu dari empat cara berikut:

Mengurangi

Menerima

Membagikan

Menghindari

A. Memperkirakan Kemungkinan dan Dampak

 B. Mengidentifikasi Pengendalian

C. Memperkirakan Biaya dan Manfaat

D. Menentukan Efektivitas Biaya/Manfaat

E. Mengimplementasikan Pengendalian atau Menerima, Membagi, atau Menghindari Risiko

7. AKTIVITAS PENGENDALIAN

Aktivitas pengendalian adalah kebijakan, prosedur, dan aturan yang memberikan jaminan memadai
bahwa tujuan pengendalian telah dicapai dan respons risiko dilakukan. Manajemen harus memastikan
bahwa:

pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level yang dapat
diterima.

pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi.

aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan prosedur
perusahaan yang telah ditentukan.

Prosedur pengendalian dilakukan dalam kategori-kategori berikut:

Otorisasi transaksi dan aktivitas yang layak.

Pemisahan tugas; pemisahan tugas akuntansi, pemisahan tugas sistem.

Pengembangan proyek dan pengendalian akuisisi (perolehan).

Mengubah pengendalian manajemen.

Mendesain dan menggunakan dokumen serta catatan.

Pengamanan aset, catatan, dan data.

Pengecekan kinerja yang independen.

8. INFORMASI DAN KOMUNIKASI

Tujuan utama dari sistem informasi akuntasi (SIA) adalah untuk mengumpulkan, mencatat, memproses,
menyimpan, meringkas, dan mengkomunikasikan informasi mengenai sebuah organisasi.

Kerangka IC yang diperbarui merinci bahwa tiga prinsip berikut berlaku di dalam proses informasi dan
komunikasi:
Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk mendukung
pengendalian internal.

Mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab yang diperlukan
untuk mendukung komponen-komponen lain dari pengendalian internal.

Mengomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-pihak eksternal.

9. PENGAWASAN

Menjalankan Evaluasi Pengendalian Internal

Implementasi Pengawasan yang Efektif

Menggunakan Sistem Akuntansi Pertanggungjawaban

Mengawasi Aktivitas Sistem

Melacak Perangkat Lunak dan Perangkat Bergerak yang Dibeli

Menjalankan Audit Berkala

Mempekerjakan Petugas Keamanan Komputer dan Chief Compliance Officer

Menyewa Spesialis Forensik

Memasang Perangkat Lunak Deteksi Penipuan

Mengimplementasikan Hotline Penipuan.