LECTURE NOTES

Business Process Fundamental

Week 3

Internal Controls

ISYS6300 - Business Process Fundamental

 LEARNING OUTCOMES

LO 1 : Explain the concept of the organization include: core business, business strategy, business
functions, customers, suppliers, partners and business process
LO 2 : Describe the relationship of business processes and business activities, operating events,
information events and decision/management events, and REA modeling

OUTLINE MATERI :
1. Corporate Governance
2. Internal Control
3. Link financial reporting risks to financial statement assertions
4. Relate internal control to the COBIT and COSO frameworks
5. The enterprise risk model (ERM) and its components
6. Techniques for documenting a control system

ISYS6300 - Business Process Fundamental

 ISI MATERI

A. CORPORATE GOVERNANCE
Segala sesuatu yang terjadi dalam suatu organisasi dengan tujuan untuk mengatur tujuan,
pengaturan resiko, pengukuran performa dan manajemen terkait dengan corporate governance.
Secara harafiah dapat diartikan bahwa corporate governance merupakan cara suatu organisasi
memimpin dan mengatur. Tujuan dari sistem corporate governance, seperti yang dideskripsikan
oleh Bushman dan Smith adalah:
1. Memastikan shareholder menerima informasi yang reliable terkait dengan nilai
perusahaan dan manager serta shareholder tidak berlaku curang terhadap nilai investasi
2. Memotivasi manager untuk memaksimalkan nilai perusahaan dengan pencapaian secara
personal.

Delapan prinsip dalam corporate governance terbagi atas :

1. Membangun pondasi yang kuat dalam manajemen
Prinsip ini mengacu bagaimana organisasi dibentuk, secara particular fokus pada board
and management, dimana pengaturan yang dilakukan board and management dievaluasi,
seperti distribusi otoritas diantara board member dan seluruh bagian organisasi. Secara
particular, pada bagian ini harus menspesifikasikan tanggung jawab dari board terhadap
design dan implementasi internal control.
2. Strukturisasi untuk penambahan nilai.
Pada bagian ini berfokus untuk memastikan jumlah direktur dengan kemampuan dan
posisi yang sesuai. Kecenderungan pada area ini menggabungkan antara eksekutif dan
noneksekutif /independent director. Eksekutif director merupakan direktur yang juga
merupakan full time employees dalam suatu perusahaan, dimana non eksekutif direktur
merupakan bagian dari board tapi tidak terlibat dalam operasional perusahaan.

ISYS6300 - Business Process Fundamental

 3. Mengedepankan etika dan bertanggung jawab terhadap pengambilan keputusan.
Bagian ini menekankan pada kebutuhan organisasi untuk memiliki aturan dalam
mengatur karyawan dan management. Hal ini dapat dihubungkan sebagai legal obligation
yang digunakan sebagai standar untuk deal dengan stakeholder.
4. Integritas pada pelaporan keuangan.
Prinsip ini mencakup pengukuran pada organisasi harus memperhatikan laporan keuagan
yang disediakan harus benar menggambarkan posisi keuangan perusahaan.
5. Tepat waktu dan penyeimbangan.
Prinsip ini bertujuan pada informasi apa saja yang akan dikomunikasikan ke investor,
dengan memperhatikan waktu dan kebenaran dari informasi yang disampaikan.
6. Respek terhadap hak shareholder.
Perusahaan sebagai bagian dari legal suatu organisasi memiliki pembagian kepemilikan
dan control. Perbedaan dari owner dalam suatu posisi akan membantu dalam penyediaan
informasi yang bervariasi sesuai dengan bidangnya.
7. Identifikasi dan mengatur resiko
Resiko dapat dioperasikan dengan dua cara, yaitu: menyediakan benefit (upside) atau
mengarahkan ke arah negative (downside). Prinsip ini membutuhkan board untuk
melakukan review terhadap resiko yang akan dihadapi dalam organisasi. Bagian terbesar
dalam proses risk management adalah pendirian dan monitoring terhadap sistem internal
control.
8. Membayar secara fair dan responsible
Sebuah organisasi harus dapat menampilkan hubungan diantara performa dan remunerasi
eksekutif, sehingga pemberian gaji dapat dilakukan secara adil.

B. IT GOVERNANCE
IT Governance merupakan fungsi dari BOD (Board of Directors) dan eksekutif tingkat atas
dalam suatu organisasi dalam memastikan organisasi telah menggunakan IT secara benar dan
konsisten dengan seluruh strategi organisasi. Institut IT Governance menyatakan terdapat 4
tujuan dari IT Governance, diantaranya:

ISYS6300 - Business Process Fundamental

 1. Memastikan IT digunakan atau diadopsi dalam suatu organisasi secara konsisten sesuai
dengan tujuan organisasi.
2. Menggunakan IT untuk menciptakan kesempatan bisnis dan keuntungan
3. Memastikan sumber daya IT dalam suatu organisasi digunakan secara benar
4. Memastikan organisasi memilki strategi pengaturan dan teknik yang sesuai

Dengan 4 (empat) tujuan dispesifikasikan ke dalam lima area yang perlu diperhatikan oleh pihak
yang bertanggung jawab dalam pengaturan IT, diantaranya:
- Meningkatkan nilai
Memastikan IT dalam suatu organisasi beroperasi sesuai yang diharapkan dan
berkontribusi terhadap organisasi dalam produktifitas, profitability, customer satisfaction,
dan mudah digunakan. Pengukuran dalam area ini dapat mencakup accounting based
metrics, seperti return on investment dan cost saving.
- Mengatur resiko
Memastikan bahwa sumber daya IT organisasi diproteksi dan dapat disediakan secara
reliable serta beroperasional secara berkesinambungan, dan adanya disaster recovery plan
dalam mencegah permasalahan yang timbul
- Memappingkan IT dengan strategi
Memperhatikan kebutuhan dalam bisnis dan apa yang dilakukan bisnis, dimana
pengadaannya, serta role dalam IT yang dapat mendukung goalnya. Diperlukan
konsistensi diantara arahan dalam bisnis dan arahan dalam IT.
- Pengukuran performa
Sistem membutuhkan pengukuran performa dari IT dalam suatu organisasi. Pengukuran
dapat dilakukan dengan menggunakan balance scorecard.
- Pengaturan sumber daya
Memastikan bahwa sumber daya yang berhubungan dengan IT digunakan secara sesuai.
Sumber daya dapat termasuk orang dan teknikal infrastruktur.

ISYS6300 - Business Process Fundamental

C. IT Governance Frameworks and Standards
IT Governance berhubungan dengan aktivitas yang berhubungan dengan lifecycle teknologi
dalam suatu organisasi:
1. Plan and organize
Tahapan ini merupakan tahapan awal, dimana pada tahapan ini mengidentifikasikan
awareness dan pengaturan IT dalam suatu organisasi. Beberapa pertanyaan yang diajukan
dalam tahapan ini, diantaranya:
- Seberapa baik mapping sumber daya IT terhadap strategi organisasi?
- Apakah sumber daya IT yang sekarang digunakan secara efektif?
- Seberapa jelas IT objectives memahami organisasi?
- Apakah kondisi IT saat ini sesuai dengan kebutuhan dari organisasi?
Pada tahapan awal ini, penekanan pada bagaimana sumber daya IT dalam suatu
organisasi dapat dimanage dan diaplikasikan. Seluruh pertanyaan di atas menggambarkan
tujuan untuk mencapai pemahaman dan awareness terhadap sumber daya IT, seperti
apakah ada masalah atau peluang yang dapat diambil dalam suatu organisasi.
2. Acquire and implement
Pada tahapan kedua ini, lebih berorientasi pada bagaimana solusi IT dapat diterapkan
dalam organisasi dan seberapa baik pemetaan pada proses organisasi yang saat ini.
Masalah kritikal pada tahapan ini adalah awareness terhadap kebutuhan bisnis, apa solusi
IT yang potensial dapat disediakan, serta bagaiman kebutuhan dan solusi potensial
dipetakan satu sama lain. Selain itu juga berorientasi pada pemilihan dan proses
implementasi yang akan menyediakan jaminan terhadap sistem yang diadopsi sesuai
dengan kebutuhan bisnis, diterapkan secara on time, dapat diimplementasikan dan dapat
berinteraksi dengan sistem yang berjalan.
3. Deliver and support
Pada tahapan ini, systems delivery menjadi focus utama, dengan berorientasi pada
implementasi sistem, integrasi dengan proses bisnis dan aktifitas serta bagaimana sistem
baru digunakan oleh pengguna dalam suatu organisasi. Sebagai contoh, ketika sistem

ISYS6300 - Business Process Fundamental

 baru diterapkan, apakah dapat menghandle data secara baik dan memenuhi kebutuhan
dan permasalahan kerahasiaan, keamanan, dan privasi.
4. Monitor and evaluate
Tahapan terakhir ini menekankan bagaimana sistem beroperasi dalam suatu organisasi,
pengaturan terhadap posisi dalam mendapatkan informasi mengenai sistem dan
operasional. Dibutuhkan pengukuran terhadap performa yang dapat digunakan sebagai
benchmarks atau target terhadap sistem baru, seperti halnya yang berlangsung pada
sistem berjalan.

D. INTERNAL CONTROL
Pengendalian intern (internal control) adalah proses untuk mencapai tujuan organisasi dalam
efektivitas dan efesiensi operasional, menghasilkan laporan keuangan yang dapat diandalkan dan
sesuai dengan kepatuhan hukum atau peraturan yang relevan.
Dalam internal control sering kali digunakan sebagai pengukuran suatu organisasi dalam
mencapai operasional yang efisien, pelaporan yang reliable, dan sesuai dengan aturan.
Pengendalian internal berperan untuk mencegah dan mendeteksi penggelapan dan melindungi
sumber daya baik yang terwujud maupun tidak terwujud.
Sumber lain menyatakan bahwa Internal control adalah istilah yang sangat populer dan
digunakan dalam penerapan sistem di dalam organisasi. Internal control yang ada di dalam
sebuah sistem yang mendukung pengambilan keputusan dan pelaksanaan kegiatan di dalam
sebuah organisasi, lazim disebut internal control system.
Tujuan penerapaan internal control dalam organisasi adalah:
 Agar operasi atau kegiatan yang dijalankan organisasi dapat berjalan dengan efektif dan
efisien (organization’s operations are effective and efficient).
 Agar setiap transaksi yang terjadi di dalam organisasi, dapat dicatat secara akurat (recorded
transactions are accurate).
 Agar laporan keuangan yang dihasilkan dipercaya dan dapat dijadikan sebagai dasar
pengambilan keputusan manajemen (financial reporting is reliable).

ISYS6300 - Business Process Fundamental

 Agar sistem pengelolaan risiko organisasi berjalan efektif untuk menunjang pengambilan
keputusan manajemen (risk management systems are effective).
 Agar semua keputusan dan kegiatan organisasi sesuai dan menaati hukum dan peraturan yang
berlaku dan sesuai dengan kebijakan dan prosedur intern organisasi (complies with laws and
regulations, internal policies, and internal procedures).

E. Komponen Kunci dari Pengendalian Intern

Terdapat istilah kunci dalam definisi Pengedalian Intern menurut Austrilian Auditing Standard
ASA 315 yang perlu dicatat. Ada tiga gambaran dalam definisi Pengendalian Intern menurut
ASA 315 yaitu:
1. Jaminan Layak
Pengendalian intern dirancang untuk menyediakan jaminan yang layak bahwa organisasi
memenuhi tujuannya.
2. Manajemen
Memberitahu orang-orang yang terlibat dalam pengendalian intern dan orang yang
mempengaruhi bagaimana mengoperasikan pengendalian intern.
3. Tujuan Pengendalian
Relasi untuk mengingat hubungan antara tujuan organisasi dan sistem kontrol organisasi.
Dalam tujuan analisis, “Australian Auditing Standar definition”, menyatakan:
a. Keandalan pelaporan keuangan
b. Efektivitas dan efisiensi dari operasi
Objek dari efektivitas dan efisiensi dari operasi meliputi tujuan khas yaitu operasi
yang menguntungkan serta melindungi sumber daya dari pencurian dan
penyalahgunaan
c. Sesuai dengan hukum dan regulasi yang berlaku

ISYS6300 - Business Process Fundamental

F. Elemen dalam Pengendalian Intern
Ada lima komponen kunci kontrol dalam tiga kontrol objektif yang disebutkan dalam Australian
Auditing Standard dan Committee of Sponsoring Organizations of the Treadway Commission
(COSO) yaitu:
1. Lingkungan Pengendalian (Control Environment)
Lingkungan pengendalian perusahaan mencakup sikap manjemen dan karyawan terhadap
pentingnya pengendalian yang ada dalam organisasi tersebut. Salah satu faktor yang
berpengaruh terhadap lingkungan pengendalian adalah filosofi manajemen dan gaya
operasi manajemen, struktur organisasi, dan praktik kepersonaliaan. Lingkungan
pengendalian ini sangat penting karena menjadi dasar keefektifan unsur-unsur
pengendalian intern yang lain.

Komponen tertentu dari lingkungan pengendalian yang harus diperhatikan

menurut ASA 315:
1. Komunikasi dan perilaku etis kepolisian dalam organisas
2. Komitmen dalam kompetisi
3. Filosofi manajemen dan gaya beroperasi
4. Struktur organisasi
5. Distribusi yang bertanggung jawab
6. Kebijakkan penerimaan tenaga kerja baru

2. Peniliaian Resiko (Risk Assesment)

Semua organisasi memiliki resiko. Dalam kondisi resiko pasti ada dalam aktivitas, baik
aktivitas yang berkaitan dengan bisnis maupun non bisnis. Suatu resiko yang telah di
identifikasi dapat di analisis dan di evaluasi sehingga dapat di perkirakan intensitas dan
tindakan yang dapat meminimalkannya. Resiko bisa sebagai kesalahan entri data di
tingkat transaksional pada tingkat yang lebih tinggi membuat dampak dari pelanggan
utama pindah ke pemasok lain yang bisa membawa penilaian persediaan dipertanyakan.

ISYS6300 - Business Process Fundamental

3. Aktivitas Pengendalian (Control Activites/Control Procedure)
Prosedur pengendalian ditetapkan untuk standarisasi proses kerja sehingga menjamin
tercapainya tujuan perusahaan dan mencegah atau mendeteksi terjadinya pengelapan dan
penyalahgunaan.

4. Pemantauan (Monitoring)
Pemantauan terhadap sistem pengendalian intern akan dapat menemukan kekurangan
serta meningkatkan efektivitas pengendalian. Pengendalian intern dapat di monitor
dengan baik dengan cara penilaian khusus atau sejalan dengan usaha manajemen.
Pemantauan dapat dilakukan dari pihak dalam dan luar. Pihak dalam yang terlibat dalam
pemantauan adalah manajemen atas, auditor dalam dan karyawan, sedangkan pihak luar
yang terlibat adalah auditor luar dan badan pengawas.
Beberapa tipe auditor, diantaranya:

a. Internal auditor merupakan orang atau kelompok dalam suatu organisasi yang
secara independent untuk memeriksa, mengevaluasi dan monitoring terhadap
keefektivan dari sistem internal control perusahaan. Internal auditor akan melaporkan
ke pihak manajemen mengenai penemuan dan memberikan rekomendasi terhadap
control sistem. Beberapa tugas spesifik dari internal auditor, diantaranya :
 Memeriksa informasi keuangan dan operasional, yang terdiri dari transaksi
individu dan proses pelaporan keuangan.
 Mereview nilai ekonomi, efektivitas, dan efisiensi dari operasional organisasi.
 Mereview kesesuaian dengan external laws dan peraturan.

b. Eksternal auditor
Peranan eksternal auditor berkorelasi dengan proses pelaporan keuangan yang
dihadapi perusahaan. Audit yang dilakukan harus dapat memastikan :
 Transaksi yang terjadi telah dicatat dan dilaporkan

ISYS6300 - Business Process Fundamental

  Asset dan Hutang dalam laporan keuangan dan transaksi dilaporkan sesuai yang
terjadi
 Asset yang terdaftar dimiliki organisasi dan hutang dilaporkan
 Jumlah dalam laporan keuangan telah dikalkulasi sesuai dengan standar akuntansi
 Seluruh dokumen diklasifikasikan berdasarkan standar akuntansi.

5. Informasi dan Komunikasi (Information And Communication)

Informasi dan komunikasi merupakan elemen yang penting dari pengendalian intern
perusahaan, informasi tentang lingkungan pengendalian, penilaian resiko, prosedur
pengendalian, dan pemantauan (monitoring) diperlukan oleh manajemen sebagai
pedoman operasional dan menjamin ketaatan dengan pelaporan hukum dan peraturan-
peraturan yang berlaku dalam perusahaan. Informasi ini juga diperlukan dari pihak luear
perusahaan. Manajemen dapat menggunakan informasi jenis ini untuk menilai standar
eksternal.

G. Identifikasi Resiko
Teknik yang efektif dalam mengidentifikasikan resiko adalah dengan melihat laporan keuangan
perlusahaan. Dalam proses pengukuran resiko memerlukan pemahaman yang baik terhadap
bisnis, operasional, proses bisnis, dan lingkungan.

H. Aktivitas Kontrol, Proses Bisnis, dan Akuntansi

Laporan keuangan memuat serangkaian pernyataan tentang peristiwa yang telah terjadi dan saldo
yang disajikan. Pertanyaan dalam rangkaian ini mewakili penilaian resiko konsep pengenalan.
Beberapa potensi kesalahan dalam proses ini:
- Kesalahan detail yang direkam dalam formulir sales order
- Data formulir sales order yang dimasukkan tidak benar
- Piutang usaha dan data penjualan yang diperbaharui tidak benar
- Sistem komputer tidak tersedia

ISYS6300 - Business Process Fundamental

 - Orang yang tidak sah mengakses komputer dan memasukkan transaksi, baik tidak tepat,
karena kurangnya pengetahuan dalam pemrosesan atau kesalahan, untuk motif penipuan
atau keuntungan pribadi.

I. Tipe Aktivitas Kontrol

Australian Auditing Standar ASA 315 “Identifying and Assessing the Risks Of Material
Misstatement through Understanding the Entity and Its Environment” mengklasifikasikan
aktivitas kontrol dalam lima tipe, yaitu:
1. Otoritas (Authorisation)
Otoritas adalah peduli dengan kegiatan dan prosedur yang diberlakukan untuk menjamin
transaksi dan peristiwa yang terjadi dilakukan oleh orang-orang dengan otoritas yang
tepat dan bahwa peristiwa tersebut telah tepat disetujui sebelum eksekusi dilakukan.
Contoh dari prosedur otoritas prosedur dalam kegiatan ini, yaitu memeriksa batas kredit
pelanggan sebelum melanjutkan penjualan dengan kredit atau mendapatkan persetujuan
manajer sebelum melakukan pembelian dalam jumlah besar atau pembelian yang tidak
teratur.
2. Ulasan Kinerja (Performance Review)
Ulasan kinerja adalah aktivitas yang masuk dalam beberapa formulir dari ulasan atau
analisis dari kinerja, biasanya mencari untuk membandingkan hasil aktual yang
diinginkan atau telah direncanakan.
3. Informasi Pengolahan Kontrol (Information Processing Control)
Informasi Pengolahan Kontrol adalah orang yang diletakkan di tempat dalam organisasi
untuk bekerja menuju akurasi, kelengkapan, dan otoritas transaksi.
4. Kontrol Fisik (Physical Control)
Kontrol fisik merujuk kepada orang kontrol yang diletakkan di tempat untuk secara fisik
melindungi sumber daya organisasi, termasuk untuk melindungi mereka dari resiko
pencurian atau kerusakan.

ISYS6300 - Business Process Fundamental

 5. Pemisahan Tugas (Segregation of Duties)
Konsep ini menyatakan bahwa fungsi kunci tertentu tidak harus dilakukan oleh orang
yang sama.

J. Information processing controls

• Akurasi (Accuracy)
Tujuan untuk memastikan bahwa semua data yang masuk ke sistem sudah benar dan
mencerminkan peristiwa aktual yang sedang direkam.
• Completeness
Tujuan untuk memastikan bahwa semua peristiwa yang terjadi dicatat dalam sistem.
• General controls
Kontrol yang berhubungan dengan lingkungan sistem informasi secara keseluruhan
terkomputerisasi.
• Application controls
Seabuah Kontrol yang dirancang untuk proses bisnis yang spesifik atau sejenis aplikasi.

K. Other Classification Schemes for Internal Controls :

Dua klasifikasi kontrol yang luas:
 Preventive, detektive, dan corrective
 Preventive Control :
Adalah sistem desain untuk menghentikan error atau penyimpangan yang terjadi.
 Detective Control :
Kontrol tidak akan mencegah kesalahan yang terjadi melainkan mereka
memperingatkan orang-orang yang menggunakan sistem untuk kesalahan dan anomali
seperti :
 Reconciliations
 Batch totals
 Independent reviews

ISYS6300 - Business Process Fundamental

  Corrective Control :
Dirancang untuk memperbaiki kesalahan atau penyimpangan yang telah terjadi
seperti :
 Disaster recovery plan
 Virus protection software

 Input, proses dan output

 Input Control :
Dirancang untuk mendeteksi kesalahan atau penyimpangan pada data yang pertama
kali masuk ke dalam system.
 Processing Control :
Diletakkan ditempat yang ditentukan untuk mendeteksi kesalahan atau penyimpangan
yang terjadi selama pengolahan data.
 Output Control :
Dirancang untuk melindungi output dari system.

L. General Control
General controls adalah semua yang berhubungan dengan sistem informasi dalam suatu
organisasi.
Meliputi:
 Physical controls (kontrol secara fisik).
 Segregation of duties (pembagian tugas).
 User access (akses pengguna).
 Systems development procedures (prosedur pengembangan sistem).
 User awareness of risks (kesadaran akan risiko).
 Data storage procedures (prosedur penyimpanan data).

M. Physical Controls
Adalah memberi perhatian dengan cara membatasi akses ke sumber daya fisik.

ISYS6300 - Business Process Fundamental

  Locked discrete computing premises
 Swipe card access
 Biometric access controls
 Onsite security
 Security cameras

N. Segregation of Duties & User Access (Pemisahan Tugas & User Access)
 Segregation Of Duties: melibatkan pemisahan tugas dan tanggung jawab
karyawan dengan cara yang memastikan bahwa seorang karyawan tidak dapat
melakukan penipuan tanpa terdeteksi.
 Akses Pengguna: berhubungan dengan akses pengguna ke sistem dalam
organisasi.

O. Risk Awareness & Data Storage (Kesadaran Risiko & Penyimpanan Data)
 Organisasi perlu memastikan bahwa pengguna sistem sadar akan ancaman
keamanan & risiko dan kebijakan organisasi yang diikuti.
 Data adalah salah satu dari organisasi sumber daya yang paling berharga.
Kebijakan penyimpanan data yang tepat perlu dilaksanakan:

P. Input Controls :
- Bentuk Standarisasi
- Dokumen diberi nomor sebelumnya
- Urutan Cek
- Dokumen perubahan
- Entri data rutinitas
- Otomatis bentuk penyelesaian
- Prosedur otorisasi transaksi
- Total kumpulan
- Review independen

ISYS6300 - Business Process Fundamental

Q. Pengolahan Kontrol :
- Run to Run Total
- Penyesuaian
- Batch totals
- Urutan cek
- Memotong Keseluruhan

R. Pengeluaran Kontrol :
- Pengeluaran database

ISYS6300 - Business Process Fundamental

 SIMPULAN

Corporate governance merupakan bagaimana cara perusahaan mengatur dalam

pembentukan value, memberlakukan perhitungan, dan control serta pengaturan resiko. Prinsip
dalam corporate governance akan mempengaruhi design dan operasional dalam organisasi.
Internal control berfokus pada pengukuran organisasi dalam membantu mencapai
efisiensi dalam operasional, reliable dalam laporan dan kesesuaian dalam prosedur yang berlaku.
Lima komponen control terdiri dari control environment, risk assessment, control
activities, information and communication, dan monitoring.

ISYS6300 - Business Process Fundamental

 DAFTAR PUSTAKA

Considine, Brett at all. (2012). Accounting Information Systems – Understanding business

processes. 04. Wiley. New York. ISBN: 978-0-7303-0247-6.

ISYS6300 - Business Process Fundamental