Week 3
Internal Controls
LO 1 : Explain the concept of the organization include: core business, business strategy, business
functions, customers, suppliers, partners and business process
LO 2 : Describe the relationship of business processes and business activities, operating events,
information events and decision/management events, and REA modeling
OUTLINE MATERI :
1. Corporate Governance
2. Internal Control
3. Link financial reporting risks to financial statement assertions
4. Relate internal control to the COBIT and COSO frameworks
5. The enterprise risk model (ERM) and its components
6. Techniques for documenting a control system
A. CORPORATE GOVERNANCE
Segala sesuatu yang terjadi dalam suatu organisasi dengan tujuan untuk mengatur tujuan,
pengaturan resiko, pengukuran performa dan manajemen terkait dengan corporate governance.
Secara harafiah dapat diartikan bahwa corporate governance merupakan cara suatu organisasi
memimpin dan mengatur. Tujuan dari sistem corporate governance, seperti yang dideskripsikan
oleh Bushman dan Smith adalah:
1. Memastikan shareholder menerima informasi yang reliable terkait dengan nilai
perusahaan dan manager serta shareholder tidak berlaku curang terhadap nilai investasi
2. Memotivasi manager untuk memaksimalkan nilai perusahaan dengan pencapaian secara
personal.
B. IT GOVERNANCE
IT Governance merupakan fungsi dari BOD (Board of Directors) dan eksekutif tingkat atas
dalam suatu organisasi dalam memastikan organisasi telah menggunakan IT secara benar dan
konsisten dengan seluruh strategi organisasi. Institut IT Governance menyatakan terdapat 4
tujuan dari IT Governance, diantaranya:
Dengan 4 (empat) tujuan dispesifikasikan ke dalam lima area yang perlu diperhatikan oleh pihak
yang bertanggung jawab dalam pengaturan IT, diantaranya:
- Meningkatkan nilai
Memastikan IT dalam suatu organisasi beroperasi sesuai yang diharapkan dan
berkontribusi terhadap organisasi dalam produktifitas, profitability, customer satisfaction,
dan mudah digunakan. Pengukuran dalam area ini dapat mencakup accounting based
metrics, seperti return on investment dan cost saving.
- Mengatur resiko
Memastikan bahwa sumber daya IT organisasi diproteksi dan dapat disediakan secara
reliable serta beroperasional secara berkesinambungan, dan adanya disaster recovery plan
dalam mencegah permasalahan yang timbul
- Memappingkan IT dengan strategi
Memperhatikan kebutuhan dalam bisnis dan apa yang dilakukan bisnis, dimana
pengadaannya, serta role dalam IT yang dapat mendukung goalnya. Diperlukan
konsistensi diantara arahan dalam bisnis dan arahan dalam IT.
- Pengukuran performa
Sistem membutuhkan pengukuran performa dari IT dalam suatu organisasi. Pengukuran
dapat dilakukan dengan menggunakan balance scorecard.
- Pengaturan sumber daya
Memastikan bahwa sumber daya yang berhubungan dengan IT digunakan secara sesuai.
Sumber daya dapat termasuk orang dan teknikal infrastruktur.
D. INTERNAL CONTROL
Pengendalian intern (internal control) adalah proses untuk mencapai tujuan organisasi dalam
efektivitas dan efesiensi operasional, menghasilkan laporan keuangan yang dapat diandalkan dan
sesuai dengan kepatuhan hukum atau peraturan yang relevan.
Dalam internal control sering kali digunakan sebagai pengukuran suatu organisasi dalam
mencapai operasional yang efisien, pelaporan yang reliable, dan sesuai dengan aturan.
Pengendalian internal berperan untuk mencegah dan mendeteksi penggelapan dan melindungi
sumber daya baik yang terwujud maupun tidak terwujud.
Sumber lain menyatakan bahwa Internal control adalah istilah yang sangat populer dan
digunakan dalam penerapan sistem di dalam organisasi. Internal control yang ada di dalam
sebuah sistem yang mendukung pengambilan keputusan dan pelaksanaan kegiatan di dalam
sebuah organisasi, lazim disebut internal control system.
Tujuan penerapaan internal control dalam organisasi adalah:
Agar operasi atau kegiatan yang dijalankan organisasi dapat berjalan dengan efektif dan
efisien (organization’s operations are effective and efficient).
Agar setiap transaksi yang terjadi di dalam organisasi, dapat dicatat secara akurat (recorded
transactions are accurate).
Agar laporan keuangan yang dihasilkan dipercaya dan dapat dijadikan sebagai dasar
pengambilan keputusan manajemen (financial reporting is reliable).
4. Pemantauan (Monitoring)
Pemantauan terhadap sistem pengendalian intern akan dapat menemukan kekurangan
serta meningkatkan efektivitas pengendalian. Pengendalian intern dapat di monitor
dengan baik dengan cara penilaian khusus atau sejalan dengan usaha manajemen.
Pemantauan dapat dilakukan dari pihak dalam dan luar. Pihak dalam yang terlibat dalam
pemantauan adalah manajemen atas, auditor dalam dan karyawan, sedangkan pihak luar
yang terlibat adalah auditor luar dan badan pengawas.
Beberapa tipe auditor, diantaranya:
a. Internal auditor merupakan orang atau kelompok dalam suatu organisasi yang
secara independent untuk memeriksa, mengevaluasi dan monitoring terhadap
keefektivan dari sistem internal control perusahaan. Internal auditor akan melaporkan
ke pihak manajemen mengenai penemuan dan memberikan rekomendasi terhadap
control sistem. Beberapa tugas spesifik dari internal auditor, diantaranya :
Memeriksa informasi keuangan dan operasional, yang terdiri dari transaksi
individu dan proses pelaporan keuangan.
Mereview nilai ekonomi, efektivitas, dan efisiensi dari operasional organisasi.
Mereview kesesuaian dengan external laws dan peraturan.
b. Eksternal auditor
Peranan eksternal auditor berkorelasi dengan proses pelaporan keuangan yang
dihadapi perusahaan. Audit yang dilakukan harus dapat memastikan :
Transaksi yang terjadi telah dicatat dan dilaporkan
G. Identifikasi Resiko
Teknik yang efektif dalam mengidentifikasikan resiko adalah dengan melihat laporan keuangan
perlusahaan. Dalam proses pengukuran resiko memerlukan pemahaman yang baik terhadap
bisnis, operasional, proses bisnis, dan lingkungan.
L. General Control
General controls adalah semua yang berhubungan dengan sistem informasi dalam suatu
organisasi.
Meliputi:
Physical controls (kontrol secara fisik).
Segregation of duties (pembagian tugas).
User access (akses pengguna).
Systems development procedures (prosedur pengembangan sistem).
User awareness of risks (kesadaran akan risiko).
Data storage procedures (prosedur penyimpanan data).
M. Physical Controls
Adalah memberi perhatian dengan cara membatasi akses ke sumber daya fisik.
N. Segregation of Duties & User Access (Pemisahan Tugas & User Access)
Segregation Of Duties: melibatkan pemisahan tugas dan tanggung jawab
karyawan dengan cara yang memastikan bahwa seorang karyawan tidak dapat
melakukan penipuan tanpa terdeteksi.
Akses Pengguna: berhubungan dengan akses pengguna ke sistem dalam
organisasi.
O. Risk Awareness & Data Storage (Kesadaran Risiko & Penyimpanan Data)
Organisasi perlu memastikan bahwa pengguna sistem sadar akan ancaman
keamanan & risiko dan kebijakan organisasi yang diikuti.
Data adalah salah satu dari organisasi sumber daya yang paling berharga.
Kebijakan penyimpanan data yang tepat perlu dilaksanakan:
P. Input Controls :
- Bentuk Standarisasi
- Dokumen diberi nomor sebelumnya
- Urutan Cek
- Dokumen perubahan
- Entri data rutinitas
- Otomatis bentuk penyelesaian
- Prosedur otorisasi transaksi
- Total kumpulan
- Review independen
R. Pengeluaran Kontrol :
- Pengeluaran database