SYSTEM
Gambaran Umum
Internal Control adalah proses yang diimplementasikan untuk memberikan jaminan bahwa
tujuan kontrol berikut ini tercapai:
▪ Melindungi aset - mencegah atau mendeteksi akuisisi, penggunaan, atau
disposisi yang tidak sah.
▪ Menyimpan catatan secara terperinci untuk melaporkan aset perusahaan
secara akurat dan adil.
▪ Memberikan informasi yang akurat dan dapat diandalkan.
▪ Menyiapkan laporan keuangan sesuai dengan kriteria yang ditetapkan.
▪ Mempromosikan dan meningkatkan efisiensi operasional.
▪ Dorong kepatuhan terhadap kebijakan manajerial yang ditentukan.
▪ Mematuhi hukum dan peraturan yang berlaku.
menjaga salinan backup dan file, perbaikan kesalahan entri data dan
pengumpulan ulang transaksi-transaksi untuk pemprosesan selanjutnya.
2
Visit us:
Kategori Internal Control :
COBIT 5 didasarkan pada lima prinsip Tata Kelola dan pemeliharaan TI:
4
Visit us:
Figure 1 COBIT 5 processes
5
Visit us:
Model tersebut mengidentifikasi lima proses tata kelola (Evaluate, Direct, and Monitor -
EDM) dan 32 proses manajemen:
▪ Align, Plan, and Organize (APO)
▪ Build, Acquire, and Implement (BAI)
▪ Deliver, Service and Support (DSS)
▪ Monitor, Evaluate and Assess (MEA)
6
Visit us:
Pengendalian Internal secara luas didefinisikan sebagai suatu proses, yang dipengaruhi oleh
dewan direksi, manajemen, dan personel lain dari suatu entitas, yang dirancang untuk
memberikan jaminan yang wajar mengenai pencapaian tujuan dalam kategori berikut:
1. Efektivitas dan efisiensi operasi
2. keandalan pelaporan keuangan.
3. kepatuhan dengan hukum dan peraturan yang berlaku.
Pengendalian internal ini memiliki lima komponen yang saling berkaitan di antaranya:
▪ Control environment
Ini merupakan fondasi dari komponen lainnya.
a. Filosofi manajemen, gaya operasi dan selera risiko
b. Komitmen terhadap integritas, nilai-nilai etika, dan kompetensi
c. Pengawasan kontrol internal oleh dewan direksi
d. Struktur organisasi
e. Metode pemberian wewenang dan tanggungjawab
f. Standar sumber daya manusia yang menarik mengembangkan
dan mempertahankan individu yang kompeten.
g. Pengaruh eksternal
▪ Control activities
Kebijakan dan prosedur pengendalian membantu memastikan bahwa tindakan
yang diidentifikasi oleh manajemen untuk mengatasi risiko dan mencapai tujuan
7
Visit us:
organisasi dilaksanakan secara efektif.
▪ Risk assessment
Organisasi harus mengidentifikasi, menganalisis, dan mengelola risikonya.
Manajemen harus mempertimbangkan perubahan dalam lingkungan eksternal
dan dalam bisnis yang mungkin menjadi penghalang untuk tujuannya.
a. Perkirakan kemungkinan dan dampaknya
b. Identifikasi kontrol
c. Perkirakan Biaya dan Manfaat
d. Tentukan efektivitas biaya /manfaat
e. menerapkan Kontrol atau Terima, bagikan atau hindari risiko
8
Visit us:
▪ Monitoring
Seluruh proses harus dipantau, dan modifikasi dibuat seperlunya sehingga
sistem dapat berubah sesuai kondisi.
Kerangka IC diperbarui pada tahun 2013, untuk menghadapi proses bisnis dan
kemajuan teknologi yang lebih baik dengan menambahkan 17 prinsip yang
membangun dan mendukung konsep.
ERM adalah sebuah kerangka COSO yang digunakan oleh dewan direksi dan manajemen
untuk mengatur strategi, mengidentifikasi kejadian yang mungkin memengaruhi entitas,
menilai, dan mengelola resiko, serta menyediakan jaminan memadai bahwa perusahaan
mencapai tujuan dan sasarannya.
9
Visit us:
Entity Objectives
▪ Strategic - tujuan tingkat tinggi selaras dengan dan mendukung misinya
▪ Operation - penggunaan sumber dayanya secara efektif dan efisien
▪ Reporting - keandalan pelaporan
▪ Compliance - kepatuhan terhadap hukum dan peraturan yang berlaku
Komponen ERM
Budaya perusahaan yang merupakan fondasi dari seluruh elemen ERM lainnya karena ini
memengaruhi cara organisasi menetapkan strategi dan tujuannya, membuat struktur
aktivitas bisnis, menilai, serta merespon resiko. Lingkungan internal yang lemah atau
tidak efesien seringkali menghasilkan kerusakan di dalam manajemen dan pengendalian
risiko. Lingkungan internal mencakup hal – hal berikut :
• Filosofi manajemen, gaya pengoprasian dan selera resiko
Filosofi itu memengaruhi segala hal yang dilakukan organisasi, jangka panjang dan
pendek, dan memengaruhi komunikasi mereka. Filosofi manajemen dan gaya
operasi akan mempengaruhi perilaku karyawan.
Perusahaan juga memiliki selera risiko (risk appetite), yaitu jumlah risiko
yang perusahaan bersedia untuk menerima demi mencapai tujuan dan
sasarannya. Selera risiko itu harus sejalan dengan strategi
perusahaan.
10
Visit us:
• Pengawasan pengendalian internal oleh dewan direksi
Dewan direksi yang aktif dan terlibat memainkan peran penting dalam
pengendalian internal, yaitu mengawasi manajemen, meneliti rencana,
kinerja, dan aktivitas manajemen, menyetujui strategi perusahaan, tinjau
hasil keuangan, dll.
• Struktur organisasi
Struktur organisasi perusahaan menetapkan garis wewenang, tanggung jawab, dan
pelaporannya. Memberikan kerangka kerja keseluruhan untuk perencanaan,
pengarahan, pelaksanaan, pengendalian, dan pemantauan operasinya.
• Pengaruh eksternal
Pengaruh eksternal yang memengaruhi lingkungan kontrol mencakup
persyaratan yang diberlakukan oleh IAI, OJK, komisi asuransi, badan pengatur
untuk bank, utilitas, dll.
Manajemen menentukan hal yang ingin dicapai oleh perusahaan sering disebut sebagai visi
dan misi perusahaan. Biasanya manajemen menentukan tujuan pada tingkatan
perusahaannya dan lalu membaginya ke dalam tujuan yang lebih spesifik untuk sub-unit
perusahaan. Objektif yang dibuat harus mudah dipahami dan diukur, diprioritaskan, dan
selaras dengan selera risiko perusahaan
11
Visit us:
• Operations objectives: Tujuan yang berhubungan dengan efektivitas dan
efisiensi operasi perusahaan dan menentukan bagaimana mengalokasikan
sumber daya
• Reporting objectives: Tujuan untuk membantu memastikan keakuratan,
kelengkapan, dan keandalan laporan perusahaan, meningkatkan pengambilan
keputusan dan memantau kegiatan dan kinerja perusahaan.
• Compliance objectives: Tujuan untuk membantu perusahaan mematuhi semua hukum dan
peraturan yang berlaku
Event merupakan Insiden atau kejadian positif atau negatif dari sumber internal atau
eksternal yang memengaruhi penerapan strategi atau pencapaian tujuan. COSO
mengidentifikasi banyak faktor internal dan eksternal yang dapat memengaruhi
peristiwa dan memengaruhi kemampuan perusahaan untuk menerapkan strategi dan
mencapai tujuan.
• Perusahaan biasanya menggunakan beberapa teknik untuk mengidentifikasi kejadian:
• Penggunaan sebuah daftar komprehensif dari kejadian yang potensial
• Pelaksanaan sebuah analisis internal
• Pengawasan terhadap kejadian-kejadian yang menjadi penyebab dan titik-
titik pemicu
• Pengadaan seminar dan wawancara
• Penggunaan data mining
• Penganalisisan proses-proses bisnis.
Risiko-risiko sebuah kejadian yang teridentifikasi dinilai dalam beberapa cara yang
berbeda yaitu kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan
kategori, dampak pada unit organisasi yang lain, serta berdasarkan pada sifat bawaan
(kelemahan dari sebuah penetapan akun atau transaksi pada masalah penegndalian
yang signifikan tanpa adanya pengendalian internal) dan residual (risiko yang tersisa
setelah manajemen mengimplementasikan pengendalian internal atau beberapa respon
lainya terhadap resiko). Adapun tahapan dalampenilaian resiko diantaranya :
12
Visit us:
• Memeperkirakan kemungkinan dan dampak
• Mengidentifikasi Pengendalian
• Memperkirakan biaya/manfaat
• Melakukan Respon terhadap resiko
Peran seorang akuntan ialah membantu manajemen merancang kontrol yang efektif
untuk mengurangi risiko yang melekat, mengevaluasi sistem kontrol internal untuk
memastikan mereka beroperasi secara efektif, dan enilai dan mengurangi risiko yang
melekat dengan menggunakan penilaian risiko dan strategi respons.
13
Visit us:
• Mengurangi • Membagikan
• Menerima • Menghindari
Merupakan tanggung jawab manajemen untuk mengembangkan sistem yang aman dan
terkontrol secara memadai. Kontrol jauh lebih efektif ketika dibangun di ujung depan.
Akibatnya, analis sistem, perancang, dan pengguna akhir harus dilibatkan dalam merancang
sistem kontrol berbasis komputer yang memadai.
Manajemen juga harus menetapkan serangkaian prosedur untuk memastikan kepatuhan dan
penegakan kontrol. Biasanya, ruang lingkup petugas keamanan informasi dan staf operasi.
Secara umum, prosedur kontrol termasuk dalam salah satu kategori berikut:
• Otorisasi transaksi dan kegiatan yang tepat
Otorisasi sering didokumentasikan dengan menandatangani inisialisasi, atau
memasukkan kode otorisasi. Biasanya setidaknya dua tingkat otorisasi:
Otorisasi umum : Manajemen memberi wewenang kepada karyawan untuk
menangani transaksi rutin tanpa persetujuan khusus.
Otorisasi khusus : Untuk aktivitas atau transaksi yang memiliki konsekuensi signifikan,
tinjauan dan persetujuan manajemen diperlukan. Misalnya untuk penjualan,
pengeluaran modal, atau penghapusan lebih dari batas dolar tertentu.
• Pemisahan tugas
Kontrol internal yang baik mensyaratkan bahwa tidak ada satu pun karyawan yang
diberikan tanggung jawab terlalu besar atas transaksi atau proses bisnis.
Pemisahan tugas akuntansi yang efektif dicapai ketika fungsi-fungsi berikut
dipisahkan:
AUTHorization — Menyetujui transaksi dan keputusan.
Recording — Mempersiapkan dokumen sumber; memelihara jurnal, buku besar,
atau file lain; menyiapkan rekonsiliasi; dan menyiapkan laporan kinerja.
CUStody — Menangani uang tunai, mengelola gudang persediaan, menerima cek
pelanggan yang masuk, menulis cek pada rekening bank organisasi.
14
Visit us:
mencerminkan praktik bisnis baru dan memanfaatkan kemajuan
teknologi informasi.
Manajemen perubahan adalah proses memastikan bahwa perubahan tidak
berdampak negative untuk keandalan system, keamanan, kerahasiaan, Integritas,
dan ketersediaan
• Desain dan penggunaan dokumen dan catatan
• Melindungi aset, catatan, dan data
• Pemeriksaan independen atas kinerja
Akuntan juga harus memahami catatan dan prosedur akuntansi, dokumen pendukung, dan
akun laporan keuangan spesifik yang terlibat dalam pemrosesan dan pelaporan
transaksi. Item-item sebelumnya memfasilitasi jejak audit yang memungkinkan untuk
transaksi ditelusuri dari asal ke laporan keuangan dan sebaliknya.
Kerangka kerja IC yang diperbarui menetapkan tiga prinsip berikut yang berlaku
untuk proses informasi dan komunikasi:
1) Dapatkan atau hasilkan informasi yang relevan dan berkualitas tinggi
untuk mendukung kontrol internal
2) Mengkomunikasikan informasi secara internal
3) mengomunikasikan masalah kontrol internal yang relevan ke eksternal
15
Visit us:
8. Monitoring (Pengawasan)
16
Visit us:
Kerangka ERM Baru (2017)
ERM - Integrasi dengan Strategi dan Kinerja.
Menyoroti pentingnya mempertimbangkan risiko baik dalam proses penetapan strategi
maupun dalam mendorong kinerja. Manajemen risiko perusahaan adalah tentang
memahami implikasi dari strategi dan kemungkinan strategi tidak selaras dengan
manajemen risiko untuk menetapkan tujuan. Manajemen risiko perusahaan meningkatkan
pemilihan strategi.
Terdiri dari lima komponen dan 20 prinsip, Kerangka kerja baru sekarang memiliki lima
komponen yang saling terkait:
1) Pemerintahan dan Budaya;
2) Strategi dan Penetapan Tujuan;
3) Kinerja;
4) Ulasan dan Revisi;
5) Informasi, Komunikasi dan Pelaporan.
17
Visit us:
Figure 9 Prinsip kunci ERM
18
Visit us:
Daftar Pustaka
Romney, M. B., & Steinbart, P. J. (2014). In Accounting Information System (pp. 189-213).
New York: Pearson.
19
Visit us: