Nama : Netty Karmila Zahra

Nim : 193040303139
Kelas : Akuntansi D
Matkul : Sistem Informasi Akuntansi
Dosen : Dr. Y. Joni Pambelum, SE., M.Si

Tugas Resume
BAB 9
Konsep Pengendalian Intern
Pengendalian (control) adalah proses memperanguhi atau mengarahkan aktivitas
sebuah obyek, organisasi, atau sistem. Tujuan dilakukannya pengendalian adalah untuk
mencegah timbulnya kerugian bagi sebuah organisasi, yang timbul antara lain karena sebab-
sebab sebagai berikut :
 Penggunaan sumber daya yang tidak efisien dan boros
 Keputusan manajemen yang tidak baik
 Kesalahan yang tidak disengaja dalam pencatatan dan pemrosesan data
 Kehilangan atau kerusakan catatan secara tidak sengaja
 Kehilangan aktiva karena kecerobohan karyawan
 Tidak ditaatinya kebijakan manajemen dan peraturan lainnya oleh para karyawan
 Perubahan secara tidak sah terhadap SIA atau komponen-komponennya

ANCAMAN TERHADAP SISTEM INFORMASI AKUNTANSI

Ketika kompleksitas sistem dan ketergantungan kita terhadap informasi meningkat,
perusahaan menghadapi berbagai macam risiko yang juga semakin beraneka ragam jenisnya.
Secara garis besar, ada 4 jenis ancaman terhadap SIA, yaitu :
1. Bencana alam dan bencana politik, misalnya kebakaran, banjir, gempa bumi, perang,
angin topan, dan lain-lain
2. Kesalahan software dan tidak berfungsinya perangkat keras, seperti kegagalan
hardware, fluktuasi listrik dan instalasi yang tidak benar, kesalahan transmisi data yang
tidak terdeteksi
3. Tindakan-tindakan yang tidak disengaja, seperti kecelakaan, kecerobohan kerja, tidak
diikutinya prosedur standar, karyawan yang kurang terlatih atau kurang diawasi,
kesalahan yang tidak disengaja, kehilangan atau salah menempatkan data, kesalahan
logis, dan sistem yang tidak memenuhi kebutuhan perusahaan atau tidak mampu
menangani tugas yang telah ditetapkan
4. Tindakan yang disengaja (kriminal komputer), misalnya sabotase, kecurangan
komputer, dan korupsi

MENGAPA ANCAMAN TERHADAP SISTEM INFORMASI AKUNTANSI

MENINGKAT ?
Sebagian besar manajer SIA meyakini bahwa risiko pengendalian mengalami
peningkatan dalam beberapa tahun terakhir ini. Diantara berbagai penyebab meningkatnya
problem pengamanan adalah sebagai berikut :
 1. Kenaikan jumlah sistem client/server yang berakibat informasi tersedia untuk semua
karyawan. Komputer dan server berada di mana-mana.
2. Karena jaringan lokal (Local Area Network/LAN) dan sistem client/server
mendistribusikan data kepada banyak pemakai, mereka lebih sulit dikendalikan dan
diawasi dibandingkan sistem mainframe yang terpusat.
3. Wide Area Network (WAN) memberi peluang bagi pelanggan dan pemasok saling
mengakses masing-masing sistem dan data, maka persoalan kerahasiaan data menjadi
sesuatu yang harus memperoleh perhatian yang lebih.
Potensi terjadinya peristiwa yang tidak diinginkan atau kejadian yang berkebalikan
dengan harapan, yang dapat menyakiti sistem informasi akuntansi atau organisasi, disebut
dengan ancaman (threat). Potensi kerugian dalam rupiah jika ancaman tersebut benar-benar
terjadi, disebut dengan perwujudan (exposure) dari ancaman tersebut, dan kemungkinan
terjadinya ancaman disebut dengan risiko (risk).

KONSEP UMUM PENGENDALIAN

Pengendalian intern (internal control) adalah rencana organisasi dan metoda yang
digunakan untuk menjaga atau melindungi aktiva, menghasilkan informasi yang akurat dan
dapat dipercaya, memperbaiki efisiensi, dan untuk mendorong ditaatinya kebijakan
manajemen.
Pengendalian manajemen (management control) merupakan konsep yang lebih luas
dibandingkan dengan pengendalian intern, yang memiliki karakteristik sebagai berikut : (1)
merupakan bagian yang integral dari tanggung jawab manajemen, (2) dirancang untuk
mengurangi terjadinya berbagai kesalahan (error & irregularities), dan untuk mencapai
tujuan organisasi, dan (3) berorientasi kepada personil dan mencoba membantu karyawan
mencapai tujuan organisasi dengan mengikuti kebijakan organisasi.
Pengendalian administrasi (administrative control) adalah pengendalian yang
menjamin efisiensi operasional dan ketaatan kebijakan manajemen. Sebaliknya pengendalian
akuntansi (accounting control) adalah pengendalian yang bertujuan membantu menjaga
aktiva dan menjamin akurasi dan daya andal catatan keuangan perusahaan.
Struktur pengendalian intern (internal control structure) adalah kebijakan dan prosedur
yang ditetapkan untuk memberikan jaminan yang layak bahwa tujuan khusus organisasi akan
dicapai. Struktur pengendalian intern ini memiliki tiga elemen, yaitu :
1. Lingkungan pengendalian. Lingkungan pengendalian menggambarkan efek kolektif
dari berbagai faktor pada penetapan, peningkatan, atau penurunan efektivitas prosedur
dan kebijakan khusus.
2. Sistem akuntansi. Sistem akuntansi terdiri atas metoda dan catatan yang ditetapkan
untuk mengidentifikasi, merangkai, menganalisis, menggolongkan, mencatat, dan
melaporkan transaksi-transaksi perusahaan dan untuk memelihara akuntabilitas aktiva
dan kewajiban yang terkait.
3. Prosedur pengendalian. Prosedur pengendalian adalah kebijakan dan prosedur yang
ditambahkan ke lingkungan pengendalian dan sistem akuntansi yang telah ditetapkan
oleh manajemen untuk memberikan jaminan yang layak bahwa tujuan khusus
organisasi akan dicapai.
Klasifikasi Pengendalian Intern
Konsep pengendalian intern, pengendalian administrasi, pengendalian akuntansi, dan
pengendalian manajemen memiliki skop yang luas, dan dimaskudkan untuk menguraikan
seluruh sistem pengendalian. Prosedur pengendalian khusus yang digunakan dalam sistem ini
dapat diklasifikasikan ke dalam beberapa klasifikasi sebagai berikut :
Menurut tujuannya, pengendalian dikelompokkan menjadi tiga, yaitu pengendalian
preventif, pengendalian detektif, dan pengendalian korektif. Pengendalian preventif
dimaksudkan untuk mencegah masalah sebelum masalah tersebut benar-benar terjadi.
Pengendalian detektif dimaksudkan untuk menemukan masalah segera setelah masalah
tersebut terjadi. Pengendalian korektif dimaksudkan untuk memecahkan masalah yang
ditemukan oleh pengendalian detektif. Kegiatan pengendalian korektif ini mencakup tiga
langkah, yaitu : (1) mengidentifikasi penyebab munculnya sebuah masalah, (2) membetulkan
berbagai kesalahan yang terjadi, dan (3) memodifikasi sistem sehingga masalah yang sama di
masa mendatang dapat diminimumkan atau dieliminasi.
Menurut waktu pelaksanaannya, pengendalian dibagi menjadi dua kelompok, yaitu
(1) pengendalian umpan balik (feedback control), dan (2) pengendalian dini (feedforward
control). Feedforward control adalah pengendalian yang termasuk dalam kelompok
pengendalian preventif, karena jenis pengawasan ini memonitor proses dan input untuk
memprediksi kemungkinan masalah yang akan terjadi (potential problems). Jika masalah
dapat diidentifikasi sebelum masalah tersebut muncul, maka penyesuaian dapat dilakukan
untuk mencegah terjadinya. Feedback control adalah pengendalian yang masuk dalam
kelompok pengawasan detektif, karena jenis pengawasan ini mengukur sebuah proses dan
menyesuaikannya apabila terjadi penyimpangan dari rencana semula.
Menurut obyek yang dikendalikan, pengawasan dikelompokkan menjadi dua, yaitu :
(1) pengawasan umum (general control), dan (2) pengawasan aplikasi (application control).
Pengawasan umum adalah pengawasan yang dirancang untuk menjamin bahwa lingkungan
pengawasan organisasi mantap dan dikelola dengan baik untuk meningkatkan efektifitas
pengawasan aplikasi. Pengawasan aplikasi adalah pengawasan yang digunakan untuk
mencegah, mendeteksi, dan membetulkan kesalahan transaksi saat transaksi tersebut diproses.
Menurut tempat implementasi dalam siklus pengolahan data, pengawasan
dikelompokkan menjadi tiga, yaitu (1) pengawasan input, (2) pengawasan proses, dan (3)
pengawasan output. Pengawasan input dirancang untuk menjamin bahwa hanya data yang sah
(valid), akurat, dan diotorisasi saja yang dimasukkan ke dalam proses. Pengawasan proses
dirancang untuk menjamin bahwa semua transaksi diproses secara akurat dan lengkap, dan
semua file dan record di-update secara tepat. Pengawasan output dirancang untuk menjamin
bahwa keluaran sistem diawasi dengan semestinya. Berikut ini akan diuraikan bagaimana
menentukan apakah prosedur pengendalian yang efektif tersedia untuk mencapai tujuan
pengendalian.
The Foreign Corrupt Practices Act
Peraturan ini menghendaki bahwa semua perusahaan publik di Amerika mulai tahun
1977 memiliki catatan yang secara akurat dan jujur menggambarkan transaksi yang terjadi
dan kekayaan perusahaan secara rinci. Perusahaan harus menetapkan dan memelihara sebuah
sistem pengendalian akuntansi internal yang memadai untuk memberikan jaminan cukup
bahwa (1) transaksi diotorisasi dan dicatata secara tepat, (2) aktiva dijaga dan dilindungi dari
akses yang tidak sah, dan (3) nilai aktiva yang tercatat secara periodik dibandingkan dengan
kondisi fisik aktiva dengan toleransi tertentu apabila ada selisih, dan dilakukan tindakan yang
tepat terhadap selisih yang signifikan.
Tujuan utama dikeluarkannya peraturan ini adalah untuk mencegah upaya penyuapan
oleh pihak luar kepada pejabat perusahaan untuk memperoleh kesepakatan bisnis. Peraturan
ini juga mewajibkan semua perusahaan publik untuk memelihara sistem pengawasan
akuntansi intern yang baik.
The Study by Committee of Sponsoring Organization (COSO)
COSO adalah sebuah organisasi swasta yang beranggotakan the American Accounting
Association (AAA), AICPA, the Institute of Internal Auditor (IIA), the Institute of
Management Accountants (IMA), dan the Financial Executives Institute (FEI). Organisasi ini
pada tahun 1992 mengeluarkan hasil sebuah studi untuk menghasilkan definisi pengendalian
intern dan petunjuk untuk melakukan penilaian sebuah sistem pengendalian intern, yang
dikenal dengan model pengendalian intern (Internal Control Model).
Model pengendalian intern ini menetapkan pengendalian intern sebagai proses yang
diterapkan oleh dewan direktur, manajemen, dan untuk memberikan jaminan yang cukup
bahwa tujuan pengendalian berikut ini dapat dicapai, yaitu :
1. Efektivitas dan efisiensi operasi
2. Daya andal pelaporan keuangan
3. Kesesuaian dengan hukum dan peraturan yang berlaku
Pengendalian intern didefinisikan sebagai sebuah proses karena pengendalian intern ini
melekat dalam kegiatan operasional sebuah organisasi, dan merupakan bagian yang integral
dari aktivitas dasar manajemen seperti perencanaan, pelaksanaan, dan pemantauan kegiatan
organisasi. Berikut tabel komponen model pengendalian intern :

Komponen Deskripsi
Lingkungan Tulang punggung sebuah perusahaan adalah karyawan – meliputi atribut
pengendalian individu, seperti integritas, nilai etika, dan kompetensi – dan lingkungan
tempat karyawan tersebut bekerja. Mereka merupakan mesin penggerak
organisasi dan merupakan fondasi untuk komponen lainnya
Aktivitas Perusahaan harus menetapkan prosedur dan kebijakan pengendalian dan
pengendalian melaksanakannya, untuk membantu menjamin bahwa manajemen dapat
menetapkan tindakan-tindakan yang diperlukan untuk menghadapi
ancaman-ancaman yang muncul, sehingga tujuan organisasi dapat dicapai
secara efektif
Pengukuran risiko Organisasi harus menyadari dan waspada terhadap berbagai risiko yang
dihadapinya. Oleh karena itu, perusahaan harus menetapkan serangkaian
tujuan, yang terintegrasi dengan kegiatan penjualan, produksi, pemasaran,
keuangan, dan kegiatan lainnya sehingga organisasi dapat beroperasi
sebagaimana mestinya. Organisasi harus pula menetapkan mekanisme
untuk mengidentifikasi, menganalisis, dan mengelola risiko-risiko terkait.
Informasi dan Sistem informasi dan komunikasi mengitari kegiatan pengawasan. Sistem
komunikasi tersebut memungkinkan karyawan organisasi untuk memperoleh dan
menukar informasi yang dibutuhkan untuk melaksanakan, mengelola, dan
 mengendalikan kegiatan organisasi.
Pemantauan Seluruh proses bisnis harus dipantau, dan dilakukan modifikasi
seperlunya. Dengan cara ini, sistem akan bereaksi secara dinamis, yaitu
berubah jika kondisinya menghendaki perubahan.

Study by the Information Systems Audit and Control Foundation (ISACF)

The Information Systems Audit and Control Foundation (ISACF) beberapa waktu yang
lalu menyusun the Control Objective for Information and Related Technology (COBIT).
COBIT adalah sebuah rerangka kerja umum untuk pengamanan sistem informasi dan praktik
pengendalian untuk teknologi informasi. Dimensi pengendalian-pengendalian yang dituju
oleg rerangka COBIT adalah :

1. Untuk memuaskan tujuan bisnis, informasi yang dihasilkan perlu disesuaikan dengan
kebutuhan informasi oleh perusahaan. Kriteria informasinya adalah : efektifitas
(relevan, berhubungan, dan tepat waktu), efisiensi, kerahasiaan, integritas, ketersediaan,
kepatuhan terhadap hukum dan peraturan yang berlaku, dan daya andal.
2. Sumber daya teknologi informasi (manusia, sistem aplikasi, teknologi, fasilitas, dan
data)
3. Proses teknologi informasi (dibagi menjadi 4 domain : perencanaan dan
pengorganisasian, perolehan dan implementasi, pengiriman dan dukungan, dan
pemantauan).

LINGKUNGAN PENGENDALIAN

Komitmen kepada Integritas dan Nilai Etika

Perusahaan dapat menetapkan integritas sebagai sebuah prinsip dasar perusahaan dan
secara pribadi dan aktif melakukan sosialisasi sekaligus mempraktikannya.
Filosofi dan Gaya Operasi Manajemen. Komponen utama lingkungan pengawasan
adalah filosofi dan gaya operasi manajemen. Filosofi dan gaya operasi manajemen dapat
diukur dengan menjawab pertanyaan-pertanyaan berikut ini :
 Apakah manajemen berani menghadapi risiko untuk mencapai tujuan, atau apakah
manajemen menaksir risiko potensial dan menetapkan cara menanggulangi risiko
sebelum melaksanakan aktivitasnya ?
 Apakah manajemen berupaya untuk mengubah (memanipulasi) ukuran kinerja,
misalnya laba bersih, sehingga kinerja manajemen nampak baik?
 Apakah manajemen menekan karyawan untuk mencapai hasil yang diharapkan dengan
cara apapun? Atau apakah karyawan harus berperilaku baik? Atau dengan kata lain
apakah manajemen dapat memaafkan cara mencapai tujuan dengan menggunakan hasil
akhirnya?
Jawaban atas pertanyaan-pertanyaan tersebut merefleksikan filosofi dan gaya operasi
manajemen. Semakin bertanggung jawab filosofi dan gaya operasi manajemen, karyawan
semakin bertanggung jawab dalam mencapai tujuan organisasi.
Struktur Organisasi (Organizational Structure). Struktur organisasi sebuah
perusahaan menetapkan garis wewenang dan tanggung jawab, dan memberikan rerangka
menyeluruh untuk perencanaan, pengarahan, dan pengendalian operasi. Aspek penting dalam
struktur organisasi mencakup otoritas sentralisasi atau desentralisasi, wewenang penetapan
tanggung jawab untuk tugas khusus bagi departemen atau individu karyawan, cara-cara
alokasi tanggung jawab yang mempengaruhi persyaratan informasi manajemen, dan
organisasi fungsi sistem informasi dan akuntansi.
Komite Audit (The Audit Committee of the Board of Directors). Komite ini
bertanggungjawab untuk mengawasi struktur pengawasan intern perusahaan, proses
pelaporan keuangan, dan ketaatan terhadap hukum, peraturan, dan standar yang berlaku.
Komite ini tugasnya berkaitan erat dengan auditor eksternal dan internal. Salah satu tujuan
dibentuknya komite ini adalah untuk melakukan kaji ulang independen terhadap tindakan
manajer untuk kepentingan pemegang saham. Kaji ulang tersebut dimaksudkan sebagai
pengecekan terhadap integritas manajemen dan meningkatkan kepercayaan publik.
Metoda Penetapan Wewenang dan Tanggung Jawab (Methods of Assigning
Authority and Responsibility). Wewenang dan tanggung jawab biasanya diatur dan
ditetapkan dalam uraian tugas (Job description), pelatihan karyawan, rencana kegiatan,
jadual, dan anggaran. Alat yang penting untuk penetapan wewenang dan tanggung jawab
yang biasanya dipakai dalam berbagai organisasi adalah pedoman prosedur dan kebijakan
tertulis dalam sebuah buku pedoman. Buku pedoman ini bermanfaat sebagai referensi (acuan)
kerja para karyawan dan merupakan materi pelatihan yang bermanfaat bagi karyawan baru.
Praktik dan Kebijakan tentang Sumber Daya Manusia (Human Resources Policies
and Practices). Kebijakan dan praktik yang berkaitan dengan pengangkatan, pelatihan,
penilaian, penggajian, dan promosi memiliki pengaruh penting terhadap kemampuan
organisasi meminimumkan risiko pengawasan intern. Karyawan harus diangkat dan
dipromosikan atas dasar kapasitas dan kemampuan mereka dalam memenuhi persyaratan
jabatan. Untuk mendorong loyalitas dan efisiensi kerja, manajemen perlu menetapkan
kebijakan yang jelas tentang kondisi kerja, kompensasi, insentif, dan jenjang karier.
Pengaruh Eksternal (External Influences). Pengaruh eksternal mempengaruhi
lingkungan pengawasan organisasi, dan meningkatkan kesadaran manajemen akan
pentingnya prosedur dan kebijakan pengawasan intern. Pengaruh eksternal ini mencakup
peraturan dan ketentuan yang dikeluarkan oleh pasar modal, badan penyusun standar
akuntansi dan BAPEPAM. Peraturan lain yang juga terkait adalah peraturan tentang
perbankan dan lembaga keuangan lainnya.

AKTIVITAS PENGENDALIAN (CONTROL ACTIVITIES)

Aktivitas pengendalian adalah kebijakan dan aturan yang memberikan jaminan cukup
bahwa tujuan pengendalian manajemen dicapai. Umumnya aktivitas pengendalian dapat
dikelompokkan menjadi lima kelompok sebagai berikut :

1. Otorisasi yang tepat terhadap aktivitas dan transaksi

2. Pemisahan tugas
3. Perancangan dan penggunaan dokumen dan catatan yang memadai
4. Perlindungan yang memadai terhadap akses dan penggunaan aktiva dan catatan
5. Pengecekan independen terhadap kinerja
Otorisasi yang Tepat terhadap Transaksi dan Aktivitas. Otorisasi umumnya
didokumentasikan dengan menandatangani, memberi paraf, atau mencantumkan kode
otorisasi pada dokumen atau catatan yang mewakili transaksi. Karyawan yang memproses
transaksi harus mengecek ada tidaknya otorisasi pada sebuah dokumen atau bukti transaksi,
jika tidak ada maka transaksi tersebut bukan merupakan transaksi yang sah.
Otorisasi dibedakan menjadi dua, yaitu otorisasi umum dan otorisasi khusus. Otorisasi umum
adalah otorisasi yang diberikan oleh manajemen untuk menangani transaksi yang rutin terjadi
tanpa perlu menambahkan persetujuan khusus. Otorisasi khusus adalah otorisasi tambahan
yang diberikan oleh manajer yang lebih atas, jika transaksi yang akan dilaksanakan
menyimpang dari ketentuan yang telah ditetapkan oleh manajemen, misalnya untuk penjualan
di atas limit yang telah ditetapkan.
Pemisahan Tugas. Pemisahan tugas yang efektif mensyaratkan bahawa fungsi-fungsi
berikut ini dipisahkan :
 Otorisasi
 Pencatatan
 Penyimpanan
Tujuan dilakukannya pemisahan antara ketiga fungsi tersebut dapat dijabarkan sebagai
berikut :
 Pemisahan antara fungsi otorisasi dan pencatatan bertujuan untuk mencegah seorang
karyawan dari pencatatan yang tidak benar guna menutupi dilakukannya transaksi yang
tidak diotorisasi secara tepat
 Pemisahan antara fungsi otorisasi dan fungsi penyimpanan bertujuan untuk mencegah
otorisasi transaksi fiktif sebagai salah satu upaya untuk menyembunyikan pencurian
aktiva
 Pemisahan antara fungsi penyimpanan dan fungsi pencatatan bertujuan untuk mencegah
karyawan melakukan pencatatan yang tidak benar untuk menyembunyikan pencurian
aktiva yang dipercayakan kepadanya.
Perancangan dan Penggunaan Dokumen dan Catatan yang Memadai. Perancangan
dan penggunaan dokumen dan catatan yang tepat akan menjamin akurasi dan kelengkapan
pencatatan seluruh data relevan tentang transaksi.
Penjagaan yang Memadai terhadap Aktiva dan Catatan. Berikut ini prosedur-
prosedur untuk melindungi aktiva dari pencurian, penggunaan yang tidak sah, dan
vandalisme :
 Pengawasan dan pemisahan fungsi secara efektif
 Pemeliharaan akurasi catatan tentang aktiva termasuk informasi
 Pembatasan akses ke fasilitas fisik
 Perlindungan catatan dan dokumen.
 Pengendalian lingkungan
 Pembatasan akses ke ruang komputer, data komputer, dan informasi.
Pengecekan Independen terhadap Kinerja. Pengecekan ini harus independen karena
biasanya lebih efektif jika dilaksanakan oleh seseorang yang tidak terkait dengan kegiatan
perusahaan. Berbagai jenis pengecekan independen yang dapat dilakukan adalah sebagai
berikut :
 Rekonsiliasi antara dua cacatan. Contohnya : rekonsiliasi bank dilakukan untuk
menguji kesesuaian rekening kas dengan laporan bank. Contoh lain : pembandingan
 antara rekening buku besar piutang dan jumlah saldo rekening-rekening pembantu
piutang.
 Pembandingan catatan dengan jumlah fisik. Contohnya : kas yang ada dalam
register kas pada akhir setiap shift harus sama nilainya dengan nilai yang tercantum
dalam pita register kas. Contoh lain : seluruh persediaan barang harus dihitung
minimum setiap tahun, dan hasil perhitungannya dibandingkan dengan catatan
persediaan.
 Akuntansi Berpasangan. Salah satu implikasi dari penggunaan akuntansi berpasangan
adalah pencatatan setiap transaksi atau kejadian ekonomi ke dalam dua sisi catatan,
yaitu debit dan kredit.
 Jumlah Data Kelompok (Batch Total). Jenis-jenis jumlah data kelompok yang
digunakan dalam sistem komputer adalah sebagai berikut :
- Jumlah angka rupiah (financial totals) adalah penjumlahan field data rupiah
- Jumlah angka non rupiah (hash totals) adalah penjumlahan field data non rupiah,
yang biasanya tidak ditambahkan
- Penjumlahan data transaksi (record count) adalah penjumlahan dokumen yang
diproses
- Penghitungan baris (line count) adalah penjumlahan baris data yang dimasukkan ke
komputer
- Cross-footing balance test yaitu penjumlahan angka ke bawah (jumlah kolom) dan
penjumlahan angka ke kanan (jumlah baris), kemudian jumlah-jumlah tersebut
ditambahkan untuk memperoleh angka jumlah final. Kedua angka jumlah final
tersebut harus sama.
 Kaji Ulang Independen. Kaji ulang ini dilakukan dengan cara melakukan pemeriksaan
menyeluruh oleh seorang karyawana terhadap hasil kerja karyawan lain.

PERHITUNGAN RISIKO
Identifikasi Ancaman. Perusahaan harus mengidentifikasi berbagai ancaman yang
dihadapinya. Ancaman tersebut dapat berupa :
 Stratejik
 Operasi
 Finansial
 Informasi
Perusahaan yang menerapkan sebuah sistem EDI harus mengidentifikasi ancaman
sistem yang akan dihadapinya, seperti :
1. Pemilihan teknologi yang tidak tepat
2. Akses sistem tidak terotorisasi
3. Gangguan transmisi data
4. Kehilangan integritas data
5. Transaksi yang tidak lengkap
Estimasi Risiko. Berbagai ancaman menyebabkan risiko yang lebih besar, karena
kemungkinan terjadinya sangat besar.
 Estimasi Kerugian. Kerugian karena tindakan yang tidak disengaja bervariasi, mulai
dari kerugian kecil sampai kerugian besar, tergantung pada sifat kesalahan yang terjadi dan
berapa lama terjadinya.
Identifikasi Pengendalian. Dalam penilaian manfaat setiap prosuder pengendalian,
manajemen harus mempertimbangkan efektifitas dan ketepatan waktunya. Pengendalian ada
dua, yaitu pengendalian preventif dan detektif. Pengendalian preventif dan detektif saling
melengkapi satu sama lain, dan sebuah sistem pengendalian intern harus memanfaatkan
keduanya.
Estimasi Manfaat dan Pengorbanan. Dalam proses pengukuran manfaat dan
pengorbanan, pengukuran pengorbanan umumnya lebih mudah dihitung secara kuantitatif.
Elemen pengorbanan yang utama adalah personalia, termasuk waktu yang diperlukan untuk
melaksanakan prosedur pengendalian, biaya pengangkatan tambahan tenaga kerja untuk
mencapai pemisahan fungsi yang efektif, dan biaya pemrograman pengendalian ke dalam
sistem komputer.
Menentukan Efektivitas Manfaat – Pengorbanan. Setelah mengestimasi manfaat
dan pengorbanan, manajemen menentukan apakah pengorbanan untuk melaksanakan sebuah
aktivitas pengendalian sebanding dengan manfaat yang diperolehnya.

INFORMASI DAN KOMUNIKASI

Tujuan utama sebuah SIA adalah mencatat, memproses, menyimpan, dan
mengkomunikasikan informasi tentang sebuah organisasi. Dengan demikian, tujuan SIA
adalah sebagai berikut : (1) mengidentifikasi dan mencatat seluruh transaksi yang valid/sah,
(2) menggolongkan transaksi secara tepat, (3) mencatat transaksi sesuai dengan nilai
moneternya, (4) mencatat transaksi dalam periode akuntansi yang tepat, dan (5) menyajikan
transaksi dan informasi lainnya secara tepat dalam laporan keuangan.
Cara pelaporan informasi kepada para pengguna tergantung pada faktor-faktor sebagai
berikut :
1. Jenis output : softcopy atau hardcopy
2. Teknologi informasi yang dipakai
3. Jenis laporan yang dihasilkan

PEMANTAUAN KINERJA
Ada beberapa metoda kunci (pokok) dalam melakukan pemantauan kinerja, yaitu : (1)
supervisi yang efektif, (2) pelaporan pertanggungjawaban, dan (3) internal auditing.
Supervisi yang efektif mencakup : (1) pelatihan dan asistensi karyawan, (2) pemantauan
kinerja karyawan, (3) koreksi kesalahan, dan (4) penjagaan aktiva dengan cara memantau
karyawan yang memiliki akses ke aktiva tersebut.
Pelaporan pertanggungjawaban mencakup : (1) anggaran, kouta, skedul/jadual, biaya
standar, kualitas standar, (2) laporan kinerja, yang berisi informasi realisasi rencana, rencana
(anggaran), dan selisih keduanya, (3) prosedur untuk menyelidiki selisih yang jumlahnya
signifikan dan prosedur untuk menindaklanjuti penyimpangan dari rencana.
Internal auditing mencakup aktivitas pengkajian terhadap daya andal dan integritas
informasi operasi dan keuangan, dan memberikan suatu penilaian terhadap efektifitas
pengawasan intern. Aktivitas yang dilakukan mencakup : (1) penilaian ketaatan karyawan
terhadap kebijakan manajemen, prosedur dan peraturan serta hukum yang berlaku, dan (2)
penialaian efektifitas dan efisiensi manajemen.

THE SARBANES OXLEY ACT OF 2002 (SOX)

SOX merupakan konsep yang dirancang untuk memperkuat pengendalian intern

perusahaan dan diterapkan pada perusahaan publik dan auditornya.

Tujuan utama SOX adalah untuk : (1) mencegah kecurangan laporan keuangan, (2)
menjadikan pelaporan keuangan lebih transparan, (3) melindungi para investor, (4)
memperkuat pengendalian intern dalam perusahaan publik, dan (5) menghukum para
eksekutif yang bertanggung jawab terhadap kecurangan.

Aspek penting dari SOX mencakup :

1. Terbentuknya Public Company Accounting Oversight Board (PCAOB) – Badan

Pengawas Akuntansi Perusahaan Publik – untuk mengawasi profesi auditing.
2. Aturan-aturan baru bagi auditor – Mereka harus melaporkan informasi khusus kepada
komite audit perusahaan.
3. Aturan-aturan baru untuk komite audit.
4. Aturan-aturan baru bagi manajemen.
5. Persyaratan baru pengendalian intern

FRAMEWORK ENTERPRISE RISK MANAGEMENT (ERM) COSO

Hasil dari proses manajemen risiko adalah berupa rerangka terintegrasi untuk
mengelola risiko perusahaan (Enterprise Risk Manage Integrated Framework), yang
selanjutnya disebut dengan ERM COSO.

Maksud dari ERM adalah untuk mencapai seluruh tujuan framework pengendalian
intern dan membantu organisasi dalam :

1. Memberikan jaminan layak bahwa tujuan dan sasaran perusahaan dicapai dan berbagai
masalah dapat diminimumkan.
2. Mencapai target kinerja dan keuangan.
3. Menghitung risiko secara berkelanjutan dan mengidentifikasi langkah-langkah yang
akan diambil dan sumberdaya yang harus dialokasi untuk menaggulangi risiko
4. Menghindari publikasi negatif yang dapat merusak reputasi perusahaan
Prinsip dasar dibalik ERM bahwa perusahaan didirikan untuk mencipatakan nilai bagi
para pemilik, oleh karena itu, manajemen harus memutuskan berapa banyak ketidakpastian
yang akan mereka terima. Ketidakpastian dapat berakibat risiko dan peluang.
Berikut elemen-elemen rerangka dari pengendalian COSO :
Empat jenis objectives yang harus dipenuhi manajemen untuk mencapai sasaran (goal)
perusahaan :
1. Strategic objectives (Tujuan sratejik)
2. Operations objectives (Tujuan operasi)
 3. Reporting objectives (Tujuan pelaporan)
4. Compliance objectives (Tujuan kepatuhan)
Empat unit-unit organisasi yang terdapat pada ERM :
1. Entire company, yaitu perusahaan secara keseluruhan
2. Division, yaitu divisi atau departemen dalam perusahaan
3. Business unit, yaitu unit usaha yang dijalankan oleh perusahaan
4. Subsidiary, yaitu anak-anak perusahaan.
Delapan komponen pengendalian pada ERM :
1. Internal environment
2. Objective setting
3. Event identification
4. Risk assessment
5. Risk response
6. Control activities
7. Information and communication
8. Monitoring
Model ERM memiliki 3 dimensi. Artinya bahwa setiap 8 risiko dan elemen
pengendalian diterapkan ke dalam 4 tujuan ke seluruh bagian dalam organisasi.
Framework ERM versus Framework Pengendalian Intern
Framework internal control telah diadopsi secara luas sebagai cara yang tepat untuk
mengevaluasi pengendalian intern seperti yang disyaratkan oleh SOX.
ERM melengkapi dan bukan mengganti framework pengendalian internnya COSO dan
lebih komprehensif dibanding pendahulunya. ERM berisi 3 elemen tambahan sebagai
berikut : (1) penetapan tujuan, (2) identifikasi kejadian-kejadian positif dan negatif yang
mempengaruhi kemampuan perusahaan untuk menerapkan strategi dan pencapaian tujuan,
dan pengembangan respon untuk menghitung risiko.

LINGKUNGAN INTERNAL

Lingkungan internal merupakan komponen yang paling penting dalam framework ERM
dan pengendalian intern. Lingkungan internal terdiri dari :

1. Filosofi, gaya operasi, dan sensitifitas risiko manajemen

2. Board of directors
3. Komitmen terhadap integritas, nilai etika, dan kompetensi
4. Struktur organisasi
5. Metoda penetapan wewenang dan tanggung jawab.
6. Standar SDM
7. Pengaruh eksternal

Filosofi, Gaya Operasi, dan Sensitifitas Risiko Manajemen

Manajemen sebuah organisasi memiliki keyakinan dan sikap yang hampir sama
(shared belief and attitude) tentang risiko. Filosofi ini mempengaruhi semua hal yang
dilakukan manajemen, jangka pendek dan jangka panjang, dan mempengaruhi
komunikasinya. Perusahaan juga memiliki sensifitas risiko (risk appetite), yaitu sejumlah
risiko yang dapat diterima oleh perusahaan untuk mencapai tujuan dan sasarannya. Semakin
baik filosofi dan gaya operasi manajemen, karyawan cenderung semakin bertanggung jawab.

Board of Directors

Keterlibatan dan keaktifan dewan direktur memainkan peranan penting dalam

pengendalian intern. Mereka harus mengawasi manajemen, memantau dan mengawasi
rencana, kinerja, dan aktivitas manajemen, menyetujui/mengesahkan strategi perusahaan, me-
review hasil dan kinerja keuangan, setiap tahun me-review kebijakan keamanan perusahaan,
dan berinteraksi dengan auditor intern dan ekstern.

Direktur harus memiliki keahlian, pengetahuan, dan pengalaman di bidang manajemen,

teknis, atau keahlian lain yang relevan; harus independen; tidak memiliki hubungan afiliasi
dengan perusahaan atau anak-anak perusahaan.

Komitmen terhadap Integritas, Nilai Etika, dan Kompetensi

Manajemen harus menciptakan sebuah kultur organisasi yang menekankan pada

integritas dan komitmen terhadap nilai etika dan kompetensi. Standar perilaku etika akan
menghasilkan good business dan menempati posisi di paling atas. Perusahaan dapat
mengesahkan integritas sebagai sebuah prinsip operasi dasar dengan secara aktif mengajarkan
dana mewajibkannya. Oleh karena itu, manajemen harus memperjelas bahwa laporan yang
jujur lebih penting dibandingkan laporan yang menguntungkan.

Struktur Organisasi

Aspek penting dalam struktur organisasi adalah :

 Derajat sentralisasi atau desentralisai

 Penetapan tanggung jawab untuk tugas khusus
 Hubungan pelaporan langsung (direct-reporting) atau struktur matriks
 Organisasi berdasarkan industri, produk, lokasi geografi, jaringan pemasaran
 Bagaimana alokasi tanggung jawab mempengaruhi kebutuhan informasi oleh
manajemen
 Organisasi fungsi akuntansi dan sistem informasi
 Ukuran dan sifat aktivitas perusahaan

Metoda Penetapan Wewenang dan Tanggung Jawab

Manajemen harus memastikan bahwa karyawan memahami tujuan perusahaan,

menetapkan wewenang dan tanggung jawab untuk pencapaian tujuan perusahaan kepada
setiap departemen dan individu, mendorong para karyawan untuk melakukan inisiatif dalam
penyelesaian persoalan (solving problem) dan memastikan mereka bertanggung jawab untuk
mencapai tujuan.
 Wewenang dan tanggung jawab ditetapkan melalui deskripsi tugas formal, pelatihan
karyawan, rencana operasi jadual, dan anggaran, codes of conduct yang mendefinisikan
perilaku etika, acceptable practices, regulatory requirements, dan conflicts of interest, dan
manual kebijakan dan prosedur tertulis (a good job reference and job training tool).

Standar SDM

Organisasi dapat menerapkan praktik dan kebijakan SDM yang menyangkut

pengangkatan, pelatihan, penggajian, penilaian, konseling, promosi, dan pemberhentian
karyawan yang mengirim pesan tentang jenjang kompetensi dan perilaku etis yang
diperlukan. Prosedur dan kebijakan penting yang menyangkut SDM antara lain
pengangkatan, penggajian, pelatihan, evaluasi dan promosi, pemberhentian, pengelolaan
karyawan yang disgruntled, libur/cuti dan rotasi tugas, confidentiality insurance and fidelity
bonds.

Pengangkatan. Rekturmen dan pengangkatan karyawan harus didasarkan pada latar

belakang pendidikan, pengalama kerja yang relevan, kinerja masa lalu, kejujuran dan
integritas, dan kecocokan kandidat memenuhi persyaratan tugas tertulis.

Penggajian. Para karyawan harus dibayar dengan gaji yang fair dan kompetitif.

Kebijakan pelatihan. Program pelatihan harus memahamkan karyawan baru tentang

tanggung jawab, kinerja dan perilaku yang diharapkan, kebijakan, prosedur, sejarah, kultur,
dan gaya operasi perusahaan. Training dapat dilakukan dengan cara : (a) melakukan diskusi
informal, (b) pertemuan formal, (c) pemberitahuan periodik, (d) pedoman tertulis, (e) kode
etik profesional, (f) ederan tentang perilaku tidak etis dan konsekuensinya, dan (g)
mempromosikan program pelatihan keamanan dan kecurangan.

Evaluasi dan promosi – karyawan harus dinilai kinerjanya secara periodik untuk
membantu para karyawan memahami kekuatan dan kelemahannya. Promosi karyawan harus
didasarkan pada kinerja dan kualifikasi karyawan untuk sebuah posisi.

Pemberhentian. Untuk mencegah sabotase atau pengkopian data rahasia milik

perusahaan, karyawan yang bermasalah harus segera dijauhkan dari pekerjaan atau tugas
penting atau sensitif sesegera mungkin dan lucuti semua fasilitas akses ke sistem informasi.

Pengelolaan karyawan yang bermasalah. Organisasi dapat mencoba mengurangi

tekanan karyawan melalui saluran komplain dan konseling.

Liburan dan rotasi tugas. Liburan wajib atau rotasi tugas perlu diterapkan guna
mencegah kecurangan atau bisa melakukan deteksi dini. Cara ini hanya efektif jika orang
lain yang mengerjakan pekerjaan tersebut sedangkan karyawan reguler berada ditempat lain.

Confidentiality insurance and fidelity bonds. Para karyawan, pemasok, dan kontraktor
harus diminta untuk menandatangani dan mentaati persetujuan yang bersifat nondisclosure
atau confidentiality.
Pengaruh Eksternal

Pengaruh eksternal yang mempengaruhi lingkungan pengendalian mencakup aturan-

aturan yang dikeluarkan oleh Bapepam, Pemerintah, Bank Indonesia, Dewan Standar
Akuntansi Keuangan, dan lain-lain.

PERUMUSAN TUJUAN (OBJECTIVE SETTING)

Perumusan tujuan adalah komponen ERM kedua. Perusahaan menggunakan mission

statement sebagai dasar untuk menetapkan tujuan perusahaan. Tujuan stratejik, yaitu tujuan
jenjang korporat yang mendukung misi perusahaan dan dimaksdukan untuk menciptakan
nilai bagi para pemegang saham harus ditentukan paling awal. Tujuan operasional yang
merupakan produk dari preferensi, judgment, dan style manajemen, sangat bervariasi diantara
entitas. Tujuan operasi dipengaruhi oleh dan harus relevan dengan industri, kondisi ekonomi,
dan tekanan kompetitif.

IDENTIFIKASI PERISTIWA (EVENT IDENTIFICATION)

COSO mendefisinikan event adalah kejadian yang berasal dari sumber intern atau
ekstern, yang mempengaruhi implementasi strategi atau pencapaian tujuan. COSO
mengidentifikasi banyak faktor internal dan eksternal yang dapat mempengaruhi event dan
kemampuannya untuk mengimplementasikan strategi dan mencapai tujuan. Faktor-faktor
tersebut meliputi :

1. Faktor eksternal
a. Faktor ekonomi
b. Lingkungan alam
c. Faktor-faktor politik
d. Faktor-faktor sosial
e. Faktor-faktor teknologi
2. Faktor – faktor internal
a. Infrastruktur
b. Personel
c. Proses
d. Teknologi

Identifikasi event pada jenjang aktivitas dan jenjang entitas memungkinkan perusahaan
untuk memfokuskan pada penilaian risiko pada unit atau fungsi bisnis utama dan membantu
mengaitkan risk tolerance dan risk appetite perusahaan. Perusahaan biasanya menggunakan
dua atau lebih teknik berikut ini untuk mengidentifikasi event :

 Menggunakan daftar lengkap event potensial

 Melakukn analisis internal
 Memonitor leading events dan trigger points
 Melaksanakan workshops dan interview
  Melaksanakan data mining dan analisis data
 Menganalisis proses bisnis

PENGUKURAN RISIKO DAN RESPON TERHADAP RISIKO ( RISK ASSESMENT

AND RISK RESPONSE)

Komponen keempat dan kelima dari model ERM COSO adalah pengukuran risiko dan respon
risiko. 2 jenis risiko yaitu : Inherent risk dan Residual risk. Perusahaan harus menilai
inherent risk, mengembangkan sebuah respon, dan menilai residual risk. 4 cara untuk
merespon risiko yaitu : Menguranginya, menerimanya, membaginya, dan
menghindarinya.

Mengestimasi Kemungkinan Terjadinya Ancaman dan Pengaruhnya.

Sebagian event berpotensi merugikan perusahaa jika sampai benar-benar terjadi. Pengaruh
kecurangan biasanya tidak besar, karena kecurangan pada umumnya tidak mengancam
keberadaan perusahaan.

Mengidentifikasi Pengendalian

Manajemen harus mengidentifikasi alternatif pengendalian yang akan melindungi perusahaan

dari setiap event.

Estimasi Manfaat dan Pengorbanan

Salah satu cara untuk mengestimasi nilai pengendalian intern adalah menghitung taksiran
rugi, dengan persamaan matematika berikut ini :

Expected loss = Impact x likelihood

Nilai sebuah prosedur pengendalian adalah selisih antara expected dengan prosedur
pengandalian dan expected loss tanpa prosedur pengendalian.

Penentuan Efektivitas Cost-Benefit

Dalam penilaian kos dan benefit, manajemen harus mempertimbangkan faktor-faktor selain
perhitungan benefit yang diharapkan.

Menerapkan Pengendalian atau Hindari, Bagi, atau Terima Risiko

Risiko yang tidak dapat dikurangi harus diterima, dibagi atau dihindari. Pengurangan atau
pembagian respon digunakan untuk mengubah residual risk ke dalam sebuah acceptable risk
tolerance range.

AKTIVITAS PENGENDALIAN (CONTROL ACTIVITIES)

Aktivitas pengendalian adalah kebijakan, prosedur, dan aturan yang memberikan jaminan
layak bahwa tujuan dicapai dan respon risiko dapat dilaksanakan. Pada umumnya, prosedur
pengendalian dikelompokkan ke dalam jenis-jenis sebagai berikut :

1. Otorisasi transaksi dan aktivitas yang tepat

Manajemen menetapkan kebijakan dan memberdayakan karyawan untuk melaksanakan
aktivitas sesuai kebijakan manajemen. Pemberdayaan ini disebut authorization
(otorisasi) dan merupakan bagian penting dalam sebuah prosedur pengendalian.
Otorisasi ada 2, yaitu : otorisasi umum dan otorisasi khusus.
2. Pemisahan tugas
Pemisahan tugas/fungsi mecakup pemisahan tugas akuntansi dan pemisahan tugas
dalam fungsi sistem.
Pemisahan tugas akuntansi : otorisasi, pencatatan, penyimpanan
Pemisahan tugas dalam fungsi sistem : administrasi sistem, manajemen jejaring,
manajemen keamanan, manajemen perubahan, para pengguna, analisis sistem,
pemrograman, operasi komputer, perpustakaan sistem informasi, dan
pengawasan data.
3. Pengendalian pengembangan sistem dan perolehan sistem
Aktivitas-aktivitas yang bisa dikendalikan :
- Review dan persetujuan manajemen
- Keterlibatan pengguna
- Analisis
- Perancangan
- Pengujian
- Implementasi
- Konversi
4. Pengendalian manajemen perusahaan
Organisasi secara konstan memodifikasi sistem informasi untuk merefleksikan praktik
bisnis terkini dan mengambil keuntungan dari kemajuan teknologi.
5. Perancangan dan penggunaan dokumen yang memadai
Perancangan dan penggunaan dokumen dan catatan yang tepat baik berbentuk
elektronik maupun kertas, membantu menjamin akurasi dan kelengkapan pencatatan
seluruh data transaksi yang relevan.
6. Penjagaan aktiva, catatan (record), dan data
- Secara periodik membandingkan catatan dengan hasil perhitungan fisik.
- Membatasi akses ke aset
- Melindungi catatan dan dokumen
7. Pengecekan independen terhadap kinerja
- Top-level reviews
- Analytical reviews
- Reconciliation of independently maintained sets of records
- Comparison of actual quantities with recorded amounts
- Double-entry accounting
- Independents review
INFORMASI DAN KOMUNIKASI (INFORMATION AND COMMUNICATION)

Informasi dan komunikasi merupakan komponen ketujuh dari modal ERM COSO. Tujuan
utama SIA adalah mengumpulkan, mencatat, memproses, menyimpan, mengikhtisarkan, dan
mengkomunikasikan informasi tentang sebuah perusahaan.

SIA memiliki lima tujuan utama yaitu :

1. Mengidentifikasi dan mencatat seluruh transaksi yang sah

2. Menggolongkan transaksi secara tepat
3. Mencatat transaksi pada nilai moneter yang tepat
4. Mencatat transaksi pada periode akuntansi yang tepat
5. Menyajikan transaksi dan informasi terkait lainnya secara tepat dalam laporan
keuangan.

PEMANTAUAN (MONITORING)

Monitoring merupakan komponen kedelapan model ERM COSO. Monitoring dapat

dilakukan dengan serangkaian event yang berlangsung terus menerus atau meggunakan
evaluasi terpisah. Metode kunci untuk monitoring kinerja mencakup :

 Melaksanakan evaluasi ERM

 Menerapkan supervisi efektif
 Menggunakan akuntansi pertanggungjawaban
 Memonitor aktivitas sistem
 Menelusur software yang dibeli
 Melakukan audit periodik
 Mempekerjakan konsultan keamanan dan karyawan computer security
 Menugaskan ahli forensik
 Meng-install software pendeteksi kecurangan
 Mengimplementasikan hotline kecurangan