SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

RPS 6
KONSEP DAN PERAN SISTEM INFORMASI
DAN PENEGENDALIAN INTERN

Oleh:
Kelompok 6

Ida Bagus Pramayoga (2007612005)

Giovaninho Ferreira da Costa (2007612012)

PROGRAM PENDIDIKAN PROFESI AKUNTAN

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS UDAYANA
2021
1. Konsep Dasar Pengendalian Internal
1.1 Pengertian Pengendalian Internal
Menurut Ikatan Akuntan Indonesia (IAI) dalam Standar Profesional Akuntan
Publik:
“Pengendalian internal adalah suatu proses yang dijalankan oleh dewan
komisaris, manajemen dan personel lain entitas yang didesain untuk
memberikan keyakinan memadai. Pengertian struktur pengendalian
internal adalah kebijakan dan prosedur yang ditetapkan untuk
memperoleh keyakinan yang memadai bahwa tujuan suatu usaha yang
spesifik akan dicapai.”
Atau dapat disimpulkan bahwa pengendalian internal adalah sebuah proses
atas kebijakan, prosedur, cara dan alat yang dijalankan atau diproses oleh semua
bagian dalam struktur organisasi untuk mencapai tujuan pengendalian internal.
1.2 Tujuan Pengendalian Internal
Sebagaimana dalam pengertian Pengendalian Internal, menekankan pada
proses yang dapat menghasilkan tingkat keyakinan yang memadai agar tujuan
pengendalian internal bisa terpenuhi. Maka perlunya kita mengetahui dan memahami
apa yang menjadi tujuan pengendalian internal. Adapun tujuan pengendalian internal
adalah sebagai berikut:
1) Perlindungan aset: mencegah atau mendeteksi perolehan, penggunaan dan
perpindahan aset secara tidak sah.
2) Menjaga catatan secara rinci agar melaporkan aset – aset perusahaan secara
akurat dan wajar.
3) Memberikan informasi yang akurat dan andal.
4) Menyusun laporan keuangan sesuai dengan kriteria (standard) yang
diharuskan.
5) Mendukung dan meningkatkan effesiensi operasi.
6) Mendorong kepatuhan terhadap kebijakan manajemen yang telah ditetapkan.
7) Mematuhi hukum dan peraturan yang berlaku.
Pengendalian internal merupakan suatu proses yang tidak dapat dipisahkan
dari aktivitas operasional dan aktivitas manajemen. Tujuan pengendalian internal
yang disebutkan diatas, hanya mampu memberikan tingkat keyakinan pada batas
“memadai” bukan “absolut”. Semua tujuan pengendalian internal tersebut hanya
membatasi atau meminimalkan kemungkinan dampak buruk yang didapat dari
lingkungan. Bukan mengeleminasi dampak. Dikarenakan pengendalian internal juga
mempunyai keterbatasan karena lingkungan. Seperti kesalahan kecil, pengambilan
keputusan yang tidak tepat, dominasi manajemen bahkan terjadinya kolusi.
Mengembangkan sistem pengendalian internal membutuhkan pemahaman
teknologi informasi yang menyeluruh mengenai kapabilitasnya dan risiko TI itu
sendiri, serta cara menggunakan TI untuk mencapai tujuan pengendalian organisasi.
Akuntan dan pengembang sistem membantu manajemen mencapai tujuan
pengendalian dengan (1) merancang sistem pengendalian yang efektif yang
mengambil pendekatan proaktif menghilangkan ancaman sistem dan yang
mendeteksi, mengoreksi, dan memulihkan dari ancaman saat terjadi; dan (2)
mempermudah untuk membangun kontrol ke dalam sistem.
1.3 Fungsi Pengendalian Internal
Pengendalian internal menjalankan tiga fungsi penting:
1. Pengendalian preventif: mencegah masalah sebelum muncul.
Contohnya termasuk perekrutan karyawan yang memenuhi syarat,
memisahkan tugas karyawan, dan mengendalikan akses fisik ke aset
dan informasi.
2. Pengendalian detektif: menemukan masalah yang tidak dapat dicegah.
Contohnya termasuk memeriksa dua kali perhitungan dan menyiapkan
rekonsiliasi bank dan neraca saldo bulanan.
3. Pengendalian korektif: mengidentifikasi dan memperbaiki masalah
serta memperbaiki dan memulihkan kesalahan yang dihasilkan.
Contohnya termasuk memelihara salinan cadangan file, mengoreksi
data kesalahan entri, dan pengiriman ulang transaksi untuk pemrosesan
selanjutnya.
1.4 Level Sistem Pengendalian Internal Untuk Mengatasi Konflik Kreatifitas
Pengendalian Internal juga tak luput akan konflik yang memungkinkan terjadi
karena kreatifitas karyawan atau manajemen. Robert Simons, professor dari Harvard
mencetuskan empat level sistem pengendalian internal untuk membantu manajemen
mengatasi konflik antara kreatifitas dan pengendalian, yaitu:
1) Sistem kepercayaan (Belief System). Menggambarkan bagaimana suatu
organisasi menciptakan nila dengan membantu para pegawainya dalam
memahami visi manajemen, mengkomunikasikan nilai – nilai dasar dari
 organisasi tersebut. Serta menginspirasi para pegawainya untuk menerapkan
nilai – nilai tersebut.
2) Sistem batasan (Boundary System). Membantu para pegawai agar bertindak
etis dengan menetapkan batasan – batasan atas perilaku pegawai. Pegawai
tidak harus diberitahu apa yang harus mereka lakukan, melainkan mereka
didorong secara kreatif menyelesaikan masalah. Dan memenuhi kebutuhan
pelanggan seturut memenuhi standard kerja minimum. Serta menghindari
tindakan – tindakan yang mungkin dapat merusak reputasi mereka. Sistem
untuk membantu pegawai bertindak secara etis dengan membangun batas
perilaku pegawai.
3) Sistem pengendalian diagnostik (Diagnostic Control System). Mengukur,
memonitor dan membandingkan kemajuan aktual perusahaan dengan
anggaran dan target kinerjanya. Umpan balik dapat membantu manajemen
menyesuaikan dan memperbaiki input dan proses sehingga output dimasa
mendatang dapat memenuhi target kinerja yang diinginkan.
4) Sistem pengendalian Interaktif (Interactive Control System). Membantu
manajemen untuk memusatkan perhatian dari bawahannya hanya ke isu – isu
strategis dan lebih terlibat dalam proses pengambilan keputusan. Data sistem
interaktif diinterprestasikan dan dibahas secara tatap muka dalam suatu rapat
antara atasan, bawahan dan rekan sejawatnya.

2. Sistem Informasi
Saat ini, hampir seluruh organisasi mengandalkan teknologi informasi (TI).
Manajemen ingin memastikan bahwa informasi yang dihasilkan oleh sistem
akuntansinya andal. Manajemen juga mengetahui investasinya dalam TI merupakan
informasi yang cost effective. Oleh karena itu sangat penting untuk memastikan
adanya pengendalian yang memadai terhadap sumber-sumber daya TI untuk
memastikan informasi yang diberikan memenuhi tujuh kriteria utama dalam kerangka
pengendalian COBIT:
1) Efektivitas - informasi harus relevan dan tepat waktu
2) Efisiensi - informasi harus dihasilkan dengan cara yang paling hemat biaya
3) Kerahaasiaan - informasi sensitif harus dilindungi dari pengungkapan
informasi yang tidak sah
4) Integritas - informasi harus akurat, lengkap dan valid
5) Ketersediaan - informasi harus tersedia kapanpun diperlukan
 6) Kepatuhan - pengendalian harus memastikan kepatuhan dengan kebijakan
internal dan dengan ketentuan hukum dan perundang-undangan
7) Keandalan – Manajemen harus memiliki akses ke dalam informasi yang
diperlukan untuk aktivitas sehari-hari untuk menjalankan amanahnya dan
untuk menjalankan tanggungjawab tata kelola.
Berdasarkan kerangka pengendalian COBIT, proses IT umum yang harus
dikelola dan dikendalikan dengan baik dalam rangka menghasilkan informasi yang
memenuhi tujuh kriteria diatas dikelompokkan ke dalam empat kelompok aktivitas
manajemen berikut:
a) Perencanaan dan organisasi (Plan and organize)
Terdapat sepuluh proses penting untuk merencanakan dan mengelola sistem
informasi organisasi, yakni:
 Mendefinisikan perencanaan strategis TI
 Mendefinisikan arsitektur informasi
 Menentukan arahan terkait teknologi
 Mendefinisikan proses, organisasi dan hubungan TI
 Mengelola investasi TI
 Mengkomuni kasikan sasaran dan arahan manajemen
 Mengelola sumber daya manusia TI
 Mengelola kualitas
 Menilai dan mengelola risiko TI

b) Perolehan dan implementasi (acquire and implement )

Terdapat tujuh proses penting untuk mendapatkan dan menerapkan solusi
teknologi:
 Mengidentifikasi solusi-solusi otomisasi
 Perolehan dan pemeliharaan piranti lunak aplikasi
 Perolehan dan pemeliharaan infrastruktur teknologi
 Operasi dan penggunaan
 Perolehan sumber daya TI
 Mengelola perubahan
 Memasang dan mengakreditasi solusi dan perubahan

c) Pelaksanaan dan dukungan (delivery and support )

 Terdapat 12 proses penting untuk pelaksanaan sistem informasi yang efektif
dan efisien serta memberikan manajemen informasi yang diperlukan untuk
menjalankan organisasi, yakni:
 Mendefinisikan dan mengelola tingkat layanan
 Mengelola layanan pihak ketiga
 Mengelola kinerja dan kapasitas
 Memastikan layanan berkelanjutan
 Mengidentifikasi dan mengalokasikan biaya
 Mengedukasi dan melatih para pengguna
 Mengelola meja layanan dan insiden
 Mengelola konfigurasi
 Mengelola masalah
 Mengelola data
 Mengelola lingkungan fisik
 Mengelola operasi

d) Monitor dan Evaluasi

Terdapat empat proses penting untuk menilai operasi dari sistem informasi
organisasi:
 Monitor dan evaluasi kinerja T1
 Monitor dan evaluasi pengendalian internal
 Memastikan kepatuhan dengan peraturan eksternal
 Melaksanakan tata kelola TI
Dalam pengendalian internal atas keamanan sistem informasi, terdapat dua
konsep fundamental yang perlu dipahami, yakni :
a) Keamanan informasi merupakan persoalan manajemen, bukan persoalan
teknologi.
SOX mengharuskan para CEO (Chief Executive Officer) dan CFO (Chief
Financial Officer) perusahaan untuk memberikan pernyataan bahwa laporan
keuangan mencerminkan hasil dari aktivitas perusahaan. Akurasi dari laporan
keuangan perusahaan bergantung pada keandalan sistem informasi. Dengan
demikian, kemananan informasi merupakan dasar dari keandalan sistem.
Akibatnya, keamanan informasi merupakan tanggungjawab manajemen.
b) Defence-in-depth dan time-based model dari keamanan informasi.
 Ide defence in-depth adalah menggunakan beberapa lapisan pengendalian
untuk menghindari adanya satu titik kegagalan. Misalnya, banyak organisasi
tidak hanya menggunakan firewall, namun juga menggunakan metode metode
autentikasi (misalnya password, token, dan biometric) untuk membatasi akses.
Penggunaan pengendalian berlapis, tambahan, dan berulang dapat
meningkatkan efektivitas pengendalian secara keseluruhan karena jika satu
jenis pengendalian gagal masih ada metode pengendalian lainnya yang
berjalan sesuai rencana.

3. Kerangka Pengendalian Internal

Terdapat 3 pendekatan yang umum digunakan dalam membentuk kerangka
pengendalian internal, yaitu:
1) COBIT Framework
2) COSO Internal Control (IC) Framework
3) COSO Enterprise Risk Management (ERM) Framework
Dimana dari 3 kerangka pengendalian internal tersebut mempunyai
pendekatan yang berbeda, yang dapat digunakan untuk membentuk kerangka
pengendalian internal. Menentukan kerangka pengendalian internal yang akan
diterapkan dalam sebuah perusahaan, bergantung dari kebutuhan dan kondisi
perusahaan.
Tiga pendekatan kerangka pengendalian internal tersebut dijabarkan seperti dibawah
ini:
A. Kerangka pengendalian internal - COBIT Framework
Information system Audit and Control Association (ISACA) mengembangkan
kerangka pengendalian internal disebut Control Objectives for Information and
Related Technology (COBIT). COBIT dikembangkan dari 36 sumber yang berbeda,
yang kemudian disusun menjadi standard pengendalian dalam satu kerangka tunggal.
Dimana satu kerangka tunggal ini memungkinkan untuk:
a) Menjadi pedoman bagi manajemen dalam melakukan praktek
pengamanan dan pengendalian dari lingkungan teknologi informasi
(TI).
b) Digunakan bagi para pengguna dalam memastikan pengamanan dan
pengendalian TI yang memadai.
 c) Digunakan bagi para auditor untuk menghasilkan opini audit, serta
untuk memberikan masukan – masukan dalam hal yang terkait dengan
keamanan dan pengendalian IT.
Kerangka COBIT menjelaskan praktik terbaik untuk tata kelola dan
manajemen yang efektif untuk TI. Kerangka COBIT didasarkan pada lima prinsip
utama pengelolaan dan manajemen TI. Prinsip-prinsip ini membantu organisasi
membangun tata kelola dan manajemen yang efektif untuk melindungi investasi dan
para pemangku kepentingan dengan menghasilkan sistem informasi yang terbaik.
Kerangka pengendalian internal COBIT menekankan 3 aspek penting berikut
ini:
1) Sasaran Bisnis. Untuk memenuhi sasaran-sasaran bisnis, informasi
harus sesuai dengan 7 kategori kriteria pengendalian yang ditetapkan
oleh Committee of Sponsoring Organisation (COSO).
2) Sumber daya TI. Hal ini mencakup orang, system, aplikasi, teknologi,
fasilitas dan data.
3) Proses TI. Terbagi dalam 4 aspek yaitu: Perencanaan dan organisasi,
akuisisi dan implementasi, pelaksanaan dan dukungan, serta monitoring
dan evaluasi.

B. Kerangka Pengendalian Internal COSO Internal Control (IC) - Integrated

Framework
Committee of Sponsoring Organization of the Treadway Commission
(COSO) merupakan insiatif gabungan dari:
1) American Accounting Association (AAA)
2) American Institute of Certified Public Accountants (AICPA)
3) Institute of Internal Auditors (IIA)
4) Institute of Management Accountants (IMA)
5) Financial Executive Institute (FEI)
Organisasi COSO ini didirikan untuk berkontribusi melalui pengembangan
kerangka dan panduan dalam manajemen resiko, pengendalian internal dan mencegah
terjadinya kerugian.
Tahun 1992 COSO menerbitkan Internal Control Integrated Framework yang
saat ini banyak diterima diberbagai negara sebagai panduan kerangka pengendalian
internal. Kerangka pengendalian internal ini telah diterapkan ke dalam kebijakan,
peraturan dan undang – undang yang digunakan untuk mengendalikan aktivitas
bisnis. COSO Internal Control Intergrated Framework memiliki 5 komponen utama
yakni:
1) Lingkungan Pengendalian. Inti dari setiap bisnis adalah orang – orang berada
didalamnya dan lingkungan bisnis itu berada. Orang – orang yang berada
dalam bisnis tersebut memiliki sifat dan karakteristik tertentu. Sifat terpenting
adalah bagaimana orang – orang tersebut memandang integritas, nilai – nilai
etika serta kompetensi.
2) Aktivitas Pengendalian. Kebijakan dan prosedur pengendalian membantu
memastikan bahwa tindakan – tindakan yang diperlukan telah diidentifikasi
oleh manajemen. Dan digunakan untuk menangani resiko dan mencapai
sasaran organisasi secara efektif.
3) Penilaian Resiko. Organisasi harus mengidentifikasi, menganalisis, dan
mengelola resiko-resikonya. Organisasi harus menetapkan sasaran sehingga
kegiatan operasional dapat berjalan dengan baik.
4) Informasi dan komunikasi. Sistem informasi dan komunikasi menangkap dan
mendistribusikan informasi yang diperlukan untuk melaksanakan, mengelola
dan mengendalikan kegiatan operasional.
5) Monitoring. Keseluruhan proses harus dimonitoring dan modifikasi dilakukan
bila diperlukan, sehingga sistem dapat mengikuti kondisi jika diperlukan
demikian.
COSO Internal Control Framework telah digunakan secara luas sebagai alat
untuk mengevaluasi pengendalian internal, sebagaimana disyaratkan dalam Sarbanes
Oxley Act. Namun, pendekatan COSO Internal Control Framework menguji
pengendalian tanpa melihat tujuan dan resiko didalam proses bisnis. Dan hanya
memberikan sedikit penjelasan dalam evaluasi hasilnya. Dalam pendekatan COSO
Internal Control Framework sulit untuk mengetahui sistem pengendalian mana yang
paling penting.

C. Kerangka Pengendalian Internal - COSO Enterprise Risk Management (ERM)

Framework
Untuk meningkatkan proses manajemen risiko, COSO mengembangkan
kerangka kerja pengendalian kedua yang disebut Enterprise Risk Management —
Integrated Framework (ERM). ERM merupakan prosesnya yang digunakan oleh
dewan direksi dan manajemen untuk menetapkan strategi, mengidentifikasi peristiwa
yang dapat mempengaruhi yang dapat mempengaruhi entitas, menilai dan mengelola
risiko, dan memberikan jaminan yang memadai bahwa perusahaan mencapai tujuan
dan sasarannya. Prinsip dasar di balik ERM adalah sebagai berikut:
 Perusahaan dibentuk untuk menciptakan nilai bagi pemiliknya.
 Manajemen harus memutuskan seberapa besar ketidakpastian yang akan
diterima karena hal itu akan menciptakan nilai.
 Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa
sesuatu berdampak negatif kemampuan perusahaan untuk menciptakan atau
memelihara nilai.
 Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa
sesuatu mempengaruhi secara positif kemampuan perusahaan untuk
menciptakan atau memelihara nilai.
 Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan
memelihara nilai.
Kerangka pengendalian COSO ERM yang komprehensif menggunakan
pendekatan berbasis manajemen resiko bukan berdasarkan pendekatan pengendalian.
ERM menambahkan tiga komponen tambahan disamping lima komponen
pengendalian COSO Internal Control Framework yakni:
1) Penetapan sasaran.
2) Mengidentifikasi kejadian yang berdampak pada perusahaan.
3) Mengembangkan respon terhadap resiko yang sedang dinilai.

4. Elemen Utama Dalam Lingkungan Internal

Lingkungan internal atau budaya perusahaan mempengaruhi bagaimana
organisasi menetapkan strategi dan tujuan, menyusun kegiatan bisnis; dan
mengidentifikasi, menilai, dan menanggapi risiko. Menurut Romney and Steinbart
(2015), sebuah lingkungan internal terdiri dari:
a) Filosofi manajemen, gaya operasi, dan resiko:
Secara kolektif, sebuah organisasi memiliki filosofi, keyakinan dan
sikap bersama mengenai risiko yang mempengaruhi kebijakan, prosedur,
komunikasi dan keputusan. Perusahaan juga memiliki prediksi risiko, yaitu
jumlah risiko yang bisa mereka ambil untuk tercapainya tujuan. Dan untuk
menghindari risiko yang tidak semestinya, risiko harus sejalan dengan strategi
perusahaan.
 Tanggungjawab lebih oleh manajemen mengenai filosofi dan gaya
operasinya, dan semakin jelas mereka mengkomunikasikannya, semakin besar
kemungkinan karyawan akan berperilaku secara bertanggung jawab. Jika
manajemen memiliki sedikit perhatian terhadap kontrol internal dan
manajemen risiko, kemudian karyawan juga kurang rajin dalam mencapai
tujuan pengendalian.

b) Komitmen terhadap integritas, nilai etika, dan kompetensi:

Organisasi membutuhkan budaya yang menekankan integritas dan
komitmen terhadap nilai-nilai etika dan kompetensi. Integritas dimulai dari
atas, sehingga karyawan perusahaan mengadopsi sikap manajemen puncak
tentang risiko dan kontrol. Perusahaan juga mengoptimalkan integritas dengan
mengembangkan kode etik tertulis yang secara eksplisit menggambarkan
perilaku jujur dan tidak jujur.

c) Pengawasan pengendalian internal oleh dewan direksi:

Dewan direksi yang terlibat mewakili pemegang saham dan
memberikan tinjauan independen terhadap tindakan manajemen.

d) Struktur organisasi:
Struktur organisasi perusahaan menyediakan kerangka kerja untuk
perencanaan, pelaksanaan, pengendalian, dan memantau operasi. Aspek
penting dari struktur organisasi meliputi berikut:
 Sentralisasi atau desentralisasi kewenangan
 Hubungan pelaporan langsung atau matriks
 Organisasi oleh industri, lini produk, lokasi, atau jaringan pemasaran
 Bagaimana alokasi tanggung jawab memepengaruhi kebutuhan
informasi
 Organisasi dan garis wewenang untuk akuntansi, audit, dan fungsi
sistem informasi
 Ukuran dan sifat kegiatan perusahaan

e) Metode dalam menetapkan wewenang dan tanggung jawab:

Manajemen harus memastikan karyawan memahami tujuan dan
sasaran, menetukan kewenangan dan tanggungjawab untuk tujuan dan sasaran
pada departemen dan individu, mengendalikan akuntanbilitas individu untuk
 mencapai tujuan dan sasaran, serta mendorong penggunaan inisiatif untuk
memecahkan masalah.
Kewenangan dan tanggungjawab ditentukan dan dikomunikasikan
menggunakan prsedur dan deskripsi pekerjaan formal, pelatihan karyawan
jadwal operasi, anggaran, kode pelaksanaan, serta prosedur dan kebjikan
tertulis.

f) Standar sumber daya manusia yang menarik, mengembangkan dan

mempertahankan orang-orang yang kompeten:
Salah satu kekuatan pengendalian terbesar adalah kejujuran karyawan,
dan sebaliknya salah satu kelemahan pengendalian terbesar adalah
ketidakjujuran karyawan. Kebijakan dan praktik sumber daya manusia yang
mengatur kondisi pekerjaan, insentif kerja, dan kemajuan karir dapat menjadi
kekuatan dalam mendorong kejujuran, efisiensi, dan loyalitas pelayanan.
Kebijakan SDM harus menyampaikan mengenai tingkat keahlian, kompetensi,
perilaku etis, dan integritas yang dibutuhkan oleh perusahaan.

g) Pengatuh dari ekternal perusahaan

Pengaruh eksternal termasuk persyaratan yang diberlakukan oleh bursa
saham, Financial Accounting Standard Board (FASB), dan lainnya. Terdapat
juga persyaratan diberlakukan oleh badan pengatur, seperti bank, dan
perusahaan asuransi.

5. Empat Tipe Tujuan Pengendalian yang Perlu Ditetapkan

Menurut Romney and Steinbart (2015), ada empat tujuan pengendalian yang
perlu ditetapkan dalam suatu perusahaan, yaitu:
1) Tujuan strategis yang merupakan tujuan tingkat tinggi yang selaras dengan
misi perusahaan, mendukung misi serta menciptakan nilai bagi pemegang
saham. Manajemen harus mengidentifikasi cara-cara alternatif untuk
mencapai tujuan strategis; mengidentifikasi dan menilai risiko serta implikasi
dari setiap alternatif, merumuskan strategi perusahaan, dan mengatur operasi,
kepatuhan, dan tujuan pelaporan.
2) Tujuan operasi yang berhubungan dengan efektivitas dan efisiensi
operasional perusahaan, menentukan bagaimana mengalokasikan sumber
daya. Mereka mencerminkan preferensi manajemen, penilaian, dan gaya serta
merupakan faktor kunci dalam keberhasilan perusahaan. Mereka bervariasi
 dalam satu perusahaan yang mungkin memutuskan untuk menjadi pengguna
pertama dari teknologi, yang lain mungkin mengadopsi teknologi ketika
terbukti, dan pihak lainnya mungkin mengadopsi hanya diterima secara
umum.
3) Tujuan pelaporan membantu memastikan keakuratan, kelengkapan, dan
keandalan laporan perusahaan, meningkatkan pengambilan keputusan, dan
memonitor kegiatan perusahaan serta kinerja.
4) Tujuan Kepatuhan: membantu perusahaan mematuhi semua hukum dan
peraturan yang berlaku. Kebanyakan tujuan kepatuhan, dan tujuan pelaporan,
yang dikenakan oleh entitas eksternal dalam menanggapi hukum atau
peraturan. Seberapa baik perusahaan memenuhi kepatuhan dan tujuan
pelaporan secara signifikan dapat mempengaruhi reputasi perusahaan.

6. Identifikasi Kejadian
Committee of Sponsoring Organizations (COSO) mendefinisikan kejadian
sebagai “insiden atau peristiwa yang berasal dari sumber internal atau eksternal
yang mempengaruhi implementasi strategi atau pencapaian tujuan. Kejadian
mungkin memiliki dampak positif atau negatif atau keduanya. Sebuah kejadian
mencerminkan ketidakpastian, mungkin atau mungkin tidak terjadi, sulit untuk
mengetahui kapan sampai ia terjadi, mungkin sulit untuk menentukan dampaknya
ketika itu terjadi, mungkin memicu kejadian lain dapat terjadi secara individu atau
bersamaan. Manajemen harus mencoba untuk mengantisipasi semua
kemungkinan kejadian memahami hubungan timbal balik kejadian.
Sebagai contoh, implementasi sistem Electronic Data Interchange (EDI)
yang menciptakan dokumen elektronik, mengirimkan file ke pelanggan dan
pemasok, dan menerima tanggapan elektronik. Beberapa kejadian perusahaan
yang mungkin dihadapi adalah memilih teknologi yang tidak bagus, sehingga
menyebabkan akses yang tidak sah, hilangnya integritas data, ketidaklengkapan
sistem transaksi, dan sistem yang tidak kompetibel.

7. Penilaian Risiko (Risk Assessment) dan Risk Response

Selama proses penetapan tujuan, manajemen harus menetapkan tujuan
mereka dengan cukup jelas sehingga dapat bisa mengidentifikasi dan dinilai
untuk menilai risiko.
 Risiko-risiko sebuah kejadian yang teridentifikasi dinilai dalam beberapa
cara yang berbeda: kemungkinan dampak positif dan negatif yang akan
ditimbulkan, secara individu dan berdasarkan kategori, dampak pada unit
organisasi yang lain, serta pada sifat bawaan dan residual.
a) Risiko bawaan (inherent risk): kelemahan dari sebuah penetapan akun atau
transaksi pada masalah pengendalian yang signifikan tanpa adanya
pengendalian internal.
b) Risiko residual (residual risk): risiko yang tersisa setelah manajemen
mengimplementasikan pengendalian internal atau beberapa respons lainnya
terhadap risiko.
Untuk menyelaraskan risiko yang telah diidentifikasikan dengan toleransi
perusahaan tehadap risiko, manajemen harus mengambil pengalaman entitas yang
luas pada risiko, seperti biaya dan manfaat dai respons-respons alternatif.
Manajemen dapat merespon risiko dengan salah satu dari empat cara berikut:
a) Mengurangi kemungkinan dan dampak risiko dengan mengimplementasikan
sistem pengendalian internal yang efektif.
b) Menerima kemungkinan dan dampak risiko.
c) Membagikan risiko atau mentransfernya pada orang lain dengan asuransi
pembelian, mengalihdayakan sebuah aktivitas, atau masuk ke dalam transaksi
lindung daging (hedging)
d) Menghindari risiko dengan tidak melakukan aktivitas yang menciptakan
risiko. Hal ini bisa jadi mensyaratkan perusahaan untuk menjual sebuah divisi,
keluar dari lini produk, atau tidak memperluas perusahaan seperti yang
diharapkan.
Para akuntan dan perancang sistem mengevaluasi sistem pengendalian
internal untuk memastikan bahwa sistem tersebut beroperasi dengan efektif.
Mereka menilai dan mengurangi risiko menggunakan strategi penilaian dan
renspons risiko dengan:
a) Memperkirakan Kemungkinan dan Dampak
Beberapa kejadian memiliki risiko yang lebih besar karena lebih
cenderung untuk terjadi. Alat-alat perangkat lunak membantu penilaian dan
respons risiko secara otomatis. Sebuah penilaian risiko keseluruhan
perusahaan dikembangkan dengan mengangegrasi seluruh pemeringkatan.
b) Mengidentifikasi Pengendalian
 Manajemen harus mengidentifikasi pengendalian yang melindungi perusahaan
dari setiap kejadian. Setiap sistem pengendalian yang baik harus
menggunakan:
i. pengendalian preventif yaitu pengendalian yang mencegah
masalah sebelum timbul. Contoh: merekrut personel berkualifikasi,
memisahkan tugas pegawai, dan mengendalian akses fisik atas aset
dan informasi.
ii. pengendalian detektif pengendalian yang didesain untuk
menemukan masalah pengendalian yang tidak terelakkan. Contoh:
menduplikasi pengecekan kalkulasi dan menyiapkan rekonsiliasi
bank serta neraca saldo tahunan.
iii. pengendalian korektif yaitu pengendalian yang mengidentifikasi
dan memperbaiki masalah serta memperbaiki dan memulihkan dari
kesalahan yang dihasilkan. Contoh: menjaga
salinan backup pada file, perbaikan kesalahan entri data, dan
pengumpulan ulang transaksi-transaksi untuk pemrosesan
selanjutnya.
c) Memperkirakan biaya dan manfaat
Tujuan dari perancangan sebuah sistem pengendalian internal adalah
untuk memberikan jaminan memadai bahwa kejadian itu tidak terjadi.
Manfaat dari prosedur pengendalian internal harus melebihi dari biayanya.
Salah satu cara untuk memperkirakan nilai pengendalian internal adalah
melibatkan kerugian yang diperkirakan (expected loss), yaitu hasil matematis
dampak dan kemungkinan.
d) Menentukan Efektifitas Biaya / Manfaat
Dalam mengevaluasi pengendalian internal, manajemen harus lebih
mempertimbangkan faktor-faktor yang lain daripada faktor-faktor yang ada di
dalam perhitungan biaya/ manfaat yang diperkirakan. Sebagai contoh, jika
sebuah kejadian mengancam eksistensi sebuah perusahaan, biaya ekstranya
dapat dianggap sebagai sebuah premi asuransi kerugian bencana.
e) Mengimplementasikan Pengendalian, Membagi atau Menghindari Risiko
Pengendalian biaya efektif harus diimplementasikan untuk
mengurangi risiko. Risiko yang tidak dikurangi harus diterima, dibagi, atau
dihindari. Risko dapat diterima jika ia berada dalam jangkauan toleransi risiko
perusahaan. Contohnya adalah sebuah risiko dengan kemungkinan dan
dampak yang kecil.
 Berikut merupakan gambar pendekatan penilaian risiko untuk perancangan
pengendalian internal

8. Aktivitas Pengendalian
Aktivitas Pengendalian (Control Activity) adalah kebijakan, prosedur, dan
aturan yang memberikan jaminan memadai bahwa tujuan pengendalian telah
dicapai dan respons risiko dilakukan. Manajemen harus memastikan bahwa:
a) Pengendalian dipilih dan dikembangkan untuk membantu mengurangi
risiko hingga level yang dapat diterima.
b) Pengendalian umum yang sesuai dipilih dan dikembangkan melalui
teknologi
c) Aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan
kebijakan dan prosedur perusahaan yang ditentukan
Pengendalian akan jauh lebih efektif ketika dijalankan sejak sistem dibangun
daripada setelah dibangun. Oleh karena itu, manajer perlu melibatkan analis
sistem, perancang sistem, dan pengguna sistem saat merancang sistem kontrol
berbasis komputer. Berikut merupakan prosedur pengendalian:
1) Otorisasi Transaksi dan Aktivitas yang Tepat
Otorisasi (authorization) merupakan penetapan kebijakan bagi para
pegawai untuk diikuti dan kemudian memberdayakan mereka guna
melakukan fungsi organisasi tertentu karena manajemen kekurangan waktu
dan sumber daya untuk mengawasi setiap aktivitas. Aktivitas atau transaksi
tertentu bisa jadi merupakan konsekuensi bahwa manajemen memberikan
otorisasi khusus (specific authorization) agar aktivitas tersebut terjadi.
Manajemen turut mengotorisasi pegawai untuk menangani transaksi rutin
tanpa persetujuan khusus, sebuah prosedut yang dikenal sebagai otorisasi
umum (general authorization).
2) Pemisahan Tugas
Pengendalian internal yang baik mensyaratkan bahwa tidak ada satu
karyawan pun yang diberi terlalu banyak tanggung jawab atas transaksi atau
proses bisnis. Seorang karyawan tidak boleh dalam posisi untuk melakukan
dan
menyembunyikan penipuan. Pemisahan tugas dibahas dalam dua bagian
terpisah: pemisahan akuntansi tugas dan pemisahan tugas sistem.
Pemisahan tugas akuntansi (segregation of accounting duties) yaitu
pemisahan fungsi akuntansi otorisasi, penyimpanan, dan pencatatan guna
meminimalkan kemampuan pegawai untuk melakukan penipuan. Pemisahan
tugas akuntansi akan efektif jika fungsi-fungsi berikut dipisahkan:
a) Otorisasi - menyetujui transasksi dan keputusan.
b) Pencatatan - mempersiapkan dokumen sumber; memasukkan data ke
dalam sistem komputer, memelihara jurnal, buku besar, file, atau
database; dan mempersiapkan rekonsiliasi dan laporan kinerja.
c) Penyimpanan - menangani kas, peralatan, persediaan, atau aktiva tetap;
menerima cek pelanggan yang datang; menulis cek.
Pemisahan tugas sistem (Segregation of systems Duties). Setiap orang
yang memiliki akses tidak terbatas terhadap komputer, programnya, dan data
dapat melakukan dan menyembunyikan penipuan. Untuk mengatasi ancaman
tersebut, organisasi menerapkan pemisahan tugas sistem. Otoritas dan
tanggung jawab harus dibagi dengan jelas di antara fungsi-fungsi berikut:
1) Administrasi sistem. Administrator sistem memastikan semua sistem
informasi komponen beroperasi dengan lancar dan efisien.
 2) Manajemen jaringan. Manajer jaringan memastikan bahwa perangkat
ditautkan ke jaringan internal dan eksternal organisasi dan jaringan
tersebut beroperasi dengan baik.
3) Manajemen keamanan. Manajemen keamanan memastikan bahwa
sistem aman dan dilindungi dari ancaman internal dan eksternal.
4) Manajemen perubahan. Manajemen perubahan adalah proses untuk
memastikan adanya perubahan dibuat dengan lancar dan efisien dan
tidak berdampak negatif pada keandalan sistem, keamanan,
kerahasiaan, integritas, dan ketersediaan.
5) Pengguna. Pengguna mencatat transaksi, mengotorisasi data untuk
diproses, dan menggunakan keluaran sistem.
6) Analis sistem. Analis sistem membantu pengguna menentukan
kebutuhan informasi mereka dan merancang sistem untuk memenuhi
kebutuhan tersebut.
7) Pemrograman. Pemrogram mengambil desain dan mengembangkan
analis, membuat kode, dan menguji program komputer.
8) Operasi komputer. Operator komputer menjalankan perangkat lunak
di komputer perusahaan. Mereka memastikan bahwa data
dimasukkan dengan benar, diproses dengan benar, dan menghasilkan
output yang dibutuhkan
9) Perpustakaan sistem informasi. Pustakawan sistem informasi
memelihara database,perusahaan, dokumen-dokumen, dan
memoogram di tempat penyimpanan terpisah.
10) Pengendalian data. Grup ompute data memastikan bahwa sumber
data telah benar-benar disetujui, memantau aliran pekerjaan melalui
omputer, mempertemukan input dan output, memelihara catatan
kesalahan input untuk memastikan koreksi dan pengiriman ulang, dan
mendistribusikan outpun sistem.

9. Informasi dan Komunikasi

Sistem informasi dan komunikasi haruslah memperoleh dan mempertukarkan
informasi yang dibutuhkan untuk mengatur, mengelola, dan mengendalikan operasi
perusahaan. Tujuan utama dari sistem informasi akuntansi (SIA) adalah untuk
mengumpulkan, mencatat, memproses, menyimpan, meringkas, dan
mengkomunikasikan informasi mengenai sebuah organisasi yang meliputi
pemahaman cara transaksi dilakukan, data diperoleh, file diakses serta diperbarui ,
data diproses, dan informasi dilaporkan. Hal-hal tersebut memberikan jejak audit
(audit trail), yang memungkinkan transaksi untuk ditelusuri secara bolak-balik antara
asalnya dan laporan keuangan.
Tambahan untuk pengidentifikasian dan pencatatan seluruh transaksi yang sudah
valid, SIA harus mengklasifikasikan transaksi secara tepat, mencatat transaksi pada
nilai moneter yang sesuai, mencatat transaksi di dalam periode akuntansi yang sesuai,
dan menyajkan transaksi secara tepat dan pengungkapan lainnya di dalam laporan
keuangan.
Komunikasi harus dilakukan secara internal dan eksternal untuk menyediakan
informasi yang dibutuhkan guna menjalankan aktivitas pengendalian internal harian.
Seluruh personel harus memahami tanggung jawab mereka. Tiga prinsip yang berlaku
dalam proses informasi dan komunikasi, yaitu:
1) Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas
tinggi untuk mendukung pengendalian internal
2) Mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung
jawab yang diperlukan untuk mendukung komponen-komponen lain dari
pengendalian internal
3) Mengomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-
pihak eksternal.
 Latihan Soal Past Exam CA 2015 No. 51-60
51. Pengendalian proses transaksi di bawah ini yang akan memastikan semua
transaksi penjualan kredit telah tercatat adalah:
a. Penyelia departemen penagihan mencocokan dokumen pengiriman yang di
prenumbered dengan masukan yang terdapat dalam jurnal penjualan
b. Penyelia departemen akuntansi secara independent merekonsiliasi buku besar
pembantu piutang ke buku besar piutang
c. Penyelia departemen penagihan mengirimkan pesanan penjualan yang sah ke
departemen kredit untuk dibandingkan dengan batas kredit yang diotorisasi
dan saldo rekening pelanggan
d. Penyelia departemen akuntansi bertanggung jawab atas pengiriman rekening
bulanan pelanggan dan menanyakan setiap perbedaan yang ada

Inti dari soal ini kan memastikan transaksi penjualan kredit telah tercatat jadi
menurut kelompok kami bahwa departemen penagihan harus mencocokan dan
mengecek lagi faktur penjualan yang keluar dengan transaksi yang di input di jurnal

52. Manakah dari pernyataan berikut yang menunjukan risiko signifikan dari siklus
pembelian?
a. Catatan yang buruk mengenai pemindahan barang antar gudang sering
menybabkan terjadinya pembelian yang tidak perlu dan kelebihan persediaan
b. Karyawan gudang tidak membandingkan jumlah barang yang diterima dengan
jumlah yang tercantum dalam dokumen pemindahan barang
c. Karyawan departemen penerimaan menandatangai dokumen penerimaan
tanpa menguji atau menghitung barang
d. Kuantitas besar dari barang-barang yang relative murah disimpan di tempat
terbuka di dekat stasiun kerja guna mengurangi kemungkinan kelambatan
kerja
 Menurut kelompok kami, pilihan a dan b menyatakan mengenai pemindangan
persedian antar gudang, dan pilihan d lebih menyatakan cara penyimpanan. Jadi
menurut kami yang tepat adalah c karena dalam siklus pembelian yang kami
ketahui penerimaan persedian termasuk di dalamnya dan walaupun terlihat sepele
sebenernya penting dilakukan pengecekan kesamaan jumlah persediaan yang
diterima secara fisik dan dan yang tertera pada dokumen untuk menghindari
perbedaan jumlah persediaan fisik dengan yang tercatat.

53. Cookies dalam hubungannya dengan internet adalah:

a. Pesan atau file dari suatu data situs web yang disimpan dalam browser
internet dengan maksud agar dapat mepercepat proses mengeluarkan alamat
situs web tersebut saat dipanggil kembali
b. Protokol internet untuk pertukaran file antar computer/protocol internet
c. Hubungan antara pengguna internet dengan internet service provider
d. Protokol internet yang memberikan jasa surat elektronik

Cookie adalah serangkaian teks yang disimpan pada komputer anda oleh situs
web yang anda kunjungi. Pada umumnya cookie menyimpan pengaturan atau
preferensi anda untuk suatu situs web tertentu, misalnya bahasa yang dipilih, atau
lokasi (negara) anda atau mudahnya dapat kita sebut sebagai rekam jejak.

54. Manakah di antara rekening berikut ini yang jarang memiliki rekening pembantu?
a. Piutang dagang
b. Asset tetap
c. Penjualan
d. Persediaan barang dagangan

Dari sumber yang kami dapat, rekening pembantu berisi rincian atas transaksi
yang terjadi, jadi kami simpulkan bahwa yang umumnya yang memiliki rekening
pembantu adalah akun yang meiliki intensitas transaksi yang cukup sering.
55. Siklus konversi dimulai dan diakhiri dengan kegiatan berikut ini (abaikan
pembuatan laporan):
a. Pembelian bahan baku dan penjualan produk jadi
b. Pengolahan bahan baku di pabrik dan penyimpanan produk jadi di Gudang
c. Perencanaan produk dan penyerahan produk jadi ke Gudang
d. Perencanaan produksi dan penjualan produk jadi

Dari sumber yang kami dapat, siklus konversi merupakan proses koversi
sumber daya seperti bahan baku dan tenaga kerja menajdi barang jadi yang di
awali dengan merencankana produk yang akan di produksi lalu menentukan
jadwal produksi, melakukan proses produksi sampai dengan penyerahan barang
ke gudang, Jadi jawaban yang tepat adalah c

56. Diagram yang menggambarkan rincian sistem pada tingkat yang berbeda-beda
adalah:
a. Sytem flowchart
b. Entity relationship diagram
c. Document flowchart
d. Data flow diagram

Flowchart Sistem merupakan bagan yang menunjukkan alur kerja atau apa
yang sedang dikerjakan di dalam sistem secara keseluruhan dan menjelaskan
urutan dari prosedur-prosedur yang ada di dalam sistem.

Bagan alir dokumen (document flowchart) atau disebut juga bagan alir
formulir (form flowchart) atau paperwork flowchart merupakan bagan alir yang
menunjukkan arus dari laporan dan formulir termasuk tembusan-tembusannya.

Entity Relationship Diagram (ERD) adalah suatu diagram yang digunakan

untuk merancang suatu basis data, dipergunakan untuk memperlihatkan hubungan
atau relasi antar entitas atau objek yang terlihat beserta atributnya.
 Data Flow Diagram (DFD) adalah suatu diagram yang menggunakan
notasi-notasi untuk menggambarkan arus dari data sistem, yang penggunaannya
sangat membantu untuk memahami sistem secara logika, tersruktur dan jelas.

57. Sistem pengendalian yang paling cost-effective adalah:

a. Feedfoward control
b. Corrective control
c. Detective control
d. Preventive control

Feedfoward control adalah pengendalian yang ditetapkan sebelum

pelaksanaan aktivitas seperti kriteria yang ditetapkan saat merekrut karyawan.
Corrective control adalah pengendalian yang melakukan koreksi atas masalah
yang teridentifikasi. Detective control adalah pengendalian yang melakukan
tindakan deteksi kesalahan. Preventive control adalah pengendalian yang lakukan
sebelum masalah terjadi.

58. Rekonsiliasi bank merupakan contoh penerapan:

a. Feedfoward control
b. Corrective control
c. Detective control
d. Preventive control

Tujuan dari rekonsiliasi bamk adalah untuk memastikan adanya persamaan

pencatatan. Rekonsiliasi ini terjadi setelah kegiatan pencatatan dilakukan yang
berarti bukan preventive atau feedfowar dan bukan juga corrective karena belum
ditemukannya kesalahan atau masalah, jadi yang tepat adalah c

59. Dokumen yang sangat penting seperti kartu kredit, nomor rekening bank, atau
kode diskon, seharusnya:
a. Dihasilkan secara random oleh computer
 b. Berupa kombinasi antara huruf dan angka
c. Berupa urut tetapi didahului dengan kode kelompok
d. Dibuat dengan serangkian angka yang dihasilkan dengan rumus tertentu

Jika kami tidak salah kelompok kak adit sempat membahas tentang
penomoran rekening, yang menyebutkan bahwa penggunakan kode kelompok
yang berurutan akan memudahkan dalam proses pencatatan dan penelusuran. Jadi
menurut kami jawaban yang tepat adalah c

60. Integritas dan nilai etika dalam rerangka struktur pengendalian internal termasuk
komponen:
a. Lingkungan pengendalian
b. Aktivitas Pengendalian
c. Monitoring
d. Informasi dan komunikasi

Seperti yang kelompok kami sudah jelaskan seblumnya dalam pembahasna

mengenai leingkungan pengendalian, inti dari setiap bisnis adalah orang – orang
berada didalamnya dan lingkungan bisnis itu berada. Orang – orang yang berada
dalam bisnis tersebut memiliki sifat dan karakteristik tertentu. Sifat terpenting
adalah bagaimana orang – orang tersebut memandang integritas, nilai – nilai etika
serta kompetensi.
 Latihan Soal Pada Buku Romnery
1. Memverifikasi keabsahan nomor kartu kredit atau debit selama transaksi online
adalah contoh dari:
a) kontrol detektif.
b) kontrol pencegahan.
c) kontrol aplikasi
d) kontrol umum

2. Dalam model ERM, COSO menetapkan empat jenis tujuan yang harus dipenuhi
oleh manajemen untuk mencapai tujuan perusahaan. Manakah dari berikut ini
yang BUKAN salah satu dari jenis tersebut?
a) Tujuan tanggung jawab
b) tujuan strategis
c) tujuan kepatuhan
d) tujuan pelaporan
e) tujuan operasi

3. Manakah dari pernyataan berikut yang benar?

a) Kerangka kerja manajemen risiko perusahaan COSO memiliki cakupan yang
sempit dan terbatas pada kontrol keuangan.
b) Kerangka kerja terintegrasi pengendalian internal COSO telah diterima
secara luas sebagai otoritas tentang pengendalian internal.
c) Undang-undang Praktik Korupsi Asing tidak berdampak pada sistem kontrol
akuntansi internal.
d) Lebih mudah menambahkan kontrol ke sistem yang sudah dirancang daripada
memasukkannya selama tahap desain awal.

4. Semua hal lain dianggap sama, manakah dari pernyataan berikut yang benar?
a) Kontrol detektif lebih unggul dari kontrol pencegahan.
b) Kontrol korektif lebih unggul dari kontrol pencegahan.
c) Kontrol pencegahan setara dengan kontrol detektif.
d) Kontrol pencegahan lebih unggul daripada kontrol detektif.

5. Manakah dari pernyataan berikut tentang lingkungan kontrol yang salah?

a) Sikap manajemen terhadap pengendalian internal dan perilaku etis
memiliki pengaruh yang kecil tentang keyakinan atau tindakan
karyawan.
 b) Struktur organisasi yang terlalu kompleks atau tidak jelas dapat menjadi
indikasi adanya masalah yang lebih serius.
c) Manual kebijakan dan prosedur tertulis adalah alat penting untuk menetapkan
otoritas dan tanggung jawab.
d) Pengawasan sangat penting dalam organisasi yang tidak mampu menanggung
tanggung jawab yang rumit pelaporan atau terlalu kecil untuk memiliki
pemisahan tugas yang memadai.

6. Untuk mencapai pemisahan tugas yang efektif, fungsi tertentu harus dipisahkan.
Yang berikut ini adalah daftar yang benar dari fungsi terkait akuntansi yang harus
ada tersendiri?
a) kontrol, pencatatan, dan pemantauan
b) otorisasi, pencatatan, dan penjagaan
c) kontrol, penjagaan, dan otorisasi
d) pemantauan, pencatatan, dan perencanaan

7. Manakah dari berikut ini yang BUKAN merupakan pemeriksaan independen?

a) rekonsiliasi bank
b) perbandingan periodik total buku besar pembantu dengan akun kontrol
c) neraca saldo
d) menambahkan kembali total kumpulan faktur dan membandingkannya
dengan total pertama Anda

8. Manakah dari berikut ini yang merupakan prosedur pengendalian yang berkaitan
dengan desain dan penggunaan dokumen dan catatan?
a) mengunci cek kosong di laci
b) rekonsiliasi rekening bank
c) pre-numbered faktur penjualan secara berurutan
d) membandingkan jumlah fisik aktual dengan jumlah yang tercatat

9. Manakah dari berikut ini yang merupakan urutan yang benar dari langkah-
langkah penilaian risiko yang dibahas dalam hal bab ini?
a) Identifikasi ancaman, perkirakan risiko dan eksposur, identifikasi
kontrol, dan perkirakan biaya dan manfaat.
b) Identifikasi kontrol, perkirakan risiko dan eksposur, identifikasi ancaman, dan
perkirakan biaya dan manfaat.
 c) Perkirakan risiko dan eksposur, identifikasi kontrol, identifikasi ancaman, dan
perkirakan biaya dan manfaat.
d) Memperkirakan biaya dan manfaat, mengidentifikasi ancaman,
mengidentifikasi kontrol, dan memperkirakan risiko dan paparan.

10. Sistem Anda saat ini dianggap 90% dapat diandalkan. Ancaman besar telah
diidentifikasi dengan dampak dari $ 3,000,000. Ada dua prosedur kontrol untuk
menangani ancaman tersebut. Penerapan pengendalian A akan menelan biaya $
100.000 dan mengurangi kemungkinan menjadi 6%. Penerapan pengendalian B
akan menelan biaya $ 140.000 dan mengurangi kemungkinan menjadi 4%.
Implementasi dari kedua kontrol akan menelan biaya $ 220.000 dan mengurangi
kemungkinan menjadi 2%. Diberikan datanya, dan hanya berdasarkan analisis
ekonomi biaya dan manfaat, apa yang harus Anda lakukan?
a) Terapkan kontrol A saja.
b) Terapkan kontrol B saja.
c) Menerapkan kedua kontrol A dan B
d) Tidak menerapkan satu pun kontrol.
 Refrensi
Romney dan Steinbart. 2015. Sistem Informasi Akuntansi Edisi 13.Jakarta:Salemba
Empat
Ilham Aditya. 2019. Pengendalian dan Sistem Informasi Akuntansi.
http://ilhamadityagnw.blogspot.com/. Diakses, 13 Maret 2021
Nur Fadhila Amri. 2015. Identifikasi Kejadian (Event Identification). https://www.e-
akuntansi.com/identifikasi-kejadian-event-identification/. Diakses, 13 Maret
2021
http://iaiglobal.or.id/v03/files/modul/sipi/mobile/html5forpc.html (Diakses pada
tanggal 13 Maret 2021