MAKALAH

SISTEM INFORMASI AKUNTANSI

PENGENDALIAN DAN SISTEM INFORMASI

AKUNTANSI

Disusun Oleh : Kelompok 5

Christine Rodesya 2102124366
Diana Aprina 2102111480
Hervivi Anggrey 2102113117
Mikaellin Marcely 2102135174
Muhammad Akbarrul Refly 2102113115
Natasya Fahira Gustiani 2102110627
Rahma Dhinta

Dosen Pengampu:
Mudrika Alamsyah Hasan, SE., M.Si., Ak

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS RIAU
PEKANBARU, OKTOBER 2022

1
 KATA PENGANTAR

Puji syukur kehadirat Tuhan Yang Maha Esa yang telah memberikan rahmat dan
karuniaNya sehingga penulis dapat menyelesaikan makalah dengan baik dan lancar.
Makalah ini disusun untuk memberikan informasi tentang “Pengendalian dan Sistem
Informasi Akuntansi”. Pembahasan makalah ini meliputi Iktisar Konsep Pengendalian,
Kerangka Pengendalian, Lingkungan Internal, Penetapan Tujuan, Identifikasi Kejadian,
Penilaian Risiko dan Respons Risiko, Aktivitas Pengendalian, Informasi dan
Komunikasi, dan Pengawasan.
Pada kesempatan ini penulis mengucapkan terima kasih kepada dosen pengampu
mata kuliah Pendidikan Sistem Informasi Akuntansi Jurusan Akuntansi Universitas
Riau yang telah membimbing dalam penulisan makalah ini, serta kepada teman-teman
yang telah mendukung dan membantu dalam mengumpulkan informasi untuk
kelengkapan makalah ini.
Akhirnya tak ada gading yang tak retak, tak ada kesalahan yang tak pernah
dilakukan baik dalam penulisan makalah ini. Untuk itu dengan segala kerendahan hati
penulis meminta maaf kepada semua pihak. Penulis juga telah berusaha semaksimal
mungkin dalam penulisan makalah ini, namun jika masih terdapat kekurangan, penulis
mengharapkan kritik dan saran dari pembaca demi kesempurnaan penulisan makalah
ini.

Pekanbaru, Oktober 2022

Penulis

2
 DAFTAR ISI

Isi Halaman

KATA PENGANTAR ...................................................................... i

DAFTAR ISI ..................................................................................... ii
DAFTAR TABEL ............................................................................. iii
DAFTAR GAMBAR ........................................................................ iv

Bab I. PENDAHULUAN................................................................. 1
1.1. Latar Belakang ....................................................................... 1
1.2. Rumusan Masalah .................................................................. 5
1.3. Tujuan Penulisan .................................................................. 6

Bab II.PEMBAHASAN .................................................................... 7

2.1. E-Filing .................................................................................. 7
2.1.1. Pengertian e-Filing ..................................................... 7
2.1.2. Manfaat e-Filing ......................................................... 8
2.1.3. Sistem e-Filing ........................................................... 8
2.2. E-Form ................................................................................... 15
2.2.1. Pengertian e-Form ...................................................... 15
2.2.2. Manfaat e-Form .......................................................... 15
2.2.3. Kelebihan dan Kekurangan E-Form........................... 16
2.3. E-SPT ..................................................................................... 21
2.3.1. Pengertian e-SPT ........................................................ 21
2.3.2. Manfaat e-SPT............................................................ 21
2.3.3. Cara Menggunakan e-SPT.......................................... 22
2.4. Batas Waktu Pelaporan Pajak ................................................ 23
2.4.1. Surat Pemberitahuan Masa ......................................... 24
2.4.2. Surat Pemberitahuan Tahunan.................................... 27

Bab III.PENUTUP ............................................................................ 31

3.1. Kesimpulan ............................................................................ 31
3.2. Saran ...................................................................................... 33

DAFTAR PUSTAKA ....................................................................... 34

3
 DAFTAR TABEL

Tabel Halaman

1 . Perbedaan E-Form dan E-Filing ........................................ ........... 20

4
 DAFTAR GAMBAR

Gambar Halaman

1. Login DJP Online ........................................................................... 9

5
 BAB I
PENDAHULUAN

1.1. Latar Belakang

1.2. Rumusan Masalah

Berdasarkan latar belakang yang telah dikemukakan di atas, terdapat beberapa
masalah yang menjadi penyebab utama dilakukakannya penulisan makalah ini, antara
lain:
a. Apa pengertian e-Filing?
b. Apa manfaat e-Filing?
c. Bagaimana sistem e-Filing?

1.3. Tujuan Penulisan

Tujuan dari penulisan makalah ini dilakukan untuk memberikan informasi antara
lain :
a. Menjelaskan konsep pengendalian dasar serta menjelaskan mengapa pengendalian
dan keamanan komputer itu penting.
b. Membandingkan dan membedakan kerangka pengendalian COBIT, COSO, dan
ERM.
c. Menjelaskan elemen-elemen utama di dalam lingkungan internal sebuah perusahaan.
d. Menjelaskan empat jenis tujuan pengendalian yang perlu dibuat oleh perusahaan.
e. Menjelaskan kejadian-kejadian yang memengaruhi ketidakpastian dan teknik-teknik
yang digunakan untuk mengidentifikasinya.
f. Menjelaskan cara menilai dan merespons risiko menggunakan model Enterprise Risk
Management (ERM).
g. Menjelaskan aktivitas-aktivitas pengendalian yang umumnya digunakan di
perusahaan.

6
h. Menjelaskan cara mengomunikasikan informasi dan mengawasi proses pengendalian
pada organisasi.

7
 BAB II

PEMBAHASAN

KASUS INTEGRATIF SPRINGER'S LUMBER & SUPPLY

Jason Scott, seorang auditor internal untuk Northwest Industries, sedang

mengaudit Springer's Lumber & Supply, outlet bahan baku bangunan Northwest di
Bozeman, Montana. Atasannya, Maria Pilier, memintanya untuk menyelidiki sebuah
sampel transaksi pembelian dari permintaan pembelian hingga pengeluaran kas guna
memverifikasi bahwa prosedur pengendalian yang sesuai telah dijalankan. Jason merasa
frustrasi dengan tugasnya, karena:
 Sistem pembelian kurang didokumentasikan.
 Dia terus menemukan transaksi yang belum diproses saat Ed Yates, manajer
utang, mengatakan seharusnya sudah.
 Permintaan pembelian hilang untuk beberapa barang yang secara pribadi
disahkan oleh Bill Springer, wakil presiden pembelian.
 Beberapa faktur vendor telah dibayarkan tanpa dokumen pendukung, seperti
pesanan pembelian dan laporan penerimaan.
 Harga untuk beberapa barang tampak terlalu tinggi dan ada beberapa
ketidaksesuaian pada harga barang antara faktur vendor dan pesanan pembelian
terkait.

Yates memiliki jawaban logis untuk setiap pertanyaan yang diajukan oleh Jason dan
menasihati Jason bahwa dunia nyata tidaklah sebegitu rapi seperti dunia yang
ditampilkan buku teks kuliah. Maria juga memiliki beberapa keprihatinan sebagai
berikut.

8
  Springer's adalah pemasok terbesar di wilayah dan telah mendekati monopoli.
 Wewenang manajemen dipegang oleh presiden perusahaan, Joe Springer, dan
dua anaknya, Bill (wakil presiden pembelian) dan Ted (kontrolir). Beberapa
saudara dan teman bekerja di sana. Secara bersama-sama, keluarga Springer
memiliki 10% perusahaan.
 Garis wewenang dan tanggung jawab dalam perusahaan ditetapkan secara
longgar dan membingungkan.
 Maria meyakini bahwa Ted Springer bisa jadi melakukan "akuntansi kreatif"
untuk membuat Springer's menjadi salah satu outlet pengecer yang memiliki
kinerja terbaik di Northwest.

Setelah berbicara dengan Maria, Jason mempertimbangkan masalah-masalah

berikut:
1. Oleh karena Ed Yates memiliki penjelasan logis untuk setiap transaksi yang tidak
lazim, haruskah Jason menjelaskan transaksi-transaksi tersebut dalam laporannya?
2. Apakah pelanggaran atas prosedur pengendalian dapat diterima jika manajemen
telah mengesahkannya?
3. Keprihatian Maria mengenai longgarnya ketetapan garis wewenang Springer's dan
kemungkinan penggunaan "akuntansi kreatif" adalah urusan kebijakan

9
 manajemen. Dengan memperhatikan tugas prosedur pengendalian Jason, apakah
dia memiliki sebuah tanggung jawab profesional atau etis untuk terlibat?

Pendahuluan

MENGAPA ANCAMAN TERHADAP SISTEM INFORMASI AKUNTANSI

MENINGKAT

Hampir setiap tahun, lebih dari 60% organisasi mengalami kegagalan utama,
dalam mengendalikan keamanan dan integritas sistem komputer mereka. Alasan untuk
kegagalan tersebut meliputi:
 Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada. Sebagai contoh,
Chevron memiliki 35.000 PC.
 Informasi pada jaringan komputer distribusi sulit dikendalikan. Informasi di
Chevron, didistribusikan di antara banyaknya sistem dan ribuan pegawai di
seluruh dunia. Setiap sistem dan pegawai mencerminkan sebuah titik kerentanan
pengendalian yang potensial.
 Pelanggan serta pemasok memiliki akses ke sistem dan data satu sama lain.
Sebagai contoh, Walmart mengizinkan vendor untuk mengakses database-nya.
Bayangkan, masalah kerahasiaan yang dapat terjadi jika vendor membentuk
persekutuan dengan pesaing Walmart.

Organisasi belum melindungi data dengan baik karena:

 Beberapa perusahaan memandang kehilangan atas informasi penting sebagai
sebuah ancaman yang tidak mungkin terjadi.
 Implikasi pengendalian atas pemindahan dari sistem komputer tersentralisasi ke
sistem berbasis Internet tidak sepenuhnya dipahami.
 Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber
daya strategis dan melindungi informasi harus menjadi sebuah ketentuan

10
 strategis. Sebagai contoh, sebuah perusahaan kehilangan jutaan dolar karena ia
tidak melindungi transmisi data. Seorang pesaing menyadap ke dalam
sambungan telepon perusahaan dan mendapatkan faks desain produk baru.
 Produktivitas dan penekanan biaya memotivasi manajemen untuk mengabaikan
ukuran-ukuran pengendalian yang memakan waktu.

Segala potensi kejadian yang merugikan disebut sebagai ancaman (threat) atau
sebuah kejadian (event). Kerugian uang yang potensial dari sebuah ancaman disebut
paparan atau dampak. Kemungkinan bahwa paparan (exposure) atau dampak
(impact) akan terjadi disebut sebagai kemungkinan (likelihood) ancaman.

Ikhtisar Konsep Pengendalian

Pengendalian internal (internal control) adalah proses yang dijalankan untuk
menyediakan jaminan memadai bahwa tujuan-tujuan pengendalian berikut telah dicapai.
 Mengamankan aset-mencegah atau mendeteksi perolehan, penggunaan, atau
penempatan yang tidak sah.
 Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan
secara akurat dan wajar.
 Memberikan informasi yang akurat dan reliabel.
 Menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan.
 Mendorong dan memperbaiki efisiensi operasional.
 Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan.
 Mematuhi hukum dan peraturan yang berlaku.

Pengendalian internal adalah sebuah proses karena ia menyebar ke seluruh

aktivitas pengoperasian perusahaan dan merupakan bagian integral dari aktivitas
manajemen. Pengendalian internal memberikan jaminan memadai-jaminan menyeluruh
yang sulit dicapai dan terlalu mahal. Selain itu, sistem pengendalian internal memiliki
keterbatasan yang melekat, seperti kelemahan terhadap kekeliruan dan kesalahan

11
sederhana, pertimbangan dan pembuatan keputusan yang salah, pengesampingan
manajemen, serta kolusi.
Mengembangkan sebuah sistem pengendalian internal memerlukan pemahaman
yang saksama terhadap kemampuan teknologi informasi (information system) dan
risikonya, begitu pula dengan menggunakan TI untuk mencapai tujuan pengendalian
sebuah perusahaan. Para akuntan dan pengembang sistem membantu manajemen
mencapai tujuan pengendaliannya dengan (1) mendesain sistem pengendalian yang
efektif dengan menggunakan pendekatan proaktif untuk mengeliminasi ancaman sistem,
serta yang dapat mendeteksi, memperbaiki, dan memulihkan dari ancaman ketika
terjadi; dan (2) membuatnya lebih mudah guna membentuk pengendalian ke dalam
sebuah sistem pada tahapan desain awal daripada menambahkannya setelah terbentuk.
Pengendalian internal menjalankan tiga fungsi penting sebagai berikut:
1. Pengendalian preventif (preventive control), mencegah masalah sebelum timbul.

Contohnya, merekrut personel berkualifikasi, memisahkan tugas pegawai, dan

mengendalikan akses fisik atas aset dan informasi.
2. Pengendalian detektif (detective control), menemukan masalah yang tidak
terelakkan. Contohnya, menduplikasi pengecekan kalkulasi dan menyiapkan
rekonsiliasi bank serta neraca saldo bulanan.
3. Pengendalian korektif (corrective control), mengidentifikasi dan memperbaiki
masalah serta memperbaiki dan memulihkannya dari kesalahan yang dihasilkan.
Contohnya, menjaga salinan backup pada file, perbaikan kesalahan entri data, dan
pengumpulan ulang transaksi-transaksi untuk pemrosesan selanjutnya.

Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut.

1. Pengendalian umum (general control), memastikan lingkungan pengendalian

sebuah organisasi stabil dan dikelola dengan baik. Contohnya, keamanan;
infrastruktur TI; dan pengendalian pembelian perangkat lunak, pengembangan,
dan pemeliharaan.

12
 2. Pengendalian aplikasi (application control), mencegah, mendeteksi, dan
mengoreksi kesalahan transaksi serta penipuan di dalam program aplikasi.
Pengendalian ini fokus terhadap ketepatan, kelengkapan, validitas, serta otorisasi
data yang didapat, dimasukkan, diproses, disimpan, ditransmisikan ke sistem lain,
dan dilaporkan.

Robert Simons, seorang profesor bisnis Harvard, telah menganut empat kaitan
pengendalian untuk membantu manajemen menyelesaikan konflik di antara kreativitas
dan pengendalian.
1. Sebuah sistem kepercayaan (belief system) menjelaskan cara sebuah perusahaan
menciptakan nilai, membantu pegawai memahami visi manajemen,
mengomunikasikan nilai-nilai dasar perusahaan, dan menginspirasi pegawai untuk
bekerja berdasarkan nilai-nilai tersebut.

2. Sebuah sistem batas (boundary system) membantu pegawai bertindak secara etis
dengan membangun batas-batas dalam perilaku kepegawaian. Sistem tersebut
tidak memberitahukan secara langsung kepada pegawai apa yang dilakukan, tetapi
mereka didorong untuk menyelesaikan masalah secara kreatif dan memenuhi
kebutuhan pelanggan di samping memenuhi standar kinerja minimum,
menghindari tindakan yang dilarang, dan menghindari tindakan yang mungkin
merusak reputasi mereka.
3. Sebuah sistem pengendalian diagnostik (diagnostic control system) mengukur,
mengawasi, dan membandingkan perkembangan perusahaan aktual berdasarkan
anggaran dan tujuan kinerja. Umpan balik membantu manajemen menyesuaikan
dan menyempurnakan input serta proses sehingga output di masa depan makin
mendekati tujuan yang ingin dicapai.
4. Sebuah sistem pengendalian interaktif (interactive control system) membantu
manajer untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan
lebih terlibat di dalam keputusan mereka. Data sistem interaktif diinterpretasikan
dan didiskusikan dalam pertemuan tatap muka para atasan, bawahan, dan rekanan.

13
 Namun, tidak semua perusahaan memiliki sistem pengendalian internal yang
efektif. Sebagai contoh, satu laporan mengindikasikan bahwa FBI terganggu oleh
kerentanan infrastruktur TI dan masalah keamanan, beberapa di antaranya diidentifikasi
pada sebuah audit 16 tahun sebelumnya. Area spesifik yang diperhatikan adalah standar
keamanan, panduan, dan prosedur; pemisahan tugas; pengendalian akses, termasuk
manajemen dan penggunaan kata sandi; backup dan pengendalian pemulihan; seta
pengembangan perangkat lunak dan mengubah pengendalian.

PRAKTIK KORUPSI ASING DAN SARBANES-OXLEY ACTS

Pada 1977, Foreign Corrupt Practices Act (FCPA) dikeluarkan untuk mencegah
perusahaan menyuap pejabat asing agar mendapatkan bisnis. Kongres menggabungan
aturan dari sebuah pernyataan American Institute of Certified Public Accountants
(AICPA) ke dalam FCPA yang mengharuskan perusahaan untuk memelihara sistem
pengendalian internal yang baik. Namun, ketentuan-ketentuan ini tidak cukup untuk
mencegah masalah yang lebih jauh.
Pada akhir 1990 dan awal 2000, berita melaporkan penipuan akuntansi di Enron,
WorldCom, Xerox, Tyco, Global Crossing, Adelphia, dan perusahaan lainnya. Ketika
Enron, dengan aset $62 miliar, dinyatakan bangkrut pada Desember 2001, ini adalah
kebangkrutan terbesar sepanjang sejarah Amerika Serikat. Pada Juni 2002, Arthur
Andersen, salah satu kantor CPA terbesar, kolaps. Kebangkrutan Enron disepelekan
ketika WorldCom, dengan aset lebih dari $100 miliar, mengajukan kebangkrutan pada
Juli 2002. Merespons penipuan tersebut, Kongres mengeluarkan Sarbanes-Oxley Act
(SOX) pada 2002. SOX diterapkan bagi perusahaan-perusahaan publik dan auditor
mereka serta didesain untuk mencegah penipuan laporan keuangan, membuat laporan
keuangan lebih transparan, melindungi investor, memperkuat pengendalian internal, dan
menghukum eksekutif yang melakukan penipuan.
Selain itu, SOX merupakan undang-undang berorientasi bisnis yang paling
penting dalam 80 tahun terakhir. Undang-undang ini mengubah cara dewan direksi dan

14
manajemen beroperasi serta memiliki dampak yang kuat terhadap CPA yang mengaudit
mereka. Berikut beberapa aspek terpenting SOX:
 Public Company Accounting Oversight Board (PCAOB). Tujuan SOX
menciptakan Public Company Accounting Oversight Board (PCAOB) adalah
untuk mengendalikan profesi pengauditan (auditing). Public Company Accounting
Oversight Board (PCAOB) menetapkan serta memberlakukan pengauditan,
pengendalian kualitas, etika, independensi, dan standar-standar audit lainnya. Ia
terdiri dari 5 orang yang ditunjuk oleh Securities and Exchange Commission
(SEC).
 Aturan-aturan baru bagi para auditor. Auditor harus melaporkan informasi
tertentu ke komite audit perusahaan, seperti kebijakan dan praktik akuntansi yang
penting. SOX membatasi auditor dalam melakukan layanan nonaudit tertentu,
seperti desain sistem informasi dan implementasi. Kantor audit tidak dapat
memberikan layanan kepada perusahaan jika manajemen puncak dipekerjakan
oleh kantor pengauditan (auditing) dan bekerja pada audit perusahaan dalam
kurun waktu 12 bulan sebelumnya.
 Peran baru bagi komite audit. Anggota komite audit harus berada di dewan
direksi perusahaan dan independen dari perusahaan. Seorang anggota komite audit
harus seorang pakar keuangan. Komite audit mempekerjakan, mengompensasi,
dan mengawasi para auditor yang melapor langsung kepada mereka.
 Aturan baru bagi manajemen, SOX mengharuskan CEO dan CFO untuk
menyatakan bahwa (1) pernyataan dan pengungkapan keuangan disajikan dengan
wajar, ditinjau oleh manajemen, dan tidak menyesatkan; dan bahwa (2) para
auditor diberitahukan tentang semua kelemahan pengendalian internal material
dan diberitahukan juga tentang penipuan. Jika manajemen dengan sengaja
melanggar aturan tersebut, mereka dapat dituntut dan didenda. Perusahaan harus
mengungkapkan dalam bahasa Inggris yang sederhana, perubahan material atas
kondisi keuangan mereka dengan tepat waktu.

15
  Ketentuan baru pengendalian internal. Bagian 404 mengharuskan perusahaan
untuk menerbitkan sebuah laporan pendukung laporan keuangan yang
menyatakan bahwa manajemen bertanggung jawab untuk menetapkan dan
memelihara sistem pengendalian internal yang memadai. Laporan tersebut harus
mengandung penilaian manajemen pengendalian internal perusahaan,
membuktikan ketepatan mereka, dan melaporkan kelemahan yang signifikan atau
ketidakpatuhan material.

Setelah SOX dikeluarkan, SEC memerintahkan bahwa manajemen harus:

 mendasarkan evaluasinya pada sebuah kerangka pengendalian yang berlaku.
Kerangka yang paling mungkin, diformulasikan oleh Committee of Sponsoring
Organization (COSO), dibahas dalam bab ini.
 mengungkap semua kelemahan pengendalian internal material.
 menyimpulkan bahwa sebuah perusahaan tidak memiliki pengendalian internal
pelaporan keuangan yang efektif jika terdapat kelemahan material.

Kerangka Pengendalian
Bagian ini membahas tiga kerangka yang digunakan untuk mengembangkan
sistem pengendalian internal.

KERANGKA COBIT
Information Systems Audit and Control Association (ISACA) mengembangkan
kerangka Control Objective for Information and Related Technology (COBIT).
COBIT menggabungkan standar-standar pengendalian dari banyak sumber berbeda ke
dalam sebuah kerangka tunggal yang memungkinkan (1) manajemen untuk membuat
tolok ukur praktik-praktik keamanan dan pengendalian lingkungan TI; (2) para
pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian yang
memadai; dan (3) para auditor memperkuat opini pengendalian internal dan
mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.

16
 Kerangka COBIT 5 menjelaskan praktik-praktik terbaik untuk tata kelola dan
manajemen Tl yang efektif. Selain itu, COBIT 5 didasarkan pada lima prinsip utama
tata kelola dan manajemen TI. Prinsip-prinsip berikut ini memungkinkan dalam
membantu organisasi membangun sebuah tata kelola yang efektif dan kerangka
manajemen yang melindungi investasi pemangku kepentingan dan menghasilkan sistem
informasi terbaik.
1. Memenuhi keperluan pemangku kepentingan. Kerangka COBIT 5 membantu
para pengguna mengatur proses dan prosedur bisnis untuk menciptakan sebuah
sistem informasi yang menambah nilai untuk pemangku kepentingan. Ia juga
memungkinkan perusahaan menciptakan keseimbangan yang tepat di antara risiko
dan penghargaan.
2. Mencakup perusahaan dari ujung ke ujung. Kerangka COBIT 5 tidak hanya
berfokus pada operasi TI, ia juga mengintegrasikan semua fungsi dan proses TI ke
dalam fungsi serta proses keseluruhan perusahaan.
3. Mengajukan sebuah kerangka terintegrasi dan tunggal. Kerangka COBIT 5
dapat disejajarkan pada tingkatan yang tinggi dengan standar dan kerangka
lainnya, sehingga sebuah kerangka yang menyeluruh bagi tata kelola TI dan
manajemen diciptakan.
4. Memungkinkan pendekatan holistik. Kerangka COBIT 5 memberikan sebuah
pendekatan holistik yang menghasilkan tata kelola dan manajemen yang efektif
dari semua fungsi TI di perusahaan.
5. Memisahkan tata kelola dari manajemen. Kerangka COBIT 5 membedakan
antara tata semua fungsi TI di perusahaan. kelola dan manajemen.

Tujuan tata kelola adalah menciptakan nilai dengan mengoptimalkan penggunaan

sumber daya organisasi untuk menghasilkan manfaat yang diinginkan dengan cara yang
secara efektif mengatasi risiko. Tata kelola adalah tanggung jawab dewan direksi yang
(1) mengevaluasi keperluan pemangku kepentingan untuk mengidentifikasi tujuan, (2)
memberikan arahan bagi manajemen dengan memprioritaskan tujuan, dan (3)
mengawasi kinerja manajemen.

17
 Manajemen bertanggung jawab atas perencanaan, pembangunan, pelaksanaan,
dan pengawasan aktivitas serta proses yang digunakan oleh organisasi untuk mengejar
tujuan atau tujuan yang ditetapkan dewan direksi. Manajemen juga secara berkala
memberikan umpan balik bagi dewan direksi yang dapat digunakan untuk mengawasi
pencapaian tujuan organis dan, jika diperlukan, mengevaluasi ulang serta mungkin
memodifikasi tujuan tersebut.
Tata kelola dan manajemen TI merupakan proses berkelanjutan. Dewan direksi
dan manajemen mengawasi aktivitas organisasi dan menggunakan umpan balik tersebut
untuk memodifikasi rencana dan prosedur yang ada atau mengembangkan strategi baru
untuk merespons perubahan-perubahan di dalam tujuan bisnis dan perkembangan baru
dalam TI.
COBIT 5 adalah sebuah kerangka komprehensif yang membantu perusahaan
mencapai tujuan tata kelola dan manajemen TI mereka. Kelengkapan ini adalah salah
satu kekuatan COBIT 5 dan menekankan pada penerimaan internasional yang
berkembang sebagai sebuah kerangka untuk mengelola serta mengendalikan sistem
informasi.

Model COBIT 5 tentang referensi proses mengidentifikasi lima proses tata kelola
(merujuk pada mengevaluasi, mengarahkan, mengawasi-evaluate, direct, dan monitor--
atau EDM) dan 32 proses manajemen. Tiga puluh dua proses manajemen dibagi ke
dalam empat domain sebagai berikut.
1. Menyelaraskan, merencanakan, dan mengatur (align, plan, dan organize--APO)
2. Membangun, mengakuisisi, menerapkan (build, acquire, dan implement-BAI)
3. Mengantar, melayani, mendukung (deliver, service, dan support-DSS)
4. Mengawasi, mengevaluasi, menilai (monitor, evaluate, dan assess-MEA)

Tidak memungkinkan untuk merangkum keseluruhan COBIT 5 dalam teks ini.

Namun, pada Bab 8 sampai 10, kita berfokus pada porsi COBIT 5 yang sebagian
besarnya secara langsung relevan terhadap akuntan, auditor, dan sistem informasi
akuntansi. Selain itu juga meliputi proses bisnis dan aktivitas pengendalian yang

18
memengaruhi ketepatan laporan keuangan sebuah organisasi dan kepatuhannya terhadap
peraturan eksternal seperti SOX. Health Insurance Portability and Accountability Act
(HIPAA), dan standar keamanan yang diamanatkan oleh industri kartu kredit.

KERANGKA PENGENDALIAN INTERNAL COSO

Committee of Sponsoring Organizations (COSO) terdiri dari Asosiasi Akuntansi
Amerika (American Accounting Association), AICPA, Ikatan Auditor Internal (Institute
of Internal Auditors), Ikatan Akuntan Manajemen (Institute of Management
Accountants), dan Ikatan Eksekutif Keuangan (Financial Executives Institute). Pada
1992, COSO menerbitkan Pengendalian Internal (Internal Control)--Kerangka
Terintegrasi (Integrated Framework)-- IC, yang diterima secara luas sebagai otoritas
untuk pengendalian internal yang digabungkan ke dalam kebijakan, peraturan, dan
regulasi yang digunakan untuk mengendalikan aktivitas bisnis.
Pada 2013, kerangka IC diperbarui untuk kesepakatan yang lebih baik lagi dengan
proses bisnis dan penguasaan teknologi terkini. Contohnya, pada 1992, sangatlah sedikit
bisnis yang menggunakan Internet, mengirim e-mail, atau menyimpan data mereka di
dalam cloud. Kerangka IC revisi juga memberikan panduan lebih tepat bagi para
pengguna tentang cara menerapkan dan mendokumentasikan kerangka. Banyak contoh-
contoh baru yang ditambahkan untuk memperjelas konsep kerangka dan membuat
kerangka lebih mudah untuk dipahami serta digunakan. Kerangka IC baru tetap
menggunakan lima komponen dari kerangka asli dan menambahkan 17 prinsip yang
membangun serta mendukung konsep. Masing-masing dari lima komponen setidaknya
memiliki dua hingga lima prinsip.

KERANGKA MANAJEMEN RISIKO PERUSAHAAN

Untuk memperbaiki proses manajemen risiko, COSO mengembangkan kerangka
pengendalian kedua yang disebut Manajemen Risiko Perusahaan (Enterprise Risk
Management)-Kerangka Terintegrasi (Integrated Framework)-ERM. Kerangka ERM
adalah proses yang digunakan oleh dewan direksi dan manajemen untuk mengatur
strategi, mengidentifikasi kejadian yang mungkin memengaruhi entitas, menilai dan

19
mengelola risiko, serta menyediakan jaminan memadai bahwa perusahaan mencapai
tujuan dan sasarannya. Prinsip-prinsip dasar di balik ERM adalah sebagai berikut.
 Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya.
 Manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia
terima saat menciptakan nilai,
 Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa
sesuatu secara negatif memengaruhi kemampuan perusahaan untuk menghasilkan
atau mempertahankan nilai.
 Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa
sesuatu secara positif mempengaruhi kemampuan perusahaan untuk menghasilkan
atau mempertahankan nilai.
 Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan
mempertahankan nilai.

KERANGKA MANAJEMEN RISIKO PERUSAHAAN VERSUS

KERANGKA PENGENDALIAN INTERNAL

Kerangka IC telah diadopsi secara luas sebagai cara untuk mengevaluasi
pengendalian internal, seperti yang ditentukan oleh SOX. Kerangka ERM yang lebih
komprehensif menggunakan pendekatan berbasis risiko daripada berbasis pengendalian.
ERM menambahkan tiga elemen umbahan ke kerangka IC COSO: penetapan tujuan,
pengidentifikasian kejadian yang mungkin memengaruhi perusahaan, dan
pengembangan sebuah respons untuk risiko yang dinilai. Hasilnya, pengendalian
bersifat fleksibel dan relevan karena mereka ditautkan dengan tujuan organisasi terkini.
Model ERM juga mengakui bahwa risiko, selain dikendalikan, dapat pula diterima,
dihindari, dibuat berjenis-jenis, dibagi, atau ditransfer.
Oleh karena lebih komprehensif, buku ini menggunakan model ERM untuk
menjelaskan pengendalian internal. Jika seseorang dapat memahami model ERM, maka
akan lebih mudah untuk memahami model IC karena model IC adalah 5 dari 8

20
komponen model ERM. Lebih sulit untuk mempelajari model IC terlebih dahulu,
kemudian baru ke model ERM karena pengguna bisa jadi tidak familier dengan tiga
komponen tambahan.

Lingkungan Internal
Lingkungan internal (internal environment), atau budaya perusahaan,
memengaruhi cara organisasi menetapkan strategi dan tujuannya; membuat struktur
aktivitas bisnis; dan mengidentifikasi, menilai, serta merespons risiko. Ini adalah
fondasi dari seluruh komponen ERM lainnya. Lingkungan internal yang lemah atau
tidak efisien sering kali menghasilkan kerusakan di dalam manajemen dan pengendalian
risiko. Hal tersebut secara esensial merupakan hal yang sama dengan lingkungan
pengendalian pada kerangka IC.
Sebuah lingkungan internal mencakup hal-hal sebagai berikut.
1. Filosofi manajemen, gaya pengoperasian, dan selera risiko.
2. Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi.

3. Pengawasan pengendalian internal oleh dewan direksi.

4. Struktur organisasi.
5. Metode penetapan wewenang dan tanggung jawab.
6. Standar-standar sumber daya manusia yang menarik, mengembangkan, dan
mempertahankan individu yang kompeten.
7. Pengaruh eksternal.

Enron adalah sebuah contoh dari ketidakefektifan lingkungan internal yang

mengakibatkan kegagalan finansial. Meskipun Enron tampaknya memiliki sistem ERM
yang efektif, ternyata lingkungan internalnya tidak efektif. Manajemen terlibat dalam
praktik bisnis yang berisiko serta meragukan, dan dewan direksi tidak pernah
mempertanyakannya. Manajemen salah menyajikan kondisi keuangan perusahaan,
kehilangan keyakinan para pemangku kepentingan, dan akhirnya mengajukan
kebangkrutan.

21
FILOSOFI MANAJEMEN, GAYA PENGOPERASIAN, DAN SELERA RISIKO
Secara keseluruhan, sebuah organisasi memiliki sebuah filosofi atau kepercayaan
dan sikap yang dianut bersama, tentang risiko yang memengaruhi kebijakan, prosedur,
komunikasi lisan dan tulisan, serta keputusan. Perusahaan juga memiliki selera risiko
(risk appetite). yaitu jumlah risiko yang bersedia diterima oleh sebuah perusahaan untuk
mencapai tujuan dan sasarannya. Untuk menghindari risiko yang tidak semestinya,
selera risiko harus selaras dengan strategi perusahaan,
Semakin bertanggung jawab filosofi dan gaya pengoperasian manajemen, serta
makin jelas mereka berkomunikasi, maka semakin besar kemungkinan para pegawai
akan bertindak dengan tanggung jawab, lika manajemen hanya memiliki sedikit
perhatian pada pengendalian internal dan manajemen risiko, maka pegawai akan
menjadi kurang rajin untuk mencapai tujuan pengendalian. Budaya di Springer's
Lumber & Supply menjadi sebuah contoh. Maria Pilier menemukan bahwa garis
wewenang dan tanggung jawab ditetapkan dengan longgar dan mencurigai bahwa
manajemen mungkin telah menggunakan "akuntansi kreatif" untuk meningkatkan
kinerja perusahaan. Jason Scott menemukan bukti atas praktik pengendalian internal
yang buruk dalam fungsi pembelian dan utang. Dua kondisi tersebut mungkin berkaitan;
sikap longgar manajemen mungkin telah menyebabkan ketidakpedulian departemen
pembelian terhadap praktik pengendalian internal yang baik.
Filosofi manajemen, gaya pengoperasian, dan selera risiko dapat dinilai dengan
menjawab pertanyaan-pertanyaan seperti berikut.
 Apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk
mencapai tujuan atau apakah manajemen menilai risiko dan manfaat potensial
sebelum bertindak?
 Apakah manajemen memanipulasi ukuran-ukuran kinerja, seperti pendapatan
bersih sehingga mereka terlihat baik?

22
  Apakah manajemen menekan para pegawai untuk mencapai hasil terlepas dari
metodenya atau apakah manajemen menuntut perilaku yang etis? Dengan kata
lain, apakah pada akhirnya hal tersebut membuahkan hasil?

KOMITMEN TERHADAP INTEGRITAS, NILAI ETIS, DAN KOMPETENSI

Organisasi membutuhkan sebuah budaya yang menekankan integritas dan
komitmen pada nilai-nilai etis serta kompetensi. Etika berbayar—standar-standar etis
merupakan blinis yang baik. Integritax dimulai dari puncak kepemimpinan dengan para
pegawai perumaha mengadopsi sikap manajemen puncak tentang risiko dan
pengendalian. Sebuah pesan yang kuat tersampaikan ketika CEO yang dihadapkan
dengan sebuah keputusan yang sulit, membuat keputusan yang tepat secara etis.
Perusahaan mendukung integritas dengan:
 mengajarkan dan mensyaratkannya secara aktif-sebagai contoh, menekankan
bahwa laporan yang jujur lebih penting daripada laporan yang disukai;
 menghindari pengharapan atau insentif yang tidak realistis, sehingga memotivasi
tindakan dusta atau ilegal, seperti praktik penjualan yang terlampau agresif, taktik
negosiasi yang tidak wajar atau tidak etis, dan pemberian bonus yang berlebihan
berdasarkan hasil keuangan yang dilaporkan;
 memberikan penghargaan atas kejujuran serta memberikan label verbal pada
perilaku jujur dan tidak jujur secara konsisten. Jika perusahaan menghukum atau
memberikan penghargaan atas kejujuran tanpa melabelinya, atau jika standar
kejujuran tidak konsisten maka para pegawai akan menunjukkan perilaku moral
yang tidak konsisten;
 mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit
perilaki perilaku jujur dan tidak jujur. Sebagai contoh, kebanyakan agen
pembelian yang setuju menerima $5,000 dari seorang pemasok, maka agen
pembelian tersebut tidaklah jujur. tetapi jika berupa sebuah liburan akhir pekan
maka masih belum jelas. Satu penyebab utama dari ketidakjujuran berasal dari
rasionalitas situasi yang buram dan memungkinkan kriteria kelayakan untuk

23
 menggantikan kriteria benar versus salah. Perusahaan sebaiknya memastikan
bahwa pegawai telah membaca dan memahami kode etik;
 mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan
mendisiplinkan pegawai yang diketahui tidak melaporkannya. Semua tindakan
tidak jujur harus diselidiki dan pegawai yang tidak jujur diberhentikan atau
ditindaklanjuti untuk menunjukkan bahwa perilaku tersebut tidak diperbolehkan;
 membuat sebuah komitmen untuk kompetensi. Perusahaan seharusnya
mempekerjakan pegawai yang kompeten dengan kebutuhan pengetahuan,
pengalaman, pelatihan, dan kemampuan yang diperlukan.

PENGAWASAN PENGENDALIAN INTERNAL OLEH DEWAN DIREKSI

Dewan direksi yang terlibat mewakili pemangku kepentingan dan memberikan
tinjauan independen manajemen yang bertindak seperti sebuah pengecekan dan
penyeimbangan atas tindakan tersebut. SOX mensyaratkan perusahaan publik untuk
memiliki sebuah komite audit (audit committee) dari dewan luar dan independen.
Komite audit bertanggung jawab atas pelaporan keuangan, kepatuhan terhadap
peraturan, pengendalian internal, serta perekrutan dan pengawasan baik auditor internal
maupun eksternal, yang melaporkan seluruh kebijakan dan praktik akuntansi penting
kepada komite tersebut. Para dewan harus menyetujui strategi perusahaan dan meninjau
kebijakan-kebijakan keamanan.

STRUKTUR ORGANISASI
Sebuah struktur organisasi perusahaan memberikan sebuah kerangka untuk
operasi perencanaan, pelaksanaan, pengendalian, dan pengawasan. Aspek-aspek penting
dari struktur organisasi menyertakan hal-hal sebagai berikut.
 Sentralisasi atau desentralisasi wewenang.
 Hubungan pengarahan atau matriks pelaporan.
 Organisasi berdasarkan industri, lini produk, lokasi, atau jaringan pemasaran.
 Bagaimana alokasi tanggung jawab memengaruhi ketentuan informasi.

24
  Organisasi dan garis wewenang untuk akuntansi, pengauditan, dan fungsi sistem
informasi.
 Ukuran dan jenis aktivitas perusahaan.

Struktur organisasi yang rumit atau tidak jelas dapat mengindikasikan masalah
yang serius. Sebagai contoh, ESM, sebuah perusahaan makelar, menggunakan struktur
organisasi multilapisan untuk menyembunyikan penipuan sebesar $300 juta.
Manajemen menyembunyikan kas curian dalam laporan keuangan mereka
menggunakan penerimaan fiktif dari sebuah perusahaan terkait.
Pada dunia bisnis masa kini, struktur hierarkis, dengan lapisan-lapisan manajemen
yang saling mengawasi, tengah digantikan dengan organisasi datar dengan kelompok-
kelompok kerja arahan sendiri yang membuat keputusan tanpa memerlukan banyak
lapisan persetujuan. Penekanannya lebih pada perbaikan berkelanjutan daripada tinjauan
dan penilaian periodik. Struktur organisasi ini mengubah dampak jenis dan sifat
pengendalian yang digunakan.

METODE PENETAPAN WEWENANG DAN TANGGUNG JAWAB

Manajemen harus memastikan para pegawai memahami sasaran dan tujuan

entitas, menetapkan wewenang, tanggung jawab untuk sasaran dan tujuan baik untuk
departemen maupun individu, memilih individu bertanggung jawab untuk mencapainya,
serta mendorong penggunaan inisiatif untuk menyelesaikan masalah. Hal ini terutama
penting untuk mengidentifikasi siapa yang bertanggung jawab untuk kebijakan
keamanan informasi perusahaan.
Wewenang dan tanggung jawab ditetapkan dan dikomunikasikan menggunakan
deskripsi pekerjaan formal, pelatihan pegawai, jadwal pengoperasian, anggaran, kode
etik, serta kebijakan dan prosedur tertulis. Kebijakan dan prosedur manual (policy
and procedures manual) menjelaskan praktik bisnis yang sesuai, mendiskripsikan
pengetahuan dan pengalaman yang dibutuhkan, menjelaskan prosedur dokumen,

25
menjelaskan cara menangani transaksi, dan mendata sumber daya yang disediakan
untuk melaksanakan tugas-tugas tertentu. Pedoman ini menyertakan bagan akun-akun
dan salinan formulir serta dokumen. Pedoman tersebut merupakan referensi dalam
pekerjaan yang membantu bagi para pegawai yang telah ada sekaligus sebuah alat yang
bermanfaat untuk pelatihan pegawai baru.

STANDAR SUMBER DAYA MANUSIA YANG MENARIK,

MENGEMBANGKAN, DAN MEMPERTAHANKAN INDIVIDU YANG
KOMPETEN
Salah satu dari kekuatan pengendalian terbesar adalah kejujuran pegawai; salah
satu dari kelemahan pengendalian terbesar adalah ketidakjujuran pegawai. Kebijakan
sumber daya manusia (SDM) dan praktik-praktik yang mengatur kondisi kerja, insentif
pekerjaan, dan kemajuan karier dapat menjadi kekuatan dalam mendorong kejujuran,
efisiensi, dan layanan yang loyal. Kebijakan SDM harus berisi tingkatan keahlian yang
diperlukan, perilaku etis, dan integritas yang diperlukan. Berikut ini merupakan
kebijakan dan prosedur SDM yang penting.
PEREKRUTAN Para pegawai seharusnya dipekerjakan berdasarkan latar
belakang pendidikan, pengalaman, pencapaian, kejujuran dan integritas, serta
persyaratan kerja yang sesuai. Seluruh personel perusahaan, termasuk kru kebersihan
dan pegawai sementara, harus mematuhi kebijakan perekrutan. Beberapa pelaku
penipuan menyamar sebagai pesuruh atau pegawai sementara untuk mendapatkan akses
fisik ke komputer perusahaan.
Kualifikasi pelamar dapat dievaluasi menggunakan resume, surat referensi,
wawancara, dan pengecekan latar belakang. Pengecekan latar belakang (background
check) yang teliti memuat pembicaraan berdasarkan referensi, pengecekan catatan
kriminal, pemeriksaan catatan kredit, dan melakukan verifikasi pendidikan serta
pengalaman kerja. Banyak pelamar memasukkan informasi yang palsu pada lamaran
atau resumenya. Philip Crosby Associates (PCA) mempekerjakan John Nelson, MBA,
CPA, tanpa melakukan pengecekan latar belakang. Pada kenyataannya, gelar CPA dan
referensi menakjubkan miliknya adalah palsu. Nelson sebenarnya adalah Robert W.

26
Liszewski, yang telah menjalani 18 bulan penjara karena menggelapkan $400.000. Pada
saat PCA mengetahui hal ini, Liszewski telah menggelapkan 10.000 menggunakan
transfer telegram ke sebuah perusahaan tipuan, didukung dengan tanda tangan palsu
pada kontrak dan dokumen yang sah.
Banyak perusahaan mempekerjakan ahli pengecekan latar belakang karena
beberapa pelamar membeli gelar palsu dari operator situs yang "memvalidasi"
pendidikan palsu ketika perusahaan menelepon. Beberapa pelamar bahkan membayar
hacker untuk membobol ke dalam database perusahaan guna memasukkan kelulusan
atau data nilai palsu.
MENGOMPENSASI, MENGEVALUASI, DAN MEMPROMOSIKAN
Pegawai dengan kompensasi buruk cenderung lebih merasakan dendam dan tekanan
finansial yang dapat memotivasi penipuan. Pembayaran yang wajar dan insentif bonus
yang sesuai membantu memotivasi dan memperkuat kinerja pegawai yang hebat. Para
pegawai seharusnya diberi penilaian kinerja periodik untuk membantu mereka
memahami kekuatan dan kelemahan mereka. Promosi seharusnya didasarkan pada
kinerja dan kualifikasi.
PELATIHAN Program pelatihan seharusnya mengajarkan para pegawai baru
akan tanggung jawab mereka; tingkat kinerja dan perilaku yang diharapan; serta
kebijakan dan prosedur, budaya, dan gaya pengoperasian perusahaan. Para pegawai
dapat dilatih dengan melakukan diskusi tidak resmi dan pertemuan resmi, penerbitan
memo periodik, pendistribusian panduan dan kode etik profesional tertulis,
penyebarluasan laporan perilaku tidak etis dan konsekuensinya, serta mempromosikan
program pelatihan keamanan dan penipuan. Pelatihan yang berkelanjutan membantu
para pegawai menghadapi tantangan-tantangan baru, tetap berada di depan dalam
persaingan, beradaptasi dalam perubahan teknologi, dan secara efektif mmghadapi
lingkungan yang berubah.
Penipuan mungkin tidak akan terjadi ketika para pegawai mempercayai bahwa
keamanan adalah urusan setiap orang, bangga akan perusahaan mereka dan protektif
terhadap asetnya, serta mengakui keperluan untuk melaporkan penipuan. Budaya
semacam itu harus diciptakan, diajarkan, dan dipraktikkan. Perilaku yang dapat dan

27
tidak dapat diterima harus dijelaskan. Banyak profesional komputer melihat tidak ada
yang salah dengan penggunaan sumber daya komputer perusahaan untuk mendapatkan
akses tidak sah ke database dan melihatnya. Konsekuensi dari perilaku tidak etis
(teguran, pemberhentian, dan penuntutan) harus diajarkan dan diperkuat.
PENGELOLAAN PARA PEGAWAI YANG TIDAK PUAS Beberapa
pegawai yang tidak puas, membalas dendam dengan tindakan yang dirasa salah, dan
melakukan penipuan atau menyabotase sistem. Perusahaan membutuhkan prosedur
untuk mengidentifikasi pegawai yang tidak puas dan membantu mereka mengatasi
perasaan itu atau memindahkan mereka dari pekerjaan yang sensitif. Sebagai contoh,
sebuah perusahaan dapat memilih untuk menetapkan sarana keluhan dan menyediakan
konseling pegawai. Membantu para pegawai mengatasi masalah mereka tidaklah mudah
untuk dilakukan, dengan demikian, karena sebagian besar pegawai ketakutan apabila
menyampaikan perasaan mereka yang dapat mengakibatkan konsekuensi yang negatif.
PEMBERHENTIAN Para pegawai yang diberhentikan harus segera dipindahkan
dari pekerjaan yang sensitif dan ditolak aksesnya ke sistem informasi. Seorang pegawai
yang diberhentikan menyalakan sebuah pemantik butana di bawah pendeteksi asap yang
ditempatkan di luar ruang komputer. Pemantik meledakkan sebuah sistem penyiram
yang menghancurkan sebagian besar perangkat keras komputer.
LIBURAN DAN ROTASI TUGAS Skema penipuan yang mensyaratkan
perhatian pelaku yang berkelanjutan terungkap ketika pelaku beristirahat. Melakukan
rotasi tugas pegawai secara periodik dan membuat pegawai mengambil liburan dapat
mencapai hasil yang sama. Sebagai contoh, FBI menggerebek sebuah perjudian dan
menemukan bahwa Roswell Steffen, yang berpenghasilan $11.000 setahun, tengah
mempertaruhkan $30.000 dalam sehari untuk balap kuda. Bank tempat ia bekerja
menemukan bahwa ia menggelapkan dan mempertaruhkan $1,5 juta selama lebih dari
periode tiga tahun. Seorang pecandu judi, Steffen meminjam $5.000 untuk
mempertaruhkan sebuah "hal pasti" yang tidak berjalan dengan baik. Dia menggelapkan
dengan jumlah yang terus meningkat untuk sebuah upaya agar mengembalikan uang
yang dia telah "pinjam”. Skema Steffen sederhana: dia mentransfer uang dari rekening
yang tidak aktif ke rekeningnya sendiri. Jika seseorang memprotes, Steffen sebagai

28
kepala teller dengan kewenangannya, untuk mengatasi jenis masalah seperti ini, akan
menggantikan uang dari orang yang memprotes dengan mengambil dari rekening tidak
aktif lainnya. Ketika ditanyai setelah penahanannya, bagaimana cara penipuan bisa
dapat dicegah, Steffen mengatakan bahwa bank bisa menggabungkan liburan dua
minggu dengan rotasi selama beberapa minggu untuk fungsi pekerjaan lain. Dengan
mengambil langkah-langkah bank tersebut, penggelapan Steffen, yang memerlukan
kehadirannya secara fisik di bank, nyaris mustahil untuk diungkap.
PERJANJIAN KERAHASIAAN DAN ASURANSI IKATAN KESETIAAN
Seluruh pegawai, pemasok, dan kontraktor seharusnya menandatangani dan mematuhi
sebuah perjanjian kerahasiaan. Asuransi ikatan kesetiaan melingkupi para pegawai
kunci yang melindungi perusahaan terhadap kerugian yang timbul dari tindakan
penipuan yang disengaja.
MENUNTUT DAN MEMENJARAKAN PELAKU Sebagian besar penipuan
tidak dilaporkan atau dituntut karena beberapa alasan:
1. Perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah
bencana hubungan publik. Pengungkapan dapat menguak kerentanan sistem dan
menarik lebih banyak penipuan atau serangan hacker.
2. Penegak hukum dan pengadilan sibuk dengan kriminal kekerasan serta memiliki
lebih sedikit waktu dan ketertarikan pada penipuan komputer yang tidak
menimbulkan kerusakan secara fisik.
3. Menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan
waktu.
4. Banyak petugas penegak hukum, pengacara, dan hakim kurang memiliki
kecakapan komputer yang diperlukan untuk menyelidiki dan menuntut kejahatan
komputer.
5. Hukuman untuk penipuan biasanya ringan. Sebuah contoh terkenal melibatkan C.
Arnold Smith, mantan pemilik San Diego Padres, yang disebut San Diego Abad
Ini. Smith terlibat dalam komunitas dan membuat kontribusi politis yang besar.
Ketika para penyelidik menemukan bahwa ia telah mencuri $200 juta dari
banknya, dia tidak mengadakan pembelaan, Hukumannya adalah empat tahun

29
 masa percobaan. Dia didenda $30.000, dibayarkan dengan jumlah $100 per bulan
selama 25 tahun tanpa bunga. Smith berusia 71 tahun saat itu. Uang yang
digelapkan tersebut tidak pernah dikembalikan.

PENGARUH EKSTERNAL
Eksternal meliputi persyaratan-persyaratan yang diajukan oleh bursa efek,
Financial Accounting Standards Board (FASB), PCAOB, dan SEC. Mereka juga
menyertakan persyaratan yang dipaksakan oleh badan-badan regulasi, seperti bank,
utilitas, dan perusahaan asuransi.

Penetapan Tujuan
Penetapan tujuan adalah komponen ERM yang kedua. Manajemen menentukan
hal yang ingin dicapai oleh perusahaan, sering disebut sebagai visi atau misi
perusahaan. Manajemen menetapkan tujuan pada tingkatan perusahaan dan kemudian
membaginya ke dalam tujuan yanglebih spesifik untuk subunit perusahaan. Perusahaan
menentukan hal yang harus berjalan dengan benar untuk mencapai tujuan dan
menetapkan ukuran kinerja guna menentukan apakah ukuran-ukuran kinerja tersebut
terpenuhi.
Tujuan strategis (strategic objective), merupakan sasaran tingkat tinggi yang
disejajarkan dengan misi perusahaan, mendukungnya, serta menciptakan nilai
pemegang saham. Manajemen seharusnya mengidentifikasi cara alternatif dalam
pencapaian tujuan strategis; mengidentifikasi dan menilai risiko serta dampak dari
setiap alternatif; memformulasikan strategi perusahaan; dan menetapkan tujuan operasi,
kepatuhan, dan pelaporan.
Tujuan operasi (operation objective), yaitu berhubungan dengan efektivitas dan
efisiensi operasi perusahaan, menentukan cara mengalokasikan sumber daya. Tujuan ini
merefleksikan preferensi, pertimbangan, dan gaya manajemen serta merupakan sebuah
faktor penting dalam keberhasilan perusahaan. Tujuan operasi bervariasi secara
signifikan-sebuah perusahaan mungkin memutuskan untuk menjadi pengadopsi awal
teknologi, perusahaan lain mungkin mengadopsi teknologi ketika terbukti andal, dan

30
yang ketiga mungkin mengadopsi hanya setelah teknologi tersebut telah diterima secara
umum.
Tujuan pelaporan (reporting objective) membantu memastikan ketelitian,
kelengkapan, dan keterandalan laporan perusahaan; meningkatkan pembuatan
keputusan; dan mengawasi aktivitas serta kinerja perusahaan.
Tujuan kepatuhan (compliance objective) membantu perusahaan mematuhi
seluruh hukum dan peraturan yang berlaku. Sebagian besar tujuan kepatuhan dan
banyak tujuan pelaporan dipaksakan oleh entitas eksternal agar merespons hukum dan
peraturan. Seberapa baik sebuah perusahaan mencapai tujuan kepatuhan dan pelaporan
dapat memengaruhi reputasi perusahaan tersebut secara signifikan.
Selain itu, ERM memberikan jaminan memadai bahwa tujuan pelaporan dan
kepatuhan memadai tercapai karena perusahaan memiliki kendali terhadapnya. Namun,
satu-satunya jaminan memadai yang dapat diberikan oleh ERM pada tujuan strategis
dan operasi yang terkadang merupakan anugerah terhadap suatu kejadian eksternal yang
tidak dapat dikendalikan, yaitu bahwa manajemen dan direksi diinformasikan secara
tepat waktu atas kemajuan yang dibuat perusahaan dalam mencapai tujuan srategis dan
operasi.

Identifikasi Kejadian
Committee of Sponsoring Organizations (COSO) mendefinisikan kejadian
(event) sebagai "sebuah insiden atau peristiwa yang berasal dari sumber-sumber internal
atau eksternal yang memengaruhi implementasi strategi atau pencapaian tujuan.
Kejadian mungkin memiliki dampak positif atau negatif atau keduanya." Sebuah
kejadian menunjukkan ketidakpastian; mungkin atau tidak mungkin terjadi. Jika terjadi,
sulit untuk diketahui kapan. Sampai terjadi, mungkin sulit untuk menentukan
dampaknya. Ketika terjadi, dapat memicu kejadian yang lain. Kejadian bisa terjadi
secara individu atau secara serentak. Manajemen harus mencoba untuk mengantisipasi
seluruh kemungkinan kejadian positif atau negatif, menentukan lebih dan kurang
mungkin untuk terjadi, dan memahami hubungan timbal-balik kejadian mana yang lebih
dan kurang mungkin untuk terjadi, dan memahami hubungan timbal-balik kejadian.

31
 Sebagai contoh, pertimbangkan bahwa implementasi dari sebuah sistem
pertukaran data elektronik (electronic data interchange-EDI) yang menciptakan
dokumen elektronik, mengirimkan data-data tersebut ke pelanggan dan pemasok, dan
menerima respons elektronik kembali. Beberapa kejadian yang dapat dialami sebuah
perusahaan adalah memilih teknolog yang tidak sesuai, akses yang tidak sah, kehilangan
integritas data, transaksi yang tidak lengkap, kegagalan sistem, dan sistem yang tidak
kompatibel.
Perusahaan menggunakan beberapa teknik untuk mengidentifikasi kejadian
termasuk penggunaan sebuah daftar komprehensif dari kejadian potensial, pelaksanaan
sebuah analisis internal, pengawasan kejadian-kejadian yang menjadi penyebab dan
titik-titik pemicu pengadaan seminar dan wawancara, penggunaan data mining, dan
penganalisisan proses proses bisnis.

Penilaian Risiko dan Respons Risiko

Selama proses penetapan tujuan, manajemen harus memerinci tujuan-tujuan

mereka dengan cukup jelas agar risiko dapat diidentifikasi dan dinilai. Sebagaimana
dibahas pada Bab 5, hal in seharusnya menyertakan sebuah penilaian atas semua
ancaman, termasuk bencana alam dan politis, kerusakan perangkat lunak dan kegagalan
peralatan, tindakan yang tidak disengaja, serta kemungkinan tindakan yang disengaja
seperti penipuan. Mempertimbangkan risiko penipuan secara khusus adalah penting
karena hal tersebut merupakan salah satu dari 17 prinsip yang termasuk di dalam
kerangka IC baru. Manajemen harus mengidentifikasi dan manganalisis risiko untuk
menentukan cara risiko-risiko seharusnya dikelola. Manajemen juga harus
mengidentifikasi dan menilai perubahan-perubahan yang dapat secara signifikan
berdampak pada sistem pengendalian internal.
Risiko-risiko sebuah kejadian yang teridentifikasi dinilai dalam beberapa cara
yang berbeda: kemungkinan, dampak positif dan negatif, secara individu dan
berdasarkan kategori, dampak pada unit organisasi yang lain, serta berdasarkan pada
sifat bawaan dan residual. Risiko bawaan (inherent risk) adalah kelemahan dari sebuah

32
penetapan akun atau transaksi pada masalah pengendalian yang signifikan tanpa adanya
pengendalian internal. Risiko residual (residual risk) adalah risiko yang yang tersisa
setelah manajemen mengimplementasikan pengendalian internal atau beberapa respons
lainnya terhadap risiko. Perusahaan har menilai risiko bawaan, mengembangkan
respons, dan kemudian menilai risiko residual.
Untuk menyelaraskan risiko yang diidentifikasikan dengan toleransi perusahaan
terhad risiko, manajemen harus mengambil pandangan entitas yang luas pada risiko.
Mereka harus menilai kemungkinan dan dampak risiko, seperti biaya dan manfaat dari
respons-respons alternatif. Manajemen dapat merespons risiko dengan salah satu dari
empat cara berikut.
 Mengurangi. Mengurangi kemungkinan dan dampak risiko dengan
mengimplementasikan sistem pengendalian internal yang efektif.
 Menerima. Menerima kemungkinan dan dampak risiko.
 Membagikan. Membagikan risiko atau mentransfernya kepada orang lain dengan
asuransi pembelian, mengalihdayakan sebuah aktivitas, atau masuk ke dalam
transaksi lindung nilai (hedging).
 Menghindari. Menghindari risiko dengan tidak melakukan aktivitas yang
menciptakan risiko. Hal ini bisa jadi mensyaratkan perusahaan untuk menjual
sebuah divisi, keluar dari lini produk, atau tidak memperluas perusahaan seperti
yang diharapkan.

Para akuntan dan perancang sistem membantu manajemen merancang sistem

pengendalian yang efektif untuk mengurangi risiko bawaan. Mereka juga mengevaluasi
sistem pengendalian internal untuk memastikan bahwa sistem tersebut beroperasi
dengan efektif. Mereka menilai dan mengurasi risiko menggunakan strategi penilaian
dan respons risiko yang ditampilkan pada Figur 7-1. Langkah pertama adalah
identifikasi kejadian, yang telah dibahas

MEMPERKIRAKAN KEMUNGKINAN DAN DAMPAK

33
 Beberapa kejadian memiliki risiko yang lebih besar karena lebih cenderung untuk
terjadi. Para pegawai cenderung membuat sebuah kesalahan daripada melakukan
penipuan dan sebuah perusahaan cenderung menjadi korban penipuan daripada gempa
bumi. Kemungkinan terjadinya sebuah gempa bumi mungkin kecil, tetapi dampaknya
dapat menghancurkan sebuah perusahaan. Dampak dari penipuan biasanya tidak sebesar
itu, karena kebanyakan kasus penipuan tidak mengancam eksistensi perusahaan.
Kemungkinan dan dampak harus dipertimbangkan bersamaan. Oleh karena itu,
keduanya meningkat, baik materialitas dari kejadian maupun kebutuhan untuk
melindunginya akan muncul.
Alat-alat perangkat lunak membantu penilaian dan respons risiko secara otomatis.
Blue Cross Blue Shield di Florida menggunakan perangkat lunak ERM yang
mengizinkan manajer memasukkan risiko yang dirasakan; menilai sifat, kemungkinan,
dan dampaknya; serta menetapkan pemeringkatan numerik. Sebuah penilaian risiko
keseluruhan perusahaan dikembangkan dengan mengagregasi seluruh pemeringkatan.

MENGIDENTIFIKASI PENGENDALIAN
Manajemen harus mengidentifikasi pengendalian yang melindungi perusahaan
dari setiap kejadian. Pengendalian preventif biasanya superior dibandingkan
pengendalian detektif. Ketika pengendalian preventif gagal, pengendalian detektif
menjadi sangat diperlukan untuk menemukan masalah. Pengendalian korektif
membantu memulihkan dari segala masalah. Sebuah sistem pengendalian internal yang
baik harus menggunakan ketiganya.

MEMPERKIRAKAN BIAYA DAN MANFAAT

Tujuan dari perancangan sebuah sistem pengendalian internal adalah untuk
memberikan jaminan memadai bahwa kejadian tidak terjadi. Tidak ada sistem
pengendalian internal yang memberikan perlindungan sangat mudah terhadap seluruh
kejadian, karena memiliki banyak sekali pengendalian membutuhkan biaya sangat besar
dan secara negatif memengaruhi efisiensi operasional. Kebalikannya, memiliki terlalu
sedikit pengendalian tidak akan memberikan jaminan memadai yang diperlukan.

34
Manfaat dari prosedur pengendalian internal harus melebihi biayanya. Manfaat-manfaat
tersebut sulit dihitung secara akurat, termasuk penjualan dan produktivitas yang
meningkat, kerugian yang dikurangi, integrasi yang lebih baik dengan pelanggan dan
pemasok, loyalitas pelanggan yang meningkat, keunggulan kompetitif, dan premi
asuransi yang lebih rendah. Biaya biasanya lebih mudah diukur dibandingkan manfaat.
Elemen biaya yang umum, yaitu personel, termasuk waktu untuk menjalankan prosedur
pengendalian, biaya perekrutan pegawai tambahan untuk mencapai pemisahan tugas
yang efektif, dan biaya pemrograman pengendalian ke dalam sebuah sistem komputer.
Salah satu cara untuk memperkirakan nilai pengendalian internal melibatkan
kerugian yang diperkirakan (expected loss), hasil matematis dampak dan
kemungkinan.

Kerugian yang diperkirakan = Dampak x Kemungkinan

Nilai dari prosedur pengendalian adalah selisih antara kerugian yang diperkirakan
denga prosedur-prosedur pengendalian dan kerugian yang diperkirakan tanpa prosedur
tersebut.

FIGUR 7-1
Pendekatan Penilaian Risiko untuk Perancangan Pengendalian Internal

35
MENENTUKAN EFEKTIVITAS BIAYA/MANFAAT
Manajemen harus menentukan apakah sebuah pengendalian merupakan biaya
menguntungkan. Sebagai contoh, kesalahan data di Atlantic Richfield mengharuskan
keseluruhan penggajian untuk diproses ulang, dengan biaya $10.000. Sebuah tahap
validasi data akan menurunkan kemunkinan kejadian dari 15% menjadi 1%, dengan
biaya $600 per periode pembayaran.
Analisis biaya/manfaat yang menentukan bahwa tahap validasi harus dijalankan,
terlihat pada Tabel 7-1.
Dalam mengevaluasi pengendalian internal, manajemen harus lebih
mempertimbangkan faktor-faktor yang lain daripada faktor-faktor yang ada di dalam
perhitungan biaya/ manfaat yang diperkirakan. Sebagai contoh, jika sebuah kejadian
mengancam eksistensi buah perusahaan, biaya ekstranya dapat dianggap sebagai sebuah
premi asuransi kerugian bencana.

TABEL 7-1 Analisis Biaya/Manfaat dari Prosedur Validasi Penggajian

TANPA PROSEDUR VALIDASI

36
$10.000

15%

$1.500

Seal mempreses utang seluruh penggajian

Angan kesalahan data penggajian

51.400

$(600)

$800

SELISIH PERKIRAAN BERSIH

VALIDASI $10.000

196

$100

$600

241

50

37
MENGIMPLEMENTASIKAN PENGENDALIAN ATAU MENERIMA,
NEMBAGI, ATAU MENGHINDARI RISIKO
Pengendalian biaya efektif harus diimplementasikan untuk mengurangi risiko.
Risiko yang dak dikurangi harus diterima, dibagi, atau dihindari. Risiko dapat diterima
jika ia berada dalam jangkauan toleransi risiko perusahaan. Contohnya adalah sebuah
risiko dengan kemungkinan dan dampak yang kecil. Respons untuk menurunkan atau
membagi risiko membantu membawa risiko residual ke dalam sebuah jangkauan
toleransi risiko yang dapat diterima. Sebuah perusahaan mungkin memilih untuk
menghindari risiko ketika tidak ada cara biaya-efektif untuk membawa risiko ke dalam
sebuah jangkauan toleransi risiko yang dapat diterima.

Aktivitas Pengendalian
Aktivitas pengendalian (control activities) adalah kebijakan, prosedur, dan
aturan yang memberikan jaminan memadai bahwa tujuan pengendalian telah dicapai
dan respons risiko dilakukan. Hal tersebut merupakan tanggung jawab manajemen
untuk mengembangkan sebuah sistem yang aman dan dikendalikan dengan tepat.
Manajemen harus memastikan bahwa:
1. pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko
hingga level yang dapat diterima;
2. pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi:

3. aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan

dan prosedur perusahaan yang telah ditentukan.

Petugas keamanan informasi dan staf operasi bertanggung jawab untuk

memastikan bahwa prosedur pengendalian telah diikuti.
Pengendalian akan jauh lebih efektif ketika dijalankan sejak sistem dibangun,
daripada sesudah dibangun. Akibatnya, manajer perlu melibatkan analisis sistem,
desainer, dan pengguna akhir ketika mendesain sistem pengendalian berbasis komputer.

38
Hal yang penting bahwa aktivitas pengendalian tetap berjalan selama musim liburan
akhir tahun, karena jumlah penipuan komputer yang tidak proporsional dan perampokan
keamanan yang dilakukan pada waktu tersebut. Beberapa alasannya, yaitu (1) liburan
pegawai yang diperpanjang berarti bahwa orang yang "mengurusi toko" lebih sedikit;
(2) para pelajar libur sekolah dan mempunyai waktu lebih: dan (3) para hacker yang
budayanya berbeda meningkatkan serangan mereka.
Prosedur pengendalian dilakukan dalam kategori-kategori berikut:
1. Otorisasi transaksi dan aktivitas yang layak.
2. Pemisahan tugas.
3. Pengembangan proyek dan pengendalian akuisisi (perolehan).
4. Mengubah pengendalian manajemen.
5. Mendesain dan menggunakan dokumen serta catatan.
6. Pengamanan aset, catatan, dan data.
7. Pengecekan kinerja yang independen.

Fokus 7-1 membahas sebuah pelanggaran atas aktivitas pengendalian tertentu,

dikombinasikan dengan faktor lingkungan internal, yang dapat menghasilkan penipuan.

OTORISASI TRANSAKSI DAN AKTIVITAS YANG TEPAT

Oleh karena manajemen kekurangan waktu dan sumber daya untuk mengawasi
setiap aktivitas dan keputusan perusahaan, ia menetapkan kebijakan bagi pegawai untuk
diikuti dan kemudian memberdayakan mereka. Pemberdayaan ini disebut otorisasi
(authorization), yang merupakan sebuah prosedur pengendalian penting. Otorisasi
sering didokumentasikan dengan penandatanganan, penginisialisasian, dan pemasukan
sebuah kode otorisasi pada sebuah dokumen atau catatan. Sistem komputer dapat
merekam sebuah tanda tangan digital (digital signature), simbol penandatanganan
sebuah dokumen secara elektronik dengan data yang tidak dapat dipalsukan. Tanda
tangan digital dibahas pada Bab 9.
Aktivitas atau transaksi tertentu bisa jadi merupakan konsekuensi bahwa
manajemen memberikan otorisasi khusus (specific authorization) agar aktivitas atau

39
transaksi tersebut terjadi. Sebagai contoh, tinjauan dan persetujuan manajemen bisa jadi
diperlukan untuk penjualan dengan kelebihan $50.000. Sebaliknya, manajemen
mengotorisasi pegawai untuk menangani transaksi rutin tanpa persetujuan khusus,
sebuah prosedur yang dikenal sebagai otorisasi umum (general authorization).
Manajemen harus memiliki kebijakan tertulis baik pada otorisasi khusus maupun umum
untuk semua jenis transaksi.
Para pegawai yang memproses transaksi harus memverifikasi adanya otorisasi
yang sesuai. Para auditor meninjau transaksi untuk memverifikasi otorisasi yang tepat,
seperti ketiadaan transaksi-transaksi yang mengindikasikan sebuah masalah
pengendalian yang mungkin terjadi. Sebagai contoh, Jason Scott menemukan bahwa
beberapa pembelian tidak memiliki daftar permintaan pembelian. Bahkan, beberapa
pembelian tersebut telah "diotorisasi secara pribadi" oleh Bill Springer, wakil presiden
pembelian. Jason juga menemukan bahwa beberapa pembayaran telah diotorisasi tanpa
dokumen pendukung yang sesuai, seperti pesanan pembelian dan laporan penerimaan.
Temuan-temuan ini memunculkan pertanyaan mengenai kecukupan pada prosedur
pengendalian internal Springer.

PEMISAHAN TUGAS
Pengendalian internal yang baik mensyaratkan tidak ada satu pegawai pun yang
diberi terlalu banyak tanggung jawab atas transaksi atau proses bisnis. Seorang pegawai
tidak boleh berada di sebuah posisi untuk melakukan dan menyamarkan penipuan.
Pemisahan tugas dibahas dalam dua sesi terpisah: pemisahan tugas akuntansi dan
pemisahan tugas sistem.

FOKUS 7-1 Masalah Pengendalian di Sebuah Distrik Sekolah

Laporan audit untuk sebuah distrik sekolah mengungkapkan adanya kekurangan
pengendalian internal yang serius. Untuk meningkatkan pengendalian, distrik (1)
memilih paket plat lunak yang baru, (2) menstandardisasi prosedur akuntansi, (3)
melembagakan prosedur permintaan pembelian, (4) mengimplementasikan sebuah

40
pemisahan tugas, dan (5) menciptakan sebuah sistem pengendalian untuk kas dan
persediaan mesin jual otomatis.
Setelah perubahan, direksi mencatat bahwa saldo biaya SMP rendah dan meminta
auditor untuk menyelidiki. Sekretaris gbertanggung jawab untuk menyetor biaya murid
sehari-hari dan mengirimnya ke kantor pusat mengatakan bahwa jumlah ayng rendah
disebabkan oleh pembebasan biaya oleh kepala skeolah kepada murid-murid yang
memenuhi syarat, agar mereka mendapatkan makan siang gratis atau lebih murah.
Kepala sekolah menampik pembebasan biaya.
Auditor memeriksa kartu biaya milik setiap anak dan menemukan bahwa setoran
harian tidak sesuai dengan tanggal pada kartu biaya murid. Mereka juga menemukan
bahwa sekretaris bertanggung jawab atas dana kesejahteraan fakultas yang tidak pernah
diaudit atau diperiksa, dan merupakan persoalan pada pengendalian internal yang baru
diimplementasikan. Setoran untuk dana diperiksa dari fakultas dan dicairkan melalui
semua mesin jual otomatis. Untuk melakukan penipuan $20.000, sekretaris telah
mencuri semua kas mesin Jual otomatis, mengganti nama terbayar pada cek vendor
dengan namanya, dan menyetorkan biaya murid ke dalam dana kesejahteraan fakultas
untuk menutupi uang curian.
Sekretaris segera diberhentikan. Oleh karena sekretaris tersebut ditahan, distrik
mampu memulihkan seluruh dana.
Distrik sekolah kemudian memperkuat pengendalian. Auditor internal memeriksa
seluruh dana sekolah. Pengendalian dana kesejahteraan fakultas ditransfer ke seorang
anggota fakultas. Oleh karena penyelidikan menguak catatan kriminal sekretaris
sebelumnya, pengecekan latar belakang diperlukan untuk seluruh perekrutan di masa
depan.

PEMISAHAN TUGAS AKUNTANSI Sebagaimana yang ditunjukkan pada Figur 7-2,

pemisahan tugas akuntansi (segregation of accounting duties) yang efektif tercapai
ketika fungsi-fungsi berikut dipisahkan.
 Otorisasi - menyetujui transaksi dan keputusan.

41
  Pencatatan - mempersiapkan dokumen sumber; memasukkan data ke dalam
sistem komputer, memelihara jurnal, buku besar, file, atau database; dan
menyiapkan rekonsiliasi dan laporan kinerja.
 Penyimpanan - menangani kas, peralatan, persediaan, atau aktiva tetap;
menerima cek pelanggan yang datang; menulis cek.

Jika seseorang melakukan dua dari fungsi-fungsi tersebut, masalah dapat timbul.
Sebagai contoh, bendahara kota di Fairfax, Virginia, menggelapkan $600.000. Ketika
warga menggunakan uang untuk membayar pajak, dia menyimpan uangnya dan
memasukkan pembayaran pada catatan pajak properti, tetapi tidak melaporkan ke
pengawas. Secara periodik, dia membuat sebuah entri jurnal penyesuaian untuk
membawa catatannya ke dalam persetujuan dengan jurnal yang ada pada pengawas.
Ketika dia menerima cek di dalam surat yang akan hilang jika tidak dicatat, dia
memasukkannya ke dalam register kas dan mencuri sejumlah uang. Oleh karena
bendahara bertanggung jawab baik atas penyimpanan penerimaan uang dan pencatatan
penerimaan tersebut, dia mampu mencuri penerimaan uang dan memalsukan rekening
untuk menyamarkan pencurian.
Seorang direktur Newport Beach, California, menggelapkan $1,2 juta. Bertanggung
jawab untuk mengotorisasi transaksi, dia memalsukan faktur-faktur untuk dokumen
jenudahan otorisasi pembayaran ke pemilik properti nyata atau fiktif. Para petugas
departemen keuangan memberinya cek untuk diantar ke pemilik property. Dia
memalsukan tanda tangan dan menyetorkan cek ke dalam rekeningnya sendiri. Oleh
karena ia diberi kewenangan penyimpanan cek, dia dapat melakukan otorisasi transaksi
fiktif dan mencuri pembayarannya.

FIGUR 7-2 Pemisahan Tugas

42
 Direktur penggajian di Los Angeles Dodgers menggelapkan $330.000. Dia
melemburkan para pegawai pada jam-jam mereka tidak bekerja dan menerima 50%
pembayaran kembali untuk kompensasi ekstra. Dia menambahkan nama-nama fiktif ke
penggajian Dodgers dan mencairkan slip gajinya. Penipuan tersebut terungkap ketika ia
sedang sakit dan pegawai lain melakukan tugasnya. Oleh karena pelaku bertanggung
jawab untuk melakukan otorisasi perekrutan pegawai dan mencatat jam bekerja
pegawai, ia tidak perlu menyiapkan atau menangani slip gaji. Perusahaan mengirimkan
cek ke alamat yang dia sebutkan.
Dalam sebuah sistem dengan pemisahan tugas yang efektif, sulit bagi seorang
pegawai untuk dapat berhasil menggelapkan. Mendeteksi penipuan dengan dua atau
lebih orang yang terlibat kolusi (collusion) dalam usahanya menolak pengendalian akan
lebih sulit karena lebih mudah untuk melakukan dan menyamarkan penipuan. Sebagai
contoh, dua wanita pada sebuah perusahaan kartu kredit berkolusi. Seorang wanita
melakukan otorisa rekening kartu kredit baru, wanita lainnya menghapuskan rekening
tak terbayarkan yang kurang dari $1.000. Wanita pertama menciptakan rekening baru
untuk masing-masing dari mereka dengan menggunakan data fiktif. Ketika jumlah yang
jatuh tempo mendekati batas $1.000, wanita yang melakukan pengumpulan tersebut
menghapuskannya. Proses tersebut kemudian diulang. Mereka tertangkap ketika kekasih
mereka yang baru saja diputuskan membalas dendam kepada mereka dengan
melaporkan skema tersebut kepada perusahaan kartu kredit.

43
 Pegawai dapat berkomplot dengan pegawai lain, pelanggan, atau vendor. Kolusi
pegawai/vendor yang paling sering dilakukan, meliputi penagihan pada harga yang
melambung, melakukan pekerjaan di bawah standar dan menerima bayaran penuh,
bayaran untuk tidak bekerja, menggandakan tagihan, dan pembelian lebih banyak
barang secara tidak perlu dari perusahaan yang berkomplot. Kolusi pegawai/pelanggan
yang paling sering adalah pembayaran pinjaman atau asuransi yang tidak terotorisasi,
membiarkan jumlah yang dipinjam, dan perpanjangan tanggal jatuh tempo yang tidak
terotorisasi.

PEMISAHAN TUGAS SISTEM Dalam sebuah sistem informasi, prosedur yang

dijalankan oleh individu berbeda dikombinasikan. Oleh karena itu, setiap orang yang
memiliki akses yang tidak terbatas ke komputer, program, dan data langsung dapat
melakukan serta menyamarkan. Untuk melawan ancaman ini, organisasi menerapkan
pemisahan tugas sistem (segregation of system duties). Wewenang dan tanggung
jawab harus dibagi dengan jelas menurut fungsi-fungsi sebagai berikut.
1. Administrator sistem. Administrator sistem (system administrator) memastikan
seluruh komponen sistem informasi berjalan dengan lancar dan efisien.
2. Manajemen jaringan. Manajer jaringan (network manager) memastikan bahwa
perangkat ditautkan ke jaringan internal dan eksternal organisasi dan memastikan
pula bahwa jaringan tersebut beroperasi dengan baik.
3. Manajemen keamanan. Manajemen keamanan (security management)
memastikan bahwa sistem yang ada aman dan terlindungi dari ancaman internal
dan eksternal.
4. Manajemen perubahan. Manajemen perubahan (change management) adalah
proses untuk memastikan perubahan dibuat dengan lancar dan efisien tidak
memengaruhi keterandalan, keamanan, kerahasiaan, integritas, dan ketersediaan
sistem secara negatif.
5. Pengguna. Pengguna (users) mencatat transaksi, melakukan otorisasi data untuk
diproses, dan menggunakan output sistem.

44
 6. Analisis sistem. Analis sistem (system analysts) membantu pengguna
menentukan kebutuhan informasi mereka dan mendesain sistem agar sesuai
dengan kebutuhan-kebutuhan tersebut.
7. Pemrograman. Pemrogram (programmer) membuat dan mengembangkan
desain analis, mengodekan, dan menguji program komputer.
8. Operasi komputer. Operator komputer (computer operator) menjalankan
perangkat lunak pada komputer perusahaan. Mereka memastikan bahwa data
dimasukkan dengan tepat, diproses dengan benar, dan output yang diperlukan
akan dihasilkan.
9. Perpustakaan sistem informasi. Pustakawan sistem informasi memelihara
penyimpanan database, file, dan program perusahaan dalam area penyimpanan
terpisah yang disebut dengan perpustakaan sistem informasi (information
system library).
10. Pengendalian data. Kelompok pengendalian data (data control group)
memastikan bahwa data sumber telah disetujui dengan semestinya, mengawasi
alur kerja melalui komputer, merekonsiliasi input dan output, memelihara catatan
kesalahan input untuk memastikan kebenaran dan kepatuhannya kembali, serta
mendistribusikan output sistem.

Memungkinkan seseorang untuk melakukan dua atau lebih pekerjaan tersebut

dapat membuka peluang penipuan pada perusahaan. Sebagai contoh, jika seorang
pemrogram pera kredit menggunakan data aktual untuk menguji programnya, dia dapat
menghapuskan saldo pinjaman mobilnya selama pengujian. Begitu pula jika seorang
operator komputer memiliki akses ke logika dan dokumentasi pemrograman, dia
mungkin dapat menaikkan gajinya sambil memproses penggajian.
PENGEMBANGAN PROYEK DAN PENGENDALIAN AKUISISI
(PEROLEHAN)
Memiliki metodologi menjadi hal penting untuk mengatur pengembangan,
akuisisi, implementasi, dan memelihara sistem informasi. Metodologi harus
mengandung pengendalian yang tepat untuk persetujuan manajemen, keterlibatan

45
pengguna, analisis, desain, pengujian, implementasi, dan konversi. Metodologi-
metodologi tersebut dibahas pada Bab 20 sampai 22.
Pengendalian pengembangan sistem yang penting meliputi hal-hal sebagai
berikut:
1. Sebuah komite pengarah (steering committee) memandu dan mengawasi
pengembangan dan akuisisi (perolehan) sistem informasi.
2. Sebuah rencana induk strategis (strategic master plan) dikembangkan dan
diperbarui setiap tahun untuk menyelaraskan sistem informasi organisasi dengan
strategi-strategi bisnisnya. Ini menunjukkan proyek-proyek yang harus diselesaikan
serta menunjukkan persyaratan persyaratan perangkat keras, perangkat lunak, personel,
dan infrastruktur perusahaan.
3. Sebuah rencana pengembangan proyek (project development plan) menunjukkan
tugas-tugas yang dijalankan, orang yang akan menjalankannya, biaya proyek, tanggal
penyelesaian, dan tonggak proyek (project milestones)-- poin-poin signifikan ke
kemajuan ditinjau dan waktu penyelesaian aktual serta perkiraan dibandingkan. Setiap
proyek ditugaskan kepada seorang manajer dan tim yang bertanggung jawab atas
keberhasilan atau kegagalannya.
4. Sebuah jadwal pengolahan data (data processing schedule) menunjukkan kapan
setiap tugas seharusnya dijalankan.
5. Pengukuran kinerja sistem (system performance measurement) ditetapkan untuk
mengevaluasi sistem. Pengukuran yang umum meliputi throughput (output per unit
waktu), pemanfaatan (utilization)-persentase waktu penggunaan sistem, dan waktu
respons (response time)-lamanya waktu yang diperlukan sistem untuk merespons.
6. Sebuah tinjauan pasca-implementasi (postimplementation review) dijalankan
setelah sebuah proyek pengembangan diselesaikan untuk menentukan apakah manfaat
antisipasian tercapai.

Beberapa perusahaan mempekerjakan seorang sistem integrator (system

integrator) untuk mengelola sebuah upaya pengembangan sistem yang melibatkan
personel dalam perusahaan, kliennya, dan vendor lainnya. Proyek-proyek

46
pengembangan ini tunduk pada kelebihan biaya (cost overrun) dan tenggat waktu yang
terlewatkan sebagaimana sistem dikembangkan secara internal. Sebagai contoh,
Westpac Banking memulai sebuah proyek pengembangan sistem $85 juta selama 5
tahun untuk mendesentralisasikan sistem, menciptakan produk keuangan baru, dan
mengurangi departemen sistemnya. Tiga tahun dan $150 juta berikutnya, tidak ada hasil
yang dapat dipergunakan yang tercapai, dan jelas bahwa tanggal penyelesaian terjadi
tidak akan terpenuhi. Westpac melarikan diri dari tanggung jawabnya dengan memecat
IBM. pengembang perangkat lunak utama, dan meminta Accenture untuk meninjau
proyek dan mengembangkan rekomendasi guna mengatasinya.
Perusahaan-perusahaan yang menggunakan sistem integrator sebaiknya
menggunakan proses dan pengendalian manajemen proyek yang sama dengan proyek
internal. Selain itu perusahaan harus melakukan hal sebagai berikut.
 Mengembangkan spesifikasi yang jelas. Ini termasuk deskripsi dan definisi
sistem yang pasti, tenggat waktu yang jelas, dan kriteria penerimaan yang tepat.
Suffolk County, New York, menghabiskan 12 bulan dan $500.000
mempersiapkan spesifikasi mendetail untuk sebuah sistem peradilan kriminal
senilai $16 juta sebelum menerima tawaran. Hanya 6 dari 22 integrator yang
diundang dalam tawaran proyek karena biaya ketat di daerah dan standar kualitas.
Pejabat daerah meyakini kesungguhan upaya awal mereka dapat membantu
memastikan keberhasilan sistem baru dan menghemat anggaran daerah sebesar $3
juta.

 Mengawasi proyek. Perusahaan harus menetapkan prosedur formal untuk

mengukur dan melaporkan status sebuah proyek. Pendekatan terbaik adalah
membagi proyek ke dalam tugas-tugas yang dapat dikelola, menentukan tanggung
jawab untuk setiap tugas, dan mengadakan pertemuan setidaknya setiap bulan
untuk meninjau kemajuan serta menilai kualitas.

MENGUBAH PENGENDALIAN MANAJEMEN

47
 Organisasi memodifikasi sistem yang berjalan untuk merefleksikan praktik-
praktik bisnis baru dan untuk memanfaatkan penguasaan T1. Mereka yang bertugas
untuk perubahan harus memastikan bahwa mereka tidak memperkenalkan kesalahan
sehingga memfasilitasi penipuan. Aspek-aspek perilaku untuk perubahan dibahas pada
Bab 20 dan perubahan pengendalian manajemen dibahas pada Bab 10.

MENDESAIN DAN MENGGUNAKAN DOKUMEN DAN CATATAN

Desain dan penggunaan dokumen elektronik dan kertas yang sesuai dapat
membantu memastikan pencatatan yang akurat serta lengkap dari seluruh data transaksi
yang relevan. Bentuk dan isinya harus sesederhana mungkin, meminimalkan kesalahan,
dan memfasilitasi tinjauan serta verifikasi. Dokumen yang mengawali sebuah transaksi
harus menyediakan sebuah ruang untuk otorisasi. Mereka yang mentransfer aset
membutuhkan sebuah ruang untuk tanda tangan pihak penerimaan. Dokumen harus
dinomori secara urut, sehingga masing-masing dapat dibukukan. Jejak audit
memfasilitasi penelusuran transaksi individu melalui sistem, memperbaiki kesalahan,
dan memverifikasi output sistem. Desain dokumen, bentuk, dan layar dibahas pada Bab
22.

PENGAMANAN ASET, CATATAN, DAN DATA

Sebuah perusahaan harus melindungi kas dan aset fisik beserta informasinya.
Seorang reporter dari Reuters mengetahui bahwa Intentia, sebuah pengembang
perangkat lunak Swedia, mengeluarkan laporan pendapatan kuartal pertama dan
keduanya di situs dengan alamat situs yang nyaris serupa. Dia menebak alamat situs
kuartal ketiga dan menemukan angka angka yang belum dirilis, kemudian membuat
cerita mengenai hasil yang mengecewakan. Intentia mengajukan tuntutan peretasan
(hacking) kriminal, tetapi tidak lolos. Swedish Stock Exchange mengecam Intentia
karena tidak melindungi informasi keuangannya.
Para pegawai merupakan risiko keamanan yang lebih besar dibandingkan orang
luar. Mereka mampu menyembunyikan tindakan ilegal mereka dengan lebih baik karena
mereka mengetahui kelemahan sistem dengan lebih baik. Hampir 50% perusahaan

48
melaporkan para orang dalam mengakses data tanpa otorisasi yang semestinya. Seorang
ahli perangkat lunak di America Online dituntut karena menjual 92 juta alamat e-mail
yang ia dapatkan secara ilegal menggunakan identitas (ID) dan kata sandi pegawai lain.
Sebuah pebisnis perjudian Internet membeli nama-nama tersebut dan menggunakannya
untuk meningkatkan pendapatan sebesar $10.000 sampai $20.000 per hari. Pencurian
data tersebut tidak diketahui selama setahun, sampai seorang tanpa nama memberi
informasi kepada pihak berwajib bahwa bisnis perjudian tersebut menjual ulang nama-
nama itu kepada pelaku spamming yang menjual produk peningkatan kekuatan pria
herbal.
Para pegawai juga menyebabkan ancaman yang tidak disengaja, seperti
menghapus tanpa sengaja data perusahaan, membuka lampiran e-mail yang sarat dengan
virus, atau mencoba memperbaiki perangkat keras atau lunak tanpa keahlian yang
memadai. Hal-hal tersebut dapat menyebabkan jaringan rusak sehingga tidak
berfungsinya perangkat keras dan lunak, serta rusaknya data.
Bab 8 sampai 10 membahas pengendalian berbasis komputer yang membantu
mengamankan aset. Selain itu, penting bagi kita untuk melakukan hal-hal sebagai
berikat.
 Menciptakan dan menegakkan kebijakan dan prosedur yang tepat. Sering
kali seluruh kebijakan dan prosedur dibuat, tetapi tidak ditegalkan. Sebuah laptop
dengan nama-nama, nomor Social Security, dan tanggal lahir milik 26,5 juta orang
dicuri dari sebuah rumah seorang analis Departemen Veteran Affairs (VA).
Departemen VA tidak memaksakan kebijakan bahwa data yang sensitif harus
dienkripsi dan tidak boleh keluar dari kantor VA. Memperingatkan 26,5 juta orang
dan membelikan mereka layanan pengecekan kredit membebankan pembayar
pajak sebesar $100 juta. Dua tahun sebelum pencurian, seorang inspektur jenderal
melaporkan identifikasi pengendalian yang tidak layak atas data yang sensitif
sebagai sebuah kelemahan, tetapi tidak pernah ditunjukkan.
 Memelihara catatan akurat dari seluruh aset. Secara periodik merekonsiliasi
jumlah tercatat atas aset perusahaan ke perhitungan fisik dari aset-aset tersebut.

49
  Membatasi akses terhadap aset. Pembatasan akses terhadap area penyimpanan
dapat melindungi persediaan dan peralatan. Register kas, brankas, peti uang
(lockbox), dan kotak penyimpanan aman (safety deposit box) membatasi akses
terhadap kas dan aset kertas. Lebih dari $1 juta digelapkan dari Perini Corp.
karena cek kosong disimpan di dalam ruang penyimpanan tak terkunci. Seorang
pegawai menggunakan cek untuk vendor fiktif, menjalankannya melalui mesin
penandaan cek tak terkunci, dan menguangkan cek.
 Melindungi catatan dan dokumen. Area penyimpanan tahan api, lemari arsip
(filing cabinet) terkunci, file backup, dan penyimpanan di luar situs akan
melindungi catatan dan dokumen. Akses terhadap cek dan dokumen bank harus
dibatasi ke personel berwenang Seorang pesuruh di Inglewood, California,
mencuri 34 cek bank, menulis cek dari $50.000 sampai $470.000, memalsukan
nama kantor kota, dan menguangkannya.

PENGECEKAN KINERJA YANG INDEPENDEN

Pengecekan kinerja yang independen, dilakukan oleh seseorang, tetapi bukan
merupakan orang yang melakukan operasi aslinya, membantu memastikan bahwa
transaksi diproses dengan tepat. Pengecekan kinerja yang independen ini meliputi:
 Tinjauan tingkat atas. Manajemen harus mengawasi hasil perusahaan dan
membandingkan kinerja perusahaan secara periodik terhadap (1) kinerja yang
direncanakan, seperti yang ditunjukkan di dalam anggaran, target, dan perkiraan;
(2) kinerja periode sebelumnya; dan (3) kinerja pesaing.

 Tinjauan analitis. Sebuah tinjauan analitis (analytical review) adalah sebuah

pemeriksaan hubungan di antara set-set data yang berbeda. Sebagai contoh,
dengan meningkatnya penjualan kredit, seharusnya piutang juga meningkat.
Selain itu, terdapat hubungan antara penjualan dan akun-akun seperti harga pokok
penjualan, persediaan, dan ongkos angkut.

50
  Rekonsiliasi catatan-catatan yang dikelola secara independen. Catatan-catatan
harus direkonsiliasi terhadap dokumen atau catatan dengan saldo yang sama.
Sebagai contoh, sebuah rekonsiliasi bank memverifikasi bahwa saldo rekening
yang dicek perusahaan cocok dengan saldo laporan bank. Contoh yang lain adalah
membandingkan total buku besar pembantu dengan total buku besar umum.
 Perbandingan terhadap kuantitas aktual dengan jumlah dicatat. Aset yang
signifikan secara periodik dihitung dan direkonsiliasikan terhadap catatan
perusahaan. Pada akhir shift setiap kasir, kas di dalam mesin kasir harus sesuai
dengan jumlah dalam pita mesin kasir. Persediaan harus dihitung secara periodik
dan direkonsiliasikan terhadap catatan-catatan persediaan.
 Akuntansi double-entry. Pepatah bahwa debit yang seimbang dengan kredit
menyediakan berbagai peluang untuk pengecekan independen. Debit di dalam
entri penggajian mungkin bisa dialokasikan pada berbagai akun persediaan
dan/atau biaya; kredit dialokasikan pada akun-akun kewajiban untuk utang gaji,
pajak ditahan, asuransi pegawai, dan iuran serikat pekerja. Setelah entri
penggajian, pembandingan debit dan kredit total merupakan sebuah pengecekan
yang kuat terhadap ketepatan kedua proses. Setiap perbedaan mengindikasikan
adanya kesalahan.
 Tinjauan independen. Setelah sebuah transaksi diproses, orang kedua meninjau
pekerjaan orang pertama, mengecek otorisasi yang semestinya, meninjau
dokumen pendukung, dan mengecek ketepatan harga, kuantitas, serta ekstensi.

Informasi dan Komunikasi

Sistem informasi dan komunikasi haruslah memperoleh dan mempertukarkan
informasi yang butuhkan untuk mengatur, mengelola, dan mengendalikan operasi
perusahaan. Tujuan utama dari sistem informasi akuntansi (SIA-accounting information
system) adalah untuk mengumpulkan, mencatat, memproses, menyimpan, meringkas,
dan mengomunikasikan informasi mengenai sebuah organisasi. Hal tersebut meliputi
pemahaman cara transaksi dilakukan, data diperoleh, file diakses serta diperbarui, data

51
diproses, dan informasi dilaporkan. Hal itu meliputi pemahaman pencatatan dan
perosedur akuntansi, dokumen-dokumen pendukung, dan laporan keuangan. Hal-hal
tersebut memberikan jejak audit (audit trail), yang memungkinkan transaksi untuk
ditelusuri secara bolak-balik antara asalnya dan laporan keuangan.
Sebagai tambahan untuk pengidentifikasian dan pencatatan seluruh transaksi yang
valid, SLA harus mengklasifikasikan transaksi secara tepat, mencatat transaksi pada
nilai moneter yang sesuai, mencatat transaksi di dalam periode akuntansi yang sesuai,
dan menyajikan transaksi secara tepat dan pengungkapan lainnya di dalam laporan
keuangan.
Komunikasi harus dilakukan secara internal dan eksternal untuk menyediakan
informasi yang dibutuhkan guna menjalankan aktivitas pengendalian internal harian.
Seluruh personel harus memahami tanggung jawab mereka.
Kerangka IC yang diperbarui memerinci bahwa tiga prinsip berikut berlaku di
dalam proses informasi dan komunikasi.
1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi
untuk mendukung pengendalian internal.
2. Mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung
jawab yang diperlukan untuk mendukung komponen-komponen lain dari
pengendalian internal.
3. Mengomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-
pihak eksternal.

Sistem akuntansi secara umum terdiri atas beberapa subsistem, masing-masing

dirancang untuk memproses suatu jenis transaksi tertentu menggunakan urutan prosedur
sama yang disebut siklus akuntansi. Siklus akuntansi utama dan tujuan serta prosedur
yang terkait dijelaskan di Bab 12 sampai 16.

Pengawasan
Sistem pengendalian internal yang dipilih atau dikembangkan harus diawasi
secara berkelanjutan, dievaluasi, dan dimodifikasi sesuai kebutuhan. Segala kekurangan

52
harus dilaporkan kepada manajemen senior dan dewan direksi. Metode-metode utama
dalam pengawasan kinerja dibahas pada bagian ini.

MENJALANKAN EVALUASI PENGENDALIAN INTERNAL

Efektivitas pengendalian internal diukur dengan menggunakan evaluasi formal
atau evaluan penilaian diri. Sebuah tim dapat dibentuk untuk melakukan evaluasi, atau
hal ini dapat dilakukan dengan pengauditan internal.

IMPLEMENTASI PENGAWASAN YANG EFEKTIF

Pengawasan yang efektif melibatkan melatih dan mendampingi pegawai,
mengawasi kinerja mereka, mengoreksi kesalahan, dan mengawasi pegawai yang
memiliki akses terhadap asset. Pengawasan terutama penting untuk organisasi tanpa
pelaporan pertanggungjawaban atau sebuah pemisahan tugas yang memadai.

MENGGUNAKAN SISTEM AKUNTANSI PERTANGGUNGJAWABAN

Sistem akuntansi pertanggungjawaban meliputi anggaran, kuota, jadwal, biaya
standar, dan standar kualitas; perbandingan laporan kinerja aktual dan yang
direncanakan; dan prosedur untuk menyelidiki serta mengoreksi varians yang
signifikan.

MENGAWASI AKTIVITAS SISTEM

Paket perangkat lunak analisis dan manajemen risiko meninjau ukuran-ukuran
keamanan komputer dan jaringan, mendeteksi akses ilegal, menguji kelemahan dan
kerentanan, melaporkan kelemahan yang ditemukan, dan menyarankan perbaikan.
Parameter biaya dapat dimasukkan dalam tingkat penerimaan saldo atas toleransi risiko
dan efektivitas biaya. Perangkat lunak juga mengawasi dan melawan virus, spyware,
adware, spam, phishing, dan e-mail yang tidak pantas. Perangkat lunak memblokir iklan
pop-up, mencegah browser dibajak, dan memvalidasi ID penelepon dengan
membandingkan suara penelepon dengan sebuah cetak suara yang terekam sebelumnya.
Perangkat lunak dapat membantu perusahaan memulihkan dari tindakan berbahaya.

53
Sebuah paket manajemen risiko membantu sebuah perusahaan memulihkan dari
amukan seorang pegawai yang tidak puas. Setelah sebuah evaluasi kinerja yang negatif,
si pelaku mencabut kabel dari PC, mengubah file pengendalian persediaan, dan
mengedit file kata sandi untuk menghentikan orang-orang masuk ke dalam jaringan.
Perangkat lunak tersebut dengan segera mengidentifikasi file yang rusak dan
memperingatkan kantor pusat perusahaan. Kerusakan dibatalkan dengan penggunaan
perangkat lunak yang memulihkan file yang rusak ke status aslinya.
Seluruh transaksi dan aktivitas sistem harus direkam di dalam sebuah log yang
mengindikasikan siapa mengakses data apa, kapan, dan dari perangkat online yang Log-
log tersebut harus ditinjau dengan sering dan digunakan untuk mengawasi aktivitas
sistem, melacak masalah ke sumbernya, mengevaluasi produktivitas pegawai,
mengendalikan biaya-biaya perusahaan, melawan serangan spionase dan hacking, serta
mematuhi ketentuan-ketentuan hukum. Sebuah perusahaan menggunakan tiga log untuk
menganalisis mengapa seorang pegawai memiliki produktivitas nyaris nol dan
menemukan bahwa ia menghabiskan 6 jam sehari mengakses situs porno.
Privacy Foundation memperkirakan bahwa sepertiga dari seluruh pekerja Amerika
menggunakan komputer yang diawasi dan jumlah tersebut diharapkan meningkat.
Perusahaan-perusahaan yang mengawasi aktivitas sistem tidak boleh melanggar privasi
pegawal. Satu cara untuk melakukannya adalah membuat pegawai menyetujui secara
tertulis kebijakan-kebijakan tertulis yang menyertakan:
 Teknologi yang digunakan oleh seorang pegawai untuk pekerjaannya adalah milik
perusahaan.
 E-mail yang diterima oleh komputer perusahaan bukanlah e-mail pribadi dan
dapat dibaca personel pengawas. Kebijakan ini memungkinkan sebuah perusahaan
farmasi besar untuk mengidentifikasi dan menghentikan seorang pegawai yang
mengirimkan data produksi obat rahasia kepada seorang pihak eksternal.
 Para pegawai tidak boleh menggunakan teknologi untuk berkontribusi pada
lingkungan kerja yang bermusuhan.

54
MELACAK PERANGKAT LUNAK DAN PERANGKAT BERGERAK YANG
DIBELI
Business Software Alliance (BSA) melacak dan mendenda perusahaan-
perusahaan yang melanggar perjanjian lisensi perangkat lunak. Untuk mematuhi hak
cipta dan melindungi dirinya dari gugatan pembajakan perangkat lunak, perusahaan
harus melakukan audit perangkat lunak secara periodik. Harus ada lisensi yang cukup
untuk seluruh pengguna dan perusahaan tidak wajib membayar untuk lisensi yang lebih
dari yang dibutuhkan. Pengguna harus diinformasikan mengenai konsekuensi
penggunaan perangkat lunak yang tidak berlisensi.
Peningkatan jumlah perangkat bergerak (mobile) harus dilacak dan diawasi karena
kerugiannya dapat menunjukkan pengungkapan yang substansial, Barang-barang yang
dilacak adalah perangkat, siapa yang memiliki, tugas apa yang mereka jalankan, fitur
keamanan yang dipasang, dan perangkat lunak apa yang dibutuhkan oleh perusahaan
untuk memelihara sistem dan keamanan jaringan yang memadai.

MENJALANKAN AUDIT BERKALA

Audit keamanan eksternal, internal, dan jaringan dapat menilai dan mengawasi
risiko maupun mendeteksi penipuan dan kesalahan. Menginformasikan para pegawai
audit membantu menyelesaikan masalah-masalah privasi, menghalangi penipuan, dan
mengurangi kesalahan. Para auditor harus menguji pengendalian sistem secara reguler
dan menelusuri file penggunaan sistem untuk mencari aktivitas mencurigakan secara
periodik. Selama audit keamanan sebuah penahan kesehatan, para auditor berpura-pura
menjadi staf pendukung komputer yang membujuk 16 dari 22 pegawai untuk
mengungkapkan ID pengguna dan kata sandi mereka. Mereka juga menemukan bahwa
para pegawai menguji sebuah sistem baru yang mengekspos jaringan perusahaan atas
serangan dari luar. Pengauditan sistem dijelaskan pada Bab 11.
Auditor internal menilai keterandalan serta integritas informasi dan operasi
keuangan, mengevaluasi efektivitas pengendalian internal, dan menilai kepatuhan
pegawai dengan kebijakan dan prosedur manajemen maupun perundangan dan
peraturan yang berlaku. Fungsi audit internal harus independen dari fungsi akuntansi

55
dan pengoperasian secara organisasi. Audit internal harus melapor kepada komite audit,
bukan pengawas atau CFO.
Seorang auditor internal mencatat bahwa seorang supervisor departemen
mengajak seorang staf kantor untuk makan siang di limusin pada hari ulang tahunnya.
Bertanya-tanya apakah gaji supervisor dapat mendukung gaya hidupnya tersebut, sang
auditor menyelidiki dan menemukan bahwa si supervisor membangun beberapa vendor
fiktif, mengirimkan faktur perusahaan dari vendor vendor tersebut, dan menguangkan
cek yang dikirimkan padanya. Beberapa tahun dalam satu periode, ia menggelapkan
lebih dari $12 juta.

MEMPEKERJAKAN PETUGAS KEAMANAN KOMPUTER DAN CHIEF

COMPLIANCE OFFICER
Seorang computer security officer (CSO) bertugas atas keamanan sistem, independen
dari fungsi sistem informasi, dan melapor kepada chief operating officer (COO) atau
CEO. Banyak tugas terkait SOX atau bentuk kepatuhan lainnya telah menuntun banyak
perusahaan untuk mendelegasikan seluruh masalah kepatuhan kepada seorang chief
compliance officer (CCO). Banyak perusahaan menggunakan konsultan komputer dari
luar atau tim dalam perusahan untuk menguji dan mengevaluasi prosedur keamanan
serta sistem komputer.

MENYEWA SPESIALIS FORENSIK

Penyelidik forensik (forensic investigators) yang memiliki spesialisasi dalam
kasus penipuan adalah kelompok yang tumbuh dengan cepat pada profesi akuntansi.
Kehadiran mereka meningkat dikarenakan beberapa faktor, terutama SOX, aturan-
aturan akuntansi baru, dan permintaan dewan direksi bahwa penyelidikan forensik
merupakan bagian berkelanjutan dari pelaporan keuangan dan proses tata kelola
perusahaan. Sebagian besar penyelidik forensik mendapatkan pelatihan khusus dari FBI,
IRS, atau agen-agen penegak hukum lainnya. Para penyelidik dengan kemampuan
komputer yang dapat menyeret pelaku penipuan banyak sekali yang membutuhkannya.
Association of Certified Fraud Examiners mensponsori sebuah program sertifikasi

56
profesional Certified Fraud Examiner (CFE). Untuk menjadi seorang CFE, para
kandidat harus melalui sebuah ujian selama 2 hari. Saat ini ada sekitar 35.000 CFE di
seluruh dunia.
Para spesialis forensik komputer (computer forensics specialists) menemukan,
mengekstraksi, mengamankan, dan mendokumentasi bukti komputer seperti keabsahan,
akurasi, dan integritas bahwa tidak akan menyerah pada tantangan-tantangan hukum.
Forensik komputer dapat diperbandingkan dengan menjalankan "autopsi" pada sebuah
sistem komputer untuk menentukan apakah sebuah kejahatan dilakukan serta siapa yang
melakukannya, dan kemudian mempersiapkan bukti yang dibutuhkan oleh para
pengacara guna membuktikan tuntutan di pengadilan. Beberapa hal yang lebih umum
diselidiki, yaitu penggunaan Internet yang tidak tepat; penipuan; sabotase; kehilangan,
pencurian, atau korupsi data; memunculkan informasi "terhapus" dari e-mail dan
database; dan menemukan siapa yang menjalankan aktivitas-aktivitas komputer
tertentu. Sebuah tim forensik Deloitte & Touche mengungkapkan bukti yang membantu
menyatakan seorang manajer pembelian Giant Supermarket bersalah telah menerima
lebih dari $600.000 dalam kickback pemasok.

MEMASANG PERANGKAT LUNAK DETEKSI PENIPUAN

Para penipu mengikuti pola-pola yang berbeda dan meninggalkan petunjuk yang
dapat dilacak dengan perangkat lunak deteksi penipuan. ReliaStar Financial
menggunakan perangkat lunak dari IBM untuk mendeteksi hal-hal sebagai berikut.
 Seorang chiropractor di Los Angeles mengirimkan ratusan ribu dolar dalam
pernyataan palsu. Perangkat lunak mengidentifikasi sejumlah pasien tidak lazim
yang tinggal lebih dari 50 mil jauhnya dari kantor si dokter dan menandai tagihan
tersebut untuk penyelidikan.
 Seorang dokter di Long Island mengirimkan tagihan mingguan untuk sebuah
prosedur aneh dan mahal yang biasanya dilakukan hanya sekali atau dua kali
seumur hidup.

57
  Seorang ahli penyakit kaki menemui empat pasien dan menagih untuk 500
prosedur terpisah.

Jaringan saraf (neural network)-program dengan kemampuan pembelajaran-

dapat mengidentifikasi penipuan secara akurat. Operasi Visa dan MasterCard di Mellon
Bank menggunakan sebuah jaringan saraf untuk melacak 1.2 juta rekening. Jaringan
saraf dapat menunjukkan penggunaan kartu kredit ilegal dan memperingatkan pemilik
segera setelah kartu dicuri. Jaringan saraf juga dapat menunjukkan arah gejala sebelum
para penyelidik bank melakukannya. Sebagai contoh, seorang penyelidik mempelajari
sebuah penipuan baru dari bank lain. Ketika ia pergi untuk mengecek penipuan tersebut,
jaringan saraf telah mengidentifikasinya dan telah mencetak transaksi yang sesuai
dengan polanya. Perangkat lunak tersebut membebankan biaya bank kurang dari $1 juta
dan membayar untuk program it sendiri dalam enam bulan.

MENGIMPLEMENTASIKAN HOTLINE PENIPUAN

Orang-orang yang menyaksikan perilaku curang sering kali terbagi di antara dua
perasaan yang bertentangan. Meskipun mereka ingin melindungi aset perusahaan dan
melaporkan pelaku penipuan, mereka merasa tidak nyaman untuk melakukan pelaporan
penipuan, sehingga yang sering terjadi adalah mereka tetap diam. Keengganan ini lebih
kuat jika mereka takut akan para whistle blower yang diasingkan, dianiaya, atau
mengalami bahaya pada karier mereka.
Sarbanes-Oxley Act (SOX) mengamanatkan sebuah mekanisme bagi para pegawai
agar melaporkan penipuan dan penyalahgunaan. Sebuah hotline penipuan (fraud
hotline) merupakan cara yang efektif untuk mematuhi hukum dan menyelesaikan
konflik whistle blower. Dalam sebuah studi, para peneliti menemukan bahwa 33% dari
212 penipuan dideteksi melalui petunjuk anonim. Industri asuransi membangun sebuah
hotline untuk mengendalikan pernyataan yang menipu sebesar $17 miliar setahun.
Dalam bulan pertama, lebih dari 2.250 telepon diterima; 15% dilakukan tindakan
penyelidikan. Dampak negatif dari hotline adalah banyaknya panggilan yang tidak layak
untuk diselidiki; beberapa di antaranya dimotivasi oleh kehendak untuk membalas

58
dendam, beberapa adalah laporan kesalahan yang tidak jelas; dan lainnya tidak memiliki
manfaat.

59
 BAB III

PENUTUP

3.1. Ringkasan dan Kesimpulan Kasus

Satu minggu setelah Jason dan Maria mengumpulkan laporan audit mereka,
mereka dipanggil ke kantor direksi audit internal Northwest untuk menjelaskan temuan-
temuan mereka. Tidak lama kemudian, sebuah tim penyelidikan penipuan dikirim ke
Bozeman untuk melihat situasi lebih dekat. Enam bulan kemudian, sebuah laporan
berkala perusahaan mengindikasikan bahwa keluarga Springer menjual 10% bagian
dalam bisnis dan berhenti dari semua posisi manajemen. Dua eksekutif Northwest
dikirim untuk menggantikan mereka. Tidak ada petunjuk lain pada temuan audit
tersebut.
Dua tahun kemudian, Jason dan Maria bekerja dengan Frank Ratliff, seorang
anggota tim audit tingkat tinggi. Setelah berjam-jam, Frank mengatakan kepada mereka
bahwa penyelidikan memeriksa sebuah bukti besar transaksi pembelian dan seluruh
catatan ketepatan waktu serta penggajian pegawai untuk periode 12 bulan. Tim tersebut
juga mendapatkan persediaan fisik secara mendetail. Mereka menemukan bahwa
masalah-masalah yang didentifikasi Jason-termasuk permintaan pembelian, pesanan
pembelian, dan laporan penerimaan yang hilang, beserta harga yang berlebihan-
diperluas. Masalah-masalah in terjadi dalam transaksi dengan tiga vendor besar dengan
Springer telah membeli beberapa juta dolar persediaan. Para penyelidik mendiskusikan
harga tinggi yang tidak biasa tersebut dengan vendor tetapi tidak menerima penjelasan
yang memuaskan. Biro pemberi lisensi bisnis daerah menguak bahwa Bill Springer
memegang saham kepemilikan mayoritas pada setiap perusahaan tersebut. Dengan
melakukan otorisasi harga yang berlebihan ke perusahaan-perusahaan yang ia miliki,
Springer mendapatkan bagian signifikan atas beberapa ratus ribu dolar dari keuntungan
yang berlebihan, semuanya dengan biaya dari Northwest Industries.

60
 Beberapa pegawai Springer dibayar lebih dari jam-jam mereka bekerja.
Persediaan secara material disajikan lebih; sebuah persediaan fisik menunjukkan bahwa
sebuah porsi persediaan yang signifikan tercatat tidak ada dan beberapa barang usang.
Entri jurnal penyesuaian menunjukkan persediaan asli milik Springer menghapuskan
banyak laba mereka selama lebih dari tiga tahun.
Ketika dikonfrontasi, para Springer dengan berapi-api menolak segala
pelanggaran hukum. Northwest mempertimbangkan untuk mendatangi pihak berwajib,
tetapi dikhawatirkan bahwa kasus tersebut tidak cukup kuat untuk membuktikan hal
tersebut di pengadilan. Northwest juga mengkhawatirkan bahwa publisitas yang
merugikan dapat membahayakan posisi perusahaan di Bozeman. Setelah negosiasi
berbulan-bulan, para Springer setuju untuk penyelesaian yang dilaporkan dalam laporan
berkala. Bagian dari penyelesaian adalah bahwa tidak ada pernyataan publik yang akan
dibuat terkait dugaan penipuan atau penggelapan yang melibatkan Springer. Menurut
Frank, kebijakan ini normal. Dalam banyak kasus penipuan, penyelesaiannya dilakukan
secara diam-diam dengan tidak ada tindakan hukum yang diambil sehingga perusahaan
dapat menghindari publisitas yang merugikan.

61
 DAFTAR PUSTAKA

Romney, M. B. & Steinbart, P. J. (2015). Sistem Informasi Akuntansi. Salemba Empat

62