RESUME BAB 7

Kelas: Sistem Informasi Akuntansi (C)

Prodi: S1 Akuntansi
Anggota Kelompok H:
 Nova Fadia Annaja (220810301156)
 Muthia Amanda Khansa (220810301072)
 Calvin Nathaniel Cristanto (220810301210)

PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI

Segala potensi kejadian yang merugikan disebut sebagai ancaman (threat) atau kejadian
(event). Kerugian yang berasal dari ancaman disebut paparas atau dampak. Kemungkinan
bahwa paparan atau dampak akan terjadi disebut kemungkinan ancaman.
Ikhtisar Konsep Pengendalian
Pengendalian Internal adalah proses yang dijalankan untuk menyediakan jaminan
memadai bahwa tujuan-tujuan penendalian berikut telah dicapai.

 Mengamankan aset mencegah atau mendeteksi perolehan, penggunaan, atau

penempatan yang tidak sah.
 Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara
akurat dan wajar.
 Memberikan informasi yang akurat dan reliable.
 Menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan.
 Mendorong dan ketaatan terhadap kebijakan manajerial yang telah ditentukan.
 Mematuhi hukum dan peraturan yang berlaku.

Pengendalian internal adalah sebuah proses karena ia menyebar ke seluruh aktivitas

pengoperasian perusahaan dan merupakan bagian integral dari aktivitas manajemen.
Pengendalian internal memberikan jaminan memadai-jaminan menyeluruh yang sulit dicapai
atau terlalu mahal. Selain itu, sistem pengendalian internal memilki keterbatasan yang
melekat seperti kelemahan terhadap kekeliruan dan kesalahan sederhana, pertimbangan dan
pembuatan keputusan yang salah, pengeampingan manajemen, dan kolusi.
Pengendalian internal menjalankan tiga fungsi penting seperti berikut:
1. Pengendalian preventif (preventive control), mencegah masalah sebelum timbul.
Contohnya, merekrut personel berkualifikasi,memisahkan tugas pegawai, dan
mengendalikan akses fisik atas aset dan informasi.
2. Pengendalian detektif (detective control), menemukan masalah yang tidak terelakan.
Contohnyna, menduplikasi pengecekan kalkulasi dan menyiapkan rekonsiliasi bank
serta neraca saldo bulanan.
 3. Pengendalian korektif (corrective control), mengidentivikasi dan memperbaiki
masalah serta memperbaiki dan memulihkannya dari kesalahan yang dihasilkan.
Contohnya, menjaga salinan backup pada file, perbaikan kesalahan entri data,
pengumpulan ulang transaksi-transaksi untuk pemrosesan selanjutnya.
Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut:
1. Pengendalian umum (general control), memastikan lingkungan pengendalian sebuah
organisasi stabl dan dikelola dengan baik. Contohnya, kemanan infrastruktur dan
pengendalian pembelian perangkat lunak, pengembangan, dan pemeliharaan.
2. Pengendalian aplikasi (application control), mencegah, mendeteksi, dan mengoreksi
kesalahan transaksi serta penipuan di dalam progam aplikaai. Pengendalian ini fokus
terhadap ketepatan, kelengkapan, validitas, serta otorisasi data yang didapat,
dimasukkan, diproses, disimpan, ditransmisikan ke sistem lain dan dilaporkan.
Robert Simons, seorang profesor bisnis Harvard, telah menganut empat kaitan
pengendalian untuk membantu manajemen menyelesaikan konflik di antara kreativitas dan
pengendalian.
1. Sebuah sistem kepercayaan (belief system) menjelaskan cara sebuah perusahaan
menciptakan nilai , membant pegawai memahami visi manajemen,
mengomunikasikan nilai-nilai dasar perusahaan dan menginspirasi pegawai untuk
bekerja berdasarkan nilai-nilai tersebut.
2. Sebuah sistem batas (boundary system) membantu pegawai bertindak secara etis
dengan membangun batas-batas dalam perilaku kepegawaian. Sistem tersebut tidak
memberitahukan secara langsung kepada pegawai apa yang dilakukan, tetapi mereka
didorong untuk menyelsaikan masalah secara kreatif dan memenuhi kebutuhan
pelanggan di samping memenuhi standar kerja minimum, mrnghindari tindakan yang
mungkin merusak reputasi mereka.
3. Sebuah sistem pengendalian diagnostik (diagnostic control system) mengukur,
mengawasi, dan membandingkan perkembangan perusahaan aktual berdasarkan
anggaran dan tujuan kinerja.
4. Sebuah sistem pengendalian interaktiv (interactive control system) meembantu
manajer untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan
lebih terlibat di dalam keputusan mereka. Data sistem interaktif diinterpretasikan dan
didiskusikan dalam pertemuan tatap muka para atasan, bawahan, dan rekanan.
Namun tidak semua perusahaan memiliki sistem pengendalian internal yang efektif. Area
spesifik yand diperhatikan adalah standar keamanan, panduan, dan prosedur, pemisahan
tugas, pengendalian akses, termasuk manajemen dan penggunaan kata sandi, backup dan
pengendalian pemulihan, serta pengembangan perangkat lunak dan mengubah pengendalian.
Praktik Korupsi Asing dan SARBANES-OXLEY Acts
Pada 1977, Foreign Corrupt Practices Act (FCPA) dikeluarkan untuk mencegah
perusahaan menyuap pejabat asing agar mendapatkan bisnis. Konggres menggabungkan
aturan dari sebuah pernyataan American Institute of Certified Public Accountants (AICPA) ke
dalam FCPA yang mengharuskan perusahaan untuk memelihara sistem pengendalian internal
yang baik. SOX (Sarbanes-Oxley Act) dterapkan bagi perusahaan-perusahaan publik dan
auditor mereka serta didesain untuk mencegah penipuan laporan keuangan, membuat laporan
keuangan lebih transparan, melindungi investor, memperkuat pengendalian internal, dan
menghukum eksekutif yang melakukan penipuan.
Berikut beberapa aspek terpenting SOX:

 Public Company Accounting Oversight Board (PCAOB)

 Aturan-aturan baru bagi para auditor
 Peran baru bagi komite audit
 Aturan baru bagi manajemen
 Ketentuan baru pengendalian internal.

Kerangka Pengendalian
 Kerangka COBIT
Information System Audit and Control Association (ISACA) mengembangkan kerangka
Control Objective for Information and Related Technology (COBIT). COBIT 5
menggabungkan standar-standar pengendalian dari banyak sumber berbeda ke dalam sebuah
kerangka tunggal. Kerangka COBIT 5 menjelaskan praktik terbaik untuk tata kelola dan
manajemen TL yang efektif. Selain itu, COBIT 5 didasarkan pada lima prinsip utama tata
kelola dan manajemen TL antara lain:
1. Memenuhi keperluan pemangku kepentingan
2. Mencakup perusahaan dari ujung ke ujung
3. Mengajukan sebuah kerangka terintegrasi dan tunggal
4. Memungkinkan pendekatan holistik
5. Memisahkan tata kelola dari manajemen
COBIT 5 adalah sebuah kerangka komprehensif yang membantu perusahaan mencapai
tujuan tata kelola dan manajemen TI mereka. Kelengkapan ini adalah salah satu kekuatan
COBIT 5 dan menekankan pada penerimaan internasional yang berkembang sebagai sebuah
kerangka untuk mengelola serta mengendalikan sistem informasi.
 Kerangka Pengendalian Internal COSO
Committee of Sponsoring Organization (COSO) terdiri dari Asosiasi Akuntansi Amerika,
AICPA, Ikatan Auditor Internal, Ikatan Akuntan Manajemen, dan Ikatan Eksekutif Keuangan.
Pada 1992, COSO menerbitkan Pengendalian Internal (Internal Control)-Kerangka
Terintegrasi (Integrated Framework)-IC yang diterima secara luas sebagai otoritas untuk
pengendalian internal yang digabungkan ke dalam kebijakan, peraturan dan regulasi yang
digunakan untuk mengendalikan aktivitas bisnis.
 Kerangka Manajemen Risiko Perusahaan COSO
Untuk memperbaiki proses manajemen risiko, COSO mengembangkan kerangka
pengendalian kedua yang disebut Manajemen Risiko Perusahaan-Kerangka Terintergrasi-
ERM.
Lingkungan Internal
Lingkungan intenal (internal enviroment) mempengaruhi cara organisasi menetapkan
strategi dan tujuanyya, membuat struktur aktivitas bisnis, dan mengidentifikasi, menilai, serta
merespon risiko. Ini adalah fondasi dari seluruh komponen ERM lainnya. Lingkungan
internal yang tidak efisien sering menghasilkan kerusakan di dalam manajemen dan
pengendalian risiko.
Lingkugan internal mencakup hal-hal berikut:

 Filosofi manajemen, gaya pengoperasian, dan selera risiko.

 Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi
 Pengawasan pengendalian internal oleh dewan direksi.
 Struktur organisasi
 Metode penetapan wewenang dan tanggung jawab
 Standar-standar sumber daya manusia yang menarik, mengembangkan, dan
mempertahankan individu kompeten
 Pengaruh eksternal.

Enron adalah sebuah contoh dari ketidakefektifan lingkungan internal yang

mengakibatkan kegagalan finansial. Meskipun Enron tampaknya memiliki sistem ERM yang
efektiff, ternyata lingkungan internalnya tidak efektif.
 Pengawasan Pengendalian oleh Dewan Direksi
Dewan direksi yang terlibat mewakili pemangku kepentingan dan memberikan tinjauan
independen manajemen yang bertindak seperti sebuah pengecekan dan penyeimbangan atas
tindakan tersebut. SOX mensyaratkan perusahaan publik untuk memliki sebuah komite audit
dari dewan luar dan independen. Komite audit bertanggung jawab atas pelaporan keuangan,
kepatuhan terhadap peraturan, pengendalian internal, serta perekrutan dan pengawasan baik
auditor internal maupun eksternal, yang melaporkan seluruh kebijakan dan praktik
akuntansipenting kepada komite tersebut. Para dewan harus menyetujui strategi perusahaan
dan meninjau kebijakan-kebijakan keamanan.
 Struktur Organisasi
Sebuah struktur organisasi perusahaan memberikan sebuah kerangka untuk operasi
perencanaan, pelaksanaan, pengendalian, dan pengawasan. Aspek-aspek penting dari struktur
organisasi menyertakan hal-hal sebagai berikut.
1. Sentralisasi atau desentralisasi wewenang
2. Hubugan pengaarahan atau matriks pelaporan
3. Organisasi berdasarkan industri, lini produk, lokasi atau jaringan pemasaran.
 4. Bagaimana alokasi tanggungjawab memengaruhi ketentuan informmasi
5. Ukuran dan jenis aktivitas perusahaan.
Standar sumber daya manusia yang menarik, mengembangkan, dan mempertahankan
individu yang kompeten. Salah satu dari kekuatan pengendalian terbesar adalah kejujuran
pegawai, sedangkan salah satu kelemahan adalah ketidakjujuran pegawai. Kebijakan sumber
daya manusia (SDM) dan praktik-praktik yang mengatur kondisikerja, insentif pekerjaan, dan
kemajuan karier dapat menjadi kekuatan dalam mendorong kejujuran, efisiensi, dan layanan
yang loyal. Kebijakan SDM harus berisi tingkatan keahlian yang diperlukan, perilaku etis,
dan integritas yang diperlukan.
Berikut ini merupakan kebijakan dan prosedur SDM yang penting:

 Perekrutan
 Mengompensasi, mengevaluasi, dan mempromosikan
 Pelatihan
 Pengelolaan para pegawai yang tidak puas
 Pemberentian
 Liburan dan rotasi tugas
 Perjanjian kerahasiaan dan Asuransi Ikatan Kesetiaan
 Menuntut dan memenjarakan pelaku

Pengaruh eksternal meliputi persyaratan-persyaratan yang diajukan oleh bursa efek,

Financial Accounting Standards Boards (FASB), PCAOB, dan SEC. Mereka juga
menyertakan persyaratan yang dipaksakan oleh badan-badan regulasi, seperti bank, utilitas,
dan perusahaan asuransi.
Penetapan Tujuan
Penetapan tujuan adalah komponen ERM yang kedua. Manajemen menentukan hal yang
ingin dicapai oleh perusahaan, sering disebut sebagai visi atau misi perusahaan. Manajemen
menetapkan tujuan pada tingkatan perusahaan dan kemudian membaginya ke dalam tujuan
yang lebih spesifik untuk subunit perusahaan. Perusahaan menentukan hal yang harus
berjalan dengan benar untuk mencapai tujuan dan menetapkan ukuran kerja guna menentukan
apakah ukuran-ukuran kinerja tersebut terpenuhi. Tujuan yang harus terpenuhi antara lain;
tujuan strategis, tujuan operasi, tujuan pelaporan, tujuan kepatuhan.
Identifikasi Kejadian
Commite of Sponsoring Organization (COSO) mendefinisikan kejadian (event) sebagai
“sebuah insiden atau peristiwa yang berasal dari sumber-sumber internal atau eksternal yang
memengaruhi implementasi strategi atau pencapaian tujuan. Kerjadian mungkin memiliki
dampak psitif atau negatif atau keduanya. Perusahaan menggunakan beberapa teknik untuk
mengidentifikasi kejadian termasuk penggunaan sebuah daftar komprehensif dari kejadian
potensial, pelaksanaan sebuah analisis internal, pengawasan kejadian-kejadian yang menjadi
penyebab dan titik-titik pemicu, pengadaan seminar, dan wawancara, penggunaan data
mining, dan penganalisaan proses-proses bisnis.
Penilaian Risiko dan Respon Risiko
Risiko-risiko sebuah kejadian yang teridentifikasi dinilai dalam beberapa cara yang
berbeda; kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan kategori,
dampak pada unit organisasi lain, serta berdasarkan sifat bawaan atau residual.
Untuk menyelaraskan risiko yang diidentidikasikan dengan toleransi perusahaan terhadap
risiko, manajemen harus mengambil pandangan entitas yang luas pada risiko. Mereka harus
menilai kemungkinan dan dampak risiko, seperti biaya dan manfaat dan respon-respon
alternatif. Manajemen dapat merespon risiko dengan salah satu dari empat cara berikut:
1. Mengurangi kemungkinan dan dampak risiko dengan mengimplementasikan sistem
pengendalian internal yang efektif.
2. Menerima kemungkinan dampak risiko.
3. Membagikan risiko atau mentransfernya kepada orang lain dengan asuransi
pembelian, mengalihdayakan sebuah aktivitas, atau masuk kedalam transaksi lindung
nilai (hedginh)
4. Menghindari risiko dengan tidak melakukan aktivitas yang menciptakan risiko. Hal
ini bisa jadi mensyaratkan perusahaan untuk menjual sebuah divisi, keluar dari lini
produk, atau tidak memperluas perusahaan seperti yang diharapkan.

 Memperkirakan Kemungkinan dan Dampak

Beberapa kejadian memiliki risiko yang lebih besar karena labih cenderung untuk terjadi.
Para pegawai cenderung membuat sebuah kesalahan daripada melakukan penipuan dan
sebuah perusahaan cenderung menjadi korban penipuan daripada gempa bumi. Kemungkinan
terjadinya sebuah gempa bumi mingkin kecil, tetapi dampaknya dapat menghancurkan
sebuah perusahaan. Dampak dari penipuan biasanya tidak sebesar tu, karena kebanyakan
kasus penipuan tidak mengancam eksistensi perusahaan.
Alat-alat perangkat lunak membantu penilaian dan respon risiko secara otomatis. Blue
Cross shield di Florida menggunakan perangkat lunak ERM yang mengizinkan manajer
memasukan risiko yang dirasakan; menilai sifat, kemungkinan, dan dampaknya serta
menetapkan pemeringkatan numerik. Sebuah penilaian risiko keseluruha perusahaan
dikembangkan dengan mengagregasi seluruh pemeringkatan.
 Mengidentifikasi Pengendalian
Manajemen harus mengidentifikasikan pengendalian yang melindungi perusahaan dari
setiap kejadian. Pengendalian preventif biasanya superior dibandingkan pengendalian
detektif. Ketika pengendalian preventif gagal, pengendalian detektif menjadi sangat
diperlukan untuk menemukan masalah. Pengendalian korektif membantu memulihkan dari
segala masalah. Sebuah sistem pengendalian internal yang baik harus menggunakan
ketiganya.
 Memperkirakan Biaya dan Manfaat
 Tujuan dari perancangan sebuah sistem pengendalian internal adalah untuk memberikan
jaminan memadai bahwa kejadian tidak terjadi. Tidak ada sistem pengendalian internal yang
memberikan perlindungan sangat mudah terhadap seluruh kejadian, karena memiliki banyak
sekali pengendalian membutuhkan biaya sangat besar dan secara negatif mempengaruhi
efisiensi operasional. Kebalikannya, memiliki terlalu sedikit pengendalian tidak akan
memberikan jaminan memadai yang diperlukan.
Manfaat dari prosedur pengendalian internal harus melebihi biayanya. Manfaat-manfaat
tersebut sulit dihitung secara akurat, termasuk penjualan dan produktivitas yang meningkat.
Salah satu cara untuk memperkirakan nilai pengendalian internal melibatkan kerugian
yang diperkirakan (expected loss), hasil matematis dampak dan kemungkinan. Kerugian yang
diperkirakan = Dampak x Kemungkinan. Nilai dari prosedur pengedalian adalah selisih
antara kerugian yang diperkirakan dengan prosedur-prosedur pengendalian dan kerugian yang
diperkirakan tanpa prosedur tersebut.
 Menentukan Efektivitas Biaya/Manfaat
Manajemen harus menentukan apakah sebuah pengendalian merupakan biaya
menguntungkan. Sebagai contoh, kesalahan data di Atlantic Redfield mengharuskan
keseluruhan penggajian untuk diproses ulang, dengan biaya $10.000. Seluruh tahap validasi
data akan menurunan kemungkinan kejadian dari 15% menjadi 1%, dengan biaya $600 per
periode pembayaran.
Dalam mengevaluasi pengendalian internal, manajemen harus lebih mempertimbangkan
faktor-faktor yang lain daripada faktor-faktor yang ada di dalamperhitungan biaya/manfaat
yang diperkirakan.
Aktivitas Pengendalian
Aktivitas Pengendalian (control activities) adalaj kebijakan, prosedur, dan aturan yang
memberikan jaminan memadai bahwa tujuan pengendalian telah dicapai dan respon risiko
dilakukan. Hal tersebut merupakan tanggungjawab manajemen untuk mengembangkan
sebuah sistem yang aman dan dikendalikan dengan tepat. Manajemen harus memastikan
bahwa:
1. Pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga
level yang dapat diterima
2. Pengendalian umum yang sesuai dipilih dan dikembanhkan melalui teknnologi
3. Aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan
dan prosedur perusahaan yang telah ditentukan.
Prosedur pengendalian dilakukan dalam kategori-kategori berikut:
1. Otorisasi transaksi dan aktivitas yang layak.
2. Pemisahan tugas
3. Pengembangan proyek dan pengendalian akusisi (peroleham)
4. Mengubah pengendalian manajemen
5. Mendesain dan menggunakan dokumen serta catatan
 6. Pengamanan aset, catatan, dan data
7. Pengecekan kinerja yang independent

 Otorisasi Transaksi dan Aktivitas yang tepat

Oleh karena manajemen kekurangan waktu dan sumberdaya untuk mengawasi setiap
aktivitas dan keputusan perusahaan, ia menetapkan kebijakan bagi pegawai untuk diikuti dan
kemudian memberdayakan mereka. Pemberdayaan ini disebut Otorisasi, yang merupakan
sebuah prosedur pengendalian penting. Otorisasi sering didokumentasikan dengan
penandatangan, penginisialisasian, dan pemasukan sebuah kode otorisasi pada sebuah
dokumen atau catatan.
Pemisahan Tugas
Pengendalian internal yang baik mensyaratkan tidak ada satu pegawaipun yang diberi
terlalu banyak tanggung jawab atas transaksi atau proses bisnis. Seorang pegawai tidak boleh
berada di sebuah posisi untuk melakukan dan menyamarkan penipuan.
 Pemisahan Tugas Akuntansi
Pemisahan tugas akuntansi yang efektif tercapai ketika fungsi-fungsi berikut dipisahkan.

 Otorisasi – menyetujui transaksi dan keputusan

 Pencatatan – mempersiapkan dokumen sumber, memasukan data ke dalam sistem
komputer, memelihara jurnal, buku besar, file atau database, dan menyiapkan
rekonsiliasi dan laporan kinerja.
 Penyimpanan – menangani kas, peralatan, persediaan, atau aktiva tetap, menerima cek
pelanggan yang datang, menulis cek.

 Pemisahan Tugas Sistem

Dalam sebuah sistem informasi, prosedur yang dijalankan oleh individu berbeda
dikombinasikan. Oleh karena itu, setiap orang yang memiliki akses yang tidak terbatas ke
komputer, progam, dan data langsung dapat melakukan serta menyamarkan penipuan. Untuk
melawanancaman ini, organisasi menerapkan pemisahan tugas sistem. Wewenang dan
tanggung jawab harus dibagi dengan jelas menurut fungsi sebagai berikut:
1. Administrator sistem
2. Manajemen Jaringan
3. Manajemen keamanan
4. Manajemen perubahan
5. Pengguna
6. Analisis sistem
7. Pemrogaman
8. Operasi komputer
9. Perpustakaan sistem informasi
10. Pengendalian data
 Pengembangan Proyek dan Pengendalian Akuisisi (perolehan)
Memiliki metodologi menjadi hal penting untuk mengatur pengembangan, akuisisi,
implementasi, dan memelihara sistem informasi. Metodologi harus mengandung
pengendalian yang tepat untuk persetujuan manajemen, keterlibatan pengguna, analisis,
desain, pengujian, implementasi, dan konversi.
Pengendalian pengembangan sistem yang penting meliputi hal-hal seerti berikut:
1. Sebuah Komitmen Pengarah: Memandu dan mengawasi pengembangan dan akuisisi
2. Sebuah Rencana Induk Strategis: Menunjukan proyek-proyek yang harus
diselesaikan, serta menunjukan persyaratan-persyaratan perangkat keras, perangkat
lunak, personel, dan infrastruktur perusahaan.
3. Sebuah Rencana Pengembangan Proyek: Menunjukkan tugas-tugas yang dijalankan,
orang yang akan menjalankannya, biaya proyek, tanggal penyelesaian, dan tonggak
proyek.
4. Sebuah Jadwal Pengolahan Data: Menunjukan kapan setiap tugas seharusnya
dijalankan
5. Pengukuran kinerja sistem: Ditetapkan untuk mengevaluasi sistem.
6. Sebuah Tinjauan Pasca-implementasi: Dijalankan setelah sebuh pengembangan
proyek diselesaikan untuk menetukan apakah manfaat antisipasi tercapai.
 Pengamanan Aset, Catatan, dan Data
Sebuah perusahaan harus melindungi kas dan aset fisik beserta informasinya. Para
pegawai merupakan risiko keamanan yang lebih besar dibandingkan oran luar. Mereka
mampu menyembunyikan tindakan ilegal mereka dengan lebih baik karena mereka
mengetahui kelemahan sistem dengan lebih baik.
Para pegawai juga menyebabkan ancaman yang tidak disengaja seperti menghapus tanpa
sengaja data perusahaan, membuka lampiran e-mail yang sarat dengan virus, atau mencoba
memperbaiki perangkat keras atau lunak tanpa keahlian yang memadai. Hal-hal tersebut
dapat membuat jaringan rusak sehingga tidak berfungsinya perangkat keras dan lunak serta
rusaknya data.
 Pengecekan Kinerja Yang Independen
Pengecekan kinerja yang independen, dilakukan oleh seseorang, tetapi bukan merupakan
orang yang melakukan operasi aslinya, membantu memastikan bahwa transaksi diproses
dengan tepat. Pengecekan kinerja yang independen ini meliputi:

 Tinjauan tingkat atas

 Tinjauan analitis
 Rekonsiliasi catatan-catatan yang dikelola secara independen
 Perbandingan terhadap kuantitas aktual dengan jumlah dicatat
  Akuntnsi double entry
 Tinjauan Independen

Informasi dan Komunikasi

Sistem informasi dan komunikasi haruslah memperoleh dan mempertukarkan informasi
yang dibutuhkan untuk mengatur, mengelola, dan mengendalkan operasi perusahaan. Tujuan
utama dari sistem informasi akuntansi (SIA-accounting information system) adalah untuk
mengumpulkan, mencatat, memproses, menyimpan, meringkas, dan mengomunikasikan
informasi mengenai sebuah organisasi. Komunikasi harus dilakukan secara internal dan
eksternal untuk menyediakan informasi yang dibutuhkan guna menjalankan aktivitas
pengendalian internal harian.
Kerangka IC yang diperbarui memerinci bahwa tiga perinsip berikut berlaku di dalam
proses informasi dan komunikasi.
1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk
mendukung pengendalian internal.
2. Mengomunikasikaan informasi secara internal, termasuk tujuan dan tanggungjawab
yang diperlukan untuk mendukung komponen-komponen lain dari pengendalian
internal.
3. Mengomunikasikan hal-hal pengendalian internal yang relevan kepada pihak-pihak
eksternal
Pengawasan
 Menjalankan Evaluasi Pengendalian Internal
Efektivitas pengendalian internal diukur dengan menggunakan evaluasi formal atau
evaluasi penilaian diri. Sebuah tim dapat dibentuk untuk melakukan evaluasi, atau hal ini
dapat dilakukan dengan pengauditan internal.
 Implementasi Pengawasan yang Efektif
Pengawasan yang efektif melibatkan melatih dan mendampingi pegawai, mengawasi
kinerja mereka, mengoreksi kesalahan, dan mengawasi pegawai yang memiliki akses
tergadap aset.
 Mengawasi Aktivitas Sistem
Paket perangkat lunak analisis dan manajemen risiko meninjau ukuran-ukuran keamanan
komputer dan jaringan, mendeteksi akses ilegal, mnguju keamanan, dan kerentanan,
melaporkan kelemahan yang ditemukan, dan menyarankan perbaikan. Parameter biaya dapat
dimasukkan dalam tingkat penerimaan saldo atas toleransi sisiko dan efektivitas biaya.
Perangkat lunak juga dapat mengawasi dan melawan virus, spyware, adware, spam, phising,
dan e-mail yang tidak pantas.
 Privacy Foundation memperkirakan bahwa sepertiga dari seluruh pekerja Amerika
menggunakan komputer yang diawasi dan jumlah tersebut diharapkan meningkat.
Perusahaan-perusahaan yang mengawasi aktivitas sistem tidak boleh melanggar privasi
pegawai.

 Melacak Perangkat Lunak dan Perangkat Bergerak yang Dibeli

Business Software Alliance (BSA) melacak dan mendenda perusahaan-perusahaan yang
melanggar perjanjian lisensi perangkat lunak. Untuk memenuhi hak cipta dan melindungi
dirinya dari gugatan pembajakan perangkat lunak, perusahaan harus diinformasikan
mengenai konsekuensi penggunaan perangkat lunak yang tidak berlisensi. Pengkatan jumlah
perangkat bergerak (mobile) harus dilacak dan diawasi karena kerugiannya dapat
menunjukkan pengungkapan yang substansial.
 Menjalankan Audit Berkala
Audit keamanan eksternal, internal, dan jaringan dapat menilai dan mengawasi risiko
maupun mendeteksi penipuan dan kesalahan. Menginformasikan para pegawai audit
membantu menyelesaikan masalah-masalah privasi, menghalangi penipuan,, dan mengurangi
kesalahan. Para auditor harus menguji pengendalian sistem secara reguler dan menelusuri file
penggunaan sistem untuk mencari aktivitas mencurigakan secara periodik. Audit internal
menilai keterandalan serta integritas informasi dan operasi keuangan, mengevaluasi
efektivitas pengendalian internal, dan menilai kepatuhan pegawai dengan kebijakan dan
prosedur manajemen maupun perundangan dan peraturan yang berlaku.
 Memperkerjakan Petugas Keamanan Komputer dan Chief Compliance Officer
Seorang Computer Security Officer (CSO) bertugas atas keamanan sistem, independen
dari fungsi sistem informasi, dan melapor kepada Chief Operating Officer (COO) atau
(CEO). Banyak perusahaan menggunakan konsultan kkomputer dari luar atau tim dalam
perusahaan untuk menguji dan mengevaluasi prosedur keamanan serta sistem komputer.
 Memasang Perangkat Lunak Deteksi Penipuan
Para penipu mengikuti pola-pola yang berbeda dan meninggalkan petunjuk yang dapat
dilacak dengan perangkat lunak deteksi penipuan.
Jaringan saraf (neutral network) merupakan progam dengan kemampuan pembelajaran dan
dapat mengidentifikasi penipuan secara akurat. Jaringan saraf dapat menunjukkan
penggunaan kartu kredit illegal dan memperingatkan pemilik segera setelah kartu diculik.
 Mengimplementasikan Hotline Penipuan
Sarbanes-Oxley Act (SOX) mengamanatkan sebuah mekanisme bagi para pegawai agar
melaporkan penipuan dan penyalahgunaa. Sebuah Hotline penipuan (fraud hotline)
merupakan cara yang efektif untuk memenuhi hukum dan menyelesaikan konflik whistle
blower. Dampak negatif dari hotline adalah banyaknya panggilan yang tidak layak untuk
diselidiki, beberapa di antaranya dimotivasi oleh kehendak untuk membalas dendam,
beberapa adalah laporan kesalahan yang tidak jelas dan lainnya tidak memiliki manfaat.