Pengendalian dan Sistem Informasi Akuntansi

Halimatus Syadiah 216200010, Bapak Segi Tabah Hermansyah, SE., M.Ak.,

Ak, CA

Program Studi Akuntansi, Fakultas Ekonomi Universitas Putra Indonesia

Alamat Koresponden: halimatussyadiah0209@gmail.com

Abstrak

Jurnal ini mengulas tentang Pengendalian dan Sistem Informasi Akuntansi. Penelitian ini
bertujuan untuk menjelaskan konsep pengendalian dasar serta menjelaskan mengapa
pengendalian dan keamanan computer itu pentig, membandingkan dan memebedakan
kerangka pengendalian COBIT, COSO, ERM, Menjelaskan elemen-elemen utama dalam
lingkungan internal sebuah Perusahaan, menjelaskan empat jenis tujuan pengendalian
yang perlu dibuat oleh perusahan, Menjelaskan Kejadian-Kejadian yang memperngaruhi
ketidakpastian dan Teknik-teknik yang digunakan untuk mengidentifikasinya,
Menjelaskan tentang cara menilai dan merespons risiko menggunakan mode enterprise
Risk Management (ERM), Menejelaskan aktivitas-Aktivitas pengendalian yang
umumnya digunakan di perusahaan, dan Menjelaskan cara mengkomunikasikan
informasi dan mengawasi proses pengendalian pada organisasi.

Kata Kunci: COSO, COBIT, ERM

A. Pendahuluan

Ancaman Terhadap Sistem Informasi Akuntansi Meningkat Hampir setiap tahun, lebih
dari 60% organisasi mengalami kegagalan utama dalam mengendalikan keamanan dan
integritas sistem komputernya, antara lain karena:

1. Ketersediaan informasi bagi sejumlah pekerja tidak terpenuhi,

2. Informasi pada jaringan komputer distribusi sulit dikendalikan,
3. Pelanggan serta pemasok memiliki akses ke sistem dan data satu sama lain.

Organisasi belum melindungi data dengan baik karena :

 1. Beberapa perusahaan memandang kehilangan atas informasi penting sebagai
ancaman yang tidak mungkin terjadi;
2. Implikasi pengendalian atas pemindahan dari sistem komputer tersentralisasi ke
sistem berbasis internet tidak sepenuhnya dipahami;
3. Banyak perusahaan tidak menyadari bahwa informasi adalah sumber daya
strategis dan melindungi informasi harus menjadi sebuah ketentuan strategis;
4. Produktivitas dan penekanan biaya memotivasi manajemen untuk mengabaikan
ukuran-ukuran pengendalian yang memakan waktu.

Kejadian (event) atau ancaman (threat) adalah segala potensi kejadian yang merugikan,
atau kejadian tidak diinginkan yang dapat merusak Sistem Informasi Akuntansi (SIA)
atau organisasi.

Paparan (exposure) atau dampak (impact) merupakan kerugian uang yang potensial dari
sebuah ancaman tertentu yang akan menjadi kenyataan.

Kemungkinan (likelihood) ancaman yaitu kemungkinan bahwa ancaman

(paparan/dampak) akan terjadi..

Ancaman-ancaman atas Sistem Informasi Akuntansi (SIA), meliputi

1. Kehancuran karena bencana alam dan politik, seperti kebakaran atau panas
berlebih, banjir, gempa bumi, badai angin, peperangan.
2. Kesalahan pada software dan tidak berfungsinya peralatan, seperti kegagalan
hardware, kesalahan atau kerusakan pada software, kegagalan sistem operasi,
gangguan dan fluktuasi listrik, kesalahan pengiriman data yg tidak terdeteksi.
3. Tindakan yang tidak disengaja, seperti kecelakaan yang disebabkan oleh
kesalahan manusia, kesalahan atau penghapusan karena ketidaktahuan, hilangnya
atau salah letaknya data, kesalahan pada logika sistem, sistem yang tidak
memenuhi kebutuhan perusahaan atau tidak mampu menangani tugas yang
diberikan.
4. Tindakan disengaja yang biasanya disebut sebagai kejahatan komputer,
seperti pencurian
B. Ikhtisar Konsep Pengendalian
 Pengendalian internal (internal control) merupakan proses dan prosedur ya
dijalankan untuk menyediakan jaminan memadai bahwa tujuan pengendalian telah
dicapai.

Tujuan-tujuan pengendalian tersebut meliputi :

1. Mengamankan aset; Mencegah atau medeteksi perolehan, penggunaan, atau

penempatan yang tidak sah
2. Mengelola catatan dengan detail yang baik untuk melaporkan asset perusahaan
secara akurat dan wajar;
3. Memberikan informasi yang akurat dan reliabel;
4. Menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan;
5. Mendorong dan memperbaiki efisiensi operasional;
6. Mendorong ketaaan terhadap kebijakan manajerial yang telah ditentukan;
7. Mematuhi hukum dan peraturan yang berlaku.

Pengendalian internal melaksanakan tiga fungsi penting yaitu:

1. Pengendalian untuk pencegahan (preventive control) mencegah timbulnya

suatu masalah sebelum mereka muncul.
2. Pengendalian untuk pemeriksaan (detective control) dibutuhkan untuk
mengungkap masalah begitu masalah muncul.
3. Pengendalian korektif (corrective control) memecahkan masalah yang
ditemukan oleh pengendalian untuk pemeriksaan.

Pengendalian internal sering kali dipisahkan dalam dua kategori berikut:

1. Pengendalian umum (general control) memastikan lingkungan pengendalian

sebuah organisasi stabil dan dikelola dengan baik. Contohnya, keamanan:
infastruktur TI;dan pengendalian pembelian perangkat lunak, pengembangan, dan
pemeliharaan.
2. Pengendalian aplikasi (application control) mencegah, mendeteksi, dan
mengoreksi kesalahan transaksi serta penipuan di dalam program aplikasi.
Pengendalian ini lebih berfokus terhadap kecepatan, kelengkapan, validitas, serta
otorisasi data yang didapat, dimasukan diproses, disimpan, ditansmisikan ke
system lain, dan dilaporkan.
Empat kaitan pengendalian untuk membantu manajemen menyelesaika konflik di antara
kreativitas dan pengendalian (Robert Simons, professor bisnis Harvard):

1. Sebuah sistem kepercayaan (belief system), menjelaskan cara sebuah

perusahaan menciptakan nilai, membantu pegawai memahami visi misi
manajemen, mengkomunikasi-kan nilai-nilai dasar perusahaan, serta
menginspirasi kerja pegawai dengan nilai tersebut.
2. Sebuah sistem batas (boundary system), membantu pegawai bertindak secara
etis dengan membangun batas-batas dalam perilaku kepegawaian.
3. Sebuah sistem pengendalian diagnostik (diagnostic control system), mengukur,
mengawasi, dan membandingkan perkembangan perusahaan aktual berdasar
anggaran & tujuan kinerja.
4. Sebuah sistem pengendalian interaktif (interactive control system), membantu
manajer untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan
lebih terlibat di dalam keputusan mereka.

Pengendalian manajemen (management control) meliputi tiga fitur berikut:

1. Merupakan bagian kesatuan dari tanggung jawab manajemen;

2. Dirancang untuk mengurangi kesalahan, penyimpangan, dan mencapai tujuan
organisasi;
3. Berorientasi pada personil dan berusaha membantu karyawan mencapai tujuan
perusahaan.

Prosedur pengendalian khusus yang digunakan dalam sistem pengendalian internal dan
sistem pengendalian manajemen dapat diklasifikasikan dalam klasifikasi pengendalian
internal berikut:

1. Pengendalian pencegahan, detektif, dan korektif;

2. Pengendalian umum dan aplikasi;
3. Pengendalian administratif dan akuntansi;
4. Pengendalian input, proses/pengolahan, dan output.

Praktik Korupsi Asing dan Sarbanes-Oxley Acts

Pada tahun 1977 Kongres menggabungkan aturan dari sebuah pernyataan

American Institute of Certified Public Accountants (AICPA) ke dalam Foreign Corrupt
Practices Act (FCPA). Tujuan utama dari undang-undang ini adalah mencegah penyuapan
oleh perusahaan kepada para pejabat luar negeri untuk mendapatkan bisnis. Selain itu
juga mengharuskan perusahaan untuk memelihara sistem pengendalian internal akuntansi
yang baik.

Pada tahun 2002, Kongres mengeluarkan undang-undang Sarbanes-Oxley

Act (SOX) yang dimaksudkan untuk mencegah kejahatan laporan keuangan,
membuat laporan keuangan lebih transparan, memberikan perlindungan pada
investor, memperkuat pengendalian internal pada perusahaan publik, dan
menghukum eksekutif yang melakukan kejahatan.

Setelah SOX dikeluarkan, Securities and Exchange Commission (SEC)

memerintahkan bahwa manajemen harus:

1. mendasarkan evaluasinya pada sebuah kerangka

pengendalian yang berlaku;
2. mengungkap semua kelemahan pengendalian internal material;
3. menyimpulkan bahwa sebuah perusahaan tidak memiliki pengendalian
intemal pelaporan keuangan yang efektif jika terdapat
kelemahan material.
C. Kerangka Pengendalian
1. Kerangka COBIT

Information Systems Audit and Control Foundation (ISACF) mengembangkan

Control Objectives for Information and related Technology (COBIT), yaitu sebuah
kerangka praktik pengendalian untuk teknologi informasi dan keamanan sistem informasi
yang umumnya dapat diaplikasikan. COBIT mengonsolidasi standar dari 36 sumber
berbeda ke dalam satu kerangka. Kerangka tersebut memungkinkan

1. Manajemen membuat tolok ukur praktik keamanan dan pengendalian lingkungan

TI (Teknologi Informasi).
2. Para pengguna laganan TI dijamin dengan pengendalian dan keamanan yang
memadai;
 3. Para auditor memperkuat opini pengendalian intemal dan untuk memberikan
saran dalam masalah keamanan dan pengendalian TI dan pengendalian yang
dilakukan.

Kerangka COBIT 5 menjelaskan praktik-praktik terbaik untuk tata kelola dan

manajemen TI yang efektif. Selain itu, COBIT 5 didasarkan pada lima prinsip utama tata
kelola dan manajemen TI. Prinsip-prinsip berikut ini memungkinkan dalam membantu
organisasi membangun sebuah tata kelola yang efektif dan kerangka manajemen yang
melindungi investasi pemangku kepentingan dan menghasilkan sistem informasi terbaik.

1. Memenuhi keperluan pemangku kepentingan. Kerangka COBIT 5 membantu

para pengguna mengatur proses dan prosedur bisnis untuk menciptakan sebuah
sistem informasi yang menambah nilai untuk pemangku kepentingan. Ia juga
memungkinkan perusahaan menciptakan keseimbangan yang tepat di antara
risiko dan penghargaan.
2. Mencakup perusahaan dari ujung ke ujung. Kerangka COBIT 5 tidak hanya
berfokus pada operasi TI, ia juga mengintegrasikan semua fungsi dan proses TI
ke dalam fungsi serta proses keseluruhan perusahaan.
3. Mengajukan sebuah kerangka terintegrasi dan tunggal. Kerangka COBIT 5
dapat disejajarkan pada tingkatan yang tinggi dengan standar dan kerangka
lainnya, sehingga sebuah kerangka yang menyeluruh bagi tata kelola TI dan
manajemen diciptakan.
4. Memungkinkan pendekatan holistik. Kerangka COBIT 5 memberikan sebuah
pendekatan holistik yang menghasilkan tata kelola dan manajemen yang efektif
dari semua fungsi TI di perusahaan.
5. Memisahkan tata kelola dari manajemen. Kerangka COBIT 5 membedakan
antara tata kelola dan manajemen.

Tujuan tata kelola adalah menciptakan nilai dengan mengoptimalkan penggunaan

sumber daya organisasi untuk menghasilkan manfaat yang diinginkan dengan cara yang
secara efektif mengatasi risiko. Tata kelola adalah tanggung jawab dewan direksi yang

(1) mengevaluasi keperluan pemangku kepentingan untuk mengidentifikasi

tujuan,

(2) memberikan arahan bagi manajemen dengan memprioritaskan tujuan, dan

 (3) mengawasi kinerja manajemen.

Manajemen bertanggung jawab atas perencanaan, pembangunan, pelaksanaan, dan

pengawasan aktivitas serta proses yang digunakan oleh organisasi untuk mengejar tujuan
atau tujuan yang ditetapkan dewan direksi. Manajemen juga secara berkala memberikan
umpan balik bagi dewan direksi yang dapat digunakan untuk mengawasi pencapaian
tujuan organisasi dan, jika diperlukan, mengevaluasi ulang serta mungkin memodifikasi
tujuan tersebut.

Tata kelola dan manajemen TI ( Teknologi Informasi) merupakan proses

berkelanjutan. Dewan direksi dan manajemen mengawasi aktivitas organisasi dan
menggunakan umpan balik tersebut untuk memodifikasi rencana dan prosedur yang ada
atau mengembangkan strategi baru untuk merespons perubahan-perubahan di dalam
tujuan bisnis dan perkembangan baru dalam TI.

COBIT 5 adalah sebuah kerangka komprehensif yang membantu perusahaan

mencapai tujuan tata kelola dan manajemen Tl mereka. Kelengkapan ini adalah salah satu
kekuatan COBIT 5 dan menekankan pada penerimaan internasional yang berkembang
sebagai sebuah kerangka untuk mengelola serta mengendalikan sistem informasi.

Model COBIT 5 tentang referensi proses mengidentifikasi lima proses tata kelola
(merujuk pada mengevaluasi, mengarahkan, mengawasi-evaluate, direct, dan monitor-
atau EDM) dan 32 proses manajemen. Tiga puluh dua proses manajemen dibagi ke dalam
empat domain sebagai berikut:

1. Menyelaraskan, merencanakan, dan mengatur (align, plan, dan organize-APO)

2. Membangun, mengakuisisi, menerapkan (build, acquire, dan implement-BAI)
3. Mengantar, melayani, mendukung (deliver, service, dan support-DSS)
4. Mengawasi, mengevaluasi, menilai (monitor, evaluate, dan assess-MEA)
2. Kerangka Pengendalian Internal COSO (Committee Of Sponsoring
Organiztion)

Committee of Sponsoring Organizations (COSO) adalah kelompok sektor swasta

yang terdiri dari: American Accounting Association (AAA); American Institute of
Certified Public Accountants (AICPA); Institute of Intemal Auditors; Institute of
Management Accountants; dan Financial Executives Institute.
 Pada tahun 1992, COSO mengeluarkan Pengendalian Internal - Kerangka
Terintegrasi IC, untuk mengembangkan definisi pengendalian internal dan memberikan
panduan untuk mengevaluasi dan meningkatkan sistem pengendalian intemal, yang telah
diterima sebagai otoritas untuk pengendalian internal yang digabungkan ke dalam
kebijkan, peraturan, dan regulasi untuk mengendalikan aktivitas bisnis.

Untuk memberikan jaminan yang wajar bahwa tujuan pengendalian dicapai dengan
pertimbangan hal-hal berikut:

a. Efektivitas dan efisiensi (effectiveness and efficiency) operasional organisasi;

b. Keandalan (reliability) pelaporan keuangan;
c. Kesesuaian (compliance) dengan hukum dan peraturan vang berlaku

Lima komponen Model Pengendalian Internal COSO yang saling berhubungan :

a. Control environment (lingkungan pengendalian)

b. Control activities (aktivitas pengendalian)
c. Risk assessment (penilaian risiko)
d. Information and communication (informasi dan komunikasi)
e. Monitoring (pengawasan)
3. Kerangka Manajemen Risiko Perusahaan COSO

Manajemen risiko perusahaan (Enterprise Risk Management) - Kerangka

Terintegrasi (Integrated Framework) - ERM, merupakan sebuah kerangka COSO yang
memperbaiki proses manajemen risiko dengan memperluas (menambahkan tiga elemen
tambahan) Pengendalian Internal COSO- terintegrasi. Kerangka ERM digunakan dewan
direksi dan manajemen untuk mengatur strategi, mengidentifikasi kejadian yang mungkin
memengaruhi entitas, menilai dan mengelola risiko, serta menyediakan jaminan memadai
bahwa perusahaan mencapai tujuan dan sasarannya.

4. Kerangka Manajemen Risiko Perusahaan Vs Kerangka Pengendalian Internal

Kerangka IC ( Internal Control) telah diadopsi secara luas sebagai cara untuk
mengevaluasi pengendalian internal, seperti yang ditentukan oleh SOX.

Kerangkan ERM lebih komprehensif menggunakan pendekatan berbasis risiko daripada

berbasis pengendalian, dengan menambah 3 elemen ke kerangka IC COSO yaitu :
 a. Penetapan tujuan,
b. Pengidentifikasian kejadian yang mungkin mempengaruhi perusahaan, dan
c. Pengembangan sebuah respon untuk risiko yang dinilai.

Sehingga pengendalian bersifat fleksibel dan relevan karena mereka ditautkan dengan
tujuan organisasi terkini.

Model ERM juga mengakui bahwa risiko, selain dikendalikan, dapat pula diterima,
dihindari, dibuat berjenis-jenis, dibagi, atau ditransfer.

D. Lingkugan Internal

Lingkungan internal (internal environment), atau budaya perusahaan, memengaruhi

cara organisasi menetapkan strategi dan tujuannya; membuat struktur aktivitas bisnis; dan
mengidentifikasi, menilai, serta merespons risiko. Ini adalah fondasi dari seluruh
komponen ERM lainnya. Lingkungan internal yang lemah atau tidak efisien sering
kali menghasilkan kerusakan di dalam manajemen dan pengendalian risiko. Hal tersebut
secara esensial merupakan hal yang sama dengan lingkungan pengendalian
pada kerangka IC.

Sebuah Lingkungan Internal mencakup hal-hal sebagai berikut:

1. Filosofi Manajemen , Gaya Pengoperasian, dan Selera Risiko

Secara keseluruhan, sebuah organisasi memiliki sebuah filosofi atau kepercayaan dan
sikap yang dianut bersama, tentang risiko yang memengaruhi kebijakan, prosedur,
komunikasi lisan dan tulisan, serta keputusan. Perusahaan juga memiliki selera risiko
(risk appetite), yaitu jumlah risiko yang bersedia diterima oleh sebuah perusahaan untuk
mencapai tujuan dan sasarannya. Untuk menghindari risiko yang tidak semestinya, selera
risiko harus selaras dengan strategi perusahaan.

Semakin bertanggung jawab filosofi dan gaya pengoperasian manajemen, serta makin
jelas mereka berkomunikasi, maka semakin besar kemungkinan para pegawai akan
bertindak dengan tanggung jawab. Jika manajemen hanya memiliki sedikit perhatian pada
pengendalian internal dan manajemen risiko, maka pegawai akan menjadi kurang rajin
untuk mencapai tujuan pengendalian. Budaya di Springer's Lumber & Supply menjadi
sebuah contoh. Maria Pilier menemukan bahwa garis wewenang dan tanggung jawab
ditetapkan dengan longgar dan mencurigai bahwa manajemen mungkin telah
menggunakan "akuntansi kreatif untuk meningkatkan kinerja perusahaan. Jason Scott
menemukan bukti atas praktik pengendalian internal yang buruk dalam fungsi pembelian
dan utang. Dua kondisi tersebut mungkin berkaitan; sikap longgar manajemen mungkin
telah menyebabkan ketidakpedulian departemen pembelian terhadap praktik pengendalian
internal yang baik.

Filosofi manajemen, gaya pengoperasian, dan selera risiko dapat dinilai dengan
menjawab pertanyaan-pertanyaan seperti berikut.

 Apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk

mencapai tujuan.
atau apakah manajemen menilai risiko dan manfaat potensial sebelum bertindak?
 Apakah manajemen memanipulasi ukuran-ukuran kinerja, seperti pendapatan
bersih. sehingga mereka terlihat baik?
 Apakah manajemen menekan para pegawai untuk mencapai hasil terlepas dari
metodenya atau apakah manajemen menuntut perilaku yang etis? Dengan kata
lain, apakah pada akhirnya hal tersebut membuahkan hasil?
2. Komitmen terhadap Integritas, Nilai Etis, dan Kompetensi

Merupakan hal yang penting bagi pihak manajemen untuk menciptakan stuktur
organisasional yang menekankan pada integritas dan nilai-nilai etika. Perusahaan dapat
mengesahkan integritas sebagai prinsip dasar beroperasi, dengan secara aktif
mengajarkan dan mempraktikannya. Contohnya, manajemen puncak harus memperjelas
bahwa laporan yang jujur lebih penting daripada laporan yang sesuai keinginan
pihak manajemen.

3. Pengawasan Pengendalian Internal oleh Dewan Direksi

Komite Audit Dewan Komisaris (board of Director) bertanggungjawab untuk

mengawasi struktur pengendalian internal perusahaan, proses pelaporan keuangan dan
kepatuhannya terhadap hukum, peraturan dan standar yang terkait, serta perekrutan dan
pengawasan auditor internal dan eksternal, juga tanggungjawab menyediakan peninjauan
independen, atas nama pemegang saham perusahaan, terhadap tindakan para
manajer perusahaan.

4. Struktur Organisasi

Struktur organisasional perusahaan menetapkan garis otoritas dan

tanggungjawab, serta menyediakan kerangka umum untuk perencanaan, pelaksanaan,
pengendalian, dan pengawasan operasinya. Beberapa aspek pentik dari struktur
organisasi yaitu:

a. Sentralisasi atau desentralisasi wewenang;

b. Hubungan pengarahan atau matriks pelaporan;
c. Organisasi berdasarkan industri, lini produk, lokasi, atau jaringan pemasaran;
d. Alokasi tanggung jawab memengaruhi ketentuan informasi;
e. Organisasi & garis wewenang untuk akuntansi, pengauditan, fungsi sistem
informasi;
f. Ukuran dan jenis aktivitas perusahaan.
5. Metode Penetapan Wewenang dan Tanggung Jawab

Pihak manajemen harus memberikan tanggung jawab untuk tujuan bisnis tertentu
ke depatemen dan individu yang terkait, serta kemudian membuat mereka tanggung
jawab untuk mencapai tujuan tersebut. Buku pedoman kebijakan dan prosedur (policy
and procedures manual) adalah alat yang penting untuk memberikan otoritas dan
tanggung jawab, merupakan dokumen yang menjelaskan praktik bisnis yang sesuai,
pengetahuan dan pengalaman yang dibutuhkan, prosedur dokumen, cara menangani
transaksi serta mendata sumber daya yang tersedia untuk melaksanakan tugas-
tugas tertentu.

6. Standar Sumber Daya Manusia yang Menarik, Mengembangkan, dan

Mempertahankan Individu yang Kompeten

Salah satu dari kekuatan pengendalian terbesar adalah kejujuran pegawai; salah
satu dari kelemahan pengendalian terbesar adalah ketidakjujuran pegawai. Kebijakan
sumber daya manusia (SDM) dan praktik-praktik yang mengatur kondisi kerja, insentif
pekerjaan, dan kemajuan karier dapat menjadi kekuatan dalam mendorong kejujuran,
efisiensi, dan layanan yang loyal. Kebijakan SDM harus berisi tingkatan keahlian yang
diperlukan, perilaku etis, dan integritas yang diperlukan. Berikut ini merupakan kebijakan
dan prosedur SDM yang penting.

PEREKRUTAN Para pegawai seharusnya dipekerjakan berdasarkan latar

belakang pendidikan, pengalaman, pencapaian, kejujuran dan integritas, serta persyaratan
kerja yang sesuai. Seluruh personel perusahaan, termasuk kru kebersihan dan pegawai
sementara, harus mematuhi jakan perekrutan. Beberapa pelaku penipuan menyamar
sebagai pesuruh atau pegawai sementara untuk mendapatkan akses fisik ke komputer
perusahaan.

Kualifikasi pelamar dapat dievaluasi menggunakan resume, surat referensi,

wawancara, dan pengecekan latar belakang. Pengecekan latar belakang (background
check) yang teliti memuat pembicaraan berdasarkan referensi, pengecekan catatan
kriminal, pemeriksaan catatan kredit, dan melakukan verifikasi pendidikan serta
pengalaman kerja. Banyak pelamar memasukkan informasi yang palsu pada
lamaran atau resumenya.

Banyak perusahaan mempekerjakan ahli pengecekan latar belakang karena

beberapa pelamar membeli gelar palsu dari operator situs yang "memvalidasi" pendidikan
palsu ketika perusahaan menelepon. Beberapa pelamar bahkan membayar hacker untuk
membobol ke dalam database perusahaan guna memasukkan kelulusan atau
data nilai palsu.

7. Pengaruh Eksternal

Pengaruh-pengaruh eksternal yang mempengaruhi lingkungan pengendalian

adalah termasuk persyaratan yang dibebankan oleh bursa efek, Financial Accounting
Standards Board (FASB), PCAOB, dan Securities and Exchange Commision (SEC), serta
persyaratan yang diwajibkan oleh badan regulasi seperti bank, utilitas, dan
perusahaan asuransi.

E. Penetapan Tujuan

Penetapan tujuan adalah komponen ERM yang kedua. Manajemen menentukan hal
yang ingin dicapai oleh perusahaan, sering disebut sebagai visi atau misi perusahaan.
Manajemen menetapkan tujuan pada tingkatan perusahaan dan kemudian membaginya ke
dalam tujuan yang lebih spesifik untuk subunit perusahaan. Perusahaan menentukan hal
yang harus berjalan dengan benar untuk mencapai tujuan dan menetapkan ukuran kinerja
guna menentukan apakah ukuran ukuran kinerja tersebut terpenuhi.
 Manajemen menentukan hal yang ingin dicapai oleh perusahaan, sering disebut
sebagai visi misi perusahaan. Penetapan tujuan meliputi :

✰ Tujuan strategis (strategic objective): tujuan tingkat tinggi yang disejajarkan dan
mendukung misi perusahaan serta menciptakan nilai pemegang saham.

✰ Tujuan operasi (operation objective): berhubungan dengan efektivitas dan

efisiensi operasi perusahaan serta menentukan cara mengalokasikan sumber daya.

✰ Tujuan pelaporan (reporting objective): membantu memastikan ketelitian,

kelengkapan, dan kehandalan laporan perusahaan, meningkatkan pembuatan keputusan,
serta mengawasi aktivitas dan kinerja perusahaan.

✰ Tujuan kepatuhan (compliance objective): membantu perusahaan mematuhi

seluruh hukum dan peraturan yang berlaku.

F. Identifikasi Kejadian

Kejadian (event) menurut COSO, merupakan sebuah insiden atau peristiwa yang
berdampak baik positif, negatif, atau keduanya, dari sumber-sumber internal dan
ekstemal yang mempengaruhi implementasi strategi atau pencapain tujuan organisasi.

Teknik untuk mengidentifikasi kejadian termasuk penggunaan sebuah daftar

komprehensif dari kejadian potensial, pelaksanaan sebuah analisis internal, pengawasan
kejadian-kejadian yang menjadi penyeab dan titik-titik pemicu, pengadaan seminar atau
wawancara, penggunaan data mining, dan penganalisisan proses-proses bisnis.

G. Penilaian Risiko dan Respons Risiko

Risiko-risiko sebuah kejadian yang teridentifikasi dinilai dalam beberapa cara yang
berbeda: kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan
kategor dampak pada unit organisasi yang lain, serta berdasarkan pada sifat bawaan dan
residual. Risiko bawaan (inherent risk) adalah kelemahan dari sebuah penetapan akun
atau transaksi pada masalah pengendalian yang signifikan tanpa adanya pengendalian
internal. Risiko residual (residual risk) adalah risiko yang yang tersisa setelah manajemen
mengimplementasikan pengendalian internal atau beberapa respons lainnya terhadap
risiko. Perusahaan harus menilai risiko bawaan, mengembangkan respons, dan kemudian
menilai risiko residual.

Untuk menyelaraskan risiko yang diidentifikasikan dengan toleransi perusahaan

terhadap risiko, manajemen harus mengambil pandangan entitas yang luas pada risiko.
Mereka haru menilai kemungkinan dan dampak risiko, seperti biaya dan manfaat dari
respons-respons alternatif. Manajemen dapat merespons risiko dengan salah satu dari
empat cara berikut.

 Mengurangi. Mengurangi kemungkinan dan dampak risiko dengan

mengimplementasikan sistem pengendalian internal yang efektif.
 Menerima. Menerima kemungkinan dan dampak risiko.
 Membagikan. Membagikan risiko atau mentransfernya kepada orang lain dengan
asuransi pembelian, mengalihdayakan sebuah aktivitas, atau masuk ke dalam
transaksi lindung nilai (hedging).
 Menghindari. Menghindari risiko dengan tidak melakukan aktivitas yang
menciptakan risiko. Hal ini bisa jadi mensyaratkan perusahaan untuk menjual
sebuah divisi, keluar dari lini produk, atau tidak memperluas perusahaan seperti
yang diharapkan.

Para akuntan dan perancang sistem membantu manajemen merancang sistem

pengendalian yang efektif untuk mengurangi risiko bawaan. Mereka juga mengevaluasi
sistem pengendalian internal untuk memastikan bahwa sistem tersebut beroperasi dengan
efektif. Mereka menilai dan mengurasi risiko menggunakan strategi penilaian dan respons
risiko yang ditampilkan pada Figur 7-1. Langkah pertama adalah identifikasi kejadian,
yang telah dibahas.

Pendekatan Penilaian Risiko untuk perancangan pengendalian internal:

1. MEMPERKIRAKAN KEMUNGKINAN DAN DAMPAK

Beberapa kejadian memiliki risiko yang lebih besar karena lebih cenderung untuk
terjadi. Para pegawai cenderung membuat sebuah kesalahan daripada melakukan
penipuan dan sebuah perusahaan cenderung menjadi korban penipuan daripada gempa
bumi. Kemungkinan terjadinya sebuah gempa bumi mungkin kecil, tetapi dampaknya
dapat menghancurkan sebuah perusahaan. Dampak dari penipuan biasanya tidak sebesar
itu, karena kebanyakan kasus penipuan tidak mengancam eksistensi perusahaan.
Kemungkinan dan dampak harus dipertimbangkan bersamaan. Oleh karena itu, keduanya
meningkat, baik materialitas dari kejadian maupun kebutuhan untuk melindunginya akan
muncul. Alat-alat perangkat lunak membantu penilaian dan respons risiko secara
otomatis. Blue Cross Blue Shield di Florida menggunakan perangkat lunak ERM yang
mengizinkan manajer memasukkan risiko yang dirasakan; menilai sifat, kemungkinan,
dan dampaknya; serta menetapkan pemeringkatan numerik. Sebuah penilaian risiko
keseluruhan perusahaan dikembangkan dengan mengagregasi seluruh pemeringkatan.

2. Mengidentifikasi Pengendalian

Manajemen harus mengidentifikasi pengendalian yang melindungi perusahaan

dari setiap kejadian. Pengendalian preventif biasanya superior dibandingkan
pengendalian detektif. Ketika pengendalian preventif gagal, pengendalian detektif
menjadi sangat diperlukan untuk menemukan masalah. Pengendalian korektif membantu
memulihkan dari segala masalah. Sebuah sistem pengendalian internal yang baik harus
menggunakan ketiganya.

3. Memperkirakan Budaya dan Manfaat

Tujuan dari perancangan sebuah sistem pengendalian internal adalah untuk

memberikan jaminan memadai bahwa kejadian tidak terjadi. Tidak ada sistem
pengendalian internal yang memberikan perlindungan sangat mudah terhadap seluruh
kejadian, karena memiliki banyak sekali pengendalian membutuhkan biaya sangat besar
dan secara negatif memengaruhi efisiensi operasional. Kebalikannya, memiliki terlalu
sedikit pengendalian tidak akan memberikan jaminan memadai yang diperlukan.

Manfaat dari prosedur pengendalian internal harus melebihi biayanya. Manfaat-manfaat

tersebut sulit dihitung secara akurat, termasuk penjualan dan
produktivitas yang meningkat,
kerugian yang dikurangi, integrasi yang lebih baik dengan pelanggan dan pemasok,
loyalitas pelanggan yang meningkat, keunggulan kompetitif, dan premi asuransi yang
lebih rendah. Biaya biasanya lebih mudah diukur dibandingkan manfaat. Elemen biaya
yang umum, yaitu personel, termasuk waktu untuk menjalankan prosedur pengendalian,
biaya perekrutan pegawai tambahan untuk mencapai pemisahan tugas yang efektif, dan
biaya pemrograman pengendalian ke dalam sebuah sistem komputer.

Salah satu cara untuk memperkirakan nilai pengendalian internal melibatkan

kerugian yang diperkirakan (expected loss), hasil matematis dampak dan kemungkinan.

EXPECTED = RISK X EXPOSURE

Kerugian yang diperkirakan = Dampak x Kemungkinan

Nilai dari prosedur pengendalian adalah selisih antara kerugian yang diperkirakan dengan
prosedur-prosedur pengendalian dan kerugian yang diperkirakan tanpa prosedur tersebut.

H. Aktivitas Pengendalian

Aktivitas pengendalian (Control Activities) merupakan kebijakan dan peraturan yang

menyediakan jaminan yang wajar bahwa tujuan pengendalian pihak manajemen dicapai.
dan respons risiko dilakukan. Hal tersebut merupakan tanggung jawab manajemen untuk
mengembangkan sebuah sistem yang aman dan dikendalikan dengan tepat. Manajemen
harus memastikan bahwa:

1. pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko

hingga level yang dapat diterima;
2. pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi:
3. aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan
kebijakan dan prosedur perusahaan yang telah ditentukan.

Petugas keamanan informasi dan staf operasi bertanggung jawab untuk memastikan
bahwa prosedur pengendalian telah diikuti.

Pengendalian akan jauh lebih efektif ketika dijalankan sejak sistem dibangun, dari
pada sesudah dibangun. Akibatnya, manajer perlu melibatkan analis sistem, desainer, dan
pengguna akhir ketika mendesain sistem pengendalian berbasis komputer. Hal yang
penting bahwa aktivitas pengendalian tetap berjalan selama musim liburan akhir
tahun, karena jumlah pada waktu tersebut. Beberapa alasannya, yaitu (1) liburan pegawai
yang diperpanjan berarti bahwa orang yang "mengurusi toko" lebih sedikit: (2) para
pelajar libur sekolah dan mempunyai waktu lebih, dan (3) para hacker yang budayanya
berbeda meningkatkan serangan mereka.

Prosedur pengendalian meliputi beberapa kategori berikut:

1. Otorisasi Transaksi dan Aktivitas yang Tepat

Otorisasi merupakan penetapan kebijkan bagi para pegawai untuk diikuti dan kemudian
memberdayakan mereka guna melakukan fungsi organisasi tertentu, dapat
didokumentasikan dengan penandatanganan, penginisialisasian, atau pengkodean.

2. PEMISAHAN TUGAS AKUNTANSI Sebagaimana yang ditunjukkan pada

Figur 7-2, pemisahan pemisahan tug tugas akuntansi (segregation of accounting
duties) yang efektif tercapai ketika fungsi-fungsi berikut dipisahkan.
 Otorisasi-menyetujui transaksi dan keputusan.
 Pencatatan-mempersiapkan dokumen sumber; memasukkan data ke dalam sistem
komputer, memelihara jurnal, buku besar, file, atau database; dan menyiapkan
rekonsiliasi dan laporan kinerja.
 Penyimpanan-menangani kas, peralatan, persediaan, atau aktiva tetap; menerima
cek pelanggan yang datang; menulis cek.
PEMISAHAN TUGAS SISTEM Dalam sebuah sistem informasi, prosedur yang
dijalankan oleh individu berbeda dikombinasikan. Oleh karena itu, setiap orang yang
memiliki akses yang tidak terbatas ke komputer, program, dan data langsung dapat
melakukan serta menyamarkan penipuan. Untuk melawan ancaman ini, organisasi
menerapkan pemisahan tugas sistem (segregation of system duties). Wewenang dan
tanggung jawab harus dibagi dengan jelas menurut fungsi-fungsi sebagai berikut.

1. Administrator sistem. Administrator sistem (system administrator) memastikan

seluruh komponen sistem informasi berjalan dengan lancar dan efisien.
2. Manajemen jaringan. Manajer jaringan (network manager) memastikan bahwa
perangkat ditautkan ke jaringan internal dan eksternal organisasi dan memastikan
pula bahwa jaringan tersebut beroperasi dengan baik.
3. Manajemen keamanan. Manajemen keamanan (security management)
memastikan bahwa sistem yang ada aman dan terlindungi dari ancaman internal
dan eksternal.
4. Manajemen perubahan. Manajemen perubahan (change management) adalah
proses untuk memastikan perubahan dibuat dengan lancar dan efisien tidak
memengaruhi keterandalan, keamanan, kerahasiaan, integritas, dan ketersediaan
sistem secara negative.
5. Pengguna. Pengguna (users) mencatat transaksi, melakukan otorisasi data untuk
diproses, dan menggunakan output sistem.
6. Analisis sistem. Analis sistem (system analysts) membantu pengguna
menentukan kebutuhan informasi mereka dan mendesain sistem agar sesuai
dengan kebutuhan kebutuhan tersebut.
 7. Pemrograman. Pemrogram (programmer) membuat dan mengembangkan desain
analis, mengodekan, dan menguji program komputer.
8. Operasi komputer. Operator komputer (computer operator) menjalankan
perangkat lunak pada komputer perusahaan. Mereka memastikan bahwa data
diproses dengan benar, dan output yang diperlukan akan dihasilkan.
9. Perpustakaan sistem informasi, Pustakawan sistem informasi memelihara
penyimpanan database, file, dan program perusahaan dalam area penyimpanan
terpisah yang disebut dengan perpustakaan sistem informasi (information system
library).
10. Pengendalian data. Kelompok pengendalian data (data control group)
memastikan bahwa data sumber telah disetujui dengan semestinya, mengawasi
alur kerja melalui peu komputer, merekonsiliasi input dan output, memelihara
catatan kesalahan input untuk memastikan kebenaran dan kepatuhannya kembali,
serta mendistribusikan output sistem.
3. Pengembangan Proyek dan Pengendalian Akuisisi ( Perolehan)

Memiliki metodologi menjadi hal penting untuk mengatur pengembangan,

akulais, implementasi, dan memelihara statum infanajemen eigi harus mengandung
pengendalian yang tepat untuk persetujuan manajemen, keterlibatan pengguna, analis
desain, pengujian, implementasi, dan konversi. Metodologi-metodologi tersebut dibahas
pada Bab 20 sampai 22.

Pengendalian pengembangan sistem yang penting meliputi hal-hal sebagai berikut:

1. Sebuah komite pengarah (steering committe) memandu dan mengawasi

pengembangan dan akuisisi (perolehan) sistem informasi.
2. Sebuah rencana induk strategis (strategic master plan) dikembangkan dan
diperbarui setiap tahun untuk menyelaraskan sistem informasi organisasi dengan
strategi-strategi bisnisnya. Ini menunjukkan proyek-proyek yang harus
diselesaikan serta menunjukkan persyaratan-persyaratan perangkat keras,
perangkat lunak, personel, dan infrastruktur perusahaan.
3. Sebuah rencana pengembangan proyek (project development plan)
menunjukkan tugas-tugas yang dijalankan, orang yang akan menjalankannya,
biaya proyek, tanggal penyelesaian, dan tonggak proyek (project milestones)-
poin-poin signifikan ketika kemajuan ditinjau dan waktu penyelesaian aktual
 serta perkiraan dibandingkan. Setiap proyek ditugaskan kepada seorang manajer
dan tim yang bertanggung jawab atas keberhasilan atau kegagalannya.
4. Sebuah jadwal pengolahan data (data processing schedule) menunjukkan kapan
setiap tugas seharusnya dijalankan.
5. Pengukuran kinerja sistem (system performance measurement) ditetapkan
untuk mengevaluasi sistem. Pengukuran yang umum meliputi throughput (output
per unit waktu), pemanfaatan (utilization)-persentase waktu penggunaan sistem,
dan waktu respons (response time)-lamanya waktu yang diperlukan sistem untuk
merespons.
6. Sebuah tinjauan pasca-implementasi (postimplementation review) dijalankan
setelah sebuah proyek pengembangan diselesaikan untuk menentukan apakah
manfaat antisipasian tercapai.
4. Mengubah Pengendalian Manjemen

Organisasi memodifikasi sistem yang berjalan untuk merefleksikan praktik-

praktik bisnis baru dan untuk memanfaatkan penguasaan TI. Mereka yang bertugas untuk
perubahan harus memastikan bahwa mereka tidak memperkenalkan kesalahan sehingga
memfasilitasi penipuan. Aspek-aspek perilaku untuk perubahan dibahas pada Bab 20 dan
perubahan pengendalian manajemen dibahas pada Bab 10.

5. Mendesain dan Menggunakan Dokumen dan Catatan

Desain dan penggunaan dokumen elektronik dan kertas yang sesuai dapat
membantu memastikan pencatatan yang akurat serta lengkap dari seluruh data transaksi
yang relevan. Bentuk dan isinya harus sesederhana mungkin, meminimalkan kesalahan,
dan memfasilitasi tinjauan serta verifikasi. Dokumen yang mengawali sebuah transaksi
harus menyediakan sebuah ruang untuk otorisasi. Mereka yang mentransfer aset
membutuhkan sebuah ruang untuk tanda tangan pihak penerimaan. Dokumen harus
dinomori secara urut, sehingga masing-masing dapat dibukukan. Jejak audit memfasilitasi
penelusuran transaksi individu melalui sistem, memperbaiki kesalahan, dan
memverifikasi output sistem. Desain dokumen, bentuk, dan layar dibahas pada Bab 22.

6. Pengamanan Aset, Catatan, dan Data

Perusahaan harus melindungi kas dan aset fisik beserta informasinya, berikut beberapa
hal penting yang harus diperhatikan :
 a. Menciptakan dan menegakkan kebijakan dan prosedur yang tepat; Sering
kali seluruh kebijakan dan prosedur di Perusahaan di buat tetapi tidak di
tegakkan.
b. Memelihara catatan akurat dari seluruh aset; secara periodic merekonsialisasi
jumlah tercatat atas asset Perusahaan ke perhitungan fisik dari asset-aset tersebut.
c. Membatasi akses terhadap aset; Pembatasan akses terhadap area penyimpanan
daoat melindungi persediaan dan peralatan. Register kas, brangkas, Peti uang
(lockbox), dan kotak penyimpanan aman (safety deposit box) membatasi asset
kas dan asset kertas.
d. Melindungi catatan dan dokumen. Are penyimpanan tahan api, lemari arsip,
(filing cabinet) terkunci, file back up, dan penyimpanan diluar situs akan
melinfungi catatan dan dokumen.
7. Pengecekan Kinerja yang Independen

Pengecekan kinerja yang independen, dilakukan oleh seseorang, tetapi bukan

merupakan orang yang melakukan operasi aslinya, membantu memastikan bahwa
transaksi diproses dengan tepat. Pengecekan kinerja yang independen ini meliputi:

 Tinjauan tingkat atas. Manajemen harus mengawasi hasil perusahaan dan

membandingkan kinerja perusahaan secara periodik terhadap (1) kinerja yang
direncanakan, seperti yang ditunjukkan di dalam anggaran, target, dan perkiraan;
(2) kinerja periode sebelumnya; dan (3) kinerja pesaing.
 Tinjauan analitis. Sebuah tinjauan analitis (analytical review) adalah sebuah
pemeriksaan hubungan di antara set-set data yang berbeda. Sebagai contoh,
dengan meningkatnya penjualan kredit, seharusnya piutang juga meningkat.
Selain itu, terdapat hubungan antara penjualan dan akun-akun seperti harga
pokok penjualan, persediaan, dan ongkos angkut.
 Rekonsiliasi catatan-catatan yang dikelola secara independen. Catatan-
catatan harus direkonsiliasi terhadap dokumen atau catatan dengan saldo yang
sama. Sebagai contoh, sebuah rekonsiliasi bank memverifikasi bahwa saldo
rekening yang dicek Perusahaan cocok dengan saldo laporan bank. Contoh yang
lain adalah membandingkan total buku besar pembantu dengan total buku besar
umum.
 Perbandingan terhadap kuantitas aktual dengan jumlah dicatat. Aset yang
signifikan secara periodik dihitung dan direkonsiliasikan terhadap catatan
 perusahaan. Pada akhir shift setiap kasir, kas di dalam mesin kasir harus sesuai
dengan jumlah dalam pita mesin kasir. Persediaan harus dihitung secara periodik
dan direkonsiliasikan terhadap catatan- catatan persediaan.
 Akuntansi double-entry. Pepatah bahwa debit yang seimbang dengan kredit
menyediakan berbagai peluang untuk pengecekan independen. Debit di dalam
entri penggajian mungkin bisa dialokasikan pada berbagai akun persediaan
dan/atau biaya; kredit dialokasikan pada akun-akun kewajiban untuk utang gaji,
pajak ditahan, asuransi pegawai, dan iuran serikat pekerja. Setelah entri
penggajian, pembandingan debit dan kredit total merupakan sebuah pengecekan
yang kuat terhadap ketepatan kedua proses. Setiap perbedaan mengindikasikan
adanya kesalahan.
 Tinjauan independen. Setelah sebuah transaksi diproses, orang kedua meninjau
pekerjaan orang pertama, mengecek otorisasi yang semestinya, meninjau
dokumen pendukung, dan mengecek ketepatan harga, kuantitas, serta ekstensi.
I. Informasi dan Komunikasi

Sistem informasi dan komunikasi haruslah memperoleh dan mempertukarkan

informasi yang dibutuhkan untuk mengatur, mengelola, dan mengendalikan operasi
perusahaan. Tujuan utama dari sistem informasi akuntansi (SIA-accounting information
system) adalah untuk mengumpulkan, mencatat, memproses, menyimpan, meringkas, dan
mengomunikasikan informasi mengenai sebuah organisasi. Hal tersebut meliputi
pemahaman cara transaksi dilakukan, data diperoleh, file diakses serta diperbarui, data
diproses, dan informasi dilaporkan. Hal itu meliputi pemahaman pencatatan dan
perosedur akuntansi, dokumen- dokumen pendukung, dan laporan keuangan. Hal-hal
tersebut memberikan jejak audit (audit jejak au trail), yang memungkinkan transaksi
untuk ditelusuri secara bolak-balik antara asalnya dan laporan keuangan.

Sebagai tambahan untuk pengidentifikasian dan pencatatan seluruh transaksi yang

valid, SIA harus mengklasifikasikan transaksi secara tepat, mencatat transaksi pada nilai
moneter yang sesuai, mencatat transaksi di dalam periode akuntansi yang sesuai, dan
menyajikan transaksi secara tepat dan pengungkapan lainnya di dalam laporan keuangan.

Komunikasi harus dilakukan secara internal dan eksternal untuk menyediakan

informasi yang dibutuhkan guna menjalankan aktivitas pengendalian internal harian.
Seluruh personel harus memahami tanggung jawab mereka.
 Kerangka IC (Internal Control) yang diperbarui memerinci bahwa tiga prinsip berikut
berlaku di dalam proses informasi dan komunikasi.

1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi

untuk mendukung pengendalian internal.
2. Mengomunikasikan informasi secara internal, termasuk tujuan dan tanggung
jawab yang diperlukan untuk mendukung komponen-komponen lain dari
pengendalian internal.
3. Mengomunikasikan hal-hal pengendalian internal
J. Pengawasan

Sistem Pengendalian Internal yang dipilih atau dikembangkan harus diawasi secara
berkelanjutan, dievaluasi, dan dimodifikasi sesuai kebutuhan. Segala kekurangan ha
dilaporkan kepada manajemen senior dan dewan direksi. Metode-metode utama
dalam pengawasan kinerja dibahas pada bagian ini.

1. MENJALANKAN EVALUASI PENGENDALIAN INTERNAL

Efektivitas pengendalian internal diukur dengan menggunakan evaluasi formal

atau evaluasi penilaian diri. Sebuah tim dapat dibentuk untuk melakukan evaluasi, atau
hal ini dapat dilakukan dengan pengauditan internal.

2. Implementasi Pengawasan yang Efektif

Pengawasan yang efektif melibatkan melatih dan mendampingi pegawai,

mengawasi kinerja mereka, mengoreksi kesalahan, dan mengawasi pegawai yang
memiliki akses terhadap aset Pengawasan terutama penting untuk organisasi tanpa
pelaporan pertanggungjawaban atau sebuah pemisahan tugas yang memadai.

3. Menggunakan Sistem Akuntansi Pertanggung Jawaban

Sistem akuntansi pertanggungjawaban meliputi anggaran, kuota, jadwal, biaya

standar, da standar kualitas; perbandingan laporan kinerja aktual dan yang direncanakan;
dan prosedur untuk menyelidiki serta mengoreksi varians yang signifikan.

4. Mengawasi Aktivitas Sistem

Paket perangkat lunak analisis dan manajemen risiko meninjau ukuran-ukuran

keamanan komputer dan jaringan, mendeteksi akses ilegal, menguji kelemahan dan
kerentanan, melaporkan kelemahan yang ditemukan, dan menyarankan perbaikan.
Parameter biaya dapat dimasukkan dalam tingkat penerimaan saldo atas toleransi risiko
dan efektivitas biaya. Perangkat lunak juga mengawasi dan melawan virus, spyware,
adware, spam, phishing, dan e-mail yang tidak pantas. Perangkat lunak memblokir iklan
pop-up, mencegah browser dibajak, dan memvalidasi ID penelepon dengan
membandingkan suara penelepon dengan sebuah cetak suara yang terekam sebelumnya.
Perangkat lunak dapat membantu perusahaan memulihkan dari tindakan berbahaya.
 Sebuah paket manajemen risiko membantu sebuah perusahaan memulihkan dari
amukan seorang pegawai yang tidak puas. Setelah sebuah evaluasi kinerja yang negatif, si
pelaku mencabut kabel dari PC, mengubah file pengendalian persediaan, dan mengedit
file kata sandi untuk menghentikan orang-orang masuk ke dalam jaringan. Perangkat
lunak tersebut dengan segera mengidentifikasi file yang rusak dan memperingatkan
kantor pusat perusahaan. Kerusakan dibatalkan dengan penggunaan perangkat lunak yang
memulihkan file yang rusak ke status aslinya.

Seluruh transaksi dan aktivitas sistem harus direkam di dalam sebuah log yang
mengindikasikan siapa mengakses data apa, kapan, dan dari perangkat online yang mana
Log-log tersebut harus ditinjau dengan sering dan digunakan untuk mengawasi aktivitas
sisten, melacak masalah ke sumbernya, mengevaluasi produktivitas pegawal,
mengendalikan baya-biaya perusahaan, melawan serangan spionase dan hacking, serta
mematuhi ketentuan ketentuan hukum. Sebuah perusahaan menggunakan tiga log untuk
menganalisis mengapa seorang pegawai memiliki produktivitas nyaris nol dan
menemukan bahwa ia menghabiskan 6 jam sehari mengakses situs porno.

Privacy Foundation memperkirakan bahwa sepertiga dari seluruh pekerja

Amerika menggunakan komputer yang diawasi dan jumlah tersebut diharapkan
meningkat. Perusahaan- perusahaan yang mengawasi aktivitas sistem tidak boleh
melanggar privasi pegawai. Satu cara untuk melakukannya adalah membuat pegawai
menyetujui secara tertulis kebijakan-kebijakan tertulis yang menyertakan:

 Teknologi yang digunakan oleh seorang pegawai untuk pekerjaannya adalah

milik perusahaan.
 E-mail yang diterima oleh komputer perusahaan bukanlah e-mail pribadi dan
dapat dibaca oleh personel pengawas. Kebijakan ini memungkinkan sebuah
perusahaan farmasi besar untuk mengidentifikasi dan menghentikan seorang
pegawai yang mengirimkan data produksi obat rahasia kepada seorang pihak
eksternal.
 Para pegawai tidak boleh menggunakan teknologi untuk berkontribusi pada
lingkungan kerja yang bermusuhan.
5. Melacak Perangkat Lunak dan Perangkat Bergerak yang Dibeli

Business Software Alliance (BSA) melacak dan mendenda perusahaan-

perusahaan yang melanggar perjanjian lisensi perangkat lunak. Untuk mematuhi hak cipta
dan melindungi dirinya dari gugatan pembajakan perangkat lunak, perusahaan harus
melakukan audit perangkat lunak secara periodik. Harus ada lisensi yang cukup untuk
seluruh pengguna dan perusahaan tidak wajib membayar untuk lisensi yang lebih dari
yang dibutuhkan. Pengguna harus diinformasikan mengenai konsekuensi penggunaan
perangkat lunak yang tidak berlisensi.

Peningkatan jumlah perangkat bergerak (mobile) harus dilacak dan diawasi

karena kerugiannya dapat menunjukkan pengungkapan yang substansial. Barang-barang
yang dilacak adalah perangkat, siapa yang memiliki, tugas apa yang mereka jalankan,
fitur keamanan yang dipasang, dan perangkat lunak apa yang dibutuhkan oleh perusahaan
untuk memelihara sistem dan keamanan jaringan yang memadai.

6. Menjalankan Audit Berkala

Audit keamanan eksternal, internal, dan jaringan dapat menilai dan mengawasi
risiko maupun mendeteksi penipuan dan kesalahan. Menginformasikan para pegawai
audit membantu menyelesaikan masalah-masalah privasi, menghalangi penipuan, dan
mengurangi kesalahan. Para auditor harus menguji pengendalian sistem secara reguler
dan menelusuri file penggunaan sistem untuk mencari aktivitas mencurigakan secara
periodik. Selama audit keamanan sebuah perusahaan kesehatan, para auditor berpura-pura
menjadi staf pendukung komputer yang membujuk 16 dari 22 pegawai untuk
mengungkapkan ID pengguna dan kata sandi mereka. Mereka juga menemukan bahwa
para pegawai menguji sebuah sistem baru yang mengekspos jaringan perusahaan atas
serangan dari luar. Pengauditan sistem dijelaskan pada Bab 11.

Audit internal menilai keterandalan serta integritas informasi dan operasi

keuangan, mengevaluasi efektivitas pengendalian internal, dan menilai kepatuhan
pegawai dengan kebijakan dan prosedur manajemen maupun perundangan dan peraturan
yang berlaku. Fungsi audit internal harus independen dari fungsi akuntansi dan
pengoperasian secara organisasi. Audit internal harus melapor kepada komite audit,
bukan pengawas atau CFO.

7. MmempekerjakanPetugas Keamanan Komputer dan Chief Compliance

Officer

Seorang computer security officer (CSO) bertugas atas keamanan sistem, independen dari
fungsi sistem informasi, dan melapor kepada chief operating officer (COO) atau CEO.
Banyaknya tugas terkait SOX atau bentuk kepatuhan lainnya telah menuntun banyak
perusahaan untuk mendelegasikan seluruh masalah kepatuhan kepada seorang chief
compliance officer (CCO). Banyak perusahaan menggunakan konsultan komputer dari
luar atau tim dalam perusahaan untuk menguji dan mengevaluasi prosedur keamanan
serta sistem komputer.

8. Menyewa Spesialis Forensik

Penyelidik forensik (forensic investigators) yang memiliki spesialisasi dalam

kasus penipuan adalah kelompok yang tumbuh dengan cepat pada profesi akuntansi.
Kehadiran mereka meningkat dikarenakan beberapa faktor, terutama SOX, aturan-aturan
akuntansi baru, dan permintaan dewan direksi bahwa penyelidikan forensik merupakan
bagian berkelanjutan dari pelaporan keuangan dan proses tata kelola perusahaan.
Sebagian besar penyelidik forensik mendapatkan pelatihan khusus dari FBI, IRS, atau
agen-agen penegak hukum lainnya. Para penyelidik dengan kemampuan komputer yang
dapat menyeret pelaku penipu banyak sekali yang membutuhkannya. Association of
Certified Fraud Examiners mensponsori sebuah program sertifikasi profesional Certified
Fraud Examiner (CFE). Untuk menjadi seorang CFE, para kandidat harus melalui sebuah
ujian selama 2 hari. Saat ini ada sekitar 35.000 CFE di seluruh dunia.

Para spesialis forensik komputer (computer forensics specialists) menemukan,

mengekstraksi, mengamankan, dan mendokumentasi bukti komputer seperti keabsahan,
akurasi, dan integritas bahwa tidak akan menyerah pada tantangan-tantangan hukun.
Forensik komputer dapat diperbandingkan dengan menjalankan "autopsi" pada sebuah
sistem komputer untuk menentukan apakah sebuah kejahatan dilakukan serta siapa yang
melakukannya, dan kemudian mempersiapkan bukti yang dibutuhkan oleh para pengacara
guna membuktikan tuntutan di pengadilan. Beberapa hal yang lebih umum diselidiki,
yaitu penggunaan Internet yang tidak tepat; penipuan; sabotase; kehilangan, pencurian,
atau korupsi data; memunculkan informasi "terhapus" dari e-mail dan database; dan
menemukan siapa yang menjalankan aktivitas-aktivitas komputer tertentu.

9. Memasang Perangkat Lunak Detekti Penipuan

Para penipu mengikuti pola-pola yang berbeda dan meninggalkan petunjuk yang
dapat dilacak dengan perangkat lunak deteksi penipuan. ReliaStar Financial
menggunakan perangkat lunak dari IBM untuk mendeteksi hal-hal sebagai berikut.

 Seorang chiropractor di Los Angeles mengirimkan ratusan ribu dolar dalam

pernyataan palsu. Perangkat lunak mengidentifikasi sejumlah pasien tidak lazim
yang tinggal lebih dari 50 mil jauhnya dari kantor si dokter dan menandai tagihan
tersebut untuk penyelidikan.
 Seorang dokter di Long Island mengirimkan tagihan mingguan untuk sebuah
prosedur aneh dan mahal yang biasanya dilakukan hanya sekali atau dua kali
seumur hidup.
 Seorang ahli penyakit kaki menemui empat pasien dan menagih untuk 500
prosedur terpisah.

Jaringan saraf (neural network) adalah sisitem komputasi yang meniru proses
pembelajaran otak dengan menggunakan jaringan processor yang terhubung dengan satu
sama lain dengan menjalankan berbagai operasi secara serentak dan berinteraksi dengan
dinamis-program dengan kemampuan pembelajaran-dapat mengidentifikasi penipuan
secara akurat. Operasi Visa dan MasterCard di Mellon Bank mengunakan sebuah jaringan
saraf untuk melacak 1,2 juta rekening. Jaringan saraf dapat menunjukkan penggunaan
kartu kredit ilegal dan memperingatkan pemilik segera setelah karte dicuri. Jaringan saraf
juga dapat menunjukkan arah gejala sebelum para penyelidik bank melakukannya.
Sebagai contoh, seorang penyelidik mempelajari sebuah penipuan baru dari bank lain.
Ketika la pergi untuk mengecek penipuan tersebut, jaringan saraf telah
mengidentifikasinya dan telah mencetak transaksi yang sesuai dengan polanya. Perangkat
lunak tersebut membebankan biaya bank kurang dari $1 juta dan membayar untuk
program itu sendiri dalam enam bulan.

10. Mengimplementasikan Hotline Penipuan

 Orang-orang yang menyaksikan perilaku curang sering kali terbagi di antara dua
perasaan yang bertentangan. Meskipun mereka ingin melindungi aset perusahaan dan
melaporkan pelaku penipuan, mereka merasa tidak nyaman untuk melakukan pelaporan
penipuan, sehingga yang sering terjadi adalah mereka tetap diam. Keengganan ini lebih
kuat jika mereka takut akan para whistle blower yang diasingkan, dianiaya, atau
mengalami bahaya pada karier mereka.

Sarbanes-Oxley Act (SOX) mengamanatkan sebuah mekanisme bagi para

pegawai agar melaporkan penipuan dan penyalahgunaan. Sebuah hotline penipuan (fraud
hotline) merupakan cara yang efektif untuk mematuhi hukum dan menyelesaikan konflik
whistle blower. Dalam sebuah studi, para peneliti menemukan bahwa 33% dari 212
penipuan dideteksi melalui petunjuk anonim. Industri asuransi membangun sebuah
hotline untuk mengendalikan pernyataan yang menipu sebesar $17 miliar setahun. Dalam
bulan pertama, lebih dari 2.250 telepon diterima; 15% dilakukan tindakan penyelidikan.
Dampak negatif dari hotline adalah bamaknya panggilan yang tidak layak untuk
diselidiki; beberapa di antaranya dimotivasi oleh kehendak untuk membalas dendam,
beberapa adalah laporan kesalahan yang tidak jelas, dan Jainnya tidak memiliki manfaat.

Kesimpulan

Jadi, beberapa tujuan dari pengendalian internal dalam sebuah perusahaan. Untuk
memastikan kegiatan perusahaan berjalan sesuai kebijakan yang telah berlaku. Untuk
menjaga aset atau keuangan dalam sebuah perusahaan. Untuk mencapai tujuan dari
perusahaan yang sebelumnya telah ditetapkan.

Kerangka pengendalian seperti COBIT 5, COSO, COSO ERM sebuah pengendalian yang
dibutuhkan oleh Perusahaan untuk melihat bagaimana hasil dari pengendalian tersebut
apakah terkendali atau tidak.

Tujuan utama dari sistem informasi akuntansi (SIA-accounting information system)

adalah untuk mengumpulkan, mencatat, memproses, menyimpan, meringkas, dan
mengomunikasikan informasi mengenai sebuah organisasi. Hal tersebut meliputi
pemahaman cara transaksi dilakukan, data diperoleh, file diakses serta diperbarui, data
diproses, dan informasi dilaporkan.
Komunikasi harus dilakukan secara internal dan eksternal untuk menyediakan informasi
yang dibutuhkan guna menjalankan aktivitas pengendalian internal harian. Seluruh
personel harus memahami tanggung jawab mereka.

Kemudian harus adanya pengawasan, Sistem Pengendalian Internal yang dipilih atau
dikembangkan harus diawasi secara berkelanjutan, dievaluasi, dan dimodifikasi sesuai
kebutuhan.