Abstrak
Jurnal ini mengulas tentang Pengendalian dan Sistem Informasi Akuntansi. Penelitian ini
bertujuan untuk menjelaskan konsep pengendalian dasar serta menjelaskan mengapa
pengendalian dan keamanan computer itu pentig, membandingkan dan memebedakan
kerangka pengendalian COBIT, COSO, ERM, Menjelaskan elemen-elemen utama dalam
lingkungan internal sebuah Perusahaan, menjelaskan empat jenis tujuan pengendalian
yang perlu dibuat oleh perusahan, Menjelaskan Kejadian-Kejadian yang memperngaruhi
ketidakpastian dan Teknik-teknik yang digunakan untuk mengidentifikasinya,
Menjelaskan tentang cara menilai dan merespons risiko menggunakan mode enterprise
Risk Management (ERM), Menejelaskan aktivitas-Aktivitas pengendalian yang
umumnya digunakan di perusahaan, dan Menjelaskan cara mengkomunikasikan
informasi dan mengawasi proses pengendalian pada organisasi.
A. Pendahuluan
Ancaman Terhadap Sistem Informasi Akuntansi Meningkat Hampir setiap tahun, lebih
dari 60% organisasi mengalami kegagalan utama dalam mengendalikan keamanan dan
integritas sistem komputernya, antara lain karena:
Kejadian (event) atau ancaman (threat) adalah segala potensi kejadian yang merugikan,
atau kejadian tidak diinginkan yang dapat merusak Sistem Informasi Akuntansi (SIA)
atau organisasi.
Paparan (exposure) atau dampak (impact) merupakan kerugian uang yang potensial dari
sebuah ancaman tertentu yang akan menjadi kenyataan.
1. Kehancuran karena bencana alam dan politik, seperti kebakaran atau panas
berlebih, banjir, gempa bumi, badai angin, peperangan.
2. Kesalahan pada software dan tidak berfungsinya peralatan, seperti kegagalan
hardware, kesalahan atau kerusakan pada software, kegagalan sistem operasi,
gangguan dan fluktuasi listrik, kesalahan pengiriman data yg tidak terdeteksi.
3. Tindakan yang tidak disengaja, seperti kecelakaan yang disebabkan oleh
kesalahan manusia, kesalahan atau penghapusan karena ketidaktahuan, hilangnya
atau salah letaknya data, kesalahan pada logika sistem, sistem yang tidak
memenuhi kebutuhan perusahaan atau tidak mampu menangani tugas yang
diberikan.
4. Tindakan disengaja yang biasanya disebut sebagai kejahatan komputer,
seperti pencurian
B. Ikhtisar Konsep Pengendalian
Pengendalian internal (internal control) merupakan proses dan prosedur ya
dijalankan untuk menyediakan jaminan memadai bahwa tujuan pengendalian telah
dicapai.
Prosedur pengendalian khusus yang digunakan dalam sistem pengendalian internal dan
sistem pengendalian manajemen dapat diklasifikasikan dalam klasifikasi pengendalian
internal berikut:
Model COBIT 5 tentang referensi proses mengidentifikasi lima proses tata kelola
(merujuk pada mengevaluasi, mengarahkan, mengawasi-evaluate, direct, dan monitor-
atau EDM) dan 32 proses manajemen. Tiga puluh dua proses manajemen dibagi ke dalam
empat domain sebagai berikut:
Untuk memberikan jaminan yang wajar bahwa tujuan pengendalian dicapai dengan
pertimbangan hal-hal berikut:
Kerangka IC ( Internal Control) telah diadopsi secara luas sebagai cara untuk
mengevaluasi pengendalian internal, seperti yang ditentukan oleh SOX.
Sehingga pengendalian bersifat fleksibel dan relevan karena mereka ditautkan dengan
tujuan organisasi terkini.
Model ERM juga mengakui bahwa risiko, selain dikendalikan, dapat pula diterima,
dihindari, dibuat berjenis-jenis, dibagi, atau ditransfer.
D. Lingkugan Internal
Secara keseluruhan, sebuah organisasi memiliki sebuah filosofi atau kepercayaan dan
sikap yang dianut bersama, tentang risiko yang memengaruhi kebijakan, prosedur,
komunikasi lisan dan tulisan, serta keputusan. Perusahaan juga memiliki selera risiko
(risk appetite), yaitu jumlah risiko yang bersedia diterima oleh sebuah perusahaan untuk
mencapai tujuan dan sasarannya. Untuk menghindari risiko yang tidak semestinya, selera
risiko harus selaras dengan strategi perusahaan.
Semakin bertanggung jawab filosofi dan gaya pengoperasian manajemen, serta makin
jelas mereka berkomunikasi, maka semakin besar kemungkinan para pegawai akan
bertindak dengan tanggung jawab. Jika manajemen hanya memiliki sedikit perhatian pada
pengendalian internal dan manajemen risiko, maka pegawai akan menjadi kurang rajin
untuk mencapai tujuan pengendalian. Budaya di Springer's Lumber & Supply menjadi
sebuah contoh. Maria Pilier menemukan bahwa garis wewenang dan tanggung jawab
ditetapkan dengan longgar dan mencurigai bahwa manajemen mungkin telah
menggunakan "akuntansi kreatif untuk meningkatkan kinerja perusahaan. Jason Scott
menemukan bukti atas praktik pengendalian internal yang buruk dalam fungsi pembelian
dan utang. Dua kondisi tersebut mungkin berkaitan; sikap longgar manajemen mungkin
telah menyebabkan ketidakpedulian departemen pembelian terhadap praktik pengendalian
internal yang baik.
Filosofi manajemen, gaya pengoperasian, dan selera risiko dapat dinilai dengan
menjawab pertanyaan-pertanyaan seperti berikut.
Merupakan hal yang penting bagi pihak manajemen untuk menciptakan stuktur
organisasional yang menekankan pada integritas dan nilai-nilai etika. Perusahaan dapat
mengesahkan integritas sebagai prinsip dasar beroperasi, dengan secara aktif
mengajarkan dan mempraktikannya. Contohnya, manajemen puncak harus memperjelas
bahwa laporan yang jujur lebih penting daripada laporan yang sesuai keinginan
pihak manajemen.
4. Struktur Organisasi
Pihak manajemen harus memberikan tanggung jawab untuk tujuan bisnis tertentu
ke depatemen dan individu yang terkait, serta kemudian membuat mereka tanggung
jawab untuk mencapai tujuan tersebut. Buku pedoman kebijakan dan prosedur (policy
and procedures manual) adalah alat yang penting untuk memberikan otoritas dan
tanggung jawab, merupakan dokumen yang menjelaskan praktik bisnis yang sesuai,
pengetahuan dan pengalaman yang dibutuhkan, prosedur dokumen, cara menangani
transaksi serta mendata sumber daya yang tersedia untuk melaksanakan tugas-
tugas tertentu.
Salah satu dari kekuatan pengendalian terbesar adalah kejujuran pegawai; salah
satu dari kelemahan pengendalian terbesar adalah ketidakjujuran pegawai. Kebijakan
sumber daya manusia (SDM) dan praktik-praktik yang mengatur kondisi kerja, insentif
pekerjaan, dan kemajuan karier dapat menjadi kekuatan dalam mendorong kejujuran,
efisiensi, dan layanan yang loyal. Kebijakan SDM harus berisi tingkatan keahlian yang
diperlukan, perilaku etis, dan integritas yang diperlukan. Berikut ini merupakan kebijakan
dan prosedur SDM yang penting.
7. Pengaruh Eksternal
E. Penetapan Tujuan
Penetapan tujuan adalah komponen ERM yang kedua. Manajemen menentukan hal
yang ingin dicapai oleh perusahaan, sering disebut sebagai visi atau misi perusahaan.
Manajemen menetapkan tujuan pada tingkatan perusahaan dan kemudian membaginya ke
dalam tujuan yang lebih spesifik untuk subunit perusahaan. Perusahaan menentukan hal
yang harus berjalan dengan benar untuk mencapai tujuan dan menetapkan ukuran kinerja
guna menentukan apakah ukuran ukuran kinerja tersebut terpenuhi.
Manajemen menentukan hal yang ingin dicapai oleh perusahaan, sering disebut
sebagai visi misi perusahaan. Penetapan tujuan meliputi :
✰ Tujuan strategis (strategic objective): tujuan tingkat tinggi yang disejajarkan dan
mendukung misi perusahaan serta menciptakan nilai pemegang saham.
F. Identifikasi Kejadian
Kejadian (event) menurut COSO, merupakan sebuah insiden atau peristiwa yang
berdampak baik positif, negatif, atau keduanya, dari sumber-sumber internal dan
ekstemal yang mempengaruhi implementasi strategi atau pencapain tujuan organisasi.
Risiko-risiko sebuah kejadian yang teridentifikasi dinilai dalam beberapa cara yang
berbeda: kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan
kategor dampak pada unit organisasi yang lain, serta berdasarkan pada sifat bawaan dan
residual. Risiko bawaan (inherent risk) adalah kelemahan dari sebuah penetapan akun
atau transaksi pada masalah pengendalian yang signifikan tanpa adanya pengendalian
internal. Risiko residual (residual risk) adalah risiko yang yang tersisa setelah manajemen
mengimplementasikan pengendalian internal atau beberapa respons lainnya terhadap
risiko. Perusahaan harus menilai risiko bawaan, mengembangkan respons, dan kemudian
menilai risiko residual.
Beberapa kejadian memiliki risiko yang lebih besar karena lebih cenderung untuk
terjadi. Para pegawai cenderung membuat sebuah kesalahan daripada melakukan
penipuan dan sebuah perusahaan cenderung menjadi korban penipuan daripada gempa
bumi. Kemungkinan terjadinya sebuah gempa bumi mungkin kecil, tetapi dampaknya
dapat menghancurkan sebuah perusahaan. Dampak dari penipuan biasanya tidak sebesar
itu, karena kebanyakan kasus penipuan tidak mengancam eksistensi perusahaan.
Kemungkinan dan dampak harus dipertimbangkan bersamaan. Oleh karena itu, keduanya
meningkat, baik materialitas dari kejadian maupun kebutuhan untuk melindunginya akan
muncul. Alat-alat perangkat lunak membantu penilaian dan respons risiko secara
otomatis. Blue Cross Blue Shield di Florida menggunakan perangkat lunak ERM yang
mengizinkan manajer memasukkan risiko yang dirasakan; menilai sifat, kemungkinan,
dan dampaknya; serta menetapkan pemeringkatan numerik. Sebuah penilaian risiko
keseluruhan perusahaan dikembangkan dengan mengagregasi seluruh pemeringkatan.
2. Mengidentifikasi Pengendalian
Nilai dari prosedur pengendalian adalah selisih antara kerugian yang diperkirakan dengan
prosedur-prosedur pengendalian dan kerugian yang diperkirakan tanpa prosedur tersebut.
H. Aktivitas Pengendalian
Petugas keamanan informasi dan staf operasi bertanggung jawab untuk memastikan
bahwa prosedur pengendalian telah diikuti.
Pengendalian akan jauh lebih efektif ketika dijalankan sejak sistem dibangun, dari
pada sesudah dibangun. Akibatnya, manajer perlu melibatkan analis sistem, desainer, dan
pengguna akhir ketika mendesain sistem pengendalian berbasis komputer. Hal yang
penting bahwa aktivitas pengendalian tetap berjalan selama musim liburan akhir
tahun, karena jumlah pada waktu tersebut. Beberapa alasannya, yaitu (1) liburan pegawai
yang diperpanjan berarti bahwa orang yang "mengurusi toko" lebih sedikit: (2) para
pelajar libur sekolah dan mempunyai waktu lebih, dan (3) para hacker yang budayanya
berbeda meningkatkan serangan mereka.
Otorisasi merupakan penetapan kebijkan bagi para pegawai untuk diikuti dan kemudian
memberdayakan mereka guna melakukan fungsi organisasi tertentu, dapat
didokumentasikan dengan penandatanganan, penginisialisasian, atau pengkodean.
Desain dan penggunaan dokumen elektronik dan kertas yang sesuai dapat
membantu memastikan pencatatan yang akurat serta lengkap dari seluruh data transaksi
yang relevan. Bentuk dan isinya harus sesederhana mungkin, meminimalkan kesalahan,
dan memfasilitasi tinjauan serta verifikasi. Dokumen yang mengawali sebuah transaksi
harus menyediakan sebuah ruang untuk otorisasi. Mereka yang mentransfer aset
membutuhkan sebuah ruang untuk tanda tangan pihak penerimaan. Dokumen harus
dinomori secara urut, sehingga masing-masing dapat dibukukan. Jejak audit memfasilitasi
penelusuran transaksi individu melalui sistem, memperbaiki kesalahan, dan
memverifikasi output sistem. Desain dokumen, bentuk, dan layar dibahas pada Bab 22.
Perusahaan harus melindungi kas dan aset fisik beserta informasinya, berikut beberapa
hal penting yang harus diperhatikan :
a. Menciptakan dan menegakkan kebijakan dan prosedur yang tepat; Sering
kali seluruh kebijakan dan prosedur di Perusahaan di buat tetapi tidak di
tegakkan.
b. Memelihara catatan akurat dari seluruh aset; secara periodic merekonsialisasi
jumlah tercatat atas asset Perusahaan ke perhitungan fisik dari asset-aset tersebut.
c. Membatasi akses terhadap aset; Pembatasan akses terhadap area penyimpanan
daoat melindungi persediaan dan peralatan. Register kas, brangkas, Peti uang
(lockbox), dan kotak penyimpanan aman (safety deposit box) membatasi asset
kas dan asset kertas.
d. Melindungi catatan dan dokumen. Are penyimpanan tahan api, lemari arsip,
(filing cabinet) terkunci, file back up, dan penyimpanan diluar situs akan
melinfungi catatan dan dokumen.
7. Pengecekan Kinerja yang Independen
Sistem Pengendalian Internal yang dipilih atau dikembangkan harus diawasi secara
berkelanjutan, dievaluasi, dan dimodifikasi sesuai kebutuhan. Segala kekurangan ha
dilaporkan kepada manajemen senior dan dewan direksi. Metode-metode utama
dalam pengawasan kinerja dibahas pada bagian ini.
Seluruh transaksi dan aktivitas sistem harus direkam di dalam sebuah log yang
mengindikasikan siapa mengakses data apa, kapan, dan dari perangkat online yang mana
Log-log tersebut harus ditinjau dengan sering dan digunakan untuk mengawasi aktivitas
sisten, melacak masalah ke sumbernya, mengevaluasi produktivitas pegawal,
mengendalikan baya-biaya perusahaan, melawan serangan spionase dan hacking, serta
mematuhi ketentuan ketentuan hukum. Sebuah perusahaan menggunakan tiga log untuk
menganalisis mengapa seorang pegawai memiliki produktivitas nyaris nol dan
menemukan bahwa ia menghabiskan 6 jam sehari mengakses situs porno.
Audit keamanan eksternal, internal, dan jaringan dapat menilai dan mengawasi
risiko maupun mendeteksi penipuan dan kesalahan. Menginformasikan para pegawai
audit membantu menyelesaikan masalah-masalah privasi, menghalangi penipuan, dan
mengurangi kesalahan. Para auditor harus menguji pengendalian sistem secara reguler
dan menelusuri file penggunaan sistem untuk mencari aktivitas mencurigakan secara
periodik. Selama audit keamanan sebuah perusahaan kesehatan, para auditor berpura-pura
menjadi staf pendukung komputer yang membujuk 16 dari 22 pegawai untuk
mengungkapkan ID pengguna dan kata sandi mereka. Mereka juga menemukan bahwa
para pegawai menguji sebuah sistem baru yang mengekspos jaringan perusahaan atas
serangan dari luar. Pengauditan sistem dijelaskan pada Bab 11.
Seorang computer security officer (CSO) bertugas atas keamanan sistem, independen dari
fungsi sistem informasi, dan melapor kepada chief operating officer (COO) atau CEO.
Banyaknya tugas terkait SOX atau bentuk kepatuhan lainnya telah menuntun banyak
perusahaan untuk mendelegasikan seluruh masalah kepatuhan kepada seorang chief
compliance officer (CCO). Banyak perusahaan menggunakan konsultan komputer dari
luar atau tim dalam perusahaan untuk menguji dan mengevaluasi prosedur keamanan
serta sistem komputer.
Para penipu mengikuti pola-pola yang berbeda dan meninggalkan petunjuk yang
dapat dilacak dengan perangkat lunak deteksi penipuan. ReliaStar Financial
menggunakan perangkat lunak dari IBM untuk mendeteksi hal-hal sebagai berikut.
Jaringan saraf (neural network) adalah sisitem komputasi yang meniru proses
pembelajaran otak dengan menggunakan jaringan processor yang terhubung dengan satu
sama lain dengan menjalankan berbagai operasi secara serentak dan berinteraksi dengan
dinamis-program dengan kemampuan pembelajaran-dapat mengidentifikasi penipuan
secara akurat. Operasi Visa dan MasterCard di Mellon Bank mengunakan sebuah jaringan
saraf untuk melacak 1,2 juta rekening. Jaringan saraf dapat menunjukkan penggunaan
kartu kredit ilegal dan memperingatkan pemilik segera setelah karte dicuri. Jaringan saraf
juga dapat menunjukkan arah gejala sebelum para penyelidik bank melakukannya.
Sebagai contoh, seorang penyelidik mempelajari sebuah penipuan baru dari bank lain.
Ketika la pergi untuk mengecek penipuan tersebut, jaringan saraf telah
mengidentifikasinya dan telah mencetak transaksi yang sesuai dengan polanya. Perangkat
lunak tersebut membebankan biaya bank kurang dari $1 juta dan membayar untuk
program itu sendiri dalam enam bulan.
Kesimpulan
Jadi, beberapa tujuan dari pengendalian internal dalam sebuah perusahaan. Untuk
memastikan kegiatan perusahaan berjalan sesuai kebijakan yang telah berlaku. Untuk
menjaga aset atau keuangan dalam sebuah perusahaan. Untuk mencapai tujuan dari
perusahaan yang sebelumnya telah ditetapkan.
Kerangka pengendalian seperti COBIT 5, COSO, COSO ERM sebuah pengendalian yang
dibutuhkan oleh Perusahaan untuk melihat bagaimana hasil dari pengendalian tersebut
apakah terkendali atau tidak.
Kemudian harus adanya pengawasan, Sistem Pengendalian Internal yang dipilih atau
dikembangkan harus diawasi secara berkelanjutan, dievaluasi, dan dimodifikasi sesuai
kebutuhan.