TEKNOLOGI INFORMASI MANAJEMEN DAN AKUNTANSI

CONTROL AND ACCOUNTING INFORMATION SYSTEM (AIS)

Dosen Pengampu : Dr. Azwirman, SE., M.Acc., CPA

Disusun Oleh Kelompok

T. Hafis Nurul Hidayah 235331001
Oscar Yenas 235331003
Reny mayasari 235331007

PROGRAM MAGISTER AKUNTANSI

PASCASARJANA UNIVERSITAS ISLAM RIAU
TA 2023/2024
 KATA PENGANTAR

Puji syukur penulis panjatkan Kehadirat Tuhan Yang Maha Esa, karena telah melimpahkan
rahmat-Nya berupa kesempatan dan pengetahuan sehingga masalah ini dapat terselesaikan tepat
pada waktunya. Makalah ini dibuat dengan berbagai observasi dan beberapa bantuan dari berbagai
pihak untuk membantu menyelesaikan tantangan dan hambatan selama mengerjakan makalah ini.
Oleh karena itu, kami mengucapkan terima kasih yang sebesar-besarnya kepada semua pihak yang
telah membantu dalam penyusunan makalah ini. Penulis berharap makalah ini bisa menambah
pengetahuan para pembaca. Namun, terlepas dari itu, penulis memahami bahwa makalah ini masih
jauh dari kata sempurna, sehingga penulis sangat mengharapkan kritik serta saran yang bersikap
membangun. Demi terciptanya makalah selanjutnya yang lebih baik dan penulis akan terbuka
terhadap saran dan masukan dari semua pihak. Akhir kata penulis mengucapkan .

Terimakasih

Pekanbaru, November 2023

2
 DAFTAR ISI

KATA PENGANTAR ........................................................................................................................ 2

DAFTAR ISI ...................................................................................................................................... 3
BAB I PENDAHULUAN .................................................................................................................. 5
1.1 LATAR BELAKANG ..................................................................................................... 5
BAB II PEMBAHASAN ................................................................................................................... 6
2.1 PENGENDALIAN INTERNAL ...................................................................................... 6
2.1 PRAKTIK KORUPSI ASING DAN SARBANES-OXLEY ACTS ............................... 8
2.3 KERANGKA PENGENDALIAN .................................................................................... 9
2.3.1 KERANGKA COBIT ................................................................................................. 9
2.3.2 KERANGKA PENGENDALIAN INTERNAL COSO ............................................ 10
2.3.3 KERANGKA MANAJEMEN RISIKO PERUSAHAAN COSO ............................. 11
2.3.4 KERANGKA MANAJEMEN RISIKO PERUSAHAAN VERSUS KERANGKA
PENGENDALIAN ................................................................................................................... 11
2.4 LINGKUNGAN INTERNAL......................................................................................... 11
2.4.1 FILOSOFI MANAJEMEN, GAYA PENGOPERASIAN, DAN SELERA RISIKO 12
2.4.2 KOMITMEN TERHADAP INTEGRITAS, NILAI ETIS, DAN KOMPETENSI ... 13
2.4.3 PENGAWASAN PENGENDALIAN INTERNAL OLEH DEWAN DIREKSI ....... 13
2.4.5 STRUKTUR ORGANISASI .................................................................................... 13
2.4.6 METODE PENETAPAN WEWENANG DAN TANGGUNG JAWAB ................... 13
2.4.7 STANDAR SUMBER DAYA MANUSIA YANG MENARIK,
MENGEMBANGKAN, DAN MEMPERTAHANKAN INDIVIDU YANG KOMPETEN .... 14
2.4.8 PENGARUH EKSTERNAL..................................................................................... 15
2.5 PENETAPAN TUJUAN DAN IDENTIFIKASI PERISTIWA .................................... 15
2.5.1 PENETAPAN TUJUAN............................................................................................ 15
2.5.2 IDENTIFIKASI KEJADIAN .................................................................................... 16
2.6 PENILAIAN RESIKO DAN RESPONS RESIKO ...................................................... 16
2.6.1 MEMPERKIRAKAN KEMUNGKINAN DAN DAMPAK .................................... 17
2.6.2 IDENTIFIKASI KONTROL .................................................................................... 17
2.6.3 MEMPERKIRAKAN BIAYA DAN MANFAAT ..................................................... 17
2.6.4 MENENTUKAN EFEKTIVITAS BIAYA/MANFAAT ........................................... 18
2.6.5 PELAKSANAAN KONTROL ATAU TERIMA, BAGIKAN, ATAU HINDARI
RISIKO …………………………………………………………………………………….. 18
2.7 AKTIVITAS PENGENDALIAN ................................................................................... 18
2.7.1 OTORISASI TRANSAKSI DAN AKTIVITAS YANG TEPAT ............................... 19
2.7.2 PEMISAHAN TUGAS ............................................................................................. 19

3
 2.7.3 PENGEMBANGAN PROYEK DAN PENGENDALIAN AKUISISI ..................... 21
2.7.4 MENGUBAH PENGENDALIAN MANAJEMEN ................................................. 22
2.7.5 DESAIN DAN PENGGUNAAN DOKUMEN DAN CATATAN ............................ 22
2.7.6 PENGAMANAN ASET, CATATAN, DAN DATA .................................................. 23
2.7.7 PENGECEKAN KINERJA YANG INDEPENDEN ................................................ 23
2.8 KOMUNIKASIKAN INFORMASI DAN PANTAU PROSES PENGENDALIAN .. 24
2.8.1 INFORMASI DAN KOMUNIKASI ........................................................................ 24
2.8.2 PENGAWASAN ....................................................................................................... 25
DAFTAR PUSTAKA ...................................................................................................................... 27

4
 BAB I

PENDAHULUAN
1.1 LATAR BELAKANG
Pengendalian internal dan sistem informasi akuntansi merupakan dua hal yang saling
terkait dan penting bagi perusahaan. Sistem informasi akuntansi merupakan sistem formal yang
utama dalam kebanyakan perusahaan, yang digunakan untuk mengumpulkan, mencatat,
menyimpan, dan mengelola data untuk menghasilkan informasi yang dibutuhkan untuk
mengambil keputusan
Tujuan dari sistem akuntansi adalah untuk memperbaiki pengendalian intern dan untuk
memperbaiki informasi yang lebih baik, disamping untuk mengurangi biaya tata usaha atau biaya
administrasi, dan untuk menentukan pelaksanaan proses produksi agar lebih mudah menjalankan
perencanaan dan mencegah pelaksanaan operasional perusahaan yang kurang sehat. Pengendalian
internal merupakan bagian yang sangat penting bagi perusahaan, karena dengan adanya sistem
pengendalian internal perusahaan dapat melindungi aktiva perusahaan terhadap kecurangan
Pengendalian internal terdiri dari lima unsur, yaitu lingkungan pengendalian, penilaian
risiko, aktivitas pengendalian, informasi dan komunikasi, dan pemantauan. Tujuan dari sistem
pengendalian internal dibagi menjadi dua macam yaitu, pengendalian intern akuntansi dan
pengendalian internal administratif. Pengendalian intern akuntansi merupakan bagian dari sistem
pengendalian internal yang berfungsi untuk memastikan bahwa informasi keuangan yang
dihasilkan akurat dan dapat dipercaya
Dalam makalah pengendalian internal dan sistem informasi akuntansi, latar belakang yang
dapat dijelaskan adalah pentingnya pengendalian internal dan sistem informasi akuntansi bagi
perusahaan. Pengendalian internal dan sistem informasi akuntansi dapat membantu perusahaan
dalam melindungi aktiva perusahaan terhadap kecurangan, meningkatkan efektivitas perusahaan,
dan menghasilkan informasi yang akurat dan dapat dipercaya.

5
 BAB II
PEMBAHASAN

CONTROL AND ACCOUNTING INFORMATION SYSTEM

2.1 PENGENDALIAN INTERNAL

Gambaran Umum Konsep Pengendalian

Pengendalian internal (internal control) adalah proses implementasi untuk menyediakan
jaminan yang wajar sesuai tujuan pengendalian yakni sebagai berikut :
1. Melindungi asset. Tujuan ini mencakup pencegahan atau mendeteksi perolehan,
penggunaan atau penempatan yang tidak sah.
2. Mempertahankan catatan agar dibuat secara rinci sehingga mencerminkan aset perusahaan
secara akurat dan adil.
3. Menyediakan informasi yang akurat dan dapat diandalkan.
4. Ada keyakinan yang memadai bahwa laporan keuangan disusun sesuai dengan SAK.
5. Mempromosikan dan meningkatkan efisiensi operasional. Tujuan ini termasuk
memastikan bahwa penerimaan dan pengeluaran perusahaan yang dibuat sesuai dengan
manajemen dan wewenang direksi.
6. Mendorong kepatuhan terhadap kebijakan manajerial yang ditentukan.
7. Organisasi mematuhi hukum dan peraturan yang berlaku.
Pengendalian internal adalah suatu proses karena meresapi aktivitas operasi organisasi dan
merupakan bagian integral dari aktivitas manajemen. Pengendalian internal memberikan jaminan
yang wajar, jaminan lengkap sulit dicapai dan sangat mahal. Selain itu, di sistem kontrol internal
memiliki keterbatasan yang melekat, seperti kerentanan terhadap kesalahan sederhana dan

6
kesalahan, penilaian dan pengambilan keputusan yang salah, pengesampingan manajemen, dan
kolusi. Mengembangkan sistem pengendalian internal membutuhkan pemahaman informasi yang
menyeluruh kapabilitas dan risiko teknologi (TI), serta cara menggunakan TI untuk mencapai
organisasi tujuan pengendalian. Akuntan dan pengembang sistem membantu manajemen
mencapai tujuan mereka. tujuan pengendalian dengan (1) merancang sistem kontrol yang efektif
yang mengambil pendekatan proaktif menghilangkan ancaman sistem dan yang mendeteksi,
mengoreksi, dan memulihkan dari ancaman saat terjadi;dan (2) membuatnya lebih mudah untuk
membangun kontrol ke dalam sistem pada tahap desain awal daripada menambahkanmereka
setelah fakta.
Pengendalian internal memiliki tiga fungsi penting :
1. Pengendalian Preventif (Preventive Control) Pengendalian yang mencegah masalah
sebelum timbul. Contoh: Merekrut personel berkualifikasi, memisahkan tugas pegawai,
dan mengendalian akses fisik atas aset dan informasi.
2. Pengendalian Detektif (Detective Control) Pengendalian yang didesain untuk
menemukan masalah pengendalian yang tidak terelakkan. Contoh: Menduplikasi
pengecekan kalkulasi dan menyiapkan rekonsiliasi bank serta neraca saldo tahunan.
3. Pengendalian Korektif (Corrective Control) Pengendalian yang mengidentifikasi dan
memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang dihasilkan.
Contoh: menjaga salinan backup pada file, perbaikan kesalahan entri data, dan
pengumpulan ulang transaksi-transaksi untuk pemrosesan selanjutnya.
Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut:
1. Pengendalian Umum (General Control) Pengendalian yang didesain untuk memastikan
sistem informasi organisasi serta pengendalian lingkungan stabil dan dikelola dengan baik.
Contoh: keamanan; infrastruktur TI; dan pengendalian pembelian perangkat lunak,
pengembanagan, dan pemeliharaan.
2. Pengendalian Aplikasi (Application Control) Pengendalian yang mencegah, mendeteksi,
dan mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi. Pengendalian
ini fokus terhadap ketepatan, kelengkapan, validitas, serta otorisasi data yang didapat,
dimasukkan, diproses, disimpan, ditransmisikan ke sistem lain, dan dilaporkan.
Robert Simons, seorang profesor bisnis Harvard, telah menganut empat kaitan
pengendalian untuk membantu manajemen menyelesaikan konflik di antara kreativitas dan
pengendalian.
1. Sistem Kepercayaan (A Belief System) Sistem yang menjelaskan cara sebuah perusahaan
menciptakan nilai, membantu pegawai memahami visi perusahaan, mengomunikasikan
7
 nilai-nilai dasar perusahaan, dan menginspirasi pegawai untuk bekerja berdasarkan nilai-
nilai tersebut.
2. Sistem Batas (A Boundary System) Sistem yang membantu pegawai bertindak secara etis
dengan membangun batas pada perilaku kepegawaian.
3. Sistem Pengendalian Diagnostik (A Diagnostic Control System) Sistem yang mengukur,
mengawasi, dan membandingkan perkembangan perusahaan aktual dengan anggaran dan
tujuan kinerja.
4. Sistem Pengendalian Interaktif (An Interactive Control System) Sistem yang membantu
manajer untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan lebih
terlibat di dalam keputusan mereka.
Sayangnya, tidak semua organisasi memiliki sistem pengendalian internal yang efektif.
Misalnya, satu laporan menunjukkan bahwa FBI terganggu oleh kerentanan dan keamanan
infrastruktur TI masalah, beberapa di antaranya teridentifikasi dalam audit 16 tahun sebelumnya.
Area spesifik dari perhatian adalah standar keamanan, pedoman, dan prosedur; pemisahan tugas;
mengakses kontrol, termasuk pengelolaan dan penggunaan kata sandi; kontrol cadangan dan
pemulihan; dan lembut-pengembangan perangkat dan kontrol perubahan.
2.1 PRAKTIK KORUPSI ASING DAN SARBANES-OXLEY ACTS
Pada tahun 1977, Undang-Undang Praktik Korupsi Asing (FCPA) disahkan untuk
mencegah perusahaan dari menyuap pejabat asing untuk mendapatkan bisnis. Kongres
memasukkan bahasa dari seorang Amerika Institute of Certified Public Accountants (AICPA)
menyatakan ke dalam FCPA yang diperlukan perusahaan untuk memelihara sistem pengendalian
internal yang baik. Sayangnya, persyaratan tersebut tidak cukup untuk mencegah masalah lebih
lanjut.
Pada akhir 1990-an dan awal 2000-an, berita melaporkan kecurangan akuntansi di Enron,
WorldCom, Xerox, Tyco, Global Crossing, Adelphia, dan perusahaan lainnya. Saat Enron, dengan
Aset $ 62 miliar, dinyatakan bangkrut pada bulan Desember 2001, itu adalah kebangkrutan
terbesar Sejarah Amerika Serikat. Pada bulan Juni 2002, Arthur Andersen, yang pernah menjadi
firma CPA terbesar, bangkrut. Enron kebangkrutan semakin kecil ketika WorldCom, dengan aset
lebih dari $ 100 miliar, mengajukan kebangkrutan pada Juli 2002. Menanggapi penipuan ini,
Kongres mengesahkan Sarbanes – Oxley Act (SOX) tahun 2002. SOX berlaku untuk perusahaan
publik dan auditornya dan dirancang mencegah penipuan laporan keuangan, membuat laporan
keuangan lebih transparan, melindungi investor, memperkuat pengendalian internal, dan
menghukum eksekutif yang melakukan penipuan.

8
 SOX adalah undang-undang berorientasi bisnis terpenting dalam 80 tahun terakhir. Itu
berubah cara dewan direksi dan manajemen beroperasi dan berdampak dramatis pada CPA siapa
audit mereka. Berikut ini adalah beberapa aspek terpenting SOX:
✓ Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB). SOX menciptakan Publik
Company Accounting Oversight Board (PCAOB) untuk mengontrol profesi audit. PCAOB
menetapkan dan memberlakukan audit, kendali mutu, etika, kemandirian, dan lainnya
standar audit. Ini terdiri dari lima orang yang ditunjuk oleh Efek dan Komisi Pertukaran
(SEC).
✓ Aturan baru untuk auditor. Auditor harus melaporkan informasi spesifik kepada
perusahaan komite audit, seperti kebijakan dan praktik akuntansi penting. SOX melarang
auditor untuk melakukan layanan nonaudit tertentu, seperti desain sistem informasi dan
penerapan. Perusahaan audit tidak dapat memberikan layanan kepada perusahaan jika
manajemen puncak dipekerjakan oleh firma audit dan mengerjakan audit perusahaan
sebelumnya 12 bulan.
2.3 KERANGKA PENGENDALIAN
Pada pembahasan ini, ada tiga kerangka yang digunakan untuk mengembangkan sistem
pengendalian internal.
2.3.1 KERANGKA COBIT
Control Objective for Information and Related Technology (COBIT) Sebuah kerangka
keamanan dan pengendalian yang memungkinkan 1) manajemen untuk membuat tolok ukur
praktik-praktik keamanan dan pengendalian lingkungan TI; 2) para pengguna layanan TI dijamin
dengan adanya keamanan dan pengendalian yang memadai; 3) para auditor memperkuat opini
pengendalian internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang
dilakukan.
Kerangka COBIT 5 menjelaskan praktik terbaik untuk tata kelola dan manajemen TI yang
efektif. COBIT 5 didasarkan pada lima prinsip utama tata kelola TI dan pengelolaan. Prinsip-
prinsip ini membantu organisasi membangun kerangka tata kelola dan pengelolaan yang efektif
yang melindungi investasi pemangku kepentingan dan menghasilkan sistem informasi terbaik.
➢ Memenuhi kebutuhan pemangku kepentingan. COBIT 5 membantu pengguna
menyesuaikan proses dan prosedur bisnis untuk menciptakan sistem informasi yang
menambah nilai bagi pemangku kepentingannya. Itu juga memungkinkan perusahaan
untuk menciptakan keseimbangan yang tepat antara risiko dan imbalan.

9
 ➢ Meliputi perusahaan dari ujung ke ujung. COBIT 5 tidak hanya fokus pada IT operasi, itu
mengintegrasikan semua fungsi dan proses TI ke dalam fungsi seluruh perusahaan dan
proses.
➢ Menerapkan kerangka tunggal yang terintegrasi. COBIT 5 dapat disejajarkan pada level
tinggi denganstandar dan kerangka kerja lainnya sehingga kerangka kerja menyeluruh
untuk tata kelola TI dan manajemen dibuat.
➢ Mengaktifkan pendekatan holistik. COBIT 5 memberikan pendekatan holistik yang
menghasilkan tata kelola dan manajemen yang efektif dari semua fungsi TI di perusahaan.
➢ Memisahkan tata kelola dari manajemen. COBIT 5 membedakan antara tata kelola dan
manajemen.
COBIT 5 adalah sebuah kerangka komprehensif yang membantu perusahaan mencapai
tujuan tata kelola dan manajemen TI. Model COBIT 5 tentang referensi proses mengidentifikasi
lima proses tata kelola (merujuk pada mengevaluasi, mengarahkan, mengawasi- evaluate, direct,
dan monitor atau EDM) dan 32 proses manajemen. Tiga puluh dua proses manajemen dibagi ke
dalam empat domain sebagai berikut:
1. Menyelaraskan, merencanakan, dan mengatur (align, plan, dan organize - APO)
2. Membangun, mengakuisisi, menerapkan (build, acquire, dan implement - BAI)
3. Mengantar, melayani, mendukung (deliver, service, dan support - DSS)
4. Mengawasi, mengevaluasi, menilai (monitor, evaluate, dan assess - MEA)

2.3.2 KERANGKA PENGENDALIAN INTERNAL COSO

Committee of Sponsoring Organizations (COSO) Sebuah kelompok sektor swasta yang
terdiri atas Asosiasi Akuntansi Amerika (American Accounting Association), AICPA, Ikatan
Auditor Internal (Institute of Management Accountans), dan Ikatan Eksekutif Keuangan
(Financial Executives Institute).

10
 Pengendalian Internal (Internal Control)-Kerangka Terintegrasi-IC adalah kerangka COSO
yang menjelaskan pengendalian internal dan memberikan panduan untuk mengevaluasi dan
meningkatkan sistem pengendalian internal.
2.3.3 KERANGKA MANAJEMEN RISIKO PERUSAHAAN COSO
Manajemen Risiko Perusahaan (Enterprise Risk Management)-Kerangka
Terintegrasi(Integrated Framework)-ERM: sebuah kerangka COSO yang memperbaiki proses
manajemen risiko dengan memperluan (menambahkan tiga elemen tambahan) Pengendalian
Internal COSO-Terintegrasi. Prinsip-prinsip dasar dibalik ERM:
Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya.
Manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima saat
menciptakan nilai.
Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu secara
negatif memengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan
nilai.
Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa sesuatu
secara postifi memengaruhi kemampuan perusahaan untuk menghasilkan atau
mempertahankan nilai.
Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan
nilai.
2.3.4 KERANGKA MANAJEMEN RISIKO PERUSAHAAN VERSUS KERANGKA
PENGENDALIAN
Kerangka IC telah mengadopsi secara luas sebagai cara untuk mengevaluasi pengendalian
internal, seperti yang ditentukan oleh SOX. Kerangka ERM yang lebih komprehensif
menggunakan pendekatan berbasis risiko daripada berbasis pengendalian. ERM menambah tiga
elemen tambahan ke kerangka IC COSO: penetapan tujuan, pengidentifikasian kejadian yang
mungkin memengaruhi perusahaan, dan pengembangan sebuah respons utuk risiko yang dinilai.
Hasilnya, pengendalian bersifat fleksibel dan relevan karena mereka ditautkan dengan tujuan
organisasi terkini. Model ERM juga mengakui bahwa risiko, selain dikendalikan, dapat pula
diterima, dihindari, dibuat berjenis-jenis, dibagi, atau ditransfer.
2.4 LINGKUNGAN INTERNAL
Lingkungan internal (internal environment): budaya perusahaan yang merupakan fondasi
dari seluruh elemen ERM lainnya karena ini memengaruhi cara organisasi menetapkan strategi
dan tujuannya; membuat struktur aktivitas; dan mengidentifikasi, menilai, serta merespons risiko.
Sebuah lingkungan internal mencakup:

11
 1. Filosofi manajemen, gaya pengoperasian, dan selera risiko.
2. Komitmen terhadap integritas, nilai-nilai etis, dan kompentensi.
3. Pengawasan pengendalian internal oleh dewan direksi.
4. Struktur organisasi.
5. Metode penetapan wewenang dan tanggung jawab.
6. Standar-standar sumber daya manusia yang menarik, mengembangkan, dan
mempertahankan individu yang kompeten.
7. Pengaruh eksternal.
Enron adalah contoh lingkungan internal yang tidak efektif yang mengakibatkan kegagalan
keuangan. Meskipun Enron tampaknya memiliki sistem ERM yang efektif, lingkungan
internalnya pun demikian cacat. Manajemen terlibat dalam praktik bisnis yang berisiko dan
meragukan, yang direksi direktur tidak pernah mempertanyakan. Manajemen salah mengartikan
kondisi keuangan perusahaan, kehilangan kepercayaan pemegang saham, dan akhirnya
mengajukan pailit.
2.4.1 FILOSOFI MANAJEMEN, GAYA PENGOPERASIAN, DAN SELERA RISIKO
Selera risiko (risk appetite): jumlah risiko yang sebuah perusahaan ingin terima untuk
mencapai tujuan dan tujuannya. Untuk menghindari risiko yang tidak semestinya, selera risiko
harus selaras dengan strategi perusahaan.
Secara kolektif, organisasi memiliki filosofi, atau keyakinan dan sikap bersama, tentang
risiko itu mempengaruhi kebijakan, prosedur, komunikasi lisan dan tertulis, dan keputusan.
Perusahaan juga memiliki selera risiko, yang merupakan jumlah risiko yang bersedia mereka
terima untuk mencapainyatujuan. Untuk menghindari risiko yang tidak semestinya, selera risiko
harus sejalan dengan strategi perusahaan. Filosofi dan gaya operasi manajemen yang lebih
bertanggung jawab, dan semakin jelas mereka dikomunikasikan, semakin besar kemungkinan
karyawan akan berperilaku bertanggung jawab. Jika manajemen memiliki sedikit perhatian
terhadap pengendalian internal dan manajemen risiko, kemudian karyawan kurang rajin dalam
mencapai tujuan pengendalian. Budaya di Springer’s Lumber & Supply memberikan contoh.
Maria Pilier menemukan bahwa garis wewenang dan tanggung jawab didefinisikan secara
longgar dan diduga manajemen mungkin telah menggunakan "akuntansi kreatif" untuk
meningkatkan kinerja perusahaan. Jason Scott menemukan bukti praktik pengendalian internal
yang buruk dalam fungsi pembelian dan hutang akun. Kedua kondisi ini mungkin terkait; sikap
manajemen yang longgar mungkin telah berkontribusi pada ketidakpedulian departemen
pembelian terhadap pengendalian internal yang baik praktek. Filosofi manajemen, gaya operasi,
dan selera risiko dapat dinilai dengan menjawab pertanyaan-pertanyaan seperti ini:

12
 1. Apakah manajemen mengambil risiko bisnis yang tidak semestinya untuk mencapai
tujuannya, atau apakah ia menilai potensi risiko dan imbalan sebelum bertindak?
2. Apakah manajemen memanipulasi ukuran kinerja, seperti laba bersih, jadi demikian
adanya dilihat dari sudut pandang yang lebih menguntungkan?
3. Apakah manajemen menekan karyawan untuk mencapai hasil apapun metodenya, atau
apakah itu menuntut perilaku etis? Dengan kata lain, apakah tujuan membenarkan
caranya?
2.4.2 KOMITMEN TERHADAP INTEGRITAS, NILAI ETIS, DAN KOMPETENSI
Perusahaan mendukung integritas dengan:
1. Mengajarkan dan mensyaratkannya secara aktif.
2. Menghindari pengharapan atau insentif yang tidak realistis.
3. Memberikan penghargaan atas kejujuran serta memberikan label verbal pada perilaku jujur
dan tidak jujur secara konsisten. mengembangkan sebuah kode etik tertulis yang
menjelaskan secara eksplisit perilaku-perilaku jujur dan tidak jujur.
4. Mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan
mendisiplinkan pegawai yang diketahui tidak melaporkannya.
5. Membuat sebuah komitmen untuk kompetensi.
2.4.3 PENGAWASAN PENGENDALIAN INTERNAL OLEH DEWAN DIREKSI
Komite audit (audit committee) YAKNI sejumlah anggota dewan direksi yang berasal dari
luar dan independen yang bertanggung jawab untuk pelaporan keuangan, kepatuhan terhadap
peraturan, pengendalian internal, serta perekrutan dan pengawasan auditor internal dan eksternal.
2.4.5 STRUKTUR ORGANISASI
Aspek-apek penting dari struktur organisasi menyertakan hal-hal berikut:
1. Sentralisasi atau desentralisasi wewenang.
2. Hubungan pengarahan atau matriks pelaporan.
3. Organisasi berdasarkan industri, lini produk, lokasi, atau jaringan pemasaran.
4. Bagaimana alokasi tanggung jawab memengaruhi ketentuan informasi.
5. Organisasi dan garis wewenang untuk akuntansi, pengauditan, dan fungsi sistem informasi.
6. Ukuran dan jenis aktivitas perusahaan.
2.4.6 METODE PENETAPAN WEWENANG DAN TANGGUNG JAWAB
Kebijakan dan prosedur manual (policy and procedures manual) merupakan sebuah
dokumen yang menjelaskan praktik bisnis yang sesuai, mendeskripsikan pengetahuan dan
pengalaman yang dibutuhkan, menjelaskan cara menangani transaksi serta mendata sumber daya
yang tersedia untuk melaksanakan tugas-tugas tertentu.

13
2.4.7 STANDAR SUMBER DAYA MANUSIA YANG MENARIK,
MENGEMBANGKAN, DAN MEMPERTAHANKAN INDIVIDU YANG KOMPETEN
Kekuatan pengendalian terbesar adalah kejujuran pegawai; dan salah satu kelemahan
pengendalian terbesar adalah ketidakjujuran pegawai. Adanya kebijakan dan praktik-praktik yang
mengatur kondisi kerja, insentif pekerjaan, dan kemajuan karier dapat menjadi kekuatan untuk
mendorong kejujuran, efisiensi, dan layanan yang loyal.
➢ PEREKRUTAN Pengecekan latar belakang (background check): sebuah investigasi para
pegawai atau calon pegawai yang memasukkan verifikasi pendidikan dan pengalaman
kerja mereka, berbicara berdasarkan referensi, pengecekan catatan kriminal atau masalah
kredit, dan pemeriksaan informasi lain yang tersedia secara publik.
➢ MENGOMPENSASI, MENGEVALUASI, DAN MEMPROMOSIKAN Pembayaran
yang wajar dan insentif bonus yang sesuai membantu memotivasi dan memperkuat kinerja
pegawai yang hebat. Para pegawai seharusnya diberi penilaian kinerja periodik untuk
membantu mereka memahami kekuatan dan kelemahan mereka.
➢ PELATIHAN Pelatihan mengajarkan pegawai baru akan tanggung jawab mereka.
Pelatihan berkelanjutan membantu karyawan mengatasi tantangan baru, menjadi yang
terdepan kompetisi, beradaptasi dengan perubahan teknologi, dan menangani secara
efektif lingkungan yang berkembang. Penipuan kecil kemungkinannya terjadi jika
karyawan yakin bahwa keamanan adalah urusan semua orang bangga dengan perusahaan
mereka dan melindungi asetnya, dan menyadari kebutuhan untuk melaporkan penipuan.
Budaya seperti itu harus diciptakan, diajarkan, dan dipraktikkan. Perilaku yang dapat
diterima dan tidak dapat diterima harus didefinisikan. Banyak profesional komputer
melihat tidak ada yang salah dengan menggunakan korporat sumber daya komputer untuk
mendapatkan akses tidak sah ke database dan menjelajahinya. Konsekuensi dari perilaku
tidak etis (teguran, pemecatan, dan penuntutan) juga harus diajarkan dan diperkuat.
➢ PENGELOLAAN PARA PEGAWAI YANG TIDAK PUAS Perusahaan membutuhkan
prosedur untuk mengidentifikasi pegawai yang tidak puas dan membantu mereka
mengatasi perasaan itu untuk memindahkan mereka dari pekerjaan yang sensitif.
➢ PEMBERHENTIAN Pegawai yang diberhentikan harus segera dipindahkan dari
pekerjaan yang sensitif dan ditolak aksesnya ke sistem informasi.
➢ LIBURAN DAN ROTASI KERJA Melakukan rotasi tugas pegawai secara periodik dan
membuat pegawai mengambil liburan dapat mencapai hasil yang sama.
➢ PERJANJIAN KERAHASIAAN DAN ASURANSI IKATAN KESETIAAN Seluruh
pegawai, pemasok, dan kontraktor menandatangani dan mematuhi sebuah perjanjian

14
 kerahasiaan. Asuransi ikatan kesetiaan melingkupi para pegawai kunci yang melindungi
perusahaan terhadap kerugian yang timbul dari tindakan penipuan yang disengaja.
➢ MENUNTUT DAN MEMENJARAKAN PELAKU Sebagian besar penipuan tidak
dilaporkan karena:
1. Perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah
bencana hubungan publik.
2. Penegak hukum dan pengadilan sibuk dengan kriminal kekerasan dibandingkan
dengan penipuan.
3. Menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan
waktu.
4. Banyak petugas penegak hukum, pengacaram dan hakim kurang memiliki
kecapakan komputer yang diperlukan untuk menyelidiki dan menuntut kejahatan
komputer.
5. Hukuman untuk penipuan biasanya ringan.
2.4.8 PENGARUH EKSTERNAL
Pengaruh eksternal meliputi persyaratan-persyaratan yang diajukan oleh bursa efek,
Financial Accounting Standars Board (FASB), PCAOB, dan SEC.
2.5 PENETAPAN TUJUAN DAN IDENTIFIKASI PERISTIWA
2.5.1 PENETAPAN TUJUAN
Manajemen menentukan apa yang ingin dicapai perusahaan yang sering disebut sebagai
visi atau misi perusahaan. Perusahaan menentukan apa yang harus dilakukan dengan benar untuk
mencapai tujuan dan menetapkan ukuran kinerja untuk menentukan apakah tujuan tersebut
terpenuhi.
Tujuan strategis (strategic objective) yaitu tujuan tingkat tinggi yang disejajarkan dan
mendukung misi perusahaan serta menciptakan nilai pemegang saham. Perusahaan
mengidentifikasi cara alternatif untuk mencapai tujuan strategis; mengidentifikasi dan menilai
risiko dan implikasi dari alternatif cache; merumuskan strategi perusahaan; dan menetapkan
operasi, kepatuhan, dan tujuan pelaporan.
Tujuan operasi (operation objective) yaitu tujuan yang berhubungan dengan efektivitas dan
efisiensi operasi perusahaan serta menentukan cara mengalokasikan sumber daya. Mereka
mencerminkan preferensi manajemen, penilaian, dan gaya dan merupakan faktor kunci dalam
kesuksesan perusahaan. Mereka sangat bervariasi - satu perusahaan mungkin memutuskan untuk
menjadi pengadopsi awal teknologi, yang lain mungkin mengadopsi teknologi ketika terbukti, dan
yang ketiga dapat mengadopsi hanya setelah itu diterima secara umum.

15
 Tujuan pelaporan (reporting objective) yaitu tujuan yang membantu memastikan
ketelitian, kelengkapan, dan keterandalan laporan perusahaan; meningkatkan perbuatan
keputusan; dan mengawasi aktivitas serta kinerja perusahaan.
Tujuan kepatuhan (compliance objective) yaitu tujuan yang membantu perusahaan mematuhi
seluruh hukum dan peraturan yang berlaku. Sebagian besar tujuan kepatuhan, dan banyak tujuan
pelaporan, diberlakukan oleh entitas eksternal sebagai tanggapan terhadap undang-undang atau
peraturan. Seberapa baik perusahaan memenuhi tujuan kepatuhan dan pelaporannya dapat
berdampak signifikan pada reputasi perusahaan.
2.5.2 IDENTIFIKASI KEJADIAN
COSO mendefinisikan suatu peristiwa sebagai "suatu peristiwa atau kejadian yang berasal
dari sumber internal atau eksternal yang mempengaruhi implementasi strategi atau pencapaian
tujuan. Peristiwa dapat berdampak positif atau negatif atau keduanya." Peristiwa positif mewakili
peluang; peristiwa negatif mewakili risiko. Suatu peristiwa mewakili ketidakpastian; itu mungkin
atau mungkin tidak terjadi. Jika itu terjadi, sulit untuk mengetahui kapan. Sampai hal itu terjadi,
mungkin sulit untuk menentukan dampaknya. Ketika itu terjadi, itu dapat memicu acara lain.
Peristiwa dapat terjadi secara individu atau bersamaan. Manajemen harus mencoba mengantisipasi
semua kemungkinan peristiwa positif atau negatif, menentukan peristiwa mana yang paling dan
paling tidak mungkin terjadi, dan memahami keterkaitan peristiwa tersebut.
Beberapa teknik yang digunakan perusahaan untuk mengidentifikasi peristiwa termasuk
menggunakan daftar lengkap peristiwa potensial, melakukan analisis internal, memantau peristiwa
terkemuka dan titik pemicu, melakukan lokakarya dan wawancara, menggunakan penggalian data,
dan menganalisis proses bisnis.
2.6 PENILAIAN RESIKO DAN RESPONS RESIKO
Selama proses penetapan tujuan, manajemen harus menetapkan tujuan mereka dengan
cukup jelas agar risiko dapat diidentifikasi dan dinilai. Manajemen harus mengidentifikasi dan
menganalisis risiko untuk menentukan bagaimana risiko tersebut harus dikelola. Mereka juga
harus mengidentifikasi dan menilai perubahan yang secara signifikan dapat mempengaruhi sistem
pengendalian internal.
Risiko dari peristiwa yang diidentifikasi dinilai dengan beberapa cara berbeda:
kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan kategori, pengaruhnya
terhadap unit organisasi lain, dan pada basis inheren dan residual. Risiko inheren adalah
kerentanan suatu rangkaian akun atau transaksi terhadap masalah pengendalian yang signifikan
tanpa adanya pengendalian internal. Risiko residual adalah risiko yang tersisa setelah manajemen

16
menerapkan pengendalian internal atau respons lain terhadap risiko. Perusahaan harus menilai
risiko yang melekat, mengembangkan tanggapan, dan kemudian menilai risiko sisa.
Untuk menyelaraskan risiko yang teridentifikasi dengan toleransi perusahaan terhadap
risiko, manajemen harus mengambil pandangan risiko di seluruh entitas. Mereka harus menilai
kemungkinan dan dampak risiko, serta biaya dan manfaat dari tanggapan alternatif. Manajemen
dapat menanggapi risiko dengan salah satu dari empat cara:
• Mengurangi kemungkinan dan dampak risiko dengan menerapkan sistem
pengendalian internal yang efektif.
• Menerima kemungkinan dan dampak risiko.
• Berbagi risiko atau mentransfernya kepada orang lain dengan membeli asuransi,
melakukan outsourcing aktivitas, atau melakukan transaksi lindung nilai.
• Hindari risiko dengan tidak terlibat dalam aktivitas yang menghasilkan risiko. Ini
mungkin mengharuskan perusahaan untuk menjual divisi, keluar dari lini produk,
atau tidak berkembang seperti yang diantisipasi.
2.6.1 MEMPERKIRAKAN KEMUNGKINAN DAN DAMPAK
Beberapa peristiwa memiliki risiko yang lebih besar karena lebih mungkin terjadi.
Karyawan lebih mungkin melakukan kesalahan daripada melakukan penipuan, dan perusahaan
lebih cenderung menjadi korban penipuan daripada gempa bumi. Kemungkinan gempa bumi
mungkin kecil, tetapi dampaknya dapat menghancurkan perusahaan. Dampak dari fraud biasanya
tidak terlalu besar, karena kebanyakan kasus fraud tidak mengancam keberadaan perusahaan.
Kemungkinan dan dampak harus dipertimbangkan bersama. Saat keduanya meningkat, baik
materialitas acara maupun kebutuhan untuk melindunginya meningkat.
2.6.2 IDENTIFIKASI KONTROL
Manajemen harus mengidentifikasi kontrol yang melindungi perusahaan dari setiap
peristiwa. Kontrol pencegahan biasanya lebih baik daripada kontrol detektif. Ketika kontrol
pencegahan gagal, kontrol detektif sangat penting untuk menemukan masalah. Kontrol korektif
membantu memulihkan dari masalah apa pun. Sistem pengendalian internal yang baik harus
menerapkan ketiganya.
2.6.3 MEMPERKIRAKAN BIAYA DAN MANFAAT
Tujuan dalam merancang sistem pengendalian internal adalah untuk memberikan jaminan
yang wajar bahwa peristiwa tidak terjadi. Tidak ada sistem kontrol internal yang memberikan
perlindungan yang sangat mudah terhadap semua kejadian, karena memiliki terlalu banyak kontrol
akan membatasi biaya dan berdampak negatif terhadap efisiensi operasional. Sebaliknya, memiliki
kontrol yang terlalu sedikit tidak akan memberikan jaminan wajar yang dibutuhkan.

17
 Manfaat prosedur pengendalian internal harus melebihi biayanya. Manfaat, yang sulit
dihitung secara akurat, termasuk peningkatan penjualan dan produktivitas, pengurangan kerugian,
integrasi yang lebih baik dengan pelanggan dan pemasok, peningkatan loyalitas pelanggan,
keunggulan kompetitif, dan premi asuransi yang lebih rendah. Biaya biasanya lebih mudah diukur
daripada manfaat. Elemen biaya utama adalah personel, termasuk waktu untuk melakukan
prosedur pengendalian, biaya perekrutan karyawan tambahan untuk mencapai pemisahan tugas
yang efektif, dan biaya pengendalian pemrograman ke dalam sistem komputer.
Salah satu cara untuk memperkirakan nilai pengendalian internal melibatkan kerugian
yang diharapkan, produk matematika dari dampak dan kemungkinan:
Kerugian yang diharapkan = Dampak X Kemungkinan Nilai prosedur pengendalian adalah selisih
antara kerugian yang diharapkan dengan prosedur pengendalian dan kerugian yang diharapkan
tanpanya.
2.6.4 MENENTUKAN EFEKTIVITAS BIAYA/MANFAAT
Manajemen harus menentukan apakah suatu pengendalian menguntungkan biaya.
Misalnya, di Atlantic Richfield, kesalahan data terkadang mengharuskan seluruh penggajian
diproses ulang, dengan biaya $ 10.000. Langkah validasi data akan mengurangi kemungkinan
kejadian dari 15% menjadi 1%, dengan biaya $ 600 per periode pembayaran. Analisis biaya /
manfaat yang menentukan bahwa langkah validasi harus digunakan ditunjukkan pada Tabel 7-2.
Dalam mengevaluasi pengendalian internal, manajemen harus mempertimbangkan faktor-
faktor selain yang ada dalam penghitungan biaya / manfaat yang diharapkan. Misalnya, jika suatu
peristiwa mengancam keberadaan organisasi, biaya tambahannya dapat dipandang sebagai premi
asuransi kerugian yang dahsyat.
2.6.5 PELAKSANAAN KONTROL ATAU TERIMA, BAGIKAN, ATAU HINDARI
RISIKO
Kontrol yang hemat biaya harus diterapkan untuk mengurangi risiko. Risiko yang tidak
dikurangi harus diterima, dibagikan, atau dihindari. Risiko dapat diterima jika berada dalam
rentang toleransi risiko perusahaan. Contohnya adalah risiko dengan kemungkinan kecil dan
dampak kecil. Respons untuk mengurangi atau membagi risiko membantu membawa risiko sisa
ke dalam kisaran toleransi risiko yang dapat diterima. Perusahaan dapat memilih untuk
menghindari risiko ketika tidak ada cara hemat biaya untuk membawa risiko ke dalam kisaran
toleransi risiko yang dapat diterima.
2.7 AKTIVITAS PENGENDALIAN
Aktivitas pengendalian adalah kebijakan, prosedur, dan aturan yang memberikan
keyakinan memadai bahwa tujuan pengendalian terpenuhi dan respons risiko dijalankan.

18
Merupakan tanggung jawab manajemen untuk mengembangkan sistem yang aman dan terkontrol
secara memadai. Manajemen harus memastikan bahwa:
1. Kontrol dipilih dan dikembangkan untuk membantu mengurangi risiko ke tingkat yang
dapat diterima.
2. Pengendalian umum yang tepat dipilih dan dikembangkan melalui teknologi.
3. Kegiatan pengendalian dilaksanakan dan diikuti sebagaimana ditentukan dalam kebijakan
dan prosedur perusahaan.
Prosedur pengendalian termasuk dalam kategori berikut:
1. Otorisasi yang tepat atas transaksi dan aktivitas
2. Pemisahan tugas
3. Pengembangan proyek dan pengendalian akuisisi
4. Perubahan pengendalian manajemen
5. Desain dan penggunaan dokumen dan catatan
6. Menjaga aset, catatan, dan data
7. Pemeriksaan independen atas kinerja
2.7.1 OTORISASI TRANSAKSI DAN AKTIVITAS YANG TEPAT
Otorisasi sering kali didokumentasikan dengan menandatangani, menginisialisasi, atau
memasukkan kode otorisasi pada dokumen di atau record. Sistem komputer dapat merekam tanda
tangan digital, sarana untuk menandatangani dokumen secara elektronik dengan data yang tidak
dapat dipalsukan.
Aktivitas atau transaksi tertentu mungkin memiliki konsekuensi sehingga manajemen
memberikan otorisasi khusus agar hal tersebut terjadi. Misalnya, tinjauan dan persetujuan
manajemen mungkin diperlukan untuk penjualan yang melebihi $ 50.000. Sebaliknya, manajemen
dapat memberi wewenang kepada karyawan untuk menangani transaksi rutin tanpa persetujuan
khusus, sebuah prosedur yang dikenal sebagai otorisasi umum. Manajemen harus memiliki
kebijakan tertulis tentang otorisasi khusus dan umum untuk semua jenis transaksi.
2.7.2 PEMISAHAN TUGAS
Pengendalian internal yang baik mensyaratkan bahwa tidak ada satu karyawan pun yang
diberi terlalu banyak tanggung jawab atas transaksi atau proses bisnis. Seorang karyawan tidak
boleh dalam posisi untuk melakukan dan menyembunyikan penipuan. Pemisahan tugas dibahas
dalam dua bagian terpisah: pemisahan tugas penghitungan (akuntansi) dan pemisahan tugas
sistem.
Pemisahan Tugas Akuntansi
pemisahan tugas akuntansi yang efektif dicapai ketika fungsi-fungsi berikut dipisahkan:

19
 • Otorisasi - menyetujui transasksi dan keputusan.
• Pencatatan - mempersiapkan dokumen sumber; memasukkan data ke dalam sistem
komputer, memelihara jurnal, buku besar, file, atau database; dan mempersiapkan
rekonsiliasi dan laporan kinerja.
• Penyimpanan - menangani kas, peralatan, persediaan, atau aktiva tetap; menerima cek
pelanggan yang datang; menulis cek.
Berikut pemisahan tugas:

Pemisahan tugas sistem (segregation of system duties)

Yaitu penerapan prosedur-prosedur pengendalian untuk membagi wewenang dan tanggung
jawab secara jelas di dalam fungsi sistem informasi. Wewenang dan tanggung jawab harus dibagi
dengan jelas menurut fungsi-fungsi berikut:
1. Administrator sistem (system administrator): orang yang bertanggung jawab untuk
memastikan bahwa sistem beroperasi dengan lancar dan efisien.
2. Manajemen jaring (network manager): orang yang bertanggung jawab untuk memastikan
bahwa perangkat yang berlaku ditautkan ke jaringan perusahaan dan memastikan pula
bahwa jaringan beroperasi dengan baik.
3. Manajemen keamanan (security management): orang yang bertanggung jawab untuk
memastikan bahwa sistem yang ada aman dan terlindungi baik dari ancaman internal
maupun eksternal.

20
 4. Manajemen perubahan (change management): proses untuk memastikan perubahan dibuat
dengan lancar dan efisien serta tidak memengaruhi keterandalan, keamanan, kerahasiaan,
integritas, dan ketersediaan sistem secara negatif.
5. Pengguna (users): orang yang mencatat transaksi, melakukan otorisasi data untuk
diprosesm dan menggunakan output sistem.
6. Analisis sistem (system analysis): orang yang membantu pengguna menentukan kebutuhan
informasi mereka dan mendesai sistem agar sesuai dengan kebutuhan tersebut.
7. Pemrograman (programmer): orang yang membuat desain analisis dan mengembangkan,
mengodekan, serta menguji program komputer.
8. Operasi komputer (computer operator): orang yang mengoperasikan komputer perusahaan.
9. Perpustakaan sistem informasi (information system library): sebuah koleksi database,
file,dan program perusahaan yang disimpan di dalam sebuah area penyimpanan terpisah
dan dikelola oleh pustakawan sistem.
10. Kelompok pengendalian data (data control group): orang yang memastikan bahwa data
sumber telah disetujui dengan semestinya, mengawasi alur kerja melalui komputer,
merekonsiliasi input dan output, memelihara catatan input untuk memastikan kebenaran
dan kepatuhannya kembali, serta mendistribusikan output sistem.
2.7.3 PENGEMBANGAN PROYEK DAN PENGENDALIAN AKUISISI
Penting untuk memiliki metodologi yang terbukti untuk mengatur pengembangan,
akuisisi, implementasi, dan pemeliharaan sistem informasi. Ini harus berisi kontrol yang sesuai
untuk persetujuan manajemen, keterlibatan pengguna, analisis, desain, pengujian, implementasi,
dan konversi.
Pengendalian pengembangan sistem yang penting meliputi berikut ini:
1. Komite pengarah (steering committee): sebuah komite tingkat eksekutif untuk
merencanakan dan mengawasi fungsi sistem informasi.
2. Rencana induk strategis (strategic master plan): sebuah rencana multitahunan yang
menjabarkan proyek perusahaan yang harus terselesaikan untuk mencapai tujuan jangka
panjangnya dan sumber daya yang dibutuhkan untuk mencapai rencana tersebut.
3. Rencana pengembangan proyek (project development plan): sebuah dokumen yang
menunjukkan cara sebuah proyek akan diselesaikan. Tonggak proyek (project
milestones):poin-poin kemajuan ditinjau dan waktu penyelesaian aktual serta perkiraan
dibandingkan.
4. Jadwal pengolahan data (data processing schedule): sebuah jadwal yang menunjukkan
kapan tiap-tiap tugas pengolahan data seharusnya dilakukan.

21
 5. Pengukuran kinerja sistem (system performance measurement): cara-cara untuk
mengevaluasi dan menilai sebuah sistem. Output per unit waktu (throughtput): jumlah
pekerjaan yang dilakukan oleh sebuah sistem selama periode waktu tertentu.
Pemanfaatan(utilization): persentase waktu penggunaan sebuah sistem. Waktu respons
(response time):lama waktu yang diperlukan sebuah sistem untuk merespon.
6. Tinjauan pasca-implementasi (postimplementation review): tinjauan yang dilakukan
setelah sistem baru beroperasi untuk periode yang singkat, guna memastikan hal itu sesuai
dengan tujuan yang telah ditencanakan.
Beberapa perusahaan menyewa integrator sistem untuk mengelola upaya pengembangan
sistem yang melibatkan personelnya sendiri, kliennya, dan vendor lainnya. Proyek pembangunan
ini tunduk pada pembengkakan biaya yang sama dan tenggat waktu yang terlewat seperti sistem
yang dikembangkan secara internal. Sistem integrator (system integrator) adalah pihak luar yang
dipekerjakan untuk mengelola usaha pengembangan sistem perusahaan.
Perusahaan yang menggunakan integrator sistem harus menggunakan proses dan kontrol
manajemen proyek yang sama dengan proyek internal. Selain itu, mereka harus:
• Mengembangkan spesifikasi yang jelas. Ini termasuk deskripsi yang tepat dan definisi
sistem, tenggat waktu eksplisit, dan kriteria penerimaan yang tepat.
• Memantau proyeknya. Perusahaan harus menetapkan prosedur formal untuk mengukur
dan melaporkan status proyek. Pendekatan terbaik adalah dengan membagi proyek
menjadi tugas-tugas yang dapat dikelola, menetapkan tanggung jawab untuk setiap tugas,
dan bertemu setidaknya setiap bulan untuk meninjau kemajuan dan menilai kualitas.
2.7.4 MENGUBAH PENGENDALIAN MANAJEMEN
Organisasi memodifikasi sistem yang ada untuk mencerminkan praktik bisnis baru dan
untuk memanfaatkan kemajuan TI. Mereka yang bertanggung jawab atas perubahan harus
memastikan bahwa mereka tidak membawa kesalahan dan memfasilitasi penipuan.
2.7.5 DESAIN DAN PENGGUNAAN DOKUMEN DAN CATATAN
Desain dan penggunaan yang tepat dari dokumen dan catatan elektronik dan kertas
membantu memastikan pencatatan yang akurat dan lengkap dari semua data transaksi yang
relevan. Bentuk dan isinya harus sesederhana mungkin, meminimalkan kesalahan, dan
memfasilitasi tinjauan dan verifikasi. Dokumen yang memulai transaksi harus berisi ruang untuk
otorisasi. Mereka yang mentransfer aset membutuhkan ruang untuk tanda tangan pihak penerima.
Dokumen harus disusun secara berurutan sehingga masing-masing dapat dipertanggungjawabkan.
Jejak audit memfasilitasi pelacakan transaksi individu melalui sistem, mengoreksi kesalahan, dan
memverifikasi keluaran sistem.

22
2.7.6 PENGAMANAN ASET, CATATAN, DAN DATA
Perusahaan harus melindungi kas dan aset fisiknya serta informasinya. Karyawan juga
menyebabkan ancaman yang tidak disengaja, seperti tidak sengaja menghapus data perusahaan,
membuka lampiran email yang berisi virus, atau mencoba memperbaiki perangkat keras atau
perangkat lunak tanpa keahlian yang sesuai. Hal ini dapat mengakibatkan kerusakan jaringan dan
kerusakan perangkat keras dan perangkat lunak serta data yang rusak. Selain itu, penting
untuk melakukan :
• Membuat dan menegakkan kebijakan dan prosedur yang sesuai. Terlalu sering, kebijakan
dan prosedur dibuat tetapi tidak ditegakkan. Laptop dengan nama, nomor Jaminan Sosial,
dan tanggal lahir 26,5 juta orang dicuri dari rumah analis Departemen Urusan Veteran
(VA). VA tidak menegakkan kebijakannya bahwa data sensitif dienkripsi dan tidak
meninggalkan kantor VA. Memberi tahu semua 26,5 juta orang dan membelikan mereka
layanan pemeriksaan kredit membebani pembayar pajak $ 100 juta. Dua tahun sebelum
pencurian, laporan inspektur jenderal mengidentifikasi kontrol yang tidak memadai atas
data sensitif sebagai kelemahan, tetapi tidak pernah ditangani.
• Menjaga catatan akurat dari semua aset. Rekonsiliasi jumlah aset perusahaan yang tercatat
dengan jumlah fisik aset tersebut secara berkala.
• Batasi akses ke aset. Membatasi akses ke area penyimpanan melindungi inventaris dan
peralatan. Mesin kasir, brankas, kotak kunci, dan brankas membatasi akses ke aset tunai
dan kertas. Lebih dari $ 1 juta digelapkan dari Perini Corp. karena cek kosong disimpan
di gudang yang tidak terkunci. Seorang karyawan memberikan cek kepada vendor fiktif,
menjalankannya melalui mesin penandatanganan cek yang tidak terkunci, dan
menguangkan cek tersebut.
• Lindungi catatan dan dokumen. Area penyimpanan tahan api, lemari arsip yang terkunci,
file cadangan, dan penyimpanan di luar lokasi melindungi catatan dan dokumen. Akses
ke cek kosong dan dokumen harus dibatasi untuk personel yang berwenang. Di Inglewood,
California, seorang petugas kebersihan mencuri 34 cek kosong, menulis cek dari $ 50.000
hingga $ 470.000, memalsukan nama pejabat kota, dan menguangkannya.
2.7.7 PENGECEKAN KINERJA YANG INDEPENDEN
Pemeriksaan independen atas kinerja, yang dilakukan oleh orang lain selain orang yang
melakukan operasi awal, membantu memastikan bahwa transaksi diproses secara akurat. Ini
termasuk yang berikut:

23
 • Ulasan tingkat atas. Manajemen harus memantau hasil perusahaan dan secara berkala
membandingkan kinerja perusahaan yang sebenarnya dengan kinerja yang direncanakan,
seperti yang ditunjukkan dalam anggaran, target, dan prakiraan;
• kinerja periode sebelumnya; dan
• kinerja pesaing.
➢ Tinjauan analitis. Tinjauan analitis adalah pemeriksaan hubungan antara set data yang
berbeda. Misalnya, ketika penjualan kredit meningkat, demikian juga piutang. Selain itu, ada
hubungan antara penjualan dan akun seperti harga pokok penjualan, persediaan, dan
pengiriman keluar.
➢ Rekonsiliasi catatan yang dipelihara secara independen. Catatan harus direkonsiliasi ke
dokumen atau catatan dengan keseimbangan yang sama. Misalnya, rekonsiliasi bank
memverifikasi bahwa saldo rekening koran perusahaan sesuai dengan saldo laporan bank.
Contoh lain adalah membandingkan total buku besar pembantu dengan total buku besar
umum.
➢ Perbandingan jumlah aktual dengan jumlah tercatat. Aset signifikan secara periodik dihitung
dan direkonsiliasi dengan catatan perusahaan. Pada akhir setiap giliran kerja juru tulis, uang
tunai di laci mesin kasir harus sesuai dengan jumlah yang tertera pada pita mesin kasir.
Persediaan harus dihitung secara berkala dan direkonsiliasi dengan catatan persediaan.
➢ Akuntansi entri ganda (Double-Entry) bahwa mendebet kredit yang sama memberikan banyak
peluang untuk pemeriksaan independen. Debit dalam entri gaji dapat dialokasikan ke banyak
inventaris dan / atau akun pengeluaran; kredit dialokasikan ke akun kewajiban untuk hutang
upah, pajak yang dipotong, asuransi karyawan, dan iuran serikat pekerja.
➢ Review independen. Setelah transaksi diproses, orang kedua meninjau pekerjaan orang
pertama, memeriksa otorisasi yang tepat, meninjau dokumen pendukung, dan memeriksa
keakuratan harga, jumlah, dan perpanjangan.

2.8 KOMUNIKASIKAN INFORMASI DAN PANTAU PROSES PENGENDALIAN

Komponen ketujuh dalam model ERM adalah informasi dan komunikasi. Komponen
terakhir adalah pemantauan..
2.8.1 INFORMASI DAN KOMUNIKASI
Sistem informasi dan komunikasi harus menangkap dan bertukar informasi yang
diperlukan untuk melakukan, mengelola, dan mengendalikan operasi organisasi. Tujuan utama
dari sistem informasi akuntansi (AIS) adalah untuk mengumpulkan, mencatat, memproses,
menyimpan, meringkas, dan mengkomunikasikan informasi tentang suatu organisasi. Ini termasuk

24
memahami bagaimana transaksi dimulai, data ditangkap, file diakses dan diperbarui, data diproses,
dan informasi dilaporkan. Ini mencakup pemahaman tentang catatan dan prosedur akuntansi,
dokumen pendukung, dan laporan keuangan. Item-item ini menyediakan jejak audit, yang
memungkinkan transaksi ditelusuri bolak-balik antara asalnya dan laporan keuangan.
Kerangka IC yang diperbarui menetapkan bahwa tiga prinsip berikut berlaku untuk informasi dan
proses komunikasi:
1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk
mendukung pengendalian internal
2. Mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab, yang
diperlukan untuk mendukung komponen lain dari pengendalian internal
3. Mengkomunikasikan masalah pengendalian internal yang relevan kepada pihak eksternal.
2.8.2 PENGAWASAN
Sistem pengendalian internal yang dipilih atau dikembangkan harus terus dipantau,
dievaluasi, dan dimodifikasi sesuai kebutuhan. Setiap kekurangan harus dilaporkan kepada
manajemen senior dan dewan direksi. Metode utama untuk memantau kinerja:
➢ MELAKUKAN EVALUASI PENGENDALIAN INTERNAL
Efektivitas pengendalian internal diukur menggunakan evaluasi formal atau self- assessment.
Evaluasi dapat dilakukan dengan membentuk tim atau dapat dilakukan dengan audit internal.
➢ PENGAWASAN EFEKTIF PELAKSANAAN
Pengawasan yang efektif melibatkan pelatihan dan membantu karyawan, memantau kinerja
mereka, memperbaiki kesalahan, dan mengawasi karyawan yang memiliki akses ke aset.
Pengawasan sangat penting dalam organisasi tanpa pelaporan tanggung jawab atau pemisahan
tugas yang memadai.
➢ MENGGUNAKAN SISTEM AKUNTANSI PERTANGGUNGJAWABAN
Sistem akuntansi pertanggungjawaban meliputi anggaran, kuota, jadwal, biaya standar, dan
standar kualitas; perbandingan laporan kinerja aktual dan yang direncanakan; dan prosedur untuk
menyelidiki serta mengoreksi varians yang signifikan.
➢ MENGAWASI AKTIVITAS SISTEM
Seluruh transaksi dan aktivitas sistem harus direkam di dalam sebuah log yang mengindikasikan
siapa mengakses data apa, kapan, dan dari perangkat online yang mana.
➢ MELACAK PERANGKAT LUNAK DAN PERANGKAT BERGERAK YANG DIBELI
Untuk mematuhi hak cipta dan melindungi dirinya dari gugatan pembajakan perangkat lunak,
perusahaan harus melakukan audit perangkat lunak secara periodik.

25
 ➢ MENJALANKAN AUDIT BERKALA
Audit keamanan eksternal, internal, dan jaringan dapat menilai dan mengawasi risiko maupun
mendeteksi penipuan dan kesalahan.
➢ MEMPEKERJAKAN PETUGAS KEAMANAN KOMPUTER DAN CHIEF
COMPLIANCE OFFICER
1. Computer Security Officer (CSO): seorang pegawai yang independen dari fungsi sistem
informasi yang mengawasi sistem, menyebarkan informasi mengenai penggunaan sistem
yang tidak sesuai dan konsekuensinya, serta melaporkan kepada manajemen puncak.
2. Chief Compliance Officer (CCO): seorang pegawai yang bertanggung jawab atas semua
tugas kepatuhan yang terkait SOX serta pengaturan hukum dan peraturan.
➢ LIBATKAN SPESIALIS FORENSIK
Penyelidik forensik yang berspesialisasi dalam penipuan adalah kelompok yang berkembang pesat
dalam profesi akuntansi. Kehadiran mereka meningkat karena beberapa faktor, terutama SOX,
aturan akuntansi baru, dan tuntutan dewan direksi bahwa penyelidikan forensik menjadi bagian
berkelanjutan dari pelaporan keuangan dan proses tata kelola perusahaan. Penyelidik forensik
(computer forensics specialist) yaitu individu yang memiliki spesialisasi dalam penipuan,
sebagian besar dari mereka memiliki

pelatihan khusus dari agen-agen penegak hukum lainnya, seperti FBI atau IRS atau memiliki
sertifikasi profesional seperti Certified Fraud Examiner(CFE).
➢ INSTAL PERANGKAT LUNAK DETEKSI PENIPUAN
Penipu mengikuti pola yang berbeda dan meninggalkan petunjuk yang dapat ditemukan oleh
perangkat lunak pendeteksi penipuan. Jaringan saraf (neural network) yaitu sistem komputasi yang
meniru proses pembelajaran otak dengan menggunakan jaringan prosesor yang terhubung satu
sama lain dengan menjalankan berbagai operasi secara serentak dan berinteraksi dengan dinamis.
➢ MENGIMPLEMENTASIKAN HOTLINE PENIPUAN
Hotline peniputan (fraud hotline) yaitu nomor telepon yang dapat dihubungi oleh para pegawai
untuk melaporkan penipuan dan penyalahgunaan secara anonim (tanpa nama).

26
 DAFTAR PUSTAKA

Romney B, marshall and Paul Jhon Stainbart. (2016). Accounting Information system. United
States Of America.

27