MODUL PEMBELAJARAN

SISTEM INFORMASI AKUNTANSI

“Pengendalian dan Sistem Informasi Akuntansi”

Disusun untuk memenuhi Tugas mata kuliah

Sistem Informasi Akuntansi

Dosen pengampu :
Samsinar, S.Pd., SE., M.Si., Ak., CA.

Disusun Oleh
Kelompok 2
Marwa Nur (210902501005)
Sarginawati. L (210902501006)
Alvira Damayanti (210902501008)
Rezky Nadia Irfan (210902501009)
Putu Nanda (210902501011)
Muhammad Zulkipli Hasim (210902501012)

PROGRAM STUDI PENDIDIKAN AKUNTANSI /A

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS NEGERI MAKASSAR
TAHUN 2023

1
 KATA PENGANTAR

Puji syukur kehadirat Tuhan Yang Maha Esa karena atas karuanianya
kami (Kelompok 6) dapat menyusun modul pembelajar mengenai Pengendalian
dan Sistem Informasi Akuntansi.

Modul ini dibuat sebagai bahan pembelajaran yang dapat digunakan oleh
para mahasiswa dalam menambah pemahan tentang Pengendalian Sistem
Informasi Akuntansi dengan sub bab-sub bab yang mencakup Ikhtisar konsep
pengendalian, Kerangka pengendalian, Lingkungan internal, Penetapan tujuan,
Identifikasi kejadian, Penilaian risiko dan respons risiko, Aktivitas pengendalian,
Informasi dan komunikasi, serta Pengawasan.

Modul ini disusun dengan mangacu pada buku Sistem Informasi

Akuntansi Edisi 13 yang dijadikan sebagai dasar acuan dalam menentukan sub
bab. Modul ini juga dilengkapi materi-materi yang di ambil dari sumber lain agar
pemahaman para mahasiswa dapat lebih luas pula.

Kami menyadari masih banyak kekurangan dalam penyusunan modul ini.

Oleh karena itu, kami sangat mengharapkan kritik dan saran demi perbaikan dan
kesempurnaan modul ini.

Kami mengucapkan terima kasih kepada berbagai pihak yang telah

membantu proses penyelesain modul ini, terutama dosen pengampu mata kuliah
Sistem Informasi Akuntansi ibu Masnawaty Sangkala, S.E. M.Si. Ph.D. Ak. Ca.
Cpai. Yang telah membimbing selama perkuliahan berlangsung. Semoga modul
ini dapat bermanfaat bagi kita semua, khususnya para mahasiswa.

Makassar, 15 Oktober 2023

Kelompok 6

2
 DAFTAR ISI

KATA PENGANTAR ............................................................................................................... 2

DAFTAR ISI ........................................................................................................................... 3
BAB I ..................................................................................................................................... 4
PENDAHULUAN .................................................................................................................... 4
A. Latar Belakang ......................................................................................................... 4
B. Rumusan Masalah ................................................................................................... 5
C. Tujuan Penulisan...................................................................................................... 5
BAB II .................................................................................................................................... 7
PEMBAHASAN ...................................................................................................................... 7
A. Mengapa Ancaman Terhadap Sistem Informasi Akuntansi .................................... 7
B. Ikhtisar Konsep Pengendalian ................................................................................. 8
C. Kerangka Pengendalian ......................................................................................... 11
D. Lingkungan Internal ............................................................................................... 18
E. Penetapan Tujuan .................................................................................................. 28
F. Identifikasi Kejadian............................................................................................... 29
G. Penilaian Risiko Dan Respons Risiko ...................................................................... 30
H. Aktivitas Pengendalian .......................................................................................... 37
I. Informasi Dan Komunikasi ..................................................................................... 39
BAB III ................................................................................................................................. 45
PENUTUP............................................................................................................................ 45
A. Kesimpulan ............................................................................................................ 45
DAFTAR PUSTAKA .............................................................................................................. 46

3
 BAB I
PENDAHULUAN

A. Latar Belakang

Sistem informasi akuntansi merupakan sistem formal yang utama

dalam kebanyakan perusahaan. Sistem informasi formal adalah suatu
sistem yang menjelaskan secara tertulis tentang tanggungjawab pembuatan
informasi. Kejadian financial yang terjadi dikomunikasikan melalui sistem
informasi akuntansi pada pihak yang berkepentingan berupa laporan-
laporan kegiatan. Pada perusahaan yang berorientasi untuk mendapatkan
laba, penjualan merupakan kegiatan utama untuk mencapai tujuan utama.
Dalam rangka menunjang kegiatan penjualan, seorang manajer sangat
berkepentingan atas informasi yang berkaitan dengan penjualan, untuk
menyajikan informasi mengenai penjualan sehingga dapat digunakan
untuk mengambil keputusan lebih lanjut.
Tujuan dari sistem akuntansi adalah untuk memperbaiki
pengendalian intern dan untuk memperbaiki informasi yang lebih baik,
disamping untuk mengurangi biaya tata usaha atau biaya administrasi, dan
untuk menentukan pelaksanaan proses produksi agar lebih mudah
menjalankan perencanaan dan mencegah pelaksanaan operasional
perusahaan yang kurang sehat. Sistem akuntansi juga merupakan alat
control perusahaan dalam menyelamatkan harta kekayaan perusahaan.
Menurut (Yunus, 2007 ; Bodnar dan Hopwood, 2005) sistem akuntansi
pada dasarnya menjadi alat perusahaan dalam menjalankan tugasnya, yaitu
sebagai alat dalam mengendalikan aktivitas perusahaan agar dapat berjalan
dengan baik, dan sesuai dengan rencana yang telah disusun.
Suatu perusahaan agar dapat berkembang dan bertahan terus
diperlukan pengelolaan usaha yang baik dan harus berusaha
mengembangkan aktivitasnya. Pengelolaan yang baik dalam hal ini

4
 meliputi bidang bidang keuangan, sumber daya manusia, produksi dan
pemasaran. Pada umumnya, suatu perusahaan memadai untuk
menampung, menyeleksi, mengolah dan menyajikan informasi yang
berguna sesuai dengan kondisi perusahaan. Struktur pengendalian intern
ini dijalankan oleh dewan komisaris, manajemen dan dewan personil lain
yang didesain untuk memberikan keyakinan memadai mengenai
pencapaian tujuan yaitu, keandalan pelaporan keuangan, kepatuhan
terhadap hukum dan peraturan yang berlaku, efektivitas dan efisiensi
operasi. Oleh karena itu diperlukan evaluasi mengenai struktur
pengendalian intern terhadap penjualan untuk tetap mempertahankan
kelangsungan hidup perusahaan serta tercapainya tujuan perusahaan.

B. Rumusan Masalah
1. Apa yang menjadi ikhtisar konsep pengendalian dan sistem informasi
akuntansi?
2. Bagaimana kerangka pengendalian pada sistem informasi akuntansi?
3. Faktor – faktor apa yang mempengaruhi lingkungan internal pada
sistem informasi akuntansi?
4. Bagaimana penetapan tujuan yang dilakukan pada sistem informasi
akuntansi?
5. Jelaskan cara mengidentifikasi kejadian sistem informasi akuntansi
6. Bagaimana penilaian risiko dan respons risiko terhadap aktivitas
pengendalian sistem informasi akutansi?
7. Jelaskan bagaimana komponen dalam sisitem informasi dan
komunikasi
8. Bagaimana cara memahami pengawasan dalam sistem informasi
akuntansi

C. Tujuan Penulisan
1. Untuk mengetahui apa yang menjadi ikhtisar konsep pengendalian dan
sistem informasi akuntansi.

5
2. Untuk memahami kerangka pengendalian pada sistem informasi
akuntansi.
3. Untuk mengetahui faktor – faktor apa yang mempengaruhi lingkungan
internal
4. Untuk mengetahui penetapan tujuan yang dilakukan pada sistem
informasi akuntansi
5. Untuk mengetahui cara mengidentifikasi kejadian sistem informasi
akuntansi
6. Untuk mengetahui penilaian risiko dan respons risiko terhadap
aktivitas pengendalian sistem informasi akutansi
7. Untuk mengetahui komponen dalam sistem informasi akuntansi
8. Untuk memahami pengawasan dalam sistem informasi akuntansi

6
 BAB II
PEMBAHASAN

A. Mengapa Ancaman Terhadap Sistem Informasi Akuntansi

Hasil dari masalah ini adalah pengendalian terhadap keamanan dan
integritas sistem komputer yang telah menjadi masalah penting. Alasan
masalah keamanan ini meningkat adalah:
1. Meningkatnya jumlah klien / sistem server yang berarti bahwa
informasi yang tersedia tidak mencerminkan jumlah karyawan.
2. LAN dan sistem server mendistribusikan data kebanyakan user dimana
mereka berusaha untuk mengendalikan sentralisasi dari sistem
mainframe
Hampir setiap tahun, lebih dari 60% organisasi mengalami
kegagalan utama dalam mengendalikan keamanan dan integritas sistem
komputer mereka. Alasan untuk kegagalan tersebut meliputi:
1. Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada.
Sebagai contoh Chevron memiliki 35.000 PC
2. Informasi pada jaringan komputer distribusi sulit dikendalikan.
Informasi di Chevron didistribusikan di antara banyaknya sistem dan
ribuan pegawal di seluruh dunia. Setiap sistem dan pegawai
mencerminkan sebuah titik kerentanan pengendalian yang potensial.
3. Pelanggan serta pemasok memiliki akses ke sistem dan data satu sama
lain. Sebagai contoh, Walmart mengizinkan vendor untuk mengakses
databasenya. Bayangkan, masalah kerahasiaan yang dapat terjadi jika
vendor membentuk persekutuan dengan pesaing Walmart.

Organinasi belum melindungi data dengan baik karena :

1. Beberapa perusahaan memandang kehilangan atas informasi penting
sebagai sebuah ancaman yang tidak mungkin terjadi.
2. Implikasi pengendalian atas pemindahan dari sistem komputer
tersentralisasi ke sistem berbasis Internet tidak sepenuhnya dipahami

7
 3. Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah
sumber daya dan melindungi informasi harus menjadi sebuah
ketentuan strategis. Sebags co sebuah perusahaan kehilangan jutaan
dolar karena ia tidak melindungi trammin Seorang pesaing menyadap
ke dalam sambungan telepon perusahaan dan mendap faks desain
produk baru.
4. Produktivitas dan penekanan biaya memotivasi manajemen untuk
mengabaikan ukuran pengendalian yang memakan waktu.

Segala potensi kejadian yang merugikan disebut sebagai ancaman

(threat) atau sebagai kejadian (event), Kerugian uang yang potensial dari
sebuah ancaman disebut paparan atau dampak. Kemungkinan bahwa
paparan (exposure) atau dampak (impact) akan terjadi disebut sebagai
kemungkinan (likelihood) ancaman.

B. Ikhtisar Konsep Pengendalian

Pengendalian internal (internal control) adalah proses yang
dijalankan untuk menyediakan jaminan memadai bahwa tujuan-tujuan
pengendalian berikut telah dicapai.
1. Mengamankan aset mencegah atau mendeteksi perolehan, penggunaan,
atau penempatan yang tidak sah.
2. Mengelola catatan dengan detail yang baik untuk melaporkan aset
perusahaan secara akurat dan wajar
3. Memberikan informasi yang akurat dan reliabel.
4. Menyiapkan laporan keuangan yang sesuai dengan kriteria yang
ditetapkan.
5. Mendorong dan memperbaiki efisiensi operasional.
6. Mendorong ketaatan terhadap kebijakan manajerial yang telah
ditentukan.
7. Mematuhi hukum dan peraturan yang berlaku.
Pengendalian internal adalah sebuah proses karena ia menyebar ke
seluruh aktivn pengoperasian perusahaan dan merupakan bagian integral

8
dari aktivitas manajemen. Selain itu, sistem pengendalian internal
memiliki keterbase yang melekat, seperti kelemahan terhadap kekeliruan
dan kesalahan sederhana, pertimbang dan pembuatan keputusan yang
salah, pengesampingan manajemen, serta kolusi. Pengendalian internal
menjalankan tiga fungsi penting sebagai berikut:
1. Pengendalian preventif (preventive control), mencegah masalah
sebelum timbul Contohnya, merekrut personel berkualifikasi,
memisahkan tugas pegawai, dan mengendalikan akses fisik atas aset
dan informasi.
2. Pengendalian detektif (detective control, menemukan masalah yang
tidak terelakkan. Contohnya, menduplikasi pengecekan kalkulasi dan
menyiapkan rekonsiliasi bank serta neraca saldo bulanan
3. Pengendalian korektif (corrective control), mengidentifikasi dan
memperbaiki masalah serta memperbaiki dan memulihkannya dari
kesalahan yang dihasilkan Contobuys, menjaga salinan backup pada
file, perbaikan kesalahan entri data, dan pengumpulan ulang transaksi-
transaksi untuk pemrosesan selanjutnya.

Pengendalian internal sering kah dipisahkan dalam di kategori sebagai

berikut
1. Pengendalian umum (general contral), memastikan lingkungan
pengendalian sebuah organisasi stabil dan dikelola dengan baik
Contohnya, keamanan infrastruktur TI dan pengendalian pembelian
perangkat lunak, pengembangan, dan pemeliharaan.
2. Pengendalian aplikasi (application control), mencegah, mendeteksi,
dan mengoreksi kesalahan transaksi serta penipuan di dalam program
aplikasi Pengendalian ini fokus terhadap ketepatan, kelengkapan,
validitas, serta otorisasi data yang dapat, dimasukkan,diproses,
disimpan, ditransmisikan ke sistem lain, dan dilaporkan.
SOX merupakan undang – undang berorientasi bisnis yang paling
penting dalam 80 tahun terakhir Undang undang ini mengubah cara dewan

9
direksi dan masa beroperasi serta memiliki dampak yang kuat terhadap
CPA yang mengaudit mereka Berikut beberapa aspek terpenting SOX:
1. Public Company Accounting Oversight Board (PCAOB). Tujuan SOX
menciptakan Public Company Accounting Oversight Board (PCAOB)
adalah untuk mengendalikan profesi pengauditan (muditing). Public
Company Accounting Oversight Board (PCAOP menetapkan serta
memberlakukan pengauditan, pengendalian kualitas, e independensi
dan standar-standar audit lainnya.
2. Aturan-aturan baru bagi para auditor. Auditor harus melaporkan
informasi tertentu ke komite audit perusahaan, seperti kebijakan dan
praktik akuntansi yang penting
3. Peran baru bagi komite audit. Anggota komite audit harus berada di
dewan direksi perusahaan dan independen dari perusahaan, Seorang
anggota komite audit harus seorang pakar keuangan. Komite audit
mempekerjakan, mengompensasi, dan mengawasi par auditor yang
melapor langsung kepada mereka.
4. Aturan baru bagi manajemen, SOX mengharuskan CEO dan CFO
untuk menyatakan bahwa (1) pernyataan dan pengungkapan keuangan
disajikan dengan wajar, ditinis oleh manajemen, dan tidak
menyesatkan dan bahwa (2) para auditor diberitahukie tentang semua
kelemahan pengendalian internal material dan diberitahukan juga tenta
penipuan. Jika manajemen dengan sengaja melanggar aturan tersebut,
mereka dapa dituntut dan didenda. atas kondisi keuangan mereka
dengan tepat waktu.
5. Ketentuan baru pengendalian internal. Bagian 404 mengharuskan
perusahaan untuk menerbitkan sebuah laporan pendukung laporan
keuangan yang menyatakan bahwa manajemen bertanggung jawab
untuk menetapkan dan memelihara sistem pengendalian internal yang
memadai.
Setelah SOX dikeluarkan, SEC memerintahkan bahwa manajemen
harus :

10
 1. Mendasarkan evaluasinya pada sebuah kerangka pengendalian yang
berlaku. Kerangka yang paling mungkin, diformulasikan oleh
Committee of Sponsoring Organization (COSO).
2. Mengungkap semua kelemahan pengendalian internal material
3. Menyimpulkan bahwa sebuah perusahaan tidak memiliki pengendalian
internal pelaporan keuangan yang efektif jika terdapat kelemahan
material.

C. Kerangka Pengendalian
Bagian ini membahas beberapa kerangka yang digunakan untuk
mengembangkan sistem pengendalian internal
1. Kerangka COBIT
Information System Audit and Control Association (ISACA),
mengembangkan kerangka Control Objectives For Information and
Related Technology (COBIT). COBIT menggembangkan standar-
standar pengendalian diri banyak sumber berbeda ke dalam sebuah
kerangka tunggal yang memungkinkan (1) manajemen untuk membuat
tolak ukur praktik-praktik keamanan dan pengendalian lingkungan. TI;
(2) para pengguna layanan TI dijamin dengan adanya keamanan dan
pengendalian yang memadai; dan (3) para auditor memperkuat opini
pengendalian internal dan mempertimbangkan masalah keamanan TI
dan pengendalian yang dilakukan.
Control Objectives For Information and Related Technology
(COBIT) adalah suatu kerangka kerja (framework) kesatuan
internasional yang menghimpun seluruh standar teknologi informasi
(TI) global utama, termasuk ITIL, CMMI, dan ISO 17799. COBIT 5
menjadikan TI mampu dikelo dan di tata dalam lingkup menyeluruh
untuk semua perusahaan, mengarahkan keseluruhan proses bisnis dan
area tanggung jawab fungsional TI berdasarkan pertimbangan

11
kepentingan pihak internal dan eksternal terkait TI.COBIT 5 memakai
istilah enabler terhadap segala sesuatu yang dapat membantu
tercapainya tujuan perusahaan.
Kerangka COBIT 5 menjelaskan praktik-prajtik terbaik untuk tata
kelola dan manajemen TI yang efektif. Selain itu, COBIT 5 di
dasarkan pada lika prinsip utama tata kelola dan manajemen TI.
Prinsip-prinsip berikut ini memungkinkan dalam membantu organisasi
membangun sebuah tata kelola yang efektif dan kerangka manajemen
yang melindungi investasi pemangku kepentingan dan menghasilkan
sistem informasi terbaik.
1) Memenuhi keperluan pemangka kepentingan. Kerangka COBIT 5
membantu para pengguna mengatur proses dan prosedur bisnis
untuk menciptakan sebuah sistem informasi yang menambah nilai
untuk pemangku kepentingan. Ia juga memungkinkan perusahaan
menciptakan keseimbangan yang tepat di antara risiko dan
penghargaan.
2) Mencakup perusahaan dari ujung ke ujung. Kerangka COBIT 5
tidak hanya berfokus pada operasi TI, ia juga mengintegrasikan
semua fungsi dan proses TI ke dalam fungsi serta proses
keseluruhan perusahaan.
3) Mengajukan sebuah kerangka terintegrasi dan tunggal. Kerangka
COBIT 5 dapat disejajarkan pada tingkatan yang tinggi dengan
standar dan kerangka lainnya, sehingga sebuah kerangka yang
menyeluruh bagi tata kelola TI dan manajemen diciptakan.
4) Memungkin pendekatan holistic. Kerangka COBIT 5 memberikan
sebuah pendekatan holistik yang menghasilakn tata kelola dan
manajemen yang efektik dari semua fungsi TI di perusahaan.
5) Memisahkan tata kelola dari manajemen. Kerangka COBIT 5
membedakan antara tata semua fungsi TI di perusahaan, kelola dan
perusahaan.

12
 Tujuan tata kelola adalah menciptakan nilai dengan
mengoptimalkan penggunaan sumber daya organisasi untuk
menghasilkan manfaat yang diinginkan dengan cara yang efektif
mengatasi risiko. Tata kelola adalah tanggung jawab dewan direksi
yang (1) mengevaluasi keperluan pemangku kepentingan untuk
mengindetifikasi tujuan, (2) memberikan arahan bagi manajemen
dengan memprioritaskan tujuan, dan (3) mengawasi kinerja
manajemen.
Manajemen bertanggung jawab atas perencanaan, pembangunan,
pelaksanaan, dan pengawasan aktivitas serta proses yang digunakan
oleh organisasi untuk mengejar tujuan atau tujuan yang ditetapkan
dewan direksi. Manajemen juga secara berkala memberikan umpan
balik bagi dewan direksi yang dapat digunakan untuk mengawasi
pencapaian tujuan organis dan, jika diperlukan, mengevaluasi ulang
serta mungkin memodifikasi tujuan tersebut.
Tata kelola dan manajemen TI merupakan proses berkelanjutan.
Dewan direksi dan manajemen mengawasi aktivitas organisasi dan
menggunakan umpan balik tersebut untuk memodifikasi rencana dan
prosedur yang ada atau mengembangkan strategi baru untuk
merespons perubahan-perubahan di dalam tujuan bisnis dan
perkembangan baru dalam TI.
COBIT 5 adalah sebuah kerangka komprehensif yang membantu
perusahaan mencapai tujuan tata kelola dan manajemen TI mereka.
Kelengkapan ini adalah salah satu kekuatan COBIT 5 dan
menekankan pada penerimaan internasional yang berkembang sebagai
sebuah kerangka untuk mengelola serta mengendalikan sistem
informasi.
Model COBIT 5 tentang referensi proses mengidentifikasi lima
proses tata kelola (merujuk pada mengevaluasi, mengarahkan,
mengawasi-evaluate, direct, dan monitor--atau EDM) dan 32 proses

13
 manajemen. Tiga puluh dua proses manajemen dibagi ke dalam empat
domain sebagai berikut:
1) Menyelaraskan, merencanakan, dan mengatur (align, plan, dan
organize-- APO)
2) Membangun, mengakuisisi, menerapkan (build, acquire, dan
implement-BAI)
3) Mengantar, melayani, mendukung (deliver, service, dan support-
DSS)
4) Mengawasi, mengevaluasi, menilai (monitor, evaluate, dan assess-
MEA)
2. Kerangka pengendalian internal COSO
Committee of Sponsoring Organizations (COSO) terdiri dari
Asosiasi Akuntansi Amerika (American Accounting Association),
AICPA, Ikatan Auditor Internal (Institute of Internal Auditors), Ikatan
Akuntan Manajemen (Institute of Management Accountants), dan
Ikatan Eksekutif Keuangan (Financial Executives Institute). Pada
1992, COSO menerbitkan Pengendalian Internal (Internal Control).
Kerangka Terintegrasi (Integrated Framework)-- IC, yang diterima
secara luas sebagai otoritas untuk pengendalian internal yang
digabungkan ke dalam kebijakan, peraturan, dan regulasi yang
digunakan untuk mengendalikan aktivitas bisnis.
Pengendalian secara menyeluruh adalah pengendalian internal
yang mencakup semua aspek di dalam organisasi. Oleh sebab itu, perlu
adanya pengintegrasian konsep-konsep pengendalian. Konsep
pengendalian yang terintegrasi disebut kerangka kerja pengendalian.
Saat ini, kerangka pengendalian COSO menjadi salah satu kerangka
yang banyak digunakan oleh perusahaan dan organisasi nonprofit.
Berdirinya COSO diawali dari sejarah panjang kebutuhan kerangka
kerja pengendalian atas beragam peristiwa di sektor bisnis yang cukup
penting, antara lain sebagai berikut:

14
1) Pada 1929 terjadi kejatuhan pasar Wall Street yang memukul
perekonomian Amerika dengan dampak yang cukup luas.
2) Pada 1934 dibentuk US Security and Exchange Commission
(SEC). Perusahaan publik saat itu dituntut untuk mengumumkan
hasil audit tahunan.
3) Pada 1987 Treadway Commission meminta Coopers & Lybrand
sebagai salah satu kantor akuntan publik ternama untuk
menyelesaikan proyek pembuatan kerangka kerja pengendalian
akuntansi seiring terjadinya korupsi pada praktik akuntansi pada
pertengahan tahun 1970-an.
4) Pada 1992 COSO menerbitkan Pengendalian Internal-Kerangka
Kerja. Terintegrasi (Internal Control-Integrated Framework)
volume keempat dengan pertimbangan telah banyak pengguna
(82%) yang mempercayai konsep COSO menurut survei CFO
Magazine
COSO menyarankan sebuah model yang telah menjadi standar
internasionalSemua organisasi besar membutuhkan kerangka kerja
pengendalian yang formal sebagai dasar sistem pengendalian internal
merekaKriteria yang tepat dibutuhkan untuk mengevaluasi
pengendalianAuditor internal harus memastikan apakah manajemen
telah memiliki kriteria yang tepat untuk mempertimbangkan apakah
tujuan telah tercapaiJika ya, auditor harus menggunakan kriteria yang
sama dalam evaluasi merekaJika tidak, auditor internal harus bekerja
sama dengan manajemen untuk menentukan kriteria evaluasi yang
tepat.
Diperlukan kerangka kerja pengendalian dalam rangka
menciptakan lingkungan pengendalian yang memadaiBeberapa
pendapat menyatakan bahwa lingkungan pengendalian memberikan
inspirasi kepada organisasi untuk menyusun kerangka kerja yang
tepat. Kerangka kerja memberi panduan kepada lingkungan
pengendalian sehingga memungkinkan organisasi mengembangkan

15
 strategi pengendaliannya dalam rangka merespons penaksiran
berbagai risiko dalam mencapai tujuan.
Penaksiran risiko dan perancangan pengendalian akan dipisah jika
tidak ada kerangka kerja pengendalian yang jelasPemisahan penilaian
risiko dan perancangan pengendalian tidak akan memberikan manfaat
dan nilai yang tinggi bagi pengendalian internal organisasi.
Kerangka kerja ini menyediakan tiga kategori tujuan yang
memungkinkan organisasi berfokus pada beragam aspek pengendalian
internal berikut:
1) Tujuan operasi (operations objectives). Tujuan ini berkenaan
dengan efektivitas dan efisiensi kegiatan entitas, termasuk tujuan
kinerja operasional dan keuangan, serta pemeliharaan aset dari
kerugian.
2) Tujuan pelaporan (reporting objectives). Tujuan ini berkaitan
dengan pelaporan keuangan dan non-keuangan internal dan
eksternal serta mencakup aspek reliabilitas, ketepatan waktuan
transparansiatau aspek lain sebagaimana ditetapkan oleh
pemerintah, diakui oleh pembuat standar, atau entitas pembuat
kebijakan.
3) Tujuan kepatuhan (compliance objectives). Tujuan ini berkaitan
dengan ketaatan atas hukum dan aturan di mana entitas menjadi
subjek.
3. Kerangka manajemen risiko perusahaan COSO
Untuk memperbaiki proses manajemen risiko, COSO
mengembangkan kerangka pengendalian kedua yang disebut
Manajemen Risiko Perusahaan (Enterprise Risk Management)-
Kerangka Terintegrasi (Integrated Framework)- ERMKerangka ERM
adalah proses yang digunakan oleh dewan direksi dan manajemen
untuk mengatur strategi, mengidentifikasi kejadian yang mungkin
memengaruhi entitas, menilai dan mengelola risiko, serta menyediakan

16
 jaminan memadai bahwa perusahaan mencapai tujuan dan sasarannya.
Prinsip-prinsip dasar di balik ERM adalah sebagai berikut:
• Perusahaan dibentuk untuk menciptakan nilai bagi pemiliknya
• Manajemen harus memutuskan seberapa banyak
ketidakpastian yang akan ia terima saat menciptakan nilai
• Ketidakpastian menghasilkan risiko, yang merupakan
kemungkinan bahwa sesuatu secara negatif memengaruhi
kemampuan perusahaan untuk menghasilakn atau
mempertahankan nilai.
• Ketidakpastian menghasilkan peluang, yang merupakan
kemungkinan bahwa sesuatu secara positif mempengaruhi
kemampuan perusahaan untuk menghasilkan atau
mempertahankan nilai
• Ketidakpastian ERM dapat mengelola ketidakpastian serta
menciptakan dan mempertahankan nilai.
4. Kerangka manajemen risiko perusahaan versus kerangka
pengendalian internal
Kerangka IC telah diadopsi secara luas sebagai cara untuk
mengevaluasi pengendalian internal, seperti yang ditentukan oleh
SOXKerangka ERM yang lebih komprehensif menggunakan
pendekatan berbasis risiko daripada berbasis pengendalian. ERM
menambahkan tiga elemen umbahan ke kerangka IC COSO: penetapan
tujuan, pengidentifikasian kejadian yang mungkin memengaruhi
perusahaan, dan pengembangan sebuah respons untuk risiko yang
dinilai. Hasilnya, pengendalian bersifat fleksibel dan relevan karena
mereka ditautkan dengan tujuan organisasi terkini. Model ERM juga
mengakui bahwa risiko, selain dikendalikan, dapat pula diterima,
dihindari, dibuat berjenis-jenis, dibagi, atau ditransfer.
Jika seseorang dapat memahami model ERM, maka akan lebih
mudah untuk memahami model IC karena model IC adalah 5 dari 8
komponen model ERM. Lebih sulit untuk mempelajari model IC

17
 terlebih dahulu, kemudian baru ke model ERM karena pengguna bisa
jadi tidak familier dengan tiga komponen tambahan.

D. Lingkungan Internal
Lingkungan internal (internal environment), atau budaya
perusahaan, memengaruhi cara organisasi menetapkan strategi dan
tujuannya; membuat struktur aktivitas bisnis; dan mengidentifikasi,
menilai, serta merespons risiko. Ini adalah fondasi dari seluruh komponen
ERM lainnya. Lingkungan internal yang lemah atau tidak efisien sering
kali menghasilkan kerusakan di dalam manajemen dan pengendalian
risiko. Hal tersebut secara esensial merupakan hal yang sama dengan
lingkungan pengendalian pada kerangka IC.
Enron adalah sebuah contoh dari ketidakefektifan lingkungan
internal yang mengakibatkan kegagalan finansial. Meskipun Enron
tampaknya memiliki sistem ERM yang efektif, ternyata lingkungan
internalnya tidak efektif. Manajemen terlibat dalam praktik bisnis yang
berisiko serta meragukan, dan dewan direksi tidak pernah
mempertanyakannya. Manajemen salah menyajikan kondisi keuangan
perusahaan, kehilangan keyakinan para pemangku kepentingan, dan
akhirnya mengajukan kebangkrutan. Sebuah lingkungan internal
mencakup hal-hal sebagai berikut:
1. Filosofi manajemen, gaya pengoperasian, dan selera risiko.
Secara keseluruhan, sebuah organisasi memiliki sebuah filosofi
atau kepercayaan dan sikap yang dianut bersama, tentang risiko yang
memengaruhi kebijakan, prosedur, komunikasi lisan dan tulisan, serta
keputusan. Perusahaan juga memiliki selera risiko (risk appetite). yaitu
jumlah risiko yang bersedia diterima oleh sebuah perusahaan untuk
mencapai tujuan dan sasarannya. Untuk menghindari risiko yang tidak
semestinya, selera risiko harus selaras dengan strategi perusahaan.
Semakin bertanggung jawab filosofi dan gaya pengoperasian
manajemen, serta makin jelas mereka berkomunikasi, maka semakin

18
 besar kemungkinan para pegawai akan bertindak dengan tanggung
jawab, lika manajemen hanya memiliki sedikit perhatian pada
pengendalian internal dan manajemen risiko, maka pegawai akan
menjadi kurang rajin untuk mencapai tujuan pengendalian. Budaya di
Springer's Lumber & Supply menjadi sebuah contoh. Maria Pilier
menemukan bahwa garis wewenang dan tanggung jawab ditetapkan
dengan longgar dan mencurigai bahwa manajemen mungkin telah
menggunakan "akuntansi kreatif" untuk meningkatkan kinerja
perusahaan. Jason Scott menemukan bukti atas praktik pengendalian
internal yang buruk dalam fungsi pembelian dan utang. Dua kondisi
tersebut mungkin berkaitan; sikap longgar manajemen mungkin telah
menyebabkan ketidakpedulian departemen pembelian terhadap praktik
pengendalian internal yang baik.
Filosofi manajemen, gaya pengorperasian, dan selera risiko dapat
dinilai dengan mnejawab pertanyaan-pertanyaan sperti berikut:
a) Apakah manajemen mengambil risiko bisnis yang tidak
semestinya untuk mencapai tujuan atau apakah manajemen
menilai risiko dan manfaat potensial sebelum bertindak?
b) Apakah manajemen memanipulasi ukuran-ukuran, seperti
pendapatan bersih sehingga mereka terlihat baik?
c) Apakah manajemen menekan para pegawai untuk mencapai hasil
terlepas dari metodenya atau apakah manajemen menuntut
perilaku yang etis? Dengan kata lain, apakah pada akhirnya hal
tersebut membuahkan hasil?
2. Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi.
Organisasi membutuhkan sebuah budaya yang menekankan
integritas dan komitmen pada nilai-nilai etis serta kompetensi. Etika
berbayar-standar-standar etis merupakan blinis yang baik. Integritas
dimulai dari puncak kepemimpinan dengan para pegawai perumaha
mengadopsi sikap manajemen puncak tentang risiko dan pengendalian.
Sebuah pesan yang kuat tersampaikan ketika CEO yang dihadapkan

19
dengan sebuah keputusan yang sulit, membuat keputusan yang tepat
secara etis. Perusahaan mendukung integritas dengan:
a) mengajarkan dan mensyaratkannya secara aktif-sebagai contoh,
menekankan bahwa laporan yang jujur lebih penting dari pada
laporan yang disukai;
b) menghindari pengharapan atau insentif yang tidak realistis,
sehingga memotivasi tindakan dusta atau ilegal, seperti praktik
penjualan yang terlampau agresif, taktik negosiasi yang tidak
wajar atau tidak etis, dan pemberian bonus yang berlebihan
berdasarkan hasil keuangan yang dilaporkan;
c) memberikan penghargaan atas kejujuran serta memberikan label
verbal pada perilaku jujur dan tidak jujur secara konsisten. Jika
perusahaan menghukum atau memberikan penghargaan atas
kejujuran tanpa melabelinya, atau jika standar kejujuran tidak
konsisten maka para pegawai akan menunjukkan perilaku moral
yang tidak konsisten;
d) mengembangkan sebuah kode etik tertulis yang menjelaskan
secara eksplisit perilaki perilaku jujur dan tidak jujur. Sebagai
contoh, kebanyakan agen pembelian yang setuju menerima $5,000
dari seorang pemasok, maka agen pembelian tersebut tidaklah
jujur. tetapi jika berupa sebuah liburan akhir pekan, maka masih
belum jelas. Satu penyebab utama dari ketidakjujuran berasal dari
rasionalitas situasi yang buram dan memungkinkan kriteria
kelayakan untuk menggantikan kriteria benar versus salah.
Perusahaan sebaiknya memastikan bahwa pegawai telah membaca
dan memahami kode etik;
e) mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau
ilegal dan mendisiplinkan pegawai yang diketahui tidak
melaporkannya. Semua tindakan tidak jujur harus diselidiki dan
pegawai yang tidak jujur diberhentikan atau ditindaklanjuti untuk
menunjukkan bahwa perilaku tersebut tidak diperbolehkan;

20
 f) membuat sebuah komitmen untuk kompetensi. Perusahaan
seharusnya mempekerjakan pegawai yang kompeten dengan
kebutuhan pengetahuan, pengalaman, pelatihan, dan kemampuan
yang diperlukan
3. Pengawasan pengendalian internal oleh dewan direksi
Dewan direksi yang terlibat mewakili pemangku kepentingan dan
memberikan tinjauan independen manajemen yang bertindak seperti
sebuah pengecekan dan penyeimbangan atas tindakan tersebut. SOX
mensyaratkan perusahaan publik untuk memiliki sebuah komite audit
(audit committee) dari dewan luar dan independen. Komite audit
bertanggung jawab atas pelaporan keuangan, kepatuhan terhadap
peraturan, pengendalian internal, serta perekrutan dan pengawasan baik
auditor internal maupun eksternal, yang melaporkan seluruh kebijakan
dan praktik akuntansi penting kepada komite tersebut. Para dewan
harus menyetujui strategi perusahaan dan meninjau kebijakan-
kebijakan keamanan.
4. Struktur organisasi
Sebuah struktur organisasi perusahaan memberikan sebuah
kerangka untuk operasi perencanaan, pelaksanaan, pengendalian, dan
pengawasan. Aspek-aspek penting dari struktur organisasi
menyertakan hal-hal sebagai berikut:
a) Sentralisasi atau desentralisasi wewenang.
b) Hubungan pengarahan atau matriks pelaporan.
c) Organisasi berdasarkan industri, lini produk, lokasi, atau jaringan
pemasaran.
d) Bagaimana alokasi tanggung jawab memengaruhi ketentuan
informasi.
e) Organisasi dan garis wewenang untuk akuntansi, pengauditan, dan
fungsi sistem informasi.
f) Ukuran dan jenis aktivitas perusahaan

21
 Struktur organisasi yang rumit atau tidak jelas dapat
mengindikasikan masalah yang serius. Sebagai contoh, ESM, sebuah
perusahaan makelar, menggunakan struktur organisasi multilapisan
untuk menyembunyikan penipuan sebesar $300 juta. Manajemen
menyembunyikan kas curian dalam laporan keuangan mereka
menggunakan penerimaan fiktif dari sebuah perusahaan terkait.
Pada dunia bisnis masa kini, struktur hierarkis, dengan lapisan-
lapisan manajemen yang saling mengawasi, tengah digantikan dengan
organisasi datar dengan kelompok-kelompok kerja arahan sendiri
yang membuat keputusan tanpa memerlukan banyak lapisan
persetujuan. Penekanannya lebih pada perbaikan berkelanjutan
daripada tinjauan dan penilaian periodik. Struktur organisasi ini
mengubah dampak jenis dan sifat pengendalian yang digunakan.
5. Metode penetapan wewenang dan tanggung jawab
Manajemen harus memastikan para pegawai memahami sasaran
dan tujuan entitas, menetapkan wewenang, tanggung jawab untuk
sasaran dan tujuan baik untuk departemen maupun individu, memilih
individu bertanggung jawab untuk mencapainya, serta mendorong
penggunaan inisiatif untuk menyelesaikan masalah. Hal ini terutama
penting untuk mengidentifikasi siapa yang bertanggung jawab untuk
kebijakan keamanan informasi perusahaan.
Wewenang dan tanggung jawab ditetapkan dan dikomunikasikan
menggunakan deskripsi pekerjaan formal, pelatihan pegawai, jadwal
pengoperasian, anggaran, kode etik, serta kebijakan dan prosedur
tertulis. Kebijakan dan prosedur manual (policy and procedures
manual) menjelaskan praktik bisnis yang sesuai, mendiskripsikan
pengetahuan dan pengalaman yang dibutuhkan, menjelaskan prosedur
dokumen, menjelaskan cara menangani transaksi, dan mendata sumber
daya yang disediakan untuk melaksanakan tugas-tugas tertentu.
Pedoman ini menyertakan bagan akun-akun dan salinan formulir serta
dokumen. Pedoman tersebut merupakan referensi dalam pekerjaan

22
 yang membantu bagi para pegawai yang telah ada sekaligus sebuah
alat yang bermanfaat untuk pelatihan pegawai baru
6. Standar-standar sumber daya manusia yang menarik,
mengembangkan, dan mempertahankan individu yang kompeten
Salah satu dari kekuatan pengendalian terbesar adalah kejujuran
pegawai; salah satu dari kelemahan pengendalian terbesar adalah
ketidakjujuran pegawai. Kebijakan sumber daya manusia (SDM) dan
praktik-praktik yang mengatur kondisi kerja, insentif pekerjaan, dan
kemajuan karier dapat menjadi kekuatan dalam mendorong kejujuran,
efisiensi, dan layanan yang loyal. Kebijakan SDM harus berisi
tingkatan keahlian yang diperlukan, perilaku etis, dan integritas yang
diperlukan. Berikut ini merupakan kebijakan dan prosedur SDM yang
penting.
7. Pengaruh eksternal
Para pegawai seharusnya dipekerjakan berdasarkan latar belakang
pendidikan, pengalaman, pencapaian, kejujuran dan integritas, serta
persyaratan kerja yang sesuai. Seluruh personel perusahaan, termasuk
kru kebersihan dan pegawai sementara, harus mematuhi kebijakan
perekrutan. Beberapa pelaku penipuan menyamar sebagai pesuruh atau
pegawai sementara untuk mendapatkan akses fisik ke komputer
perusahaan.
Kualifikasi pelamar dapat dievaluasi menggunakan resume, surat
referensi, wawancara, dan pengecekan latar belakang. Pengecekan latar
belakang (background check) yang teliti memuat pembicaraan
berdasarkan referensi, pengecekan catatan kriminal, pemeriksaan
catatan kredit, dan melakukan verifikasi pendidikan serta pengalaman
kerja. Banyak pelamar memasukkan informasi yang palsu pada
lamaran atau resumenyaPhilip Crosby Associates (PCA)
mempekerjakan John Nelson, MBA, CPA, tanpa melakukan
pengecekan latar belakang. Pada kenyataannya, gelar CPA dan
referensi menakjubkan miliknya adalah palsu. Nelson sebenarnya

23
 adalah Robert W. Liszewski, yang telah menjalani 18 bulan penjara
karena menggelapkan $400.000. Pada saat PCA mengetahui hal ini,
Liszewski telah menggelapkan 10.000 menggunakan transfer telegram
ke sebuah perusahaan tipuan, didukung dengan tanda tangan palsu
pada kontrak dan dokumen yang sah.
Banyak perusahaan mempekerjakan ahli pengecekan latar belakang
karena beberapa pelamar membeli gelar palsu dari operator situs yang
"memvalidasi" pendidikan palsu ketika perusahaan menelepon.
Beberapa pelamar bahkan membayar hacker untuk membobol ke
dalam database perusahaan guna memasukkan kelulusan atau data nilai
palsu.
8. Mengompensasi, Mengevaluasi, dan Mempromoikan
Pegawai dengan kompensasi buruk cenderung lebih merasakan
dendam dan tekanan finansial yang dapat memotivasi penipuan.
Pembayaran yang wajar dan insentif bonus yang sesuai membantu
memotivasi dan memperkuat kinerja pegawai yang hebatPara pegawai
seharusnya diberi penilaian kinerja periodik untuk membantu mereka
memahami kekuatan dan kelemahan mereka. Promosi seharusnya
didasarkan pada kinerja dan kualifikasi.
9. Pelatihan
Program pelatihan seharusnya mengajarkan para pegawai baru
akan tanggung jawab mereka; tingkat kinerja dan perilaku yang
diharapan; serta kebijakan dan prosedur, budaya, dan gaya
pengoperasian perusahaan. Para pegawai dapat dilatih dengan
melakukan diskusi tidak resmi dan pertemuan resmi, penerbitan memo
periodik, pendistribusian panduan dan kode etik profesional tertulis,
penyebarluasan laporan perilaku tidak etis dan konsekuensinya, serta
mempromosikan program pelatihan keamanan dan penipuan. Pelatihan
yang berkelanjutan membantu para pegawai menghadapi tantangan-
tantangan baru, tetap berada di depan dalam persaingan, beradaptasi

24
 dalam perubahan teknologi, dan secara efektif menghadapi lingkungan
yang berubah.
Penipuan mungkin tidak akan terjadi ketika para pegawai
mempercayai bahwa keamanan adalah urusan setiap orang, bangga
akan perusahaan mereka dan protektif terhadap asetnya, serta
mengakui keperluan untuk melaporkan penipuan. Budaya semacam itu
harus diciptakan, diajarkan, dan dipraktikkan. Perilaku yang dapat dan
tidak dapat diterima harus dijelaskan. Banyak profesional komputer
melihat tidak ada yang salah dengan penggunaan sumber daya
komputer perusahaan untuk mendapatkan akses tidak sah ke database
dan melihatnya. Konsekuensi dari perilaku tidak etis (teguran,
pemberhentian, dan penuntutan) harus diajarkan dan diperkuat.
10. Pengelolaan Para Pegawai Yang Tidak Puas
Beberapa pegawai yang tidak puas, membalas dendam dengan
tindakan yang dirasa salah, dan melakukan penipuan atau menyabotase
sistem. Perusahaan membutuhkan prosedur untuk mengidentifikasi
pegawai yang tidak puas dan membantu mereka mengatasi perasaan itu
atau memindahkan mereka dari pekerjaan yang sensitif.
Sebagai contoh, sebuah perusahaan dapat memilih untuk
menetapkan sarana keluhan dan menyediakan konseling
pegawaiMembantu para pegawai mengatasi masalah mereka tidaklah
mudah untuk dilakukan, dengan demikian, karena sebagian besar
pegawai ketakutan apabila menyampaikan perasaan mereka yang dapat
mengakibatkan konsekuensi yang negatif.
11. Pemberhentian
Para pegawai yang diberhentikan harus segera dipindahkan dari
pekerjaan yang sensitif dan ditolak aksesnya ke sistem informasi.
Seorang pegawai yang diberhentikan menyalakan sebuah pemantik
butana di bawah pendeteksi asap yang ditempatkan di luar ruang
komputer. Pemantik meledakkan sebuah sistem penyiram yang
menghancurkan sebagian besar perangkat keras komputer.

25
12. Liburan dan Rotasi Tugas
Skema penipuan yang mensyaratkan perhatian pelaku yang
berkelanjutan terungkap ketika pelaku beristirahat. Melakukan rotasi
tugas pegawai secara periodik dan membuat pegawai mengambil
liburan dapat mencapai hasil yang sama. Sebagai contoh, FBI
menggerebek sebuah perjudian dan menemukan bahwa Roswell
Steffen, yang berpenghasilan $11.000 setahun, tengah
mempertaruhkan $30.000 dalam sehari untuk balap kuda. Bank tempat
ia bekerja menemukan bahwa ia menggelapkan dan mempertaruhkan
$1,5 juta selama lebih dari periode tiga tahun. Seorang pecandu judi,
Steffen meminjam $5.000 untuk mempertaruhkan sebuah "hal pasti"
yang tidak berjalan dengan baik. Dia menggelapkan dengan jumlah
yang terus meningkat untuk sebuah upaya agar mengembalikan uang
yang dia telah "pinjam". Skema Steffen sederhana: dia mentransfer
uang dari rekening yang tidak aktif ke rekeningnya sendiri.
Jika seseorang memprotes, Steffen sebagai kepala teller dengan
kewenangannya, untuk mengatasi jenis masalah seperti ini, akan
menggantikan uang dari orang yang memprotes dengan mengambil
dari rekening tidak aktif lainnya. Ketika ditanyai setelah
penahanannya, bagaimana cara penipuan bisa dapat dicegah, Steffen
mengatakan bahwa bank bisa menggabungkan liburan dua minggu
dengan rotasi selama beberapa minggu untuk fungsi pekerjaan lain.
Dengan mengambil langkah-langkah bank tersebut, penggelapan
Steffen, yang memerlukan kehadirannya secara fisik di bank, nyaris
mustahil untuk diungkap.
13. Perjanjian Kerahasiaan dan Asuransi Ikatan Kesediaan
Seluruh pegawai, pemasok, dan kontraktor seharusnya
menandatangani dan mematuhi sebuah perjanjian kerahasiaan.
Asuransi ikatan kesetiaan melingkupi para pegawai kunci yang

26
 melindungi perusahaan terhadap kerugian yang timbul dari tindakan
penipuan yang disengaja.

14. Menuntut dan Memenjarakan Pelaku

Sebagian besar penipuan tidak dilaporkan atau dituntut karena
beberapa alasan:
a) Perusahaan segan untuk melaporkan penipuan karena dapat
menjadi sebuah bencana hubungan publik. Pengungkapan dapat
menguak kerentanan sistem dan menarik lebih banyak penipuan
atau serangan hacker.
b) Penegak hukum dan pengadilan sibuk dengan kriminal kekerasan
serta memiliki lebih sedikit waktu dan ketertarikan pada penipuan
komputer yang tidak menimbulkan kerusakan secara fisik.
c) Menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya,
dan memakan waktu.
d) Banyak petugas penegak hukum, pengacara, dan hakim kurang
memiliki kecakapan komputer yang diperlukan untuk menyelidiki
dan menuntut kejahatan komputer.
e) Hukuman untuk penipuan biasanya ringan. Sebuah contoh terkenal
melibatkan C. Arnold Smith, mantan pemilik San Diego Padres,
yang disebut San Diego Abad Ini. Smith terlibat dalam komunitas
dan membuat kontribusi politis yang besar. Ketika para penyelidik
menemukan bahwa ia telah mencuri $200 juta dari banknya, dia
tidak mengadakan pembelaan, Hukumannya adalah empat tahun
masa percobaan. Dia didenda $30.000, dibayarkan dengan jumlah
$100 per bulan selama 25 tahun tanpa bunga. Smith berusia 71
tahun saat itu. Uang yang digelapkan tersebut tidak pernah
dikembalikan
15. Pengaruh Eksternal
Eksternal meliputi persyaratan-persyaratan yang diajukan oleh
bursa efek, Financial Accounting Standards Board (FASB), PCAOB,

27
 dan SEC. Mereka juga menyertakan persyaratan yang dipaksakan oleh
badan-badan regulasi, seperti bank, utilitas, dan perusahaan asuransi

E. Penetapan Tujuan
Penetapan tujuan adalah komponen ERM yang kedua. Manajemen
menentukan hal yang ingin dicapai oleh perusahaan, sering disebut sebagai
visi atau misi perusahaan. Manajemen menetapkan tujuan pada tingkatan
perusahaan dan kemudian membaginya ke dalam tujuan yang lebih
spesifik untuk subunit perusahaan. Perusahaan menentukan hal yang harus
berjalan dengan benar untuk mencapai tujuan dan menetapkan ukuran
kinerja guna menentukan apakah ukuran-ukuran kinerja tersebut terpenuhi.
Tujuan strategis (strategic objective), merupakan sasaran tingkat
tinggi yang disejajarkan dengan misi perusahaan, mendukungnya, serta
menciptakan nilai pemegang saham. Manajemen seharusnya
mengidentifikasi cara alternatif dalam pencapaian tujuan strategis;
mengidentifikasi dan menilai risiko serta dampak dari setiap alternatif;
memformulasikan strategi perusahaan; dan menetapkan tujuan operasi,
kepatuhan, dan pelaporan.
Tujuan operasi (operation objective), yaitu berhubungan dengan
efektivitas dan efisiensi operasi perusahaan, menentukan cara
mengalokasikan sumber daya. Tujuan ini merefleksikan preferensi,
pertimbangan, dan gaya manajemen serta merupakan sebuah faktor
penting dalam keberhasilan perusahaan. Tujuan operasi bervariasi secara
signifikan, sebuah perusahaan mungkin memutuskan untuk menjadi
pengadopsi awal teknologi, perusahaan lain mungkin mengadopsi
teknologi ketika terbukti andal, dan yang ketiga mungkin mengadopsi
hanya setelah teknologi tersebut telah diterima secara umum.
Tujuan pelaporan (reporting objective) membantu memastikan
ketelitian, kelengkapan, dan keterandalan laporan perusahaan;
meningkatkan pembuatan keputusan; dan mengawasi aktivitas serta
kinerja perusahaan.

28
 Tujuan kepatuhan (compliance objective) membantu perusahaan
mematuhi seluruh hukum dan peraturan yang berlaku. Sebagian besar
tujuan kepatuhan dan banyak tujuan pelaporan dipaksakan oleh entitas
eksternal agar merespons hukum dan peraturan. Seberapa baik sebuah
perusahaan mencapai tujuan kepatuhan dan pelaporan dapat memengaruhi
reputasi perusahaan tersebut secara signifikan.
Selain itu, ERM memberikan jaminan memadai bahwa tujuan
pelaporan dan kepatuhan tercapai karena perusahaan memiliki kendali
terhadapnya. Namun, satu-satunya jaminan memadai yang dapat diberikan
oleh ERM pada tujuan strategis dan operasi yang terkadang merupakan
anugerah terhadap suatu kejadian eksternal yang tidak dapat dikendalikan,
yaitu bahwa manajemen dan direksi diinformasikan secara tepat waktu
atas kemajuan yang dibuat perusahaan dalam mencapai tujuan srategis dan
operasi.

F. Identifikasi Kejadian
Committee of Sponsoring Organizations (COSO) mendefinisikan
kejadian (event) sebagai "sebuah insiden atau peristiwa yang berasal dari
sumber-sumber internal atau eksternal yang memengaruhi implementasi
strategi atau pencapaian tujuan. Kejadian mungkin memiliki dampak
positif atau negatif atau keduanya." Sebuah kejadian menunjukkan
ketidakpastian; mungkin atau tidak mungkin terjadi. Jika terjadi, sulit
untuk diketahui kapan. Sampai terjadi, mungkin sulit untuk menentukan
dampaknya. Ketika terjadi, dapat memicu kejadian yang lain. Kejadian
bisa terjadi secara individu atau secara serentak. Manajemen harus
mencoba untuk mengantisipasi seluruh kemungkinan kejadian positif atau
negatif, menentukan mana yang lebih dan kurang mungkin untuk terjadi,
dan memahami hubungan timbal-balik kejadian.
Sebagai contoh, pertimbangkan bahwa implementasi dari sebuah
sistem pertukaran data elektronik (electronic data interchange-EDI) yang
menciptakan dokumen elektronik, mengirimkan data-data tersebut ke

29
 pelanggan dan pemasok, dan menerima respons elektronik kembali.
Beberapa kejadian yang dapat dialami sebuah perusahaan adalah memilih
teknologi yang tidak sesuai, akses yang tidak sah, kehilangan integritas
data, transaksi yang tidak lengkap, kegagalan sistem, dan sistem yang
tidak kompatibel.
Perusahaan menggunakan beberapa teknik untuk mengidentifikasi
kejadian termasuk penggunaan sebuah daftar komprehensif dari kejadian
potensial, pelaksanaan sebuah analisis internal, pengawasan kejadian-
kejadian yang menjadi penyebab dan titik-titik pemicu, pengadaan seminar
dan wawancara, penggunaan data mining, dan penganalisisan proses-
proses bisnis.

G. Penilaian Risiko Dan Respons Risiko

Manajemen risiko perusahaan (ERM) adalah metodologi yang
melihat manajemen risiko secara strategis dari perspektif keseluruhan
perusahaan atau organisasi. Ini adalah strategi top-down yang bertujuan
untuk mengidentifikasi, menilai, dan mempersiapkan potensi kerugian,
bahaya, bahaya, dan potensi kerugian lainnya yang dapat mengganggu
operasi dan tujuan organisasi dan/atau mengakibatkan kerugian.
1. Memahami Manajemen Risiko Perusahaan (ERM)
Manajemen risiko perusahaan menggunakan pendekatan holistik
dan memerlukan pengambilan keputusan di tingkat manajemen yang
mungkin belum tentu masuk akal untuk masing-masing unit atau
segmen bisnis. Oleh karena itu, alih-alih setiap unit bisnis bertanggung
jawab atas manajemen risikonya sendiri, pengawasan di seluruh
perusahaan lebih diutamakan.
Hal ini juga sering kali melibatkan penyediaan rencana tindakan
risiko bagi seluruh pemangku kepentingan sebagai bagian dari laporan
tahunan. Berbagai industri seperti penerbangan, konstruksi, kesehatan
masyarakat, pembangunan internasional, energi, keuangan, dan
asuransi semuanya telah beralih untuk memanfaatkan ERM.

30
 Oleh karena itu, ERM dapat bekerja untuk meminimalkan risiko di
seluruh perusahaan serta mengidentifikasi peluang unik di seluruh
perusahaan. Berkomunikasi dan berkoordinasi antar unit bisnis yang
berbeda adalah kunci keberhasilan ERM, karena keputusan risiko yang
diambil oleh manajemen puncak mungkin tampak bertentangan dengan
penilaian lokal di lapangan. Perusahaan yang menggunakan ERM
biasanya memiliki tim manajemen risiko perusahaan khusus yang
mengawasi cara kerja perusahaan.
Meskipun praktik dan standar terbaik ERM masih terus
berkembang, praktik dan standar tersebut telah diformalkan melalui
COSO , sebuah kelompok industri yang memelihara dan memperbarui
panduan tersebut untuk perusahaan dan profesional ERM.Perusahaan
yang ramah ERM mungkin menarik bagi investor karena memberikan
sinyal investasi yang lebih stabil.
2. Pendekatan Holistik terhadap Manajemen Risiko
Bisnis modern menghadapi beragam risiko dan potensi bahaya. Di
masa lalu, perusahaan secara tradisional menangani eksposur risiko
mereka melalui setiap divisi yang mengelola bisnisnya sendiri.
Manajemen risiko perusahaan mengharuskan perusahaan untuk
mengidentifikasi semua risiko yang mereka hadapi. Hal ini juga
membuat manajemen memutuskan risiko mana yang harus dikelola
secara aktif. Berbeda dengan risiko yang disembunyikan di seluruh
perusahaan, perusahaan melihat gambaran yang lebih besar ketika
menggunakan ERM.
ERM memandang setiap unit bisnis sebagai "portofolio" dalam
perusahaan dan mencoba memahami bagaimana risiko pada masing-
masing unit bisnis berinteraksi dan tumpang tindih. Hal ini juga
mampu mengidentifikasi faktor risiko potensial yang tidak terlihat oleh
unit mana pun.
Perusahaan telah mengelola risiko selama bertahun-tahun.
Manajemen risiko tradisional bergantung pada setiap unit bisnis yang

31
 mengevaluasi dan menangani risiko mereka sendiri dan kemudian
melaporkannya kembali kepada CEO di kemudian hari. Baru-baru ini,
perusahaan mulai menyadari perlunya pendekatan yang lebih holistik.
Chief risk officer (CRO), misalnya, adalah posisi eksekutif
perusahaan yang diperlukan dari sudut pandang ERM. CRO
bertanggung jawab untuk mengidentifikasi, menganalisis, dan
memitigasi risiko internal dan eksternal yang berdampak pada seluruh
perusahaan. CRO juga berupaya memastikan bahwa perusahaan
mematuhi peraturan pemerintah, seperti Sarbanes-Oxley (SOX), dan
meninjau faktor-faktor yang dapat merugikan investasi atau unit bisnis
perusahaan. Mandat CRO akan ditentukan bersama dengan manajemen
puncak lainnya serta dewan direksi dan pemangku kepentingan
lainnya. Indikasi yang baik bahwa suatu perusahaan menerapkan ERM
yang efektif adalah kehadiran chief risk officer (CRO) atau manajer
berdedikasi yang mengoordinasikan upaya ERM.
3. Komponen Manajemen Risiko Perusahaan
Kerangka kerja manajemen risiko perusahaan COSO
mengidentifikasi delapan komponen inti yang menentukan bagaimana
pendekatan perusahaan dalam menciptakan praktik ERMnya.
a. Lingkungan Internal
Lingkungan internal perusahaan adalah suasana dan budaya
perusahaan di dalam perusahaan yang ditetapkan oleh para
karyawannya. Hal ini mengutamakan selera risiko perusahaan dan
filosofi manajemen mengenai risiko yang timbul. Lingkungan
internal dapat ditentukan oleh manajemen tingkat atas atau dewan
direksi dan dikomunikasikan ke seluruh organisasi, meskipun hal
ini sering kali tercermin melalui tindakan seluruh karyawan.
b. Pengaturan Tujuan
Dalam menentukan tujuannya, suatu perusahaan harus menetapkan
tujuan yang mendukung misi dan tujuan perusahaan. Tujuan-tujuan
ini kemudian harus diselaraskan dengan selera risiko perusahaan.

32
 Misalnya, sebuah perusahaan ambisius yang telah menetapkan
rencana strategis jangka panjang harus menyadari bahwa mungkin
ada risiko internal atau risiko eksternal yang terkait dengan tujuan
mulia tersebut. Sebagai tanggapannya, perusahaan dapat
menyelaraskan langkah-langkah yang akan diambil dengan apa
yang ingin dicapai, seperti mempekerjakan staf pengatur tambahan
untuk bidang ekspansi yang saat ini belum mereka ketahui.
c. Identifikasi Peristiwa
Peristiwa positif mungkin mempunyai dampak besar bagi
perusahaan. Di sisi lain, peristiwa negatif dapat berdampak buruk
pada kemampuan perusahaan untuk terus beroperasi. Panduan
ERM merekomendasikan agar perusahaan mengidentifikasi area
penting dalam bisnis dan kejadian terkait yang mungkin
menimbulkan dampak buruk. Peristiwa berisiko tinggi ini dapat
menimbulkan risiko terhadap operasional (yaitu bencana alam
yang memaksa kantor tutup sementara) atau risiko strategis (yaitu
peraturan pemerintah yang melarang lini produk utama
perusahaan).
d. Tugas beresiko
Selain menyadari apa yang mungkin terjadi, kerangka ERM
merinci langkah penilaian risiko dengan memahami kemungkinan
dan dampak finansial dari risiko. Hal ini tidak hanya mencakup
risiko langsung (yaitu bencana alam yang menyebabkan kantor
tidak dapat digunakan) namun juga risiko sisa (yaitu karyawan
mungkin merasa tidak aman untuk kembali ke kantor). Meskipun
sulit, kerangka ERM mendorong perusahaan untuk
mempertimbangkan pengukuran risiko dengan menilai persentase
perubahan yang terjadi serta dampak terhadap dolar.
4. Respon Resiko
Perusahaan dapat merespons risiko dengan empat cara berikut:

33
 a. Perusahaan dapat menghindari risiko. Hal ini mengakibatkan
perusahaan meninggalkan aktivitas yang menimbulkan risiko
karena perusahaan lebih memilih melupakan manfaat dari aktivitas
tersebut daripada menanggung risiko. Contoh penghindaran risiko
adalah perusahaan menutup lini produk dan menghentikan
penjualan barang tertentu.
b. Perusahaan dapat mengurangi risiko. Hal ini mengakibatkan
perusahaan tetap terlibat dalam aktivitas tersebut namun berupaya
meminimalkan kemungkinan atau besarnya risiko. Contoh
pengurangan risiko adalah perusahaan menjaga lini produk tetap
terbuka tetapi berinvestasi lebih banyak dalam pengendalian
kualitas atau pendidikan konsumen tentang cara menggunakan
produk tersebut.
c. Perusahaan dapat berbagi risiko. Hal ini mengakibatkan
perusahaan bergerak maju sebagaimana adanya dengan profil
risiko aktivitas saat ini. Namun, perusahaan memanfaatkan pihak
ketiga yang independen untuk berbagi potensi kerugian dengan
imbalan sejumlah biaya. Contoh pembagian risiko adalah
pembelian polis asuransi .
d. Perusahaan dapat menerima risiko. Hal ini menyebabkan
perusahaan menganalisis hasil potensial dan menentukan apakah
praktik mitigasi layak dilakukan secara finansial. Contoh
penerimaan risiko adalah perusahaan tetap membuka lini
produknya tanpa melakukan perubahan pada operasi dan
pembagian risiko.
5. Keuntungan dan Kerugian Manajemen Risiko Perusahaan
a. Keuntungan ERM
ERM menetapkan harapan seluruh organisasi seputar budaya
perusahaan. Hal ini mencakup komunikasi yang lebih terbuka
mengenai risiko yang dihadapi perusahaan dan cara
memitigasinya. Hal ini mengurangi risiko yang tidak terduga dan

34
 memberikan arahan yang lebih terarah tentang cara merespons
kejadian tertentu. Selain itu, hal ini dapat menghasilkan kepuasan
karyawan yang lebih besar karena mengetahui ada rencana untuk
melindungi sumber daya perusahaan serta layanan pelanggan yang
lebih baik karena mengetahui cara merespons pelanggan jika
risiko tertentu benar-benar terjadi.
Praktik ERM sering kali disintesiskan oleh laporan risiko standar
yang disampaikan kepada manajemen tingkat atas. Laporan ini
secara ringkas merangkum risiko yang dihadapi perusahaan,
tindakan yang diambil, dan informasi yang diperlukan untuk
pengambilan keputusan. Akibatnya, suatu perusahaan bisa lebih
efisien dalam hal waktunya, terutama mengingat apa yang
diserahkan kepada manajemen tingkat atas
ERM juga mungkin mempunyai dampak positif bagi seluruh
perusahaan terhadap kecerdikan bisnis. ERM dapat
menghilangkan proses yang berlebihan, memastikan penggunaan
staf yang efisien, mengurangi pencurian, atau meningkatkan
profitabilitas dengan lebih memahami pasar apa yang akan
dimasuki.
b. Kekurangan ERM
Ketika sebuah perusahaan membangun praktik ERMnya,
kemungkinan besar perusahaan tersebut akan mempertimbangkan
risiko-risiko yang sudah dikenal yang pernah dihadapinya di masa
lalu. Oleh karena itu, ERM terbatas dalam mengidentifikasi risiko
di masa depan yang tidak disadari oleh organisasi yang mungkin
mempunyai dampak yang lebih merugikan. Dengan cara ini,
beberapa orang mungkin menganggap ERM sebagai hal yang
reaktif karena perusahaan hanya dapat memperkirakan risiko
berdasarkan pengalaman mereka sebelumnya.
ERM juga sangat bergantung pada estimasi dan masukan
manajemen. Hal ini mungkin hampir mustahil untuk diprediksi

35
 secara akurat. Misalnya, jika suatu perusahaan mempunyai
peluang yang sangat kecil untuk meramalkan terjadinya pandemi
COVID-19, akankah perusahaan dapat menghitung secara akurat
dampak fiskal dari penutupan bisnis atau perubahan belanja
konsumen? Biaya mitigasi ERM mungkin juga sulit untuk
diperkirakan.
Praktik ERM memakan banyak waktu dan oleh karena itu
memerlukan sumber daya perusahaan agar berhasil. Meskipun
perusahaan akan mendapatkan keuntungan dari perlindungan
asetnya, perusahaan harus mengurangi waktu stafnya dan mungkin
melakukan investasi modal untuk menerapkan strategi ERM.
Selain itu, perusahaan mungkin kesulitan mengukur keberhasilan
ERM karena risiko keuangan yang tidak terjadi harus
diproyeksikan begitu saja.
6. Jenis Risiko Apa yang Ditangani oleh Manajemen Risiko
Perusahaan
ERM dapat membantu merancang rencana untuk hampir semua
jenis risiko bisnis. Risiko bisnis mengancam kemampuan perusahaan
untuk bertahan hidup, dan risiko-risiko ini dapat diklasifikasikan lebih
lanjut ke dalam berbagai risiko yang dibahas di bawah ini. Secara
umum, ERM paling sering mengatasi jenis risiko berikut:
a. Risiko kepatuhan mengancam perusahaan karena pelanggaran
hukum atau persyaratan eksternal. Contoh risiko kepatuhan adalah
ketidakmampuan perusahaan menghasilkan laporan keuangan
tepat waktu sesuai dengan aturan akuntansi yang berlaku seperti
GAAP.
b. Risiko hukum mengancam perusahaan jika perusahaan tersebut
menghadapi tuntutan hukum atau penalti karena masalah kontrak,
perselisihan, atau peraturan. Contoh risiko hukum adalah sengketa
penagihan dengan pelanggan besar.

36
 c. Risiko strategis mengancam rencana jangka panjang perusahaan.
Misalnya, pelaku pasar baru di masa depan mungkin akan
menggantikan perusahaan tersebut sebagai penyedia barang
dengan biaya terendah.
d. Risiko operasional mengancam aktivitas sehari-hari yang
diperlukan perusahaan untuk beroperasi. Contoh risiko operasional
adalah bencana alam yang merusak gudang perusahaan tempat
penyimpanan persediaan.
e. Risiko keamanan mengancam aset perusahaan jika aset fisik atau
digital disalahgunakan. Contoh risiko keamanan adalah kurangnya
kontrol yang mengawasi informasi sensitif klien yang disimpan di
server jaringan.
f. Risiko keuangan mengancam utang atau kedudukan keuangan
suatu perusahaan. Contoh risiko keuangan adalah kerugian
translasi karena memegang mata uang asing.
7. Penilaian resiko Terdapat beberapa tahapan yaitu:
a. Identifikasi ancaman
b. Memeperkirakan probabilitas atau resiko pada setiap ancaman
yang muncul
c. Memperkirakan besarnya kerugian dari setiap ancaman
d. Identifikasi serangkaian pengendalian untuk melindungi dari
ancaman
e. Memperkirakan biaya dan manfaat dari adanya pengendalian
f. Menerapkan suatu pengendalian untuk menghadapi ancaman.

H. Aktivitas Pengendalian
Aktivitas pengendalian adalah tindakan yang diambil oleh
perusahaan untuk membuat kebijakan dan prosedur untuk memastikan
manajemen menjalankan operasi sambil memitigasi risiko. Aktivitas
pengendalian, sering disebut sebagai pengendalian internal , dibagi
menjadi dua jenis proses yang berbeda:

37
 Kegiatan pengendalian preventif dilakukan untuk menghentikan
terjadinya suatu kegiatan. Pengendalian ini bertujuan untuk memitigasi
risiko dengan melarang terjadinya peristiwa tertentu. Contoh pengendalian
preventif adalah keypad atau kunci fisik yang mencegah seluruh karyawan
memasuki area sensitif.
Aktivitas pengendalian detektif dilakukan untuk mengenali kapan
tindakan berisiko telah terjadi. Meskipun peristiwa tersebut diperbolehkan
terjadi (atau tidak seharusnya terjadi namun tetap terjadi), pengendalian
detektif dapat memperingatkan manajemen untuk memastikan adanya
langkah tindak lanjut yang tepat. Contoh kendali detektif adalah alarm
ruangan atau al.
menurut Hery (2013:93) pengertian aktivitas pengendalian adalah
sebagai berikut: “Aktivitas pengendalian merupakan kebijakan dan
prosedur untuk membantu memastikan bahwa tindakan yang diperlukan
untuk mengatasi risiko telah Diambil guna mencapai tujuan entitas.”
Adapun menurut Agoes Sukrisno (2012:101) pengertian aktivitas
pengendalian adalah sebagai berikut: “Aktivitas pengendalian adalah
kebijakan atau prosedur yang membantu memastikan bahwa arahan
manajemen dilaksanakan.” Dari beberapa definisi diatas dapat
disimpulkan bahwa aktivitas pengendalian adalah kebijakan dan prosedur
yang dilakukan untuk memastikan bahwa aktivitas dalam mengatasi resiko
pengendalian telah dilakukan dalam mencapai tujuan tertentu.ktivitas
pengendalian (control activities) Kegiatan pengawasan merupakan
berbagai proses dan upaya yang dilakukan oleh manajemen perusahaan
untuk menegakkan pengawasan atau pengendalian operasi perusahaan.
COSO mengidentifikasi setidaknya ada lima hal yang dapat diterapkan
oleh perusahaan, yaitu:
a. Pemberian otorisasi atas transaksi dan kegiatan
b. Pembagian tugas dan tanggung jawab
c. Rancangan dan penggunaan dokumen dan catatan yang baik
d. Perlindungan yang cukup terhadap kekayaan dan catatan perusahaan

38
 e. Pemeriksaan independen terhadap kinerja perusahaan

I. Informasi Dan Komunikasi

Sistem Informasi merupakan sekumpulan hardware, software,
brain-ware, prosedur dan atau aturan yang diorganisasikan secara integral
untuk mengolah data menjadi informasi yang bermanfaat guna
memecahkan masalah dan pengambilan keputusan. Sistem Informasi
adalah kesatuan data olahan yang terintegrasi dan saling melengkapi yang
menghasilkan output baik dalam bentuk gambar, suara maupun tulisan.
Sistem informasi juga dapat dikatakan sebagai kombinasi antara prosedur
kerja, informasi, orang, dan teknologi informasi yang diorganisasikan
untuk mencapai tujuan dalam sebuah organisasi. Pendapat tersebut
mengemukakan, bahwa sistem informasi merupakan kumpulan kegiatan
yang diintegrasikan antara program kerja, informasi ke dalam suatu server
database sehingga keinginan suatu organisasi dalam mencapai tujuan bisa
terwujudkan.
Adapun kegiatan sistem informasi menurut Jogiyanto (2005),
sebagai berikut:
1. Input, menggambarkan suatu kegiatan untuk menyediakan data untuk
proses.
2. Proses, menggambarkan bagaimana suatu data diproses untuk
menghasilkan suatu informasi yang bernilai tambah.
3. Penyimpanan, suatu kegiatan untuk memelihara dan menyimpan data.
4. Output, suatu kegiatan untuk menghasilkan laporan dari suatu proses
informasi.
5. Kontrol, suatu aktivitas untuk menjamin bahwa sistem informasi
tersebut berjalan sesuai dengan yang diharapkan.
Berdasarkan pendapat di atas, sistem informasi merupakan
rangkaian kegiatan yang terdiri dari input, proses, output, dan kontrol yang
tersusun secara sistematis. Sistem informasi tidak terlepas dari kegiatan

39
yang diungkapkan pendapat di atas, karena dalam bekerja sistem tersebut
terdiri dari rangkaian yang tidak bisa dipisah-pisah atau dibagi dalam
bekerja. Sehubungan dengan penjelasan mengenai sistem informasi di
atas, komponen sistem informasi terdiri dari:
1. Perangkat keras (hardware), merupakan komponen fisik yang terdiri
dari peralatan pengolah (processor), peralatan untuk mengingat
(memory), peralatan output dan peralatan komunikasi, terdiri dari
komputer, printer, jaringan.
2. Perangkat lunak (software), merupakan kumpulan dari program-
program yang digunakan untuk menjalankan aplikasi tertentu pada
komputer.
3. Data, merupakan komponen dasar informasi yaitu fakta-fakta atau
kumpulan bahan-bahan pemprosesan.
4. Manusia (user), sebagai pengoperasi sistem.
Berdasarkan penjelasan dari pendapat di atas, bahwa komponen
sistem informasi merupakan sarana pendukung dalam mengoperasinalkan
sebuah data untuk mendapat sebuah informasi yang dibutuhkan. Tanpa
komponen-komponen seperti hardware, sofware serta manusia sebagai
pengguna program tersebut, semuanya tidak akan berjalan sebagimana
mestinya. Sistem informasi juga merupakan sekumpulan komponen
pembentuk sistem yang mempunyai keterkaitan antara satu komponen
dengan komponen lainnya yang bertujuan menghasilkan suatu informasi
dalam suatu bidang tertentu. Dalam sistem informasi diperlukannya
klasifikasi alur informasi, hal ini disebabkan keaneka-ragaman kebutuhan
akan suatu informasi oleh pengguna informasi. Kriteria dari sistem
informasi antara lain, fleksibel, efektif dan efisien.
Suatu sistem informasi (SI) atau information sistem (IS) adalah
merupakan aransemen dari orang, data, proses-proses, dan antar-muka
yang berinteraksi mendukung dan memperbaiki beberapa operasi sehari-
hari dalam suatu bisnis termasuk mendukung memecahkan soal dan
kebutuhan pembuat-keputusan manejemen dan para pengguna. Sistem

40
informasi juga merupakan aplikasi komputer untuk mendukung operasi
dari suatu organisasi: operasi, instalasi, dan perawatan komputer,
perangkat lunak, dan data. Suatu sistem terintegrasi yang mampu
menyediakan informasi yang bermanfaat bagi penggunanya atau sebuah
sistem terintegrasi atau sistem manusiamesin, untuk menyediakan
informasi untuk mendukung operasi, manajemen dalam suatu organisasi.
Sistem ini memanfaatkan perangkat keras dan perangkat lunak komputer,
prosedur manual, model manajemen dan basis data. Jadi sistem informasi
merupakan bagian dari hasil pengolahan data yang lebih berguna bagi
penerimanya dan mempunyai syarat lengkap, mutakhir, akurat, dapat
dipercaya, dan disimpan sedemikian rupa.
Secara umum dikenal 6 (enam) Fungsi-Fungsi Teknologi Informasi
yaitu:
1. Fungsi teknologi informasi sebagai penangkap (capture) Adalah
Menangkap fakta-fakta yang terkait dengan pengetahuan yang
diharapkan pengguna. Menangkap disini diartikan sebagai meng input.
Misalnya menerima input-an/masukan dari berbagai perangkat keras
seperti keyboard, scanner, kamera, speaker dan lain-lain alat masukan
lainnya.
2. Fungsi teknologi informasi sebagai pengolah (processing) Mengolah
atau memproses data masukkan yang diterima untuk menjadi informasi
Pengolahan dan pemrosesan data dapat berupa mengonversi
(mengubah data ke bentuk yang lain), mengurangi, menambah,
menghapus, menganalisis, menggandakan, menggabungkan dan
menghitung (kalkulasi).
3. Fungsi teknologi informasi sebagai Penghasil (generating)
Menghasilkan atau mengorganisasikan informasi ke dalam bentuk
yang berguna Yang dapat dimengerti oleh orang lain. Misal laporan
dalam bentuk dokumen (teks), tabel, grafik, gambar, audio dan lain-
lain.

41
4. Fungsi teknologi informasi sebagai Penyimpan (storage) Menyimpan
atau merekam data dan informasi dalam suatu media yang dapat
digunakan untuk digunakan pada kesempatan atau untuk keperluan
lain. Contohnya adalah merekam/menyimpan data/informasi ke dalam
alat perekam/penyimpan seperti hard disk, flash disk, tape dan lain
sebagainya.
5. Fungsi teknologi informasi sebagai Pencari Kembali (retrieval)
Mencari Kembali adalah fungsi untuk menelusuri dan mendapatkan
kembali data atau informasi atau menggandakan data dan informasi
yang sudah tersimpan Misalnya mencari data atau infomasi suatu yang
sudah tersimpan sebelumnya Atau dengan kata lain retrieval adalah
proses penempatan salinan data atau informasi untuk diolah lebih
lanjut atau untuk ditransmisikan ke pengguna lain.
6. Fungsi teknologi informasi sebagai Transmisi (transmission)
Mentransmisi adalah fungsi mengirim atau menerima kembali data
atau informasi dari suatu lokasi ke lokasi lain melalui jaringan
komputer atau mengirimkan suatu data atau informasi dari seseorang
kepada orang lain melalui jaringan komunikasi secara elektronik
Sistem informasi terdiri dari komponen-komponen yang disebut
blok bangunan (building blok), yang terdiri dari komponen input,
komponen model, komponen output, komponen teknologi, komponen
hardware, komponen software, komponen basis data, dan komponen
kontrol. Semua komponen tersebut saling berinteraksi satu dengan yang
lain membentuk suatu kesatuan untuk mencapai sasaran.
1. Komponen input
Input mewakili data yang masuk ke dalam sistem informasi. Input
disini termasuk metode dan media untuk menangkap data yang akan
dimasukkan, yang dapat berupa dokumen-dokumen dasar.
2. Komponen model
Komponen ini terdiri dari kombinasi prosedur, logika, dan model
matematik yang akan memanipulasi data input dan data yang

42
 tersimpan di basis data dengan cara yang sudah ditentukan untuk
menghasilkan keluaran yang diinginkan.
3. Komponen output
Hasil dari sistem informasi adalah keluaran yang merupakan informasi
yang berkualitas dan dokumentasi yang berguna untuk semua pemakai
sistem.
4. Komponen teknologi
Teknologi merupakan “tool box” dalam sistem informasi, Teknologi
digunakan untuk menerima input, menjalankan model, menyimpan dan
mengakses data, menghasilkan dan mengirimkan keluaran, dan
membantu pengendalian dari sistem secara keseluruhan.
5. Komponen hardware
Hardware berperan penting sebagai suatu media penyimpanan vital
bagi sistem informasi. Yang berfungsi sebagai tempat untuk
menampung database atau lebih mudah dikatakan sebagai sumber data
dan informasi untuk memperlancar dan mempermudah kerja dari
sistem informasi.
6. Komponen software
Software berfungsi sebagai tempat untuk mengolah, menghitung dan
memanipulasi data yang diambil dari hardware untuk menciptakan
suatu informasi.
7. Komponen basis data
Basis data (database) merupakan kumpulan data yang saling berkaitan
dan berhubungan satu dengan yang lain, tersimpan di perangkat keras
komputer dan menggunakan perangkat lunak untuk memanipulasinya.
Data perlu disimpan dalam basis data untuk keperluan penyediaan
informasi lebih lanjut. Data di dalam basis data perlu diorganisasikan
sedemikian rupa supaya informasi yang dihasilkan berkualitas.
Organisasi basis data yang baik juga berguna untuk efisiensi kapasitas
penyimpanannya. Basis data diakses atau dimanipulasi menggunakan

43
 perangkat lunak paket yang disebut DBMS (Database Management
Sistem).

8. Komponen kontrol
Banyak hal yang dapat merusak sistem informasi, seperti bencana
alam, api, temperatur, air, debu, kecurangan-kecurangan, kegagalan-
kegagalan sistem itu sendiri, ketidakefisienan, sabotase dan lain
sebagainya. Beberapa pengendalian perlu dirancang dan diterapkan
untuk meyakinkan bahwa hal-hal yang dapat merusak sistem dapat
dicegah ataupun bila terlanjur terjadi kesalahan-kesalahan dapat
langsung cepat diatasi.

44
 BAB III
PENUTUP

A. Kesimpulan
Sistem Informasi merupakan sekumpulan hardware, software,
brain-ware, prosedur dan atau aturan yang diorganisasikan secara integral
untuk mengolah data menjadi informasi yang bermanfaat guna
memecahkan masalah dan pengambilan keputusan. Sistem Informasi
adalah kesatuan data olahan yang terintegrasi dan saling melengkapi yang
menghasilkan output baik dalam bentuk gambar, suara maupun tulisan.
Aktivitas pengendalian adalah tindakan yang diambil oleh perusahaan
untuk membuat kebijakan dan prosedur untuk memastikan manajemen
menjalankan operasi sambil memitigasi risiko. Aktivitas pengendalian,
sering disebut sebagai pengendalian internal ,
Pengendalian internal (internal control) adalah proses yang dijalankan
untuk menyediakan jaminan memadai bahwa tujuan-tujuan pengendalian
berikut telah dicapai.
✓ Mengamankan aset mencegah atau mendeteksi perolehan, penggunaan,
atau penempatan yang tidak sah.
✓ Mengelola catatan dengan detail yang baik untuk melaporkan aset
perusahaan secara akurat dan wajar
✓ Memberikan informasi yang akurat dan reliabel.
✓ Menyiapkan laporan keuangan yang sesuai dengan kriteria yang
ditetapkan.
✓ Mendorong dan memperbaiki efisiensi operasional.
✓ Mendorong ketaatan terhadap kebijakan manajerial yang telah
ditentukan.
✓ Mematuhi hukum dan peraturan yang berlaku.

45
 DAFTAR PUSTAKA

Bagaskoro.2019. Pengantar Teknologi Informatika dan Komunikasi Data.

Yogyakarta: IKAPI

Derri, Zul Azmi, Siska dan Johni. (2022) Sistem Informasi Akuntansi.
Padang:IKAPI

Djohanputro,Bramantyo. 2008. Manajemen Resiko Korporat. Jakarta:Penerbit

PPM.

Fadillah, Andi Hidayatul.,Mulyadi. Susanti,Andi Hepy . 2021. Sistem Informasi

Akuntansi. Cet: 1. Edisi: 1. Batam : Cendekia Mulia Mandiri

Faiza Zamzami, dkk. 2013. Audit Internal, Konsep dan Praktik. Gadjah Mada
Universitas Press: Yogyakarta.

Maruta, H. (2016). Pengendalian Internal Dalam Sistem Informasi Akuntansi.

IQSTISHADUNA: Jurnal Ilmiah Ekonomi Kita

Muda, Iskandar, Kasyful Anwar, and Achmad Suhaili. 2017. "Sistem Informasi
Akuntansi."

Mukhlis. 2013. Audit Internal Kerangka Kerja Pengendalian,COSO. Gadjah

Mada Universitas Press: Yogyakarta

Prastyaningtyas,Efa Wahyu. 2019. Sistem Akuntansi. Jawa Timur : CV Azizah

Publishing

Romney, Marshall B., Steinbart, Paul John. (2017). Sistem Informasi Akuntansi.
(Edisi 13 Cetakan Keenam). Jakarta: Salemba Empat

46