2. Aktivitas Pengendalian Kebijakan dan prosedur pengendalian harus dibuat dan dilaksanakan untuk membantu memastikan bahwa tindakan yang di identifikasi oleh pihak manajemen untuk mengatasi risiko pencapaian tujuan organisas, secara efektif dijalankan. 3. Penilaian Resiko Organisasi harus sadar akan berurusan dengan risiko yang dihadapinya. Organisasi harus menempatkan tujuan, yang terintegrasi dengan penjualan, produksi, pemasaran, keuangan, dan kegiatan lainnya, agar organisasi beroperasi secara harmonis.Organisasi juga harus membuat mekanisme untuk mengidentifikasi, menganalisis, dan mengelola risiko yang terkait. 4. Informasi dan Komunikasi Disekitar aktifitas pengendalian terdapat sistem informasi dan komunikasi.Mereka memungkinkan orang-orang dalam organisasi untuk mendapat dan bertukar informasi yang dibutuhkan untuk melaksanakan, mengelola, dan mengendalikan operasinya. 5. Pengawasan Seluruh proses harus diawasi, dan perubahan dilakukan sesuai dengan kebutuhan. Melalui cara ini, sistem dapat beraksi secara dinamis, berubah sesuai tuntutan keadaan.

2. Sistem Pengendalian Intern Pemerintah

Sistem Pengendalian Intern Pemerintah SPIP menurut Peraturan Walikota Salatiga No 34, 2011, adalah Sistem Pengendalian Intern SPI yang diselenggarakan secara menyeluruh terhadap proses perancangan dan pelaksanaan kebijakan serta perencanaan, penganggaran, dan pelaksanaan anggaran di Lingkungan Pemerintah Daerah. Adapun SPIP yang dimaksud pada Bab II Penyelenggaraan SPIP terdiri atas unsur: 1. Lingkungan pengendalian Pimpinan SKPD wajib menciptakan dan memelihara lingkungan pengendalian yang menimbulkan perilaku positif dan kondusif. Penerapan SPIP dalam lingkungan kerja, melalui : a. Penegakan integritas dan nilai etika Penegakan integritas dan nilai etika sebagaimana dimaksud, sekurang-kurangnya dapat dilakukan dengan : • Menyusun dan menerapkan aturan perilaku. • Memberi keteladanan pelaksanaan aturan perilaku pada setiap tingkat pimpinan SKPD. • Menegakkan tindakan disiplin yang tepat atas penyimpangan terhadap kebijakan dan prosedur, atau pelanggaran terhadap aturan perilaku. • Menjelaskan dan mempertanggungjawabkan adanya intervensi atau pengabaian pengendalian intern. • Menghapus kebijakan atau penugasan yang dapat mendorong perilaku tidak etis. b. Komitmen terhadap kompetensi Komitmen terhadap kompetensi sebagaimana dimaksud, sekurang-kurangnya dilakukan dengan: • Mengidentifikasi dan menetapkan kegiatan yang dibutuhkan untuk menyelesaikan tugas dan fungsi pada masing-masing posisi dalam SKPD. • Menyusun standar kompetensi untuk setiap tugas dan fungsi pada masing- masing posisi dalam SKPD. • Menyelenggarakan pelatihan dan pembimbingan untuk membantu pegawai mempertahankan dan meningkatkan kompetensi pekerjaannya. c. Kepemimpinan yang kondusif Kepemimpinan yang kondusif sebagaimana dimaksud, sekurang-kurangnya ditunjukkan dengan : • Mempertimbangkan risiko dalam pengambilan keputusan. • Menerapkan manajemen berbasis kinerja. • Mendukung fungsi tertentu dalam penerapan SPIP. • Melindungi asset dan informasi dari akses penggunaan yang tidak sah. • Melakukan interaksi secara intensif dengan pejabat pada tingkatan yang lebih rendah. • Merespon secara positif terhadap pelaporan yang berkaitan dengan keuangan, penganggaran, program dan kegiatan. d. Penyusunan rancangan struktur organisasi dan perumusan uraian tugas sesuai dengan kebutuhan organisasi Pembentukan struktur organisasi yang sesuai dengan kebutuhan sebagaimana dimaksud, sekurang-kurangnya dilakukan dengan: • Menyesuaikan dengan ukuran dan sifat kegiatan SKPD. • Memberikan kejelasan wewenang dan tanggung jawab dalam SKPD. • Memberikan kejelasan hubungan dengan jenjang pelaporan intern dalam SKPD. • Melaksanakan evaluasi dan penyesuaian periodik terhadap struktur organisasi sehubungan dengan perubahan lingkungan yang strategis. • Menetapkan jumlah pegawai yang sesuai, terutama untuk posisi pimpinan. e. Pendelegasian wewenang dan tanggung jawab yang tepat Pendelegasian wewenang yang tepat sebagaimana dimaksud, sekurang-kurangnya dilaksanakan dengan memperhatikan hal-hal sebagai berikut: • Wewenang diberikan kepada pegawai yang tepat sesuai dengan tingkat tanggung jawabnya dalam rangka pencapaian SKPD. • Pegawai yang diberi wewenang sebagaimana dimaksud memahami bahwa wewenang dan tanggung jawab yang diberikan terkait dengan pihak lain dalam SKPD yang bersangkutan. • Pegawai yang diberi wewenang yang sebagaimana dimaksud memahami bahwa pelaksanaan wewenang dan tanggung jawab terkait dengan penerapan SPIP. f. Penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya manusia Penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya manusia sebagaimana dimaksud, dilaksanakan dengan memperhatikan sekurang- kurangnya: • Perumusan kebijakan dan prosedur sejak rekruitmen sampai dengan pemberhentian pegawai. • Penelusuran latar belakang calon pegawai dalam proses rekruitmen. • Supervisi periodik yang memadai terhadap karyawan. g. Perwujudan peran aparat pengawasan intern pemerintah yang efektif Perwujudan peran aparat pengawasan intern pemerintah yang efektif sebagaimana dimaksud, sekurang-kurangnya harus: • Memberikan keyakinan yang memadai atas ketaatan, kehematan, efisiensi dan efektivitas pencapaian tujuan penyelenggaraan tugas dan fungsi SKPD. • Memberikan peringatan dini dan meningkatkan efektivitas manajemen risiko dalam penyelenggaraan tugas dan fungsi SKPD. • Memelihara dan meningkatkan kualitas tata kelola penyelenggaraan tugas dan fungsi SKPD. h. Hubungan kerja yang baik dengan SKPD terkait • Diwujudkan dengan adanya mekanisme saling uji antar SKPD terkait. • Sinkronisasi data yang saling terkait dari dua atau lebih SKPD terkait. 2. Penilaian risiko a. Identifikasi risiko Identifikasi risiko sebagaimana dimaksud, sekurang-kurangnya dilaksanakan dengan: • Menggunakan metodologi yang sesuai untuk tujuan SKPD dan tujuan pada tingkatan kegiatan secara komprehensif. • Menggunakan mekanisme yang memadai untuk mengenali risiko dari faktor eksternal dan faktor internal. • Menilai faktor lain yang dapat meningkatkan risiko. b. Analisis Risiko • Dilaksanakan untuk menentukan dampak dari risiko yang telah diidentifikasi terhadap pencapaian tujuan SKPD. • Pimpinan SKPD menerapkan prinsip kehati-hatian dalam menentukan tingkat risiko yang dapat diterima. 3. Kegiatan pengendalian Kegiatan pengendalian dievaluasi secara teratur untuk memastikan bahwa kegiatan tersebut masih sesuai dan berfungsi seperti yang diharapkan. Kegiatan pengendalian sebagaimana yang dimaksud adalah: a. Review atas kinerja SKPD Review atas kinerja SKPD sebagaimana dimaksud, dilaksanakan dengan membandingkan kinerja dengan tolok ukur kinerja yang ditetapkan. b. Pebinaan sumber daya manusia Dalam melaksanakan pembinaan sumber daya manusia sebagaimana dimaksud, pimpinan SKPD sekurang-kurangnya harus: • Mengkomunikasikan visi, misi, tujuan, nilai, dan strategi instansi kepada pegawai. • Membuat strategi perencanaan dan pembinaan sumber daya manusia yang mendukung pencapaian visi dan misi. • Membuat uraian jabatan, prosedur rekruitmen, program pendidikan dan pelatihan pegawai, sistem kompensasi , program kesejahteraan dan fasilitas pegawai, ketentuan disiplin pegawai, sistem penilaian kinerja, serta rencana pengembangan karier. c. Pengendalian atas pengelolaan sistem informasi  Pengendalian Umum • Pengamanan sistem informasi Pengamanan sistem informasi sebagaimana dimaksud, sekurang- kurangnya mencakup:  Pelaksanaan penilaian risiko secara periodik yang komprehensif.  Pengembangan rencana yang secara jelas menggambarkan program pengamanan serta kebijakan dan prosedur yang mendukungnya.  Penetapan organisasi untuk mengimplementasikan dan mengelola program pengamanan.  Penguraian tanggung jawab pengamanan secara jelas.  Implementasi kebijakan yang efektif atas sumber daya manusia terkait dengan program pengamanan.  Pemantauan efektivitas program pengamanan dan melakukan perubahan program pengamanan jika diperlukan. • Pengendalian atas akses Pengendalian atas akses sebagaimana dimaksud,sekurang-kurangnya mencakup :  Klasifikasi sumber dayasistem informasi berdasarkan kepentingan dan sensitivitasnya.  Identifikasi pengguna yang berhak dan otorisasi akses ke informasi secara informal.  Pengendalian fisik dan pengendalian logik untuk mencegah dan mendeteksi akses yang tidak di otorisasi  Pemantauan atas akses ke sistem informasi, investigasi atas pelanggaran, serta tindakan perbaikan dan penegakan disiplin. • Pengendalian atas pengembangan dan perubahan perangkat lunak aplikasi Pengendalian atas pengembangan dan perubahan perangkat lunak aplikasi sebagaimana dimaksud, sekurang-kurangnya mencakup:  Otorisasi atas fitur pemrosesan sistem informasi dan modifikasi program.  Pengujian dan persetujuan atas seluruh perangkat lunak yang baru dan dimutakhirkan.  Penetapan prosedur untuk memastikan terselenggaranya pengendalian atas kepustakaan perangkat lunak. • Pengendalian atas perangkat lunak sistem Pengendalian atas perangkat lunak sistem sebagaimana dimaksud, adalah:  Pembatasan akses ke perangkat lunak sistem berdasarkan tanggung jawab pekerjaan dan dokumentasi atas otorisasi akses.  Pengendalian dan pemantauan atas akses dan penggunaan perangkat lunak sistem.  Pengendalian atas perubahan yang dilakukanterhadap perangkat lunak sistem. • Pemisahan tugas Pemisahan tugas sebagaimana dimaksud, sekurang-kurangnya mencakup:  Identifikasi tugas yang tidak dapat digabungkan dan penetapan kebijakan untuk memisahkan tugas tersebut.  Penetapan pengendalian akses untuk pelaksanaan pemisahan tugas.  Pengendalian atas kegiatan pegawai melalui penggunaan prosedur, supervise dan review. • Kontinuitas pelayanan Kontinuitas pelayanan sebagaimana dimaksud, sekurang-kurangnya mencakup:  Penilaian, pemberian prioritas, dan pengidentifikasian sumber daya pendukung atas kegiatan komputerisasi yang kritis dan sensitif.  Langkah-langkah pencegahan dan minimalisasi potensi kerusakan dan terhentinya operasi komputer.  Pengembangan dan pendokumentasian rencana komprehensif untuk mengatasi kejadian tidak terduga.  Pengujian secara berkala atas rencana untuk mengatasi kejadian tidak terduga dan melakukan penyesuaian jika diperlukan.  Pengendalian Aplikasi • Pengendalian otorisasi Pengendalian otorisasi sebagaimana dimaksud, sekurang-kurangnya mencakup:  Pengendalian terhadap dokumen sumber.  Pengesahan atas dokumen sumber.  Pembatasan akses ke terminal entri data  Penggunaan file induk dan laporan khusus untuk memastikan bahwa seluruh data yang diproses telah diotorisasi. • Pengendalian kelengkapan Pengendalian kelengkapan sebagaimana dimaksud, sekurang-kurangnya mencakup:  Pengentrian dan pemrosesan seluruh transaksi yang telah di otorisasi ke dalam komputer.  Pelaksanaan rekonsiliasi data untuk meverifikasi kelengkapan data. • Pengendalian akurasi Pengendalian akurasi sebagaimana dimaksud, sekurang-kurangnya mencakup:  Penggunaan desain entri data untuk mendukung akurasi data.  Pelaksanaan validasi data untuk mengidentifikasi data yang salah.  Pencatatan, pelaporan, investigasi dan perbaikan data yang salah dengan segera.  review atas laporan keluaran untuk mempertahankan akurasi dan validitas data. • Pengendalian terhadap keandalan pemrosesan dan file data Pengendalian terhadap keandalan pemrosesan dan file data sebagaimana dimaksud, sekurang-kurangnya mencakup:  Penggunaan prosedur yang memastikan bahwa hanya program dan file data versi terkini digunakan selama pemrosesan.  Penggunaan program yang memiliki prosedur untuk memverifikasi bahwa versi file komputer sesuai digunkan selama pemrosesan.  Penggunaan program yang memiliki prosedur untuk mengecek internal file header labels sebelum pemrosesan.  Penggunaan aplikasi yang mencegah perubahan file secara bersamaan. d. Pengendalian fisik asset Dalam melaksanakan pengendalian fisik atas asset sebagaimana dimaksud, pimpinan SKPD wajib menetapkan, mengimplementasikan, dan mengkomunikasikan kepada seluruh pegawai: • Rencana identifikasi, kebijakan, dan prosedur pengamatan fisik. • Rencana pemulihan setelah bencana. e. Penetapan dan review indikator dan ukuran kinerja Dalam melaksanakan penetapan dan review indikator dan pengukuran kinerja sebagaimana dimaksud, pimpinan harus: • Menetapkan ukuran dan indikator kinerja. • Mereview dan melakukan validasi secara periodik atas ketetapan dan keandalan ukuran dan indikator kinerja. • Mengevaluasi faktor penilaian pengukuran kinerja. • Membandingkan secara terus menerus data capaian kinerja dengan sasaran yang ditetapkan dan selisihnya dianalisis lebih lanjut. f. Pemisahan fungsi Dalam melaksanakan pemisahan fungsi sebagaimana dimaksud, pimpinan SKPD harus menjamin bahwa seluruh aspek utama transaksi atau kejadian tidak dikendalikan oleh satu orang. g. Otorisasi atas transaksi dan kejadian yang penting Dalam melakukan otorisasi atas transaksi dan kejadian sebgaimana dimaksud, pimpinan SKPD wajib menetapkan dan mengkomunikasikan syarat dan ketentuan otorisasi kepada seluruh pegawai. h. Pencatatan yang akurat dan tepat waktu atas transaksi dan kejadian Dalam melakukan pencatatan yang akurat dan tepat waktu sebagaimana dimaksud, pimpinan SKPD perlu mempertimbangkan: • Transaksi dan kejadian diklasifikasikan dengan tepat dan dicatat segera. • Klasifikasi dan pencatatan yang tepat dilaksanakan dalam seluruh siklus transaksi atau kejadian. i. Pembatasan akses atas sumber daya dan pencatatannya Dalam melaksanakan pembatasan akses atas sumber daya dan pencatatanya sebagaimana dimaksud, pimpinan SKPD wajib memberikan akses hanya kepada pegawai yang berwenang dan melakukan review atas pembatasan tersebut secara berkala. j. Akuntabilitas terhadap sumber daya dan pencatatannya Dalam menetapkan akuntabilitas terhadap sumber daya dan pencatatannya sebagaimana dimaksud, pimpinan SKPD wajib menugaskan pegawai yang bertanggung jawab terhadap penyimpanan sumber daya dan pencatatannya serta melakukan review atas penugasan tersebut secara berkala. k. Dokumentasi yang baik atas SPIP serta transaksi dan kejadian penting Dalam menyelenggarakan dokumentasi yang baik sebagaimana dimaksud,pimpinan SKPD wajib memiliki, mengelola, memelihara, dan secara berkala memutakhirkan dokumentasi yang mencakup seluruh sistem pengendalian intern serta transaksi dan kejadian penting. 4. Informasi dan komunikasi a. Menyediakan dan memanfaatkan berbagai bentuk dan sarana komunikasi. b. Mengelola, mengembangkan dan memperbaharui sistem informasi secara terus menerus. 5. Pemantauan a. Pemantauan berkelanjutan. b. Evaluasi terpisah. c. Tindak lanjut rekomendasi hasil audit dan reviuw lainnya.

3. Pengawasan Intern