PENGENDALIAN, PENIPUAN DAN PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER ipi90149
PENGENDALIAN, PENIPUAN DAN PENGAMANAN SISTEM INFORMASI BERBASIS
KOMPUTER
Ifah lathifah
STIE AUB SurakartaAbstract
Effective internal control Structure building and feasible require that audit, cost,
ethics, factor of human being considered. Internal Operation is a process influenced by people
to provide the rational confidence that target of company reached the. Structure of i nternal
control stay in the continuous repair, some of as result from strength of like management
requirement, attention association of ethics and government action. Environmental of
operation determine the organizational tone. Providing structure and disc ipline, is a
foundations for the component of other internal operation.
Keywords:
Structure of internal control, Fraud and Security.
PENDAHULUAN
Fungsi dasar manajemen adalah memastikan bahwa tujuan perusahaan tercapai.
Dengan demikian keputusan manajemen mengenai pengendalian adalah hal yang penting dan
mendesak demi keberhasilan perusahaan memenuhi tujuannya. Manajemen bertanggung
jawab pada penetapan dan penyelenggaraan kerangka pengendalian terhadap struktur formal
sistem informasi perusahaan, operasi sistem informasi manajemen dan sistem organisasi.
Kerangka pengendalian memastikan bahwa ukuran pengendalian yang relevan adalah
untuk menyedeiakan keyakinan rasional bahwa resiko dapat dicegah dalam tiga struktur
formal diimplementasikan. Karena pengendalian dan ukuran keamanan diimplementasikan
dalam struktur formal dan sangat dekat saling berkaitan, kerangka pengendalian disebut
pengendalian internal atau struktur pengendalian internal. Struktur ini menyediakan makna
melalui fungsi proses pengendalian intern. Jika SPI yang baik diimplementasikan, keseluruhan
operasi, sumberdaya fisik, dan data akan termonitor dan dibawah pengendalian, tujuan akan
tercapai, resiko akan diminimalisir dan output informasi akan dipercaya.
Jika SPI lemah dan tidak baik, sumber daya perusahaan rentan terhadap kehilangan melalui
pencurian, kelalaian, kecerobohan dan resiko lain. Sebagai hasilnya, Sistem Informasi
Akuntansi akan mungkin menghasilkan informasi yang tidak andal, tidak tepat waktu dan
barangkali tidak berhubungan dengan tujuan perusahaan.
Pengendalian intern sebagai suatu proses dan struktur, adalah sebuah perhatian bagi
akuntan. Sebagai pemakai kunci SIA, akutan harus mengambil peranan aktif dalam
pengembangan dan reviuw Struktur Pngendalian Intern. Mereka ha rus juga bekerja sangat
dekat dengan desain sistem selama fase pengembangan sistem informasi untuk memastikan
bahwa pengukuran perencanaan pengendalian cukup dan dapat diperiksa. Selama audit
mereka dapat mengakses pedoman untuk ditempatkan pada SPI ketika melaksanakan tahap
perogram audit berikutnya.
PEMBAHASAN
KARAKTERISTIK
PENGENDALIAN
INTERNAL
Dalam organisasi, Pengendalian Internal
dimaksudkan
untuk
memastikan
tercapainya tujuan organisasi. Ketika
berbagai orang dalam organisasi memiliki
berbagai tujuan, masing-masing memiliki
(2)
persepektif pada Pengendalian Internal.
Definisi yang paling luas diterima :
Pengendalian Internal adalah sebagai
sebuah sistem, struktur atau sebuah
proses, diimplementasikan oleh dewan
direksi perusahan, manajemen dan person
lain, didesain untuk menyediakan
keyakinan yang rasional mengenai
pencapaian tujuan dalam kategori sebagai
berikut :
Effektivitas dan effisiensi operasi
Keandalan pelaporan keuangan
Kepatuhan pada undang-undang
dan aturan
Perbedaan
perspektif
dapat
menghasilkan perbedaan, definisi yang
lebih spesifik didasarkan pada definisi
utama ini, tetapi masing-masing definisi
mengakui bahwa Pengendalian Internal
adalah sebuah proses yang dipengaruhi
oleh orang untuk menyediakan keyakina
rasional bahwa tujuan perusahaan
tercapai.
Proses.
Pengendalian Internal bukan satu proses
tetapi kombinasi banyak proses yang
terjadi sebagai bagian aktivitas organisasi.
Sebagai sebuah tool bagi manajemen, dia
melekat pada bagaimana manajemen
menjalankan organisasi. Pengendalian
Internal effektif ketika proses mencapai
tujuan organisasi, tidak effektif jika tidak
tercapai tujuan organisasi. Karena
Pengendalian Internal tercampur dengan
aktivitas operasi organisasi, hal itu paling
effektif jika terbangun dalam struktur
oranisasi selama proses desain.
Secara
tradisional
akuntan
telah
mendefinisikan Pengendalian Internal
sebagai rencana organisasi dan metode
dan pengukuran digunakan untuk
mencapai tujuan dari kepentingan pada
akuntan. Dari perspektif akuntansi, hal itu
barangkali tujuan yang paling penting. Dari
perspektif manajemen, Pengendalian
Internal meliputi banyak tujuan lain.
Manusia.
Manusia mengimplementasikan proses
organisasi, mereka membuat Pengendalian
internal bekerja. Manajemen menentukan
bagaimana ia bekerja dengan persetujuan
desain sistem organisasi. Karena dewan
direksi memiliki otoritas dan perseujuan
transaksi dan kebijakan, mereka juga
elemen penting dalam Pengendlian
Internal.
Akuntan melaksanakan banyak
proses Pengendalian Internal. Dengan
partisipasinya dalam sistem desain, mereka
membantu
menciptakan
sistem
Pengendalian Internal. Akuntan yang
menjadi auditor memiliki akses pada
dewan direktur melalui komite audit.
Tujuan
Setiap organisasi memiliki suatu misi, dan
manajemen
mengidentifikasi
tujuan
organisasi yang konsisten dengan misi
-tujuan organisasi sebagai keseluruhan dan
aktivitas khusus didalamnya. Tujuan utama
organisasi berhubungan pada satu dari tiga
kategori : operasi (effektif dan effisien
menggunakan sumber daya), pelaporan
keuangan (penyiapan laporan keangan
yang andal), dan kepatuhan (ketentuan
hukum dan peraturan). Kebanyakan
organisasi, juga memiliki yang lain,
tujuan yang lebih khusus yang sistem
Pengendalian internal membantu untuk
mencapainya.
Akuntan secara tradisional
memiliki definisi Pengendalian Internal
sebagai pengukuran untuk mencapai
empat tujuan (1) Pengamanan asset,
(2) menjamin keakuratan dan
keterandalan data akuntansi, (3)
mendorong effisiensi operasi dan (4)
mendorong karyawan umtuk mematuhi
kebijakan manajemen. Dari ini, dua
yang pertama lebih signifikan pada
akuntan dan disebut pengendalian
akuntansi. Dua yang kedua, disebut
Pengendalian administratif, dan lebih
penting pada manajemen. Masing
-masing
tujuan
tradisional
ini
berhubungan pada satu dari tiga
kategori dalam definisi disajikan diatas.
(3)
Keyakinan Rasional
Pengendalian Internal tidak dapat
menjamin bahwa tujuan manajeman
akan tercapai. Mereka hanya dapat
menyediakan
keyakinan
rasional
pencapaian
tujuan.
Beberapa
iPengendalian internal organisasi
memiliki keterbatasan yang membuat
jaminan mutlak tidak mungkin.
Keterbatasan Pengendalian Internal
.
Ketika menciptakan kebijakan dan
prosedur Pengendalian internal, banyak
manajer mempertimbangkan hal yang
tidak rasional untuk mencoba
menentukan satu hal yang secara
mutlak mencegah kesalahan, kolusi dan
manajemen
override
–
tiga
keterbatasan utama Pengendalian
internal.
Errors
. Kesalahan timbul ketika
karyawan melakukan kebijakan yang
lemah atau mempunyai perhatian yang
rendah pada pekerjaannya. Prosedur
kebijakan yang lemah menghasilkan
keputusan yang salah dan berasal dari
lemahnya
pelatihan,
kurangnya
pengalaman, kurangnya pengetahuan.
Gangguan perhatian timbul dari
kecerobohan, yang terjadi karena
kelelahan, gangguan dari luar atau
terlalu banyak pekerjaan.
Meskipun
pelatihan
dan
ketelitian karyawan memperkecil
kesalahan, banyak manajer mengakui
bahwa karyawan terbaikpun kadang
membuat
kesalahan,
tetapi
pertimbangan mereka tidak rasional
untk
mencoba
membangun
Pengendalian internal yang dapat
mencegah atau mendeteksi setiap
kesalahan, Oleh karena itu, mereka
berupaya menggunakan karyawan
yang baik dan memikirkan proses yang
mencegah atau mendeteksi kesalahan
paling mungkin atau kesalahan yang
paling serius.
Kolusi.
Kolusi terjadi jika dua atau lebih
karyawan
berkonspirasi
untuk
membuat
komitmen
pencurian.
Meskipun mungkin untuk mengadopsi
kebijakan
dan
prosedur
yang
mendeteksi pencurian ketika kolusi
terjadi,
banyak
manajer
mempertimbangkan bahwa upaya tidak
rasional dan dalam hal ini mencoba
menggunakan karyawan yang jujur da n
mempertahankan mereka memperoleh
kepuasan
kerja.ini
kemungkinan
memperkecil keinginan untuk mencuri
dan membuat persekongkolan .
Akuntan dan manajer mengakui,
bagaimanapun bahwa jika kolusi
terjadi, keberadaan kontrol akan tidak
effektif dalam mencegahnya.
Management
override
.
Karena
manajer dalam organisasi memiliki
otoritas lebih daripada pegawai klerikal
dan produksi, proses kontrol yang
effektif pada level lebih rendah dalam
organisasi menjadi tidak effektif
daripada level yang lebih tinggi.
Managemen override, seperti kolusi,
tidak dapat dicegah dengan cara yang
rasional. Sebagai ganti organisasi
mencoba
untuk
mempekerjakan
manajer yang jujur dan memberi
mereka kompensasi yang cukup untuk
prestasi yang baik. Kemungkinan
managemen override adalah sebuah
keterbatasan untuk suatu kebijakan
dan prosedur internal kontrol yang
baik.
Cost and Benefits
. Konsep Jaminan
rasional berimplikasi bahwa biaya
pengendalian internal harus tidak lebih
besar manfaat yang dperoleh.
Pengendalian yang rasional adalah
manfaat lebih besar dari biaya.
(4)
Data akuntansi yang tidak akurat
menghasilkan laporan keuangan yang
tidak andal dan jika material,
melanggar hukum. Secara tradisional
akuntan mengidentifikasi dua sumber
ancaman data akuntansi; kesalahan
dan penyimpangan .Error suatu
kebetulan.Penyimpangan adalah suatu
kesengajaan. Manajemen puncak
menciptakan kebijakan dan prosedur
pengendalian intern untuk mendeteksi
atau mencegah kesalahan dan
penyimpangan.
Komponen Pengendalian Internal
Organisasi memiliki lima komponen
Pengendalian Internal yaitu lingkungan
pengendalian,
penilaian
resiko,
aktivitas pengendalian, informasi dan
komunikasi, dan monitoring.
LINGKUNGAN PENGENDALIAN
Lingkungan
pengendalian
menentukan
nada
organisasi.
Menyediakan struktur dan disiplin,
adalah
sebuah
fondasi
untuk
komponen pengendalian internal yang
lain. Hal ini dipengaruhi oleh sejarah
dan kultur organisasi dan mempunyai
pengaruh yang meresap pada
bagaimana
organisasi
mencapai
tujuannya.
1. Integritas dan nilai etika.
Tujuan organisasi dan bagaimana
mereka dicapai didasarkan pada
preferensi dan nilai kebijakan yang
ketika diterjemahkan pada standar
perilaku, merefleksikan integritas
dan komitmen manajemen pada
nilai etika. Karena manajemen
menciptakan,
mengadministrasikan,
dan
memonitor sistem pengendalian
internal. Keffektivannya dibatasi
sikap
manajemen
terhadap
integritas dan nilai etika. Organisasi
yang memiliki etika yang kuat pada
semua level adalah vital. Ini
dipengaruhi oleh insentif dan
godaan yang manajemen sediakan.
Juga dipengaruhi oleh panduan
bahwa komunikasi manajemen,
secara formal dan informal pada
karyawan
2.
Komitmen pada kompetensi
.
Kompetensi bermakna bahwa
karyawan
mempunyai
pengatahuan dan keahliah yang
diperlukan untuk melaksanakan
pekerjaan.
Manajemen
memutuskan bagaimana pekerjaan
perlu dilakukan dan apakah
memperoleh capaian kemampuan
adalah lebih berharga dari biaya
memperoleh
orang
dengan
kemampuan yang diperlukan.
Manajemen
harus
juga
mengevaluasi trade off antara level
kemampuan karyawan dan jumlah
pengawasan yang duperlukan.
tetapi ketika manajemen memiliki
komitmen pada kompetensi,
sistem pengendalian intern adalah
lebih mungkin mencapai tujuan.
Dalam suatu organisasi kekurangan
iklim yang dikarakteristikkan
dengan kompetensi, kesalahan dan
irregulasi lebih mungkin terjadi.
3.
Dewan direktur dan partisipasi
komite audit
.
Komite audit terdiri beberapa
organisasi diluar dewan direksi –
mereka adalah, direktur yang tidak
dipekerjakan oleh organisasi dalam
kapasitas lain. Jika komite auidt
mengambil peran aktif dalam
mengatur kebijakan dan praktik,
sistem pengendalian internal lebih
effektif dalam mencapai tujuan
organisasi. Komite audit dapat
siaga terhadap seluruh masalah
dewan direksi sebelum menjadi
serius.
(5)
4.
Filosofi Manajemen dan gaya
beroperasi
Ini
meliputi
pendekatan
manajemen untuk mengambil
resiko bisnis, sikap terhadap
keakuratan data akuntansi, dan
menekankan pada memenuhi
budget dan tujuan operasi. Mereka
memiliki pengaruh signifikan pada
keeffektivan aktivitas pengendalian
organsasi.
Manajemen
yang
ditundukkan untuk mengambil
resiko adalah kurang mungkin
diarahkan dengan pengukuran
untuk menjaga pengendalian
intern.
5.
Struktur Organisasi
Struktur organisasi menyediakan
keseluruhan kerangka untuk
perencanaan,
pelaksanaan,
pengendalian,dan
aktivitas
monitoring yang dilakukan oleh
manajemen. Tujuan lebih dengan
mudah dicapai dalam organisasi
yang
struktur
organisasinya
merefleksikan fungsi organisasi
dan yang menetapkan otoritas dan
pertanggungjawaban
dengan
tepat.
6.
Penetapan otoritas dan tanggung
jawab
.
Manajeman menetapkan otoritas
dan tanggung jawab untuk aktivitas
operasi
dan
menetapkan
keterkaitan pelaporan dan metode
otorisasi. Sering manajemen untuk
mendorong
otoritas
yang
mengarah dalam organisasi dan
memberikan otoritas pengambilan
keputusan pada level personel
yang lebih rendah. Desentralisasi
dimaksudkan untuk mendorong
kreatifitas,
inisiatif,
dan
kemampuan
untuk
bereaksi
dengan cepat terhadap kompetisi.
Tantangan manajemen yang
penting adalah untuk membariskan
otoritas dengan akuntabilitas dan
mendelegasikan hanya untuk
keperluan
perluasan
untuk
mencapai tujuan. Lingkungan
pengendalian dipengaruhi oleh
luasnya pada pengakuan karyawan
yang
mereka
akan
dapat
dipertanggungjawabkan
7.
Kebijakan Sumber Daya manusia
dan Praktiknya
.
Kebijakan sumber daya manusia
dan praktik mengirimkan pesan
pada karyawan tentang apa
harapan organisasi dalam cara
integritas, perilaku etis, dan
kompetensi.
Kebijakan
ini
menjelaskan bagaimana organisasi
melatih,
mengevaluasi,
promosi,dan memberi kompensasi
karyawan.
Organisasi yang secara baik
melakukan
rekruietmen
menunjukkan bahwa organisasi
memiliki komitmen pada orang.
Praktik
dengar
pendapat
menunjukkan komitmen organisasi
untuk menyewa karyawan yang
kompeten dan dapat dipercaya.
Pelatihan
mengkomunikasikan
level yang diharapkan komitmen
organisasi untuk kemajuan
karyawannya. Insentif bonus dan
tindakan disiplin mengirim pesan
tentang perilaku yang diinginkan
dan tidak diinginkan.
Akhirnya, effektivitas beberapa
struktur pengendalian internal
berpijak pada kejujuran dan
kemapuan karyawan. Karyawan
yang jujur kurang mungkin untuk
komit pada defalcations, dan
kemampuan kurang mungkin
membuat kesalahan. Kecukupan
kebijakan personal dan praktik
(6)
menjamin
bahwa
organisasi
menggunakan orang yang mampu,
melatih mereka dengan tepat,
memberikan mereka kewajaran,
dan meberikan kompensasi yang
cukup.Kebijakan
seperti
ini
membuat kesalahan dan ketidak
aturan sedikit berkurang.
Contoh pertanyaan kunci untuk
membantu dalam mengevaluasi
sub komponen pengendalian
intern Lingkungan sebagai berikut:
Manajemen Filosofi dan gaya
operasi
Apakah
manajemen
menekankan
laba
jangka
pendek dan tujuan operasi
pada kerusakan tujuan jangka
panjang?
Apakah group manajemen
didominasi oleh satu atau
sedikit individu?
Apa tipe resiko bisnis yang
diambil
manajemen
dan
bagaimana resiko ini dikelola?
Apakah manajemen konservatif
atau agresif dalam menghadapi
pilihan
alternatif
prinsip
akuntansi yang tersedia?
Struktur Organisasi
Apakah
bagan
struktur
organisasi terbaru disiapkan,
menunjukkan
nama-nama
personel kunci?
Apakah fungsi sistem informasi
dipisahkan dari fungsi yang
bertentangan?
Bagaimana
departemen
akuntansi diorganisir?
Apakah fungsi auidt intern
terpisah dari akuntansi?
Apakah manajer bawahan
melapor pada lebih dari satu
supervisor?
Penetapan
Otoritas
dan
Tanggungjawab
Apakah
perusahaan
menyiapkan deskripsi tugas
secara
tertuis
yang
mendefinisikan tugas tertentu
dan hubungan pelaporan?
Apakahhubungan pelaporan?
Apakah persetujuan tertulis
diperlukan untuk perubahan
pada sistem informasi?
Apakah perusahaan secara jelas
sketsa pada karyawan dan
manajer batasan hubungan
otoritas – pertanggungjawaban?
Apakah perusahaan secara
tepat mendelegasikan otoritas
pada
karyawan
dan
departemen?
Kebijakan Sumber daya Manusia dan
praktik
Apakah
personel
baru
diindoktrinasi
dengan
penghormatan
pada
pengendalian
internal,
kebijakan
etika,
dan
pelaksanaan
kode
etik
perusahaan?
Apakah prosedur keluhan
untuk
mengatur
konflik
berlaku?
Apakah perusahaan memelihara
suatu program keserasian
hubungan karyawan?
Apakah karyawan bekerja
dengan aman, lingkungan yang
sehat?
Apakah program konseling
tersedia bagi karyawan?
Apakah program terpisah yang
tepat berlaku pada karyawan
yang
meninggalkan
perusahaan?
Apakah karyawan yang memiliki
akses pada kas dan inntrumen
(7)
yang dapat dicairkan yang lain
diikat?
Sumber,
AIS,
Fourth
Edition,
Wilkinson, page 238.
PENGENDALIAN SISTEM PDE
Jika audit dilaksanakan atas
satuan usaha (organisasi/perusahaan)
yang menggunakan komputer (PDE),
maka auditor harus mengetahui dan
memahami bagaimana pengendalian
dalam sistem PDE yang berlaku
disatuan usaha yang akan diperiksa.
SAS
(section
321.07)
pengendalian dalam sistem PDE
meliputi hal-hal sebagai berikut:
1. Rencana
struktur
dan
pengoperasian sistem PDE.
2. Prosedur pendokumentasian, audit,
pengujian dan persyaratan atau
sistem perubahannya.
3. Pengendalian yang tercakup dan
melekat dalam komputer tersebut
(hardware control).
4. Pengendalian pada manusia yang
mengerjakan dan mengakses pada
komputer dan arsip.
5. Prosedur pengendalian lainnya yang
berkaitan dengan operasi PDE.
Tujuan Pengendalian Intern
Sistem PDE adalah untuk membantu
manajemen
untuk
mencapai
keseluruhan pengendalian intern
termasuk di dalamnya kegiatan manual,
mekanis maupun program komputer
yang terlibat dalam pemrosesan data
dalam PDE.
Klasifikasi Pengendalian
Cara
alternatif
penyajian
dan
pengaturan pengendalian pada sistem
pemrosenan informasi diklasifikasikan
menjadi dua, yakni dengan risk
aversion dan dengan setting.
Gambar 4 - Plans for classifying controls
Sumber : AIS, Fourth Edition, Wilkinson
Klasifikasi berdasar Risk Aversion
Pengendalian dapat dikalsifikasikan sesuai
dengan cara mereka menghadapi resiko .
Pengendalian preventif menghentikan
kejadian kurang baik yang terjadi, seperti
kesalahan atau kerugian finansial.
Pengendalian preventif sifatnya cenderung
pasif . Pengendlian Detective menemukan
ancaman yang terjadi. Dia lebih aktif
daripada
pengendalian
preventif.
Pengendalian Corrective membantu dalam
memperbaiki penyeban ancaman kurang
Control classifications
By settings
By Risk aversion
General
Aplication
Input
Processing
Output
Corrective
Preventive
(8)
baik yang telah dideteksi. Pengendalian
corrective umumnya lebih aktif daripada
pengendalian detective.
Klasifikasi berdasar Setting
Satu dari kalsifikasi yang lebih berguna bagi
pegendalian aktivitas sistem pemrosesan
informasi dideskripsikan oleh laporan
COSO
(Committee
of
Sponsoring
Organization of the Treadway Committee)
Adalah sesuai pada dua kelompok General
Controls dan aplication controls. General
controls berhubungan pada semua
aktivitas sistem informasi akuntansi dan
sumberdaya perusahaan. Ini meliputi
pengendalian yang meliputi lingkungan
pengendalian intern seperti halnya
komponen pengendalian intern yang lain.
General control mencakup apa yang
ditemukan pada komponen aktivitas
pengendalian dari struktur pengendalian
intern. Aplication control berhubungan
pada pemrosesan tugas akuntansi
tertentuatau ytransaksi dan dapat disebut
transaction controls. Aplication atau
transaction controls parallel dengan
SIA.Kelompok pengendalin yang lain tidak
sesuai dengan salah satu kategori.
Pengendalian ini disebut security
measures,dimaksudkan untukmenyediakan
pengamanan yang cukup atas akses dan
penggunaan asset dan catatan data.
General Controls.
Berikut ini pengelompokan general control
utama untuk sistem pemrosesan informasi
:
1. PengendalianOrganisasi
2. Pegendalian pendokumentasian
3. Pengendalian akuntabilitas asset
4. Pengedalian praktikmanajemen
5. Pengendalian
pusat
operasi
informasi
6. Pengendalian Otorisasi
7. Pengendalian akses.
Pengendalian Organisasi.
Struktur
organisasi
peusahaan
menggambarkan dasar pengendalian
karena ini menetapkan keterkaitan
pekerjaan karyawan dan unit. Pusat tujuan
pengendalian, ketika mendesain struktur
organisasi,adalah
menetapkan
organisasiindependen. Jika dengan baik
disediakan melalui peisahan tugas dan
tanggung
jawab
secara
hati
-hatidanlogis,orgaisasiyang
independen
hasil dalam suatu pemiahan yang lengkap
fungsi-fungsi yang bertentangan. Inimelipui
dua atau lebih karyawan atauunit
organisasi dalamsetiapprosedur, yang
ditugaskan untuk mengecek pekerjaan
karyawanyang lain. Dengandemikian
kesalahan yang dibuat oleh stukaryawan
atau unit akan dideteksi oleh yang lain, dan
kecurangan dapat dilakukan hanya dengan
kolusi.
Meskipun
sangat
penting
pada
pengendalian organisasi, pemisahan tugas
dan
tanggung
jawab
umumnya
tidakcukup.banyakperusahaan
juga
tergantung pada komponen monitoring
daristruktur pengendalian internal.
Pengendalian pendokumentasian.
Sistem Informasi Akuntansi adalah suatu
yang komples, campuran dari prosedur
pengendalian, form, peralatan, dan
pengguna.Jika intruksi dan petunjuk untuk
pengoperasian sistem tidak cukup, sitem
kemungkinan akan berfungsi tidak effisien
dan dapat menyebabkan gangguan
berbahaya pada operasi.
Pendokumentasian terdiri dari prosedur
manual dan alat-alat lain yang menjelaskan
SIA/SIM dan operasinya. Juga harus
termasuk aspek – aspek perusahaan yang
memiliki dampak pada SIA, seperti policy
statement, bagan organisasi dan job
deskripsion. Pendokumentasian adalah
roda gigi yang penting dalam struktur
pengendalian intern, dia membantu
karyawan
untuk
memahami
danmenginterprestasikan kebijakan dan
prosedur.
Pengendalian Akuntabilitas Asset
Asset perusahaan adalah sumber daya
produktif. Dia adalah subyek kerugian
karenapencurian, pemborosan, pencurian,
kecelakaan,
dan
kerusakan,
dan
keputusanbisnis yang buruk. Resiko yang
lain adalah tanpa pengendalian intern ,
asset akan dinilai dengan tidak benar
(9)
dalam laporan keuangan, barangkali
karena kesalahan hitung kuantitas.
Pengendalian akuntabilitas asset tertentu
yang membantu memastikan bahwa asset
dinilai dengan tepat dalam catatan
akuntansi meliputi penggnaan buku
pembantu,
reonsiliasi,
prosedur
pengakuan, logs dan register, dan sistem
otomatis, tetapi dengan bertambahnya
kemampuan penghitungan oelh komputer
membuat mampu pengendalian seperi
rekonsiliasi dilaksanakan dalam sistem
otomatis.
Pengendalian Praktik manajemen
Beberapa dari resiko yang menjengkelkan
yang membuat perusahaan kemungkinan
tidak effisiennya manajemen. Berbagai
general control diperlukan untuk
menetralkan resiko yang berhubungan
dengan manajemen, meliputi kebijakan
sumber daya manusia dan praktik,
komitmen pada kompetensi, praktik
perencanaan,
praktik
audit,
dn
pengendalian manajemen dan operasi.
Sebagai tambahan kategori ini cukupluas
meliputi organisasi dan pengendalian
pendokumentasian. Pengelempokan final
pengendalian praktik manajemen terdiri
Pengendalian pengembangan sistem
aplikasi, yang meliputi perubahan
prosedur, dan pengembangan prosedur
sistem baru.
Pengendalian pusat sistem informasi.
Kelompok terakhir general control
dideskripsikan sebagai pengendalian pusat
operasi informasi. Pengendalian ini
berkenaan sebagian besar pada sistem
berdasar komputer dan dapat dibagi
menjadi (1) prosedur operasi komputer
dan (2) Perangkat keras dan perangka t
lunak komputer.
Aplication Control
Pengendalian yang berkenaan langsung
pada sistem pemrosesan transaksi disebut
pengendaian aplikasi atau transaksi..
Keseluruhan tujuan pengendalian aplikasi
adalah memabntu memastikan bahwa
semua transaksi adalah terlegitimasi
otorisasinya dan secara akurat tercatat,
terklasifikasi
dan
terproses
dan
terlaporkan.
Pengendalian
aplikasi
umumnya dibagi pada pengendalian
pemrosesan input dan output.
Pengendalian Input
Transaksi harus dicatat dengan akurat,
dengan lengkap, dan dengan segera.
Jumlah yang tepat harus direfleksikan
dalam rekening yang tepat dan dalam
periode akuntansi selama transaksi terjadi.
Semua data kesalahan harus dideteksi,
dikoreksi, dan dismapaikan kembali oleh
depatemen pengguna untuk pemrosesan.
Pengendalian Pemrosesan
Pengendalian atas pemrosesan transaksi
harus memastikan bahwa data diproses
dengan akurat dan dengan lengkap, dan
tidak ada transaksi yang tidak diotorisasi
yang terproses, file dan program yang
tepat, dan semua transaksi dapat dilacak
dengan mudah. Pengendalian pemrosesan
dapat dikelompokkan berdasar manual
cross-cheks, processing logic,logic cheks,
run to run control, file dan program chek
dn audit trail linkages.
Pengendalian Output
Output dihasilkan oleh sistem informasi
harus lengkap dan dapat diandalkan dan
harus didistribusikan pada penerima yang
tepat. Kebanyajkan pengendalian output
adalah
review of processing result
dan
controlled distribution of outputs
.
Reviews of Processing Result
. Penerima
keluaran
yang
diproses
meliputi
manajer,karyawan,konsumen,
kreditur,
dan auditor., mereka yang mereview untuk
menverifikasi
keakuratan
hasil
pemrosesan.
Controlled Distribution of Outputs
.
Keluaran dihasilkan selama pemrosesan
harus didistribusikan hanya pada pengguna
yang tepat. Distribusi dapat dikendalikan
dengan alat register distribusi. Dengan
referensi
pada
register,kelompok
pengendali
harus
mendistribusikan
keluaran secara langsung dan dalam cara
tepat waktu, pencatatan distribusi pada log
pengendali. Dalam menerima keluaran,
pengguna harus dengan hati-hati mereview
isinya dengan membandingkan beberapa
(10)
perhitungan terhadap data input dan
penilaian kebijakan mereka.
Kelayakan Pengendalian.
Membangun struktur pengendalian intern
yang effektif dan effisien bukanlah tugas
sederhana. Hal ini melibatkan lebih
daripada sekedar pemasangan semua
pengendalian dan ukuran keamanan yang
datang untuk mengurus. Audit dan
masalah cost harus juga dipertimbangkan.
1. Pertimbangan Audit.
Ciri kkas SIA
mengalami periode auidt. Secara normal,
struktur pengendalian intern menerima
penelitian dengan cermat selama audit.
Dengan demikian struktur pengendalian
intern harus didesain menjadi penuh dapat
diaudit. Dalam hal ini, analisis tertentu dan
rekonsiliasi dapat secara otomatis
dihasilkan pada basis rutin untuk
digunakan oleh auditor.Umumnya auditor
intern harus dimintai konlustasi selama
fase pengembangan sistem, oleh karena itu
bahwa
semua
yang
diperlukan
pengendalian harus dipertimbangkan lebih
dahulu.
2. Pertimbangan biaya – manfaat.
Membangun pengendalian dalam sistem
informasi melibatkan biaya. Penambahan
pengendalian
setelah
sitem
diimplementasikan unumnya cenderung
lebih mahal dan sulit. Jika setiap
pengendalian yang dikhayalkan tercakup
dalam struktur organisasi,total biaya akan
mungkin melebihi yang biasa. Dengan
demikian auditor intern perusahaan harus
melaksanakan analisis biaya – manfaat.
Kekuatan
untuk
perbaikan
pengendalian.
Pada dekade terakhir, berbagai kekuatan
muncul untuk mendorong perbaikan
sistem pengendalian intern. Barangkali
kekuatan yang paling berpengaruh adalah
manajer, asosiasi profesional, dan badan
pemerintah.
1. Kebutuhan manajemen
. Manajer
kebanyakan
perusahaan
mengakui
kebutuhan vital mereka akan struktur
pengendalian intern yang cukup. Mereka
memiliki kesadaran besarnya kerugian dan
kerusakan yang terjadi pada mahalnya
asset yang dipercayakan pada mereka.
2. Perhatian Asosiasi Profesional pada
Etika
. Asosiasi profesi akuntansi telah
memiliki kode etik. Salah satu tujuan paling
penting kode etik adalah untuk membantu
profesional memilih diantara alternatif
yang tidak jelas. Termasuk berkenaan
dengan bahan-bahan seperti independensi,
kompetensi teknik, dan kepantasan praktik
selama audit dan perikatan konsultasi yang
melibatkan sistem informasi.
3. Seleksi tindakan dan kekuasaan badan
pemerintah
. Investigasi oleh agen
pemerintah seperti BAPEPAM sudah
mengungkapkan aktivitas ilegal pada
perusahaan yang tidak terdeteksi struktur
pengendalian intern.Sebagai konsekuensi
badan pemerintah mengeluarkan suatu
peraturan yang mensyaratkan perusahaan
untuk memikirkan dan menyelenggarakan
struktur pengendalian intern yang
cukup..manajer perusahaan secara legal
eperti halnya tanggung jawab secara etika
untuk menetapkan dan menyelenggarakan
struktur pengendalian intern yang cukup.
Mereka diharapkan menetapkan suatu
level “Kesadaran pengendalian” demikian
halnya karyawan tidak menundukkan
untukxmenumbangkan
struktur
pengendalian. Manajemen yang dengan
sadar berbelit-belit dengan persyaratan
aturan menjadi subyek hukuman kriminal.
KEJAHATAN KOMPUTER
Jumlah
kejahatan
komputer
(computer crime), terutama yang
berhubungan dengan sistem informasi,
akan terus meningkat dikarenakan
beberapa hal, antara lain:
a. Aplikasi bisnis yang menggunakan
(berbasis) teknologi informasi dan
jaringan komputer semakin meningkat.
Sebagai contoh saat ini mulai
bermunculan aplikasi bisnis seperti
on-line banking,
electronic commerce
(e-commerce),
Electronic Data Interchange
(EDI), dan masih banyak lainnya.
b. Desentralisasi (dan
distributed) server
menyebabkan lebih banyak sistem yang
(11)
harus ditangani. Hal ini membutuhkan
lebih banyak operator dan administrator
yang handal yang juga kemungkinan
harus disebar di seluruh lokasi.
c. Transisi dari
single vendor
ke
multi-vendor
sehingga lebih banyak sistem
atau perangkat yang harus dimengerti
dan masalah
interoperability
antar
vendor yang lebih sulit ditangani. Untuk
memahami satu jenis perangkat dari
satu vendor saja sudah susah, apalagi
harus
menangani
berjenis-jenis
perangkat.
d. Meningkatnya kemampuan pemakai di
bidang komputer sehingga mulai banyak
pemakai yang mencoba-coba bermain
atau membongkar system yang
digunakannya (atau sistem milik orang
lain). Jika dahulu akses ke komputer
sangat sukar, maka sekarang komputer
sudah merupakan barang yang mudah
diperoleh dan banyak dipasang di
sekolah serta rumah-rumah.
e. Mudahnya diperoleh software untuk
menyerang komputer dan jaringan
komputer. Banyak tempat di Internet
yang menyediakan software yang
langsung dapat diambil (
download) dan
langsung digunakan untuk menyerang
dengan
Graphical User Interface
(GUI)
yang mudah digunakan.
f. Kesulitan dari penegak hukum untuk
mengejar kemajuan dunia komputer
dan telekomunikasi yang sangat cepat.
Hukum yang berbasis ruang dan waktu
akan mengalami kesulitan untuk
mengatasi masalah yang justru terjadi
pada sebuah sistem yang tidak memiliki
ruang dan waktu. Barang bukti digital
juga masih sulit diakui oleh pengadilan
Indonesia sehingga menyulitkan dalam
pengadilan. Akibatnya pelaku kejahatan
cyber hanya dihukum secara ringan
sehingga ada kecenderungan mereka
melakukan hal itu kembali.
g. Semakin kompleksnya sistem yang
digunakan1, seperti semakin besarnya
program (source code) yang digunakan
sehingga semakin besar probabilitas
terjadinya lubang keamanan (yang
disebabkan kesalahan pemrograman,
bugs).
h. Semakin banyak perusahaan yang
menghubungkan sistem informasinya
dengan jaringan komputer yang global
seperti Internet. Hal ini membuka akses
dari seluruh dunia. (Maksud dari akses
ini adalah sebagai target dan juga
sebagai penyerang.) Potensi sistem
informasi yang dapat dijebol dari
mana-mana menjadi lebih besar.
KECURANGAN DAN JENIS KECURANGAN
KOMPUTER
Untuk lebih berhasilnya peran
auditor
dalam
pencegahan
dan
pendeteksian
adanya
kecurangan,
sebaiknya
internal
auditor
perlu
memahami kecurangan dan jenis-jenis
kecurangan yang mungkin terjadi dalam
perusahaan.
G.Jack Bologna, Robert
J.Lindquist
dan
Joseph
T.Wells
mendifinisikan kecurangan “
Fraud is
criminal deception intended to financially
benefit the deceiver
(1993,hal 3 )” yaitu
kecurangan adalah penipuan kriminal yang
bermaksud untuk memberi manfaat
keuangan kepada si penipu. Kriminal disini
berarti setiap tindakan kesalahan serius
yang dilakukan dengan maksud jahat. Dan
dari tindakan jahat tersebut ia
memperoleh manfaat dan merugikan
korbannya secara financial. Biasanya
kecurangan mencakup tiga langkah yaitu:
(1) tindakan/the act.,
(2) Penyembunyian/theconcealment,
dan
(3)
konversi/the conversion
Misalnya pencurian atas harta
persediaan adalah tindakan, kemudian
pelaku akan menyembunyikan kecurangan
tersebut misalnya dengan membuat bukti
transaksi pengeluaran fiktif. Selanjutnya
setelah perbuatan pencurian dan
penyembunyian dilakukan, pelaku akan
melakukan konversi dengan cara memakai
sendiri atau menjual persediaan tersebut.
Pada dasarnya terdapat dua tipe
kecurangan, yaitu eksternal dan internal.
Kecurangan eksternal adalah kecurangan
yang dilakukan oleh pihak luar terhadap
suatu
perusahaan/entitas,
seperti
(12)
kecurangan yang dilakukan pelanggan
terhadap usaha; wajib pajak terhadap
pemerintah. Kecurangan internal adalah
tindakan tidak legal dari karyawan,
manajer
dan
eksekutif
terhadap
perusahaan tempat ia bekerja.
Association
of Certified Fraud Examinations (ACFE
-2000), mengkategorikan kecurangan dalam
tiga kelompok sebagai berikut:
a.
Kecurangan
Laporan
Keuangan
(Financial
Statement
Fraud
),
Kecurangan Laporan Keuangan dapat
didefinisikan sebagai kecurangan yang
dilakukan oleh manajemen dalam
bentuk salah saji material Laporan
Keuangan yang merugikan investor dan
kreditor. Kecurangan ini dapat bersifat
financial atau kecurangan non financial.
b.Penyalahgunaan
aset
(
Asset
Misappropriation), Penyalahagunaan
aset dapat digolongkan ke dalam
‘Kecurangan Kas’ dan ‘Kecurangan atas
Persediaan dan Aset Lainnya’, serta
pengeluaran-pengeluaran biaya secara
curang (fraudulent disbursement).
c.Korupsi (Corruption), Korupsi dalam
konteks pembahasan ini adalah korupsi
menurut
ACFE, bukannya pengertian
korupsi menurut UU Pemberantasan
TPK di Indonesia. Menurut
ACFE,
korupsi terbagi ke dalam pertentangan
kepentingan (conflict of interest), suap
(bribery), pemberian illegal (
illegal
gratuity), dan pemerasan (economic
extortion).
TIPE
DAN
CONTOH
KEJAHATAN
KOMPUTER
Banyak survey pemerintah dan
sektor swasta menunjukkan bahwa
kejahatan
komputer
cenderung
bertambah. Sulit untuk menghitung
dampak
ekonomis
kejahatan
ini,
bagaimanapun, karena banyak yang tidak
pernah dideteksi atau dilaporkan.
Kejahatan komputer dapat dibagi menjadi
dua kategori, yakni kejahatan terhadap
komputer dan kejahatan menggunakan
komputer.
Semua tingkatan operasi komputer
rentan terhadap aktivitas kejahatan,
apakah sebagai target kejahatan atau
instrument kejahatan atau keduanya. Input
operasi, pemrosesan data, output operasi
dan
komunikasi
semuanya
telah
menggunakan tujuan gelap.
1. Penipuan dengan manipulasi komputer
Aset yang tidak dapat diukur yang
berbentuk format data, seperti uang
deposito atau jam kerja, adalah target
umum penipuan yang berkaitan dengan
komputer. Bisnis modern dengan cepat
menggantikan (uang) tunai dengan deposit
transaksi dalam sistem komputer,
menciptakan hal potensial besar bagi
penyalahgunaan komputer. Informasi kartu
kredit, seperti juga informasi personal dan
finansial mengenai kartu kredit klien,
sering menjadi target komunitas organisasi
kejahatan. Penjualan informasi palsu kartu
kredit dan dokumen perjalanan telah
menjadi sangat menguntungkan. Penipuan
komputer dengan input manipulasi adalah
kejahatan yang paling sering, juga mudah
dilakukan dan sulit untuk dideteksi.
Manipulasi program, lebih sulit untuk
menemukannya dan lebih sering tidak
mengenalinya, membutuhkan pelaku yang
memiliki pengetahuan komputer spesifik
.
2. Pemalsuan komputer
Ketika data yang berkaitan dengan
dokumen yang disimpan dalam format
komputer diubah, berupa kejahatan
penipuan. Dalam hal ini, sistem komputer
adalah target aktivitas kejahatan.
Komputer, dapat juga digunakan sebagai
instrumen untuk melakukan penipuan.
3. Kerusakan atau perubahan data atau
program komputer
Kategori aktivitas kejahatan ini
meliputi apakah akses langsung atau
tersembunyi yang tidak terotorisasi
terhadap sistem komputer dengan
memasukkan virus, worms atau logic bom.
Perubahan yang tidak terotorisasi seperti
penghapusan data atau fungsi dengan
internet untuk menyembunyikan fungsi
normal sistem yang jelas merupakan
(13)
aktivitas kejahatan dan sering dikenal
dengan sabotase komputer.
4. Akses yang tidak terotorisasi ke dalam
sistem dan layanan komputer
Keinginan untuk dapat mengakses
sistem komputer dapat diakibatkan oleh
berbagai motif, dimulai dari keingintahuan
yang sederhana, yang ditunjukkan oleh
banyak hacker, dengan sabotase atau
spionase komputer. Akses yang tidak
terotorisasi dan disengaja oleh seseorang
yang tidak diotorisasi oleh pemilik atau
operator sebuah sistem merupakan
kebiasaan kriminal. Akses yang tidak
otorisasi menciptakan peluang yang
menyebabkan
kerusakan
tambahan
kerusakan data, sistem yang
crash
atau
rintangan untuk legitimasi pengguna
sistem dengan kesemberonoan.
5. Reproduksi yang tidak terotorisasi dari
program komputer yang dilindungi hukum
Reproduksi program komputer
yang tidak terotorissi dapat berarti
kerugian ekonomis substansial terhadap
pemilik otoritas. Beberapa yurisdiksi telah
menentukan bahwa tipe aktivitas ini harus
menjadi subjek sanksi kriminalitas.
Masalah tersebut telah mencapai dimensi
transnational dengan trafiking reproduksi
yang tidak terotorisasi terhadap jaringan
telekomunikasi modern.
6. Intelektual properti
Konsep hukum properti intelektual
telah didasarkan pada pengenalan hak-hak
dasar properti intelektual dan kebijakan
yang mendorong penciptaan karya dengan
mengakui hak tertentu pembuatnya.
Dalam wilayah teknologi informasi, konsep
ini terutama sekali penting bagi
perlindungan program komputer dan
topografi semikonduktor.
Intelektual
properti meliputi:
1. Paten; Memberikan pemilik paten hak
hukum yang dilaksanakan untuk
mengeluarkan orang lain dari praktek
penemuan yang memiliki paten untuk
periode waktu tertentu. Hukum paten
melindungi penemuan dan proses
(“kegunaan” paten).
2. Copyright; Melindungi “pekerjaan
orisinil kepengarangan”; melindungi
hak penulis untuk mengontrol
reproduksi, adaptasi, distribusi publik,
kinerja karya orisinil ini; dapat
diaplikasikan ke software dan
database.
3. Trade Secret; Mengamankan dan
memelihara kerahasiaan teknis pemilik
atau informasi yang berkaitan dengan
bisnis yang cukup terlindungi dari
penyingkapan oleh pemilik. Akibat
wajar terhadap definisi ini adalah
bahwa
pemiliknya
telah
menginvestasikan sumberdaya untuk
mengembangkan informasi ini, hal ini
berharga bagi bisnis pemiliknya, yang
berharga bagi pesaing, dan tidak nyata.
4.
Trademark;
Menyusun kata, nama,
simbol, warna, suara, produk, bentuk,
device, atau kombinasi ini yang akan
digunakan untuk mengidentifikasi
barang dan untuk membedakannya
dari yang dibuat atau dijual yang lain.
7. Program Komputer
Perlindungan
rahasia
bisa
mempergunakan tanggal yang disimpan
-komputer, termasuk program komputer itu
sendiri. Bagaimanapun, sejak device
hukum ini dibatasi untuk program rahasia,
hubungan spesial dan/atau hukum spesifik
pengaksesan informasi, yang tidak cukup
untuk menjamin perdagangan yang aman
berkaitan dengan program komputer
secara umum. Ketidaksesuain harga antara
program komputer orisinil yang mahal dan
reproduksi yang tidak terotorisasi yang
lebih murah begitu luas bahwa ada
permintaan di semua negara bagi regulasi
yang lebih komprehensif dari aktivitas ini.
Sistem protektif dapat dikembangkan
untuk memasukkan program nonrahasia
dan dapat dipakai kelompok ketiga.
PENCEGAHAN KECURANGAN
Peran utama dari internal auditor
sesuai
dengan
fungsinya
dalam
pencegahan kecuarangan adalah berupaya
(14)
untuk menghilangkan atau mengeleminir
sebab- sebab timbulnya kecurangan
tersebut. Karena pencegahan terhadap
akan terjadinya suatu perbuatan curang
akan lebih mudah daripada mengatasi bila
telah terjadi kecurangan tersebut. Pada
dasarnya kecurangan sering terjadi pada
suatu suatu entitas apa bila :
a. Pengendalian intern tidak ada atau
lemah atau dilakukan dengan longgar
dan tidak efektif.
b. Pegawai
dipekerjakan
tanpa
memikirkan kejujuran dan integritas
mereka.
c. Pegawai diatur, dieksploitasi dengan
tidak baik, disalahgunakan atau
ditempatkan dengan tekanan yang
besar untuk mencapai sasaran dan
tujuan keuangan yang mengarah
tindakan kecurangan.
d. Model manajemen sendiri melakukan
kecurangan, tidak efsien dan atau tidak
efektif serta tidak taat terhadap hukum
dan peraturan yang berlaku.
e. Pegawai yang dipercaya memiliki
masalah pribadi yang tidak dapat
dipecahkan , biasanya masalah
keuangan,
kebutuhan
kesehatan
keluarga, gaya hidup yang berlebihan.
f. Industri dimana perusahaan menjadi
bagiannya, memiliki sejarah atau tradisi
kecurangan
Pencegahan kecurangan pada
umumnya
adalah
aktivitas
yang
dilaksanakan manajemen dalam hal
penetapan kebijakan, sistem dan prosedur
yang membantu meyakinkan bahwa
tindakan yang diperlukan sudah dilakukan
dewan komisaris, manajemen, dan personil
lain perusahaan untuk dapat memberikan
keyakinan memadai dalam mencapai 3
(tiga) tujuan pokok yaitu; keandalan
pelaporan keuangan, efektivitas dan
efisiensi operasi serta kepatuhan terhadap
hukum & peraturan yang berlaku.
Untuk hal tersebut, kecurangan
yang mungkin terjadi harus dicegah antara
lain dengan cara –cara berikut:
1)
Membangun struktur pengendalian
intern yang baik
Dengan semakin berkembangnya
suatu perusahaan, maka tugas manajemen
untuk mengendalikan jalannya perusahaan
menjadi semakin berat. Agar tujuan yang
telah ditetapkan top manajemen dapat
dicapai, keamanan harta perusahaan
terjamin dan kegiatan operasi bisa
dijalankan secara efektif dan efisien,
manajemen perlu mengadakan struktur
pengendalian intern yang baik dan efektif
mencegah kecurangan.
2)
Mengefektifkan aktivitas pengendalian
(1) Review Kinerja
Aktivitas pengendalian ini mencakup
review atas kinerja sesungguhnya
dibandingkan
dengan
anggaran,
prakiraan, atau kinerja priode
sebelumnya, menghubungkan satu
rangkaian data yang berbeda operasi
atau keuangan satu sama lain, bersama
dengan analisis atas hubungan dan
tindakan penyelidikan dan perbaikan;
dan review atas kinerja fungsional atau
aktivitas seseorang manajer kredit atas
laporan cabang perusahaan tentang
persetujuan dan penagihan pinjaman.
(2) Pengolahan informasi
Berbagai pengendalian dilaksanakan
untuk
mengecek
ketepatan,
kelengkapan, dan otorisasi transaksi.
Dua pengelompokan luas aktivitas
pengendalian sistem informasi adalah
pengendalian umum (
general control)
dan pengendalian aplikasi (
application
control). Pengendalian umum biasanya
mencakup pengendalian atas operasi
pusat data, pemerosesan dan
pemeliharaan perangkat lunak sistem,
keamanan akses, pengembangan dan
pemeliharaan
sistem
aplikasi.
Pengendalian ini berlaku untuk
maiframe,
minicomputer
dan
lingkungan pemakai akhir (
end-user
).
Pengendalian
ini
membantu
menetapkan bahwa transaksi adalah
sah, diotorisasi semestinya, dan diolah
secara lengkap dan akurat.
(3) Pengengendalian fisik
Aktivitas pengendalian fisik mencakup
keamanan fisik aktiva, penjagaan yang
(15)
memadai terhadap fasilitas yang
terlindungi dari akses terhadap aktiva
dan catatan; otorisasi untuk akses ke
program komputer dan data files; dan
perhitungan secara periodik dan
pembandingan dengan jumlah yang
tercantum dalam catatan pengendali.
(4) Pemisahan tugas
Pembebanan tanggungjawab ke orang
yang berbeda untuk memberikan
otorisasi,
pencatatan
transaksi,
menyelenggarakan
penyimpanan
aktiva ditujukan untuk mengurangi
kesempatan bagi seseorang dalam
posisi baik untuk berbuat kecurangan
dan
sekaligus
menyembunyikan
kekeliruan dan ketidakberesan dalam
menjalankan tugasnya dalam keadaan
normal.
3)
Meningkatkan kultur organisasi
Meningkatkan kultur organisasi
dapat
dilakukan
dengan
mengimplementasikan
prinsip-prinsip
Good Corporate Governance (GCG)
yang
saling terkait satu sama lain agar dapat
mendorong
kinerja
sumber-sumber
perusahaan bekerja secara efisien,
menghasikan nilai ekonomi jangka panjang
yang berkesinambungan bagi para
pemegang saham maupun masyarakat
sekitar secara keseluruhan.
4)
Mengefektifkan fungsi internal audit
Walaupun internal auditor tidak
dapat menjamin bahwa kecurangan tidak
akan terjadi, namun ia harus menggunakan
kemahiran jabatannya dengan saksama
sehingga diharapkan mampu mendeteks i
terjadinya kecurangan dan dapat
memberikan saran-saran yang bermafaat
kepada manajemen untuk mencegah
terjadinya kecurangan.
SIMPULAN
Dalam menjalankan kegiatan
usahanya,
perusahaan
senantiasa
menghadapi berbagai resiko yang
dinamakan resiko bisnis (bussiness risk).
Termasuk diantaranya adalah resiko
terjadinya kecurangan (fraud)
yang
tergolong dalam resiko integritas (
Integrity
Risk). Menurut ACFE, kecurangan yang
terjadi dapat digolongkan ke dalam tiga
kategori kecurangan, kecurangan laporan
keuangan (Financial Statement Fraud
),
penyalahgunaan
aset
(
Asset
Misappropriation),
dan
korupsi
(Corruption).
Tanda-tanda
awal
(symptoms) biasanya muncul dalam kasus
kecurangan, walau demikian munculnya
symptoms
tersebut belum berarti telah
terjadi kecurangan.
Symptoms
ini dikenal
dengan nama
Red flag, yang seyogyanya
dipahami dan digunakan oleh internal
auditor dalam melakukan analisis dan
evaluasi lebih lanjut untuk mendeteksi
adanya kecurangan yang mungkin timbul
sebelum dialakuakan investigasi.
Setelah memahami jenis-jenis
kecurangan, internal auditor perlu
memahami secara tepat struktur
pengendalian intern yang baik agar dapat
melakukan upaya-upaya untuk mencegah
dan mendeteksi kecurangan. Menurut
COSO, struktur pengendalian intern terdiri
atas lima komponen, yaitu Lingkungan
Pengendalian (Control Environment),
Penaksiran Risiko (Risk Assessment
),
Standar Pengedalian (Control Activities
),
Informasi Dan Komunikasi (
Information
And Communication), serta Pemantauan
(Monitoring).
Jika struktur internal control sudah
ditempatkan dan berjalan dengan baik,
peluang adanya kecurangan yang tak
terdeteksi akan banyak berkurang.
Pemeriksa kecurangan harus mengenal dan
memahami dengan baik setiap elemen
dalam struktur pengendalian intern agar
dapat melakukan evaluasi dan mencari
kelemahannya.
DAFTAR PUSTAKA
Amrizal.
2006.
Pencegahan
Dan
Pendeteksian Kecurangan Oleh
Internal Auditor. BPKP. Available at:
www.bpkp.go.id
Boockholdt j.L . 1999.
Accounting
Information Systems.
Fifth Edition,
Mc Grow Hill.
(16)
Wilkinson, C. et al. 2000.
Accounting
Information Systems.
Fourth Edition.
John Wiley and Sons. Inc.
Romney, M.B. & Paul John Steinbart. 2006.
Accounting Information Systems.
9
thEd, Salemba Empat. Jakarta.
Safuddien, H. 2000.
Membangun GCG pada
Perusahaan menuju Sustainable
Company. Proceeding Konvensi
Nasional Akuntan IV.
Rahardjo, B. 2005.
Keamanan Sistem
Informasi Berbasis Internet.
PT Insan
Infonesia - Bandung
(1)
harus ditangani. Hal ini membutuhkan lebih banyak operator dan administrator yang handal yang juga kemungkinan harus disebar di seluruh lokasi.
c. Transisi dari single vendor ke multi-vendor sehingga lebih banyak sistem atau perangkat yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani. Untuk memahami satu jenis perangkat dari satu vendor saja sudah susah, apalagi harus menangani berjenis-jenis perangkat.
d. Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar system yang digunakannya (atau sistem milik orang lain). Jika dahulu akses ke komputer sangat sukar, maka sekarang komputer sudah merupakan barang yang mudah diperoleh dan banyak dipasang di sekolah serta rumah-rumah.
e. Mudahnya diperoleh software untuk menyerang komputer dan jaringan komputer. Banyak tempat di Internet yang menyediakan software yang langsung dapat diambil (download) dan langsung digunakan untuk menyerang dengan Graphical User Interface (GUI) yang mudah digunakan.
f. Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat. Hukum yang berbasis ruang dan waktu akan mengalami kesulitan untuk mengatasi masalah yang justru terjadi pada sebuah sistem yang tidak memiliki ruang dan waktu. Barang bukti digital juga masih sulit diakui oleh pengadilan Indonesia sehingga menyulitkan dalam pengadilan. Akibatnya pelaku kejahatan cyber hanya dihukum secara ringan sehingga ada kecenderungan mereka melakukan hal itu kembali.
g. Semakin kompleksnya sistem yang digunakan1, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan (yang
disebabkan kesalahan pemrograman, bugs).
h. Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti Internet. Hal ini membuka akses dari seluruh dunia. (Maksud dari akses ini adalah sebagai target dan juga sebagai penyerang.) Potensi sistem informasi yang dapat dijebol dari mana-mana menjadi lebih besar.
KECURANGAN DAN JENIS KECURANGAN KOMPUTER
Untuk lebih berhasilnya peran auditor dalam pencegahan dan pendeteksian adanya kecurangan, sebaiknya internal auditor perlu memahami kecurangan dan jenis-jenis kecurangan yang mungkin terjadi dalam perusahaan. G.Jack Bologna, Robert J.Lindquist dan Joseph T.Wells mendifinisikan kecurangan “ Fraud is criminal deception intended to financially benefit the deceiver (1993,hal 3 )” yaitu kecurangan adalah penipuan kriminal yang bermaksud untuk memberi manfaat keuangan kepada si penipu. Kriminal disini berarti setiap tindakan kesalahan serius yang dilakukan dengan maksud jahat. Dan dari tindakan jahat tersebut ia memperoleh manfaat dan merugikan korbannya secara financial. Biasanya kecurangan mencakup tiga langkah yaitu:
(1) tindakan/the act.,
(2) Penyembunyian/theconcealment,dan (3) konversi/the conversion
Misalnya pencurian atas harta persediaan adalah tindakan, kemudian pelaku akan menyembunyikan kecurangan tersebut misalnya dengan membuat bukti transaksi pengeluaran fiktif. Selanjutnya setelah perbuatan pencurian dan penyembunyian dilakukan, pelaku akan melakukan konversi dengan cara memakai sendiri atau menjual persediaan tersebut.
Pada dasarnya terdapat dua tipe kecurangan, yaitu eksternal dan internal. Kecurangan eksternal adalah kecurangan yang dilakukan oleh pihak luar terhadap suatu perusahaan/entitas, seperti
(2)
kecurangan yang dilakukan pelanggan terhadap usaha; wajib pajak terhadap pemerintah. Kecurangan internal adalah tindakan tidak legal dari karyawan, manajer dan eksekutif terhadap perusahaan tempat ia bekerja. Association of Certified Fraud Examinations (ACFE -2000), mengkategorikan kecurangan dalam tiga kelompok sebagai berikut:
a. Kecurangan Laporan Keuangan (Financial Statement Fraud), Kecurangan Laporan Keuangan dapat didefinisikan sebagai kecurangan yang dilakukan oleh manajemen dalam bentuk salah saji material Laporan Keuangan yang merugikan investor dan kreditor. Kecurangan ini dapat bersifat financial atau kecurangan non financial. b. Penyalahgunaan aset (Asset Misappropriation), Penyalahagunaan aset dapat digolongkan ke dalam ‘Kecurangan Kas’ dan ‘Kecurangan atas Persediaan dan Aset Lainnya’, serta pengeluaran-pengeluaran biaya secara curang (fraudulent disbursement). c. Korupsi (Corruption), Korupsi dalam
konteks pembahasan ini adalah korupsi menurut ACFE, bukannya pengertian korupsi menurut UU Pemberantasan TPK di Indonesia. Menurut ACFE, korupsi terbagi ke dalam pertentangan kepentingan (conflict of interest), suap (bribery), pemberian illegal (illegal gratuity), dan pemerasan (economic extortion).
TIPE DAN CONTOH KEJAHATAN KOMPUTER
Banyak survey pemerintah dan sektor swasta menunjukkan bahwa kejahatan komputer cenderung bertambah. Sulit untuk menghitung dampak ekonomis kejahatan ini, bagaimanapun, karena banyak yang tidak pernah dideteksi atau dilaporkan. Kejahatan komputer dapat dibagi menjadi dua kategori, yakni kejahatan terhadap komputer dan kejahatan menggunakan komputer.
Semua tingkatan operasi komputer rentan terhadap aktivitas kejahatan,
apakah sebagai target kejahatan atau instrument kejahatan atau keduanya. Input operasi, pemrosesan data, output operasi dan komunikasi semuanya telah menggunakan tujuan gelap.
1. Penipuan dengan manipulasi komputer Aset yang tidak dapat diukur yang berbentuk format data, seperti uang deposito atau jam kerja, adalah target umum penipuan yang berkaitan dengan komputer. Bisnis modern dengan cepat menggantikan (uang) tunai dengan deposit transaksi dalam sistem komputer, menciptakan hal potensial besar bagi penyalahgunaan komputer. Informasi kartu kredit, seperti juga informasi personal dan finansial mengenai kartu kredit klien, sering menjadi target komunitas organisasi kejahatan. Penjualan informasi palsu kartu kredit dan dokumen perjalanan telah menjadi sangat menguntungkan. Penipuan komputer dengan input manipulasi adalah kejahatan yang paling sering, juga mudah dilakukan dan sulit untuk dideteksi. Manipulasi program, lebih sulit untuk menemukannya dan lebih sering tidak mengenalinya, membutuhkan pelaku yang memiliki pengetahuan komputer spesifik. 2. Pemalsuan komputer
Ketika data yang berkaitan dengan dokumen yang disimpan dalam format komputer diubah, berupa kejahatan penipuan. Dalam hal ini, sistem komputer adalah target aktivitas kejahatan. Komputer, dapat juga digunakan sebagai instrumen untuk melakukan penipuan. 3. Kerusakan atau perubahan data atau program komputer
Kategori aktivitas kejahatan ini meliputi apakah akses langsung atau tersembunyi yang tidak terotorisasi terhadap sistem komputer dengan memasukkan virus, worms atau logic bom. Perubahan yang tidak terotorisasi seperti penghapusan data atau fungsi dengan internet untuk menyembunyikan fungsi normal sistem yang jelas merupakan
(3)
aktivitas kejahatan dan sering dikenal dengan sabotase komputer.
4. Akses yang tidak terotorisasi ke dalam sistem dan layanan komputer
Keinginan untuk dapat mengakses sistem komputer dapat diakibatkan oleh berbagai motif, dimulai dari keingintahuan yang sederhana, yang ditunjukkan oleh banyak hacker, dengan sabotase atau spionase komputer. Akses yang tidak terotorisasi dan disengaja oleh seseorang yang tidak diotorisasi oleh pemilik atau operator sebuah sistem merupakan kebiasaan kriminal. Akses yang tidak otorisasi menciptakan peluang yang menyebabkan kerusakan tambahan kerusakan data, sistem yang crash atau rintangan untuk legitimasi pengguna sistem dengan kesemberonoan.
5. Reproduksi yang tidak terotorisasi dari program komputer yang dilindungi hukum Reproduksi program komputer yang tidak terotorissi dapat berarti kerugian ekonomis substansial terhadap pemilik otoritas. Beberapa yurisdiksi telah menentukan bahwa tipe aktivitas ini harus menjadi subjek sanksi kriminalitas. Masalah tersebut telah mencapai dimensi transnational dengan trafiking reproduksi yang tidak terotorisasi terhadap jaringan telekomunikasi modern.
6. Intelektual properti
Konsep hukum properti intelektual telah didasarkan pada pengenalan hak-hak dasar properti intelektual dan kebijakan yang mendorong penciptaan karya dengan mengakui hak tertentu pembuatnya. Dalam wilayah teknologi informasi, konsep ini terutama sekali penting bagi perlindungan program komputer dan topografi semikonduktor. Intelektual properti meliputi:
1. Paten; Memberikan pemilik paten hak hukum yang dilaksanakan untuk mengeluarkan orang lain dari praktek penemuan yang memiliki paten untuk periode waktu tertentu. Hukum paten
melindungi penemuan dan proses (“kegunaan” paten).
2. Copyright; Melindungi “pekerjaan orisinil kepengarangan”; melindungi hak penulis untuk mengontrol reproduksi, adaptasi, distribusi publik, kinerja karya orisinil ini; dapat diaplikasikan ke software dan database.
3. Trade Secret; Mengamankan dan memelihara kerahasiaan teknis pemilik atau informasi yang berkaitan dengan bisnis yang cukup terlindungi dari penyingkapan oleh pemilik. Akibat wajar terhadap definisi ini adalah bahwa pemiliknya telah menginvestasikan sumberdaya untuk mengembangkan informasi ini, hal ini berharga bagi bisnis pemiliknya, yang berharga bagi pesaing, dan tidak nyata. 4. Trademark; Menyusun kata, nama, simbol, warna, suara, produk, bentuk, device, atau kombinasi ini yang akan digunakan untuk mengidentifikasi barang dan untuk membedakannya dari yang dibuat atau dijual yang lain. 7. Program Komputer
Perlindungan rahasia bisa mempergunakan tanggal yang disimpan -komputer, termasuk program komputer itu sendiri. Bagaimanapun, sejak device hukum ini dibatasi untuk program rahasia, hubungan spesial dan/atau hukum spesifik pengaksesan informasi, yang tidak cukup untuk menjamin perdagangan yang aman berkaitan dengan program komputer secara umum. Ketidaksesuain harga antara program komputer orisinil yang mahal dan reproduksi yang tidak terotorisasi yang lebih murah begitu luas bahwa ada permintaan di semua negara bagi regulasi yang lebih komprehensif dari aktivitas ini. Sistem protektif dapat dikembangkan untuk memasukkan program nonrahasia dan dapat dipakai kelompok ketiga. PENCEGAHAN KECURANGAN
Peran utama dari internal auditor sesuai dengan fungsinya dalam pencegahan kecuarangan adalah berupaya
(4)
untuk menghilangkan atau mengeleminir sebab- sebab timbulnya kecurangan tersebut. Karena pencegahan terhadap akan terjadinya suatu perbuatan curang akan lebih mudah daripada mengatasi bila telah terjadi kecurangan tersebut. Pada dasarnya kecurangan sering terjadi pada suatu suatu entitas apa bila :
a. Pengendalian intern tidak ada atau lemah atau dilakukan dengan longgar dan tidak efektif.
b. Pegawai dipekerjakan tanpa memikirkan kejujuran dan integritas mereka.
c. Pegawai diatur, dieksploitasi dengan tidak baik, disalahgunakan atau ditempatkan dengan tekanan yang besar untuk mencapai sasaran dan tujuan keuangan yang mengarah tindakan kecurangan.
d. Model manajemen sendiri melakukan kecurangan, tidak efsien dan atau tidak efektif serta tidak taat terhadap hukum dan peraturan yang berlaku.
e. Pegawai yang dipercaya memiliki masalah pribadi yang tidak dapat dipecahkan , biasanya masalah keuangan, kebutuhan kesehatan keluarga, gaya hidup yang berlebihan. f. Industri dimana perusahaan menjadi
bagiannya, memiliki sejarah atau tradisi kecurangan
Pencegahan kecurangan pada umumnya adalah aktivitas yang dilaksanakan manajemen dalam hal penetapan kebijakan, sistem dan prosedur yang membantu meyakinkan bahwa tindakan yang diperlukan sudah dilakukan dewan komisaris, manajemen, dan personil lain perusahaan untuk dapat memberikan keyakinan memadai dalam mencapai 3 (tiga) tujuan pokok yaitu; keandalan pelaporan keuangan, efektivitas dan efisiensi operasi serta kepatuhan terhadap hukum & peraturan yang berlaku.
Untuk hal tersebut, kecurangan yang mungkin terjadi harus dicegah antara lain dengan cara –cara berikut:
1) Membangun struktur pengendalian intern yang baik
Dengan semakin berkembangnya suatu perusahaan, maka tugas manajemen untuk mengendalikan jalannya perusahaan menjadi semakin berat. Agar tujuan yang telah ditetapkan top manajemen dapat dicapai, keamanan harta perusahaan terjamin dan kegiatan operasi bisa dijalankan secara efektif dan efisien, manajemen perlu mengadakan struktur pengendalian intern yang baik dan efektif mencegah kecurangan.
2)Mengefektifkan aktivitas pengendalian (1) Review Kinerja
Aktivitas pengendalian ini mencakup review atas kinerja sesungguhnya dibandingkan dengan anggaran, prakiraan, atau kinerja priode sebelumnya, menghubungkan satu rangkaian data yang berbeda operasi atau keuangan satu sama lain, bersama dengan analisis atas hubungan dan tindakan penyelidikan dan perbaikan; dan review atas kinerja fungsional atau aktivitas seseorang manajer kredit atas laporan cabang perusahaan tentang persetujuan dan penagihan pinjaman. (2) Pengolahan informasi
Berbagai pengendalian dilaksanakan untuk mengecek ketepatan, kelengkapan, dan otorisasi transaksi. Dua pengelompokan luas aktivitas pengendalian sistem informasi adalah pengendalian umum (general control) dan pengendalian aplikasi (application control). Pengendalian umum biasanya mencakup pengendalian atas operasi pusat data, pemerosesan dan pemeliharaan perangkat lunak sistem, keamanan akses, pengembangan dan pemeliharaan sistem aplikasi. Pengendalian ini berlaku untuk maiframe, minicomputer dan lingkungan pemakai akhir (end-user). Pengendalian ini membantu menetapkan bahwa transaksi adalah sah, diotorisasi semestinya, dan diolah secara lengkap dan akurat.
(3) Pengengendalian fisik
Aktivitas pengendalian fisik mencakup keamanan fisik aktiva, penjagaan yang
(5)
memadai terhadap fasilitas yang terlindungi dari akses terhadap aktiva dan catatan; otorisasi untuk akses ke program komputer dan data files; dan perhitungan secara periodik dan pembandingan dengan jumlah yang tercantum dalam catatan pengendali. (4) Pemisahan tugas
Pembebanan tanggungjawab ke orang yang berbeda untuk memberikan otorisasi, pencatatan transaksi, menyelenggarakan penyimpanan aktiva ditujukan untuk mengurangi kesempatan bagi seseorang dalam posisi baik untuk berbuat kecurangan dan sekaligus menyembunyikan kekeliruan dan ketidakberesan dalam menjalankan tugasnya dalam keadaan normal.
3)Meningkatkan kultur organisasi
Meningkatkan kultur organisasi
dapat dilakukan dengan
mengimplementasikan prinsip-prinsip Good Corporate Governance (GCG) yang saling terkait satu sama lain agar dapat mendorong kinerja sumber-sumber perusahaan bekerja secara efisien, menghasikan nilai ekonomi jangka panjang yang berkesinambungan bagi para pemegang saham maupun masyarakat sekitar secara keseluruhan.
4)Mengefektifkan fungsi internal audit Walaupun internal auditor tidak dapat menjamin bahwa kecurangan tidak akan terjadi, namun ia harus menggunakan kemahiran jabatannya dengan saksama sehingga diharapkan mampu mendeteks i terjadinya kecurangan dan dapat memberikan saran-saran yang bermafaat kepada manajemen untuk mencegah terjadinya kecurangan.
SIMPULAN
Dalam menjalankan kegiatan usahanya, perusahaan senantiasa menghadapi berbagai resiko yang dinamakan resiko bisnis (bussiness risk). Termasuk diantaranya adalah resiko terjadinya kecurangan (fraud) yang
tergolong dalam resiko integritas (Integrity Risk). Menurut ACFE, kecurangan yang terjadi dapat digolongkan ke dalam tiga kategori kecurangan, kecurangan laporan keuangan (Financial Statement Fraud), penyalahgunaan aset (Asset Misappropriation), dan korupsi (Corruption). Tanda-tanda awal (symptoms) biasanya muncul dalam kasus kecurangan, walau demikian munculnya symptoms tersebut belum berarti telah terjadi kecurangan. Symptoms ini dikenal dengan nama Red flag, yang seyogyanya dipahami dan digunakan oleh internal auditor dalam melakukan analisis dan evaluasi lebih lanjut untuk mendeteksi adanya kecurangan yang mungkin timbul sebelum dialakuakan investigasi.
Setelah memahami jenis-jenis kecurangan, internal auditor perlu memahami secara tepat struktur pengendalian intern yang baik agar dapat melakukan upaya-upaya untuk mencegah dan mendeteksi kecurangan. Menurut COSO, struktur pengendalian intern terdiri atas lima komponen, yaitu Lingkungan Pengendalian (Control Environment), Penaksiran Risiko (Risk Assessment), Standar Pengedalian (Control Activities), Informasi Dan Komunikasi (Information And Communication), serta Pemantauan (Monitoring).
Jika struktur internal control sudah ditempatkan dan berjalan dengan baik, peluang adanya kecurangan yang tak terdeteksi akan banyak berkurang. Pemeriksa kecurangan harus mengenal dan memahami dengan baik setiap elemen dalam struktur pengendalian intern agar dapat melakukan evaluasi dan mencari kelemahannya.
DAFTAR PUSTAKA
Amrizal. 2006. Pencegahan Dan Pendeteksian Kecurangan Oleh Internal Auditor. BPKP. Available at: www.bpkp.go.id
Boockholdt j.L . 1999. Accounting Information Systems. Fifth Edition, Mc Grow Hill.
(6)
Wilkinson, C. et al. 2000. Accounting Information Systems. Fourth Edition. John Wiley and Sons. Inc.
Romney, M.B. & Paul John Steinbart. 2006. Accounting Information Systems. 9th
Ed, Salemba Empat. Jakarta.
Safuddien, H. 2000.Membangun GCG pada Perusahaan menuju Sustainable Company. Proceeding Konvensi Nasional Akuntan IV.
Rahardjo, B. 2005. Keamanan Sistem Informasi Berbasis Internet. PT Insan Infonesia - Bandung