PENGENDALIAN dan SISTEM INFORMAI AKUNTAN
PENGENDALIAN dan SISTEM INFORMAI AKUNTANSI
BAB I
PENDAHULUAN
A. PENDAHULUAN
Hampir setiap tahun, lebih dari 60% organisasi mengalami kegagalan
utama dalam mengen dalikan keamanan dan integritas sistem computer
mereka. Alasan untuk kegagalan berikut meliputi:
Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada.
Sebagai contoh chevron memiliki 35.000 PC
Informasi pada jaringan computer distribusi sulit dikendalikan.
Informasi di chevron, didistribusikan di antara banyaknya sistem
dan ribuan pegawai diseluruh dunia. Setiap sistem dan pegawai
mencerminkan sebuah titik kerentanan pengendalian potensial.
Pelanggan serta pemasok memiliki akses ke sistem dan data satu
sama lain. Sebagai contoh walmart mengizinkan vendor untuk
mengakses database-nya. Bayangkan, masalah kerahasaian yang
dapat terjadi jika vendor membentuk persekutuan dengan pesaing
walmart.
Organisasi belum melindungi datanya dengan baik karena:
Beberapa perusahaan memandang kehilangan atas informasi
penting sebagai sebuah ancaman yang tidak mungkin terjadi
Implikasi pengendalian atas pemindahan dari sistem computer
tersentralisasi ke sistem berbasis internet tidak sepenuhnya
dipahami
Banyak perusahaan tidak menyadari bahwa informasi adalah
sebuah sumber daya strategis dan melindungi informasi harus
menjadi sebuah ketentuan strategis. Sebagai contoh, sebuah
perusahaan kehilangan jutaan dolar karena ia tidak melindungi
transmisi data. Seorang pesaing menyadap ke dalam sambungan
telepon perusahaan dan mendapatkan faks desain produk barunya.
1
Produktivitas dan penekanan biaya memotivasi manajemen untuk
menghasilkan ukuran-ukuran pengen dalian yang memakan waktu.
Segala potensi kejadian yang merugikan disebut sebagai ancaman atau
sebuah kejadian. Kerugian uang potensial dari sebuah ancaman desebut
paparan atau dampak. Kemungkinan paparan atau dampak akan terjadi disebut
sebagai kemungkinan.
a) Tujuan Pembelajaran
1. Menjelaskan konsep pengendalian dasar serta menjelaskan mengapa
pengendalian dan keamanan computer penting.
2. Membandingkan dan membedakan kerangka pengendalian COBIT,
COSO dan ERM.
3. Menjelaskan elemen-elemen utama di dalam lingkungan internal
perusahaan.
4. Menjelaskan empat jenis tujuan pengendalian yang perlu dibuat oleh
perusahaan.
5. Menjelaskan kejadian-kejadian memengaruhi ketidakpastian dan
teknik-teknik yang digunakan untuk mengidentifikasinya.
6. Menjelaskan cara menilai dan merespon resiko menggunakan model
Enterprise Risk Management (ERM).
7. Menjelaskan aktivitas-aktivitas pengendalian
yang
umumnya
digunakan di perusahaan.
8. Menjelaskan cara mengomunikasikan informasi dan mengawasi proses
pengendalian organisasi.
BAB II
PEMBAHASAN
B. PEMBAHASAN
1. Konsep dasar pengendalian internal
2
Pengendalian adalah proses yang dijalankan untuk menyediakan jaminan
memadai bahwa tujuan-tujuan pengendalian berikut telah tercapai.
Mengamankan
aset-mencegah
atau
mendeteksi
perolehan,
penggunaan, atau penempatan yang tidak sah.
Mengelola catatan dengan detail yang baik untuk melaporkan aset
perusahaan secara akurat dan wajar.
Memberikan informasi yang akurat dan reliable.
Menyiapkan laporan keuangan yang sesuai dengan kriteria yang
ditetapkan.
Mendorong dan memperbaiki efesiensi operasional.
Mendorong ketaatan terhadap kebijakan manajerial yang telah
ditentukan
Mematuhi hukum dan peraturan yang berlaku.
Pengendalian internal adalah sebuah proses karena ia menyebar ke seluruh
aktivitas pengoperasian perusahaan dan merupakan bagian integral dari
aktivitas manajemen. Pengendalian interal memberikan jaminan memadaijaminan menyeluruh yang sulit dicapai dan terlalu mahal. Mengembangkan
sebuah sistem pengendalian internal memerlukan pemahaman yang saksama
terhdap kemampuan teknologi informasi (information system) dan risikonya,
begitu pula dengan menggunakan TI untuk mencapai tujuan pengendalian
sebuah perusahaan. Para akuntan dan pengembang sistem membantu
manajemen mencapai tujuan pengendaliannya (1) mendesain sistem
pengendalian yang efektif dengan menggunakan pendekatan proaktif untuk
mengeliminasi ancaman sistem, serta yang dapat mendeteksi, memperbaiki,
dan memulihkan dari ancaman ketika terjadi; dan (2) membuatnya lebih
mudah guna membentuk pengendalian ke dalam sebuah sistem pada tahapan
desain awal daripada menambahkannya setelah terbentuk.
Pengendalian internal menjalankan tiga fungsi penting sebagai berikut.
a) Pengendalian preventif (preventive control), mencegah masalah
sebelum timbul. Contohnya, merekrut personel berkualifikasi,
memisahkan tugas pegawa, dan mengendalikan akses fisik atas aset
dan informasi.
3
b) Pengendalian detektif (detective control), menemukan masalah yang
tak terelakkan. Contohnya menduplikasi pengecekan kalkulasi dan
menyiapkan rekonsiliasi bank serta neraca saldo bulanan.
c) Pengendalian korektif (corrective control), mengidentifikasi dan
memperbaiki masalah serta memperbaiki dan memulihkannya dari
kesalahan yang dihasilkan. Contohnya, menjaga salinan backup
pada file, perbaikan kesalahan entri data, dan pengumpulan ulang
transaksi-transaksi untuk pemrosesan selanjutnya.
Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai
berikut.
a) Pengendalian umum (general control) memastikan lingkungan
pengendalian sebuah organisasi stabil dan dikelola dengan baik.
Contohnya, keamanan; insfrastruktur TI; dan pengendalian
pembelian perangkat lunak, pengembangan, dan pemeliharaan.
b) Pengendalian
aplikasi
(application
control)
mencegah,
mendeteksi dan mengoreksi kesalahan transaksi serta penipuan
di dalam program aplikasi. Pengendalian ini focus terhadap
ketepatan, kelengkapan, validitas, serta otorisasi data yang
didapat, dimasukkann, diproses, disimpan, ditransmisikan ke
sistem lain, dan dilaporkan.
Robert Simons, seorang professor bisnis Harvard, telah menganut empat
kaitan pengendalian untuk membantu manajemen nyesesaikan konflik di
antara kreatifitas dan pengendalian.
a) Sistem kepercayaan (belief system) menjelaskan cara sebuah
perusahaan menciptakan nilai, membantu pegawai memahami visi
manajemen, mengomunikasikan nilai-nilai dasar perusahaa, dan
menginspirasi pegawai untuk bekerja berdasarkan nilai tersebut.
4
b) Sistem batas(baundry system) membantu pegawai bertindak secara
etis dengan membangun batas-batas dalam perilaku kepegawaian.
Sistem tersebut tidak memberitahukan secara langsung kepada
pegawai apa yang dilakukan, tetapi mereka didorong untuk
menyelesaikan masalah secara kreatif dan memenuhi kebutuhan
pelanggan di samping memenuhi standar kinerja minimum,
menghindari tindakan yang dilarang, dan menghindari tindakan
yang mungkin merusak reputasi mereka.
c) Sebuah sistem pengendalian diagnostic (diacnostic control system)
mengukur,
mengawasi,
dan
membandingkan
perkembangan
perusahaan actual berdasarkan anggaran dan tujuan kinerja. Umpan
balik membantu manajemen mennyesuaikan dan menyempurnakan
input serta proses sehingga output di masa depan makin mendekati
tujuan yang diingin dicapai.
d) Sebuah sistem pengendalian interaktif (interactive control system)
membantu manajer untuk memfokuskan perhatian bawahan pada
isu-isu strategis utama dan lebih terlibat di dalam keputusan
mereka. Data sistem interaktif diinterpretasikan dan didiskusikan
dalam pertemuan tatap muka para atasan,bawahan dan rekanan.
2. Mengapa pengendalian berbasis teknologi informasi dan sistem
keamanan diperlukan
Pada 1977, Foreign Corruption Practices Act (FCPA) dikeluarkan untuk
mencegah perusahaan untuk menyuap pejabat asing agar mendapatkan bisnis.
Konggres ini menggabungkan dua peraturan dari sebuah pernyataan (AICPA)
ke dalam FCPA yang mengharuskan perusahaan untuk memelihara sistemnya
dengan baik. Namun, ketentuan-ketentuan ini tidak cukup untuk mencegah
masalah yang lebih jauh. Pada akhir 1990 dan awal 2000, berita melaporkan
penipuan akuntansi Enron, Wordcom,Xerox,Tyco,Global Crossing, Adelphia,
dan perusahaan lainnya. Ketika Enron, dengan aset $62 miliar, dinyatakan
bangkrut pada desember 2001, ini adalah kebangkrutan terbesar sepanjang
5
sejarah Amerika Serikat. Diikuti dengan kantor CPA Arthur Andersen pada
juni 2002. Merespon penipuan tersebut, Konggres mengeluarkan Sarbanes
Oxley Act (SOX) pada 2002. SOX dieterapkan bagi perusahaan-perusahaan
public dan auditor mereka serta didesain untuk mencegah penipuan laporan
keuangan, membuat laporan keuangan lebih transparan, melindungi investor,
memperkuat pengendalian internal, dan menghukum eksekutif yang
melakukan penipuan.
Pubblic Company Accounting Oversight Board (PCAOB)
Tujuan SOX menciptakan Pubblic Company Accounting Oversight
Board (PCAOB) adalah untuk mengendalikan profesi pengauditan
(auditing).
Aturan-aturan baru bagi para auditor
Peren baru bagi komite audit
Aturan baru bagi manajemen
Ketentuan baru pengendalian internal.
3. Membandingkan kerangka pengendalian internal: COSO internal
control integrated framework, COSO enterprise risk managent, COBIT
COBIT (control Objective for Information and Related Technology)
menggabungkan standar-standar pengendalian dari banyak sumber berbeda ke
dalam sebuah kerangka tunggal yang memungkinkan (1) manajemen untuk
membuat tolok ukur praktik-praktik keamanan dan pengendalian lingkungan
TI; (2) para pengguna layanan TI dijamin dengan adanya keamanan dan
pengendalian yang memadai; dan (3) para auditor memperkuat opini
pengendalian internal dan mempertimbangkan masalah keamanan TI dan
pengendalian yang dilakukan. Prinsip-prinsip berikut ini memungkinkan
dalam membantu organisasi membangun sebuah tata kelola yang efektif dan
kerangka manajemen yang melindungi investasi pemangku kepentingan dan
menghasilkan sistem informasi terbaik.
1.
2.
3.
4.
Memenuhi keperluan pemangku kepentingan
Mencakup perusahaan dari ujung ke ujung
Mengajukan sebuah kerangka terintegrasi dan tunggal
Memungkinkan pendekatan holistic
6
5. Memisahkan tata kelola dari manajemen.
COBIT 5 adalah sebuah kerangka komprehensif yang membantu
perusahaan mencapai tujuan tata kelola dan menajemen TI mereka.
Kelengkapan ini adalah salah satu kekuatan COBIT 5 dan menekankan pada
penerimaan internasional yang berkembang sebagai sebuah kerangka untuk
mengelola serta mengendalikan sistem informasi. Model COBIT 5 tentang
referensi proses mengidentifikasi lima proses tata kelola (merujuk pada
mengevaluasi, mengarahkan, mengawasi,-evaluate, direct, dan monitor- atau
EDM) dan 32 proses manajemen. 32 proses manajemen dibagi ke dalam
empat domain sebagai berikut.
1. Menyelaraskan, merencanakan, dan mengatur (align,palan,dan
organize – APO)
2. Membangun, mengakuisisi,menerapkan
(buil,
acquire,
dan
implement – BAI)
3. Mengantar, melayani, mendukung (deliver,service, dan support –
DSS)
4. Mengawasi, mengevaluasi, menilai (monitor, evaluate, dan assess
– MEA)
Commmittee of Sponsoring Organizations (COSO) terdiri dari Asosiasi
Akuntan Amerika (American accounting association), ACPA, Ikatan auditor
Internal (Institute of Internal Auditors), Ikatan Akuntansi Manajemen
(Institute of Management Accountant), dan Ikatan Eksekutif Keuangan
(Financial Executive Institute). Pada 1992, COSO menerbitkan Pengendalian
Internal (Internal Control)-kerangka terintegrasi (Integrated Framework)-IC,
yang diterima secara luas sebagai otorisasi untuk pengendalian internal yang
digabungkan ke kebijakan, peraturan, dan regulasi yang digunakan untuk
mengendalikan aktivitas bisnis.
COSO mengenbangkan kerangka pegendalian kedua yang disebut
manajemen resiko (Enterprise Risk Management)-kerangka terintegrasi
(Integrated Framework)-ERM. Kerangka ERM adalah proses yang digunakan
oleh dewan direksi dan manajemen untuk mengatur strategi, mengidentifikasi
7
kejadian yang mengkin memengaruhi entitas, menilai dan mengelola resiko,
serta menyediakan jaminan memadai bahwa perusahaan mencapai tujuan dan
sasarannya. Prinsip-prinsip dasar dibalik ERM adalah sebagai berikut.
Perusahaan
dibentuk
untuk
menciptakan
nilai
bagi
para
pemiliknya.
Manajemen harus memutuskan seberapa banyak ketidakpastian
yang akan ia terima saat menciptakan nilai.
Ketidakpastian menghasilkan resiko, yang merupaan kemungkinan
bahwa sesuatu secara negative mempengaruhi kemampuan
perusahaan untuk menghasilkan atau mempertahankan nilai.
Ketidakpastian mengahsilkan peluang, yang merupakan
kemungkinan sesuatu secara positif memengaruhi kemampuan
perusahaan untuk menghasilkan atau mempertahankan nilai
Kerangka ERM dapat mengelola ketidakpastian serta menciptakan
dan mempertahankan nilai.
Kerangka IC telah diadopsi secara luas sebagai cara untuk mengefaluasi
pengendalian internal, seperti yang ditentukan oleh SOX. Kerangka ERM
yang lebih komprehensif menggunakan pendekatan berbasis resiko dari pada
berbasis pengendalian. ERM menambahkan tiga elemen kekerangka IC
COSO: penetapan tujuan, pengidentifikasian kejadian yang mungkin
memengaruhi perusahaan, dan pengembangan sebuah respons untuk resiko
yang dinilai. Hasilnya, pengendalian bersifat fleksibel dan releban karena
mereka ditautkan dengan tujuan organisasi terkini. Model ERM juga
mengakui bahea resiko, selain dikendalikan, dapat pula diterima, dihindari,
dibuat berjenis-jenis, dibagi, atau ditansfer.
Oleh karena lebih komprehensif, buku ini menggunakan model ERM
untuk menjelaskan pengendalian internal. Jika seseorang dapat memahami
model ERM, makan akan lebih mudah untuk memahami model IC karena
model IC adalah 5 dari 8 komponen madel ERM. Lebih sulit untuk
mempelajari model IC terlebih dahulu, kemudian baru ke model ERM karena
pengguna bisa jadi tidak familiar dengan tiga komponen tambahan.
8
4.
Elemen utama dalam lingkungan Internal (Internal Environment)
Sebuah lingkungan internal mencakup hal-hal sebagai berikut:
1. Filosofi Manajemen, gaya pengoperasian, dan selera resiko.
2. Komitmen terhadap Integritas, nilai-nilai Etis, dan Kompetensi.
3. Pengawasan pengendalian Internal oleh Dewan Direksi.
4. Struktur Organisasi.
5. Metode penetapan Wewenang dan Tanggung Jawab.
6. Standar-standar sumber daya manusia yang menarik, mengembangkan,
dan mempertahankan Individu yang kompeten.
Enron adalah sebuah contoh dari ketidak efektifan lingkungan internal yang
mengakibatkan kegagalan finansial. Meskipun Enron tampaknya memiliki system
ERM yang efektif, ternyata lingkungan internalnya tidak efektif. Manajemen
terlibat dalam praktik bisnis yang berisiko serta meragukan, dan Dewan Direksi
tidak pernah mempertanyakannya. Manajemen salah menyajikan kondisi
keuangan perusahaan., kehilangan keyakinan para pemangku kepentingan, dan
akhirnya mengajukan kebangkrutan.
5. Empat tipe tujuan pengendalian yang perlu ditetapkan (Objective
Setting)
Perusahaanmenentukan hal yang harus berjalan dengan benar untuk mencapai
tujuan dan menetapkan ukuran kinerja guna menentukan apakah ukuran-ukuran
tersebut terpenuhi.
-
Tujuan Strategis merupakan sasaran tingkat tinggi yang disejajarkan
dengan misi perusahaan, (bagaimana) mendukungnya, serta menciptakan
-
nilai bagi pemegang saham.
Tujuan operasi yaitu berhubungan dengan efektivitas dan efisiensi operasi
perusahaan, (dalam) menentukan cara mengalokasikan sumber daya.
Tujuan ini merefleksikan preferensi, pertimbangan, dan gaya manajemen
-
serta merupakan sebuah faktor penting dalam keberhasilan perusahaan.
Tujuan pelaporan membantu memastikan ketelitian, kelengkapan, dan
keandalan laporan perusahaan; meningkatkan pembuatan keputusan; dan
mengawasi aktivitas serta kinerja perusahaan.
9
-
Tujuan kepatuhan membantu perusahaan mematuhi seluruh hukum dan
peraturan yang berlaku. Sebagian besar tujuan kepatuhan dan banyak
tujuan pelaporan dipaksakan oleh entitas eksternal agar merespons hukum
dan peraturan.
6. Identifikasi Kejadin (Event Identification)
Committee of Sponsoring Organizations (COSO) mendefinisikan kejadian
(event) sebagai: “sebuah insiden atau peristiwa yang berasal dari sumber-sumber
internal atau eksternal yang mempengaruhi implementasi strategi atau pencapaian
tujuan. Kejadian bias berdampak positif atau negative atau keduanya. Sebuah
kejadian menunjukan ketidakpastian, mungkin atau tidak mungkin terjadi.
7. Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu
menjamin bahwaarahan manajemen dilaksanakan. Aktivitas tersebut membantu
memastikan bahwa tindakan yang diperlukan untuk menanggulangi risiko dalam
pencapaian tujuan entitas. Aktivitas pengendalian memiliki berbagai tujuan dan
diterapkan di berbagai tingkat organisasi dan fungsi. Umumnya aktivitas
pengendalian yang mungkin relevan dengan audit dapat digolongkan sebagai
kebijakan dan prosedur yang berkaitan dengan review terhadap kinerja,
pengolahan informasi, pengendalian fisik, dan pemisahan tugas. Aktivitas
pengendalian dapat dikategorikan sebagai berikut.
a) Pengendalian Pemrosesan Informasi
- pengendalian umum
- pengendalian aplikasi
- otorisasi yang tepat
- pencatatan dan dokumentasi
- pemeriksaan independen
10
b) Pemisahan Tugas
c) Pengendalian Fisik
d) Telaah Kinerja
8. Informasi Dan Komunikasi
Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan
pertukaran informasi dalam suatu bentuk dan waktu yang memungkinkan orang
melaksanakan tanggung jawab mereka. Sistem informasi yang relevan dalam
pelaporan keuangan yang meliputi sistem akuntansi yang berisi metode untuk
mengidentifikasikan, menggabungkan, menganalisa, mengklasikasi, mencatat, dan
melaporkan transaksi serta menjaga akuntabilitas asset dan kewajiban.
Komunikasi meliputi penyediaan deskripsi tugas individu dan tanggung jawab
berkaitan dengan struktur pengendalian intern dalam pelaporan keuangan. Auditor
harus memperoleh pengetahuan memadai tentang sistem informasi yang relevan
dengan pelaporankeuangan untuk memahami :
a) Golongan transaksi dalam operasi entitas yang signifikan bagi laporan
keuangan
b) Bagaimana transaksi tersebut dimulai
c) Catatan akuntansi, informasi pendukung, dan akun tertentu dalam laporan
keuangan yang tercakup dalam pengolahan dan pelaporan transaksi
d) Pengolahan akuntansi yang dicakup sejak saat transaksi dimulai sampai
dengan dimasukkan ke dalam laporan keuangan, termasuk alat elektronik yang
digunakan untuk mengirim, memproses, memelihara, dan mengakses
informasi.
BAB III
11
KESIMPULAN
C. KESIMPULAN
Dari hasil pembahasan di atas dapat disimpulkan sebagai seorang audit
internal maupun ekternal kita perlu memahami dan mengerti tentang sistem
pengendalian internal dari sebuah perusahaan. Karena dari sistem pengendalian
internal yang ada kita bisa melihat bagaimana perusahaan menjalankan usahanya,
membagi wewenang, menjalankan otorisasi dan bagaimana cara mereka
menyimpan datanya agar aman dari jangkauan orang lain atau bahkan pesaing
mereka. Perusahaan yang memiliki internal control yang baik, diharapkan mampu
mengurangi atau mampu melakukan tindakan-tindakan preventif untuk mencegah
tindakan kecurangan.
12
BAB I
PENDAHULUAN
A. PENDAHULUAN
Hampir setiap tahun, lebih dari 60% organisasi mengalami kegagalan
utama dalam mengen dalikan keamanan dan integritas sistem computer
mereka. Alasan untuk kegagalan berikut meliputi:
Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada.
Sebagai contoh chevron memiliki 35.000 PC
Informasi pada jaringan computer distribusi sulit dikendalikan.
Informasi di chevron, didistribusikan di antara banyaknya sistem
dan ribuan pegawai diseluruh dunia. Setiap sistem dan pegawai
mencerminkan sebuah titik kerentanan pengendalian potensial.
Pelanggan serta pemasok memiliki akses ke sistem dan data satu
sama lain. Sebagai contoh walmart mengizinkan vendor untuk
mengakses database-nya. Bayangkan, masalah kerahasaian yang
dapat terjadi jika vendor membentuk persekutuan dengan pesaing
walmart.
Organisasi belum melindungi datanya dengan baik karena:
Beberapa perusahaan memandang kehilangan atas informasi
penting sebagai sebuah ancaman yang tidak mungkin terjadi
Implikasi pengendalian atas pemindahan dari sistem computer
tersentralisasi ke sistem berbasis internet tidak sepenuhnya
dipahami
Banyak perusahaan tidak menyadari bahwa informasi adalah
sebuah sumber daya strategis dan melindungi informasi harus
menjadi sebuah ketentuan strategis. Sebagai contoh, sebuah
perusahaan kehilangan jutaan dolar karena ia tidak melindungi
transmisi data. Seorang pesaing menyadap ke dalam sambungan
telepon perusahaan dan mendapatkan faks desain produk barunya.
1
Produktivitas dan penekanan biaya memotivasi manajemen untuk
menghasilkan ukuran-ukuran pengen dalian yang memakan waktu.
Segala potensi kejadian yang merugikan disebut sebagai ancaman atau
sebuah kejadian. Kerugian uang potensial dari sebuah ancaman desebut
paparan atau dampak. Kemungkinan paparan atau dampak akan terjadi disebut
sebagai kemungkinan.
a) Tujuan Pembelajaran
1. Menjelaskan konsep pengendalian dasar serta menjelaskan mengapa
pengendalian dan keamanan computer penting.
2. Membandingkan dan membedakan kerangka pengendalian COBIT,
COSO dan ERM.
3. Menjelaskan elemen-elemen utama di dalam lingkungan internal
perusahaan.
4. Menjelaskan empat jenis tujuan pengendalian yang perlu dibuat oleh
perusahaan.
5. Menjelaskan kejadian-kejadian memengaruhi ketidakpastian dan
teknik-teknik yang digunakan untuk mengidentifikasinya.
6. Menjelaskan cara menilai dan merespon resiko menggunakan model
Enterprise Risk Management (ERM).
7. Menjelaskan aktivitas-aktivitas pengendalian
yang
umumnya
digunakan di perusahaan.
8. Menjelaskan cara mengomunikasikan informasi dan mengawasi proses
pengendalian organisasi.
BAB II
PEMBAHASAN
B. PEMBAHASAN
1. Konsep dasar pengendalian internal
2
Pengendalian adalah proses yang dijalankan untuk menyediakan jaminan
memadai bahwa tujuan-tujuan pengendalian berikut telah tercapai.
Mengamankan
aset-mencegah
atau
mendeteksi
perolehan,
penggunaan, atau penempatan yang tidak sah.
Mengelola catatan dengan detail yang baik untuk melaporkan aset
perusahaan secara akurat dan wajar.
Memberikan informasi yang akurat dan reliable.
Menyiapkan laporan keuangan yang sesuai dengan kriteria yang
ditetapkan.
Mendorong dan memperbaiki efesiensi operasional.
Mendorong ketaatan terhadap kebijakan manajerial yang telah
ditentukan
Mematuhi hukum dan peraturan yang berlaku.
Pengendalian internal adalah sebuah proses karena ia menyebar ke seluruh
aktivitas pengoperasian perusahaan dan merupakan bagian integral dari
aktivitas manajemen. Pengendalian interal memberikan jaminan memadaijaminan menyeluruh yang sulit dicapai dan terlalu mahal. Mengembangkan
sebuah sistem pengendalian internal memerlukan pemahaman yang saksama
terhdap kemampuan teknologi informasi (information system) dan risikonya,
begitu pula dengan menggunakan TI untuk mencapai tujuan pengendalian
sebuah perusahaan. Para akuntan dan pengembang sistem membantu
manajemen mencapai tujuan pengendaliannya (1) mendesain sistem
pengendalian yang efektif dengan menggunakan pendekatan proaktif untuk
mengeliminasi ancaman sistem, serta yang dapat mendeteksi, memperbaiki,
dan memulihkan dari ancaman ketika terjadi; dan (2) membuatnya lebih
mudah guna membentuk pengendalian ke dalam sebuah sistem pada tahapan
desain awal daripada menambahkannya setelah terbentuk.
Pengendalian internal menjalankan tiga fungsi penting sebagai berikut.
a) Pengendalian preventif (preventive control), mencegah masalah
sebelum timbul. Contohnya, merekrut personel berkualifikasi,
memisahkan tugas pegawa, dan mengendalikan akses fisik atas aset
dan informasi.
3
b) Pengendalian detektif (detective control), menemukan masalah yang
tak terelakkan. Contohnya menduplikasi pengecekan kalkulasi dan
menyiapkan rekonsiliasi bank serta neraca saldo bulanan.
c) Pengendalian korektif (corrective control), mengidentifikasi dan
memperbaiki masalah serta memperbaiki dan memulihkannya dari
kesalahan yang dihasilkan. Contohnya, menjaga salinan backup
pada file, perbaikan kesalahan entri data, dan pengumpulan ulang
transaksi-transaksi untuk pemrosesan selanjutnya.
Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai
berikut.
a) Pengendalian umum (general control) memastikan lingkungan
pengendalian sebuah organisasi stabil dan dikelola dengan baik.
Contohnya, keamanan; insfrastruktur TI; dan pengendalian
pembelian perangkat lunak, pengembangan, dan pemeliharaan.
b) Pengendalian
aplikasi
(application
control)
mencegah,
mendeteksi dan mengoreksi kesalahan transaksi serta penipuan
di dalam program aplikasi. Pengendalian ini focus terhadap
ketepatan, kelengkapan, validitas, serta otorisasi data yang
didapat, dimasukkann, diproses, disimpan, ditransmisikan ke
sistem lain, dan dilaporkan.
Robert Simons, seorang professor bisnis Harvard, telah menganut empat
kaitan pengendalian untuk membantu manajemen nyesesaikan konflik di
antara kreatifitas dan pengendalian.
a) Sistem kepercayaan (belief system) menjelaskan cara sebuah
perusahaan menciptakan nilai, membantu pegawai memahami visi
manajemen, mengomunikasikan nilai-nilai dasar perusahaa, dan
menginspirasi pegawai untuk bekerja berdasarkan nilai tersebut.
4
b) Sistem batas(baundry system) membantu pegawai bertindak secara
etis dengan membangun batas-batas dalam perilaku kepegawaian.
Sistem tersebut tidak memberitahukan secara langsung kepada
pegawai apa yang dilakukan, tetapi mereka didorong untuk
menyelesaikan masalah secara kreatif dan memenuhi kebutuhan
pelanggan di samping memenuhi standar kinerja minimum,
menghindari tindakan yang dilarang, dan menghindari tindakan
yang mungkin merusak reputasi mereka.
c) Sebuah sistem pengendalian diagnostic (diacnostic control system)
mengukur,
mengawasi,
dan
membandingkan
perkembangan
perusahaan actual berdasarkan anggaran dan tujuan kinerja. Umpan
balik membantu manajemen mennyesuaikan dan menyempurnakan
input serta proses sehingga output di masa depan makin mendekati
tujuan yang diingin dicapai.
d) Sebuah sistem pengendalian interaktif (interactive control system)
membantu manajer untuk memfokuskan perhatian bawahan pada
isu-isu strategis utama dan lebih terlibat di dalam keputusan
mereka. Data sistem interaktif diinterpretasikan dan didiskusikan
dalam pertemuan tatap muka para atasan,bawahan dan rekanan.
2. Mengapa pengendalian berbasis teknologi informasi dan sistem
keamanan diperlukan
Pada 1977, Foreign Corruption Practices Act (FCPA) dikeluarkan untuk
mencegah perusahaan untuk menyuap pejabat asing agar mendapatkan bisnis.
Konggres ini menggabungkan dua peraturan dari sebuah pernyataan (AICPA)
ke dalam FCPA yang mengharuskan perusahaan untuk memelihara sistemnya
dengan baik. Namun, ketentuan-ketentuan ini tidak cukup untuk mencegah
masalah yang lebih jauh. Pada akhir 1990 dan awal 2000, berita melaporkan
penipuan akuntansi Enron, Wordcom,Xerox,Tyco,Global Crossing, Adelphia,
dan perusahaan lainnya. Ketika Enron, dengan aset $62 miliar, dinyatakan
bangkrut pada desember 2001, ini adalah kebangkrutan terbesar sepanjang
5
sejarah Amerika Serikat. Diikuti dengan kantor CPA Arthur Andersen pada
juni 2002. Merespon penipuan tersebut, Konggres mengeluarkan Sarbanes
Oxley Act (SOX) pada 2002. SOX dieterapkan bagi perusahaan-perusahaan
public dan auditor mereka serta didesain untuk mencegah penipuan laporan
keuangan, membuat laporan keuangan lebih transparan, melindungi investor,
memperkuat pengendalian internal, dan menghukum eksekutif yang
melakukan penipuan.
Pubblic Company Accounting Oversight Board (PCAOB)
Tujuan SOX menciptakan Pubblic Company Accounting Oversight
Board (PCAOB) adalah untuk mengendalikan profesi pengauditan
(auditing).
Aturan-aturan baru bagi para auditor
Peren baru bagi komite audit
Aturan baru bagi manajemen
Ketentuan baru pengendalian internal.
3. Membandingkan kerangka pengendalian internal: COSO internal
control integrated framework, COSO enterprise risk managent, COBIT
COBIT (control Objective for Information and Related Technology)
menggabungkan standar-standar pengendalian dari banyak sumber berbeda ke
dalam sebuah kerangka tunggal yang memungkinkan (1) manajemen untuk
membuat tolok ukur praktik-praktik keamanan dan pengendalian lingkungan
TI; (2) para pengguna layanan TI dijamin dengan adanya keamanan dan
pengendalian yang memadai; dan (3) para auditor memperkuat opini
pengendalian internal dan mempertimbangkan masalah keamanan TI dan
pengendalian yang dilakukan. Prinsip-prinsip berikut ini memungkinkan
dalam membantu organisasi membangun sebuah tata kelola yang efektif dan
kerangka manajemen yang melindungi investasi pemangku kepentingan dan
menghasilkan sistem informasi terbaik.
1.
2.
3.
4.
Memenuhi keperluan pemangku kepentingan
Mencakup perusahaan dari ujung ke ujung
Mengajukan sebuah kerangka terintegrasi dan tunggal
Memungkinkan pendekatan holistic
6
5. Memisahkan tata kelola dari manajemen.
COBIT 5 adalah sebuah kerangka komprehensif yang membantu
perusahaan mencapai tujuan tata kelola dan menajemen TI mereka.
Kelengkapan ini adalah salah satu kekuatan COBIT 5 dan menekankan pada
penerimaan internasional yang berkembang sebagai sebuah kerangka untuk
mengelola serta mengendalikan sistem informasi. Model COBIT 5 tentang
referensi proses mengidentifikasi lima proses tata kelola (merujuk pada
mengevaluasi, mengarahkan, mengawasi,-evaluate, direct, dan monitor- atau
EDM) dan 32 proses manajemen. 32 proses manajemen dibagi ke dalam
empat domain sebagai berikut.
1. Menyelaraskan, merencanakan, dan mengatur (align,palan,dan
organize – APO)
2. Membangun, mengakuisisi,menerapkan
(buil,
acquire,
dan
implement – BAI)
3. Mengantar, melayani, mendukung (deliver,service, dan support –
DSS)
4. Mengawasi, mengevaluasi, menilai (monitor, evaluate, dan assess
– MEA)
Commmittee of Sponsoring Organizations (COSO) terdiri dari Asosiasi
Akuntan Amerika (American accounting association), ACPA, Ikatan auditor
Internal (Institute of Internal Auditors), Ikatan Akuntansi Manajemen
(Institute of Management Accountant), dan Ikatan Eksekutif Keuangan
(Financial Executive Institute). Pada 1992, COSO menerbitkan Pengendalian
Internal (Internal Control)-kerangka terintegrasi (Integrated Framework)-IC,
yang diterima secara luas sebagai otorisasi untuk pengendalian internal yang
digabungkan ke kebijakan, peraturan, dan regulasi yang digunakan untuk
mengendalikan aktivitas bisnis.
COSO mengenbangkan kerangka pegendalian kedua yang disebut
manajemen resiko (Enterprise Risk Management)-kerangka terintegrasi
(Integrated Framework)-ERM. Kerangka ERM adalah proses yang digunakan
oleh dewan direksi dan manajemen untuk mengatur strategi, mengidentifikasi
7
kejadian yang mengkin memengaruhi entitas, menilai dan mengelola resiko,
serta menyediakan jaminan memadai bahwa perusahaan mencapai tujuan dan
sasarannya. Prinsip-prinsip dasar dibalik ERM adalah sebagai berikut.
Perusahaan
dibentuk
untuk
menciptakan
nilai
bagi
para
pemiliknya.
Manajemen harus memutuskan seberapa banyak ketidakpastian
yang akan ia terima saat menciptakan nilai.
Ketidakpastian menghasilkan resiko, yang merupaan kemungkinan
bahwa sesuatu secara negative mempengaruhi kemampuan
perusahaan untuk menghasilkan atau mempertahankan nilai.
Ketidakpastian mengahsilkan peluang, yang merupakan
kemungkinan sesuatu secara positif memengaruhi kemampuan
perusahaan untuk menghasilkan atau mempertahankan nilai
Kerangka ERM dapat mengelola ketidakpastian serta menciptakan
dan mempertahankan nilai.
Kerangka IC telah diadopsi secara luas sebagai cara untuk mengefaluasi
pengendalian internal, seperti yang ditentukan oleh SOX. Kerangka ERM
yang lebih komprehensif menggunakan pendekatan berbasis resiko dari pada
berbasis pengendalian. ERM menambahkan tiga elemen kekerangka IC
COSO: penetapan tujuan, pengidentifikasian kejadian yang mungkin
memengaruhi perusahaan, dan pengembangan sebuah respons untuk resiko
yang dinilai. Hasilnya, pengendalian bersifat fleksibel dan releban karena
mereka ditautkan dengan tujuan organisasi terkini. Model ERM juga
mengakui bahea resiko, selain dikendalikan, dapat pula diterima, dihindari,
dibuat berjenis-jenis, dibagi, atau ditansfer.
Oleh karena lebih komprehensif, buku ini menggunakan model ERM
untuk menjelaskan pengendalian internal. Jika seseorang dapat memahami
model ERM, makan akan lebih mudah untuk memahami model IC karena
model IC adalah 5 dari 8 komponen madel ERM. Lebih sulit untuk
mempelajari model IC terlebih dahulu, kemudian baru ke model ERM karena
pengguna bisa jadi tidak familiar dengan tiga komponen tambahan.
8
4.
Elemen utama dalam lingkungan Internal (Internal Environment)
Sebuah lingkungan internal mencakup hal-hal sebagai berikut:
1. Filosofi Manajemen, gaya pengoperasian, dan selera resiko.
2. Komitmen terhadap Integritas, nilai-nilai Etis, dan Kompetensi.
3. Pengawasan pengendalian Internal oleh Dewan Direksi.
4. Struktur Organisasi.
5. Metode penetapan Wewenang dan Tanggung Jawab.
6. Standar-standar sumber daya manusia yang menarik, mengembangkan,
dan mempertahankan Individu yang kompeten.
Enron adalah sebuah contoh dari ketidak efektifan lingkungan internal yang
mengakibatkan kegagalan finansial. Meskipun Enron tampaknya memiliki system
ERM yang efektif, ternyata lingkungan internalnya tidak efektif. Manajemen
terlibat dalam praktik bisnis yang berisiko serta meragukan, dan Dewan Direksi
tidak pernah mempertanyakannya. Manajemen salah menyajikan kondisi
keuangan perusahaan., kehilangan keyakinan para pemangku kepentingan, dan
akhirnya mengajukan kebangkrutan.
5. Empat tipe tujuan pengendalian yang perlu ditetapkan (Objective
Setting)
Perusahaanmenentukan hal yang harus berjalan dengan benar untuk mencapai
tujuan dan menetapkan ukuran kinerja guna menentukan apakah ukuran-ukuran
tersebut terpenuhi.
-
Tujuan Strategis merupakan sasaran tingkat tinggi yang disejajarkan
dengan misi perusahaan, (bagaimana) mendukungnya, serta menciptakan
-
nilai bagi pemegang saham.
Tujuan operasi yaitu berhubungan dengan efektivitas dan efisiensi operasi
perusahaan, (dalam) menentukan cara mengalokasikan sumber daya.
Tujuan ini merefleksikan preferensi, pertimbangan, dan gaya manajemen
-
serta merupakan sebuah faktor penting dalam keberhasilan perusahaan.
Tujuan pelaporan membantu memastikan ketelitian, kelengkapan, dan
keandalan laporan perusahaan; meningkatkan pembuatan keputusan; dan
mengawasi aktivitas serta kinerja perusahaan.
9
-
Tujuan kepatuhan membantu perusahaan mematuhi seluruh hukum dan
peraturan yang berlaku. Sebagian besar tujuan kepatuhan dan banyak
tujuan pelaporan dipaksakan oleh entitas eksternal agar merespons hukum
dan peraturan.
6. Identifikasi Kejadin (Event Identification)
Committee of Sponsoring Organizations (COSO) mendefinisikan kejadian
(event) sebagai: “sebuah insiden atau peristiwa yang berasal dari sumber-sumber
internal atau eksternal yang mempengaruhi implementasi strategi atau pencapaian
tujuan. Kejadian bias berdampak positif atau negative atau keduanya. Sebuah
kejadian menunjukan ketidakpastian, mungkin atau tidak mungkin terjadi.
7. Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu
menjamin bahwaarahan manajemen dilaksanakan. Aktivitas tersebut membantu
memastikan bahwa tindakan yang diperlukan untuk menanggulangi risiko dalam
pencapaian tujuan entitas. Aktivitas pengendalian memiliki berbagai tujuan dan
diterapkan di berbagai tingkat organisasi dan fungsi. Umumnya aktivitas
pengendalian yang mungkin relevan dengan audit dapat digolongkan sebagai
kebijakan dan prosedur yang berkaitan dengan review terhadap kinerja,
pengolahan informasi, pengendalian fisik, dan pemisahan tugas. Aktivitas
pengendalian dapat dikategorikan sebagai berikut.
a) Pengendalian Pemrosesan Informasi
- pengendalian umum
- pengendalian aplikasi
- otorisasi yang tepat
- pencatatan dan dokumentasi
- pemeriksaan independen
10
b) Pemisahan Tugas
c) Pengendalian Fisik
d) Telaah Kinerja
8. Informasi Dan Komunikasi
Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan
pertukaran informasi dalam suatu bentuk dan waktu yang memungkinkan orang
melaksanakan tanggung jawab mereka. Sistem informasi yang relevan dalam
pelaporan keuangan yang meliputi sistem akuntansi yang berisi metode untuk
mengidentifikasikan, menggabungkan, menganalisa, mengklasikasi, mencatat, dan
melaporkan transaksi serta menjaga akuntabilitas asset dan kewajiban.
Komunikasi meliputi penyediaan deskripsi tugas individu dan tanggung jawab
berkaitan dengan struktur pengendalian intern dalam pelaporan keuangan. Auditor
harus memperoleh pengetahuan memadai tentang sistem informasi yang relevan
dengan pelaporankeuangan untuk memahami :
a) Golongan transaksi dalam operasi entitas yang signifikan bagi laporan
keuangan
b) Bagaimana transaksi tersebut dimulai
c) Catatan akuntansi, informasi pendukung, dan akun tertentu dalam laporan
keuangan yang tercakup dalam pengolahan dan pelaporan transaksi
d) Pengolahan akuntansi yang dicakup sejak saat transaksi dimulai sampai
dengan dimasukkan ke dalam laporan keuangan, termasuk alat elektronik yang
digunakan untuk mengirim, memproses, memelihara, dan mengakses
informasi.
BAB III
11
KESIMPULAN
C. KESIMPULAN
Dari hasil pembahasan di atas dapat disimpulkan sebagai seorang audit
internal maupun ekternal kita perlu memahami dan mengerti tentang sistem
pengendalian internal dari sebuah perusahaan. Karena dari sistem pengendalian
internal yang ada kita bisa melihat bagaimana perusahaan menjalankan usahanya,
membagi wewenang, menjalankan otorisasi dan bagaimana cara mereka
menyimpan datanya agar aman dari jangkauan orang lain atau bahkan pesaing
mereka. Perusahaan yang memiliki internal control yang baik, diharapkan mampu
mengurangi atau mampu melakukan tindakan-tindakan preventif untuk mencegah
tindakan kecurangan.
12