PENGENDALIAN INTERNAL PERUSAHAAN

BAB I

PENDAHULUAN

1.1 Latar Belakang

Sistem Informasi Akuntansi adalah suatu sistem dalam sebuah organisasi yang bertanggung jawab untuk penyiapan informasi yang diperoleh dari pengumpulan dan pengolahan data transaksi yang berguna bagi semua pemakai baik di dalam maupun di luar perusahaan.

Sistem ini menyiapkan informasi bagi manajemen dengan melaksanakan operasi-operasi tertentu atas semua data sumber yang diterimanya dan juga memengaruhi hubungan organisasi perusahaan dengan lingkungan sekitarnya. Juga bertugas mengumpulkan data yang menjelaskan kegiatan perusahaan, mengubah data tersebut menjadi informasi serta menyediakan informasi bagi pemakai di dalam maupun di luar perusahaan. Selain itu sistem informasi akuntansi adalah satu-satunya CBIS yang bertanggung jawab memenuhi kebutuhan informasi diluar perusahaan.

1.2 Rumusan Masalah

Apa itu pengendalian internal dan bagaimana konsep pengendalian ?
Apa saja isi kerangka pengendalian ?
Apa saja elemen-elemen utama di dalam lingkungan internal perusahaan ?
Apa saja jenis tujuan pengendalian yang perlu dibuat oleh perusahaan ?
Kejadian apa yang memengaruhi ketidakpastian dan teknik-teknik yang digunakan untuk mengidentifikasinya ?
Bagaimana cara menilai dan merespons risiko khususnya dengan model ERM ?
Apa aktivitas pengendalian yang umumnya digunakan oleh perusahaan ?
Bagaimana cara mengomunikasikan informasi ?
Bagaimana cara mengawasi proses pengendalian ?
Apa peran penting pengendalian internal ?

BAB II

PEMBAHASAN

2.1. KONSEP PENGENDALIAN

Menurut AICPA Pengendalian intern adalah suatu proses yang dipengaruhi oleh dewan komisaris, personil manajemen, dan satuan usaha lainnya, yang dirancang untuk mendapat keyakinan memadai tentang pencapaian tujuan dalam hal-hal berikut: efektifitas dan efisiensi operasi, keandalan pelaporan keuangan, kesesuaian dengan undang-undang, dan peraturan yang berlaku.[1]

Romney dan Stenbart (2015), Pengendalian Internal (internal control) adalah proses yang dijalankan untuk menyediakan jaminan memadai bahwa tujuan-tujuan pengendalian berikut telah dicapai.

· Mengamankan aset-mencegah atau mendeteksi perolehan, penggunaan, atau penempatan yang tidak sah.

· Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara akurat dan wajar.

· Memberikan informasi yang akurat dan realibel.

· Menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan.

· Mendorong dan memperbaiki efisiensi operasional.

· Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan.

· Mematuhi hukum dan peraturan yang berlaku.

Pengendalian internal adalah sebuah proses karena ia menyebar ke seluruh aktivitas pengoperasian perusahaan dan merupakan bagian integral dari aktivitas manajemen. Pengendalian internal memberikan jaminan memadai-jaminan menyeluruh yang sulit dicapai dan terlalu mahal. Selain itu, sistem pengendalian internal memiliki keterbatasan yang melekat, seperti kelemahan terhadap kekeliruan dan kesalahan sederhana, pertimbangan dan pembuatan keputusan yang salah, pengesampingan manajemen, serta kolusi.

Mengembangkan sistem pengendalian internal memerlukan pemahaman yang seksama terhadap kemampuan teknologi informasi (information system) dan risikonya, begitu pula dengan menggunakan TI untuk mencapai tujuan pengendalian sebuah perusahaan. Para akuntan dan pengembang sistem membantu manajemen mencapai tujuan pengendaliannya dengan (1) mendesain sistem pengendalian yang efektif dengan menggunakan pendekatan proaktif untuk mengeliminasi ancaman sistem, serta yang dapat mendeteksi, memperbaiki, dan memulihkan dari ancaman ketika terjadi; dan (2) membuatnya lebih mudah guna membentuk pengendalian ke dalam sebuah sistem pada tahapan desain awal daripada setelah terbentuk.

Pengendalian internal menjalankan tiga fungsi penting, yaitu :

Pengendalian Preventif (preventive control), mencegah masalah sebelum timbul. Contohnya, merekrut personel berkualifikasi, memisahkan tugas pegawai, dan mengendalikan akses fisik atas aset dan informasi.
Pengendalian Detektif (detective control), menemukan masalah yang tidak terelakkan. Contohnya, menduplikasi pengecekan kalkulasi dan menyiapkan rekonsiliasi bank serta neraca saldo bulanan.
Pengendalian Korektif (corrective control), mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkannya dari kesalahan yang dihasilkan. Contohnya, menjaga salinan backup pada file, perbaikan kesalahan entri data, dan pengumpulan ulang transaksi-transaksi untuk pemrosesan selanjutnya.

Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut :

Pengendalian Umum (general control), memastikan lingkungan pengendelian sebuah organisasin stabil dan dikelola dengan baik. Contohnya, keamanan; infrastruktur TI; dan pengendalian pembelian perangkat lunak, pengembangan, dan pemeliharaan.
Pengendalian Aplikasi (application control), mencegah, mendeteksi, dan mengoreksi kesalahan transaksi serta penipuan di dalam program aplikasi. Pengendalian ini fokus terhadap ketepatan, kelengkapan, validitas, serta otorisasi dan yang didapat, dimasukkan, diproses, disimpan, ditransmisikan ke sistem lain, dan di laporkan.

Gondodiyoto, menyatakan bahwa sistem pengendalian internal dapat dikelompokkan beberapa kategori berikut:

1. Pengendalian Administratif

Meliputi struktur organisasi dan prosedur-prosedur dan catatan-catatan yang berkaitan dengan proses pengambilan keputusan yang dengan pengesahan transaksi-transaksi oleh manajemen. Pengesahan tersebut merupakan fungsi manajemen yang secara langsung dengan tanggung jawab untuk mencapai tujuan perusahaan dan merupakan titik awal untuk menyusun pengawasan akuntansi atas transaksi-transaksi.

2. Pengendalian Akuntansi

Meliputi struktur organisasi, prosedur-prosedur dan catatan-catatan yang berkaitan dengan pengamanan aset dan dipercayainya catatan finansial, dan konsekuensinya, serta berkaitan dengan rencana organisasi, prosedur, catatan

untuk menjamin pengamanan harta, dapat diandalkannya laporan keuangan, dan adanya keyakinan bahwa:

a. Setiap transaksi dilaksanakan sesuai otorisasi yang berwenang.

b. Setiap transaksi dicatat untuk memungkinkan penyusunan laporan keuangan yang sesuai dengan prinsip akuntansi yang diterima umum, maupun dalam rangka untuk akuntanbilitas kepengurusan perusahaan.

c. Akses terhadap asset hanya sesuai dengan otorisasi yang ada.

d. Catatan tentang akuntabilitas asset adalah sesuai dengan yang ada, dapat direkonsiliasikan dan telah dilakukan tindakan yang perlu bila terjadi perbedaan karena interval waktu yang dapat dijelaskan.

Pengendalian akuntansi meliputi metoda dan prosedur yang menyangkut dan berhubungan langsung dengan pengamanan harta serta dapat dipercayainya catatan keuangan. Pada umumnya pengendalian akuntansi meliputi sistem pemberian wewenang (otorisasi), pemisahantugas, pengawasan fisik dan cek ulang atas akurasi pekerjaan oleh orang lain (verifikasi independen).

Robert simons, seorang profesor bisinis harvard, telah menganut empat kaitan pengendalian untuk membantu manajemen menyelesaikan konflik diantara kreativitas dan pengendalian.

1. Sebuah Sistem Kepercayaan (belief system) menjelaskan cara sebuah perusahaan menciptakan nilai, membantu pegawai memahami visi manajemen, mengomunikasikan nilai-nilai dasar perusahaan, dan menginspirasi pegawai untuk bekerja berdasarkan nilai-nilai tersebut.

2. Sebuah Sistem Batas (Boundary System) membantu pegawai bertindak secara etis dengan membangun batas-batas dalam perilaku kepegawaian. Sistem tersebut tidak memberitahukan secara langsung kepada pegawai apa yang dilakukan, tetapi mereka didorong untuk menyelesaikan masalah secara kreatif dan memenuhi kebutuhan pelanggan disamping memenuhi standar kinerja minimum, menghindari tindakan yang dilarang, dan menghindari tindakan yang mungkin merusak reputasi mereka.

3. Sebuah Sistem Pengendalian Diagnostik (diagnostic control system) mengukur, mengawasi, dan membandingkan perkembangan perusahaan aktual berdasarkan anggaran dan tujuan kinerja. Umpan balik membantu manajemen menyesuaikan dan menyempurnakan input serta proses sehingga output di masa depan makin mendekati tujuan yang ingin dicapai.

4. Sebuah Sistem Pengendalian Interaktif (interactive control system) membantu manajer untuk memfokuskan perhatian bawahan pada isu-isu strategi utama dan lebih terlibat di dalam keputusan mereka. Data sistem interaktif diinterpretasikan dan didiskusikan dalam pertemuan tatap muka para atasan, bawahan, dan rekanan.

Namun, tidak semua perusahaan memiliki sistem pengendalian internal yang efektif.

2.2. KERANGKA PENGENDALIAN

v Kerangka Cobit

Information Systems Audit and Control Association (ISACA) mengembangkan kerangka Control Objective for Information and Related Technology (COBIT). COBIT adalah sebuah kerangka keamanan dan pengendalian yang memungkinkan (1) manajemen untuk membuat tolok ukur praktik-praktik keamanan dan pengendalian lingkungan TI; (2) para pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian yang memadai; dan (3) para auditor memperkuat opini pengendalian internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.

Kerangka COBIT 5 menjelaskan praktik-praktik terbaik untuk tata kelola dan manajemen TI yang efektif. Selain itu, COBIT 5 didasarkan pada lima prinsip utama tata kelola dan manajemen TI. Prinsip-prinsip tersebut yaitu :

1. Memenuhi keperluan pemangku kepentingan.

Kerangka COBIT 5 memabntu para pengguna mengatur proses dan prosedur bisnis untuk menciptakan sebuah sistem informasi yang menambah nilai untuk pemangku kepentingan. Ia juga memungkinkan perusahaan menciptakan keseimbangan yang tepat diantara risiko dan penghargaan.

2. Mencakup perusahaan dari ujung ke ujung.

Kerangka COBIT 5 tidak hanya berfokus pada operasi TI, ia juga mengintegritaskan semua fungsi dan proses TI ke dalam fungsi serta proses keseluruhan perusahaan.

3. Mengajukan sebuah kerangka terintegrasi dan tunggal.

Kerangka COBIT 5 dapat disejajarkan pada tingkatan yang tinggi dengan standar dan kerangka lainnya, sehingga sebuah kerangka yang menyeluruh bagi tata kelola TI dan manajemen diciptakan.

4. Memungkinkan Pendekatan Holistik.

Kerangka COBIT 5 memberikan sebuah pendekatan holistik yang menghasilkan tata kelola dan manajemen yang efektif dari semua fungsi TI di perusahaan.

5. Memisahkan Tata Kelola dari Manajemen.

Kerangka COBIT 5 membedakan antara kelola dan manajemen.

Tujuan tata kelola adalah menciptakan nilai dengan mengoptimalkan penggunaan sumber daya organisasi untuk menghasilkan manfaat yang diinginkan dengan cara yang secara efektif mengatasi risiko. Tata kelola adalah tanggung jawab dewan direksi yang (1) mengevaluasi keperluan pemangku kepentingan untuk mengidentifikasi tujuan, (2) memberikan arahan bagi manajemen dengan memprioritaskan tujuan, dan (3) mengawasi kinerja manajemen.

Manajemen bertanggung jawab atas perencanaan, pembangunan, pelaksanaan, dan pengawasan aktivitas serta proses yang digunakan oleh organisasi untuk mengejar tujuan atau tujuan yang ditetapkan dewan direksi. Manajemen juga secara berkala memberikan umpan balik bagi dewan direksi yangd dapat digunakan untuk mengawasi pencapaian tujuan organisasi dan, jika diperlukan, mengevaluasi ulang serta mungkin memodifikasi tujuan tersebut.

Tata keola dan manajemen TI merupakan proses berkelanjutan. Dewan direksi dan manajamen mengawasi aktivitas organisasi dan menggunakan umpan balik tersebut untuk memodifikasi rencana dan prosedur yang ada atau mengembangkan strategi baru untuk merespon perubahan-perubahan di dalam tujuan bisnis dan perkembangan baru dalam TI.

COBIT 5 adalah sebuah ekrangka komprehensif yang membantu perusahaan mencapai tujuan tata kelola dan manajemen TI mereka. Kelengkapan ini adalah salah satu kekuatan COBIT 5 dan menekankan pada penerimaan internasional yang berkembang sebagai sebuah kerangka untuk mengelola serta mengendalikan sistem informasi.

v Kerangka Pengendalian Internal COSO

Committee of Sponsoring Organizations (COSO) terdirid ari Asosiasi Akuntansi Amerika (American Accounting Association), AICIPA, Ikatan Auditor Internal (Institute of Internal Auditors), Ikatan Akuntan Manajemen (institute Of Management Accountants), dan Ikatan Eksekutif Keuangan (Financial Executives Institutes). Pada 1992, COSO menerbitkan Pengendalian Internal (internal control) – Kerangka Terintegrasi (integrated Framework)-IC, yang diterima secara luas sebagai otoritas untuk pengendalian internal yang digabungkan ke dalam kebijakan, peraturan, dan regulasi yang digunakan untuk mengendalikan aktivitas bisnis.

Pengendalian Internal (internal control) – Kerangka Terintegrasi (integrated Framework)-IC merupakan sebuah kerangka COSO yang menjelaskan pengendalian internal dan memberikan panduan untuk mengevaluasi dan meningkatkan sistem pengendalian internal. Pada 2013, kerangka IC diperbarui untuk kesepakatan yang lebih baik lagi dengan proses bisnis dan penguasaan tekonologi terkini.

v Kerangka Manajemen Risiko Perusahaan COSO

Manajemen Risiko Perusahaan (Enterprise Risk Management)-Kerangka Terintegrasi (Integrated Framwork)-ERM adalah sebuah kerangka COSO yang memperbaiki proses manajemen risiko dengan memperluas (menambahkan tiga elemen tambahan) pengendalian internal COSO – Terintegritas.

Kerangka ERM adalah proses yang digunakan oleh dewan direksi dan manajemen untuk mengatur strategi, mengidentifikasi kejadian yang mungkin memengaruhi entitas, menilai dan mengelola risiko, serta menyediakan jaminan memadai bahwa perusahaan mencapai tujuan dan sasarannya. Prinsip-prinsip dasar dibalilk ERM adalah :

a. Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya

b. Manajemen haraus memutuskan seberapa banyak ketidakpastian yang akan ia terima saat menciptakan nilai

c. Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu secara negatif memengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan nilai

d. Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan nilai.

v Kerangka Manajemen Risiko Perusahaan Versus Kerangka Pengendalian Internal

Kerangka IC telah diadopsi secara luas sebagai cara untuk mengevaluasi pengendalian internal, seperti yang ditentukan oleh SOX. Kerangka ERM yang lebih komprehensif menggunakan pendekatan berbasis risiko daripada berbasis pengendalian. ERM menambahkan tiga elemen tambahan ke kerangka IC COSO: penetapan tujuan, pengidentifikasian kejadian yang mungkin memengaruhi perusahaan, dan pengembangan sebuah respons untuk risiko yang dinilai. Hasilnya, pengendalian bersifat fleksibel dan relevan karena mereka ditautkan dengan tujuan organisasi terkini. Model ERM juga mengakui bahwa risiko, selain dikendalikan, dapat pula diterima, dihindari, dibuar berjenis-jenis, dibagi atau ditransfer.

Oleh karena lebih komprehensif, buku ini menggunakan model ERM untuk menjelaskan pengendalian internal. Jika seseorang dapat memahami model ERM, maka akan lebih mudah untuk memahami model IC karena model IC adalah 5 dari komponen model ERM. Lebih sulit untuk mempelajari model IC terlebih dahulu, kemudian baru ke model ERM karena pengguna bisa jadi tidak familier dengan tiga komponen tambahan.

2.3. LINGKUNGAN INTERNAL

Lingkungan internal ( internal environment ), atau budaya perusahaan, mengaruhi cara organisasi menetapkan strategi dan tujuannya; membuat struktur aktivitas bisnis; dan mengidentifikasi, menilai, serta merespons risiko ini adalah fondasi dari seluruh komponen ERM laninnya. Lingkungan intrnal yang lemah atau tidak efisien sering kali menghasilkan kerusakan di dalam manajemen dan pengendalian risiko. Hal tersebut secara esensial merupakan hal yang sama dengan lingkungan pengendalian pada kerangka IC.

Sebuah lingkungan internal mencakup hal-hal sebagai berikut :

1. Filosofi manajemen, gaya pengoperasian, dan selera risiko.

2. Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi.

3. Pengawasan pengendalian internal oleh dewan direksi.

4. Struktur organisasi.

5. Metode penetapan wewenang dan tanggung jawab.

6. Standar-standar sumber daya manusia yang menarik, mengembangkan, dan mempertahankan individu yang kompeten.

7. Pengaruh eksternal.

Enron adalah sebuah contoh dari ketidakefektifan lingkungan internal yang mengakibatkan kegagalan finansial. Meskipun enron tampaknya memiliki sistem ERM yang efektif. Manajemen terlibat dalam praktik bisnis yang berisiko serta meragukan, dan dewan direksi tidak pernah mempertanyakannya. Manajemen salah menyajikan kondisi keuangan perusahaan, kehilangan keyakinan para pemangku kepentingan, dan akhirnya mengajukan kebangkrutan.

v FILOSOFI MANAJEMEN, GAYA PENGOPERASIAN, DAN SELERA RESIKO

Secara keseluruhan, sebuah organisasi memiliki filosofi atau kepercayaan dan sikap yang di anut bersama, tentang risiko yang memengaruhi kebijakan, prosedur, komunikasi lisan dan tulisan, serta keputusan. Perusahaan juga memiliki selera risiko ( risk appetite ), yaiti jumlah resiko yang bersedia diterima oleh sebuah perusahaan untuk mencapai tujuan dan sasarannya. Untuk menghindari resiko yang tidak semestinya, selera risiko harus selaras dengan strategi perusahaan.

Semakin bertanggung jawab filosofi dan gaya pengoperasian manajemen, serta makin jelas mereka berkomunikasi, maka semakin besar kemungkinan para pegawai akan bertindak dengan tanggung jawab. Jika manajemen hanya memiliki sedikit perhatian pada pengendalian internal dan manajemen risiko, maka pegawai akan menjadi kurang rajin untuk mencapai tujuan pengendalian. Budaya di Springer’s Lumber & Supply menjadi sebuah contoh. Maria Pilier menemukan bahwa garis wewenang dan tanggung jawab ditetapkan dengan longgar dan mencurigai bahwa manajemen mungkin telah menggunakan “akuntansi kreatif” untuk meningkatkan kinerja perusahaan. Jason Scott menemukan bukti atas praktik pengendalian internal yang buruk dalam fungsi pembelian dan utang. Dua kondisi tersebut mungkin perbaikan; sikap longgar manajemen mungkin telah menyebabkan ketidakpedulian departemen pembelian terhadap praktik pengendalian internal yang baik.

v KOMITMEN TERHADAP INTEGRITAS, NILAI ETIS, DAN KOMPETENSI

Organisasi membutuhkan sebuah budaya yang menekankan integritas dan komitmen pada nilai-nilai etis serta kompetensi. Etika berbayar—standar-standar etis merupakan bisnis yang baik. Integritas dimulai dari puncak kepemimpinan dengan para pegawai perusahaan mengadopsi sikap manajemen puncak tentang risiko dan pengendalian sebuah pesan yang kuat tersampaikan ketika CEO yang dihadapkan dengan sebuah keputusan yang sulit, membuat keputusan yang tepat secara etis.

Perusahaan mendukung integritas elegan;

· Mengajarkan dan mensyaratkannya secara aktif—sebagai contoh, menekankan bahwa laporan yang jujur lebih penting dari pada laporan yang disukai;

· Menghindari pengharapan atau insentif yang tidak realistis, sehingga memotivasi tindakan dusta atau ilegal, seperti praktik penjualan yang terlampau agresif, taktik negosiasi yang tidak wajar atau tidak etis, dan pemberian bonus yang berlebihan berdasarkan hasil keuangan yang dilaporkan;

· Memberikan penghargaan atas kejujuran serta memberikan label verbal pada perilaku jujur dan tidak jujur secara konsisten. Jika perusahaan menghukum atau memberikan penghargaan atas kejujuran tanpa melabelinya, atau jika standar kejujuran tidak konsisten, maka para pegawai akan menunjukkan perilaku moral yang tidak konsisten;

· Mengembangkan sebuah kode etik tertulis yang menjelaskan secara ekspilisit perilaku-perilaku jujur dan tidak jujur. Sebagai contoh, kebanyakan agen pembelian yang setuju menerima 55.000 dari seorang pemasok, maka agen pembelian tersebut tidaklah jujur, tetapi jika berupa sebuah liburan akhir pekan maka masih belum jelas. Satu penyebab utama dari ketidakjujuran berasal dari rasionalitas situasi yang buram dan memungkinkan kriteria kelayakan untuk menggantikan kriteria benar benar versus salah. Perusahaan sebaiknya memastikan bahwa pegawai telah membaca dan memahami kode etik;

· Mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan mendisiplinkan pegawai yang diketahui tidak melaporkannya. Semua tindakan tidak jujur harus diselidiki dan pegawai yang tidak jujur diberhentikan atau ditindaklanjuti untuk melanjutkan bahwa perilaku tersebut tidak diperbolehkan;

· Membuat sebuah komitmen untuk kompetensi. Perusahaan seharusnya mempekerjakan pegawai yang kompeten dengan kebutuhan pengetahuan, pengalaman, pelatihan, dan kemampuan yang diperlukan.

v PENGAWASAN PENGENDALIAN INTERNAL OLEH DEWAN DIREKSI

Dewan direksi yang terlibat mewakili pemangku kepentingan dan memberikan tinjauan independen manajemen yang bertindak seperti sebuah pengecekan dan penyeimbangan atas tindakan tersebut. SOX mensyaratkan perusahaan untuk memiliki sebuah komite audit ( audit cominittee ) dari dewan luar dan independen, pengendalian internal, serta perekrutan dan pengawasan baik auditor internarnal maupun aksternal, yang melaporkan seluruh kebijakan dan praktik akuntansi penting kepada komite tersebut. Para dewan harus menyetujui strategi perusahaan dan meninjau kebijakan-kebijakan keamanan.

v STRUKTUR ORGANISASI

Sebuah struktur organisasi perusahaan memberikan sebuah kerangka untuk operasi perencanaan, pelaksanaan, pengendalian, dan pengawasan. Aspek-aspek penting dari struktur organisasi menyertakan hal-hal sebagai berikut.

· Sentralisasi atau desentralisasi wewenang

· Hubungan pengarahan atau matriks pelaporan

· Organisasi berdasarkan industri, lini produk, lokasi, atau jaringan informasi

· Bagaimana alokasi tanggung jawab memengaruhi ketentuan informasi

· Organisasi dan garis wewenang untuk akuntansi, pengauditan, dan fungsi sistem informasi

· Ukuran dan jenis aktivitas perusahaan

Struktur organisasi yang rumit atau tidak jelas dapat mengindikasikan masalah yang serius. Sebagai contoh, ESM, sebuah perusahaan makelar, menggunakan struktur organisasi multi lapisan untuk menyembunyikan penipuan sebesar $300 juta. Manajemen menyembunyikan kas curian dalam pelaporan keuangan mereka menggunakan penerimaan fiktif dari sebuah perusahaan terkait.

Pada dunia bisnis masa kini, struktur Hierarkis dengan lapisan-lapisan manajemen yang saling mengawasi, tengah dengan digantikan dengan organisasi datar dengan kelompok-kelompok kerja arahan sendiri yang membuat keputusan tanpa memerlukan banyak lapisan persetujuan. Penekanannya lebih pada perbaikan berkelanjutan dari pada tinjauan dana penilaian periodik. Struktur organisasi ini merubah dampak jenis dan sifat pengendalian yang digunakan.

v METODE PENETAPAN WEWENANG DAN TANGGUNG JAWAB

Manajemen harus memastikan para pegawai memahami sasaran dan tujuan entitas, menetapkan wewenang, tanggung jawab untuk sasaran dan tujuan baik untuk departemen maupun individu, memilih individu bertanggung jawab untuk mencapainya, serta mendorong penggunaan inisiaatif untuk nmenyelesaikan masalah. Hal ini terutama penting untuk mengidentifikasi siapa yang bertanggung jawab untuk kebijakan keamanan informasi perusahaan.

Wewenang dan tanggung jawab ditetapkan dan dikomonukasikan menggunakan deskripsi pekerjaan formal, pelatihan pegawai, jadwal pengorprasian, anggarang, kode etik, serta kebijakan prosedur tertulis. Kebijakan dan prosedur manual (police & procedures manual) menjelaskan praktik bisnis yang sesuai, mendisripsikan pengetahuan dan pengalaman yang dibutuhkan, menjelaskan prosedur dokumen, menjelaskan cara menangani transaksi, dan mendata sumber daya yang disediakan untuk melaksanakan tugas-tugas tertentu. Pedoman ini menyertakan bagan akun-akun dan salinan formulir serta dokumen. Pedoman tersebut merupakan referensi dalam pekerjaan yang membantu bagi para pegawai yang telah ada sekaligus sebuah alat yang bermanfaat untuk pelatihan pegawai baru.

v STANDAR SUMBER DAYA MANUSIA YANG MENARIK, MENGEMBANGKAN, DAN MEMPERTAHANKAN INDIVIDU YANG KOMPETEN

Salah satu dari kekuatan pengendalian terbesar adalah kejujuran pegawai: salah satu dari kelemahan pengendalian terbesar adalah ketidakjujuran pegawai. Kebijakan sumber daya manusia (SDM) dan praktik-praktik yang mengatur kondisi kerja, insentif pekerjaan dan kemajuan karir dapat menjadi kekuatan dalam mendorong kejujuran, efisiensi, dan layanan yang loyal. Kebijakan SDM harus berisi tingkatan keahlian yang diperlukan, perilaku etis, dan integritas yang diperlukan. Berikut ini merupakan kebijakan dan prosedur SDM yang penting.

v PEREKRUTAN

Para pegawai seharusnya dipekerjakan berdasarkan latar belakang pendidikan, pengalaman, pencapaian, kejujuran dan integritas, serta persyaratan kerja yang sesuai cv.

Kualifikasi pelamar dapat dievaluasi menggunakan resume, surat refernsi, wawancara, dan pengecekan latar belakang. Pengecekan latar belakang (Background Check) yang teliti memuat pembicaraan berdasarkan referensi, pengecekan catatan kriminal, pemeriksaan catatan kredit, dan melakukan verivikasi pendidikan serta pengalaman kerja.

Banyak perusahaan memperkerjakan ahli pengecekan latar belakang karena beberapa pelamar membeli gelar palsu dari operator situs yang ‘memvalidasi’ pendidikan palsu ketika perusahaan menelpon. Beberapa pelamar bahkan membayar Hacker untuk membobol kedalam database perusahaan guna memasukkan kelulusan atau data nilai palsu.

v MENGOMPENSASI, MENGEVALUASI, DAN MEMPROMOSIKAN

Pegawai dengan kompensasi buruk cenderung lebih merasakan dendam dan tekanan finansial yang dapat memotivasi penipuan. Para pegawai seharusnya diberi penilaian kinerja periodik untuk membantu mereka memahami kekuatan dan kelemahan mereka. Promosi seharusnya didasarkan pada kinerja dan kualifikasi.

v PELATIHAN

Program pelatihan seharusnya mengajarkan para pegawai baru akan tanggung jawab mereka: tingkat kinerja dan perilaku yang diharapkan: serta kebijakan dan prosedur, budaya, dan gaya pengoprasian perusahaan. Para pegawai dapat dilatih dengan melakukan diskusi tidak resmi dan pertemuan resmi, penerbitan memo periodik, pendistribusian panduan dan kode etik profesional tertulis, penyebarluasan laporan perilaku tidak etis dan konsekuensinya, serta mempromosikan program pelatihan keamanan dan penipuan. Pelatihan yang berkelanjutan membantu para pegawai menghadapi tantangan tantangan baru, tetap berada didepan dalam persaingan, beradaptasi dalam perubahan teknologi, dan secara efektif menghadapi lingkungan yang berubah.

v PENGELOLAAN PARA PEGAWAI YANG TIDAK PUAS

Beberapa pegawai yang tidak puas, membalas dendam dengan tindakan yang dirasa salah, dan melakukan penipuan atau menyabotase sistem. Perusahaan membutuhkan prosedur untuk mengidentifikasi pegawai yang tidak puas dan membantu mereka mengatasi perasaan itu atau memindahkan mereka dari pekerjaan yang sensitif.

v PEMBERHENTIAN

Para pegawai yang diberhentikan harus segera dipindahkan dari pekerjaan yang sensitif dan ditolak aksesnya ke sistem informasi.

v LIBURAN DAN ROTASI TUGAS

Skema penipuan yang mensyaratkan perhatian pelaku yang berkelanjutan terungkap ketika pelaku beristirahat. Melakukan rotasi tugas pegawai secara periodik dan membuat pegawai mengambil liburan dapat mencapai hasil yang sama.

v PERJANJIAN KERAHASIAAN DAN ASURANSI IKATAN KESETIAAN

Seluruh pegawai, pemasok, dan kontraktor seharusnya menandatangani dan mematuhi sebuah perjanjian kerahasiaan. Asuransi ikatan kesetiaan melingkupi para pegawai kunci yang melindungi perusahaan terhadap kerugian yang timbul dari tindakan penipuan yang disengaja.

v MENUNTUT DAN MEMENJARAKAN PELAKU

Sebagian besar penipuan tidak dilaporkan atau dituntut karena beberapa alasan :

1. Perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah bencana hubungan publik. Pengungkapan dapat menguak kerentanan sistem dan menarik lebih banyak penipuan atau serangan hacker.

2. Penegak hukum dan pengadilan sibuk dengan kriminal kekerasan serta memiliki lebih sedikit waktu dan ketertarikan pada penipuan komputer yang tidak menimbulkan kerusakan secara fisik.

3. Menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan waktu.

4. Banyak petugas penegak hukum, pengacara, dan hakim kurang memiliki kecakapan komputer yang diperlukan untuk menyelidiki dan menuntut kejahatan komputer.

5. Hukuman untuk penipuan biasanya ringan.

v PENGARUH EKSTERNAL

Meliputi persyaratan persyaratan yang diajukan oleh bursa efek, financial accounting standards board (FASB), PCAOB, dan SEC. Mereka juga menyertakan persyaratan yang dipaksakan oleh badan badan regulasi, seperti bank, utilitas dan perusahaan asuransi.

2.4. PENETAPAN TUJUAN

Penetapan tujuan adalah komponen ERM yang kedua. Manajemen menentukan hal yang ingin dicapai oleh perusahaan, seiring disebut sebagai visi atau misi perusahaan.

Tujuan Strategis (strategic objective), merupakan sasaran tingkat tinggi yang disejajarkan dengan nilai perusahaan, mendukungnya, serta menciptakan nilai pemegang saham.

Tujuan Operasi (Operation Strategic), berhubungan dengan efektivas dan efisiensi operasi perusahaan, menentukan cara mengalokasikan sumber daya. Tujuan ini merefleksikan preferensi, pertimbangan, dan gaya manajemen serta merupakan sebuah faktor penting dalam keberhasilan perusahaan.

Tujuan Pelaporan (Reporting Objective), membantu memastikan ketelitian, kelengkapan, dan keterandalan laporan perusahaan; meningkatkan pembuatan keputusan;dan mengawasi aktivitas serta kinerja perusahaan.

Tujuan Kepatuhan (Compliance Objective), membantu perusahaan mematuhi seluruh hukum dan peraturan yang berlaku. Sebagian besar tujuan kepatuhan dan banyak tujuan pelaporan dipaksakan oleh entitas eksternal agar merespons hukum dan peraturan.

2.5. IDENTIFIKASI KEJADIAN

Committee Of Sponsoring Organizations (COSO) mendefiniskan kejadian (event) sebagai “sebuah insiden atau peristiwa yang berasal dari sumber-sumber internal atau eksternal yang memengaruhi implementasi strategi atau pencapaian tujuan.

Perusahaan menggunakan beberapa teknik untuk mengidentifikasi kejadian termasuk penggunaan sebuah daftar komprehensif dari kejadian potensial, pelaksanaan sebuah analisa internal, pengawasan kejadian-kejadian yang menjadi penyebab dan titik-titik pemicu pengadaan seminar dan wawancara, penggunaan data mining, dan penganalisaan proses proses bisnis.

2.6. PENILAIAN RISIKO DAN RESPONS RISIKO

Selama proses penetapan tujuan, manajemen harus merinci tujuan-tujuan mereka dengan cukup jelas agar risiko dapat diidentifikasi dan dinilai. Risiko-risiko sebuah kejadian yang teridentifikasi dinilai dalam beebrapa cara yang berbeda: kemungkinan, dampak positif dan negatif, secara individu dan berdasarkan kategori, dampak pada unit organisasi yang lain, serta berdasarkan pada sifat bawaan dan residual. Risiko bawaan (inherent risk) adalah kelemahan dari sebuah penetapan akun atau transaksi pada masalah pengendalian yang signifikan tanpa adanya pengendalian internal. Risiko residual (residual risk) adalah risiko yang tersisa setelah manajemen mengimplementasikan pengendalian internal atau beberapa respons lainnya terhadap risiko. Perusahaan harus menilai risiko bawaan, mengembangkan respons, dan kemudian menilai risiko residual.

Untuk menyelaraskan risiko yang diindentifikasikan dengan toleransi perusahaan terhadap risiko, manajemen harus mengambil pandangan entitas yang luas pada risiko. Mereka harus menilai kemungkinan dan dampak risiko, seperti biaya dan manfaat dari respons alternatif. Manajemen dapat merespon risiko dengan salah satu dari 4 cara berikut :

1. Mengurangi. Mengurangi kemungkinan dan dampak risiko dengan mengimplementasikan sistem pengendalian internal yang efektif.

2. Menerima. Menerima kemungkinan dan dampak risiko.

3. Membagikan. Membagikan risiko atau mentransfernya kepada orang lain dengan asuransi pembelian, mengalihdayakan sebuah aktivitas, atau masuk kedalam transaksi lindung nilai (hedging).

4. Menghindari. Menghindari risiko dengan tidak melakukan aktivitas yang menciptakan risiko.

v MEMPERKIRAKAN KEMUNGKINAN DAN DAMPAK

Beberapa kejadian memiliki risiko yang lebih besar karena lebih cenderung untuk terjadi. Alat-alat perangkat lunak membantu penilaian dan respons risiko secara otomatis. Sebuah penilaian risiko keseluruhan perusahaan dikembangkan dengan mengagregasi seluruh pemeringkatan.

Kerugian yang dikurangi, integrasi yang lebih baik dengan pelanggan dan pemasok, loyalitas pelanggan yang meningkat, keunggulan kompetitif, dan premi asuransi yang lebih rendah. Biaya biasanya lebih mudah diukur dibandingkan manfaat. Elemen biaya yang umum, yaitu personel, termasuk waktu untuk menjalankan prosedur pengendalian, biaya perekrutan pegawai tambahan untuk mencapai pemisahan tugas yang efektif, dan biaya pemrograman pengendalian kedalam sebuah sistem komputer.

Salah satu cara untuk memperkirakan nilai pengendalian internal melibatkan kerugian yang diperkirakan (expected loss), hasil matematis dampak dan kemungkinan.

Kerugian yang diperkirakan = Dampak x Kemungkinan

Nilai dari prosedur pengendalian adalah selisih antara kerugian yang diperkirakan dengan proedur – prosedur pengendalian dan kerugian yang diperkirakan tanpa prosedur tersebut.

v MENGINDENTIFIKASI PENGENDALIAN

Manajemen harus mengidentifkasi pengendalian yang melindungi perusahaan dari setiap kejadian. Pengendalian preventif biasanya superior dibandingkan pengendalian detektif.

v MEMPERKIRAKAN BIAYA DAN MANFAAT

Tujuan dari perancangan sebuah sistem pengendalian internal adalah untuk memberikan jaminan memadai bahwa kejadian tidak terjadi. Tidak ada sistem pengendalian internal yang memberikan perlindungan sangat mudah terhadap suatu kejadian.

v MENENTUKAN EFEKTIFITAS BIAYA / MANFAAT

Manajemen harus menentukan apakah sebuah pengendalian merupakan biaya menguntungkan. Dalam mengevaluasi pengendalian internal, manajemen harus lebih mempertimbangkan faktor-faktor yang lain daripada faktor-faktor yang ada didalam perhitungan biaya/manfaat yang diperkirakan. Sebagai contoh, jika sebuah kejadian mengancam eksistensi sebuah perusahaan, biaya ekstranya dapat dianggap sebagai sebuah premi asuransi kerugian bencana.

v MENGIMPLEMENTASIKAN PENGENDALIAN ATAU MENERIMA, MEMBAGI ATAU MENGHINDARI RISIKO

Pengendalian biaya efektif harus diimplementasikan untuk mengurangi risiko. Risiko yang tidak dikurangi harus diterima, dibagi, atau dihindari. Risiko dapat diterima jika ia berada dalam jangkauan toleransi risiko perusahaan. Contohnya adalah sebuah risiko dengan kemungkinan dan dampak yang kecil. Respons untuk menurunkan atau membagi risiko membantu membawa risiko residual ke dalam sebuah jangkauan toleransi risiko yang dapat diterima. Sebuah perusahaan mungkin memilih untuk menghindari risiko ketika tidak ada cara biaya – efektif untuk membawa risiko ke dalam sebuah jangkauan toleransi risiko yang dapat diterima.

2.7. AKTIVITAS PENGENDALIAN

Aktivitas pengendalian ( control activities ) adalah kebijakan, prosedur, dan aturan yang memberikan jaminan memadai bahwa tujuan pengendalian telah dicapai dan respons risik dilakukan. Hal tersebut merupakan tanggung jawab manajemen untuk mengembangkan sebuah sistem yang aman dan dikendalikan dengan tepat. Manajemen harus memastikan bahwa:

1. Pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level yang dapat diterima;

2. Pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi;

3. Aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan prosedur perusahaan yang telah ditentukan.

Petugas keamanan dan informasi dan staf operasi bertanggung jawab untuk memastikan bahwa prosedur pengendalian telah diikuti.

Pengendalian akan jauh lebih efektif ketika dijalankan sejak sistem di bangun, daripada sesudah dibangun. Akibatnya, manajer perlu melibatkan analis sistem, desainer, dan pegguna akhir ketika mendesain sistem pengendalian berbasis komputer. Hal yang penting bahwa aktivitas pengendalian tetap berjalan selama musim liburan akhir tahun, karena jumlah penipuan komputer yang tidak proposional dan perampokan keamanan yang dilakukan pada waktu tertentu. Beberapa alasannya, yaitu (1) liburan pegawai yang diperpanjang berarti bahwa orang yang “mengurusi toko” lebih sedikit; (2) para pelajar libur sekolah dan mempunyai waktu lebih; dan (3) para hacker yang budayanya berbeda meningkatkan serangan mereka.

Prosedur pengendalian dilakukan dalam kategori-kategori berikut:

1. Otorisasi transaksi dan aktivitas yang layak

2. Pemisahan tugas

3. Pengembangan proyek dan pengendalian akuisisi (perolehan)

4. Mengubah pengendalian manajemen

5. Mendesain dan menggunakan dokumen serta catatan

6. Pengamanan aset, catatan, dan data

7. Pengecekan kinerja yang independen

v OTORITAS TRANSAKSI DAN AKTIVITAS YANG TEPAT

Oleh karena manajemen kekurangan waktu dan sumber daya untuk mengawasi setiap aktivitas dan keputusan perusahaan, ia menetapkan kebijakan bagi pegawai untuk diikuti dan kemudian memberdayakan mereka. Pemberdayaan ini disebut otorisasi (authorization), yang merupakan sebuah prosedur pengendalian penting. Otorisasi sering didokumentasikan dengan penandatanganan, penginisialisasian, dan pemasukan sebuah kode otorisasi pada sebuah dokumen atau catatan. Sistem komputer dapat merekam sebuah tanda tangan digital (digital signature), simbol penandatanganan sebuah dokumen secara elektronik dengan data yang tidak dapat dipalsukan.

Aktivitas atau transaksi tertentu bisa jadi merupakan konsekuensi bahwa manajemen memberikan otorisas khusus (spacific authorization) agar aktivitas atau transaksi tersebut terjadi. Sebagai contoh, tinjauan dan persetujuan manajemen bisa jadi diperlukan untuk penjualan dengan kelebihan $50.000. sebaliknya, manajemen mengotorisasi pegawai untuk menangani transaksi rutin tanpa persetujuan khusus, sebuah prosedur yang dikenal sebagai otorisasi umum (general authorization). Manajemen harus memiliki kebijakan tertulis pada autorisasi khusus maupun umum untuk semua jenis transaksi.

Para pegawai yang memproses transaksi harus memverifikasi adanya otorisasi yang sesuai. Para auditor meninjau transaksi untuk memverifikasi otorisasi yang tepat, seperti ketiadaan transaksi-transaksi yang mengindikasikan sebuah masalah pengendalian yang mungkin terjadi. Sebagai contoh, Jason Scott menemukan bahwa beberapa pembelian tidak memiliki daftar permintaan pengendalian. Bahkan, beberapa pembelian tersebut telah “diotorisasi secara pribadi” oleh Bill Springer, wakil presiden pembelian. Jason juga menemukan bahwa beberapa pembayaran telah diotorisasi tanpa dokumen pendukung yang sesuai, seperti pesanan pembelian dan laporan penerimaan. Temuan-temuan ini memunculkan pertanyaan mengenai kecukupan pada prosedur pengendalian internal Springer.

v PEMISAHAN TUGAS

Pengendalian internal yang baik mensyaratkan tidak ada satu pegawaipun yang diberi terlalu banyak tanggung jawab atas transaksi atau proses bisnis. Seorang pegawai tidak boleh berada disebuah posisi utuk melakukan dan menyamarkan penipuan. Pemisahan tugas dibahas dalam dua sesi terpisah : pemisahan tugas akuntansi dan pemisahan tugas sistem.

Ø Pemisahan tugas akuntansi (segregation of accounting duties) yang efetif tercapai ketika fungsi-fungsi berikut dipisahkan

· Otorisasi- menyetuju transaksi dan keputusan.

· Pencatatan- mempersiapkan dokumen sumber: memasukan data kedalam sistem komputer, memelihara jurnal, buku besar, file, atau databes, dan menyiapkan rekonsiliasi dan laporan kinerja.

· Penyimpanan- menanganikas, peralatan, persediaan, atau aktiva tetap, menerima cek pelanggan yang datang: menulis cek.

Jika seseorang melakukan dua dari fungsi-fungsi tersebut, masalah dapat timbul. Sebagai contoh, bendahara kta di Fairfax, Virginia, menggelapkan $600.000. ketika warga menggunakan uang untuk membayar pajak, dia menyimpan uangnya dan memasukan pembayaran pada catatan pajak properti, tetapi tidak melaporkan kepengawas. Ketika dia mnerima cek didalam surat yang akan hilang jika tidak dicatat, dia memasukkannya kedalam register kas dan penerimaan uang dan pencatatan penerimaan tersebut, dia mampu mencuri penerimaan uang dan memalsukan rekening untuk menyamarkan pencurian.

Seorang direktur newport Beach, California, menggelapkan $1,2 juta. Bertanggung jawab untuk mengotorisasi transaksi, dia memalsukan faktur-faktur untuk dokumen kemudahan otorisasi pembayaran ke pemilik properti nyata atau fiktif. Para petugas departemen keuangan memberinya cek untuk diantar kepemilik properti. Dia memalsukan tanda tangan dan menyetorkan cek kedalam rekeningnya sendiri. Oleh karena ia diberi kewenangan penyimpanan cek, dia dapat melakukan otorisasi transaksi fiktif dan mencuri pembayarannya.

Direktur penggajian di los angeles dodgers menggelapkan $330.000. dia melemburkan para pegawai pada jam jam mereka tidak bekerja dan menerima 50% pembayaran kembali untuk kompensasi ekstra. Dia menambahkan nama nama fiktif ke penggajian Dodgers dan mencairkan slip gajinya. Penipuan tersebut terungkap ketika ia sedang sakit dan pegawai lain melakukan tugasnya. Oleh karena pelaku bertanggung jawab untuk melakukan otorisasi perekrutan pegawai dan mencatat jam bekrja pegawai, ia tidak perlu menyiapkan atau menangani slip gaji. Perusahaan mengirimkan cek kealamat yang dia sebutkan.

Dalam sebuah sistem dengan pemisahan tugas yang efektif, sulit bagi sorang pegawai untuk dapat berhasil menggelapkan. Mendeteksi penipuan dengan dua atau lebih orang yang trlibat kolusi (collusion) dalam usahanya menolak pengendalian akan lebih sulit karena lebih mudah untuk melakukan dan menyamarkan penipuan. Sebagai contoh, dua wanita pada sebuah perusahaan kartu kredit berkolusi. Seorang wanita melakukan otorisasi rekening kartu kredit baru, wanita lainnya menghapuskan rekening tak terbayarkan yang kurang dari $1.000. wanita pertama menciptaan rekening baru untuk masing masing dari mereka dengan menggunakan data fiktif. Ktika jumlah yang jatuh tempo mendekati batas $1.000, wanita yang melakukan pengumpulan tersebut menghapuskannya. Proses tersebut kemudian diulang. Mereka tertangkap ketika kekasih mereka yang baru saja diputuskan membalas dendam kepada mereka dengan melaporkan skema trsebut kepada perusahaan kartu kredit.

Pegawai dapat berkomplot dengan pegawai lain, pelanggan, atau vendor. Kolusi pegawai/vendor yang paling sering dilakukan, meliputi penagihan pada harga yang melambung, melakukan pekerjaan dibawah standar dan menerima bayaran penuh, bayaran untuk tidak bekerja, menggandakan tagihan, dan pembelian lebih banyak barang secara tidak peru dari perusahaan yang berkomplot. Kolusi pegawai/pelanggan yang paling sering adalah pembayaran pinjaman atau asuransi yang tidak terotorisasi, menerima aset atau jasa pada harga diskon yang tidak terotorisasi, membiarkan jumlah yang dipinjam, dan perpanjangan tanggal jatuh tempo yang tidak terotrorisasi.

Ø Pemisahan tugas sistem

Dalam sebuah sistem informasi, prosedur yang dijalankan oleh individu berbeda dikombinasikan. Oleh karena itu, setiap orang yang memiliki akses yang tidak terbatas kekomputer, program, dan data langsung dapat melakukan serta menyamarkan penipuan. Untuk melawan ancaman ini, organisasi menerapkan pemisahan tugas sistem. Wewenang dan tanggung jawab harus dibagi dengan jelas menurut fungsi fungsi sebagai berikut:

1. Administrator sistem. Memastikan seluruh komponen sistm informasi berjalan dengan lancar dan efisien.

2. Manajer jaringan. Memastikan bahwa perangkat ditautkan ke jaringan intrnal dan eksternal organisasi dan memastikan pula bahwa jaringan tersebut beroperasi dengan baik.

3. Manajemen keamanan. Memastikan bahwa sistem yang ada aman dan terlindungi dari ancaman internal dan eksternal.

4. Manajemen perubahan. Adalah proses untuk memastikan perubahan dibuat dengan lancar dan efisien tidak mempengaruhi keterandalan, keamanan, kerahasiaan, integritas, dan ketersediaan sistem secara negatif.

5. Pengguna. Mencatat transaksi, mlakukan otorisasi data untuk diproses, dan menggunakan output sistem

6. Analis sistem. Membantu pengguna mnentukan kebutuhan informasi mereka dan mendesain sistem agar sesuai dengan kebutuhan kebutuhan tersebut.

7. Pemrogram. Membuat untuk mengembangkan desain analis, mengopdekan dan menguji program komputer.

8. Operator komputer. Menjalankan perangkat lunak pada komputer perusahaan. Mereka memastikan bahwa data dimasukkan dengan tepat, diproses dengan benar, dan output yang diperlukan akan dihasilkan.

9. Perpustakaan sistem informasi. Memelihara penyimpanan database, file, dan program perusahaan dalam area penyimpanan terpisah yang disebut dengan perpustakaan sistem informasi.

10. Kelompok pengendalian data. Memastikan bahwa data sumber telah disetujui dengan semestinya, mengawasi alur kerja melalui komputer, merekonsiliasi input dan output, memelihara catatan kesalahan input untuk memastikan kebenaran dan kepatuhannya kembali, serta mendistribusikan oputput sistem.

Memungkinkan sorang untuk melakukan dua atau lebih pekerjaan tersebut dapat membuka peluang penipuan pada perusahaan. Sebagai contoh, jika seorang pemrogram koperasi kredit menggunakan data aktual uintuk menguji program,nya, dia dapat menghapuskan saldo pinjaman mobilnya selama pengujian. Begitu pula jika seorang operator komputer memiliki akses klogika dan dokumentasi pemrograman, dia mungkin dapat menaikkan gajinya sambil memproses penggajian.

v PENGEMBANGAN PROYEK DAN PENGENDALIAN AKUISISI (PEROLEHAN)

Pengendalian pengembangan sistem yang penting meliputi hal-hal sebagai berikut :

1. Sebuah komite pengarah (steering Committee) memandu dan mengawasi pengembangan dan akuisisi (perolehan) sistem informasi.

2. Sebuah rencana induk strategis (strategic master plan) dikembangkan dan diperbarui setiap tahun untuk menyelaraskan sistem informasi organisasi dengan strategi-strategi bisnisnya.

3. Sebuah rencana pengembangan proyek (project development plan) menujukkan tugas-tugas yang dijalankan, orang yang akan menjalakannya, biaya proyek, tanggal penyelesaian, dan tonggak proyek (project milestones)-poin – poin signifikan ketika kemajuan ditinjau dan waktu penyelesaian aktual serta perkiraan dibandingkan.

4. Sebuah jadwal pengolahan data (data processing schedule) menujukkan kapan setiap tugas seharusnya dijalankan.

5. Pengukuran kinerja sistem (system perfomance measurement) ditetapkan untuk mengevaluasi sistem. Pengukuran yang umum meliputi throughtput (output per unit waktu), pemanfaatan (utilization)-presentase waktu penggunaan sistem, dan waktu respons (response time)-lamanya waktu yang diperlukan sistem untuk merespons.

6. Sebuah tinjauan pasca-implementasi (postimplementation review) dijalankan setelah sebuah proyek pengembangan diselesaikan untuk menentukan apakah manfaat antisipasian tercapai.

Beberapa perusahaan memperkerjakan seorang sistem integrator (system integrator) untuk mengelola sebuah upaya pengembangan sistem yang melibatkan personel dalam perusahaan, kliennya, dan vendor lainnya. Perusahaan-perusahaan yang menggunakan sistem integrator sebaiknya menggunakan proses dan pengendalian manajemen proyek yang sama dengan proyek internal. Selain itu, perusahan harus melakukan hal sebagai berikut:

· Mengembangkan spesifikasi yang jelas

Ini termasuk deskripsi dan definis sistem yang pasti, tenggat waktu yang jelas, dan kriteria penerimaan yang tepat.

· Mengawasi proyek

Perusahaan harus menetapkan prosedur formal untuk mengukur dan melaporkan status sebuah proyek

v MENGUBAH PENGENDALIAN MANAJEMEN

Organisasi memodifikasi sistem yang berjalan untuk mereflesikan praktik-praktik bisnis baru dan untuk memanfaatkan penguasaan TI.

v MENDESAIN DAN MENGGUNAKAN DOKUMEN DAN CATATAN

Desain dan pengunaan dokumen elektronik dan kertas yang sesuai dapat membantu memastikan pencatatan yang akurat serta lengkap dari seluruh data transaksi yang relevan.

v PENGAMANAN ASET,CATATAN, DAN DATA

Pengaman aset yang penting bagi kita :

· Menciptakan dan menegakkan kebijakan dan prosedur yang tepat

· Memelihara catatan akurat dari seluruh aset

· Membatasi akses terhadap aset

· Melindungi catatan dan dokumen

v PENGECEKAAN KINERJA YANG INDEPENDEN

· Tinjauan tingkat atas : Manajemen harus mengawasi hasil perusahaan dan membandingkan kinerja perusahaan secara periodik terhadap :

1. kinerja yang direncanakan

2. kinerja periode sebelumnya

3. kinerja pesaing

· Tinjauan analitis : sebuah pemeriksaan hubungan diantara set set data yang berbeda

· Rekonsiliasi catatan-catatan yang dikelola secara independen: catatan- catatan harus di rekonsiliasi terhadap dokumen atau catatan dengan saldo yang sama

· Perbandingan terhadap kuantitas aktusi dengan jumlah dicatat

· Akuntansi double-entry

· Tinjauan independen : setelah sebuah transaksi di proses, orang kedua meninjau perkerjaan orang pertama, mengecek otoritasi yang semestinya, meninjau dokumen pendukung, dan mengecek ketetapan harga, kuantitas ,serta ekstensi.

2.8. INFORMASI DAN KOMUNIKASI

Sistem informasi dan komunikasi haruslah memperoleh dan mempertukarkan informasi yang dibutuhkan untuk mengatur, mengelola, dan mengendalikan operasi perusahaan. Tujuan utama dari sistem informasi akuntansi (SIA-accounting information system) adalah untuk mengumpulkan, mencatat, memproses,menyimpan,meringkas,dan mengomunikasikan informasi mengenai sebuah organisasi.

Kerangka IC yang di perbarui merinci bahwa tiga prinsip berikut berlaku di dalam proses informasi dan komunikasi:

1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk mendukung pengendalian internal

2. Mengomunikasikan informasi secara internal, termaksuk tujuan dan tanggung jawab yang di perlukan untuk mendukung komponen-komponen lain dari pengendalian internal

Mengomunikasikan hal-hal pengendalian internal yang relevam kepada pihak-pihak eksternal.

2.9. PENGAWASAN

Sistem pengendalian internal yang di pilih atau dikembangkan harus diawasi secara berkelanjutan, dievaluasi, dan dimodifikasi sesuai kebutuhan.

v MENJALANKAN EVALUASI PENGENDALIAN INTERNAL

Efektivitas pengendalian internal diukur dengan menggunakan evaluasi formal atau evaluasi penilaian diri.

v IMPLEMENTASI PENGAWASAN YANG EFEKTIF

Pengawasan yang efektif melibatkan melatih dan mendampingi pengawai, mengawasi kinerja mereka, mengoreksi kesalahan, dan mengawasi pegawai yang memiliki akses terhadap aset.

v MENGGUNAKAN SISTEM AKUNTANSI PERTANGGUNGJAWABAN

Sistem akuntansi pertanggungjawaban meliputi anggaran , kuota, jadwal, biaya satandar, dan standar kualitas ; perbandingan laporan kinerja aktual dan yang direncanakan, dan prosedur untuk menyelidiki serta mengoreksi varians signifikan

v MENGAWASI AKTIVITAS SISTEM

Paket perangkat lunak analisis dan manajemen risiko meninjau ukuran-ukuran keamanan komputer dan jaringan , menditeksi akses ilegal,menguji kelemahan dan kerentanan,melaporkan kelemahan yang ditemukan, dan menyarankan perbaikan.

v MELACAK PERANGKAT LUNAK DAN PERANGKAT BERGERAK YANG DIBELI

Business Software Alliance (BSA) melacak dan mendenda perusahaan-perusahaan yang melanggar perjanjian lisensi perangkat lunak. Untuk mematuhi hak cipta dan melindungi dirinya dari gugatan pembajakan perangkat lunak, perusahaan harus melakukan audit perangkat lunak secara periodik. Harus ada lisensi yang cukup untuk seluruh pengguna dan perusahaan tidak wajib membayar untuk lisensi yang lebih dari yang dibutuhkan. Pengguna harus diinformasikan mengenai konsekuensi penggunaan perangkat lunak yang tidak berlisensi.

Peningkatan jumlah perangkat bergerak (mobile) harus dilacak dan diawasi karena kerugiannya dapat menujukkan pengungkapan yang substansial. Barang-barang yang dilacak adalah perangkat, siapa yang memiliki, tugas apa yang mereka jalankan, fitur keamanan yang dipasang, dan perangkat lunak apa yang dibutuhkan oleh perusahaan untuk memelihara sistem dan keamanan jaringan yang memadai.

v MENJALANKAN AUDIT BERKALA

Audit keamanan eksternal, internal, dan jaringan dapat menilai dan mengawasi risiko maupun mendeteksi penipuan dan kesalahan. Menginformasikan para pegawai audit membantu menyelesaikan masalah-masalah privasi, menghalangi penipuan, dan mengurangi kesalahan.

Audit internal menilai keterandalan serta integritas informasi dan operasi keuangan, mengevaluasi efektivitas pengendalian internal, dan menilai kepatuhan pegawai dengan kebijakan dan prosedur manajemen maupun perundangan dan peraturan yang berlaku. Fungsi audit internal harus independen dari fungsi akuntansi dan pengoperasian secara organisasi. Audit internal harus melapor kepada komite audit, bukan pengawas atau CFO.

v MEMPERKERJAKAN PETUGAS KEAAMANAN KOMPUTER DAN CHIEF COMPLIANCE OFFICER

Seorang computer security officer (CSO) bertugas atas keamanan sistem, independen dari fungsi sistem informasi, dan melapor kepada chief compliance officer (COO) atau CEO. Banyaknya tugas terkait SOX atau bentuk kepatuhan lainnya telah menuntun banyak perusahaan untuk mendelegasikan seluruh masalah kepatuhan kepada seorang chief compliance officer (COO).

v MENYEWA SPESIALIS FORENSIK

Penyelidik forensik (forensic investigators) yang memiliki spesialis dalam kasus penipuan adalah kelompok yang tumbuh dengan cepat pada profesi akuntansi. Kehadiran mereka meningkat dikarenakan beberapa faktor, terutama SOX, aturan-aturan akuntansi baru, dan permintaan dewan direksi bahwa penyelidikan forensik merupakan bagian berkelanjutan dari pelaporan keuangan dan proses tata kelola perusahaan.

Spesialis forensik komputer adalah pakar komputer yang menemukan, mengekstrasi, mengamankan, dan mendokumentasi bukti komputer seperti keabsahan, akurasi, dan integritas bahwa tidak akan menyerah pada tantangan hukum.

v MEMASANG PERANGKAT LUNAK DETEKSI PENIPUAN

Para penipu mengikuti pola-pola yang berbeda dan meninggalkan petunjuk yang dapat dilacak dengan perangkat lunak deteksi penipuan. Jaringan saraf merupakan komputasi yang meniru proses pembelajaran otak dengan menggunakan jaringan prosesor yang terhubung satu sama lain dengan menjalankan berbagai operasi secara serentak dan berinteraksi dengan dinamis.

v MENGIMPLEMENTASIKAN HOTLINE PENIPUAN

Hotline penipuan adalah nomor telepon yang dapat dihubungi oleh para pegawai untuk melaporkan penipuan dan penyalahgunaan secara anonim (tanpa nama).

2.10. PERAN PENTING PENGENDALIAN INTERNAL

Lima komponen pengendalian internal yaitu lingkungan pengendalian, penilaian risiko, informasi dan komunikasi, pengawasan, dan aktivitas pengendalian menyediakan auditor informasi yang penting mengenai risiko penyalahsajian yang penting dalam laporan keuangan dan penipuan. Para auditor karenanya diharuskan untuk mendapat pengetahuan yang memadai atas pengendalian internal untuk merencanakan audit mereka.[3]

BAB III

PENUTUP

3.1 Kesimpulan

Tujuan utama dari sistem informasi akuntansi (SIA-accounting information system) adalah untuk mengumpulkan, mencatat, memproses,menyimpan,meringkas,dan mengomunikasikan informasi mengenai sebuah organisasi.

DAFTAR PUSTAKA

Romney, Steinbart, Sistem Informasi Akuntansi, Terjemahan, Salemba Empat, 2015

[1] http://www.akuntansilengkap.com/akuntansi/tujuan-unsur-dan-pengertian-sistem-pengendalian-intern/ oleh Sandy Makruf

[2]4 JULI 2012/ URNAL ILMIAH MAHASISWA AKUNTANSI FAKULTAS BISNIS UNIKA WIDYA MANDALA/ http://jurnal.wima.ac.id/index.php/JIMA/article/viewFile/251/246

[3] James A. Hall, Accounting Information Systems, Salemba Empat, 2004BAB I

PENDAHULUAN

1.1 Latar Belakang

1.2 Rumusan Masalah

1. Apa itu pengendalian internal dan bagaimana konsep pengendalian ?

2. Apa saja isi kerangka pengendalian ?

3. Apa saja elemen-elemen utama di dalam lingkungan internal perusahaan ?

4. Apa saja jenis tujuan pengendalian yang perlu dibuat oleh perusahaan ?

5. Kejadian apa yang memengaruhi ketidakpastian dan teknik-teknik yang digunakan untuk mengidentifikasinya ?

6. Bagaimana cara menilai dan merespons risiko khususnya dengan model ERM ?

7. Apa aktivitas pengendalian yang umumnya digunakan oleh perusahaan ?

8. Bagaimana cara mengomunikasikan informasi ?

9. Bagaimana cara mengawasi proses pengendalian ?

10. Apa peran penting pengendalian internal ?

11.

BAB II

PEMBAHASAN

2.1. KONSEP PENGENDALIAN

Romney dan Stenbart (2015), Pengendalian Internal (internal control) adalah proses yang dijalankan untuk menyediakan jaminan memadai bahwa tujuan-tujuan pengendalian berikut telah dicapai.

· Mengamankan aset-mencegah atau mendeteksi perolehan, penggunaan, atau penempatan yang tidak sah.

· Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara akurat dan wajar.

· Memberikan informasi yang akurat dan realibel.

· Menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan.

· Mendorong dan memperbaiki efisiensi operasional.

· Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan.

· Mematuhi hukum dan peraturan yang berlaku.

Pengendalian internal menjalankan tiga fungsi penting, yaitu :

1. Pengendalian Preventif (preventive control), mencegah masalah sebelum timbul. Contohnya, merekrut personel berkualifikasi, memisahkan tugas pegawai, dan mengendalikan akses fisik atas aset dan informasi.

2. Pengendalian Detektif (detective control), menemukan masalah yang tidak terelakkan. Contohnya, menduplikasi pengecekan kalkulasi dan menyiapkan rekonsiliasi bank serta neraca saldo bulanan.

3. Pengendalian Korektif (corrective control), mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkannya dari kesalahan yang dihasilkan. Contohnya, menjaga salinan backup pada file, perbaikan kesalahan entri data, dan pengumpulan ulang transaksi-transaksi untuk pemrosesan selanjutnya.

Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut :

Ø Pengendalian Umum (general control), memastikan lingkungan pengendelian sebuah organisasin stabil dan dikelola dengan baik. Contohnya, keamanan; infrastruktur TI; dan pengendalian pembelian perangkat lunak, pengembangan, dan pemeliharaan.

Ø Pengendalian Aplikasi (application control), mencegah, mendeteksi, dan mengoreksi kesalahan transaksi serta penipuan di dalam program aplikasi. Pengendalian ini fokus terhadap ketepatan, kelengkapan, validitas, serta otorisasi dan yang didapat, dimasukkan, diproses, disimpan, ditransmisikan ke sistem lain, dan di laporkan.

Gondodiyoto, menyatakan bahwa sistem pengendalian internal dapat dikelompokkan beberapa kategori berikut:[2]

1. Pengendalian Administratif

2. Pengendalian Akuntansi

untuk menjamin pengamanan harta, dapat diandalkannya laporan keuangan, dan adanya keyakinan bahwa:

a. Setiap transaksi dilaksanakan sesuai otorisasi yang berwenang.

b. Setiap transaksi dicatat untuk memungkinkan penyusunan laporan keuangan yang sesuai dengan prinsip akuntansi yang diterima umum, maupun dalam rangka untuk akuntanbilitas kepengurusan perusahaan.

c. Akses terhadap asset hanya sesuai dengan otorisasi yang ada.

Robert simons, seorang profesor bisinis harvard, telah menganut empat kaitan pengendalian untuk membantu manajemen menyelesaikan konflik diantara kreativitas dan pengendalian.

Namun, tidak semua perusahaan memiliki sistem pengendalian internal yang efektif.

2.2. KERANGKA PENGENDALIAN

v Kerangka Cobit

1. Memenuhi keperluan pemangku kepentingan.

2. Mencakup perusahaan dari ujung ke ujung.

Kerangka COBIT 5 tidak hanya berfokus pada operasi TI, ia juga mengintegritaskan semua fungsi dan proses TI ke dalam fungsi serta proses keseluruhan perusahaan.

3. Mengajukan sebuah kerangka terintegrasi dan tunggal.

Kerangka COBIT 5 dapat disejajarkan pada tingkatan yang tinggi dengan standar dan kerangka lainnya, sehingga sebuah kerangka yang menyeluruh bagi tata kelola TI dan manajemen diciptakan.

4. Memungkinkan Pendekatan Holistik.

Kerangka COBIT 5 memberikan sebuah pendekatan holistik yang menghasilkan tata kelola dan manajemen yang efektif dari semua fungsi TI di perusahaan.

5. Memisahkan Tata Kelola dari Manajemen.

Kerangka COBIT 5 membedakan antara kelola dan manajemen.

v Kerangka Pengendalian Internal COSO

v Kerangka Manajemen Risiko Perusahaan COSO

a. Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya

b. Manajemen haraus memutuskan seberapa banyak ketidakpastian yang akan ia terima saat menciptakan nilai

c. Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu secara negatif memengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan nilai

d. Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan nilai.

v Kerangka Manajemen Risiko Perusahaan Versus Kerangka Pengendalian Internal

2.3. LINGKUNGAN INTERNAL

Sebuah lingkungan internal mencakup hal-hal sebagai berikut :

1. Filosofi manajemen, gaya pengoperasian, dan selera risiko.

2. Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi.

3. Pengawasan pengendalian internal oleh dewan direksi.

4. Struktur organisasi.

5. Metode penetapan wewenang dan tanggung jawab.

6. Standar-standar sumber daya manusia yang menarik, mengembangkan, dan mempertahankan individu yang kompeten.

7. Pengaruh eksternal.

v FILOSOFI MANAJEMEN, GAYA PENGOPERASIAN, DAN SELERA RESIKO

v KOMITMEN TERHADAP INTEGRITAS, NILAI ETIS, DAN KOMPETENSI

Perusahaan mendukung integritas elegan;

· Mengajarkan dan mensyaratkannya secara aktif—sebagai contoh, menekankan bahwa laporan yang jujur lebih penting dari pada laporan yang disukai;

· Membuat sebuah komitmen untuk kompetensi. Perusahaan seharusnya mempekerjakan pegawai yang kompeten dengan kebutuhan pengetahuan, pengalaman, pelatihan, dan kemampuan yang diperlukan.

v PENGAWASAN PENGENDALIAN INTERNAL OLEH DEWAN DIREKSI

v STRUKTUR ORGANISASI

· Sentralisasi atau desentralisasi wewenang

· Hubungan pengarahan atau matriks pelaporan

· Organisasi berdasarkan industri, lini produk, lokasi, atau jaringan informasi

· Bagaimana alokasi tanggung jawab memengaruhi ketentuan informasi

· Organisasi dan garis wewenang untuk akuntansi, pengauditan, dan fungsi sistem informasi

· Ukuran dan jenis aktivitas perusahaan

v METODE PENETAPAN WEWENANG DAN TANGGUNG JAWAB

v STANDAR SUMBER DAYA MANUSIA YANG MENARIK, MENGEMBANGKAN, DAN MEMPERTAHANKAN INDIVIDU YANG KOMPETEN

v PEREKRUTAN

Para pegawai seharusnya dipekerjakan berdasarkan latar belakang pendidikan, pengalaman, pencapaian, kejujuran dan integritas, serta persyaratan kerja yang sesuai cv.

v MENGOMPENSASI, MENGEVALUASI, DAN MEMPROMOSIKAN

v PELATIHAN

v PENGELOLAAN PARA PEGAWAI YANG TIDAK PUAS

v PEMBERHENTIAN

Para pegawai yang diberhentikan harus segera dipindahkan dari pekerjaan yang sensitif dan ditolak aksesnya ke sistem informasi.

v LIBURAN DAN ROTASI TUGAS

v PERJANJIAN KERAHASIAAN DAN ASURANSI IKATAN KESETIAAN

v MENUNTUT DAN MEMENJARAKAN PELAKU

Sebagian besar penipuan tidak dilaporkan atau dituntut karena beberapa alasan :

1. Perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah bencana hubungan publik. Pengungkapan dapat menguak kerentanan sistem dan menarik lebih banyak penipuan atau serangan hacker.

2. Penegak hukum dan pengadilan sibuk dengan kriminal kekerasan serta memiliki lebih sedikit waktu dan ketertarikan pada penipuan komputer yang tidak menimbulkan kerusakan secara fisik.

3. Menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan waktu.

4. Banyak petugas penegak hukum, pengacara, dan hakim kurang memiliki kecakapan komputer yang diperlukan untuk menyelidiki dan menuntut kejahatan komputer.

5. Hukuman untuk penipuan biasanya ringan.

v PENGARUH EKSTERNAL

2.4. PENETAPAN TUJUAN

Penetapan tujuan adalah komponen ERM yang kedua. Manajemen menentukan hal yang ingin dicapai oleh perusahaan, seiring disebut sebagai visi atau misi perusahaan.

Tujuan Strategis (strategic objective), merupakan sasaran tingkat tinggi yang disejajarkan dengan nilai perusahaan, mendukungnya, serta menciptakan nilai pemegang saham.

2.5. IDENTIFIKASI KEJADIAN

2.6. PENILAIAN RISIKO DAN RESPONS RISIKO

1. Mengurangi. Mengurangi kemungkinan dan dampak risiko dengan mengimplementasikan sistem pengendalian internal yang efektif.

2. Menerima. Menerima kemungkinan dan dampak risiko.

3. Membagikan. Membagikan risiko atau mentransfernya kepada orang lain dengan asuransi pembelian, mengalihdayakan sebuah aktivitas, atau masuk kedalam transaksi lindung nilai (hedging).

4. Menghindari. Menghindari risiko dengan tidak melakukan aktivitas yang menciptakan risiko.

v MEMPERKIRAKAN KEMUNGKINAN DAN DAMPAK

Salah satu cara untuk memperkirakan nilai pengendalian internal melibatkan kerugian yang diperkirakan (expected loss), hasil matematis dampak dan kemungkinan.

Kerugian yang diperkirakan = Dampak x Kemungkinan

Nilai dari prosedur pengendalian adalah selisih antara kerugian yang diperkirakan dengan proedur – prosedur pengendalian dan kerugian yang diperkirakan tanpa prosedur tersebut.

v MENGINDENTIFIKASI PENGENDALIAN

Manajemen harus mengidentifkasi pengendalian yang melindungi perusahaan dari setiap kejadian. Pengendalian preventif biasanya superior dibandingkan pengendalian detektif.

v MEMPERKIRAKAN BIAYA DAN MANFAAT

v MENENTUKAN EFEKTIFITAS BIAYA / MANFAAT

v MENGIMPLEMENTASIKAN PENGENDALIAN ATAU MENERIMA, MEMBAGI ATAU MENGHINDARI RISIKO

2.7. AKTIVITAS PENGENDALIAN

1. Pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level yang dapat diterima;

2. Pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi;

3. Aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan prosedur perusahaan yang telah ditentukan.

Petugas keamanan dan informasi dan staf operasi bertanggung jawab untuk memastikan bahwa prosedur pengendalian telah diikuti.

Prosedur pengendalian dilakukan dalam kategori-kategori berikut:

1. Otorisasi transaksi dan aktivitas yang layak

2. Pemisahan tugas

3. Pengembangan proyek dan pengendalian akuisisi (perolehan)

4. Mengubah pengendalian manajemen

5. Mendesain dan menggunakan dokumen serta catatan

6. Pengamanan aset, catatan, dan data

7. Pengecekan kinerja yang independen

v OTORITAS TRANSAKSI DAN AKTIVITAS YANG TEPAT

v PEMISAHAN TUGAS

Ø Pemisahan tugas akuntansi (segregation of accounting duties) yang efetif tercapai ketika fungsi-fungsi berikut dipisahkan

· Otorisasi- menyetuju transaksi dan keputusan.

· Pencatatan- mempersiapkan dokumen sumber: memasukan data kedalam sistem komputer, memelihara jurnal, buku besar, file, atau databes, dan menyiapkan rekonsiliasi dan laporan kinerja.

· Penyimpanan- menanganikas, peralatan, persediaan, atau aktiva tetap, menerima cek pelanggan yang datang: menulis cek.

Ø Pemisahan tugas sistem

1. Administrator sistem. Memastikan seluruh komponen sistm informasi berjalan dengan lancar dan efisien.

2. Manajer jaringan. Memastikan bahwa perangkat ditautkan ke jaringan intrnal dan eksternal organisasi dan memastikan pula bahwa jaringan tersebut beroperasi dengan baik.

3. Manajemen keamanan. Memastikan bahwa sistem yang ada aman dan terlindungi dari ancaman internal dan eksternal.

5. Pengguna. Mencatat transaksi, mlakukan otorisasi data untuk diproses, dan menggunakan output sistem

6. Analis sistem. Membantu pengguna mnentukan kebutuhan informasi mereka dan mendesain sistem agar sesuai dengan kebutuhan kebutuhan tersebut.

7. Pemrogram. Membuat untuk mengembangkan desain analis, mengopdekan dan menguji program komputer.

9. Perpustakaan sistem informasi. Memelihara penyimpanan database, file, dan program perusahaan dalam area penyimpanan terpisah yang disebut dengan perpustakaan sistem informasi.

v PENGEMBANGAN PROYEK DAN PENGENDALIAN AKUISISI (PEROLEHAN)

Pengendalian pengembangan sistem yang penting meliputi hal-hal sebagai berikut :

1. Sebuah komite pengarah (steering Committee) memandu dan mengawasi pengembangan dan akuisisi (perolehan) sistem informasi.

2. Sebuah rencana induk strategis (strategic master plan) dikembangkan dan diperbarui setiap tahun untuk menyelaraskan sistem informasi organisasi dengan strategi-strategi bisnisnya.

4. Sebuah jadwal pengolahan data (data processing schedule) menujukkan kapan setiap tugas seharusnya dijalankan.

6. Sebuah tinjauan pasca-implementasi (postimplementation review) dijalankan setelah sebuah proyek pengembangan diselesaikan untuk menentukan apakah manfaat antisipasian tercapai.

· Mengembangkan spesifikasi yang jelas

Ini termasuk deskripsi dan definis sistem yang pasti, tenggat waktu yang jelas, dan kriteria penerimaan yang tepat.

· Mengawasi proyek

Perusahaan harus menetapkan prosedur formal untuk mengukur dan melaporkan status sebuah proyek

v MENGUBAH PENGENDALIAN MANAJEMEN

Organisasi memodifikasi sistem yang berjalan untuk mereflesikan praktik-praktik bisnis baru dan untuk memanfaatkan penguasaan TI.

v MENDESAIN DAN MENGGUNAKAN DOKUMEN DAN CATATAN

Desain dan pengunaan dokumen elektronik dan kertas yang sesuai dapat membantu memastikan pencatatan yang akurat serta lengkap dari seluruh data transaksi yang relevan.

v PENGAMANAN ASET,CATATAN, DAN DATA

Pengaman aset yang penting bagi kita :

· Menciptakan dan menegakkan kebijakan dan prosedur yang tepat

· Memelihara catatan akurat dari seluruh aset

· Membatasi akses terhadap aset

· Melindungi catatan dan dokumen

v PENGECEKAAN KINERJA YANG INDEPENDEN

· Tinjauan tingkat atas : Manajemen harus mengawasi hasil perusahaan dan membandingkan kinerja perusahaan secara periodik terhadap :

1. kinerja yang direncanakan

2. kinerja periode sebelumnya

3. kinerja pesaing

· Tinjauan analitis : sebuah pemeriksaan hubungan diantara set set data yang berbeda

· Rekonsiliasi catatan-catatan yang dikelola secara independen: catatan- catatan harus di rekonsiliasi terhadap dokumen atau catatan dengan saldo yang sama

· Perbandingan terhadap kuantitas aktusi dengan jumlah dicatat

· Akuntansi double-entry

2.8. INFORMASI DAN KOMUNIKASI

Kerangka IC yang di perbarui merinci bahwa tiga prinsip berikut berlaku di dalam proses informasi dan komunikasi:

1. Mendapatkan atau menghasilkan informasi yang relevan dan berkualitas tinggi untuk mendukung pengendalian internal

2. Mengomunikasikan informasi secara internal, termaksuk tujuan dan tanggung jawab yang di perlukan untuk mendukung komponen-komponen lain dari pengendalian internal

Mengomunikasikan hal-hal pengendalian internal yang relevam kepada pihak-pihak eksternal.

2.9. PENGAWASAN

Sistem pengendalian internal yang di pilih atau dikembangkan harus diawasi secara berkelanjutan, dievaluasi, dan dimodifikasi sesuai kebutuhan.

v MENJALANKAN EVALUASI PENGENDALIAN INTERNAL

Efektivitas pengendalian internal diukur dengan menggunakan evaluasi formal atau evaluasi penilaian diri.

v IMPLEMENTASI PENGAWASAN YANG EFEKTIF

Pengawasan yang efektif melibatkan melatih dan mendampingi pengawai, mengawasi kinerja mereka, mengoreksi kesalahan, dan mengawasi pegawai yang memiliki akses terhadap aset.

v MENGGUNAKAN SISTEM AKUNTANSI PERTANGGUNGJAWABAN

v MENGAWASI AKTIVITAS SISTEM

v MELACAK PERANGKAT LUNAK DAN PERANGKAT BERGERAK YANG DIBELI

v MENJALANKAN AUDIT BERKALA

v MEMPERKERJAKAN PETUGAS KEAAMANAN KOMPUTER DAN CHIEF COMPLIANCE OFFICER

v MENYEWA SPESIALIS FORENSIK

v MEMASANG PERANGKAT LUNAK DETEKSI PENIPUAN

v MENGIMPLEMENTASIKAN HOTLINE PENIPUAN

Hotline penipuan adalah nomor telepon yang dapat dihubungi oleh para pegawai untuk melaporkan penipuan dan penyalahgunaan secara anonim (tanpa nama).

2.10. PERAN PENTING PENGENDALIAN INTERNAL

BAB III

PENUTUP

3.1 Kesimpulan

DAFTAR PUSTAKA

Romney, Steinbart, Sistem Informasi Akuntansi, Terjemahan, Salemba Empat, 2015

[1] http://www.akuntansilengkap.com/akuntansi/tujuan-unsur-dan-pengertian-sistem-pengendalian-intern/ oleh Sandy Makruf

[2]4 JULI 2012/ URNAL ILMIAH MAHASISWA AKUNTANSI FAKULTAS BISNIS UNIKA WIDYA MANDALA/ http://jurnal.wima.ac.id/index.php/JIMA/article/viewFile/251/246

[3] James A. Hall, Accounting Information Systems, Salemba Empat, 2004