CHAPTER 7 CONTROL AND ACCOUNTING I NFORMATION S YSTEMS YSTE MS
ONSEP P ENGENDALIAN_____________________________________ IKHTISAR DARI K ONSEP
Pengendalian internal (internal control) adalah proses yang dilaksanakan oleh dewan direksi, manajemen, dan orang-orang di bawah arahan mereka untuk memberikan keyakinan yang memadai bahwa tujuan pengendalian berikut ini dicapai: 1. Melindungi Melindungi aset (termasu (termasuk k data). data). ujuan ujuan ini mencakup mencakup pencegahan atau deteksi deteksi yang tepat waktu terhadap akuisisi, akuisisi, penggunaan, atau penjualan aset material perusahaan. !. Mempertahankan"memelihara Mempertahankan"memelihara catatan agar dibuat dibuat secara secara rinci rinci sehingga sehingga mencerminkan aset perusahaan secara akurat dan adil. #. Menyediakan in$ormasi yang akurat akurat dan dapat dapat diandalkan. diandalkan. %. &da keyakinan keyakinan yang memadai bahwa laporan laporan keuangan keuangan disusun disusun sesuai dengan '&. . Mempromosikan Mempromosikan dan meningkatkan meningkatkan e*siensi operasional. ujuan ujuan ini termasuk termasuk memastikan memastikan bahwa penerimaan penerimaan dan pengeluaran perusahaan perusahaan yang dibuat sesuai dengan manajemen dan wewenang direksi. +. Mendorong Mendorong kepatuhan kepatuhan terhadap kebijakan kebijakan manajerial manajerial yang ditentukan. . rganis rganisasi asi mematuhi mematuhi hukum hukum dan peraturan peraturan yang yang berlaku. berlaku. Pengendalian internal adalah suatu proses karena: karena:
erperan dalam akti/itas operasional organisasi. Merupakan bagian integral dari kegiatan manajemen dasar.
Pengendalian internal memberikan jaminan yang wajar"memadai, wajar"memadai, bukan absolut, karena karena jaminan yang lengkap sulit atau tidak mungkin untuk didapat dan mahal. 'istem pengendalian internal memiliki keterbatasan, keterbatasan, meliputi:
0entan terhadap keputusan yang salah dan buruk. apat diganti oleh manajemen atau dengan kolusi dari dua karyawan atau lebih.
ujuan ujuan pengendalian internal internal sering bertentangan satu satu sama lain. 2ontoh: Pengendalian untuk menjaga aset juga dapat mengurangi e*siensi operasional. Pengendalian internal melakukan melakukan # $ungsi penting: 1. Pre/e Pre/enti nti/e /e 2ont 2ontrrols Menghalangi masalah sebelum mereka mereka muncul. 2ontoh: Mempekerjakan Mempekerjakan teknisi yang ahli, memisahkan memisahkan tugas karyawan, dan mengendalikan akses ke aset dan in$ormasi in$ormasi secara *sik. !. etec etecti/ ti/e e 2ontr 2ontrols ols Menemukan masalah dengan cepat ketika mereka muncul. 2ontoh: Pengecekan ulang dari perhitunganpe rhitungan-perhitungan perhitungan dan membuat rekonsiliasi rekonsiliasi bank dan neraca setiap bulan. 1
#. 2orrecti/e 2ontrols Menyelesaikan masalah yang terjadi dengan cara: Mengidenti*kasi penyebabnya Memperbaiki kesalahan yang diperbuat Memodi*kasi sistem untuk mencegah masalah tersebut di masa depan. 2ontoh: mempertahankan back up dengan melakukan penyalinan dokumen, memperbaiki kesalahan pada data yang dimasukkan, dan mengirim ulang transaksi untuk proses yang selanjutnya.
Pengendalian internal sering dikelompokkan menjadi ! kategori: 1. 3eneral 2ontrols irancang untuk memastikan lingkungan (proses dan sistem) pengendalian suatu organisasi stabil dan dikelola dengan baik. 2ontoh: Pengendalian manajemen keamanan → untuk menjaga keamanan ruangan tertentu, dipekerjakan satpam. !. &pplication 2ontrols irancang untuk memastikan transaksi diproses dengan benar. Memperhatikan keakuratan, kelengkapan, keabsahan, dan otorisasi dari data yang diambil, dimasukkan ke dalam sistem, diolah, disimpan, ditransmisikan ke sistem lain, dan dilaporkan. 2ontoh: 4nput 2ontrol : Memasukkan password di inus Maya. Process 2ontrol : i inus Maya, dosen tidak dapat mengakses menu yang hanya ditujukan untuk mahasiswa, dan juga sebaliknya. utput 2ontrol : 'eorang mahasiswa hanya dapat mencetak 56'' milik dirinya sendiri.
'ebuah sistem pengendalian internal yang e$ekti$ harus ada di semua organisasi untuk:
Membantu dalam mencapai misi dan tujuannya. Minimalkan hal-hal yang tidak terduga.
Sarbanes-Oxle A!"s #SO$% 'arbanes-7ley &cts ('8) dirancang untuk mencegah penipuan laporan keuangan, membuat laporan keuangan yang lebih transparan, melindungi in/estor, memperkuat pengendalian internal, dan menghukum para eksekuti$ yang melakukan penipuan. erikut ini adalah beberapa aspek yang paling penting dari '8: 1. Public 2ompany &ccounting /ersight oard (P2&) 9ntuk mengendalikan pro$esi audit. !. &turan baru untuk auditor 0ekan auditor harus diganti secara berkala. &uditor dilarang melakukan jasa yang tidak berhubungan dengan audit. #. Peran baru komite audit &nggota harus menjadi bagian dari dewan direksi dan saling berhubungan. 'alah satu anggota harus menjadi ahli keuangan.
!
Mengawasi auditor eksternal. %. &turan baru untuk manajemen 5aporan keuangan dan pengungkapannya yang disajikan secara wajar, ditinjau oleh manajemen, dan tidak menyesatkan. Para auditor diberitahukan tentang semua kelemahan material dan penipuan dalam pengendalian internal. . etentuan baru untuk pengendalian internal Manajemen bertanggung jawab untuk membangun dan memelihara sistem pengendalian internal yang memadai.
&turan Manajemen '8 ('arbanes-7ley &cts) 1. Menge/aluasi pengendalian internal berdasarkan pada kerangka pengendalian yang diakui. !. Mengungkapkan tentang semua kelemahan material dalam pengendalian internal. #. Menyimpulkan perusahaan tidak memiliki pengendalian internal yang e$ekti$ untuk pelaporan keuangan jika terdapat kelemahan-kelemahan material.
K ERANGKA P ENGENDALIAN_________________________________________________ # kerangka yang digunakan untuk mengembangkan sistem pengendalian internal:
&' C(n"r(l Ob)e!"*+es ,(r In,(ra"*(n an. Rela"e. Te!/n(l(0 #CO1IT% Frae2(r3 ikembangkan oleh he 4n$ormation 'ystems &udit and 2ontrol oundation (4'&2). 'ebuah kerangka praktik keamanan dan pengendalian sistem in$ormasi yang berlaku secara umum untuk pengendalian 4. 24 mengkonsolidasikan standar pengendalian dari #+ sumber yang berbeda ke dalam satu kerangka yang memungkinkan:
Manajemen membuat patokan untuk praktik keamanan dan pengendalian dalam lingkungan 4. Pengguna diyakinkan bahwa keamanan dan pengendalian 4 yang memadai itu ada. &uditor untuk memperkuat pendapat mereka tentang pengendalian internal dan menasihati tentang masalah keamanan dan pengendalian 4.
erangka ini membahas masalah pengendalian dari # sudut pandang atau dimensi:
usiness objecti/es 9ntuk memenuhi tujuan bisnis, in$ormasi harus sesuai dengan tujuh kategori kriteria yang mengarah pada tujuan yang dibuat oleh 2ommittee o$ 'ponsoring rgani;ations (2'), yaitu: ̵ <=ecti/eness → rele/ant, pertinent, and timely (e$ekti/itas → rele/an, berhubungan, dan sesuai) ̵ <>ciency (e*sien) #
2on*dentiality (kerahasiaan) 4ntegrity (integritas) &/ailability (ketersediaan) 2ompliance with legal re?uirements (kesesuaian dengan persyaratan hukum) ̵ 0eliability (dapat mengukur apa yang mau kita ukur secara konsisten, tidak pernah mengubah persepsi) 4 resources Meliputi orang, sistem aplikasi, teknologi, $asilitas, dan data. 4 processes ibagi menjadi % domain"bidang: ̵ Planning and organi;ation (perencanaan dan organisasi) ̵ &c?uisition and implementation (akuisisi dan penerapan) ̵ eli/ery and support (pengiriman dan dukungan) ̵ Monitoring and e/aluation (pemantauan dan e/aluasi)
̵ ̵ ̵ ̵
4' C(*""ee (, S5(ns(r*n0 Or0an*6a"*(ns #COSOs% In"ernal C(n"r(l Frae2(r3 &dalah kelompok sektor swasta yang terdiri dari:
he he he he he
&merican &ccounting &ssociation &42P& 4nstitute o$ 4nternal &uditors 4nstitute o$ Management &ccountants inancial <7ecuti/es 4nstitute
Pada tahun 1@@!, 2' mengeluarkan 4nternal 2ontrolA4ntegrated ramework, yang:
Mende*nisikan pengendalian internal. Memberikan panduan untuk menge/aluasi dan meningkatkan sistem pengendalian internal. iterima secara luas sebagai kewenangan pada pengendalian internal. ergabung ke dalam kebijakan, aturan, dan peraturan yang digunakan untuk mengendalikan kegiatan usaha.
Model pengendalian internal 2' memiliki komponen penting:
2ontrol
8' COSOs En"er5r*se R*s3 Mana0een" #ERM% Frae2(r3 9ntuk meningkatkan proses manajemen risiko, 2' mengembangkan sebuah kerangka pengendalian yang kedua, yaitu
Merupakan dokumen tata kelola perusahaan yang diperbaiki"ditingkatkan. Memperluas elemen pada kerangka sebelumnya. Memberikan $okus pada hal manajemen risiko perusahaan secara lebih luas.
ujuan <0M adalah untuk mencapai semua tujuan dari kerangka pengendalian internal (4nternal 2ontrol ramework) dan membantu perusahaan: Memberikan keyakinan yang memadai bahwa tujuan dan sasaran perusahaan tercapai serta meminimalkan masalah dan hal-hal yang tidak terduga. Mencapai target keuangan dan kinerjanya. Menilai risiko terus-menerus dan mengidenti*kasi langkah yang harus diambil dan sumber daya yang dialokasikan untuk mengatasi atau mengurangi risiko. Menghidari publisitas yang merugikan dan merusak reputasi perusahaan.
<0M mende*nisikan manajemen risiko sebagai: 'ebuah proses yang dipengaruhi oleh dewan direksi, manajemen, dan personil lainnya dalam sebuah perusahaan yang digunakan untuk menetapkan strategi, mengidenti*kasi kejadian yang mungkin dapat mempengaruhi perusahaan, menilai dan mengelola risiko, dan memberikan keyakinan yang memadai bahwa perusahaan mencapai tujuan dan sasarannya. Prinsip-prinsip dasar di balik <0M: Perusahaan dibentuk untuk menciptakan nilai bagi pemiliknya. Manajemen harus memutuskan berapa banyak ketidakpastian yang akan diterima sebagai akibat dari menciptakan nilai. etidakpastian dapat menghasilkan: ̵ 0isiko: emungkinan bahwa sesuatu yang negati$ akan mempengaruhi kemampuan perusahaan untuk menciptakan atau mempertahankan nilai. ̵ esempatan: emungkinan bahwa sesuatu yang positi$ akan mempengaruhi kemampuan perusahaan untuk menciptakan atau mempertahankan nilai.
̵ ̵ ̵ ̵
olom di sisi atas mewakili % jenis tujuan yang harus dipenuhi oleh manajemen untuk mencapai tujuan perusahaan. olom di sisi kanan mewakili unit perusahaan. aris hori;ontal merupakan B komponen risiko dan pengendalian yang saling terkait, meliputi:
satu subunitnya. 2ontoh: Perusahaan 8DE bisa melihat akti/itas pengendalian untuk tujuan operasi di i/isi &.
+
ERM Frae2(r3 +s' "/e In"ernal C(n"r(l Frae2(r3 erangka pengendalian internal (4nternal 2ontrol ramework) telah diadopsi secara luas sebagai cara utama untuk menge/aluasi pengendalian internal seperti yang dipersyaratkan oleh '8. Famun, ada masalah dengan kerangka ini:
Memiliki $okus yang terlalu sempit. ̵ Meneliti pengendalian tanpa terlebih dahulu memeriksa tujuan dan risiko dari proses bisnis memberikan sedikit konteks"ruang lingkup untuk menge/aluasi hasilnya. ̵ Membuatnya sulit untuk mengetahui: › 'istem pengendalian yang paling penting › 'udah cukup"tidaknya kemampuan dalam menangani risiko › &da"tidaknya sistem pengendalian penting yang hilang er$okus pada pengendalian di awal berdasarkan dampak dari masalah dan kekhawatiran di masa lalu. 2ontoh: Melindungi sistem dengan banyak pengendalian terhadap suatu risiko, padahal risiko tersebut tidak lagi penting.
4su-isu ini menyebabkan perkembangan 2'Gs <0M ramework. erangka ini:
Memiliki pendekatan berbasis risiko, daripada berbasis pengendalian terhadap organisasi. erorientasi pada perubahan masa depan dan konstan. ergabung dengan kerangka pengendalian internal 2' (2'Gs 4nternal 2ontrol ramework) daripada menggantikannya dan mengandung tiga unsur tambahan: ̵ bjecti/e 'etting: Menetapkan tujuan. ̵
'eiring berjalannya waktu, <0M mungkin akan menjadi model risiko dan pengendalian yang paling banyak digunakan.
9 F RAME:ORK C OMPONENTS _______________________________________________ &' C(n"r(l En+*r(nen" ; ERM
4' ERM
8' ERM
>' R*s3 Assessen" 0isiko dari suatu peristiwa yang diidenti*kasi dinilai dalam beberapa cara yang berbeda: 5ikelihood (kemungkinan) ampak positi$ dan negati$ 'ecara indi/idual dan berdasarkan kategori <$eknya pada unit organisasi lain erdasarkan jenis risikonya ̵ 4nherent 0isk: 0isiko yang ada sebelum manajemen mengambil langkahlangkah untuk mengendalikan kemungkinan atau dampak dari suatu peristiwa. ̵ 0esidual 0isk: 0isiko yang tersisa setelah manajemen menerapkan pengendalian internal atau bentuk lain dari tanggapan terhadap risiko.
?' ERM
B
'hare (mentrans$er) Mentrans$er sebagian risiko kepada orang lain melalui kegiatan, seperti asuransi, outsourcing, atau lindung nilai (hedging). &/oid (menghindari) idak terlibat dalam kegiatan yang menghasilkan risiko. Mungkin perlu dilakukan: ̵ Penjualan di/isi ̵ Menghilangkan jenis produk ̵ Membatalkan rencana perluasan pabrik
'trategi 0isk &ssessment and 0esponse 1. Mengidenti*kasi peristiwa !. Memperkirakan kemungkinan dan dampak #. Mengidenti*kasi pengendalian %. Memperkirakan biaya dan man$aat . Menentukan e$ekti/itas biaya"man$aat +. Menerapkan pengendalian atau menerima, mentrans$er atau menghindari risiko
@' C(n"r(l A!"*+*"*es
1
!
#
%
&dalah kebijakan dan prosedur untuk memberikan keyakinan yang memadai bahwa tujuan pengendalian terpenuhi dan tanggapan terhadap risiko dilakukan. + 9mumnya, prosedur pengendalian termasuk dalam salah satu kategori berikut: 1. ewenangan pada transaksi dan kegiatan yang tepat !. Pemisahan tugas &da ! bagian: Pemisahan tugas akuntansi idak ada seorang pun karyawan yang harus diberikan terlalu banyak tanggung jawab. Pemisahan tugas akuntansi yang e$ekti$ dicapai ketika $ungsi-$ungsi berikut dipisahkan: › ewenangan (&uthori;ation)AMenyetujui transaksi dan keputusan. › Pencatatan (0ecordings)AMempersiapkan sumber dokumen, memasukkan data ke sistem online, memelihara jurnal, buku besar, *le atau database, mempersiapkan rekonsiliasi dan laporan kinerja. › Penyimpanan (2ustody)APenanganan uang tunai, persediaan atau aset tetap, menerima cek pelanggan yang masuk, menulis cek.
@
Iika ada ! $ungsi di atas merupakan tanggung jawab dari 1 orang, maka masalah bisa timbul. Pemisahan tugas sistem alam sistem in$ormasi yang sangat terintegrasi, prosedur yang dilakukan masing-masing indi/idu digabungkan. leh karena itu, siapa saja yang memiliki akses yang tidak terbatas ke komputer, program-program, dan data hidupnya dapat memiliki kesempatan untuk melakukan dan menyembunyikan penipuan. 9ntuk melawan ancaman ini, organisasi harus menerapkan pemisahan tugas yang e$ekti$ dalam $ungsi sistem in$ormasi. Jewenang dan tanggung jawab harus dibagi dengan jelas antara $ungsi-$ungsi berikut: ›
›
'ystem administration Fetwork management
› › › › ›
'ecurity management 2hange management 9sers 'ystems analysts Programmers
› ›
›
2omputer operators 4n$ormation system librarian ata control
1K
#. %. . +. .
Pengendalian pengembangan dan akuisisi proyek Pengubahan pengendalian manajemen Perancangan dan penggunaan dokumen dan catatan Penjagaan aset, catatan, dan data Pemeriksaan terhadap kinerja oleh orang yang tidak berhubungan dengan pekerjaan tersebut
7' In,(ra"*(n an. C(n*!a"*(n ujuan utama '4& adalah untuk mengumpulkan, mencatat, mengolah, menyimpan, meringkas, dan menyampaikan in$ormasi tentang sebuah organisasi.
9' M(n*"(r*n0 Pemantauan dapat dilakukan ketika serangkaian acara sedang berlangsung atau dengan e/aluasi tersendiri. Metode utama dari kinerja pemantauan meliputi: 1. Melakukan e/aluasi <0M !. Melaksanakan pengawasan yang e$ekti$ #. Menggunakan sistem akuntansi yang bertanggung jawab %. Memantau akti/itas sistem . Melacak perangkat lunak dan mobile yang dibeli +. Melakukan audit secara berkala . Mempekerjakan seorang petugas keamanan komputer dan konsultan keamanan B. Melibatkan spesialis $orensik @. Menginstall perangkat lunak pendeteksi penipuan 1K. Menerapkan jaringan hotline untuk pelaporan penipuan