2012 PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI (CONTROL AND ACCOUNTING INFORMATION SYSTEM) Masyarakat telah semakin tergantung pada sistem informasi akuntansi, yang juga telah berkembang semakin kompleks untuk memenuhi peningkatan kebutuhan atas informasi. Sejalan dengan peningkatan kompleksitas sistem dan ketergantungan pada sistem tersebut, perusahaan menghadapi peningkatan risiko atas sistem mereka yang sedang dinegosiasikan tersebut.
DISUSUN OLEH KELOMPOK IV: ISMUADI DELI MARISA MARWAN HUSNI HAMID
MAGISTER AKUNTANSI UNIVERSITAS SYIAH KUALA BANDA ACEH 11/17/2012
BAB 7 PENGENDALIAN SISTIM INFORMASI AKUNTANSI Kasus intregratif Perusahaan Springer’s Lumber & Supply Jason Scot, seorang internal auditor untuk Nortwest Industri, sedang mengaudit Springer’s & Lumber Supply, Outlet material bangunan di Nortwest Bozeman, Montana. Supervisornya Maria Piller, memintanya untuk menelusiri sebuah transaksi pembelian dari permintaan pembelian sampai pengeluaran kas untuk memverifikasi prosedur pengendalian yang benar telah diikuti. Jason frustasi dengan dengan tugas ini, dengan alasan sebagai berikut:
Sistim pembelian sangat sedikit dokumentasinya
Dia menyimpan transaksi-transaksi yang tidak diproses seperti Ed Yates, Manajer hutang mengatakan mereka harus melakukan seperti itu.
Permintaan pembelian untuk beberapa item yang diotorisasi secara personal oleh Bill Springer, wakil president pembelian
Beberapa faktur telah dilunasi tanpa adanya dokumen pendukung, seperti order pembelian dan laporan penerimaan barang.
Harga-harga beberapa jenis barang tidak seperti biasanya terasa mahal, ada beberapa perbedaan dalam jenis harga barang antara faktur vendor koresponden order pembelian
Yates telah menjawab secara logis setiap jawaban yang Jason ajukan dan menyarakan Jasan bahwa Dunia nyata tidak sama seperti yang digambarkan dalam buku text. Maria juga mengalami beberapa prihatin:
Springer’s adalah supplier terbesar di kawasan tersebut dan hampir memonopoli
Otoritas manajement dijabat oleh president perusahaan, Joe Springer’s dan dua anaknya, Bill (wakil president pembelian), dan Ted (pengawas), beberapa Saudara dan teman-temanya pada bidang penggajian.
Springer’s memilki 10% dari
kepemilikan perusahaan
Garis wewenang dan tanggungjawab dalam perusahaan kabur dan membingungkan
4|Page
SIA Kelompok VI
Maria percaya bahwa Ted Springer’s telah terlibat dalam “rekayasa akuntansi” untuk membuat Springer’s sebagai sebuah perusahaan retail terbaik di Nortwest
Setelah berbicara dengan Maria, Jason memikirkan beberapa hal sebagai berikut:
1. Karena Ed Yates memiliki jawaban logis terhadap setiap transaksi yang tidak lazim, haruskah Jason menjelaskan transaksi ini dalam laporannya? 2. Apakah sebuah pelanggaran dari prosedur pengendalian dapat diterima jika manajemen telah mengesahkannya? 3. Maria prihatin dengan garis wewenang Springer’s yang kabur dan memungkinkan “rekayasa akuntansi” merupakan masalah dari kebijakan manajemen, Apakah dia telah berlaku professional atau bertanggungjawab secara etik terlibat?
PENDAHULUAN
Mengapa ancaman terhadap sistim informasi akuntansi terus meningkat Hampir setiap tahun, lebih dari 60% mengalami sebuah kegagalan besar dalam mengendalikan keamanan dan intregitas sistim komputer mereka. Penyebab-penyebanya adalah sebagai berikut:
Informasi tersedia untuk junlah karyawan yang sangat besar. Chevron contohnya memiliki 35.000 unit personal komputer.
Informasi yang didistribusikan dalam jaringan informasi sukar untuk diawasi. Di Chevron, informasi didistribusikan ke setiap sistim dan ke beribu-ribu karyawan di seluruh dunia.
Setiap sistim dan karyawan
berpotensi mewakili titik rentan
pengawasan.
Pelanggan dan supplier dapat mengakses setiap sistim dan data. Contoh WalMart membolehkan vendornya untuk mengakses database mereka.
Bayangkan
kepercayaan yang diberikan seperti ini kepada vendor yang memiliki hubungan dengan pesaing.
5|Page
SIA Kelompok VI
Organisasi belum melakukan proteksi data secara cukup memiliki beberapa alasan:
Beberapa perusahaan melihat bahwa kehilangan beberapa informasi penting masih jauh dan sepertinya bukan ancaman
Implikasi pengendalian akibat berpindahnya sistim komputer yang tersentral ke sistim berbasis internet tidak sepenuhnya dipahami.
Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber strategis dan melindunginya membutuhkan sebuah strategi, contohnya sebuah perusahaan kehilangan jutaan dollar karena tidak melindungi transmisi data. Seorang pesaing masuk ke jaringan telepon dan mengfax design produk baru.
Produktivitas dan biaya menekan motivasi manajemen
TINJAUAN ATAS KONSEP PENGENDALIAN Pengendalian Internal adalah proses yang dilakukan untuk menyediakan jaminan yang masuk akal agar tujuan pengendalian tersebut tercapai , diantara tujuan tersebut adalah; 1. Mengamankan aset 2. Memelihara catatan dengan detail yang memadai 3. Menyediakan informasi yang akurat dan dapat diandalkan 4. Memberikan dan meningkatkan efisiensi operasi 5. Meningkatkan kepatuhan terhadap kebijakan manajerial yang dirumuskan. 6. Menuruti regulasi dan hukum yang dapat diterapkan.
Pengendalian Internal melakukan 3 (tiga) fungsi penting yaitu : 1. Pengendalian Preventif (Pencegahan)
menentukan permasalahan sebelum
terjadi. Misalnya memperkerjakan personil yang berkualitas, memisahkan tugastugas karyawan, dan mengendalikan akses fisik terhadap aset dan informasi 2. Deteksi Pengendalian
menemukan permasalahan yang tidak dapat dicegah.
Misalkan termsuk menduplikasikan kalkulasi pemeriksaan dan menyiapkan rekonsiliasi bank dan trial balance bulanan. 3. Koreksi Pengendalian menentukan dan mengoreksi permasalahan sebagaimana proses memperbaiki dan memulihkan hasil error. Misalnya termasuk dalam menjaga backup rekaman files, memperbaiki data entry yang error dan menyerahkan kembali transaksi untuk proses selanjutnya.
6|Page
SIA Kelompok VI
Pengendalian internal sering dibedakan dalam dua katagori: 1. Pengendalian Umum membuat keyakinan terhadap lingkungan pengendalian sebuah organisasi stabil dan terpimpin dengan baik. Contohnya keamanan, Infrastruktur IT, pengadaan sofware, pembangunan dan pemeliharaan pengawasan 2. Pengendalian aplikasi membuat keyakinan transaksi diproses secara benar. Mereka perhatian dengan akurasi, kelengkapan, validitasi, dan otorisasi dari data diterima, dimasukkan, diproses, disimpan, ditransmisikan ke sistim yang lain, dan dilaporkan.
Robert Simmon, seorang Professor Business di Harvard telah menuangkan empat level pengendalian untuk membantu manajemen merekonsiliasi konflik antara kreativitas dan pengendalian.
1. Sistim percaya (Belief system) menjelaskan bagaimana perusahaan membuat nilai, membantu karyawan memahami visi manajemen perusahaan, mengkomunikasikan nilai inti, dan menginspirasi karyawan untuk hidup dengan nilai-nilai tersebut. 2. Sistim Batas (Boundary sistim), membantu karyawan bertindak secara etis dengan menyusun batasan-batasan tingkah laku karyawan. Karyawan tidak dikatakan apa yang sesungguhnya harus dilakukan. Namun mereka di dorong untuk bertindak secara kreatif mengatasi masalah dan memenuhi keinginan pelanggan ketika menemukan adanya standard minimum diberikan, menghindari hal-hal yang mebatasi, dan mencegah hal-hal yang menghancurkan reputasi mereka. 3. Sistim Pengendalian Diagnosa (Diagnostic control system), mengukur, memantau dan membandingkan kemajuan aktual perusahaan dengan anggaran dan tujuannya. Umpan balik membantu manajemen menyesuaikan input dan proses sehingga output lebih mendekati tujuan. 4. Membuat manajer fokus pada isu-isu strategis untuk lebih terlibat dalam keputusan mereka. 5. Sistim pengendalian interaktif membantu manajemen untuk fokus kepada isu-isu strategis dan lebih terlibat dalam pengambilan keputusan mereka. Sistim interaktif data diterjemahkan dan didiskusikan dalam pertemuan tatap muka dari yang paling atas, bawahan dan sesama.
7|Page
SIA Kelompok VI
Namun tidak semua organisasi mempunyai sistim pengendalian internal control yang efektif. Contohnya sebuah laporan mengindikasikan bahwa FBI diganggu dengan rentannya infranstruktur IT dan masalah keamanan, beberapa dari kejadian itu telah diindentifikasikan 13 tahun yang lalu. Hal-hal yang diprihatikan adalah mengenai standar keamanan, pedoman, dan prosedur, pemisahan tugas-tugas, pengawasan akses, termasuk manajemen paword dan penggunaan, pengendalian backup dan penyembuhan, dan pengembangan sofware dan pengendalian perubahan.
Praktek Korupsi Asing dan Undang-undang sarbane oakley Tahun 1997 Undang-undang Praktek Korupsi Asing (FCPA) telah lulus untuk mencegah perusahaan melakukan penyuapan kepada pegawai-pegawai asing untuk mendapatkan bisnis. Kongres menggabungkan bahasa dari pernyataan American Institute of Certified Public Accountants (AICPA) kedalam FCPA yang meminta perusahaan sistim yang baik dari pengendalian intern. Sayangnya, permintaan ini tidaklah cukup untuk mencegah masalah selanjutnya. Di akhir tahun 1990 dan awal tahun 2000, berita baru dilaporkan terjadinya kecurangan di Enron, Worldcom, Xerox, Tyco, Global Crossing, Adelphia, dan perusahaan-perusahaan lain. Ketika Enron mengumumkan kebangkrutannya dengan nilai asset $62 milyar pada Desember 2001. yang merupakan kebangkrutan terbesar dalam sejarah USA. Pada Juni tahun 2002 Arthur Anderson, salah satu firma akuntan publik terbesar bangkrut. Kebangkrutan Enron dikecilkan oleh kebangkrutan WorlCom, lebih dari $100 milyar dalam asset, dan mengajukan kebangkrutan pada Juli 2002. Dalam merespon kecurangan-kecurangan ini, Kongres mengesahkan undang-undang Sarbane Oaxley (SOX) pada tahun 2002. SOX berlaku untuk perusahaan-perusahaan publik dan auditor mereka untuk mencegah kecurangan dalam laporan keuangan, membuat laporan keuangan lebih transparan, melindungi investor, memperkuat pengendalian intern, dan menghukum eksekutif yang melakukan kecurangan. SOX adalah undang-undang yang berorientasi bisnis yang sangat penting dalam 75 tahun terakhir. Undang-undang tersebut merubah dewan direktur dan manajemen bekerja dan memiliki pengaruh dramatis terhadap CPA yang mengaudit mereka. Berikut adalah beberapa aspek penting dari SOX.
Public Company Accounting Oversight Board (PCAOB), SOX membuat Badan Pemantau Akuntansi Perusahaan Publik (PCAOB) untuk mengendalikan profesi
8|Page
SIA Kelompok VI
auditing.
PCAOB menyiapkan dan menerapkan Auditing, pengendalian
berkualitas, etiket, kebebasan, standar-standar audit lainnya.
Aturan-aturan baru untuk para auditor. Auditor harus melaporkan informasi spesifik untuk komite audit perusahaan, seperti kebijakan-kebijakan akuntansi genting dan praktek. Mitra audit harus diganti setiap kali. SOX melarang auditor dari melmberikan jasa-jasa non audit tertentu. Seperti design sistim informasi dan implementasinya.
Perusahaan audit tidak boleh memberikan jasa kepada
perusahaan-perusaan jika manajemen puncaknya pernah dipekerjakan pada perusahaan yang sedang melakukan audit dan bekerja pada perusahaan audit dalam masa 12 bulan sebelumnya.
Aturan-aturan baru untuk komite audit, anggota-angota komite audit harus dimasukkan dalam dewan direktur perusahaan dan berada bebas di perusahaan. Seorang anggota komite audit harus ahli keuangan. Komite audit menyewa, mengkompensasi dan memantau auditor yang melaporkan terhadapnya secara langsung.
Aturan-aturan baru untuk manajemen.
SOX meminta CEO dan CFO untuk
menyatakan bahwa (1) laporan keuangan dan pengungkapan disajikan secara fair, yang direfisi oleh manjemen dan tidak menyesatkan, dan bahwa (2) auditorauditor akan diminta untuk mengungkapkan semua hal-hal kelemahan pengendalian internal dan kecurangan.
Jika manajemen secara sengaja
melakukan penyimpangan aturan ini mereka bisa dituntut dan didenda. Perusahaan harus mengungkapkan dalam bahasa inggris biasa perubahanperubahan material dalam laporan keuangan mereka secara tepat waktu.
Permintaan-permintaan pengendalian internal baru.
Seksi 404 meminta
perusahaan-perusahaan untuk menerbitkan sebuah laporan menemani catatan laporan keuangan yang mana manajemen bertanggungjawab untuk menegakkan dan memelihara sistim internal kontrol yang memadai. Laporan tersebut harus berisi
penilaian
manajemen
terhadap
pengendalian
internal
control,
memperlihatkan keakurasian mereka, melaporkan kelemahan signifikan atau halhal ketidakpatuhan.
Setelah SOX disahkan, Security Exhange Commission diamanatkan bahwa manajemen harus: 9|Page
SIA Kelompok VI
Mendasarkan evaluasinya pada kerangka pengendalian yang diakui. Kerangka yang paling memungkinkan, diformulasikan oleh COSO akan didiskusikan dalam Bab ini.
Mengungkapkan semua kelemahan material pengendalian intern
Menyimpulkan bahwa sebuah perusahaan yang tidak efektif pengendalian intern pelaporan keuangannya jika adanya kelemahan yang material.
KERANGKA KERJA PENGENDALIAN
Cobit Framework Asosiasi Pengendalian dan Audit Sistim Informasi (ISACA) telah membuat kerangka tujuan pengendalian untuk informasi dan teknologi (COBIT).
COBIT
menggabungkan standar pengendalian dari 36 sumber yang berbeda kedalam sebuah kerangka tunggal yang memungkinkan (1) manajemen untuk membuat patokan keamanan dan pelaksanaan pengendalian dari lingkungan IT, (2) Pengguna dijamin bahwa keamanan IT yang cukup dan keberadaan pengendalian, dan (3) Auditor menyokong pendapat pengendalian intern mereka dan menyarankan terhadap keamanan IT dan masalah-masalah pengendalian. Kerangka pengendalian disampaikan dari tiga titik pandang. 1. Tujuan bisnis, untuk memenuhi tujuan bisnis, informasi harus mematuhi tujuh katagori dari criteria yang telah dipetakan dalam tujuan-tujuan yang telah dibuat oleh Komite Organisasi Sponsor (COSO) 2. Sumber daya IT, termasuk orang, sistim aplikasi, teknologi, fasilitas, dan data. 3. Proses IT, hal-hal ini dipecahkan dalam empat wilayah, perencanaan dan organisasi, akuisisi dan implementasi, pengiriman dan dukungan, dan monitoring dan evaluasi.
Kerangka kerja pengendalian internal COSO Committee of Sponsoring Organization (COSO) beranggotakan American Accounting Association, American Institute of Certified Public Accountants (AICPA), Institute of Internal Auditors, The Isntitute of Management Accountants, and the Financial Excecutive Institute. Pada tahun 1992 COSO mengeluakan Internal Control10 | P a g e
SIA Kelompok VI
Intregated Framework (IC), kerangka keja pengendalian intern yang terintregasi yang secara luas diterima sebagai pengendalian intern yang sah dan digabungkan dalam kebijakan-kebijakan, aturan, dan undang-undang digunakan untuk mengendalikan kegiatan bisnis. Lima komponen dari kerangka kerja Internal Control-Intregated Framework (IC), disimpulkan dalam Tabel 7-1 sebagai bagaian COSO terbaru Kerangka Kerja Manajemen Resiko Perusahaan.
Kerangka Kerja Manajemen Resiko Perusahaan COSO
Untuk meningkatkan proses manajemen resiko, COSO membuat kernagka kerja pengendalian internal kedua yang dianamakan Enterprise Risk Management (ERM) atau Manajemen Resiko Perusahaan. ERM adalah proses dewan direktur dan manajemen mempersiapkan strategi, mengidentifikasikan kejadian-kejadian yang mempengaruhi entitas, menilai dan mengelola resiko dan menyediakan jaminan yang wajar bahwa perusahaan meraih sasaran dan tujuannya. Prinsip-prinsip dasar dibelakang ERM sebagai berikut:
Perusahaan dibentuk untuk menciptakan nilai bagi pemilik-pemilknya
Manajemen harus memutuskan berapa banyak ketidakmentuan akan menerima karena menciptakan nilai.
Ketidakmenentuan akan menghasilkan resiko, dimana sesuatu yang terjadi secara negatif akan mempengaruhi kemampuan perusahaan untuk menciptakan atau mempertahankan nilai.
Ketidakmenentuan menghasilkan kesempatan, dimana sesuatu yang terjadi secara positif akan mempengaruhi kemampuan perusahaan untuk menciptakan nilai dan mempertahankan nilai.
Kerangka kerja ERM bisa mengelola ketidakmenentuan dan juga menciptakan dan mempertahankan nilai
COSO membuat gambar 7-1 untuk mengilustrasikan elemen-elemen ERM. Empat kolom puncak menunjukkan bahwa tujuan manajemen harus bertemu dengan tujuan perusahaan. Kolom sebelah kanan menunjukkan unit-unit perusahaan. Baris horizontal adalah delapan resiko saling berhubungan dan komponen-komponen 11 | P a g e
SIA Kelompok VI
pengendalian ERM. Model ERM berbentuk tiga dimensi. Setiap delapan resiko dan dan elemen-elemen pengendalian diterapkan ke setiap empat tujuan perusahaan dan atau ke subunit-subunit. Contohnya Perusahaan XYZ bisa melihat aktivitas pengendalian untuk tujuan operasi divisi Pasifik. Figure 7-1 COSO’s Enterprise Risk Management model
LINGKUNGAN INTERNAL
Lingkungan
internal
atau
budaya
perusahaan
mempengaruhi
organisasi
membangun strategi dan tujuan, struktur aktivitas bisnis, mengidentifikasi, menilai dan merespon resiko.
Ini merupakan pondasi bagi semua komponen ERM.
Sebuah
kelemahan atau kekurangan lingkungan internal sering menghasilkan gangguan dalam manajemen resiko dan pengendalian.
Pada dasarnya hal yang sama seperti dalam
lingkungan pengendalian dalam kerangka kerja IC. Lingkungan internal terdiri sebagai berikut: 1. Filsafat manajemen, style operasi, dan keinginan resiko 2. Dewan direktur 3. Komitmen integritas, nilai-nilai etika, dan kompetensi 4. Metode pemeberian wewenang dan tanggungjawab 5. Standar Sumber daya manusia 6. Pengaruh-pengaruh eksternal
12 | P a g e
SIA Kelompok VI
PENYUSUNAN TUJUAN Penyusunan
tujuan
adalah
komponen
ERM
(Enterprise
Risk
Management). Manajemen menentukan apakah perusahaan dapat mencapai apa yang disebut dengan visi dan misi perusahaan. Manajemen menyusun tujuantujuan pada tingkat perusahaan dan kemudian membaginya ke dalam beberapa tujuan yang lebih spesifik bagi sub unit perusahaan.
Perusahaan tersebut
menentukan apa yang harus berjalan benar untuk mencapai tujuan kinerja dan membangun pengukuran kinerja yang menentukan apakah tercapai atau tidak. Tujuan strategis, yang merupakan tujuan paling penting yang harus disejajarkan dengan misi perusahaan, mendukungnya, dan menciptakan nilai saham, yang harus disusun terlebih dulu. Manajemen harus menentukan cara alternative dalam melengkapi tujuan strategis; mengidentifikasi dan menilai resiko dan implikasi dari setiap alternative; merumuskan strategi perusahaan dan menentukan operasi, melaksanakan dan melaporkan tujuan. Tujuan Operasi, kerja perusahaan
yang berkaitan dengan keefektifan dan keefisiensian
yang menentukan bagaimana mengalokasikan sumberdaya.
Tujuan ini mencerminkan pilihan-pilihan manajemen, penilaian, dan gaya kerja yang merupakan faktor kunci kesuksesan perusahaan. Tujuan ini berubah secara signifikan – sebuah perusahaan dapat memutuskan untuk menjadi pengguna teknologi lebih awal atau pengguna teknologi bila teknologi tersebut terbukti, dan yang ketiga menggunakan teknologi hanya setelah teknologi tersebut diterima secara umum. Tujuan Pelaporan, membantu memastikan keakuratan, kelengkapan dan kehandalan laporan perusahaan; meningkatkan pengambilan keputusan, dan memonitor aktivitas dan kinerja perusahaan. Tujuan Pelaksanaan, membantu perusahaan mematuhi semua regulasi dan hokum yang berlaku. Tujuan pelaksanaan yang paling penting, dan banyak tujuan pelaporan dikenakan oleh entitas eksternal sebagai respon atas hukum dan
13 | P a g e
SIA Kelompok VI
regulasi. Seberapa bagus perusahaan mencapai tujuan pelaksanaan dan pelaporan akan secara signifikan berpengaruh terhadap reputasi perusahaan. ERM menyediakan jaminan yang masuk akal dimana tujuan pelaksanaan dan pelaporan tercapai karena perusahaan memiliki kendali terhadap tujuan tersebut. Walau bagaimanapun, satu-satunya jaminan yang masuk akal dapat menyediakan tujuan strategis dan operasi, yang terkadang ada pada kejadian eksternal diluar kendali, dimana perusahaan dan direktur akan dapat diinformasikan dengan berbasis waktu atas progres yang akan dicapai perusahaan.
IDENTIFIKASI KEJADIAN COSO mengidentifikasi kejadian sebagai sebuah “Insiden atau kejadian yang berasal dari sumber internal dan eksternal yang mempengaruhi pelaksanaan strategi dan pencapaian tujuan. Suatu kejadian dapat berpengaruh positif atau negatif
dan
bisa
juga
kedua-duanya.
Suatu
kejadian
memperlihatkan
ketidakpastian; yang bisa atau tidak bisa terjadi. Bila kejadian tersebut terjadi, sulit diketahu kapan. Sampai kejadian tersebut terjadi, akan sulit menentukan pengaruhnya. Saat kejadian tersebut terjadi, akan dapat memicu terjadinya kejadian lainnya. Kejadian dapat terjadi secara individu dan concurently. Manajemen harus mengantisipasi semua kejadian positif dan negatif yang mungkin terjadi, menentukan yang mana yang sering atau jarang kemungkinan terjadi, dan memahami kejadian timbal balik yang terjadi. Sebagaimana contoh, anggaplah pelaksanaan sistem pertukaran data elektronik (EDI) yang menghasilkan dokumen elektronik, mengirimnya ke pelanggan dan supplier dan menerima hasil elektronik. Sejumlah kecil kejadian dalam perusahaan dapat dihadapi dengan memilih teknologi yang tercepat, akses yang tidak sah, kehilangan integritas data, transaksi yang tidak lengkap. Kegagalan sistem, dan sistem yang incompatible/tidak cocok.
14 | P a g e
SIA Kelompok VI
Beberapa teknik yang digunakan perusahaan untuk mengenal kejadian termasuk menggunakan daftar komprehensif atas kejadian, melakukan analisis internal, monitoring kejadian utama dan pemicunya, memimpin wawancara dan workshop, menggunakan penggalian data dan menganalisa proses bisnis.
PENILAIAN DAN RESPON ATAS RESIKO Resiko atas kejadian yang teridentifikasi dapat dinilai melalui beberapa cara yang berbeda yaitu dengan kemungkinan, pengaruh positif dan negatif, secara individu dan sesuai katagori, pengaruhnya terhadap unit organisasi baik pada resiko turunan maupun resiko berbasis residual. Resiko Turunan terjadi sebelum
manajemen
melakukan
langkah-langkah
untuk
mengendalikan
kemungkinan atau pengaruh suatu kejadian. Resiko Residual adalah resiko yang tersisa setelah manajemen melakukan kendali internal atau respon lainnya terhadap resiko. Perusahaan harus menilai resiko turunan, memberikan respon dan kemudian menilai/menaksir resiko residualnya. Perusahaan dapat menilai resiko turunan, memberikan respond dan kemudian menilai resiko residual. Untuk meluruskan resiko yang diidentifikasi melalui toleransi perusahaan terhadap resiko, manajemen harus memandang secara luas resiko pada entitas. Manajemen menilai kemungkinan dan pengaruh resiko, sebagaimana biaya dan benefit atas respon alternative. Manajemen dapat merespon resiko dengan salah satu diantara 4(empat) cara berikut :
Reduce (Mengurangi) . Mengurangi kemungkinan dan pengaruh resiko dengan melaksanakan sistem yang efektif terhadap kendali internal.
Accept (Menerima) Menerima kemungkinan dan pengaruh resiko.
Share (Membagi) Membagi resiko atau mentransfer resiko tersebut ke orang lain dengan membeli asuransi, outsourching aktivitas, atau memasukkan ke dalam transaksi hedging.
15 | P a g e
SIA Kelompok VI
Avoid (Menghindari).
Menghindari resiko dengan tidak melakukan
kegiatan
yang menghasilkan resiko. Dalam hal ini perusahaan perlu
menjual
pembagiannya,
keluar
dari
lini
produk,
atau
tidak
mengembangkan perusahaan sebagai antisipasinya.
Akuntan dan perancang sistem membantu manajemen merancang sistem kendali yang efektif untuk menghindari resiko turunan tersebut. Mereka juga mengevaluasi sistem kendali internal untuk memastikan bahwa sistem bekerja secara efektif. Mereka menilai dan mengurangi resiko turunan menggunakan strategi seperti yang ditunjukkan pada Gambar 7-2.
Langkah pertama,
identifikasi kejadian telah dibahas. Identify the events, or threats, that confront the company Figure 7-2 Risk Assessment Approacch to Designing Internal Controls
Estimate the likelihood, or probability, of each that occuring Estimate the impact, or potential loss, from each threat
Identify controls to quard aqainst each threat
Estimate the cost and benefits from instituting controls
Is it cost beneficial to protect the system from a threat?
No
Avoid, share, or accept risk
Yes Reduce risk by implementing controls to quard against the threat
16 | P a g e
SIA Kelompok VI
Memperkirakan Kemungkinan dan Pengaruh Resiko Beberapa kejadian menunjukkan resiko yang lebih besar karena kejadian tersebut akan lebih mungkin terjadi. Karyawan akan lebih mungkin melakukan kesalahan dibanding melakukan kecurangan, perusahaan akan lebih mungkin menjadi korban kecurangan dibandaing korban gempa bumi. Kemungkinan terjadinya gempa bumi mungkin kecil namun pengaruhnya dapat menghancurkan perusahaan. Pengaruh terjadinya kecurangan biasanya tidak begitu besar, karena kebanyakan fraud terjadi secara instan tidak mengancam keberadaan perusahaan. Kemungkinan dan pengaruh harus disamakan. Apakah peningkatan, baik secara material kejadian dan kebutuhan akan perlindungan terhadap peningkatan kecurangan. Perangkat software membantu menjalankan penilaian resiko dan respon akan resiko. Sebuah perusahaan di Florida yaitu Blue Cross Blue Shield menggunakan software ERM yang memungkinkan manajer masuk ke dalam resiko yang terlihat jelas; menilai sifat resiko, kemungkinannya dan pengaruh dan menempatkannya dengan rating bilangan. Keseluruhan penilaian resiko perusahaan dikembangkan dengan memisahkan semua rangking/urutan-urutan.
Mengidentifikasi Kontrol Manajemen harus mengenali kendali yang melindungi perusahaan dari setiap kejadian. Mencegah kendali biasanya lebih dulu dari mendeteksi kendali. Saat kendali pencegahan gagal, kendali deteksi diperlukan untuk menemukan permasalahan. Koreksi kendali membantu memperbaiki masalah yang ada. Sistem kendali internal yang baik harus digunakan untuk ketiganya.
Memperkirakan Biaya dan Keuntungan Tujuan perancangan sistem kendali internal adalah menyediakan jaminan yang masuk akal yang memungkinkan suatu kejadian tidak terjadi. Tidak ada sistem kendali internal yang menyediakan proteksi yang mudah terhadap semua kejadian, karena memiliki terlalu banyak kendali mengakibatkan larangan biaya
17 | P a g e
SIA Kelompok VI
dan secara negatif mempengaruhi efisiensi operasional. Sebaliknya memiliki kontrol yang sedikitpun tidak akan memberikan jaminan yang masuk akal. Keuntungan dari sebuah prosedur kendali internal harus melebihi biayanya. Keuntungan, yang sukar dijumlahkan secara akurat, termasuk peningkatan penjualan dan produktifitas, pengurangan kerugian, integrasi yang lebih baik antara pelanggan dan supplier, meningkatkan kesetiaan pelanggan, keuntungan yang kompetitif, dan premi asuransi yang lebih rendah. Biaya biasanya lebih mudah diukur dibandingkan keuntungan. Elemen biaya primer adalah personil, termasuk waktu untuk melakukan prosedur kendali, biaya mempekerjakan karyawan tambahan untuk mencapai pemisahan yang efektif atas tugas-tugas dan biaya program kontrol untuk sistem komputer. Salah satu cara untuk memperkirakan nilai kendali internal melibatkan perkiraan kerugian, hasil matematis terhadap pengaruh dan kemungkinan tersebut adalah : Perkiraan Kerugian = Pengaruh x Kemungkinan Nilai prosedur kontrol adalah perbedaan antara Perkiraan Kerugian dengan prosedur kontrol dan kerugian yang diperkirakan tanpa prosedur kontrol.
Menentukan Keefektifan Biaya/Keuntungan Manajemen
harus
menentukan
apakah
sebuah
kendali
memberi
keuntungan biaya. Sebagai contoh, pada Atlantic Richfield error data sering terjadi yang memerlukan keseluruhan pembayaran harus diproses ulang, pada biaya $ 10.000,-. Langkah validasi data harus dapat mengurangi kemungkinan terjadinya kejadian sebesar 15% hingga 1% pada biaya $600 per periode pembayaran. Analisis biaya dan keuntungan yang menentukan langkah validasi harus digunakan seperti pada Tabel 7-2.
18 | P a g e
SIA Kelompok VI
Table 7-2 cost/benefit analysis of payroll validation procedure
Cost to reprocess entire payroll
Without Validation Procedure $10,000
With Validation Procedure $10,000
15%
1%
$1,500
$100
$1,400
$0
$600
$(600)
Likelihood of payroll date errors Expected reprocessing cos
Net Expected Difference
($10,000 x likelihood) Cost of validation procedure Net expected benefit of validation procedure
Dalam
mengevaluasi
control
$800
internal,
manajemen
harus
mempertimbangkan factor-faktor dibandingkan kalkulasi keuntungan yang diharapkan. Misalnya bila suatu kejadian yang mengancam keberadaan organisasi, biaya ekstra dapat di pandang sebagai bencana terhadap kerugian premi asuransi.
Melaksanakan Kendali, Menerima, Membagi atau Menghindari Resiko Kendali
biaya efektif harus dilaksanakan untuk mengurangi resiko.
Resiko yang tidak dikurangi harus diterima, dibagi, atau dihindari. Resiko harus dapat diterima jika masih dalam batas toleransi resiko perusahaan. Sebagai contoh yaitu resiko dengan kemungkinan dan pengaruh yang kecil. Respon untuk mengurangi atau membagi resiko yang akan membawa resiko residual ke dalam batas toleransi resiko yang dapat diterima. Sebuah perusahaan dapat memilih menghidari resiko dimana tidak ada cara yang bersifat biaya efektif untuk membawa resiko ke dalam batas toleransi yang dapat diterima.
AKTIVITAS PENGENDALIAN Aktivitas pengendalian
merupakan
kebijakan dan prosedur yang
menyediakan jaminan yang masuk akal yang mengendalikan tujuan agar tercapai
19 | P a g e
SIA Kelompok VI
dan respon terhadap resiko dapat diatasi. Merupakan tanggung jawab manajemen mengembangkan sistem kendali yang aman dan memadai. Manajemen membangun sebuah susunan prosedur untuk memastikan pelaksanaan dan penegakan kontrol. Petugas Pengaman Informasi dan staf operasi bertanggung jawab dalam memastikan bahwa prosedur kontrol dijalankan. Kontrol akan lebih efektif bila ditempatkan dalam sistem sebagai mana sistem tersebut dibangun. Hasilnya manajer harus melibatkan penganalisa sistem, perancang dan akhirnya pemakai saat merancang sistem yang berbasis kendali komputer. Penting kiranya, aktivitas kontrol dilaksanakan selama musim liburan akhir tahun, karena sejumlah besar kecurangan komputer dan pembobolan keamanan terjadi selama musim tersebut. Beberapa alasan kejadian ini terjadi adalah karena (1) lamanya liburan karyawan berarti bahwa makin sedikit orang yang “menjaga toko”; (2) pelajar tidak masuk sekolah dan memiliki banyak waktu untuk bekerja; dan (3) penggemar hacker meningkatkan serangan mereka. Prosedur kendali memiliki beberapa katagori diantaranya : 1. Otorisasi transaksi dan kegiatan yang memadai 2. Pemisahan tugas 3. Kendali pengembangan dan akuisisi proyek 4. Mengubah kendali manajemen 5. Merancang dan menggunakan catatan dan dokumen 6. Menjaga/menyimpan aset, catatan, dan data 7. Pemeriksaan independen atas kinerja.
Otorisasi transaksi dan Kegiatan yang Memadai Karena manajemen kekurangan waktu dan sumber daya untuk mengawasi setiap aktivitas dan keputusan perusahaan, perusahaan membuat kebijakan untuk karyawan untuk mengikuti dan memberdayakan mereka. Pemberdayaan ini disebut dengan Otorisasi yang merupakan
20 | P a g e
SIA Kelompok VI
prosedur kontrol yang penting. Otorisasi sering kali didokumentasikan sebagai penandatanganan, pemberian tanda paraf, atau memasukkan kodekode otorisasi atas dokumen atau catatan transaksi. Sistem komputer saat ini mampu melaksanakan tanda tangan digital (digital signature) atau sidik jari yaitu sebuah cara menandatangani dokumen dengan sebuah data yang tidak dapat dipalsukan. Para pegawai yang memproses transaksi harus memverifikasi keberadaan otorisasi yang sesuai Auditor meninjau
transaksi untuk
memverifikasi otorisasi yang memadai, karena ketidakberadaan otorisasi yang memadai menunjukkan kemungkinan masalah pengendalian. Beberapa aktivitas atau transaksi tertentu terjadi karena keadaan khusus, sehingga pihak manajemen memberikan otorisasi khusus agar dapat dilaksanakan. Contohnya
peninjauan dan persetujuan
pihak
manajemen sering kali diminta untuk transaksi penjualan diatas $20.000, pengeluaran modal melebihi $ 10.000, atau untuk penghapusan piutang usaha tak tertagih melebihi $5.000. Sebaliknya, pihak manajemen dapat memberikan otorisasi pegawai untuk menangani transaksi rutin tanpa persetujuan khusus, atau disebut sebagai prosedur otorisasi umum (general authorization). Pihak manajemen harus memiliki kebijakan tertulis baik mengenai otorisasi khusus maupun umum, untuk semua jenis transaksi. Pemisahan Tugas Pengendalian internal yang baik mensyaratkan bahwa tidak ada pegawai diberikan tanggung jawab terlalu banyak. Seorang pegawai seharusnya tidak
berada
dalam
posisi
untuk
melakukan
penipuan
dan
menyembunyikan penipuan atau kesalahan yang tidak disengaja. Sepeti yang diperlihatakan dalam Gambar 7-3, pemisahan tugas yang efektif dicapai ketika fungsi-fungsi berikut ini dipisahkan : 1. Otorisasi – menyetujui transaksi dan keputusan
21 | P a g e
SIA Kelompok VI
2. Pencatatan – mempersiapkan dokumen sumber; memelihara catatan jurnal, buku besar, dan file lainnya; mempersiapkan rekonsiliasi serta mempersiapkan laporan kinerja. 3. Penyimpanan – menangani kas, memelihara tempat penyimpanan persediaan, menerima cek yang masuk dari pelanggan, menulis cek atas rekening bank organisasi. Gambar 7-3 Pemisahan Tugas
Mencegah Para Pegawai memalsukan catatan untuk menyembunyikan pencurian aset yang dipercayakan pada mereka
FUNGSI-FUNGSI PENYIMPANAN
FUNGSI-FUNGSI PENCATATAN
Menangani Kas Menangani Persediaan, Peralatan atau Aktiva Tetap Menulis Cek Menerima Cek Lewat Surat
Mempersiapkan Dokumen Sumber Memelihara catatan jurnal, buku besar, atau file lainnya Mempersiapkan rekonsiliasi Mempersiapkan laporan kinerja
FUNGSI-FUNGSI OTORISASI Mencegah Otorisasi transaksi fiktif atau yang tidak akurat, yang merupakan cara menutupi pencurian aset
Otorisasi transaksi
Mencegah Pegawai memalsukan catatan untuk menutupi transasksi yang tidak diotorisasi secara layak
Apabila dua dari tiga fungsi tersebut merupakan tanggung jawab satu orang, maka akan muncul masalah.
22 | P a g e
SIA Kelompok VI
Komputer
dapat diprogram untuk melaksanakan satu atau dua lebih
fungsi-fungsi
yang telah disebutkan sebelumnya. Pemisahan tugas
diupayakan, kecuali komputer melakukan fungsinya. Misalnya kita dapat membayar pompa bensin dengan kartu kredit dan debit. Komputer melakukan keduanya
penyimpanan dan pencatatan. Selain itu
agar
internal kontrol berjalan baik, sebaiknya memberikan pelanggan peningkatan kemudahan dan mengurangi antrian pembayaran bahan bakar. PEMISAHAN TUGAS-TUGAS SISTEM – Dalam sistem informasi sebuah prosedur yang dilakukan oleh individu yang berbeda dapat dikombinasikan. Karena itu setiap orang yang mempunyai akses tidak terlarang pada komputer, programnya dan data langsung yang dapat dilakukannya dan disembunyikannya penipuan. Untuk
memberantas
anacaman ini, organisasi melaksanakan pemisahan tugas sistem. Kuasa dan Tanggung jawab harus dibagi secara jelas terhadap fungsi-fungsi berikut : 1. Administrasi sistem. Administrator sistem memastikan semua komponen sistem informasi beroperasi dengan lancar dan efektif. 2. Manajemen jaringan. Manajer jaringan memastikan perangkat terhubung ke jaringan internal dan eksternal dan jaringan tersebut harus bekerja sepantasnya. 3. Manajemen keamanan.
Memastikan bahwa sistem aman dan
terlindungi dari ancaman internal dan eksternal dan jaringan beroperasi dengan baik. 4. Perubahan Manajemen.
Perubahan manajemen memastikan
bahwa perubahan dibuat dengan lancar dan efficient dan tidak secara negatif mempengaruhi keandalan, keamanan, kerahasiaan, integritas dan ketersediaan sistem. 5. Pemakai.
Catatan transaksi pemakai, data untuk diproses dan
output sistem yang digunakan.
23 | P a g e
SIA Kelompok VI
6. Analisis Sistem. Membantu pemakai menentukan informasi yang mereka butuhkan dan perancangan sistem untuk mencapai kebutuhan tersebut. 7. Pemrograman. Programmer melakukan analisis rancangan
dan
menciptakan sistem dengan menulis bahasa program komputer. 8. Operasi komputer. Operator komputer menjalankan software pada komputer perusahaan. Operator memastikan data diinput dengan benar, dan diproses dengan benar, dan ouputnya diproduksi saat dibutuhkan. 9. Pustaka
Sistem
Informasi.
Pustakawan
sistem
informasi
menetapkan penyimpanan database perusahaan, file, dan program dalam bagian penyimpanan yang terpisah yang disebut sebagai Pustaka sistem informasi. 10. Control Data. Group kontrol data memastikan bahwa sumber data telah disetujui, mengawasi aliran kerja melalui komputer, rekonsiliasi output dan input, mempertahankan catatan kesalahan input untuk memastikan perbaikan dan penyerahan kembali, dan mendistribusikan output sistem. Membiarkan seseorang melakukan dua tugas tersebut atau lebih akan mengakibatkan terjadinya penipuan pada perusahaan.
Pengembangan Proyek dan Kendali Akuisisi Sangatlah penting memiliki metodologi yang terbukti untuk menjalankan pengembangan, akuisisi, pelaksanaan dan pemeliharaan
sistem informasi.
Kontrol pengembangan sistem yang penting diantaranya : 1. Streering Committee membina dan mengawasi pengembangan dan akuisisi sistem.
24 | P a g e
SIA Kelompok VI
2. Master plan strategis dikembangkan mensejajarkan
dan di update tahunan untuk
sistem informasi organisasi dengan strategi bisnis.
Master plan ini menampilkan proyek-proyek yang harus diselesaikan dan menunjukan perlunya hardware, software, personil, dan kebutuhan infrastruktur. 3. Rencana pengembangan proyek menunjukkan tugas-tugas yang harus diselesaikan, siapa yang akan menyelesaikannya, biaya, tanggal penyelesaian dan rencana proyek – point yang penting saat progress dikaji dan saat perkiraan waktu penyelesaian dapat dibandingkan. Setiap proyek diberikan kepada manajer dan tim yang bertanggung jawab atas kesuksesan dan kegagalannya. 4. Jadwal pemrosesan data menunjukkan kapan setiap tugas harus diselesaikan. 5. Sistem Pengukuran Kinerja dibentuk untuk mengevaluasi sistem. Pengukuran yang biasa termasuk Penempatan (Output per unit waktu), Pemakaian (Persentase waktu yang digunakan sistem), dan Respon waktu (berapa lama waktu yang terpakai oleh sistem untuk merespon). 6. Pengkajian
terhadap
post
pelaksanaaan
dilakukan
setelah
pengembangan proyek dilengkapi untuk menentukan apakah benefit yang diantisipasi dapat dicapai.
Beberapa perusahaan menyewa Sistem Integrator untuk mengatur upaya pengembangan sistem yang melibatkan personel pribadi, client dan vendor lainnya. Proyek pengembangan ini ditujukan untuk biaya keluar yang sama dan menghilangkan tenggat waktu sebagai sistem yang dikembangkan secara internal. Perusahaan yang menggunakan sistem integrator harus menggunakan proses manajemen proyek yang sama dan mengendalikan proyek internal. Selain itu perusahaan harus juga :
Mengembangkan spesifikasi yang jelas. Ini mencakup deskripsi yang tepat dan pendefinisian sistem, deadline explicit dan criteria penerimaan yang tepat.
25 | P a g e
SIA Kelompok VI
Memonitor proyek. Perusahaan harus membentuk prosedur formal untuk mengukur dan melaporkan status proyek. Pendekatan yang terbaik adalah membagi proyek ke dalam tugas-tugas yang dapat diatur, menempatkan tanggung jawab atas setiap tugas, dan melakukan setidaknya sebulan sekali untuk meninjau progress dan kualitas penilaian.
Perubahan Kontrol Manajemen Organisasi memodifikasi sistem yang ada untuk mencerminkan praktek bisnis baru dan mengambil keuntungan dari kemajuan IT. Perubahan muatan yang terjadi ini memastikan mereka tidak memperkenalkan error dan memfasilitasi penipuan.
Perancangan dan Penggunaan Dokumen dan Catatan. Perancangan yang tepat dan penggunaan dokumen elektronik dan catatan membantu memastikan perekaman yang lengkap dan akurat terhadap semua data transaksi yang relevan. Bentuk dan isinya harus sesederhana mungkin untuk mendukung pencatatan yang efisien, meminimalkan kesalahan pencatatan, dan memfasilitasi peninjauan serta verifikasi. Dokumen yang mengawali sebuah transaksi harus memiliki ruang untuk otorisasi. Dokumen –dokumen yang dipergunakan untuk memindahkan aset ke orang lain, harus memiliki ruang untuk tanda tangan pihak penerima aset. Dalam rangka menggurangi kesempatan penggunaan dokumen untuk penipuan, dokumen harus diberikan nomor urut yang telah dicetak lebih dulu agar setiap dokumen dapat dipertanggung jawabkan. Jejak audit yang baik memfasilitasi pelacakan ke setiap transaksi melalui sistem, perbaikan kesalahan dan verifikasi output sistem.
Penjagaan Aset, Pencatatan dan Data. Perusahaan
harus
melindungi
uang
dan
asetnya
sebagaimana
informasinya juga. Seorang reporter Reuter mengetahui bahwa Inentia sebuah
26 | P a g e
SIA Kelompok VI
perusahaan software di Swedia meluncurkan hasil laporan laba rugi kuartal satu dan dua ke dalam website yang hampir secara identik merupakan alamat website. Dia menebak alamat web kuartal ketiga, menemukan bilangan yang tak dikeluarkan dan membawa hasil cerita yang mengecewakan. Karyawan memiliki resiko keamanan yang lebih besar dibanding orang luar. Mereka akan lebih mampu menyembunyikan aksi ilegal mereka, karena mereka lebih baik dalam mengetahui kelemahan sistem. Hampir 50% perusahaan melaporkan orang dalam mengakses data tanpa izin yang. Seorang insinyur software di America Online dituntut karena menjual 92 juta alamat email yang dia peroleh secara illegal dengan menggunakan ID dan password karywan. Bisnis perjudian di internet membeli nama dan menggunakannya untuk meningkatkan pendapatan perusahaan sebesar $10.000 - $20.000 per hari. Pencurian data tidak terselidiki selama setahun, hingga sorang tipster annonimous memberitahukan ke pada penguasa bahwa bisnis perjudian menjual ulang nama ke spammer yang menjual produk herbal kesehatan laki-laki. Karyawan juga dapat mengakibatkan ancaman tanpa niat, misalnya secara tidak sengaja menghapus data perusahaan, membawa virus yang menyerang email, atau mencoba memperbaiki hardware atau software tanpa kemampuan yang memadai. Hal ini dapat mengakibatkan kehancuran jaringan, merusak data, dan mengakibatkan tidak berfungsinya hardware dan software. Oleh karena itu, perlu kiranya : 1. Menciptakan
dan memberdayakan prosedur dan kebijakan yang
sesuai. Adalah terlalu sering kebijakan dan prosedur itu diciptakan namun tidak diberdayakan. 2. Mempertahankan pencatatan yang akurat atas semua aset. Secara periodik merekonsiliasi jumlah catatan atas aset perusahaan ke jumlah fisik dari aset-aset tersebut. 3. Membatasi
Akses
ke
Aset.
Membatasi
akses
ke
wilayah
penyimpanan melindungin inventaris dan perlengkapan. Register
27 | P a g e
SIA Kelompok VI
kas,
Simpanan, Brankas, dan Brankas Deposit Tabungan akan
membatasi akses atas aset uang dan kertas. 4. Melindungi Catatan dan Dokumen. Area penyimpanan harus tahan api, filing-filing kabinet terkunci, backup file, dan penyimpanan diluar area akan memproteksi catatan dan dokumen. Akses ke cek kosong dan dokumen harus dibatasi hanya kepada personil yang berwenang.
Pemeriksaan Independen Atas Kinerja Pemeriksaan internal atas kinerja, dilakukan oleh orang lain selain yang melakukan pekerjaan awalnya, hal ini membantu memastikan transaksi diproses secara akurat. Yang mencakup hal-hal berikut ini :
Kajian Top-Level. Manajemen harusnya memonitor hasil yang dicapai perusahaan secara periodik dibandingkan kinerja perusahaan yang aktual untuk (a) merencanakan kinerja, seperti ditunjukkan pada Anggaran, Target/realisasi, dan Perkiraan; (b) kinerja per periode sebelumnya ; (c). Kinerja pesaing.
Kajian Analitis. Sebuah kajian analitis adalah pemeriksaan atas hubungan antara beberapa kumpulan data yang berbeda. Misalnya, saat penjualan kredit meningkat, demikian pula rekening penerimaan. Selain itu, ada kaitannya antara penjualan dan rekening yaitu biaya barang yang terjual, inventaris dan barang kiriman.
Rekonsiliasi Catatan yang secara independen dipelihara. Catatan harus direkonsiliasikan ke dokumen atau catatan dengan saldo yang sama. Contohnya; rekonsiliasi bank memverifikasi bahwa akun pemeriksa telah sesuai dengan laporan bank. Contoh lainnya adalah membandingkan jumlah total dalam buku pembantu piutang usaha dengan total akun piutang usaha dalam buku besar.
Perbandingan Jumlah Aktual dengan Yang di Catat. Kas dalam laci mesin pada akhir pergantian staf administrasi, harus sama jumlahnya
28 | P a g e
SIA Kelompok VI
dengan jumlah yang dicatat dalam pita mesin kas. Seluruh persediaan harus dihitung secara periodik dan dibandingkan dengan catatan persediaannya.
Pembukuan Berpasangan. Pepatah yang menyatakan bahwa debit harus sama dengan kredit memberikan kesempatan besar untuk pemeriksaan internal. Contohnya debit dalam akun penggajian mungkin dialokasikan ke berbagai persediaan dan/atau akun beban, oleh departemen akuntansi biaya. Kredit dialokasikan ke beberapa akun kewajiban untuk utang upah dan gaji. Sebagai kesimpulan dari kedua operasi yang kompleks ini, perbandingan jumlah total debit dengan jumlah total kredit merupakan pemeriksaan yang memadai atas keakuratan kedua proses tersebut. Perbedaan selisih apapun menunjukkan adanya satu atau lebih kesalahan.
Kajian Independen.
Setelah transaksi diproses, orang kedua akan
mengkaji hasil kerja orang pertama, memeriksa kewenangan yang wajar, mengkaji dokumen-dokumen pendukung, dan memeriksa keakuratan harga, kuantitas dan ekstensinya.
INFORMASI DAN KOMUNIKASI Informasi dan komunikasi merupakan komponen ketuju dari ERM. Hal ini berkaitan langsung dengan tujuan utama SIA yaitu untuk mengumpulkan, mencatat,
memproses,
menyimpan,
meringkas,
dan
mengkomunikasikan
informasi atas suatu organisasi. Hal ini berarti bahwa akuntan harus memahami bagaimana (1) transaksi diawali, (2) data didapat dalam bentuk yang dapat dibaca oleh mesin, atau data diubah dari dokumen sumber ke bentuk yang dapat dibaca oleh mesin, (3) file komputer diakses dan diperbarui, (4) data diproses untuk mempersiapkan sebuah informasi, dan (5) informasi dilaporkan ke para pemakai internal dan pihak eksternal. Akuntan juga harus memahami catatan dan prosedur akuntansi, dokumen-dokumen pendukung, dan akun laporan keuangan tertentu yang terlibat dalam pemrosesan dan pelaporan transaksi.
29 | P a g e
SIA Kelompok VI
Hal-hal tersebut membuat sistem dapat melakukan jejak audit (audt trail). Jejak audit muncul ketika transaksi suatu perusahaan dapat dilacak di sepanjang sistem mulai dari asalnya sampai tujuan akhirnya pada laporan keuangan. Sama halnya angka-angka pada laporan keuangan dapat dilacak kembali di sepanjang sistem hingga ke transaksi individual yang menghasilkan saldo. Menurut AICPA, SIA memiliki lima tujuan utama yaitu: 1. Mengindentifikasi dan mencatat semua transaksi yang valid. Misalanya: apabila perusahaan secara sengaja mencatat penjualan fiktif, maka pendapatan dan pemasukan akan dinyatakan terlalu berlebihan. Apabila pada akhir tahun perusahaan lupa mencatat beberapa pengeluaran, maka pengeluaran dinyatakan kurang dan pemasukan bersih dinyatakan terlalu berlebihan. 2. Mengklasifikasi transaksi secara tepat. Misalnya: apabila pengeluaran diklasifikasi secara tidak tepat sebagai aset, maka aset dan pemasukan bersih dinyatakan terlalu berlebihan. 3. Mencatat transaksi pada nilai moneter yang tepat. Misalnya piutang yang tidak tertagih harus dihapus. 4. Mencatat transaksi dalam periode akuntansi yang tepat. Mencatat penjualan tahun 2000 ke tahun 1999 akan menyatakan penjualan dan pemasukan yang berlebihan untuk tahun 1999, dan memiliki pengaruh yang terbaik untuk tahun 2000. 5. Menampilkan secara tepat semua transaksi dan pengungkapan yang berkaitan dalam laporan keuangan. Kegagalan dalam mengungkapkan sebuah tuntutan atau kewajiban kontijensi, dapat menyesatkan pembaca laporan keuangan.
Sistem akuntansi umumnya terdiri dari beberapa subsistem akuntansi, yang masing-masing didesain untuk memproses transaksi jenis tertentu. Meskipun berbeda menurut jenis transakasi yang diproses, semua subsistem akuntansi mengikuti urutan prosedur yang sama. Prosedur ini disebut siklus akuntansi.
30 | P a g e
SIA Kelompok VI
MENGAWASI KINERJA Komponen kelima dari model pengendalian internal COSO adalah pengawasan. Metode utama untuk mengawasi kinerja mencakup supervisi yang efektif, pelaporan yang bertanggung jawab dan audit internal.
Supervisi yang Efektif Supervisi yang efektif mencakup melatih dan mendampingi pegawai, mengawasi kinerja mereka, mengoreksi kesalahan, dan melindungi aset dengan cara mengawasi pegawai yang memuliki akses ke hal-hal tersebut. Supervisi merupakan hal yang penting bagi organisasi yang tidak mampu melaporkan tanggung jawab secara rinci, atau terlalu kecil untuk memiliki pemisahan tugas yang memadai.
Akuntansi Pertanggungjawaban Sistem akuntansi pertanggungjawaban mencakup anggaran, kuota, jadwal, biaya standar, dan standar kualitas; laporan kinerja yang membandingkan kinerja yang aktual dengan kinerja yang direncanakan, serta menunjukkan perbedaan yang signifikan; dan prosedur untuk menyelidiki perbedaan yang signifikan dan mengambil tindakan tepat pada waktunya, untuk mengoreksi kondisi-kondisi yang mengarah pada perbedaan tersebut.
Audit Internal Audit internal mencakup peninjauan ulang keandalan dan integritas informasi keuangan dan operassinal serta menyediakan penilaian keefektifan pengendalian internal. Audit internal juga mencakup penilaian kesadaran pegawai 31 | P a g e
SIA Kelompok VI
terhadap prosedur dan kebijkan manajemen, hukum dan peraturan yang berlaku, serta mengevaluasi efisiensi dan keefektifan manajamen. Berbeda dengan auditor eksternal, para auditor internal menempatkan penekanan yang besar pada pengendalaian manajemen perusahaan; sehingga mereka dapat mendeteksi waktu lembur yang berlebihan, aset yang kurang digunakan, persediaan yang usang, penggantian biaya perjalanan yang tidak diperlukan, anggaran dan kuota yang terlalu longgar, pengeluaran modal yang kurang tepat, dan produksi yang menjadi semakin lambat. Objektivitas dan keefektifan memerlukan fungsi audit internal yang independen secara organisasional dari fungsi akuntansi dan operasional. Misalnya, kepala audit internal harus melapor ke komite audit dari dewan komisaris, bukan kepada kontroler atau chief financial officer. Seorang auditor internal yang waspada, mencatat tentang seorang supervisor departemen yang berulang tahun dengan mengajak seluruh staf keluar makan siang menggunakan limousine. Selama sisa waktu audit, auditor tersebut mencatat bukti-bukti lain dari gaya hidup yang terlalu boros. Auditor tersebut merasa tidak yakin bahwa gaji supervisor tersebut dapat mendukung gaya hidupnya. Auditor kemudian melakukan penyelidikan lebih mendalam. Dia menemukan bahwa supervisor tersebut telah membuat beberapa pemasok fiktif, mengirim faktur perusahaan ke para pemasok tersebut, dan kemudian mencairkan ceknya ketika cek tersebut dikirim kepadanya. Selama bertahun-tahun, dia telah menggelapkan lebih dari 12 juta dolar.
RINGKASAN DAN KESIMPULAN KASUS Setelah tiga hari Bozeman, Jason dan Maria kembali ke kantor pusat di northwest dan menyimpan laporan audit mereka. Seminggu kemudian, mereka diminta datang kekantor Roger Sawyer, Direktur Audit Internal Northwest, untuk menjelaskan temuan mereka. Segera setelah itu, tim audit internal tingkat tinggi diberangkatkan ke Bozeman untuk melihat lebih dekat situasinya.
32 | P a g e
SIA Kelompok VI
Ketika tim audit kembali, Jason dan Maria menyakan mengenai temuan mereka dan diberitahukan bahwa situasi masih sedang diselidiki. Enam bulan kemudian, newsletter perusahaan memuat pengumuman bahwa keluarga Springer telah menjual sisa saham mereka yang 10% pada bisnis Bozeman ke Northwest dan telah mengundurkan diri dari posisi manajemen. Dua eksekutif Northwest ditransfer untuk menggantikan posisi keluarga Springer. Namun masih tetap tidak ada kabar mengenai temuan audit. Dua tahun kemudian, Jason dan Maria ditugaskan ke pekerjaan yang disupervisi oleh Frank Ratliff, salah seorang anggota tim audit internal tingkat tinggi. Setelah berjam-jam, Frank bercerita pada mereka. Berdasarkan laporan Jason dan Maria, tim penyilidik telah memeriksa sampel dalam jumlah besar atas transaksi pembelian dan seluruh catatan waktu kerja dan penggajian pegawai untuk periode 12 bulan. Tim tersebut juga telah melakukan pemeriksaan persediaan fisik secara terinci. Penyelidikan tersbut menemukan bahwa masalah yang didentifikasi Jason – termasuk permintaan pembelian, pesanan pembelian, dan laporan penerimaan yang hilang, serta harga yang mahal – banyak sekali terjadi. Mereka menemukan bahwa masalah-masalah ini hampir sebagian besar terjadi dalam transaksi dengan tiga vendor, tempat Springer’s membeli persediaan dan perlengkapan senilai jutaan dolar. Tim tersebut mendiskusikan harga barang yang tidak normal mahalnya tersebut dengan para vendor, tetapi mereka tidak mendapatkan penjelasan yang memuskan. Akan tetapi, pemeriksaan dari biro lisensi usaha daerah menunjukkan bahwa Bill Springer mempunyai kepemilikan yang signifikas atas ketiga perusahaan tersebut. Melalui pengotorisasian harga mahal keperusahaan yang separuh dimilikinya, Springer mendapatkan bagian beberapa ratus ribu dolar atas kelebiha laba tersebut, dan semuanya atas tanggungan Northwesr Industries. Tim penyelidik juga menemukan bukti bahwa beberapa pegawai Springer’s dibayar lebih banyak dari jam kerja yang didokumenasikan dalam catatan waktu kerja. Terakhir, tim tersebut telah menetapkan bahwa akun persediaan Springer’s telah dilebih-lebihkan jumlahnya. Persediaan fisik
33 | P a g e
SIA Kelompok VI
menunjukkan bahwa sejumlah besar persediaan yang dicatat dalam catatan persediaan tidak ada, dan bahwa jumlah lainnya tidak diperbaharui. Ayat jurnal penyesuaian yang mencerminkan persediaan Springer’s yang sebenarnya menghapus sebagian besar laba toko tersebut dalam 3 tahun terakhir. Ketika dikonfrontasikan, keluarga Springer tersebut menyangkal dengan keras pelanggaran atas aturan apapun. Northwest mempertimbangkan untuk mengadukan kepemerintah agar diadakan penyelidikan penipuan secara formal, tetapi khawatir bahwa kasus mereka tidak cukup kuat untuk dibuktikan di pengadilan. Mereka juga khawatir bahwa publisitas negatif akan merusak posisi perusahaan di Bozeman. Setelah bernegosiasi beberapa bulan, keluarga Springer setuju dengan penyelesaian yang dilaporkan dalam newsletter. Salah satu bagian dari penyelesaian tersebut adala tidak ada pernyataaan publik yang akan dikeluarkan, mengenai dugaan penipuan atau pencurian yang melibatkan keluarga Springer tersebut. Menurut Frank, kebijakan ini sudah umum. Di dalam banyak kasus penipuan, penyelesaian dicapai secara diam-diam tanpa tuntutan hukum, agar perusahaan dapat menghindari publisats negatif.
34 | P a g e
SIA Kelompok VI