Pengendalian dan sistem informasi akuntansi

Pengendalian dan Sistem Informasi Akuntansi
Mendeskripsikan ancaman-ancaman atas SIA dan mendiskusikan alasan mengapa ancaman-
ancaman tersebut berkembang.
Menjelaskan konsep dasar pengendalian seperti yang diaplikasikan dalam organisasi bisnis.
Mendeskripsikan elemen-elemen utama dalam tingkungan pengendalian di organisasi bisnis.
Mendeskripsikan kebijakan dan prosedur pengendalian yang umum dipergunakan dalam bisnis
organisasi.
Mengevaluasi sistem pengendalian internal akuntansi, mengidentifikasi kekurangannya, serta
menyarankan modifikasi untuk mengatasi kekurangan tersebut.
Melaksanakan analisis biaya-manfaat untuk ancaman, exposure (pajanan/dampak), risiko, dan
pengendalian tertentu.
Masyarakat telah semakin tergantung pada sistem informasi akuntansi, yang juga telah berkembang
semakin kompleks untuk memenuhi peningkatan kebutuhan atas informasi.
Sejalan dengan peningkatan kompleksitas sistem dan ketergantungan pada sistem tersebut,
perusahaan menghadapi peningkatan risiko atas sistem mereka yang sedang dikembangkan dan
dinegosiasikan.
Empat jenis ancaman yang dihadapi perusahaan, seperti yang diringkas dalam Tabel dibawah ini.

Ancaman-1 atas SIA: Kehancuran karena Bencana
Alam dan Politik
Posted on September 9, 2013 by darmansyah
Salah satu ancaman yang dihadapi perusahaan
adalah kehancuran karena bencana alam dan politik, seperti kebakaran, panas yang berlebihan,
banjir, gempa bumi, badai angin, dan perang.
Bencana yang tidak bisa diprediksi dapat secara
keseluruhan menghancurkan sistem informasi dan menyebabkan kejatuhan sebuah perusahaan.
Ketika terjadi sebuah bencana, banyak perusahaan yang terkena pengaruhnya pada saat yang
bersamaan. Contohnya, banjir di Chicago menghancurkan atau merusak 400 pusat pemrosesan data.
Contoh-contoh bencana jenis ini adalah sebagai berikut:

 Dua serangan teroris pada World Trade Center di kota New York dan serangan Gedung
Federal di Oklahoma, menghancurkan atau mengganggu sistem di gedung¬-gedung tersebut.
 Pada tahun 1993, hujan deras menyebabkan Sungai Mississippi dan Missouri meluap dan
membanjiri delapan negara bagian. Banyak organisasi kehilangan sistem komputer mereka,
termasuk kota Des Moines, Iowa, yang komputer¬-komputernya terendam di dalam air
setinggi 8 kaki.
 Gempa bumi di Los Angeles menghancurkan banyak sekali sistem; menyebabkan sistem
lainnya rusak karena jatuhnya puing-puing, air dari sistem penyemprot air (sprinkler systern),
dan debu; serta mengganggu jalur komunikasi. Perusahaan¬-perusahaan di San Fransisco
menderita nasib yang hampir sama beberapa tahun sebelumnya.
 Defense Science Board telah memprediksi bahwa pada tahun 2005 serangan pada sistem
informasi oleh negara-negara asing, agen mata-mata, dan teroris, akan tersebar luas.
Posted in EDP-Audit, IS-Audit, IT Infrastructured Management andService, Pengendalian dan Sistem Informasi
Akuntansi, Sistem Informasi Akuntansi, Sistem Informasi Manajemen | Leave a reply
Ancaman-2 atas SIA: Kesalahan pada software dan
tidak berfungsinya peralatan
Ancaman kedua bagi perusahaan adalah kesalahan pada software dan tidak berfungsinya peralatan,
seperti kegagalan hardware, kesalahan atau terdapat kerusakan pada software, kegagalan sistem
operasi (operating system-OS), gangguan dan fluktuasi listrik, serta kesalahan pengiriman data yang
tidak terdeteksi.
Contoh-contoh jenis ancaman ini adalah sebagai berikut:

 Kerusakan pada sistem akuntansi perpajakan yang baru merupakan penyebab kegagalan
Kalifornia mengumpulkan pajak perusahaan sebesar 5.535 juta.
 Di Bank of New York, field yang dipergunakan untuk menghitung jumlah transaksi terlalu
kecil untuk menangani volume transaksi pada hari yang sibuk. Kesalahan pada sistem
mematikan sistem dan membuat bank tersebut mengalami kerugian sebesar $23 juta ketika
mencoba untuk menutup bukunya. Bank tersebut akhirnya harus meminjam uang dalam satu
malam dengan biaya yang tinggi.
Ancaman-3 atas SIA: Tindakan tidak sengaja
Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja, seperti kesalahan atau
penghapusan karena ketidaktahuan atau karena kecelakaan semata. Hal ini biasanya terjadi karena
kesalahan manusia, kegagalan untuk mengikuti prosedur yang telah ditetapkan, dan personil yang
tidak diawasi atau dilatih dengan baik.
Para pemakai sering kali kehilangan atau salah
meletakkan data, dan secara tidak sengaja menghapus atau mengubah file, data serta program. Para
operator komputer dan pemakai dapat memasukkan input yang salah atau tidak andal, menggunakan
versi program yang salah, menggunakan file data yang salah, atau meletakkan file di tempat yang
salah.
Analis dan programmer sistem membuat kesalahan pada logika sistem, mengembangkan sistem yang
tidak memenuhi kebutuhan perusahaan, atau mengembangkan sistem yang tidak mampu menangani
tugas yang diberikan.
Contoh-contoh tentang ancaman ini adalah sebagai berikut:

 Staf administrasi bagian entri data di Giant Food Inc., salah memasukkan data dividen kuartal
sebesar $2,50 sebagai ganti dari $0,25. Sebagai hasilnya, perusahaan membayar lebih dari $10
juta atas kelebihan jumlah dividen tersebut.
 Seorang programmer bank salah menghitung bunga per bulan dengan menggunakan satuan 31
hari. Selama 5 bulan sebelum kesalahan tersebut ditemukan, lebih dari $100.000 kelebihan
bunga dibayarkan melalui tabungan.
Ancaman-4 atas SIA: Tindakan sengaja (kejahatan
komputer)
Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja, yang biasanya disebut
sebagai kejahatan komputer. Ancaman ini berbentuk sabotase, yang tujuannya adalah
menghancurkan sistem atau beberapa komponennya.
Penipuan komputer adalah jenis kejahatan komputer
lainnya, dengan tujuan untuk mencuri benda berharga seperti uang, data, atau waktu/pelayanan
komputer. Penipuan ini juga dapat melibatkan pencurian, yaitu pencurian atau ketidaklayakan
penggunaan atas aset oleh pegawai, disertai dengan pemalsuan catatan untuk menyembunyikan
pencurian tersebut.
Contoh-contoh ancaman jenis ini adalah sebagai berikut:
 Sebagai seorang penggemar teknologi, John Draper menemukan bahwa tawaran hadiah
sebagai pelapor di perusahaan sereal Cap’n Crunch menduplikasi frekuensi jalur komunikasi
WATS. Dia menggunakan penemuannya tersebut untuk menipu perusahaan telepori, dengan
cara melakukan berbagai panggilan telepon tanpa bayar.
 Seorang manajer SIA di kantor koran di Florida bekerja untuk perusahaan pesaing setelah dia
dipecat dari tempatnya bekerja tersebut. Pada waktu yang tidak lama, pihak pertama yang
mempekerjakan dirinya tersebut menyadari bahwa para reporternya secara konstan telah
direbut informasi beritanya. Perusahaan koran tersebut akhirnya mengetahui bahwa manajer
SIA tersebut masih memiliki akun dan password aktif, serta masih secara teratur melihat-lihat

file-file komputer di perusahaan tersebut untuk mendapatkan informasi mengenai cerita
esklusif.
Mengapa Ancaman-ancaman SIA Meningkat?
Sebagai akibat dari masalah-masalah tersebut diatas, pengendalian keamanan dan integritas sistem
komputer menjadi isu yang penting. Kebanyakan manajer S1A menunjukkan bahwa risiko
pengendalian telah meningkat dalam tahun-tahun belakangan ini.
Contohnya, penelitian telah menunjukkan bahwa
lebih dari 60 persen organisasi telah mengalami kegagalan besar dalam pengendalian di tahun-tahun
belakangan ini. Beberapa alasan atas peningkatan masalah keamanan adalah sebagai berikut:
 Peningkatan jumlah sistem klien/server (client/server system) memiliki arti bahwa informasi
tersedia bagi para pekerja yang tidak baik. Komputer dan server tersedia di mana-mana
terdapat PC di sebagian besar desktop, dan komputer laptop tersedia di tempat umum. Chevron

Texaco, contohnya, memiliki lebih dari 35.000 PC.
 Oleh karena LAN dan sistem klien/server mendistribusikan data ke banyak pemakai, mereka
lebih sulit dikendalikan daripada sistem komputer utama yang terpusat. Di Chevron Texaco,
informasi didistribusikan di antara sistem dan ribuan pegawai yang bekerja di tempat lokal dan
jarak jauh, seperti juga secara nasional dan internasional.
 WAN memberikan pelanggan dan pemasok akses ke sistem dan data mereka satu sama lain,
yang menimbulkan kekhawatiran dalam hal kerahasiaan. Contohnya, Wal-Mart mengizinkan
beberapa vendor tertentu untuk mengakses informasi khusus di komputernya, sebagai salah
satu persyaratan dalam persekutuan mereka. Bayangkan potensi masalah kerahasiaan apabila
vendor-vendor tersebut juga membentuk persekutuan dengan para pesaing Wal-Mart, seperti
Kmart dan Target.
Alasan Organisasi tidak secara memadai melindungi
data mereka
2

Sayangnya, banyak organisasi yang tidak secara memadai melindungi data mereka karena satu atau
beberapa alasan berikut ini:
 Masalah pengendalian komputer sering kali diremehkan dan dianggap minor. Perusahaan
melihat hilangnya informasi yang penting, sebagai ancaman yang tidak mungkin terjadi.
Contohnya, kurang dari 25 persen dari 1.250 partisipan dalam penelitian Ernts & Young
berpikir bahwa keamanan komputer adalah isu yang sangat penting. Gambaran tersebut
menurun dari angka sekitar 35 persen, berdasarkan survei tahun sebelumnya.
 Implikasi-implikasi pengendalian untuk berpindah dari sistem komputer yang tersentralisasi
dan terpusat dari masa lampau, ke sistem jaringan atau sistem berdasarkan Internet, tidak
benar-benar dipahami.
 Banyak perusahaan yang tidak menyadari bahwa keamanan data adalah hal yang penting
untuk kelangsungan hidup perusahaan mereka. Informasi adalah sumber daya strategis, dan
perlindungan atas informasi harus merupakan persyaratan strategis. Contohnya,-suatu
perusahaan kehilangan jutaan dolar selama periode beberapa tahun, karena perusahaan tidak
melindungi transmisi datanya. Salah satu pesaing menyadap saluran teleponnya dan

mendapatkan faks yang berisi desain produk baru yang dikirim ke pabrik di luar negeri.
 Tekanan atas produktivitas dan biaya membuat pihak manajemen melepas ukuran¬-ukuran
pengendalian yang memakan waktu.
Akuntansi, Sistem Informasi Akuntansi, Sistem Informasi Manajemen | 2 Replies
Ancaman-ancaman Keamanan Informasi Juga Dapat
Dibayar Mahal di Pengadilan
Banyak CIO yang memperkuat dirinya dari hal-hal yang dapat merupakan banjir tuntutan
pertanggung¬jawaban, akibat pelanggaran keamanan informasi. Apabila hal ini terjadi, perusahaan
bukan hanya membayar kerusakan apa pun yang diderita dari pelanggaran tersebut, tetapi perusahaan
juga dianggap bertanggung jawab atas kerusakan yang diderita pelanggan.
Contohnya, pada bulan Agustus 2001, setelah
melawan Code Red Worm, Qwest berhadapan dengan perlawanan lain, yaitu melawan kantor jaksa
penuntut umum. Setelah virus tersebut membuat beberapa pelanggan Qwest mendapat gangguan
jangkauan DSL selama 10 hari, 15 hingga 20 pelanggan mengadu ke jaksa penuntut umum.
Walaupun Qwest bersikeras bahwa perusahaan tidak bertanggung jawab atas serangan yang
dilakukan oleh orang lain, jaksa pen untut umum meminta perusahaan tersebut untuk mengganti rugi
para pelanggannya. Dalam waktu singkat para hakim dan juri akan diputuskan, apabila perusahaan
secara hukum dianggap bertanggung jawab atas keamanan yang tidak memadai.

Walaupun tidak ada tuntutan hukum sebelumnya,
para pejabat perusahaan dapat secara individual bertanggung jawab atas pelanggaran keamanan.
Dalam usaha untuk melindungi infra¬struktur teknologi informasi Amerika, pemerintah mulai
membuat peraturan yang diharapkan dapat mengurangi bahaya tuntutan tertentu. Akan tetapi,
perusahaan akan tetap harus meningkatkan keamanan dan tetap siaga apabila mereka ingin
menghindari pengabulan tuntutan.
Sarah D. Scalet dalam sebuah artikel di CIO, menawarkan tips-tips berikut ini untuk menghindari
pengabulan tuntutan:
 “Buat dan implementasikan kebijakan keamanan dalam perusahaan.” Kembangkan kebijakan
yang jelas mengenai cara bagaimana perusahaan menjaga data, dan pastikanbahwa kebijakan
tersebut didokumentasikan dengan baik.
 “Lakukan audit keamanan.” Pastikan bahwa perusahaan telah mengikuti kebijakan keamanan
informasinya dengan cara mempekerjakan pihak ketiga untuk meng¬ujinya. Mempekerjakan
pihak ketiga dan pihak yang objektif untuk meninjau keamanan informasi perusahaan, dapat
membantu memperbaiki hal yang selama ini dicari oleh perusahaan, yaitu untuk tetap jauh dari
potensi risiko keamanan.
 “Mempertimbangkan keamanan dalam kontrak.” Ketika melakukan outsourcing, perusahaan
harus memastikan bahwa perusahaan lain telah memiliki dan mengikuti prosedur keamanan
yang memadai.
 “Jangan membuat janji yang tidak dapat Anda tepati.” Perusahaan seharusnya jangan pernah
menjanjikan keamanan yang tidak pernah gagal, selain dari ukuran-ukuran keamanan yang
wajar. Membuat janji besar dapat menyeret Anda ke risiko tuntutan pelanggaran kontrak.
“Perhatikan peraturan-peraturan yang mempengaruhi industri perusahaan Anda. “Beberapa
negara kadang kala memiliki peraturan mengenai perlindungan atas informasi pelanggan.
Pastikan bahwa perusahaan mengetahui peraturan di negara¬-negara tempat perusahaan
menjalankan bisnisnya.
 Pertimbangkan untuk membeli asuransi e-commerce. “Asuransi maya melindungi dari risiko
on-line yang tidak dilindungi oleh asuransi dasar bisnis. Asuransi maya meliputi kejadian
seperti serangan yang menyebabkan pengingkaran pelayanan, kode-kode salah yang
menyesatkan, dan isi web yang tidak layak. “Perhatikan hal-hal yang dilaksanakan oleh
perusahaan yang hampir sama dengan perusahaan Anda. “Tetaplah mencari tahu apa yang

dilaksanakan perusahaan lain agar Anda dapat membuktikan bahwa Anda melakukan usaha
sebanyak dengan yang dilakukan orang ¬lain, dalam hal keamanan.
Sumber: Sarah D. Scalet.”See You in court”, CIO (1 November 2001): 62-70.
Mengapa Pengendalian dan Keamanan Komputer
Penting(1).
Untungnya, perusahaan-perusahaan kini menyadari masalah-masalah tersebut dan mengambil
langkah positif untuk meningkatkan pengendalian dan keamanan komputer.
Contohnya, mereka menjadi proaktif dalam pendekatan mereka. Mereka kini menyediakan pegawai
tetap untuk menangani masalah pengendalian dan keamanan, serta mendidik para pegawai mereka
mengenai ukuran-ukuran pengendalian.
Banyak perusahaan yang membuat dan menerapkan
kebijakan keamanan informasi secara formal. Mereka membuat pengendalian sebagai bagian dari
proses pengembangan aplikasi, dan memindahkan data yang sensitif keluar dari sistem klien/server
yang tidak aman ke lingkungan yang lebih aman, seperti komputer utama (mainframe).
Sebagai seorang akuntan, Anda harus memahami bagaimana cara melindungi system-sistem dari
ancaman-ancaman yang mereka hadapi. Anda juga harus memiliki pemahaman yang baik mengenai
teknologi informasi, dan kemampuan serta risiko¬-risikonya. Pengetahuan ini dapat membantu Anda
untuk menggunakan teknologi informasi dalam rangka mencapai tujuan pengendalian perusahaan.
Penting(2).
Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi suatu organisasi
seharusnya merupakan prioritas utama manajemen puncak. Walaupun tujuan pengendalian internal

tetap sama apa pun metode pemrosesan datanya, SIA yang berdasarkan komputer membutuhkan
kebijakan dan prosedur pengendalian internal yang berbeda.
Contohnya, walaupun pemrosesan secara komputer
mengurangi potensi kesalahan administrasi, proses ini dapat meningkatkan risiko adanya akses ke
file atau perubahan file data, yang tidak memiliki otorisasi. Sebagai tambahan, memisahkan fungsi
otorisasi, pencatatan, dan penjagaan aset dalam SIA harus dicapai dalam cara yang berbeda, karena
program computer bias jadi bertanggungjawab atas satu atau lebih atas fungsi-fungsi tersebut.
Untungnya, komputer juga memberikan kesempatan bagi organisasi untuk meningkatkan
pengendalian internalnya.
Membantu manajemen dalam mengendalikan organisasi bisnisnya adalah tujuan utama SIA. Akuntan
dapat membantu mencapai tujuan ini dengan cara mendesain sistem pengendalian yang efektif dan
melaksanakan audit (atau peninjauan) atas sistem pengendalian yang telah ada, untuk memastikan
keefektivitasan mereka.
Penting(3).
Potensi adanya kejadian atau kegiatan yang tidak diharapkan yang dapat membahayakan baik SIA
maupun organisasi, disebut sebagai ancaman (threat). Potensi kerugian dalam bentuk uang yang
terjadi apabila sebuah ancaman benar-benar terjadi, disebut sebagai pajanan/dampak (exposure)
ancaman, sedangkan kemungkinan terjadinya ancaman disebut sebagai risiko yang berhubungan
dengan ancaman.

Pihak manajemen berharap akuntan dapat menjadi
konsultan pengendalian. Dengan kata lain, akuntan harus (1) mengambil pendekatan proaktif untuk
menghilangkan ancaman terhadap sistem, dan (2) mendeteksi, memperbaiki, dan memuiihkan
perusahaan dari ancaman apabila suatu ancaman terjadi.
Merupakan hal yang penting untuk diketahui bahwa lebih mudah mengembangkan pengendalian
pada tahap awal desain, daripada menambahkannya setelah terjadi suatu ancaman. Berdasarkan
alasan ini, akuntan dan para ahli pengendalian lainnya harus menjadi anggota yang lebih penting
dalam tim yang mengembangkan atau mengubah sistem informasi.
Tinjauan Menyeluruh Konsep-konsep Pengendalian
Pengendalian internal (internal control) adalah rencana organisasi dan metode bisnis yang
dipergunakan untuk menjaga aset, memberikan informasi yang akurat dan andal, mendorong dan
memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian dengan kebijakan yang telah
ditetapkan.
Tujuan-tujuan pengendalian internal ini kadangkala
bertentangan satu sama lain.
Contohnya, banyak orang menekankan pada perekayasaan proses bisnis yang radikal agar mereka
bisa mendapat inforniasi yang lebih baik dan cepat, serta untuk memperbaiki efisiensi operasional.

Pihak lainnya menolak perubahan tersebut karena perubahan mengganggu penjagaan atas aset
perusahaan dan membutuhkan perubahan yang signifikan dalam kebijakan manajerial.
Apakah struktur Pengendalian Internal itu ?
Struktur pengendalian internal (internal control structure) terdiri dari kebijakan dan prosedur yang
dibuat untuk memberikan tingkat jaminan yang wajar atas pencapaian tujuan tertentu organisasi.
Sistem tersebut hanya menyediakan jaminan yang wajar, karena pihak yang memberikan jaminan
penuh akan sulit untuk melaksanakan tahap desain dan biayanya mahal, hingga akan menjadi
penghalang bagi perusahaan.
Pengendalian internal melaksanakan tiga fungsi
penting, yaitu :
 Pengendalian untuk pencegahan (preventive control)
 Pengendalian untuk pemeriksaan (detective control)
 Pengendalian korektif (corrective control)
Pengendalian untuk pencegahan (Preventive Control)
Pengendalian untuk
pencegahan (preventive control) mencegah timbulnya suatu masalah sebelum mereka muncul.

Mempekerjakan personil akuntansi yang berkualifikasi tinggi, pemisahan tugas pegawai yang
memadai, dan secara efektif mengendalikan akses fisik atas aset, fasilitas dan informasi, merupakan
pengendalian pencegahan yang efektif.
Pengendalian untuk pemeriksaan (Detective Control)
Pengendalian untuk pemeriksaan (detective control) dibutuhkan mntuk mengungkap masalah begitu
masalah tersebut muncul.
Contoh dari
pengendalian untuk pemeriksaan adalah pemeriksaan salinan atas perhitungan, mernpersiapkan
rekonsiliasi bank dan neraca saldo setiap bulan.
Pengendalian korektif (Corrective Control)
Pengendalian korektif
(corrective control) memecahkan masalah yang ditemukan oleh pengendalian untuk pemeriksaan.
Pengendalian ini mencakup prosedur yang dilaksanakan untuk mengidentifikasi penyebab masalah,
memperbaiki kesalahan atau kesulitan yang ditimbulkan, dan mengubah sistem agar masalah di masa
mendatang dapat diminimalisasikan atau dihilangkan.
Contoh dari pengendalian ini termasuk pemeliharaan kopi cadangan (backup copies) atas transaksi
dan file utama, dan mengikuti prosedur untuk memperbaiki kesalahan memasukkan data, seperti juga
kesalahan dalam menyerahkan kembali transaksi untuk proses lebih lanjut.

Mencegah penyuapan atas para pejabat luar negeri
untuk mendapatkan bisnis.
Pada tahun 1977, gelombang keterkejutan berkumandang di seluruh profesi akuntansi ketika
Congress memasukkan bahasa dari standar AICPA ke dalam Foreign Corrupt Practices Act.
Tujuan utama dari undang-undang ini
adalah mencegah penyuapan atas para pejabat luar negeri untuk mendapatkan bisnis. Akan tetapi,
pengaruh yang signifikan dari undang-undang ini membutuhkan kerja sama untuk memelihara sistem
pengendalian internal akuntansi yang baik.
Tidak perlu dikatakan bahwa syarat ini telah menimbulkan rasa tertarik yang besar di antara pihak
manajemen, akuntan, dan auditor untuk mendesain dan mengevaluasi sistem pengendalian internal.
Penelitian Oleh Committee of Sponsoring
Organizations (COSO).
Committee of Sponsoring
Organizations (COSO) adalah kelompok sektor swasta yang terdiri dari American Accounting
Association (AAA), AICPA, Institute of Internal Auditors, Institute of Management Accountants,
dan Financial Executives Institute. Pada tahun 1992, COSO mengeluarkan hasil penelitian untuk
mengembangkan definisi pengendalian internal dan memberikan petunjuk untuk mengevaluasi
sistem pengendalian internal. Laporan tersebut telah diterima secara luas sebagai ketentuan dalam
pengendalian internal.

Penelitian tersebut memakan waktu 3 tahun dan melibatkan 10 ribu jam penelitian, diskusi, analisis,
dan proses penilaian. Penelitian ini melibatkan ribuan orang, termasuk para anggota dari kelima
organisasi dalam COSO, para direktur dan dewan direksi perusahaan, pembuat undang-undang
(legislator), pemerintah, pengacara, konsultan, auditor, dan para akademisi.
Laporan tersebut menjelaskan tanggung jawab pegawai untuk menjalankan dengan layak
pengendalian, serta mendeskripsikan peran auditor eksternal dalam menilai pengendalian.
Bagaimana COSO menjamin tujuan Pengendalian
dapat tercapai.
Penelitian COSO mendefinisikan pengendalian internal sebagai proses yang diimplementasikan oleh
dewan komisaris, pihak manajemen, dan mereka yang berada di bawah arahan keduanya, untuk
memberikan jaminan yang wajar bahwa tujuan pengendalian dicapai dengan pertimbangan hal-hal
berikut:
1. Efektivitas dan efisiensi operasional organisasi
2. Keandalan pelaporan keuangan
3. Kesesuaian dengan hukum dan peraturan yang berlaku
Pengendalian Internal menurut COSO.
Berdasarkan COSO, pengendalian internal adalah proses karena hal tersebut menembus kegiatan
operasional organisasi dan merupakan bagian integral-dari kegiatan manajemen dasar.

Pengendalian
internal memberikan jaminan yang wajar, bukan yang absolut, karena kemungkinan kesalahan
manusia, kolusi, dan penolakan manajemen atas pengendalian, membuat proses ini menjadi tidak
sempurna.
COSO menyajikan langkah yang signifikan atas definisi pengendalian internal yang dahulu terbatas
pada pengendalian akuntansi, menjadi pengendalian yang menangani tujuan yang luas dari para
dewan komisaris dan pihak manajemen.
5(lima) Komponen Pengendalian Internal menurut
COSO.
COSO menyajikan langkah yang signifikan atas definisi pengendalian internal yang dahulu terbatas
pada pengendalian akuntansi, menjadi pengendalian yang menangani tujuan yang luas dari para
dewan komisaris dan pihak manajemen.
COSO menentukan 5(lima)
komponen Pengendalian Internal yang saling berhubungan, kelima komponen itu adalah:
 Lingkungan pengendalian
 Aktivitas pengendalian

 Penilaian risiko
 Informasi dan komunikasi
 Pengawasan
Lingkungan Pengendalian sebagai Komponen
Lingkungan pengendalian : Inti dari bisnis apa pun adalah orang-orangnya-ciri perorangan, termasuk
integritas, nilai-nilai etika, dan kompetensi-serta lingkungan tempat beroperasi.
Mereka adalah mesin yang mengemudikan organisasi
dan dasar tempat segala hal terletak.
Aktivitas Pengendalian sebagai Komponen

Kebijakan dan prosedur pengendalian harus dibuat dan
dilaksanakan untuk membantu memastikan bahwa tindakan yang diidentifikasi oleh pihak
manajemen untuk mengatasi risiko pencapaian tujuan organisasi, secara efektif dijalankan.
Penilaian Risiko sebagai Komponen Pengendalian
Internal menurut COSO.
Organisasi harus sadar akan dan berurusan dengan risiko yang dihadapinya. Organisasi harus
menempatkan tujuan, yang terintegrasi dengan penjualan, produksi, pemasaran, keuangan, dan
kegiatan lainnya, agar organisasi beroperasi secara harmonis.
Organisasi juga harus membuat
mekanisme untuk meng-identifikasi, menganalisis, dan mengelola risiko yang terkait.

Informasi dan Komunikasi sebagai Komponen
Di sekitar aktivitas pengendalian terdapat
sistem informasi dan komunikasi. Mereka memungkinkan orang-orang dalam organisasi untuk
mendapat dan bertukar informasi yang dibutuhkan untuk melaksanakan, mengelola, dan
mengendalikan operasinya.
Pengawasan sebagai Komponen Pengendalian Internal
menurut COSO.
Seluruh proses harus diawasi, dan perubahan
dilakukan sesuai dengan kebutuhan. Melalui cara ini, sistem dapat beraksi secara dinamis, berubah
sesuai tuntutan keadaan.
Ringkasan 5(lima) Komponen Pengendalian Internal
menurut COSO.

Kelima komponen Pengendalian Internal menurut COSO diringkas dalam Tabel dibawah ini:

Posted in EDP-Audit, IS-Audit, Pengendalian dan Sistem Informasi Akuntansi, Sistem Informasi Akuntansi, Sistem
Informasi Manajemen, Uncategorized | Leave a reply
3(tiga) Dimensi yang menguntungkan untuk menangani
isu Pengendalian Menurut COBIT.
Kerangka tersebut menangani isu pengendalian
berdasarkan tiga poin atau dimensi yang menguntungkan, yaitu:
1. Tujuan Bisnis. Untuk memenuhi tujuan bisnis, informasi harus sesuai dengan kriteria yang
disebut COBIT sebagai persyaratan bisnis atas informasi. Kriteria tersebut dibagi ke dalam
kategori terpisah tetapi saling melengkapi, yang mencerminkan tujuan-tujuan COSO, yatiu:
efektivitas (relevan, berkaitan, dan tepat waktu), efisiensi, kerahasiaan, integritas,
ketersediaan, kesesuaian dengan persyaratan hukum, dan keandalan.
2. Sumber daya-sumber daya TI, yang termasuk didalamnya adalah orang, sistem aplikasi,
teknologi, fasilitas, dan data.
3. Proses TI, yang dipecah ke dalam empat bidang, yaitu: perencanaan dan organisasi, proses
perolehan (acqusition) dan implementasi, pengiriman dan pendukung, serta pengawasan.
Manfaat Konsolidasi dari 36 sumber yang berbeda
kedalam satu kerangka oleh COBIT.
COBIT, yang mengkonsolidasikan standar dari 36 sumber berbeda ke dalam satu kerangka, memiliki
dampak yang besar atas profesi sistem informasi.

COBIT membantu para manajer untuk mempelajari
bagaimana menyeimbangkan risiko dan pengendalian investasi dalam lingkungan sistem informasi.
COBIT memberikan kepastian yang lebih besar bahwa pengendalian TI dan keamanannya yang
disediakan oleh pihak ketiga termasuk memadai.
COBIT memandu para auditor pada saat mereka memverifikasi pendapat mereka, dan saat mereka
memberikan saran pada pihak manajemen dalam hal pengendalian internal.
LINGKUNGAN PENGENDALIAN menurut COSO
Lingkungan pengendalian menurut COSO terdiri
dari faktor-faktor berikut ini:
1. Komitmen atas integritas dan nilai-nilai etika
2. Filosofi pihak manajemen dan gaya beroperasi
3. Struktur organisasional
4. Badan audit dewan komisaris
5. Metode untuk memberikan otoritas dan tanggung jawab
6. Kebijakan dan praktik-praktik dalam sumber daya manusia
7. Pengaruh-pengaruhreksternal
Komitmen atas Integritas dan Nilai-nilai Etika dalam
Lingkungan Pengendalian menurut COSO

Merupakan hal yang penting bagi pihak manajemen untuk menciptakan struktur organisasional yang
menekankan pada integritas dan nilai-nilai etika. Perusahaan dapat mengesahkan integritas sebagai
prinsip dasar beroperasi, dengan cara secara aktif mengajarkan dan mempraktikkannya.
Contohnya, manajemen puncak harus memperjelas
bahwa laporan yang jujur lebih penting daripada Iaporan yang sesuai keinginan pihak manajemen.
Pihak manajemen harus tidak berasumsi bahwa setiap orang menerima kejujuran. Mereka harus
secara konsisten menghargai dan mendorong kejujuran, serta memberikan suatu sebutan untuk
perilaku yang jujur dan tidak jujur. Apabila perusahaan hanya menghukum atau menghargai
kejujuran tanpa memberikan sebutan atas perilakunya atau menjelaskan prinsipnya, atau apabila
standar kejujuran tidak konsisten, maka para pegawai akan cenderung tidak konsisten perilaku
moralnya.
Pihak manajemen harus mengembangkan kebijakan yang tertulis dengan jelas, yang secara eksplisit
mendeskripsikan perilaku yang jujur dan tidak jujur. Kebijakan-kebijakan ini harus secara khusus
mencakup isu-isu yang tidak pasti atau tidak jelas, seperti konflik kepentingan dan penerimaan
hadiah.
Contohnya, sebagian besar agen pembelian akan setuju bahwa menerima suap sebesar $5.000 dari
pemasok adalah hal yang tidak jujur, tetapi liburan akhir minggu di pondok berburu tidak dijabarkan
dengan jelas. Penyebab utama ketidakjujuran berasal dari perasionalisasian situasi-situasi ini;
bukanlah hal yang aneh apabila kriteria kesesuaian (expediency), menggantikan kriteria benar atau
salah.
Seluruh tindakan yang tidak jujur harus secara menyeluruh diinvestigasi, dan mereka yang dianggap
bersalah harus dibebastugaskan. Pegawai yang tidak jujur harus dituntut untuk membuat pegawai
mengetahui bahwa perilaku semacam ini tidak akan diperbolehkan.
Filosofi Pihak Manajemen dan Gaya Beroperasi dalam
Lingkungan Pengendalian menurut COSO
Semakin bertanggung jawab filosofi pihak manajemen dan gaya beroperasi mereka; semakin besar
kemungkinannya para pegawai akan berperilaku secara bertanggung jawab dalam usaha untuk
mencapai tujuan organisasi.

Apabila pihak manajemen menunjukkan sedikit
perhatian atas pengendalian internal, maka para pcgawai akan menjadi kurang rajin dan efektif dalam
mencapai tujuan pengendalian tertentu.
Contohnya, Maria Pilier menemukan bahwa garis otoritas dan tanggung jawab di Springer’s tidak
ditetapkan dengan jelas, dan dia curiga bahwa pihak manajemen mungkin terlibat dalam rekayasa
akuntansi untuk memperlihatkan kinerja perusahaan sebaik mungin.
Sementara itu, Jason Scott menemukan bukti adanya praktik pengendalian internal yang tidak
memadai dalam fungsi pembelian dan utang usaha. Mungkin sekali bahwa kedua kondisi ini saling
berhubungan yaitu bahwa sikap pihak manajemen yang tidak ketat memberikan kontribusi pada
ketidakberadaan praktik pengendalian internal yang baik di bagian pembelian.
Filosofi pihak manajemen dan gaya beroperasi
dapat dinilai-dengan cara menjawab pertanyaan seperti berikut ini:
 Apakah pihak manajemen mengambil risiko yang tidak sepantasnya untuk mencapai tujuan
perusahaaan, atau apakah pihak manajemen menilai potensi risiko dan penghargaan sebelum
bertindak?
 Apakah pihak manajemen mencoba untuk memanipulasi ukuran-ukuran kinerja seperti
pemasukan bersih, agar kinerjanya dapat dilihat dalam pandangan yang lebih baik?
 Apakah pihak manajemen menekan para pegawai untuk mencapai hasil apa pun metode yang
dipergunakan, atau apakah pihak manajemen menuntut perilaku yang beretika? Dengan kata
lain, apakah pihak manajemen yakin bahwa hasil dapat membenarkan cara?

Struktur Organisasional dalam Lingkungan
Pengendalian menurut COSO
Struktur organisasional perusahaan menetapkan garis otoritas dan tanggung jawab, serta
menyediakan kerangka umum untuk perencanaan, pengarahan, dan pengendalian operasinya. Aspek-
aspek penting struktur organisasi termasuk sentralisasi atau desentralisasi otoritas, penetapan
tanggung jawab untuk tugas-tugas tertentu, cara alokasi tanggung jawab mempengaruhi permintaan
informasi pihak manajemen, dan organisasi fungsi sistem informasi dan akuntansi.
Struktur organisasi yang sangat kompleks dan tidak
jelas dapat menunjukkan masalah yang lebih serius. ESM, sebuah perusahaan sekuritas yang
berhubungan dengan sekuritas pemerintah, menggunakan struktur organisasi berlapis-lapis untuk
menyembunyikan penipuan sebesar $300 juta. Para pejabat perusahaan menyalurkan uang ke diri
mereka sendiri, dan menyembunyikannya dengan melaporkan piutang usaha fiktif dari perusahaan
terkait, dalam laporan keuangan mereka.
Di dalam dunia bisnis saat ini, perubahan yang drastis terjadi dalam praktik di bidang manajemen,
dan di dalam pengorganisasian perusahaan. Struktur organisasi hierarkis, dengan banyak lapisan
pihak manajemen yang akan mengawasi dan mengendalikan pekerjaan mereka yang di bawah, mulai
menghilang.
Struktur tersebut digantikan dengan organisasi datar (flat organization) yang memiliki tim yang dapat
bekerja sendiri dan terdiri dari para pegawai yang dulunya ditugaskan ke berbagai departemen yang
berbeda dan terpisah.
Para anggota tim diberdayakan untuk membuat keputusan tanpa mencari berlapis-lapis persetujuan
untuk menyelesaikan pekerjaan mereka. Penekanannya adalah pada perbaikan berkelanjutan, bukan
pada peninjauan periodik dan karakteristik penilaian dari evaluasi sebelumnya.
Perubahan-perubahan ini memiliki dampak yang besar atas struktur organisasi perusahaan, sifat, serta
jenis pengendalian yang dipergunakan.

Komite Audit Dewan Komisaris (Board of Director)
dalam Lingkungan Pengendalian menurut COSO
Seluruh perusahaan yang terdaftar di New York
Stock Exchange harus memiliki komite audit (audit committee) yang secara keseluruhan terdiri dari
para komisaris (non-pegawai) dari luar perusahaan.
Komite audit bertanggung jawab untuk mengawasi struktur pengendalian internal perusahaan, proses
pelaporan keuangannya, dan kepatuhannya terhadap hukum, peraturan, dan standar yang terkait.
Komite tersebut bekerja dekat dengan auditor eksternal dan internal perusahaan.
Salah satu tanggung jawab komite ini adalah
menyediakan peninjauan independen, atas nama pemegang saham perusahaan; terhadap tindakan
para manajer perusahaan. Peninjauan ini berfungsi untuk memeriksa integritas manajemen dan
meningkatkan kepercayaan publik yang berinvestasi, atas kesesuaian pelaporan keuangan.
Metode Memberikan Otoritas dan Tanggung Jawab
dalam Lingkungan Pengendalian menurut COSO
Pihak manajemen harus memberikan tanggung jawab untuk tujuan bisnis tertentu ke departemen dan
individu yang terkait, serta kemudian membuat mereka bertanggung jawab untuk mencapai tujuan
tersebut.

Otoritas dan tanggung jawab dapat diberikan
melalui deksripsi pekerjaan secara formal, pelatihan pegawai, dan rencana operasional, jadwal, dan
anggaran. Salah satu hal yang sangat penting adalah peraturan yang menangani masalah seperti
standar etika berperilaku, praktik bisnis yang dapat dibenarkan, peraturan persyaratan, dan konflik
kepentingan.
Buku pedoman kebijakan dan prosedur (policy and procedures manual) adalah alat yang penting
untuk memberikan otoritas dan tanggung jawab. Buku pedoman tersebut menjelaskan tentang
kebijakan manajemen sehubungan dengan penanganan setiap transaksi.
Sebagai tambahan, buku pedoman tersebut mendokumentasikan sistem dan prosedur yang
dipergunakan untuk memproses berbagai transaksi. Termasuk didalamnya adalah daftar akun
organisasi, dan kopi contoh berbagai formulir serta dokumen. Buku pedoman tersebut membantu
dalam memberikan referensi bagi para pegawai, dan alat yang berguna dalam rnelatih pegawai baru.
Kebijakan dan Praktik-praktik dalam Sumber Daya
Manusia dalam Lingkungan Pengendalian menurut
COSO
Kebijakan dan praktik-praktik mengenai pengontrakkan, pelatihan, pengevaluasian, pemberian
kompensasi, dan promosi pegawai mempengaruhi kemampuan organisasi untuk meminimalkan
ancaman, risiko, dan pajanan/dampak. Para pegawai harus dipekerjakan dan dipromosikan
berdasarkan seberapa baik mereka memenuhi persyaratan pekerjaan mereka. Data riwyavat hidup,
surat referensi, dan pemeriksaan atas latar belakang, merupakan cara-cara yang penting nntuk
mengevaluasi kualifikasi para pelamar pekerjaan.

Program pelatihan harus membuat pegawai baru
mengetahui dengan baik tanggung jawab mereka, dan juga kebijakan serta prosedur organiasi.
Terakhir, kebijakan yang berhubungan dengan kondisi bekerja, pemberian kompensasi, insentif
bekerja, dan kemajuan karir dapat merupakan dorongan yang kuat dalam mendorong pelayanan yang
efisien dan kesetiaan.
Pentingnya pemcriksaan menyeluruh atas latar belakang seseorang digarisbawahi dengan adanya
kasus Philip Crosby Associates (PCA), sebuah firma konsultan dan pelatihan. PCA melaksanakan
penyelidikan yang mendalam untuk memilih direktur keuangan. Perusahaan tersebut akhirnya
rnempekerjakan John Nelson, seorang penyandang gelar MBA dan CPA yang mendapat referensi
bagus dari perusahaan sebelumnya. Pada kenyataannya, gelar CPA dan referensi tersebut palsu.
Nelson sebenarnya bernama Robert W. Liszewski, yang belum lama ini dihukum selama 18 bulan
atas pencurian sebesar $400.000 dari bank di Indiana. Ketika PCA menemukan fakta ini, Lisrewski
telah mencuri $960.000 dengan menggunakan transfer elektronik ke perusahaan fiktif, yang
didukung oleh pemalsuan tanda tangan atas beberapa kontrak dan dokumen otorisasi.
Kebijakan pengendalian tambahan dibutuhkan bagi
para pegawai yang memiliki akses ke kas atau properti lainnya. Mereka harus diminta untuk
mengambil libur tahunan, dan selama waktu tersebut, fungsi pekerjaan mereka harus dilaksanakan
oleh anggota staf lainnya.
Banyak penipuan pegawai yang ditemukan ketika pelaku tiba-tiba terhalang oleh sakit atau
kecelakaan yang memaksa mereka mengambil cuti. Rotasi tugas secara periodik di antara para
pegawai utama dapat mencapai hasil yang sama. Tentu saja, keberadaan kebijakan semacam ini
menghalangi penipuan dan meningkatkan pengendalian internal.

Terakhir, jaminan asuransi ikatan kesetiaan para pegawai utama, melindungi perusahaan dari
kerugian yang ditimbulkan oleh tindakan penipuan yang disengaja oleh para pegawai yang diikat
tersebut.
Pengaruh-pengaruh Eksternal dalam Lingkungan
Pengaruh-pengaruh eksternal yang mempengaruhi
lingkungan pengendalian adalah termasuk persyaratan yang dibebankan oleh bursa efek, oleh
Financial Accounting Standards Board (FASB), dan oleh Securities and Exchange Commission
(SEC).
Termasuk dalam pengaruh eksternal juga persyaratan peraturan lembaga, seperti bank, sarana umum
(utility), dan perusahaan asuransi. Termasuk dalam contoh adalah ketentuan pengendalian internal
oleh Foreign Corrupt Practices Act yang dibuat oleh SEC, dan audit lembaga keuangan yang dibuat
oleh Federal Deposit Insurance Corporation (FDIC).
AKTIVITAS-AKTIVITAS PENGENDALIAN menurut
COSO.
Komponen kedua dari model pengendalian internal COSO adalah kegiatan-kegiatan pengendalian,
yang merupakan kebijakan dan peraturan yang menyediakan jaminan yang wajar bahwa tujun
pengendalian pihak manajemen, dicapai.

Secara umum, prosedur-prosedur pengendalian
termasuk dalam satu dari lima kategori berikut ini:
1. Otorisasi transaksi dan kegiatan yang memadai
2. Pemisahan tugas
3. Desain dan penggunaan dokumen serta catatan yang memadai
4. Penjagaan aset dan catatan yang memadai
5. Pemeriksaan independen atas kinerja
Otorisasi Transaksi dan Kegiatan yang Memadai dalam
Aktivitas-aktivitas Pengendalian menurut COSO
Para pegawai melaksanakan tugas dan membuat keputusan yang mempengaruhi asset perusahaan.
Oleh karena pihak manajemen kekurangan waktu dan sumber dava untuk melakukan supervisi setiap
aktivitas dan keputusan, mereka membuat kebijakan untuk diikuti oleh para pegawai, dan kemudian
memberdayakan mereka untuk melaksanakannya.

Pemberdayaan ini, yang disebut sebagai otorisasi
(authorization), adalah bagian penting dari pengendalian dan prosedur organisasi.
Pemisahan Tugas dalam Aktivitas-aktivitas
Pengendalian internal yang baik mensyaratkan bahwa tidak ada pegawai yang diberi tanggung jawab
terlalu banyak.
Seorang pegawai seharusnya tidak berada dalam posisi untuk melakukan penipuan dan
menyembunyikan penipuan atau kesalahan yang tidak disengaja. pernisahan tugas yang efektif
dicapai ketika fungsi-fungsi berikut ini dipisahkan:
 Otorisasi-menyetujui transaksi dan keputusan
 Pencatatan-menpersiapkan dokumen sumber; memelihara catatan jurnaI; buku besar, dan file
lainnya; mempersiapkan rekonsiliasi; serta mempersiapkan laporan kinerja.
 Penyimpanan-menangani kas, memelihara tempat penyimpanan persediaan, menerima cek
yang masuk dari pelanggan, menulis cek atas rekening bank organisasi
Apabila dua dari ketiga fungsi tersebut merupakan
tanggung jawab satu orang, maka akan muncul masalah.
Contohnya, bendahara kota Fairfax, Virginia, sebelumnya dihukum atas pencurian sebesar $600.000
dari kekayaan kota. Ketika penduduk menggunakan uang tunai untuk membayar pajak mereka,
bendahara tersebut akan menyimpannya.

Dia mencatat penerimaan pajak dalam catatan pajak bangunan, tetapi tidak melaporkannya ke
kontroler kota. Kemudian, dia akan membuat jurnal penyesuaian untuk menyesuaikan catatannya
dengan catatan kontroler. Ketika bendahara tersebut menerima uang tunai untuk membayar biaya
lisensi usaha atau biaya pengadilan, dia mencatat transaksi-transaksi ini ke daftar penerimaan kas dan
menyimpan uang tersebut setiap harinya dia mencuri sebagian uang tersebut dan menyembunyikan
perbedaan selisih dalam penyimpanan di bank dengan menggunakan cek lain-lain yang diterima
melalui surat dan yang tidak akan terlacak ketika cek tersebut tidak dicatat.
Oleh karena bendahara tersebut bertanggungjawab atas penyinipanan tanda terima tunai dan
pencatatan atas tanda terima tersebut, dia dapat mencuri tanda terima dan memalsukan akun, untuk
menutupi kesalahan.
Ilustrasi Pemisahan Tugas dalam Aktivitas-aktivitas
Contoh Kasus Tidak adanya Pemisahan Tugas(1)

Direktur fasilitas umum di Newport Beach, Kalifornia, yang bertanggung jawab untuk mengotorisasi
transaksi dan memiliki fungsi penyimpanan kas, dituntut atas pencurian sebesar $1,2 juta.
Dia memalsukan faktur atau dokumen hak untuk melewati tanah milik seseorang (easement
document) dengan mengotorisasi pembayaran ke pemilik fiktif atau as1i. Para pejabat bagian
keuangan memberikan cek untuk dikirim ke para pemilik properti tersebut.
Dia memalsukan tanda tangan, mengesahkan cek untuk dirinya sendiri, dan menyimpannya ke dalam
rekening miliknya sendiri. Oleh karena dia diberikan wewenang penyimpanan cek secara fisik untuk
transaksi-transaksi yang berada dalam otorisasinya, maka dia dapat mengotorisasi transaksi fiktif dan
mencuri pembayaran.
Contoh Kasus Tidak adanya Pemisahan Tugas(2)
Direktur bagian penggajian Los Angeles Didgers, yang bertanggung jawab baik atas fungsi otorisasi
maupun pencatan, diputuskan bersalah atas pencurian sebesar $330.000 dari tim tersebut.
Dia mengkredit para pegawai untuk jam-jam mereka tidak bekerja, dan kemudian menerima
pengembalian sebesar 50 persen dari kompensasi ekstra mereka. Dia juga menambahkan nama fiktif
dalam sistem penggajian Dodgers, dan menguangkan cek pembayarannya.
Penipuan ini ditemukan saat direktur bagian penggajian tersebut jatuh sakit dan digantikan oleh
pegawai lainnya. Oleh karena penipu tersebut bertanggung jawab untuk mengotorisasi
pengontrakkan pegawai dan pencatatan jam kerja pegawai, dia tidak perlu mempersiapkan atau
menangani cek pembayaran sesungguhnya. Bendahara klub tersebut hanya akan mengirim cek-cek
tersebut ke alamat yang disebutkan oleh direktur bagian penggajian.
Pemisahan Tugas dalam Sistem Informasi berbasis
Komputer
Di dalam sistem informasi yang modern, komputer sering kali dapat diprogram untuk melaksanakan
satu atau lebih funsgi-fungsi yang telah disebutkan sebelumnya intinya, mengganti pegawai.

Prinsip pemisahan tugas tetaplah sama; satu-satunya
perbedaan adalah komputer, bukan manusia, yang melaksanakan fungsi tersebut. Contohnya, banyak
pompa bensin yang sekarang dilengkapi dengan pompa yang memungkinkan pelanggan
memasukkan kartu kredit untuk membayar bensin yang dibelinya.
Di dalam kasus semacam ini, fungsi penyimpanan “kas” dan pencatatan dilaksanakan oleh komputer.
Sebagai tambahan atas perbaikan pengendalian internal, mesin-mesin ini benar-benar memperbaiki
proses pelayanan pada pelanggan dengan cara meningkatkan kenyamanan dan menghilangkan
antrian untuk membayar bensin.
Kolusi menyulitkan manfaat Pemisahan Tugas.
Di dalam sebuah sistem yang memasukkan pemisahan tugas secara efektif, mcrupakan hal yang sulit
bagi seorang pegawai untuk melakukan pencurian.
Mendeteksi penipuan yang melibatkan dua atau lebih pegawai yang berkolusi untuk melanggar
pengendalian, merupakan ha1 yang lebih sulit.
Contohnya, dua orang wanita yang dipekerjakan
oleh sebuah perusahaan kartu kredit, berkolusi untuk mencuri dana. Salah seorang dari mereka
diberikan otorisasi untuk membuat rekening atas kartu kredit, sementara lainnya memiliki otorisasi
untuk menghapns rekening tak tertagih dengan jumlah kurang dari S1.000.

Wanita pertama membuat rekening baru untuk mereka berdua dengan menggunakan data fiktif.
Ketika jumlah yang belum dibayar mendekati batas $ 1.000, wanita yang bekerja di ba gian
penagihan akan menghapusnya. Wanita pertama kemudian akan membuat dua kartu baru lagi, dan
proses selanjutnya akan berulang. Kedua wanita tersebut tertangkap ketika salah satu bekas pacar
mereka membalas dendam; dia menelepon perusahaan kartu kredit dan mengungkapkan skema
penipuan tersebut.
Desain dan Penggunaan Dokumen serta Catatan yang
Memadai dalam Aktivitas-aktivitas Pengendalian
menurut COSO
Desain dan penggunaan catatan yang memadai membantu untuk memastikan pencatatan yang akurat
dan lengkap atas seluruh data traksaksi yang berkaitan. Bentuk dan isinya harus dijaga agar tetap
sesederhana mungkin untuk mendukung pencatatan yang efisien, meminimalkan kesalahan
pencatatan, dan memfasilitasi peninjauan serta verifikasi.
Dokumen-dokumen yang mengawali sebuah transaksi harus
memiliki ruang untuk otorisasi. Dokumen-dokumen yang dipergunakan untuk memindahkan aset ke
orang lain, harus memiliki ruang untuk tanda tangan pihak penerima aset.
Dalam rangka mengurangi kesempatan penggunaan dokumen untuk penipuan, dokumen harus
diberikan nomor urut yang telah dicetak lebih dahulu, agar setiap dokumen dapat
dipertanggungjawabkan.
Jejak audit yang baik memfasilitasi pelacakan ke setiap transaksi melalui sistem, perbaikan
kesalahan, dan verifikasi output sistem.

Penjagaan Aset dan Pencatatan yang Memadai dalam
Aktivitas-aktivitas Pengendalian menurut COSO
Ketika orang berpikir tentang penjagaan aset, mereka sering kali berpikir tentang kas dan aset fisik,
seperti persediaan dan perlengkapan. Akan tetapi, di masa sekarang ini, salah satu aset terpenting
perusahaan adalah informasi. Oleh sebab itu, harus diambil langkah-¬langkah untuk menjaga baik
aset berupa informasi maupun fisik.
Prosedur-prosedur berikut ini menjaga aset pencurian, penggunaan tanpa otorisasi, dan vandalisme:
 Mensupervisi dan memisahkan tugas secara efektif.
 Memelihara catatan aset, termasuk informasi, secara akurat
 Membatasi akses secara fisik ke aset (mesin kas, lemari besi, kotak uang, dan akses terbatas ke
safe deposit box kas, sekuritas, dan aset dalam bentuk surat-surat berharga. Area penyimpanan
yang terlarang, dipergunakan untuk melindungi persediaan. Contohnya, lebih dari $1 juta
dicuri dari Perini Corp. karena pengendalian yang buruk. Cek-cek kosong disimpan dalam
ruang penyimpanan yang tidak dikunci. Pegawai hanya perlu mengambil cek, membuat
pembayaran untuk vendor fiktif, dan memasukkannya ke dalam mesin penandatangan cek
yang juga tidak diletakkan dalam ruangan terkunci, kemudian menguangkan cek tersebut).
 Melindungi catatan dan dokumen (area penyimpanan tahan api, kabinet file yang terkunci, dan
lokasi pendukung di luar kantor, merupakan cara yang efektif untuk melindungi catatan dan
dokumen. Akses ke cek kosong serta dokumen harus dibatasi hanya untuk personil yang
memiliki otorisasi. Di Inglewood, Kalifornia, seorang pembersih kantor dituntut karena
mencuri 34 cek kosong ketika membersihkan kantor bagian keuangan kota. Dia memalsukan
tanda tangan para pejabat kota di cek-cek tersebut, dan menguangkannya dalam jumlah yang
berkisar antara $50.000 hingga $470.000).
 Mengendalikan lingkungan (Perlengkapan komputer yang sensitif harus diletakkan dalam
ruangan yang memiliki alat pendingin dan perlindungan dari api, yang memadai. Ruangan
tersebut harus ditinggikan dan diperkuat untuk menghindari banjir dan kejatuhan benda
lainnya).
 Pembatasan akses ke ruang komputer, file komputer, dan informasi
Pemeriksaan Independen atas Kinerja dalam Aktivitas-
aktivitas Pengendalian menurut COSO

Pemeriksaan internal untuk memastikan bahwa seluruh transaksi diproses secara akurat adalah
elemen pengendalian lainnya yang penting.
Pemeriksaan ini harus independen, karena pemeriksaan umumnya akan lebih efektif apabila
dilaksanakan oleh orang lain yang tidak bertanggung jawab atas jalannya operasi yang diperiksa.
Berbagai jenis pemeriksaan independen diuraikan dibawah ini:
 Rekonsiliasi dua rangkaian catatan yang dipelihara secara terpisah
 Perbandingan jumlah aktual dengan yang dicatat
 Pembukuan berpasangan
 Jumlah total batch
 Peninjauan Independen
Rekonsiliasi dua rangkaian catatan yang dipelihara
secara terpisah dalam Pemeriksaan Independen atas
Kinerja
Salah satu cara untuk memeriksa keakuratan dan kelengkapan catatan adalah rnerekonsiliasi catatan
tersebut dengan catatan lainnya yang seharusnya memiliki saldo yang sama.
Contohnya, rekonsiliasi bank memverifikasi bahwa akun
pemeriksa telah sesuai dengan laporan bank. Contoh Iainnya adalah membandingkan jumlah total
dalam buku pembantu piutang usaha dengan total akun piutang usaha dalam buku besar.

Perbandingan jumlah aktual dengan yang dicatat
dalam Pemeriksaan Independen atas Kinerja
Kas dalam laci mesin kas pada akhir pergantian staf administrasi, harus sama jumlahnya dengan
jumlah yang dicatat dalam pita mesin kas.
Seluruh persediaan harus dihitung paling tidak per
tahun, dan hasilnya dibandingkan dengan catatan persediaan. Barang-barang yang berharga, seperti
perhiasan atau pakaian bulu binatang, harus lebih sering dihitung.
Pembukuan berpasangan dalam Pemeriksaan
Independen atas Kinerja
Pepatah yang menyatakan bahwa debit harus sama dengan
kredit memberikan kesempatan besar untuk pemeriksaan internal.

Contobnya, debit dalam akun penggajian mungkin dialokasikan ke berbagai persediaan dan/atau
akun beban, oieh dcpartemen akuntansi biaya. Kredit dialokasikan kebeberapa akun kewajiban untuk
utang upah dan gaji.
Sebagai kesimpulan dari kedua operasi yang
kompleks ini, perbandingan jumlah total debit dengan jumlah total kredit merupakan pemeriksaan
yang memadai atas keakuratan kedua proses tersebut. Perbedaan selisih apa pun menunjukkan
adanya satu atau lebih kesalahan.
Jumlah total batch dalam Pemeriksaan Independen
atas Kinerja
Di dalam aplikasi pemrosesan secara batch,
dokumen sumber digabungkan dalam kelompok dan jumlah total batch (yang juga disebut sebagai
jumlah total kontrol), dan secara manual dihitung sebelum data sumber dimasukkan ke dalam sistem.
Sementara data diproses, jumlah total kontrol harus dihasilkan dalam tiap langkah pemrosesan.
Seorang pegawai yang tidak terlibat untuk mempersiapkan jumlah total batch asli tersebut, harus
membandingkan kedua jumlah total batch.
Apabila tidak dilakukan, seseorang yang menghasilkan jumlah total asli dan merekonsiliasi dua
rangkaian jumlah total tersebut, dapat dengan mudah menyembunyikan kesalahan atau transaksi
yang curang. Selisih antara kedua jumlah total batch menunjukkan kesalahan dalam langkah
pemrosesan sebelumnya.

Contohnya meliputi catatan yang hilang, catatan yang tidak diotorisasi ditambahkan ke dalam batch,
atau kesalahan transkripsi atau pemrosesan data.
Sebab keberadaan selisih harus diidentifikasi, dan kesalahan harus diperbaiki sebelum transaksi
diproses lebih jauh. Membatasi ukuran Eatch (seperti 50 catatan saja) akan mengurangi waktu yang
dibutuhkan untmk menemukan penyebab setiap selisih tersebut.
Terdapat lima jumlah total batch yang dipergunakan dalam sistem komputer, yaitu:
1. Jumlah total keuangan (financial total) adalah jumlah dalam field nilai uang, seperti jumlah
total penjualan atau penerimaan tunai.
2. Jumlah total lain-lain (hash total) adalah jumlah field yang biasanya tidak ditambahkan, seperti
jumlah nomor rekening pelanggan atau nomor identifikasi pegawai.
3. Jumlah catatan (record count) adalah jumlah dokumen yang diproses.
4. Jumlah baris (line record) adalah jumlah baris data yang dimasukkan. Contohnya, jumlah baris
adalah lima apabila pesanan penjualan memperlihatkan penjualan lima produk berbeda ke
seorang pelanggan.
5. Uji kesesuaian baris dan kolom (cross footing balance test). Banyak lembar kerja yang
memiliki jumlah total baris dan kolom. Uji ini akan membandingkan jumlah total dari setiap
jumlah dalam baris, dengan jurnlah total dari setiap jumlah dalam kolom, untuk memeriksa
apakah jumlah mereka sama.
Ilustrasi Penggunaan Jumlah Total batch

Usaha rumahan milik Sarah Robinson di Springville, Utah, akan dipergunakan untuk
mengilustrasikan penggunaan jurnlah total batch dalam rangka mencegah kesalahan pencatatan dan
akuntansi.
1. Ketika Sarah menerima cek lewat surat, dia mempersiapkan daftar ta nda terima yang
memperlihatkan nama pelanggan dan jumlah yang diterima, menghitung jumlah total batch
(jumlah total uang dari seluruh cek), menuliskannya ke dalam daftar tanda terima, dan
mempersiapkan slip penyimpanan.
2. Setelah dia menyimpan cek-cek tersebut, Sarah membandingkan kopi slip penyimpanan yang
telah divalidasi bank, dengan jumlah total batch miliknya dalam daftar tanda terima.
3. Berdasarkan kopi dari daftar tanda terima Sarah, akuntan yang disewa Sarah akan
memasukkan kredit ke rekening pelanggan terkait, dan memperbarui setiap saldo rekening
pelanggan. Akuntan tersebut menghitung jumlah total saldo dalam file piutang usaha,
menetapkan perbedaan antara jumlah total yang lama dan baru dalam file, serta memverifikasi
bahwa perbedaan tersebut sesuai dengan jumlah total batch Sarah. Perbandingan ini berlaku
sebagai pemeriksaan independen atas keakuratan memasukkan tanda terima ke dalam rekening
pelanggan.
4. Akuntan Sarah kemudian mempersiapkan ikhtisar ayat jurnal dan mema¬sukkannya ke buku
besar, serta sekali lagi memverifikasi bahwa jumlah entri sama dengan jumlah total batch
Sarah.
Keakuratan setiap langkah pemrosesan dapat dideteksi
dengan Jumlah Total Batch.
Jumlah total batch menyediakan pemeriksaan independen atas keakuratan setiap langkah
pemrosesan. Apabila sebuah selisih ditemukan, perbedaan antara jumlah total batch sering kali
memberikan petunjuk tentang letak terjadinya kesalahan.
Contohnya, apabila perbedaan tersebut sama dengan jumlah suatu transaksi, maka transaksi tersebut
mungkin yang terlewat. Apabila perbedaan tersebut jumlahnya kelipatan dari jumlah suatu transaksi,

maka transaksi tersebut telah salah didebit, sementara seharusnya dikredit (ditambahkan, bukan
dikurangi).
Apabila selisih melibatkan angka
bukan nol, mungkin terdapat kesalahan transkripsi (transcription error), yang memasukkan sebuah
angka dengan tidak benar, dalam suatu langkah pemrosesan (contoh memasukkan angka 94 sebagai
ganti 54, menyebabkan kesalahan sebesar 50). Apabila selisih tersebut dapat dibagi dengan angka 9,
maka penyebabnya adalah kesalahan perubahan (transposition change), yaitu dua angka yang terletak
berdekatan tertukar (contoh 46 sebagai ganti 64).
Contoh Kesalahan yang dapat timbul tanpa Jumlah
Total Batch
Kesalahan yang sederhana dapat memiliki dampak keuangan yang besar.
Contohnya, kesalahan perubahan hampir
membebani U.S. Treasury sebesar $14 juta. Seorang staf administrasi di Federal Reserve Bank of

Philadelphia mengubah dua angka ketika menghitung bunga obligasi pemerintah berjangka waktu 5
tahun, yang baru diterbitkan. Operator komputer salah memasukkan tingkat bunga menjadi sebesar
8,67 persen, bukan 6,87 persen.
Untungnya, seorang investor mendeteksi kesalahan tersebut ketika dia menerima surat
pemberitahuan jumlah yang dibayar. Pihak bank kemudian dapat memperbaiki kesalahan sebelum
cek dikeluarkan dan dikirim.
Bank tersebut segera mengimplementasikan prosedur pengendalian baru untuk memastikan bahwa
masalah tersebut tidak akan terjadi lagi.
Peninjauan Independen dalam Pemeriksaan
Independen atas Kinerja
Setelah seseorang memproses sebuah transaksi, orang kedua kadang kala meninjau pekerjaan orang
pertama. Orang kedua memeriksa keberadaan tanda tangan otorisasi yang memadai, meninjau
dokumen pendukung, dan memeriksa keakuratan bagian data yang penting, seperti harga, jumlah,
dan pemberian kredit.
Penilaian Resiko menurut COSO
Komponen ketiga dari model pengendalian internal COSO adalah penilaian risiko. Akuntan
memainkan peran yang penting dalam membantu manajemen mengontrol bisnis dengan mendesain
sistem pengendalian yang efektif, dan mengevaluasi sistem yang ada untuk memastikan bahwa
sistem tersebut berjalan dengan efektif.
Akuntan dapat mengevaluasi sistem pengendalian internal dengan menggunakan strategi manajemen
risiko yang ditampilkan pada Gambar dibawah ini.

Langkah-langkah utama dari strategi tersebut adalah sebagai berikut:
 Identifikasi Ancaman
 Perkirakan Risiko
 Perkirakan Pajanan/dampak (Exposure)
 Identifikasi Pengendalian
 Perkirakan Biaya dan Manfaat
 Menetapkan Efektivitas Biaya-Manfaat (Cost-Benefit Effectiveness)
Identifikasi Ancaman dalam Penilaian Resiko menurut
COSO
Identifikasi Ancaman
Perusahaan rnenghadapi jenis-jenis ancaman berikut ini:
 Strategis (contoh: melakukan hal yang salah)
 Operasional (contoh: melakukan hal yang benar, tetapi dengan cara yang salah)
 Keuangan (contoh: adanya kerugian sumber daya keuangan, pemborosan, pencurian atau
pembuatan kewajiban yang tidak tepat)
 Informasi (contoh: menerima informasi yang salah atau tidak relevan, sistem yang tidak andal,
dan laporan yang tidak benar atau menyesatkan)
Contohnya, banyak organisasi yang menerapkan
sistem pertukaran data elektronik (electronic data interchange-EDI) yang menyediakan komunikasi
instan dan tidak menggunakan dokumen kertas. Sistem EDI membuat mereka dapat menciptakan
dokumen clektronik, mentransfernya melalui jaringan kerja internal atau melalui Internet, ke
komputer pelanggan atau pemasok mereka, dan sebaliknya juga menerima respons elektronik.
Perusahaan yang menerapkan sistem EDI barus mengidentifikasi ancaman-ancaman yang akan
dihadapi olch sistem tersebut, yaitu:
1. Pemilihan teknologi yang tidak sesuai. Perusahaan mungkin pindah ke EDI sebelum
pelanggan dan pemasok mereka siap. Perusahaan juga dapat memilih untuk menggunakan EDI
ketika ada sarana komunikasi yang lebih efektif dengan pelanggan dan pemasok secara
elektronik.

2. Akses sistem yang tidak diotorisasi. Hackers (perusak program komputer) dapat menerobos
sistem dan mencuri data atau menyabot sistem.
3. Penyadapan transmisi data. Hacker dapat menyadap transmisi data dan mengkopi transmisi,
mengacaukannya, atau menghalanginya untuk sampai ke tempat tujuan.
4. Hilangnya integritas data. Kesalahan mungkin masuk ke data karena kesalahan yang
ditimbulkan oleh software atau pegawai, masukan yang salah, transmisi yang gagal, dan lain-
lain.
5. Transaksi yang tidak lengkap. Komputer penerima mungkin tidak menerima paket data yang
lengkap dari komputer pengirim.
6. Kegagalan sistem. Masalah software dan hardware, pemadaman listrik, sabotase, kesalahan
pegawai, atau faktor-faktor lainnya, dapat menyebabkan sistem EDI gagal atau tidak dapat
diakses pada waktu tertentu.
7. Sistem yang tidak kompatibel. Beberapa perusahaan dapat mengalami kesulitan berinteraksi
dengan sistem yang lain karena sistem komputer yang tidak kompatibel.
Perkirakan Resiko dalam Penilaian Resiko menurut
COSO
Perkirakan Risiko.
Beberapa ancaman menunjukkan risiko yang lebih
besar karena probabilitas kemunculannya lebih besar.
Misalnya: perusahaan lebih mungkin menjadi korban penipuan komputer daripada serangan teroris,
dan pegawai lebih mungkin melakukan kesalahan yang tidak disengaja daripada melakukan tindakan
penipuan secara sengaja.
Perkirakan Pajanan/dampak (Exposure) dalam
Penilaian Resiko menurut COSO

Perkirakan Pajanan/dampak (Exposure).
Risiko gempa bumi mungkin kecil, tetapi
pajanan/dampaknya dapat sangat besar; gempa dapat menghancurkan perusahaan dan menyebabkan
kebangkrutan.
Pajanan/dampak dari penipuan biasanya tidak
sebesar itu, karena kebanyakan penipuan tidak mengancam keberadaan perusahaan. Pajanan/dampak
dari kesalahan yang tidak disengaja memiliki jangkauan pengaruh yang luas, tergantung bentuk
kesalahan dan berapa lama terjadinya.
Risiko dan pajanan/dampak harus diperhitungkan bersama-sama, karena apabila salah satu
meningkat, maka baik materialitas ancaman maupun kebutuhan untuk melindunginya, akan
meningkat.
Identifikasi Pengendalian dalam Penilaian Resiko
menurut COSO
Identifikasi Pengendalian.
Manajemen harus mengidentifikasi salah satu atau beberapa pengendalian yang akan melindungi
perusahaan dari setiap ancaman.

Dalam mengevaluasi keuntungan prosedur
pengendalian internal tertentu, manajemen perlu mempertimbangkan keefektifan dan waktunya.
Apabila semua faktor yang lainnya sama, maka pengendalian untuk pencegahan akan lebih baik
daripada pengendalian untuk pemeriksaan. Akan tetapi, apabila pengendalian untuk pencegahan
gagal, maka pengendalian untuk pemeriksaan penting untuk menemukan masalah, da n pengendalian
korektif membantu mengatasi masalah tersebut.
Jadi, pengendalian untuk pencegahan, untuk
pemeriksaan, dan korektif saling melengkapi, dan sistem pengendalian internal yang baik perlu
menggunakan ketiga-tiganya.
http://darmansyah.weblog.esaunggul.ac.id/category/sistem-informasi-akuntansi/pengendalian-dan-
sistem-informasi-akuntansi/

Pengendalian dan sistem informasi akuntansi

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Pengendalian dan sistem informasi akuntansi

Similar to Pengendalian dan sistem informasi akuntansi (20)

More from ADE NURZEN

More from ADE NURZEN (18)

Recently uploaded

Recently uploaded (20)

Pengendalian dan sistem informasi akuntansi