ISSN # 2540-8275 89 AKUNTABILITAS DALAM AKTIVITAS MONITORING PENGENDALIAN INTERN
SISTEM INFORMASI
Gery Raphael Lusanjaya Program Studi Akuntansi Universitas Katolik Parahyangan Jalan Ciumbuleuit No.94, Bandung.
email: gery.raphael@unpar.ac.id
ABSTRACT
Accountabilty and monitoring are required to achieve effective information system governance.
Accountability refer to people’s ability that cannot be transfer to others, involving leadership, transparency, and responsibility to execute decision making those impact should be accountable to the stakeholders. Monitoring intend to make assesment of the quality of organization’s internal control in order to ensure the achievement of organization’s goals.
Weak accountability and monitoring often causing failure to the achievement of organization’s goals, therefore many people be more concern about these two matters. This article try to give guideline about who are the right persons to carry accountability in internal control’s monitoring activity related to organization’s information system implementation.
Keywords: governance, monitoring, information system, internal control, CobIT, ITIL, Risk Management.
ABSTRAK
Penyelenggaraan tata kelola sistem informasi yang efektif memerlukan adanya akuntabilitas dan juga monitoring. Akuntabilitas merujuk pada kemampuan seseorang yang tidak dapat dibagikan kepada orang lain, yang memerlukan adanya hierarki kepemimpinan yang didalamnya juga termasuk transparansi dan tanggung jawab dalam melakukan aktivitas atau pengambilan keputusan tertentu yang dampaknya harus dapat dipertanggungjawabkan kepada pihak-pihak yang memiliki kepentingan. Monitoring bertujuan untuk melakukan penilaian atas kualitas pengendalian intern yang diterapkan oleh suatu organisasi untuk memastikan tercapainya tujuan- tujuan yang hendak dicapai oleh suatu organisasi.
Lemahnya akuntabilitas dan monitoring sering dijadikan sebab terjadinya kegagalan yang dialami oleh organisasi. Hal ini membuat banyak pihak semakin menaruh perhatian lebih atas kedua aspek tersebut. Tulisan ini mencoba memberikan panduan dalam penentuan pihak-pihak yang tepat untuk mengemban akuntabilitas dalam aktivitas monitoring pengendalian intern terkait penerapan sistem dan teknologi informasi dalam suatu organisasi.
Kata Kunci: Tata Kelola, Akuntabilitas, Monitoring, Sistem Informasi, Pengendalian Intern, CobIT, ITIL, Manajemen risiko.
Pendahuluan
Monitoring merupakan salah satu komponen penting dalam aktivitas tata kelola sistem informasi. Monitoring merupakan suatu proses yang dilakukan untuk menilai kualitas kinerja sistem dari secara terus menerus. Monitoring dilakukan untuk memberi keyakinan bahwa pengendalian telah dirumuskan dan terus berjalan sesuai pada jalurnya. Informasi yang dihasilkan dari aktivitas monitoring digunakan untuk menentukan apakah komponen-komponen dalam
ISSN # 2540-8275 90 pengendalian intern terus beroperasi secara efektif, serta untuk melihat apakah kelemahan yang ada dalam pengendalian intern telah di komunikasi dalam waktu yang tepat kepada bagian yang sesuai, sehingga tindakan korektif dapat dilakukan untuk mengatasi kelemahan tersebut.
Pencapaian tujuan aktivitas monitoring memerlukan adanya akuntabilitas. Definisi bebas dari akuntabilitas adalah suatu proses penetapan kesalahan dan pemberian hukuman atas tindakan yang salah. Bila dipandang secara positif, akuntabilitas juga memiliki makna pengakuan atas pencapaian dan pemberian pedoman dan arahan pengelolaan (stewardship). [ISACA, 2005].
Dalam daftar istilah yang diterbitkan oleh ISACA, arti dari akuntabilitas adalah kemampuan untuk menyerahkan kembali suatu aktivitas kepada pihak yang bertanggung jawab.
Peran Monitoring Dalam Tata Kelola Sistem Informasi
Salah satu persyaratan bagi perusahaan untuk memperdagangkan sahamnya di bursa saham New York (New York Stock Exchange) adalah mematuhi persyaratan yang ada dalam Sarbanes Oxley Act (SOX). SOX mengharuskan setiap perusahaan untuk menerapkan pengendalian intern yang efektif dalam aktivitasnya. Pengendalian intern bertujuan untuk memberikan keyakinan yang memadai atas pencapaian tujuan perusahaan yang terdiri dari:
a. Efektivitas dan efisiensi operasi perusahaan.
b. Reliabilitas pelaporan keuangan.
c. Kesesuaian dengan hukum dan aturan yang berlaku.
Audit intern maupun ekstern dilakukan untuk memberikan laporan bagi para stakeholder tentang kondisi suatu organisasi dengan disertai bukti-bukti yang memadai. Laporan audit juga dapat dijadikan dasar untuk penilaian kualitas pengendalian intern organisasi. Akan tetapi penilaian atas efektivitas pengendalian perlu dilakukan setiap saat, tidak cukup dengan hanya mengandalkan laporan audit. Audit hanya memberikan laporan tentang tingkat efektivitas pengendalian intern pada titik waktu tertentu. Dengan meningkatnya perhatian manajer senior dan dewan direksi atas pengendalian intern, menambah arti penting dari monitoring dalam organisasi.
Banyak kerangka kerja yang memasukkan konsep monitoring sebagai salah satu komponennya, diantaranya adalah COSO Enterprise Risk Management – Integrated Framework, COBIT 4.1, dan ITIL v3. Monitoring merupakan komponen ketujuh dalam COSO ERM, dan merupakan domain ke-empat dalam COBIT. ITIL v3 memang tidak menyebutkan monitoring secara langsung dalam komponennya, akan tetapi konsep monitoring terdapat dalam konten library ITIL, misalnya pada Service Operation (SO), dan Continual Service Improvement (CSI).
Monitoring dalam Pengendalian Intern
Dalam COSO Internal Control over Financial Reporting – Guidance for Smaller Public Companies yang dipublikasi pada tahun 2006, menyediakan 20 (dua puluh) prinsip dasar yang merupakan representasi fundamental concepts yang menyertai, dan diperoleh langsung dari lima komponen dalam kerangka kerja pengendalian intern. Prinsip yang berkaitan dengan komponen monitoring adalah:
1. Principle 19: “Ongoing and/or separate evaluations enable management to determine whether the other components of internal control over financial reporting continue to function over time.”
2. Principle 20: “Internal control weakness are identified and communicated in a timely manner to those parties responsible for taking corrective action and to management and the board as appropriate.”
Kedua prinsip di atas merupakan prasyarat monitoring yang efektif. Monitoring disebut efektif apabila mengarah pada identifikasi dan koreksi terhadap kelemahan sistem yang ada sebelum kelemahan tersebut secara material memberi pengaruh pada pencapaian tujuan-tujuan organisasi. Atribut dari monitoring yang efektif beserta komunikasinya meliputi hal-hal berikut ini:
a) Terintegrasi dalam kegiatan operasi.
b) Menyediakan penilaian atas tujuan yang ingin dicapai.
c) Menggunakan pekerja yang kompeten.
ISSN # 2540-8275 91 d) Mempertimbangkan umpan balik.
e) Sesuai dengan ruang lingkup dan frekuensi.
f) Melaporkan semua temuan yang ada.
g) Adanya pelaporan kelemahan.
h) Perbaikan terhadap masalah yang ditemukan.
Effective monitoring dapat dicapai dengan cara menetapkan lingkungan pengendalian yang efektif yang meliputi adanya perhatian dari manajemen puncak mengenai pentingnya monitoring, adanya struktur organisasi yang efektif dengan menempatkan personel yang memiliki kemampuan dan kewenangan untuk berperan sebagai pemantau (evaluator). Langkah kedua untuk mencapai effective monitoring adalah dengan memprioritaskan prosedur terkait monitoring berdasar pada tingkat kepentingan pengendalian untuk mengelola dan mengurangi risiko. Terakhir, hasil dari monitoring, yang meliputi kelemahan pengendalian, dapat disampaikan kepada orang yang tepat dan waktu yang tepat, untuk kemudian dapat memberikan rekomendasi untuk melakukan tindakan perbaikan.
Monitoring membutuhkan adanya persuasive information untuk mendukung kesimpulan mengenai efektivitas pengendalian atas lima komponen pengendalian intern. Persuasive information mengacu pada tingkat dimana informasi dapat menyediakan dukungan yang memadai dalam pembuatan kesimpulan mengenai efektivitas pengendalian. Persuasive information meliputi keserasian (suitability) dan kecukupan (sufficiency). Suitability merupakan ukuran kualitas informasi dalam konteks bagaimana informasi digunakan tanpa melihat kuantitasnya.
Suatu informasi dapat dikata suitable apabila informasi tersebut dapat diandalkan, relevan, dan tepat waktu. Sedangkan sufficiency adalah ukuran terhadap kuantitas informasi yang diperlukan evaluator dalam proses pengambilan keputusan atas efektivitas monitoring pengendalian intern.
Monitoring dalam COBIT 4.1
Monitoring adalah salah satu domain dalam kerangka kerja COBIT, domain tersebut disebut domain Monitor and Evaluate (ME). Domain ME terbagi kembali ke dalam empat buah proses dan dua puluh lima control objectives. Hubungan antara domain ME dengan tiga domain COBIT yang lain dapat dilihat pada Gambar 1.
Keseluruhan sistem informasi berbasis komputer perlu secara reguler dilakukan penilaian atas kualitasnya dan pemenuhan akan kebutuhan pengendalian. Domain ME dapat menjawab pertanyaan-pertanyaan seperti berikut ini:
a. Apakah pengukuran kinerja sistem informasi berbasis komputer dapat mendeteksi masalah sebelum terlambat?
b. Apakah manajemen yakin bahwa pengendalian intern telah beroperasi secara efektif dan efisien?
c. Apakah kinerja sistem informasi dapat dihubungkan kembali dengan tujuan organisasi?
d. Apakah terdapat cukup pengendalian atas kerahasiaan, integritas dan ketersediaan yang merupakan elemen keamanan informasi?
ISSN # 2540-8275 92 Gambar 1 – Hubungan antar domain COBIT
Sumber: IT Governance Institute (2007:12)
Domain Monitoring and Evaluate dipisahkan kedalam empat buah proses dan 25 (dua puluh lima) control objectives seperti ditunjukkan dalam Tabel 1.
Kebutuhan dasar organisasi adalah untuk mengerti akan status dari sistem informasi yang dimiliki dan menentukan bentuk pengendalian yang harus dirancang untuk mengelolanya.
Organisasi perlu memperoleh informasi mengenai kondisi saat ini, kelemahan yang ada, serta menetapkan perangkat kerja untuk memantau perbaikan yang dihasilkan. Salah satu perangkat yang disediakan COBIT adalah dengan adanya penilaian model kematangan (maturity level).
TABEL 1. Proses dan Control Objectives Domain ME ME1. Monitor and Evaluate IT Performance ME1.1 Monitoring approach
ME1.2 Definition and collection of monitoring data
ME1.3 Monitoring method ME1.4 Performance assessment ME1.5 Board and executive reporting ME1.6 Remedial actions
ME2. Monitoring and Evaluate Internal Control ME2.1 Monitoring of internal control framework ME2.2 Supervisory review
ME2.3 Control exceptions ME2.4 Control self-assessment ME2.5 Assurance of internal control ME2.6 Internal control at third parties ME2.7 Remedial actions
ME3. Ensure Compliance With External Requirement
ME3.1 Identification of external legal, regulatory and
contractual compliance requirement ME3.2 Optimization of response to external
requirement
ME3.3 Evaluation of compliance with external requirement
ME3.4 Positive assurance of compliance ME3.5 Integrated reporting
ME4. Provide IT Governance
ISSN # 2540-8275 93 ME4.1
ME4.2
Establishment of an IT governance framework Strategic alignment
ME4.3 Value delivery ME4.4
ME4.5
Resource management Risk management
ME4.6 Performance management ME4.7 Independent assurance
Apa itu akuntabilitas
Skandal kecurangan akuntansi yang dilakukan oleh Enron dan WorldCom di awal milenium terjadi dikarenakan lemahnya pengendalian intern pada masa tersebut. Skandal tersebut menjadi sangat besar dikarenakan pelaku kecurangan adalah para pemegang tampuk pimpinan.
Skandal inilah yang melatarbelakangi terciptanya Sarbanes Oxley Act (2002) yang mengharuskan adanya jaminan atas efektivitas pengendalian intern bagi para perusahaan terbuka. Merujuk pada definisi akuntabilitas menurut AccountAbility Principle Standard, Enron tidak mengindahkan transparansi dan bahkan dengan sengaja melakukan tindak kecurangan yang berdampak besar.
Bisa dikatakan (para pimpinan) Enron tidak memiliki akuntabilitas dalam menyelenggarakan kegiatan operasi perusahaannya. Terkait dengan kasus kebangkrutan yang dialami Lehman Brothers, Fred G. Steingraber dan Karen Kane beropini bahwa yang bersalah dalam kasus ini adalah para anggota dewan direksi perusahaan [Fred G. Steingraber dan Karen Kane, 2010].
Apakah ini juga disebabkan kurangnya akuntabilitas?
Akuntabilitas sangat diperlukan demi terciptanya tatakelola yang baik, namun dalam praktiknya konsep akuntabilitas lebih banyak diucapkan daripada dilakukan [Neal Lipschutz, 2010]. Hal ini mungkin disebabkan oleh karena definisi dari akuntabilitas yang abstrak dan sulit untuk benar-benar dipahami. Akuntabilitas biasanya melibatkan adanya superioritas atau hieraki kepemimpinan. Para dewan direksi, dan manajer senior merupakan pihak yang seharusnya memiliki akuntabilitas dalam memimpin suatu organisasi. Mereka merupakan pemegang tampuk kepemimpinan yang seharusnya memiliki kepemimpinan yang baik, dapat memberikan arahan, dan menjadi sosok panutan bagi anggota organisasi lainnya. Akuntabilitas menjadi bagian dari adanya arahan dari atasan (tone from the top) yang merupakan faktor penting dalam tata kelola organisasi [Bruinsma, 2009].
Istilah akuntabilitas (accountability) sering disalah artikan dengan menyamakannya dengan tanggung jawab (responsibility). Akuntabilitas memiliki makna yang lebih luas daripada tanggung jawab. Perbedaan utama antara akuntabilitas dan tanggung jawab adalah bahwa akuntabilitas tidak bisa dibagi (shared), sedangkan tanggung jawab bisa dibagikan. Tanggung jawab berfokus pada sebagian besar elemen suatu pekerjaan sampai pada penyelesaian atau pengambilan keputusan, sedangkan akuntabilitas berfokus lebih pada elemen-elemen pekerjaan setelah diselesaikan atau setelah pengambilan keputusan. Definisi menurut AccountAbility Principle Standard adalah pengakuan, transparansi, dan tanggung jawab terhadap dampak dari kebijakan, keputusan, tindakan, hasil, dan kinerja yang berkaitan dengannya. Definisi akuntabilitas yang terdapat pada ITIL dalam penjelasannya mengenai akronim RACI indeks menyebutkan bahwa akuntabilitas hanya bisa dibebankan pada satu orang dalam tiap aktivitas. Daftar kosakata yang diterbitkan oleh ISACA (organisasi yang mengeluarkan kerangka kerja COBIT, Val IT dan Risk IT) mendefinisi akuntabilitas sebagai kemampuan untuk menyerahkan kembali suatu aktivitas kepada pihak yang bertanggung jawab. Kerangka kerja Risk IT secara spesifik menyebutkan bahwa akuntabilitas berlaku kepada mereka yang memiliki sumber daya dan otoritas untuk menyetujui pelaksanaan suatu aktivitas dalam proses tertentu, serta menerima segala hasil dan dampak dari aktivitas tersebut. Konsep akuntabilitas yang tercantum dalam COSO Internal
ISSN # 2540-8275 94 Control – Integrated Framework menyebutkan bahwa akuntabilias perlu diselaraskan dengan otoritas. Hal ini kemudian tercermin dalam delegasi kewenangan yang bermaksud memberikan kendali atas keputusan bisnis tertentu kepada tingkat kekuasaan yang lebih rendah, namun akuntabilitas tetap dipegang oleh pihak yang memberikan kekuasaan tersebut.
Berdasarkan uraian diatas, dapat disimpulkan bahwa akuntabilitas adalah suatu kemampuan seseorang yang tidak dapat dibagikan kepada orang lain, merujuk pada adanya hierarki kepemimpinan yang didalamnya juga termasuk transparansi dan tanggung jawab dalam melakukan aktivitas atau pengambilan keputusan tertentu yang dampaknya harus dapat dipertanggungjawabkan kepada pihak-pihak yang memiliki kepentingan.
Akuntabilitas dalam Monitoring Pengendalian Intern Terkait Sistem Informasi
Penerapan sistem dan teknologi informasi saat ini bukan hanya sekedar penjadi pendukung jalannya aktivitas operasi, namun juga telah mampu menghadirkan keunggulan bersaing yang semakin memberikan nilai tambah bagi organisasi. Karenanya diperlukan suatu bentuk pengendalian intern yang sesuai dengan karakteristik sistem dan teknologi informasi untuk dapat memastikan implementasinya dapat mendukung pencapaian tujuan yang hendak dicapai organisasi. Pengendalian sistem informasi biasanya meliputi IT environments, akses kedalam sistem, program dan data, operasi komputer, dan manajemen perubahan. Tata kelola sistem informasi merupakan bagian penting dan memiliki kontribusi besar bagi keseluruhan tata kelola organisasi.
Sarbanes Oxley Act memiliki fokus utama pada aspek finansial dan bertujuan untuk menghasilkan informasi yang akurat, handal, dan memiliki akuntabilitas dalam menyajikan penyingkapan (disclosure) atas kondisi suatu organisasi. Hal ini memiliki dampak yang cukup besar bagi penerapan sistem informasi. Seperti yang sudah dituliskan sebelumnya bahwa sebagian besar proses bisnis saat ini didukung oleh sistem dan teknologi informasi. Data finansial juga tersimpan dalam server, karenanya dibutuhkan pengamanan dan dokumentasi yang memadai untuk memastikan integritas data tersebut. Suatu organisasi perlu memiliki sistem yang handal dan disertai juga dengan detil rekam jejak audit terkait mekanisme pengendalian dan pembatasan hak akses terhadap infrastruktur yang mendukung pemrosesan data finansial. Mekanisme pengendalian tersebut terkait dengan konsep berikut ini:
a. Existence and Occurrence – Pengendalian yang ada harus mampu mengatasi kemungkinan terjadinya duplikasi atau transaksi fiksi dalam setiap tahapan pemrosesan transaksi.
b. Measurement – Perlu adanya kriteria pengukuran yang dapat disesuaikan dengan kebutuhan dan relevansi dari pelaporan finansial.
Tindakan penting selanjutnya yang perlu dilakukan adalah adanya mekanisme monitoring yang dilakukan untuk memastikan pengendalian intern tersebut dapat terus dijalankan dan beroperasi sesuai dengan tujuannya. Langkah-langkah yang dapat dilakukan untuk melakukan monitoring pengendalian intern IT adalah sebagai berikut:
1. Membuat daftar prioritas risiko.
2. Identifikasi informasi dan kendali kunci.
3. Implementasi monitoring.
Selengkap dan seakurat apapun hasil dari monitoring akan menjadi percuma jika tidak ada pihak yang memiliki otoritas untuk membuat keputusan dan melakukan tindakan perbaikan dari kelemahan yang ditemukan. Pihak tersebut haruslah memiliki akuntabilitas dalam segala tindakan dan dampak dari tindakan serta keputusan yang diambilnya. Tulisan ini mencoba memberikan panduan mengenai pihak-pihak yang dianggap tepat untuk mengemban akuntabilitas dalam ketiga tahapan dalam monitoring pengendalian intern IT diatas.
Akuntabilitas dalam pembuatan daftar prioritas risiko
Dalam tahap ini, diperlukan adanya seorang memiliki pengalaman dan pengetahuan mumpuni terkait keseluruhan proses bisnis perusahaan yang juga ditunjang dengan pengetahuan
ISSN # 2540-8275 95 di bidang sistem dan teknologi informasi. Orang tersebut juga harus memiliki tingkat kewenangan yang cukup tinggi dalam organisasi, yang dapat membuat rencana strategis dan memiliki otoritas untuk mengambil keputusan. CIO (Chief Information Officer) merupakan orang yang tepat untuk mengemban akuntabilitas dalam pembuatan daftar prioritas risiko ini. Seorang CIO harus memahami setiap proses bisnis dalam organisasi dan peran sistem dan teknologi informasi yang berperan dalam proses tersebut. Ia juga harus memahami tujuan bisnis, risiko, serta kendali kunci terkait dengan proses bisnis tersebut.
Risiko harus dilihat dari sudut pandang pengaruhnya atas pencapaian tujuan bisnis organisasi. Daftar prioritas risiko perlu dibuat agar dapat dilakukan perencanaan penggunaan sumber daya yang diperlukan untuk mengelola risiko-risiko tersebut. Analisa biaya-manfaat dapat digunakan untuk membantu membuat daftar prioritas risiko ini. Risiko yang memiliki dampak besar atas pencapaian tujuan proses bisnis perlu untuk dikelola dan dikendalikan secara efektif.
Monitoring perlu dilakukan atas aktivitas pengendalian tersebut untuk memastikan risiko tersebut dapat dikelola dan tidak menimbulkan kerugian bagi organisasi.
CIO mengemban akuntabilitas terkait hasil penilaian risiko yang tersusun dalam daftar prioritas risiko. Ia bertugas untuk mengambil keputusan mengenai risiko apa yang harus dikendalikan dan dilakukan monitoring terhadapnya, dengan mempertimbangkan segala dampak yang dapat ditimbulkan dari keputusan tersebut. Dengan berdasar pada daftar inilah, langkah monitoring selanjutnya baru dapat dijalankan. Kesalahan dalam penentuan prioritas risiko menjadi tanggung jawab CIO.
Akuntabilitas dalam identifikasi informasi dan kendali kunci
Berdasarkan daftar prioritas risiko yang dihasilkan pada tahap sebelumnya, maka organisasi perlu mengumpulkan informasi kunci yang terkait dengan mekanisme pengendalian yang hendak dilakukan monitoring. Monitoring yang efektif sebaiknya berfokus pada kendali- kendali kunci (key control) tersebut. Monitoring membutuhkan persuasive information.
Persuasive information mengacu pada tingkat dimana informasi dapat menyediakan dukungan yang memadai dalam pembuatan kesimpulan mengenai efektivitas pengendalian. Persuasive information meliputi keserasian (suitability) dan kecukupan (sufficiency).
Persuasive information dapat dihasilkan secara langsung (direct information) maupun dari sumber informasi tidak langsung (indirect information). Direct information dihasilkan secara langsung oleh mekanisme pengendalian yang dilakukan, hasilnya dapat berupa catatan kegagagalan proses atau sistem, rekam jejak akses, laporan eksepsi, dan laporan kinerja pengendalian. Indirect information merupakan informasi yang berasal dari aktivitas diluar pengendalian yang dimonitor, namun dapat memberikan tambahan informasi yang berguna bagi aktivitas monitoring. Contoh dari indirect information ini adalah laporan audit dan laporan Key Performance Indicator. Laporan audit berisi informasi mengenai kondisi (biasanya audit berfokus pada aspek finansial) suatu organisasi pada satu titik waktu tertentu. Auditor wajib untuk memeriksa kualitas pengendalian intern (sebagai salah satu syarat yang tercantum dalam SOX), oleh karenanya laporan audit bisa membantu menilai kualitas aktivitas monitoring. Sedangkan KPI merupakan indikator yang digunakan untuk mengukur performansi suatu proses bisnis yang juga dapat memberikan manfaat bagi monitoring.
Owner dari suatu proses bisnis merupakan pihak yang tepat untuk mengemban akuntabilitas dalam tahap monitoring ini. Mereka memiliki pengetahuan yang lengkap mengenai apa dan bagaimana suatu aktivitas dikerjakan dalam proses bisnis yang menjadi tanggung jawabnya. Mereka memiliki akses atas segala informasi yang dibutuhkan dalam pelaksanaan aktivitas monitoring. Poin penting yang harus diperhatikan adalah tidak semua informasi yang tersedia dapat memberi manfaat. Pihak yang mengemban akuntabilitas harus mampu memilah- milah dan menentukan informasi kunci yang dapat berguna bagi monitoring yang efektif. Mereka harus mampu menyediakan persuasive information.
ISSN # 2540-8275 96 Akuntabilitas dalam implementasi monitoring
Personel yang bertanggung jawab dalam kegiatan monitoring biasa disebut evaluator.
Evaluator bisa mengacu pada seorang profesional terlatih yang terpisah dari kegiatan operasi (auditor internal), atau personel yang berasal dari dalam organisasi yang memiliki tugas sehari- hari untuk melakukan pemantauan atas proses bisnis dan atau pelaksanaan atas aktivitas pengendalian tertentu. Seorang evaluator memerlukan keahlian dan pengetahuan tertentu yang disertai dengan kewenangan dan juga pemahaman atas risiko yang hendak dikelola dengan adanya aktivitas pengendalian. Seorang evaluator harus memiliki kompetensi yang memadai dan objektif.
Kompetensi mengacu pada pengetahuan yang dimiliki evaluator mengenai pengendalian dan proses yang terkait. Tingkat objektivitas terdiri dari: self review, peer review, supervisory review, dan impartial review. Self review adalah evaluasi atas kinerja pribadi yang bersangkutan, merupakan tindakan yang kurang objektif dan tidak bisa disebut sebagai monitoring. Peer review dapat dikata cukup objektif karena evaluasi dilakukan oleh rekan sebaya yang melakukan pekerjaan yang serupa. Supervisory review adalah evaluasi atasan terhadap kinerja bawahannya.
Impartial review adalah tindakan yang paling objektif, tercipta bila evaluator tidak berhubungan dengan kegiatan operasi dan pengendalian yang dievaluasi.
Seorang evaluator harus memiliki akuntabilitas dalam aktivitas monitoring yang dilakukannya.
Evaluator harus mampu melakukan monitoring dengan objektif dan transparan. Pelaporan hasil monitoring yang dihasilkannya haruslah berkualitas, sehingga dapat digunakan untuk menilai efektivitas aktivitas pengendalian yang dimonitor.Ia juga harus mampu mempertanggung jawabkan segala aktivitasnya kepada CIO sebagai pihak yang mengemban akuntabilitas tertinggi dalam aktivitas monitoring ini.
Kesimpulan
Adanya skandal-skandal keuangan dan krisis global yang terjadi belakangan ini membuat para stakeholder organisasi membutuhkan jaminan yang lebih memadai akan tata kelola korporat yang baik, yang menjamin keberlangsungan hidup organisasinya. Seringkali faktor lemahnya akuntabilitas dalam penyelenggaraan organisasi menjadi kambing hitam atas kegagalan tersebut.
Memang, akuntabilitas adalah konsep yang abstrak dan memiliki banyak definisi yang membuatnya sukar untuk diimplementasi dengan efektif. Akuntabilitas melekat pada para personel dalam organisasi yang memiliki kewenangan untuk mengambil keputusan. Banyak kerangka kerja dan juga best practices yang membahas tentang efektivitas pengambilan keputusan, tapi belum ada yang khusus membahas tentang akuntabilitas.
Pentingnya monitoring juga terkena dampaknya. Monitoring semakin dianggap penting sebagai usaha untuk menilai kualitas pengendalian intern suatu organisasinya. Dengan adanya monitoring yang efektif dapat membantu organisasi untuk meningkatkan kualitas pengendalian internnya, sehingga mampu mengurangi peluang terjadinya praktik-praktik kecurangan yang dapat merugikan organisasi.
Terkait dengan tata kelola sistem informasi, baik akuntabilitas dan juga monitoring merupakan elemen penting yang diperlukan dalam penyelenggaraan tata kelola yang efektif.
Tulisan ini mencoba memberikan panduan dalam penentuan pihak-pihak yang tepat untuk mengemban akuntabilitas dalam aktivitas monitoring pengendalian intern terkait penerapan sistem dan teknologi informasi dalam suatu organisasi.
DAFTAR PUSTAKA
Bruinsma, Christine (2009), “Tone at the Top Is Vital! A Delphi Study”, ISACA Journal Volume 3, 2009.
Committee of Sponsoring Organization of the Treadway Commission, Internal Control – Integrated Framework, Mei 1994.
Committee of Sponsoring Organization of the Treadway Commission, Guidance on Monitoring Internal Control System Vol II – Guidance, Juni 2008a.
ISSN # 2540-8275 97 Committee of Sponsoring Organization of the Treadway Commission, Guidance on Monitoring
Internal Control System Vol III – Application Techniques, Juni 2008b.
ECORA (2006), “Practical Guide to Sarbanes Oxley IT Internal Control”.
Garber, Mike (2010), “A Higher Level of Governance – Monitoring IT Internal Control”, ISACA Journal Volume 6 2010.
Information Systems Audit and Control Association, IS Auditing Guideline – Responsibility, Authority, and Accountability, Document G34, 2005.
Information Systems Audit and Control Association, The Risk IT Framework, 2009.
Lipschutz, Neil (2010, April) “SEC Wants Accountability; Make Noise With Goldman Charge”, Dow Jones Corporate Governance.
Spears, Janine L. (2009), “How Has Sarbanes-Oxley Compliance Affected Information Security?”, ISACA Journal Volume 6, 2010.
Steingraber, Fred G. dan Kane, Karen (2010) "What Boards Need To Do To Preserve Their Relevance and Provide Value In The World of The New Normal", Corporate Finance Review, (Jul/Aug) pp.5-11
United Kingdom’s Office of Government Commerce, IT Infrastructure Library Version 3 – Service Operation, Mei 2007.
