PENGENDALIAN dan SISTEM INFORMAI AKUNTANSI BAB I
PENDAHULUAN A. PENDAHULUAN
Hampir setiap tahun, lebih dari 60% organisasi mengalami kegagalan utama dalam mengen dalikan keamanan dan integritas sistem computer mereka. Alasan untuk kegagalan berikut meliputi:
Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada. Sebagai contoh chevron memiliki 35.000 PC
Informasi pada jaringan computer distribusi sulit dikendalikan. Informasi di chevron, didistribusikan di antara banyaknya sistem dan ribuan pegawai diseluruh dunia. Setiap sistem dan pegawai mencerminkan sebuah titik kerentanan pengendalian potensial. Pelanggan serta pemasok memiliki akses ke sistem dan data satu
sama lain. Sebagai contoh walmart mengizinkan vendor untuk mengakses database-nya. Bayangkan, masalah kerahasaian yang dapat terjadi jika vendor membentuk persekutuan dengan pesaing walmart.
Organisasi belum melindungi datanya dengan baik karena:
Beberapa perusahaan memandang kehilangan atas informasi penting sebagai sebuah ancaman yang tidak mungkin terjadi Implikasi pengendalian atas pemindahan dari sistem computer
tersentralisasi ke sistem berbasis internet tidak sepenuhnya dipahami
Produktivitas dan penekanan biaya memotivasi manajemen untuk menghasilkan ukuran-ukuran pengen dalian yang memakan waktu.
Segala potensi kejadian yang merugikan disebut sebagai ancaman atau sebuah kejadian. Kerugian uang potensial dari sebuah ancaman desebut paparan atau dampak. Kemungkinan paparan atau dampak akan terjadi disebut sebagai kemungkinan.
a) Tujuan Pembelajaran
1. Menjelaskan konsep pengendalian dasar serta menjelaskan mengapa pengendalian dan keamanan computer penting.
2. Membandingkan dan membedakan kerangka pengendalian COBIT, COSO dan ERM.
3. Menjelaskan elemen-elemen utama di dalam lingkungan internal perusahaan.
4. Menjelaskan empat jenis tujuan pengendalian yang perlu dibuat oleh perusahaan.
5. Menjelaskan kejadian-kejadian memengaruhi ketidakpastian dan teknik-teknik yang digunakan untuk mengidentifikasinya.
6. Menjelaskan cara menilai dan merespon resiko menggunakan model Enterprise Risk Management (ERM).
7. Menjelaskan aktivitas-aktivitas pengendalian yang umumnya digunakan di perusahaan.
8. Menjelaskan cara mengomunikasikan informasi dan mengawasi proses pengendalian organisasi.
BAB II PEMBAHASAN B. PEMBAHASAN
Pengendalian adalah proses yang dijalankan untuk menyediakan jaminan memadai bahwa tujuan-tujuan pengendalian berikut telah tercapai.
Mengamankan aset-mencegah atau mendeteksi perolehan, penggunaan, atau penempatan yang tidak sah.
Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara akurat dan wajar.
Memberikan informasi yang akurat dan reliable.
Menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan.
Mendorong dan memperbaiki efesiensi operasional.
Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan
Mematuhi hukum dan peraturan yang berlaku.
Pengendalian internal adalah sebuah proses karena ia menyebar ke seluruh aktivitas pengoperasian perusahaan dan merupakan bagian integral dari aktivitas manajemen. Pengendalian interal memberikan jaminan memadai-jaminan menyeluruh yang sulit dicapai dan terlalu mahal. Mengembangkan sebuah sistem pengendalian internal memerlukan pemahaman yang saksama terhdap kemampuan teknologi informasi (information system) dan risikonya, begitu pula dengan menggunakan TI untuk mencapai tujuan pengendalian sebuah perusahaan. Para akuntan dan pengembang sistem membantu manajemen mencapai tujuan pengendaliannya (1) mendesain sistem pengendalian yang efektif dengan menggunakan pendekatan proaktif untuk mengeliminasi ancaman sistem, serta yang dapat mendeteksi, memperbaiki, dan memulihkan dari ancaman ketika terjadi; dan (2) membuatnya lebih mudah guna membentuk pengendalian ke dalam sebuah sistem pada tahapan desain awal daripada menambahkannya setelah terbentuk.
Pengendalian internal menjalankan tiga fungsi penting sebagai berikut.
b) Pengendalian detektif (detective control), menemukan masalah yang tak terelakkan. Contohnya menduplikasi pengecekan kalkulasi dan menyiapkan rekonsiliasi bank serta neraca saldo bulanan.
c) Pengendalian korektif (corrective control), mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkannya dari kesalahan yang dihasilkan. Contohnya, menjaga salinan backup pada file, perbaikan kesalahan entri data, dan pengumpulan ulang transaksi-transaksi untuk pemrosesan selanjutnya.
Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut.
a) Pengendalian umum (general control) memastikan lingkungan pengendalian sebuah organisasi stabil dan dikelola dengan baik. Contohnya, keamanan; insfrastruktur TI; dan pengendalian pembelian perangkat lunak, pengembangan, dan pemeliharaan.
b) Pengendalian aplikasi (application control) mencegah, mendeteksi dan mengoreksi kesalahan transaksi serta penipuan di dalam program aplikasi. Pengendalian ini focus terhadap ketepatan, kelengkapan, validitas, serta otorisasi data yang didapat, dimasukkann, diproses, disimpan, ditransmisikan ke sistem lain, dan dilaporkan.
Robert Simons, seorang professor bisnis Harvard, telah menganut empat kaitan pengendalian untuk membantu manajemen nyesesaikan konflik di antara kreatifitas dan pengendalian.
b) Sistem batas(baundry system) membantu pegawai bertindak secara etis dengan membangun batas-batas dalam perilaku kepegawaian. Sistem tersebut tidak memberitahukan secara langsung kepada pegawai apa yang dilakukan, tetapi mereka didorong untuk menyelesaikan masalah secara kreatif dan memenuhi kebutuhan pelanggan di samping memenuhi standar kinerja minimum, menghindari tindakan yang dilarang, dan menghindari tindakan yang mungkin merusak reputasi mereka.
c) Sebuah sistem pengendalian diagnostic (diacnostic control system) mengukur, mengawasi, dan membandingkan perkembangan perusahaan actual berdasarkan anggaran dan tujuan kinerja. Umpan balik membantu manajemen mennyesuaikan dan menyempurnakan input serta proses sehingga output di masa depan makin mendekati tujuan yang diingin dicapai.
d) Sebuah sistem pengendalian interaktif (interactive control system) membantu manajer untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan lebih terlibat di dalam keputusan mereka. Data sistem interaktif diinterpretasikan dan didiskusikan dalam pertemuan tatap muka para atasan,bawahan dan rekanan.
2. Mengapa pengendalian berbasis teknologi informasi dan sistem keamanan diperlukan
sejarah Amerika Serikat. Diikuti dengan kantor CPA Arthur Andersen pada juni 2002. Merespon penipuan tersebut, Konggres mengeluarkan Sarbanes Oxley Act (SOX) pada 2002. SOX dieterapkan bagi perusahaan-perusahaan public dan auditor mereka serta didesain untuk mencegah penipuan laporan keuangan, membuat laporan keuangan lebih transparan, melindungi investor, memperkuat pengendalian internal, dan menghukum eksekutif yang melakukan penipuan.
Pubblic Company Accounting Oversight Board (PCAOB)
Tujuan SOX menciptakan Pubblic Company Accounting Oversight Board (PCAOB) adalah untuk mengendalikan profesi pengauditan (auditing).
Aturan-aturan baru bagi para auditor Peren baru bagi komite audit
Aturan baru bagi manajemen
Ketentuan baru pengendalian internal.
3. Membandingkan kerangka pengendalian internal: COSO internal control integrated framework, COSO enterprise risk managent, COBIT COBIT (control Objective for Information and Related Technology) menggabungkan standar-standar pengendalian dari banyak sumber berbeda ke dalam sebuah kerangka tunggal yang memungkinkan (1) manajemen untuk membuat tolok ukur praktik-praktik keamanan dan pengendalian lingkungan TI; (2) para pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian yang memadai; dan (3) para auditor memperkuat opini pengendalian internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan. Prinsip-prinsip berikut ini memungkinkan dalam membantu organisasi membangun sebuah tata kelola yang efektif dan kerangka manajemen yang melindungi investasi pemangku kepentingan dan menghasilkan sistem informasi terbaik.
1. Memenuhi keperluan pemangku kepentingan 2. Mencakup perusahaan dari ujung ke ujung
5. Memisahkan tata kelola dari manajemen.
COBIT 5 adalah sebuah kerangka komprehensif yang membantu perusahaan mencapai tujuan tata kelola dan menajemen TI mereka. Kelengkapan ini adalah salah satu kekuatan COBIT 5 dan menekankan pada penerimaan internasional yang berkembang sebagai sebuah kerangka untuk mengelola serta mengendalikan sistem informasi. Model COBIT 5 tentang referensi proses mengidentifikasi lima proses tata kelola (merujuk pada mengevaluasi, mengarahkan, mengawasi,-evaluate, direct, dan monitor- atau EDM) dan 32 proses manajemen. 32 proses manajemen dibagi ke dalam empat domain sebagai berikut.
1. Menyelaraskan, merencanakan, dan mengatur (align,palan,dan organize – APO)
2. Membangun, mengakuisisi,menerapkan (buil, acquire, dan implement – BAI)
3. Mengantar, melayani, mendukung (deliver,service, dan support – DSS)
4. Mengawasi, mengevaluasi, menilai (monitor, evaluate, dan assess – MEA)
Commmittee of Sponsoring Organizations (COSO) terdiri dari Asosiasi Akuntan Amerika (American accounting association), ACPA, Ikatan auditor Internal (Institute of Internal Auditors), Ikatan Akuntansi Manajemen (Institute of Management Accountant), dan Ikatan Eksekutif Keuangan (Financial Executive Institute). Pada 1992, COSO menerbitkan Pengendalian Internal (Internal Control)-kerangka terintegrasi (Integrated Framework)-IC, yang diterima secara luas sebagai otorisasi untuk pengendalian internal yang digabungkan ke kebijakan, peraturan, dan regulasi yang digunakan untuk mengendalikan aktivitas bisnis.
kejadian yang mengkin memengaruhi entitas, menilai dan mengelola resiko, serta menyediakan jaminan memadai bahwa perusahaan mencapai tujuan dan sasarannya. Prinsip-prinsip dasar dibalik ERM adalah sebagai berikut.
Perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya.
Manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima saat menciptakan nilai.
Ketidakpastian menghasilkan resiko, yang merupaan kemungkinan bahwa sesuatu secara negative mempengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan nilai.
Ketidakpastian mengahsilkan peluang, yang merupakan kemungkinan sesuatu secara positif memengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan nilai
Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan nilai.
Kerangka IC telah diadopsi secara luas sebagai cara untuk mengefaluasi pengendalian internal, seperti yang ditentukan oleh SOX. Kerangka ERM yang lebih komprehensif menggunakan pendekatan berbasis resiko dari pada berbasis pengendalian. ERM menambahkan tiga elemen kekerangka IC COSO: penetapan tujuan, pengidentifikasian kejadian yang mungkin memengaruhi perusahaan, dan pengembangan sebuah respons untuk resiko yang dinilai. Hasilnya, pengendalian bersifat fleksibel dan releban karena mereka ditautkan dengan tujuan organisasi terkini. Model ERM juga mengakui bahea resiko, selain dikendalikan, dapat pula diterima, dihindari, dibuat berjenis-jenis, dibagi, atau ditansfer.
4. Elemen utama dalam lingkungan Internal (Internal Environment) Sebuah lingkungan internal mencakup hal-hal sebagai berikut:
1. Filosofi Manajemen, gaya pengoperasian, dan selera resiko. 2. Komitmen terhadap Integritas, nilai-nilai Etis, dan Kompetensi. 3. Pengawasan pengendalian Internal oleh Dewan Direksi.
4. Struktur Organisasi.
5. Metode penetapan Wewenang dan Tanggung Jawab.
6. Standar-standar sumber daya manusia yang menarik, mengembangkan, dan mempertahankan Individu yang kompeten.
Enron adalah sebuah contoh dari ketidak efektifan lingkungan internal yang mengakibatkan kegagalan finansial. Meskipun Enron tampaknya memiliki system ERM yang efektif, ternyata lingkungan internalnya tidak efektif. Manajemen terlibat dalam praktik bisnis yang berisiko serta meragukan, dan Dewan Direksi tidak pernah mempertanyakannya. Manajemen salah menyajikan kondisi keuangan perusahaan., kehilangan keyakinan para pemangku kepentingan, dan akhirnya mengajukan kebangkrutan.
5. Empat tipe tujuan pengendalian yang perlu ditetapkan (Objective Setting)
Perusahaanmenentukan hal yang harus berjalan dengan benar untuk mencapai tujuan dan menetapkan ukuran kinerja guna menentukan apakah ukuran-ukuran tersebut terpenuhi.
- Tujuan Strategis merupakan sasaran tingkat tinggi yang disejajarkan dengan misi perusahaan, (bagaimana) mendukungnya, serta menciptakan nilai bagi pemegang saham.
- Tujuan operasi yaitu berhubungan dengan efektivitas dan efisiensi operasi perusahaan, (dalam) menentukan cara mengalokasikan sumber daya. Tujuan ini merefleksikan preferensi, pertimbangan, dan gaya manajemen serta merupakan sebuah faktor penting dalam keberhasilan perusahaan. - Tujuan pelaporan membantu memastikan ketelitian, kelengkapan, dan
- Tujuan kepatuhan membantu perusahaan mematuhi seluruh hukum dan peraturan yang berlaku. Sebagian besar tujuan kepatuhan dan banyak tujuan pelaporan dipaksakan oleh entitas eksternal agar merespons hukum dan peraturan.
6. Identifikasi Kejadin (Event Identification)
Committee of Sponsoring Organizations (COSO) mendefinisikan kejadian (event) sebagai: “sebuah insiden atau peristiwa yang berasal dari sumber-sumber internal atau eksternal yang mempengaruhi implementasi strategi atau pencapaian tujuan. Kejadian bias berdampak positif atau negative atau keduanya. Sebuah kejadian menunjukan ketidakpastian, mungkin atau tidak mungkin terjadi.
7. Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin bahwaarahan manajemen dilaksanakan. Aktivitas tersebut membantu memastikan bahwa tindakan yang diperlukan untuk menanggulangi risiko dalam pencapaian tujuan entitas. Aktivitas pengendalian memiliki berbagai tujuan dan diterapkan di berbagai tingkat organisasi dan fungsi. Umumnya aktivitas pengendalian yang mungkin relevan dengan audit dapat digolongkan sebagai kebijakan dan prosedur yang berkaitan dengan review terhadap kinerja, pengolahan informasi, pengendalian fisik, dan pemisahan tugas. Aktivitas pengendalian dapat dikategorikan sebagai berikut.
a) Pengendalian Pemrosesan Informasi
- pengendalian umum
- pengendalian aplikasi
- otorisasi yang tepat
- pencatatan dan dokumentasi
b) Pemisahan Tugas
c) Pengendalian Fisik
d) Telaah Kinerja
8. Informasi Dan Komunikasi
Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran informasi dalam suatu bentuk dan waktu yang memungkinkan orang melaksanakan tanggung jawab mereka. Sistem informasi yang relevan dalam pelaporan keuangan yang meliputi sistem akuntansi yang berisi metode untuk mengidentifikasikan, menggabungkan, menganalisa, mengklasikasi, mencatat, dan melaporkan transaksi serta menjaga akuntabilitas asset dan kewajiban. Komunikasi meliputi penyediaan deskripsi tugas individu dan tanggung jawab berkaitan dengan struktur pengendalian intern dalam pelaporan keuangan. Auditor harus memperoleh pengetahuan memadai tentang sistem informasi yang relevan dengan pelaporankeuangan untuk memahami :
a) Golongan transaksi dalam operasi entitas yang signifikan bagi laporan keuangan
b) Bagaimana transaksi tersebut dimulai
c) Catatan akuntansi, informasi pendukung, dan akun tertentu dalam laporan keuangan yang tercakup dalam pengolahan dan pelaporan transaksi
d) Pengolahan akuntansi yang dicakup sejak saat transaksi dimulai sampai dengan dimasukkan ke dalam laporan keuangan, termasuk alat elektronik yang digunakan untuk mengirim, memproses, memelihara, dan mengakses informasi.
