library.binus.ac.idlibrary.binus.ac.id/ecolls/ethesisdoc/bab2doc/2012-2... · web viewauditor...
TRANSCRIPT
6
BAB 2
LANDASAN TEORI
2.1 Sistem Informasi
2.1.1 Pengertian Sistem Informasi
Rainer dan Turban (2009, p6) mengemukakan bahwa sistem informasi adalah
proses mengumpulkan, memproses, menyimpan, menganalisa dan menyebarkan
informasi untuk tujuan tertentu. Sedangkan menurut O’Brien dan Marakas (2009,
p4), sistem informasi dapat didefinisikan sebagai kombinasi dari orang, hardware,
software, jaringan komunikasi, sumber data serta prosedur dan aturan yang
mendapatkan, menyimpan, merubah dan menyebar luaskan informasi didalam
organisasi.
Menururt Stair dan Reynolds (2010, p10) Sistem informasi adalah sekumpulan
elemen atau komponen yang berfungsi untuk mengumpulkan, memanipulasi,
menyimpan dan menyebarluaskan data dan informasi serta menyediakan
perbaikan untuk mencapai tujuan. Berdasarkan beberapa pendapat tersebut, maka
dapat disimpulkan bahwa sistem informasi merupakan kumpulan komponen yang
dapat mengumpulkan, memproses, menyimpan, menganalisa dan menyebarkan
informasi serta menyediakan perbaikan untuk tujuan tertentu di dalam sebuah
organisasi.
2.1.2 Komponen Sistem Informasi
Menurut O’Brien dan Marakas (2009, p29) komponen sistem informasi terdiri
dari people, software, hardware, network dan data resources. Turban dan
Volonino (2010, p12) berpendapat bahwa komponen sistem informasi terdiri dari
hardware, software, data, network, procedures, dan people. Sedangkan menurut
7
Rainer dan Cegielski (2010, p40), komponen sistem informasi terdiri dari
hardware, software, database, network, procedures, dan people.
Jadi dapat disimpulkan bahwa yang merupakan komponen sistem informasi
adalah :
1. Hardware, merupakan komponen pada komputer yang dapat terlihat dan
disentuh secara fisik, berupa keyboard, monitor, mouse, scanner, dan printer.
2. Software, adalah program yang digunakan untuk mengolah data menjadi
informasi dan memungkinkan untuk melakukan kontrol terhadap data.
3. Database, adalah kumpulan data yang terdapat pada komputer yang saling
terhubung.
4. Network, adalah sebuah komponen yang dapat menghubungkan antara satu
komputer dengan komputer yang lain.
5. Procedures, adalah sekumpulan tata cara yang saling berhubungan yang
digunakan untuk mengolah data menjadi informasi.
6. People, adalah orang yang menggunakan kompter untuk mengolah data.
2.1.3 Sistem Informasi Akuntansi
2.1.3.1 Pengertian Sistem Informasi Akuntansi
Sistem informasi akuntansi menurut Romney dan Steinbart (2009, p24)
merupakan sebuah sistem yang mengumpulkan, mencatat, menyimpan
dan memproses data serta menghasilkan informasi untuk para pengambil
keputusan. Bodnar dan Hopwood (2010, p1) mengatakan bahwa sistem
informasi akuntansi merupakan sekumpulan sumber daya, seperti
manusia dan peralatan, yang didesain untuk merubah data keuangan dan
data lainnya menjadi informasi. Jadi dapat disimpulkan bahwa sistem
informasi akuntansi adalah sekumpulan sumber daya yang digunakan
untuk mengumpulkan, mencatat, menyimpan, dan memproses data
menjadi informasi.
8
2.1.3.2 Komponen Sistem Informasi Akuntansi
Menurut Romey dan Steinbart (2009, p28) sistem informasi akuntansi
terdiri dari enam komponen, yaitu people, Procedures and Instruction.
Data, software, information technology infrastructure, internal control
and security measures
2.1.4 Sistem Informasi Akuntansi Pembelian
2.1.4.1 Pengertian Pembelian
Menurut Heripracoyo (2009, p1), pembelian adalah kegiatan pemilihan
sumber, pemesanan dan perolehan barang dan jasa sebagai salah satu
aktivitas utama operasi bisnis perusahaan. Adapun menurut Saputra
(2010, p2), pembelian adalah suatu usaha pengadaan barang atau jasa
dengan tujuan yang akan digunakan untuk kebutuhan sendiri, untuk
kepentingan proses produksi maupun untuk dijual kembali. Berdasarkan
pengertian diatas, dapat disimpulkan bahwa pembelian adalah kegiatan
pengadaan barang dan jasa yang dilakukan perusahaan atau individu
untuk melaksanakan pemenuhan kebutuhan.
2.1.4.2 Pengertian Sistem Informasi Akuntansi Pembelian
Menurut Heripracoyo (2009, p1), Sistem Informasi Akuntansi Pembelian
(SIA Pembelian) merupakan sistem yang dibangun untuk mempermudah
pelaksanaan pembelian dengan mengotomatisasikan atau
mengkomputerisasi keseluruhan maupun beberapa bagian dari proses
pembelian tersebut disertai dengan pengendalian atau kontrol atas sistem
komputerisasi tersebut.
9
2.1.5 Sistem Informasi Persediaan
2.1.5.1 Pengertian Persediaan
Menurut Heripracoyo (2009, p1), persediaan adalah aktiva perusahaan
yang meliputi barang jadi yang tersedia untuk dijual kembali, barang
dalam penyelesaian yang sedang diproduksi dan bahan serta
perlengkapan yang digunakan dalam proses produksi. Adapun menurut
Hendarti, Husni dan Tandra (2010, p2) persediaan merupakan suatu
aktiva yang meliputi barang-barang milik perusahaan dengan maksud
untuk dijual dalam suatu periode usaha tertentu. Berdasarkan definisi
tersebut dapat disimpulkan bahwa persediaan merupakan barang yang
tersedia untuk dijual, yang dapat dijual pada suatu periode tertentu.
2.1.5.2 Jenis Persediaan
Menurut Nahmias (2009, p201) terdapat empat jenis persediaan, yaitu :
1. Bahan mentah (Raw Material)
2. Komponen (Component)
3. Proses yang berjalan (Work in process)
4. Barang jadi (Finished Goods)
2.1.5.3 Sistem Pencatatan Persediaan
Menurut Heripracoyo (2009, p2) sistem pencatatan persediaan terdiri
dari:
1. Periodic System, yaitu pada setiap akhir periode dilakukan
perhitungan secara fisik dalam menentukan jumlah persediaan akhir.
2. Perpetual System atau juga disebut Book Inventories, yaitu setiap
mutasi dari persediaan sebagai akibat dari pembelian ataupun
penjualan dicatat atau dilihat dalam kartu administrasi
persediaannya.
10
2.1.5.4 Metode Penilaian Persediaan
Menurut Heripracoyo (2009, p2), ada beberapa cara yang dapat
digunakan untuk menilai suatu persediaan, diantaranya dengan :
1. First In First Out (FIFO)
2. Rata-rata tertimbang (Weighted Average)
3. Last In First Out (LIFO)
Menurut Hery (2011, p161) metode penilaian FIFO adalah
mengasumsikan bahwa barang pertama yang dibeli adalah barang
pertama yang digunakan dalam perusahaan manufaktur dagang, karena
itu, persedian yang tersedia merupakan barang yang dibeli paling
terakhir.
Menurut Stice dan Skousen (2009, p667), "Ada beberapa macam metode
penilaian persediaan yang umum digunakan, yaitu : identifikasi khusus,
biaya rata-rata (Average) masuk pertama. keluar pertama (FIFO), masuk
terakhir, keluar pertama (LIFO)".
a. Identifikasi Khusus
Pada metode ini, biaya dapat dialokasikan ke barang yang terjual selama
periode berjalan dan ke barang yang ada di tangan pada akhir periode
berdasarkan biaya actual dari unit tersebut. Metode ini diperlukan untuk
mengidentifikasi biaya historis dari unit persediaan. Dengan identifikasi
khusus, arus biaya yang dicatat disesuaikan dengan arus fisik barang.
b. Metode Biaya Rata-Rata (Average)
Metode ini membebankan biaya rata-rata yang sama ke setiap unit.
Metode ini didasarkan pada asumsi bahwa barang yang terjual
seharusnya dibebankan dengan biaya rata-rata, yaitu rata-rata tertimbang
dari jumlah unit yang dibeli pada tiap harga. Metode rata-rata
mengutamakan yang mudah terjangkau untuk dilayani, tidak peduli
apakah barang tersebut masuk pertama atau masuk terakhir.
11
c. Metode Masuk Pertama, Keluar Pertama (FIFO)
Metode ini didasarkan pada asumsi bahwa unit yang terjual adalah unit
yang terlebih dahulu masuk. FIFO dapat dianggap sebagai sebuah
pendekatan yang logis dan realistis terhadap arus biaya ketika
penggunaan metode identifikasi khusus adalah tidak memungkinkan
atau tidak praktis. FIFO mengasumsikan bahwa arus biaya yang
mendekati paralel dengan arus fisik dari barang yang terjual. Beban
dikenakan pada biaya yang dinilai melekat pada barang yang terjual.
FIFO memberikan kesempatan kecil untuk memanipulasi keuntungan
karena pembebanan biaya ditentukan oleh urutan terjadinya biaya.
Selain itu. didalam FIFO unit yang tersisa pada persediaan akhir adalah
unit yang paling akhir dibeli, sehingga biaya yang dilaporkan akan
mendekati atau sama dengan biaya penggantian diakhir periode.
d. Metode Masuk Terakhir. Keluar Pertama (LIFO)
Metode ini didasarkan pada asumsi bahwa barang yang paling barulah
yang terjual. Metode LIFO sering dikritik secara teoritis tetapi metode
ini adalah metode yang paling baik dalam pengaitan biaya persediaan
denganpendapatan. Apabila metode LIFO digunakan selama periode
inflasi atau harga naik. LIFO akan menghasilkan harga pokok yang
lebih tinggi. Jumlah laba kotor yang lebih rendah dan nilai persediaan
akhir yang lebih rendah. Dengan demikian. LIFO cenderung
memberikan pengaruh yang stabil terhadap margin laba kotor. karena
pada saat terjadi kenaikan harga LIFO mengaitkan biaya yang tinggi
saat ini dalam perolehan barang-barang dengan harga jual yang
meningkat, dengan menggunakan LIFO, persediaan dilaporkan dengan
menggunakan biaya dari pembelian awal. Jika LIFO digunakan dalam
waktu yang lama, maka perbedaan antara nilai persediaan saat ini
dengan biaya LIFO akan semakin besar.
12
2.2 Evaluasi
2.2.1 Pengertian Evaluasi
Menurut Hendarti, Husni dan Tandra (2010, p2), evaluasi adalah proses sistematik
yang menyajikan informasi yang berguna untuk menilai tingkat keberhasilan dan
efisiensi dari suatu program atau alternatif keputusan. Menurut Weber dalam
Husni, Karmawan, dan Haris (2010, p2), audit sistem informasi secara garis besar
dapat diartikan sebagai proses pengumpulan dan pengevaluasian bukti – bukti
untuk menentukan apakah sebuah sistem komputer dapat melindungi aset
perusahaan, memelihara integritas data dan memungkinkan tujuan organisasi
untuk dicapai secara efektif dengan sumber daya yang efisien. Dari definisi
tersebut dapat disimpulkan bahwa evaluasi adalah sebuah proses yang menyajikan
informasi untuk menilai tingkat keberhasilan, efisiensi melindungi aset
perusahaan, dan memelihara integritas. Sedangkan menurut penyataan diatas
dapat disimpulkan bahwa evaluasi sistem informasi adalah suatu kegiatan yang
direncanakan untuk memeriksa dan menilai sumberdaya dalam organisasi atau
perusahaan untuk mendapatkan hasil mengenai kinerja sumber daya organisasi
dengan menggunakan metode tertentu .
2.2.2 Standar Audit
Menurut ISACA 2013 (2013, p9) terdapat 16 standar audit, yaitu :
1. Audit Charter
Tujuan, tanggung jawab, wewenang, dan akuntabilitas fungsi audit sistem
informasi pada suatu organisasi harus dibuat tertulis dalam audit charter. Audit
charter harus disetujui dan ditandatangani oleh pimpinan organisasi.
2. Independence
a. Independensi Profesional
Segala hal yang berkaitan dengan audit, auditor harus independen dalam
sikap yang diambil.
13
b. Independensi Organisasi
Fungsi audit sistem informasi tidak boleh terlibat pada area yang diperiksa
agar keobjektivan hasil audit dapat terjaga.
3. Professional Ethics and Standarts
a. Auditor SI harus menganut dan berpegang teguh pada kode etik profesi
auditor SI dalam menjalankan tugas auditnya.
b. Seorang auditor SI harus memiliki wawasan mengenai standar audit yang
dapat mereka aplikasikan dalam melakukan audit.
4. Professional Competence
a. Auditor sistem informasi harus profesional, memiliki pengetahuan dan
keahlian untuk melaksanakan audit.
b. Auditor sistem informasi harus menjaga profesionalitasnya melalui
pendidikan dan pelatihan berkelanjutan.
5. Planning
a. Auditor sistem informasi harus merencanakan ruang lingkup audit sistem
informasi yang mencakup tujuan audit, kegiatan audit yang sesuai dengan
aturan, hukum dan standar profesional yang ada.
b. Auditor sistem informasi harus mengembangkan teknik pendekatan audit
berbasis resiko dan mendokumentasikannya dengan baik.
c. Auditor sistem informasi harus menyusun rencana kerja audit yang
mencakup rincian hakekat dan tujuan audit, periode yang diperlukan, dan
sumber daya yang dibutuhkan untuk penugasan audit tersebut.
d. Auditor sistem informasi harus mengembangkan program audit yang
mencakup prosedur audit dan waktu pelaksanaan audit .
14
6. Performance of Audit Work
a. Pengawasan - Staf audit sistem informasi harus diawasi untuk
memperoleh jaminan bahwa tujuan audit telah tercapai dan sesuai dengan
standar profesional audit.
b. Bukti Audit - Dalam melaksanakan audit, auditor sistem informasi harus
memperoleh bukti yang cukup, dapat dipertanggung jawabkan, dan relevan
untuk pencapaian tujuan audit. Temuan hasil audit harus didukung oleh
analisa dan interpretasi yang tepat mengenai temuan tersebut.
c. Dokumentas - Proses audit harus didokumentasikan, menjelaskan
mengenai kegiatan audit yang dilakukan, dan bukti audit yang mendukung
temuan audit yang didapat auditor.
7. Reporting
a. Auditor sistem informasi harus membuat laporan hasil audit dalam format
yang tepat setelah melakukan tugas auditnya. Laporan hasil audit harus
identifikasi organisasi, pihak yang dituju, dan batasan – batasan sirkulasi.
b. Laporan audit harus mencantumkan ruang lingkup, tujuan, dan periode
pelaksanaan audit.
c. Laporan audit harus berisi temuan, kesimpulan dan rekomendasi, serta
pengungkapan mengenai penyediaan, kualifikasi atau pembatasan cakupan
audit yang dialami oleh auditor SI dalam melaksanakan tugasnya.
d. Temuan hasil audit yang dilaporkan harus didukung bukti audit yang
lengkap dan sesuai, untuk mendukung laporan hasil audit.
e. Laporan hasil audit harus dicantumkan tandatangan, dan tanggal
pelaporan, dan didistribusikan sesuai audit charter atau surat perjanjian.
15
8. Follow Up Activities
Setelah melaporkan temuan dan rekomendasi, auditor sistem informasi harus
mengevaluasi informasi yang relevan untuk memperoleh kepastian apakah
tindak lanjut yang diperlukan telah dilaksanakan oleh pihak manajemen sesuai
jadwal yang diusulkan.
9. Irregularities and Illegal Acts
a. Dalam perencanaan dan pelaksanaan audit untuk mengurangi resiko audit,
auditor sistem informasi harus mempertimbangkan resiko irregularities
dan illegal acts.
b. Auditor sistem informasi harus bersikap profesional dan skeptis dalam
pelaksanaan audit, mengetahui kemungkinan kesalahpahaman yang dapat
saja terjadi karena adanya irregularities dan illegal acts, diluar evaluasi
yang telah dilakukan.
c. Auditor sistem informasi harus memahami organisasi beserta
lingkungannya, termasuk sistem pengendalian internal pada bidang yang
diaudit.
10. IT – Governance
a. Auditor sistem informasi harus melakukan peninjuan dan penilaian apakah
fungsi sistem informasi sudah selaras dengan visi, misi, tata-nilai dan
tujuan organisasi.
b. Auditor sistem informasi melakukan peninjauan apakah fungsi sistem
informasi sudah sesuai dengan yang diharapkan oleh organisasi dan
melakukan penilaian terhadap pencapainnya.
c. Auditor sistem informasi harus melakukan evaluasi dan menilai efektivitas
sumber daya sistem informasi dan kinerja proses manajemennya.
d. Auditor sistem informasi harus melakukan evaluasi terhadap kesesuaian
dengan aturan yang ada, kualitas informasi dan lingkungannya, dan
kebutuhan keamanan.
16
e. Pendekatan berbasis risiko harus digunakan oleh auditor sistem informasi
dalam mengevaluasi fungsi sistem informasi.
f. Auditor sistem informasi harus mengevaluasi dan melakukan penilaian
terhadap lingkungan pengendalian pada perusahaan.
g. Auditor sistem informasi harus mengevaluasi dan melakukan penilaian
resiko yang memiliki dampak negatif pada lingkungan sistem informasi.
11. Use of Risk Assessment in Audit Planning
a. Auditor sistem informasi harus menggunakan teknik penilaian resiko yang
sesuai dalam pengembangan rencana kerja audit sistem informasi dan
dalam menentukan prioritas alokasi sumberdaya audit yang efektif.
b. Ketika merencanakan peninjauan individual, auditor sistem informasi
harus mengidentifikasi dan menilai resiko yang bersangkutan dari area
yang diperiksanya.
12. Audit Materiality
a. Auditor sistem informasi harus mempertimbangkan konsep materialitas
serta hubungannya dengan resiko audit sambil menentukan waktu dan area
yang akan di audit.
b. Saat merencanakan audit, auditor sistem informasi mempertimbangkan
kelemahan potensial, ada atau tidak adanya kontrol internal serta hal yang
mempunyai dampak siginifikan pada sistem informasi.
c. Auditor sistem informasi mempertimbangkan dampak kumulatif dari
kelemahan atau tidak adanya pengendalian intern.
d. Laporan audit sistem informasi harus mengungkapkan adanya
pengendalian intern yang tidak efektif atau tidak adanya pengendalian
intern.
17
13. Using the Work of Other Experts
a. Auditor sistem informasi jika memungkinkan, sebaiknya menggunakan
hasil kerja auditor atau tenaga ahli lain untuk melakukan audit.
b. Auditor sistem informasi harus menilai standar profesional, kompetensi,
pengalaman, sumberdaya, independensi, dan proses pengawasan mutu dari
tenaga ahli lainnya sebelum menerima tugas audit.
c. Auditor sistem informasi harus menentukan dan menyimpulkan apakah
hasil kerja tenaga ahli yang lain tersebut sebagai bagian dari audit dan
menentukan tingkat penggunaan.
14. Audit Evidence
a. Audior sistem informasi harus memiliki bukti audit yang cukup dan layak
sebagai dasar menarik kesimpulan hasil audit.
b. Auditor sistem informasi harus mengevaluasi komptensi dan kecukupan
bukti fisik.
15. IT Controls
a. Auditor sistem informasi harus melakukan evaluasi dan pengawasan
terhadap langkah pengendalian teknologi informasi yang terdapat pada
lingkungan pengendalian internal perusahaan.
b. Auditor sistem informasi harus membantu manajemen dalam
menyediakan saran yang mengacu pada desain, implementasi, operasi serta
pengembangan pada pengendalian teknologi informasi.
16. E-Commerce
Auditor SI harus melakukan evaluasi terhadap pengendalian yang sudah
diterapkan dan melakukan penilaian resiko ketika melakukan review terhadap
lingkungan e-commerce untuk memastikan bahwa transaksi e-commerce
sudah terkendali dengan baik.
18
2.3 Pengendalian Internal
2.3.1 Pengertian Pengendalian Internal
Menurut Arens, Elder dan Beasley (2012, p341) pengendalian internal adalah
sebuah proses yang dirancang untuk menyediakan jaminan yang masuk akal
mengenai pencapaian tujuan managemen. Bodnar dan Hopwood (2010, p12)
pengendalian internal adalah menyarankan pengambilan keputusan pada suatu
organisasi dalam membuat regulasi serta memandu aktivitas dalam perusahaan.
Sedangkan menurut COSO (2011, p1), pengendalian internal adalah sebuah
proses, dipengaruhi oleh sebuah entitas dewan direksi, manajemen, dan staf
lainnya, dirancang untuk menyediakan jaminan yang wajar untuk mencapai
tujuan. Berdasarkan pengertian tersebut, dapat disimpulkan bahwa pengendalian
internal adalah pengambilan keputusan pada suatu organisasi dalam membuat
regulasi untuk menyediakan jaminan mengenai tujuan manajemen.
2.3.2 Tujuan Pengendalian Internal
Menurut Arens, Elder dan Beasley (2012, p341) terdapat tiga tujuan pengendalian
internal :
1. Keandalan laporan keuangan (Reliability of Financial Reporting)
2. Efisiensi dan efektifitas sebuah kegiatan (Efficiency and effectiveness of
operation)
3. Penyesuaian dengan hukum dan regulasi (Compliance with laws and
regulation)
Sedangkan menurut COSO (2011, p1), tujuan dari pengendalian internal
adalah:
1. Kegiatan yang efektif dan efisien
2. Keandalan dalam pelaporan
3. Ketaatan terhadap hukum dan regulasi yang berlaku
19
2.3.3 Komponen Pengendalian Internal Versi COSO 2011
COSO (2011, p10) menyatakan bahwa pengendalian internal memiliki 5
komponen, diantaranya :
Komponen Bagian Pertama : Lingkungan pengendalian (Control
environment) adalah kumpulan standar, proses, dan struktur yang menyediakan
dasar untuk melaksanakan pengendalian internal di seluruh organisasi. Prinsip-
prinsip yang berkaitan dengan control environment, antara lain:
Prinsip 1 : Mendemonstrasikan sebuah komitmen pada integritas dan nilai
etika, mencakup:
1. Mengatur pola di bagian atas dan seluruh organisasi – Dewan direksi dan
manajemen pada semua tingkat entitas, mendemonstrasikan pentingnya
integritas dan nilai etika untuk mendukung fungsi sistem pengendalian
internal, melalui arahan, tindakan, dan perilaku.
2. Menetapkan standar perilaku – Harapan dewan direksi dan manajemen
senior mengenai integritas dan nilai etika didefinisikan dalam standar
perilaku entitas dan pemahaman pada semua level organisasi, penyedia jasa
outsourcing, dan rekan bisnis.
3. Mengevaluasi kepatuhan terhadap standar perilaku – Untuk mengevaluasi
kinerja individu dan kelompok terhadap entitas standar perilaku yang
diharapkan.
4. Memetakan penyimpangan secara tepat waktu – Penyimpangan dari entitas
standar perilaku yang diharapkan diindentifikasikan dan diperbaiki secara
tepat waktu dan terus menerus.
Prinsip 2 : Latihan tanggung jawab pengawasan. Dewan direksi mendemonstrasikan
kebebasan manajemen dan latihan pengawasan untuk pengembangan dan kinerja
pengendalian internal, mencakup:
1. Menentukan tanggung jawab pengawasan dewan direksi – Dewan direksi atau
badan pengawasan mengidentifikasi dan menerima tanggung jawab
pengawasannya dalam hubungannya dengan penentuan persyaratan dan harapan.
20
2. Memelihara atau melimpahkan tanggung jawab pengawasan – Dewan direksi
memelihara tanggung jawab pengawasan atau melimpahkannya ke manajemen
senior untuk mendukung pancapaian tujuan.
3. Menerapkan keahlian yang relevan – Dewan direksi secara periodik
mendefinisikian dan menilai pengetahuan penting dan kemampuan yang
dibutuhkan oleh anggota untuk memungkinkan mereka untuk mengajukan
pernyataan menyelidik pada manajemen senior dan mengambil tindakan yang
sesuai.
4. Beroperasi secara independen – Dewan direksi memiliki cukup anggota yang
independen dan objektif.
5. Menyediakan pengawasan – Dewan direksi memandu, menunjukkan, dan
meninjau pengembangan dan kinerja dari sistem pengendalian internal.
Prinsip 3 : Menentukan struktur, wewenang, dan tanggung jawab. Manajemen
menetapkan struktur, alur pelaporan, serta wewenang dan tanggung jawab yang
sesuai dengan tujuan, dengan pengawasan dewan direksi, mencakup:
1. Mempertimbangkan semua struktur dari entitas – Manajemen dan dewan direksi
mempertimbangkan beberapa struktur yang digunakan (termasuk unit yang
bekerja, badan hukum, dan penyedia layanan outsourcing) untuk membantu
pencapaian tujuan.
2. Menetapkan alur laporan – Manajemen merancang dan mengevaluasi alur
pelaporan dari setiap struktur entitas agar dapat dijalankan sesuai dengan
wewenang, tanggung jawab, dan alur informasi, untuk mengatur aktifitas sebuah
entitas.
3. Mengidentifikasi, menetapkan, dan membatasi wewenang dan tanggung jawab
– Manajemen dan dewan direksi melimpahkan wewenang, mendefinisikan, dan
menetapkan tanggung jawab serta membagi tugas sesuai dengan tingakatan
yang ada pada organisasi.
21
Prinsip 4 : Mendemonstrasikan komitmen untuk berkompetensi – Organisasi
mendemonstrasikan komitmen untuk menarik, mengembangkan, dan memelihara
kompetensi individu untuk mencapai tujuan.
1. Menetapkan kebijakan dan kegiatan – Kebijakan dan kegiatan mencerminkan
harapan kompetensi yang dibutuhkan organisasi untuk mendukung pencapaian
tujuan.
2. Menarik, mengembangkan, dan memelihara individu – Organisasi
menyediakan pengajaran dan pelatihan yang dibutuhkan untuk menarik,
mengembangkan, dan memelihara anggota yang kompeten dalam jumlah yang
cukup, serta para penyedia jasa outsourcing untuk mendukung pencapaian
tujuan.
3. Mengevaluasi kompetensi dan memetakan kekurangan – Dewan direksi dan
manajemen mengevaluasi kompetensi keseluruhan organisasi juga penyedia
jasa outsourcing untuk menetapkan kebijakan dan kegiatan, serta tindakan
yang dibutuhkan untuk memetakan kekurangan.
4. Merencanakan dan mempersiapkan pengganti – Manajemen senior dan dewan
direksi mengembangakan rencana kontingensi untuk penugasan tanggung
jawab yang penting bagi pengendalian internal.
Prinsip 5 : Menegakan akuntabilitas. Organisasi memegang tanggung jawab
individu sebagai tanggung jawab pengendalian internalnya untuk mencapai
tujuan.
1. Menegakan akuntabilitas melalui struktur, wewenag, dan tanggung jawab –
Manajemen dan dewan direksi menetapkan tata cara untuk berkomunikasi dan
memegang tanggung jawab individu terhadap kinerja pengendalian internal di
seluruh organisasi dan menerapkan langkah perbaikan yang diperlukan.
2. Menetapkan pengukuran kinerja, insentif , dan penghargaan – Manajemen dan
dewan direksi menetapkan pengukuran kinerja, insentif, dan penghargaan
lainnya sesuai dengan tanggung jawab semua level, mencerminkan posisi yang
sesuai dari kinerja dan standar perilaku yang diharapkan, serta memahami
pencapaian tujuan baik jangka pendek maupun jangka panjang.
22
3. Mengevaluasi pengukuran kinerja, insentif, dan penghargaan yang berlangsung
– Manajemen dan dewan direksi menyelaraskan insentif dan penghargaan
dengan pemenuhan tanggung jawab pengendalian internal untuk mencapai
tujuan.
4. Memahami tekanan yang berlebihan – Manajemen dan dewan direksi
mengevaluasi dan menyesuaikan tekanan yang terkait dengan pencapaian
tujuan yang telah mereka tetapkan, mengembangkan pengukuran kinerja, dan
mengevaluasi kinerja.
5. Mengevaluasi kinerja dan penghargaan atau disiplin individu – Manajemen dan
dewan direksi mengevaluasi kinerja tanggung jawab pengendalian internal,
termasuk kepatuhan terhadap standar perilaku dan tingkat kompetensi yang
diharapkan, serta menyediakan penghargaan atau latihan kedisiplinan yang
sesuai.
Komponen Bagian Kedua : Penaksiran risiko (Risk assessment) adalah
melibatkan proses yang dinamis dan berulang untuk mengidentifikasi dan menilai
resiko dalam pencapaian tujuan.
Prinsip 6 : Menentukan tujuan yang relevan. Perusahaan menentukan tujuan yang
relevan dengan kejelasan yang memadai untuk dapat mengidentifikasi serta
menilai resiko yang berkaitan dengan tujuan.
23
Kegiatan
Pelaporan
ComplianceInternal
External Non-
Financial
External
Financial
a. Mempertimbangkan Toleransi Terhadap
Resiko √ √ √ √ √
b. Menetapkan Standar Eksternal √ √ √
c. Menggambarkan Pilihan Manajemen √ √
d. Menggambarkan Kegiatan Suatu Entitas √ √ √ √
e. Merangkum Tujuan Operasi dan Kinerja
Keuangan√
f. Membuat Dasar Penyerahan Sumber Daya
Manusia √
Tabel 2.1 Atribut yang Berhubungan Dengan Tujuan Operasi
24
Atribut yang berhubungan dengan tujuan operasi
1. Mempertimbangkan toleransi terhadap resiko – Manajemen
mempertimbangkan tingkat perbedaan yang dapat diterima untuk mencapai
tujuan organisasi.
2. Menggambarkan pilihan manajemen – Tujuan kegiatan menggambarkan
pilihan manajemen dalam menentukan struktur, pemahaman tentang industri
itu sendiri serta kinerja dari suatu entitas.
3. Includes operations and financial performance goals – Organisasi
menggambarkan tingkat kegiatan serta kinerja keuangan untuk suatu entitas
pada sebuah tujuan kegiatan.
4. Membuat dasar penyerahan sumber daya alam – Manajemen menggunakan
tujuan kegiatan
Prinsip 7 : Mengidentifikasi dan menganalisa resiko. Organisasi mengidentifikasi
resiko pada setiap entitas untuk mencapai tujuan dan melakukan analisa sebagai
dasar untuk menentukan bagaiamana sebuah resiko ditangani.
1. Melibatkan tingkatan yang sesuai pada manajemen – Organisasi menggunakan
sistem penilaian resiko yang efektif serta melibatkan tingkatan manajemen
yang sesuai.
2. Entitas, Divisi tambahan, Unit operasi dan fungsinya – organisasi
mengidentifikasi dan menilai resiko pada entitas divisi tambahan, unit operasi,
tingkatan kewenangan untuk mencapai tujuan.
3. Menganalisa faktor internal dan faktor eksternal – Faktor internal dan eksternal
serta pengaruhnya terhadappencapaian sebuah tujuan diperhitungkan dalam
mengidentifikasi resiko.
4. Memperkirakan pengaruh resiko yang telah teridentifikasi – Resiko yang telah
teridentifikasi kemudian dianalisa melalui bebrapa proses yang salah satunya
memperkirakan pengaruh dari resiko tersebut.
25
5. Menentukan bagaiamana untuk menanggapi sebuah resiko – Memahami
bagaiamana seharusnya resiko itu ditangani apakah itu akan diterima,
dihindari,dikurangi atau membagi resiko, terdapat pada penilaian resiko.
Prinsip 8 : Penilaian resiko kecurangan. Organisasi harus memahami
kemungkinan resiko kecurangan didalam melakukan penialain resiko untuk
pencapaian perusahaan.
1. Memahami bahwa kecurangan dapat dilakukan dengan berbagai cara –
Penilaian kecurangan memperhitungkan kemungkinan hilangnya aset, laporan
kecurangan serta hasil penggelapan dari kecurangan dan kejahatan yang
muncul.
2. Memahami faktor resiko – Penilaian entitas mempertimbangkan pengaruh yang
signifikan dari hilangnya aset dan dampaknya terhadap operasi, pelaporan, dan
aktivitas yang terkait.
3. Penilaian insentif dan tekanan – Penilaian resiko kecurangan
mempertimbangkan insentif dan tekanan.
4. Penilaian peluang – Penilaian terhadap resiko kecurangan, mempertimbangkan
peluang penerimaan yang tidak sah, penggunaan dan penjualan aset, merubah
catatan laporan serta melakukan tindakan yang tidak pantas.
5. Penilaian terhadap sikap dan rasionalisasi – Penilaian resiko kecurangan
mempertimbangkan kemungkinan manajemen dan anggota lainnya melakukan
tindakan yang tidak pantas.
Prinsip 9 : Mengidentifikasi dan menganalisa perubahan penting. Organisasi
mengidentifikasi dan menilai perubahan yang berdampak besar terhadap sistem
pengendalian internal.
1. Menilai perubahan pada lingkungan eksternal – Proses identifikasi resiko
mempertimbangkan perubahan yang berasal dari lingkungan eksternal yang
secara signifikan dapat mempengaruhi kemampuan sebuah entitas dalam
mencapai tujuan.
26
2. Menilai perubahan pada model bisnis – Organisasi mempertimbangkan
dampak yang mungkin terjadi dari dibuatnya model bisnis baru, yang secara
langsung akan mengubah model bisnis yang sudah ada, mengehentikan operasi
bisnis pada pengendalian internal, mengubah ketergantungan pada ilmu
geologi asing, teknologi baru dan perubahan pada lingkungan fisik yang
berhubungan dengan oeprasi bisnis.
3. Menilai perubahan pada kepemimpinan – Organisasi mempertimbangkan
perubahan didalam manajemen dan sikap mereka masing-masing serta filosofi
didalam pengendalian internal.
Komponen Bagian Ketiga : (Control activities) adalah langkah yang diambil
melalui kebijakan dan prosedur yang membantu manajemen memetakan resiko
pada tujuan perusahaan.
Prinsip 10 : Memilih dan mengembangkan aktivitas pengawasan. Organisasi
memilih dan mengembangan aktivitas pengawasan yang berkontribusi pada
mitigasi resiko intuk pencapaian tujuan pada tingkat tertentu.
1. Menghubungkan aktivitas pengendalian dengan penilaian resiko – Aktivitas
pengawasan membantu memastikan bahwa tanggapan resiko
2. Menentukan proses bisnis yang relevan – Manajemen menentukan proses
binsis mana yang memerlukan aktivitas pengawasan.
3. Mempertimbangkan faktor spesifik sebuah entitas – Manajemen
mempertimbangkan bagaiamana lingkungan, kompleksitas, alam, ruang
lingkup operasi dan karakteristik organisasi itu sendiri mempengaruhi pilihan
dan pengembangan dari aktivitas pengawasan.
4. Mengevaluasi tipe aktivitas pengawasan campuran – Aktivitas pengawasan
termasuk didalamnya jarak dan jenis pengawasan serta pendekatan untuk
menilai resiko dengan mempertimbangkan aktivitas pengendalian baik secara
manual maupun otomatis.
27
5. Memahami pada tingkat mana aktivitas akan diaplikasikan – Manajemen
mempertimbangkan aktivitas pengawasan pada beberapa level didalam setiap
entitas.
6. Addresses segregation of duties – Manajemen mempertimbangkan bagaimana
melakukan pembagian tugas sesuai dengan tanggung jawab masing-masing
entitas.
Prinsip 11 : Memilih dan mengembangkan pengawasan umum terhadap
teknologi. Organisasi memilih dan mengembangkan pengawasan secara umum
terhadap teknologi untuk mendukung tercapainya tujuan.
1. Menentukan ketergantungan antara penggunaan teknologi didalam proses
bisnis dan pengawasan teknologi – Manajemen memahami kemudian
menetukan tingkat ketergantungan serta keterkaitan antara proses bisnis,
kegiatan pengawasan otomatis dan pengawasan teknologi secara umum.
2. Menetapkan infrastruktur teknologi kegiatan pengawasan – Manajemen
memilih dan mengembangkan kegiatan pengawasan terhadap infrastruktur
teknologi yang didesain dan diimplementasikan untuk membantu memastikan
kelengkapan, keakuratan, dan ketersediaan sebuah teknologi pemrosesan.
3. Menetapkan pengawasan manajemen pengawasan kegiatan – Manajemen
memilih dan mengembangkan kegiatan pengawasan yang dirancang dan
diimplementasikan untuk membatasi akses terhadap teknologi, menyesuaikan
wewenang dengan tanggung jawab, dan mengamankan aset entitas dari
ancaman luar.
4. Menetapkan teknologi yang sesuai untuk penerimaan, pengembangan dan
pengawasan proses maintenance – Manajemen memilih dan mengembangkan
kegiatan pengawasan terhadap penerimaan, pengembangan dan perawatan
terhadap teknologi beserta infrastrukturnya untuk mencapai tujuan
manajemen.
Prinsip 12 : Melaksanakan sesuai kebijakan dan prosedur. Organisasi
mengerahkan kegiatan pengawasan yang diwujudkan dari didalam kebijakan
28
1. Menetapkan kebijakan dan prosedur untuk mendukung pelaksanaan tujuan
manajemen arahan manajemen – Manajemen menetapkan aktivitas
pengawasan yang dibangun didalam proses bisnis dan kegiatan sehari-hari
pegawai melalui penetapan kebijakan dan prosedur yang relevan.
2. Menetapkan tanggung jawab dan akuntabilitas untuk menjalankan kebijakan
dan prosedur – Manajemen menetapkan tanggung jawab dan akuntabilitas
untuk pengawasan terhadap kegiatan manajemen unit bisnis dimana resiko
berada.
3. Dilakukan oleh anggota yang kompeten – Anggota yang kompeten melakukan
kegiatan pengawasan dengan ketekunan dan terpusat secara terus menerus.
4. Dilakukan tepat waktu – Anggota yang bertanggung jawab melakukan kegiatan
pengawasan pada waktu yang tepat sesuai pada kebijakan dan prosedur.
5. Mengambil langkah perbaikan – Anggota yang bertanggung jawab melakukan
penyelidikan dan mengambil tindakan terhadap masalah yang ditemukan pada
saat proses pengawasan.
6. Melakukan penilaian ulang terhadap kebijiakan dan prosedur – Manajemen
secara periodik melakukan review terhadap aktivitas pengawasan untuk
menentukan langkah selanjutnya dan melakukan penyegaran apabila
diperlukan.
Komponen Bagian Keempat : Pemrosesan informasi dan komunikasi
(Information processing and communication) adalah kegiatan yang mengevaluasi
sumber dan kualitas informasi yang digunakan, serta kelancaran komunikasi
dengan pihak eksternal.
Prinsip 13 : Menggunakan informasi yang relevan. Organisasi memperoleh atau
menghasilkan dan menggunakan informasi yang berkualitas untuk mendukung
fungsi komponen lain didalam pengendalian internal.
1. Mengidentifikasi kebutuhan informasi – Sebuah proses dibutuhkan untuk
mengidentifikasi kebutuhan informasi yang diperlukan dan diharapkan untuk
29
mendukung fungsi komponen lain didalam pengendalian internal serta
pencapaian tujuan entitas.
2. Menangkap sumber data internal dan eksternal – Sistem informasi menangkap
sumber data internal dan eksternal.
3. Mengolah data yang relevan menjadi sebuah informasi – Sistem informasi
mengolah dan merubah bentuk sebuah data relevan menjadi sebuah informasi.
4. Mempertahankan kualitas pengolahan – Sistem informasi membuat sebuah
informasi menjadi tepat waktu, uptodate, akurat, lengkap, mudah diakses,
terlindungi, dapat diperiksa dan dapat disimpan. Informasi diterima untuk
menilai relevansinya dalam mendukung pengendalian internal sebuah
komponen.
5. Mempertimbangkan biaya dan manfaat – Sifat, kuantitas, dan ketepatan
informasi yang dikomunikasikan harus sesuai dan mendukung tujuan
pencapaian perusahaan.
Prinsip 14 : Komunikasi internal. Organisasi melakukan komunikasi internal,
termasuk tujuan dan tanggung jawab pengendalian internal yang berguna untuk
mendukung fungsi komponen lain didalam pengendalian internal.
1. Melakukan komunikasi informasi pengendalian internal dengan anggota –
Proses berfungsi untuk mengkomunikasikan informasi yang dibutuhkan, agar
semua anggota dapat mengerti serta menjalankan tanggung jawab pengendalian
internal mereka.
2. Melakukan komunikasi dengan dewan direksi – Komunikasi terjalin diantara
manajemen dan dewan direksi agar keduanya dapat mendapatkan informasi
kebutuhan informasi mereka dalam menjalankan tugas masing-masing demi
mencapai tujuan.
3. Menyediakan jalur komunikasi terpisah – Saluran komunikasi terpisah yang
berfungsi sebagai mekanisme fail-safe agar dapat melakukan komunikasi
rahasia disaat saluran normal tidak efektif.
30
4. Memilih cara berkomunikasi yang relevan – Cara berkomunikasi
mempertimbangkan waktu, pengguna, dan sifat komunikasi itu sendiri.
Prinsip 15 : Komunikasi eksternal. Organisasi melakukan komunikasi dengan
pihak eksternal mengenai hal yang berdampak pada fungsi komponen
pengendalian internal.
1. Komunikasi dengan pihak eksternal – Suatu proses ditempatkan untuk
mengkomunikasikan informasi yang relevan serta tepat waktu kepada pihak
luar termasuk pemegang saham, rekanan, pemilik, pembuat kebijakan,
pelanggan, dan analis keuangan serta pihak luar lainnya.
2. Memungkinkan komunikasi antara pihak luar dengan perusahaan – Saluran
komunikasi terbuka memungkinkan pelanggan, pengguna, penyedia, auditor
eksternal, pembuat kebijakan, analis keuangan dan pihak luar lainnya
memberikan masukkan informasi yang relevan untuk manajemen dan dewan
direksi.
3. Menyediakan jalur komunikasi terpisah - Saluran komunikasi terpisah yang
berfungsi sebagai mekanisme fail-safe agar dapat melakukan komunikasi
rahasia disaat saluran normal tidak efektif.
4. Komunikasi dengan dewan direksi – Informasi yang relevan, merupakan hasil
dari penilaian yang dilakukan pihak eksternal yang kemudian dikomunikasikan
kepada dewan direksi.
5. Memilih cara berkomunikasi yang relevan – Cara berkomunikasi
mempertimbangkan waktu, pengguna, sifat komunikasi, hukum, dan aturan.
Komponen Bagian Kelima : Kegiatan Pemantauan (Monitoring activities)
adalah proses penilaian mutu kinerja sistem pengendalian intern, sepanjang waktu.
Sistem pengendalian internal perlu diawasi, sebuah proses untuk menentukan
kualitas performa sistem dari waktu ke waktu
Prinsip 16 : Melakukan evaluasi secara berkelanjutan atau terpisah. Organisasi
memilih, mengembangkan dan melakukan evaluasi secara berkelanjutan untuk
31
memastikan apakah komponen pengendalian yang sudah ada berfungsi dengan
baik.
1. Mempertimbangkan evaluasi berkelanjutan dan evaluasi secara terpisah –
Manajemen mencakup keseimbangan antara evaluasi secara berkelanjutan dan
evaluasi secara terpisah.
2. Menetapkan pemahaman dasar – Rancangan serta pernyataan pada
pengendalian internal digunakan untuk menetapkan dasar melakukan evaluasi
berkelanjutan dan evaluasi terpisah.
3. Mempertimbangkan tingkat perubahan – Manajemen mempertimbangkan
tingkat perubahan pada bisnis serta proses bisnis didalamnya saat memilih dan
mengembangkan evaluasi berkelanjutan dan evaluasi terpisah.
4. Menggunakan pengetahuan anggota – Bagi penilai kinerja evaluasi
berkelanjutan dan terpisah harus memiliki pengetahuan yang memadai tentang
apa yang sedang dievaluasi.
5. Mengintegrasikan dengan proses bisnis – Evaluasi berkelanjutan dibuat
kedalam proses bisnis dan digunakan untuk merubah situasi.
6. Mengevaluasi secara obyektif – Evaluasi terpisah dilakukan secara berkala
untuk menyediakan masukkan yang obyektif.
7. Menyesuaikan frekuensi dan ruang lingkup – Manajemen membagi frekeunsi
dan ruang lingkup berdasarkan resikonya.
Prinsip 17 : Mengevaluasi dan mengkomunikasikan kekurangan. Organisasi
mengevaluasi dan mengkomunikasikan kekurangan didalam pengendalian internal
secara tepat waktu yang ditujukan kepada pihak yang bertanggung jawab untuk
mengambil langkah perbaikan, termasuk didalamnya Manajemen senior dan
dewan direksi.
1. Hasil penilaian – Manajemen dan dewan direksi yang sesuai, menilai hasil
evaluasi yang sedang berjalan dan evaluasi secara terpisah.
32
2. Mengkomunikasikan kekurangan kepada manajemen – Kekurangan
dikomunikasikan kepada pihak yang bertanggung jawab untuk mengambil
tindakan perbaikan oleh manajemen tingkat satu.
3. Melaporkan kekurangan kepada manajemen senior dan dewan direksi –
Kekurangan dilaporkan kepada manajemen senior dan dewan direksi yang
sesuai.
4. Memantau langkah perbaikan – Manajemen melacak apakah kekurangan yang
ada telah dipulihkan tepat waktu.
2.3.4 Metode Pengendalian Internal COBIT 5
Menurut ISACA (2013) COBIT 5 adalah salah satu kerangka bisnis untuk tata
kelola dan manajemen perusahaan IT. Versi evolusiner ini menggabungkan pemikiran
terbaru dalam tata kelola perusahaan dan teknik manajemen, serta menyediakan
prinsip-prinsip, praktek, alat-alat analisis dan model yang diterim secara global untuk
membantu meningkatkan kepercayaan, dan nilai dari sistem informasi. COBIT 5
membangun dan memperluas COBIT 4.1 dengan mengintegrasikan kerangka besar
lainnya, standar dan sumber daya, termasuk ISACA Val IT dan Risiko TI, Technology
Infrastructure Library (ITIL®) dan standar yang terkait dari International Organization
for Standardization (ISO).
COBIT 5 membantu perusahaan menciptakan nilai yang optimal dari TI dengan
menjaga keseimbangan antara menyadari manfaatnya dan mengoptimalkan tingkat
risiko serta penggunaan sumber daya. Kerangka kerja ini membahas bisnis dan area
fungsional IT di suatu perusahaan dan mempertimbangkan kepentingan yang berkaitan
dengan IT secara internal dan eksteranl bagi para stake holder. Perusahaan dari semua
ukuran, baik yang komersial, non-profit atau di sektor publik, bisa mendapatkan
keuntungan dari COBIT 5.
33
COBIT 5 didasarkan pada lima prinsip utama tata kelola dan manajemen
perusahaan TI yaitu :
Prinsip 1: Memenuhi Kebutuhan Stakeholder.
Prinsip 2: Melingkupi End-to-End Perusahaan.
Prinsip 3: Menerapkan Satu, Kerangka Terintegrasi.
Prinsip 4: Memungkinkan Pendekatan Holistik.
Prinsip 5: Memisahkan Tata Kelola dari Manajemen
34
2.3.5 Tabel perbandingan COSO 2011 dan COBIT 5
Perbandingan Kelebihan Kekurangan
COSO 2011 1. Memberikan kepastian untuk
manajer senior yang memerlukan
kepastian organisasi, apakah telah
memiliki sistem kontrol internal
untuk menyediakan kemampuan
memasarkan dan meningkatkan
harga saham.
2. Membantu Manajer kunci dan
auditor internal untuk menerapkan
standar Sarbanes-Oxley.
3. COSO fokus kepada proses
penyelarasan TI dengan strategi
perusahaan, dan sangat fokus
dalam hal desain dan
implementasi TI.
1. COSO mempunyai detail
yang dangkal, walaupun
spektrum proses teknis dan
operasionalnya cukup luas.
COBIT 5 1. COBIT mempunyai model
kematangan (maturity model)
untuk mengontrol proses-proses
TI, dengan menggunakan metode
penilaian (scoring) sehingga suatu
organisasi dapat menilai proses-
proses TI yang dimilikinya dari
skala non-existent sampai dengan
optimized.
2. COBIT memberikan sebuah
Maturity process untuk
mengendalikan proses TI sehingga
pihak manajemen dapat
memetakan di mana posisi
1. Cobit Hanya berfokus pada
pengukuran dan
pengendalian.
2. COBIT hanya memberikan
panduan kendali dan tidak
memberikan panduan
operasional .
35
perusahaan tersebut, keadaan
perusahaan sesuai tidaknya
dengan class industry ataupun
terhadap standar internasional.
Tabel 2.2 Perbandingan COBIT 5 dan COSO 2011