kelompok vi sia (pengendalian dan sistem informasi akuntansi) (1)

50
DISUSUN OLEH KELOMPOK IV: ISMUADI DELI MARISA MARWAN HUSNI HAMID

Upload: ismuadi-sniper

Post on 13-Aug-2015

762 views

Category:

Documents


74 download

TRANSCRIPT

Page 1: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

DISUSUN OLEH KELOMPOK IV:ISMUADI

DELI MARISAMARWAN

HUSNI HAMID

Page 2: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

BAB 7

PENGENDALIAN SISTIM INFORMASI AKUNTANSI

Kasus intregratif Perusahaan Springer’s Lumber & Supply

Jason Scot, seorang internal auditor untuk Nortwest Industri, sedang mengaudit

Springer’s & Lumber Supply, Outlet material bangunan di Nortwest Bozeman, Montana.

Supervisornya Maria Piller, memintanya untuk menelusiri sebuah transaksi pembelian

dari permintaan pembelian sampai pengeluaran kas untuk memverifikasi prosedur

pengendalian yang benar telah diikuti. Jason frustasi dengan dengan tugas ini, dengan

alasan sebagai berikut:

Sistim pembelian sangat sedikit dokumentasinya

Dia menyimpan transaksi-transaksi yang tidak diproses seperti Ed Yates, Manajer

hutang mengatakan mereka harus melakukan seperti itu.

Permintaan pembelian untuk beberapa item yang diotorisasi secara personal oleh Bill

Springer, wakil president pembelian

Beberapa faktur telah dilunasi tanpa adanya dokumen pendukung, seperti order

pembelian dan laporan penerimaan barang.

Harga-harga beberapa jenis barang tidak seperti biasanya terasa mahal, ada beberapa

perbedaan dalam jenis harga barang antara faktur vendor koresponden order

pembelian

Yates telah menjawab secara logis setiap jawaban yang Jason ajukan dan

menyarakan Jasan bahwa Dunia nyata tidak sama seperti yang digambarkan dalam buku

text. Maria juga mengalami beberapa prihatin:

Springer’s adalah supplier terbesar di kawasan tersebut dan hampir memonopoli

Otoritas manajement dijabat oleh president perusahaan, Joe Springer’s dan dua

anaknya, Bill (wakil president pembelian), dan Ted (pengawas), beberapa Saudara

dan teman-temanya pada bidang penggajian. Springer’s memilki 10% dari

kepemilikan perusahaan

Garis wewenang dan tanggungjawab dalam perusahaan kabur dan membingungkan

Maria percaya bahwa Ted Springer’s telah terlibat dalam “rekayasa akuntansi” untuk

membuat Springer’s sebagai sebuah perusahaan retail terbaik di Nortwest

4 | P a g e S I A K e l o m p o k V I

Page 3: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Setelah berbicara dengan Maria, Jason memikirkan beberapa hal sebagai berikut:

1. Karena Ed Yates memiliki jawaban logis terhadap setiap transaksi yang tidak lazim,

haruskah Jason menjelaskan transaksi ini dalam laporannya?

2. Apakah sebuah pelanggaran dari prosedur pengendalian dapat diterima jika

manajemen telah mengesahkannya?

3. Maria prihatin dengan garis wewenang Springer’s yang kabur dan memungkinkan

“rekayasa akuntansi” merupakan masalah dari kebijakan manajemen, Apakah dia

telah berlaku professional atau bertanggungjawab secara etik terlibat?

PENDAHULUAN

Mengapa ancaman terhadap sistim informasi akuntansi terus meningkat

Hampir setiap tahun, lebih dari 60% mengalami sebuah kegagalan besar dalam

mengendalikan keamanan dan intregitas sistim komputer mereka. Penyebab-penyebanya

adalah sebagai berikut:

Informasi tersedia untuk junlah karyawan yang sangat besar. Chevron contohnya

memiliki 35.000 unit personal komputer.

Informasi yang didistribusikan dalam jaringan informasi sukar untuk diawasi. Di

Chevron, informasi didistribusikan ke setiap sistim dan ke beribu-ribu karyawan di

seluruh dunia. Setiap sistim dan karyawan berpotensi mewakili titik rentan

pengawasan.

Pelanggan dan supplier dapat mengakses setiap sistim dan data. Contoh WalMart

membolehkan vendornya untuk mengakses database mereka. Bayangkan

kepercayaan yang diberikan seperti ini kepada vendor yang memiliki hubungan

dengan pesaing.

5 | P a g e S I A K e l o m p o k V I

Page 4: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Organisasi belum melakukan proteksi data secara cukup memiliki beberapa alasan:

Beberapa perusahaan melihat bahwa kehilangan beberapa informasi penting masih

jauh dan sepertinya bukan ancaman

Implikasi pengendalian akibat berpindahnya sistim komputer yang tersentral ke

sistim berbasis internet tidak sepenuhnya dipahami.

Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber strategis

dan melindunginya membutuhkan sebuah strategi, contohnya sebuah perusahaan

kehilangan jutaan dollar karena tidak melindungi transmisi data. Seorang pesaing

masuk ke jaringan telepon dan mengfax design produk baru.

Produktivitas dan biaya menekan motivasi manajemen

TINJAUAN ATAS KONSEP PENGENDALIAN

Pengendalian Internal adalah proses yang dilakukan untuk menyediakan jaminan yang

masuk akal agar tujuan pengendalian tersebut tercapai , diantara tujuan tersebut adalah;

1. Mengamankan aset

2. Memelihara catatan dengan detail yang memadai

3. Menyediakan informasi yang akurat dan dapat diandalkan

4. Memberikan dan meningkatkan efisiensi operasi

5. Meningkatkan kepatuhan terhadap kebijakan manajerial yang dirumuskan.

6. Menuruti regulasi dan hukum yang dapat diterapkan.

Pengendalian Internal melakukan 3 (tiga) fungsi penting yaitu :

1. Pengendalian Preventif (Pencegahan) menentukan permasalahan sebelum

terjadi. Misalnya memperkerjakan personil yang berkualitas, memisahkan tugas-

tugas karyawan, dan mengendalikan akses fisik terhadap aset dan informasi

2. Deteksi Pengendalian menemukan permasalahan yang tidak dapat dicegah.

Misalkan termsuk menduplikasikan kalkulasi pemeriksaan dan menyiapkan

rekonsiliasi bank dan trial balance bulanan.

3. Koreksi Pengendalian menentukan dan mengoreksi permasalahan sebagaimana

proses memperbaiki dan memulihkan hasil error. Misalnya termasuk dalam

menjaga backup rekaman files, memperbaiki data entry yang error dan

menyerahkan kembali transaksi untuk proses selanjutnya.

6 | P a g e S I A K e l o m p o k V I

Page 5: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Pengendalian internal sering dibedakan dalam dua katagori:

1. Pengendalian Umum membuat keyakinan terhadap lingkungan pengendalian sebuah

organisasi stabil dan terpimpin dengan baik. Contohnya keamanan, Infrastruktur IT,

pengadaan sofware, pembangunan dan pemeliharaan pengawasan

2. Pengendalian aplikasi membuat keyakinan transaksi diproses secara benar. Mereka

perhatian dengan akurasi, kelengkapan, validitasi, dan otorisasi dari data diterima,

dimasukkan, diproses, disimpan, ditransmisikan ke sistim yang lain, dan dilaporkan.

Robert Simmon, seorang Professor Business di Harvard telah menuangkan empat

level pengendalian untuk membantu manajemen merekonsiliasi konflik antara kreativitas

dan pengendalian.

1. Sistim percaya (Belief system) menjelaskan bagaimana perusahaan membuat nilai,

membantu karyawan memahami visi manajemen perusahaan, mengkomunikasikan

nilai inti, dan menginspirasi karyawan untuk hidup dengan nilai-nilai tersebut.

2. Sistim Batas (Boundary sistim), membantu karyawan bertindak secara etis dengan

menyusun batasan-batasan tingkah laku karyawan. Karyawan tidak dikatakan apa

yang sesungguhnya harus dilakukan. Namun mereka di dorong untuk bertindak

secara kreatif mengatasi masalah dan memenuhi keinginan pelanggan ketika

menemukan adanya standard minimum diberikan, menghindari hal-hal yang

mebatasi, dan mencegah hal-hal yang menghancurkan reputasi mereka.

3. Sistim Pengendalian Diagnosa (Diagnostic control system), mengukur, memantau

dan membandingkan kemajuan aktual perusahaan dengan anggaran dan tujuannya.

Umpan balik membantu manajemen menyesuaikan input dan proses sehingga output

lebih mendekati tujuan.

4. Membuat manajer fokus pada isu-isu strategis untuk lebih terlibat dalam keputusan

mereka.

5. Sistim pengendalian interaktif membantu manajemen untuk fokus kepada isu-isu

strategis dan lebih terlibat dalam pengambilan keputusan mereka. Sistim interaktif

data diterjemahkan dan didiskusikan dalam pertemuan tatap muka dari yang paling

atas, bawahan dan sesama.

7 | P a g e S I A K e l o m p o k V I

Page 6: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Namun tidak semua organisasi mempunyai sistim pengendalian internal control

yang efektif. Contohnya sebuah laporan mengindikasikan bahwa FBI diganggu dengan

rentannya infranstruktur IT dan masalah keamanan, beberapa dari kejadian itu telah

diindentifikasikan 13 tahun yang lalu. Hal-hal yang diprihatikan adalah mengenai

standar keamanan, pedoman, dan prosedur, pemisahan tugas-tugas, pengawasan akses,

termasuk manajemen paword dan penggunaan, pengendalian backup dan penyembuhan,

dan pengembangan sofware dan pengendalian perubahan.

Praktek Korupsi Asing dan Undang-undang sarbane oakley

Tahun 1997 Undang-undang Praktek Korupsi Asing (FCPA) telah lulus untuk

mencegah perusahaan melakukan penyuapan kepada pegawai-pegawai asing untuk

mendapatkan bisnis. Kongres menggabungkan bahasa dari pernyataan American

Institute of Certified Public Accountants (AICPA) kedalam FCPA yang meminta

perusahaan sistim yang baik dari pengendalian intern. Sayangnya, permintaan ini

tidaklah cukup untuk mencegah masalah selanjutnya.

Di akhir tahun 1990 dan awal tahun 2000, berita baru dilaporkan terjadinya

kecurangan di Enron, Worldcom, Xerox, Tyco, Global Crossing, Adelphia, dan

perusahaan-perusahaan lain. Ketika Enron mengumumkan kebangkrutannya dengan nilai

asset $62 milyar pada Desember 2001. yang merupakan kebangkrutan terbesar dalam

sejarah USA. Pada Juni tahun 2002 Arthur Anderson, salah satu firma akuntan publik

terbesar bangkrut. Kebangkrutan Enron dikecilkan oleh kebangkrutan WorlCom, lebih

dari $100 milyar dalam asset, dan mengajukan kebangkrutan pada Juli 2002. Dalam

merespon kecurangan-kecurangan ini, Kongres mengesahkan undang-undang Sarbane

Oaxley (SOX) pada tahun 2002. SOX berlaku untuk perusahaan-perusahaan publik dan

auditor mereka untuk mencegah kecurangan dalam laporan keuangan, membuat laporan

keuangan lebih transparan, melindungi investor, memperkuat pengendalian intern, dan

menghukum eksekutif yang melakukan kecurangan.

SOX adalah undang-undang yang berorientasi bisnis yang sangat penting dalam

75 tahun terakhir. Undang-undang tersebut merubah dewan direktur dan manajemen

bekerja dan memiliki pengaruh dramatis terhadap CPA yang mengaudit mereka. Berikut

adalah beberapa aspek penting dari SOX.

Public Company Accounting Oversight Board (PCAOB), SOX membuat Badan

Pemantau Akuntansi Perusahaan Publik (PCAOB) untuk mengendalikan profesi

8 | P a g e S I A K e l o m p o k V I

Page 7: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

auditing. PCAOB menyiapkan dan menerapkan Auditing, pengendalian

berkualitas, etiket, kebebasan, standar-standar audit lainnya.

Aturan-aturan baru untuk para auditor. Auditor harus melaporkan informasi

spesifik untuk komite audit perusahaan, seperti kebijakan-kebijakan akuntansi

genting dan praktek. Mitra audit harus diganti setiap kali. SOX melarang auditor

dari melmberikan jasa-jasa non audit tertentu. Seperti design sistim informasi dan

implementasinya. Perusahaan audit tidak boleh memberikan jasa kepada

perusahaan-perusaan jika manajemen puncaknya pernah dipekerjakan pada

perusahaan yang sedang melakukan audit dan bekerja pada perusahaan audit

dalam masa 12 bulan sebelumnya.

Aturan-aturan baru untuk komite audit, anggota-angota komite audit harus

dimasukkan dalam dewan direktur perusahaan dan berada bebas di perusahaan.

Seorang anggota komite audit harus ahli keuangan. Komite audit menyewa,

mengkompensasi dan memantau auditor yang melaporkan terhadapnya secara

langsung.

Aturan-aturan baru untuk manajemen. SOX meminta CEO dan CFO untuk

menyatakan bahwa (1) laporan keuangan dan pengungkapan disajikan secara fair,

yang direfisi oleh manjemen dan tidak menyesatkan, dan bahwa (2) auditor-

auditor akan diminta untuk mengungkapkan semua hal-hal kelemahan

pengendalian internal dan kecurangan. Jika manajemen secara sengaja

melakukan penyimpangan aturan ini mereka bisa dituntut dan didenda.

Perusahaan harus mengungkapkan dalam bahasa inggris biasa perubahan-

perubahan material dalam laporan keuangan mereka secara tepat waktu.

Permintaan-permintaan pengendalian internal baru. Seksi 404 meminta

perusahaan-perusahaan untuk menerbitkan sebuah laporan menemani catatan

laporan keuangan yang mana manajemen bertanggungjawab untuk menegakkan

dan memelihara sistim internal kontrol yang memadai. Laporan tersebut harus

berisi penilaian manajemen terhadap pengendalian internal control,

memperlihatkan keakurasian mereka, melaporkan kelemahan signifikan atau hal-

hal ketidakpatuhan.

Setelah SOX disahkan, Security Exhange Commission diamanatkan bahwa manajemen

harus:

9 | P a g e S I A K e l o m p o k V I

Page 8: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Mendasarkan evaluasinya pada kerangka pengendalian yang diakui. Kerangka

yang paling memungkinkan, diformulasikan oleh COSO akan didiskusikan dalam

Bab ini.

Mengungkapkan semua kelemahan material pengendalian intern

Menyimpulkan bahwa sebuah perusahaan yang tidak efektif pengendalian intern

pelaporan keuangannya jika adanya kelemahan yang material.

KERANGKA KERJA PENGENDALIAN

Cobit Framework

Asosiasi Pengendalian dan Audit Sistim Informasi (ISACA) telah membuat

kerangka tujuan pengendalian untuk informasi dan teknologi (COBIT). COBIT

menggabungkan standar pengendalian dari 36 sumber yang berbeda kedalam sebuah

kerangka tunggal yang memungkinkan (1) manajemen untuk membuat patokan

keamanan dan pelaksanaan pengendalian dari lingkungan IT, (2) Pengguna dijamin

bahwa keamanan IT yang cukup dan keberadaan pengendalian, dan (3) Auditor

menyokong pendapat pengendalian intern mereka dan menyarankan terhadap keamanan

IT dan masalah-masalah pengendalian.

Kerangka pengendalian disampaikan dari tiga titik pandang.

1. Tujuan bisnis, untuk memenuhi tujuan bisnis, informasi harus mematuhi tujuh

katagori dari criteria yang telah dipetakan dalam tujuan-tujuan yang telah dibuat

oleh Komite Organisasi Sponsor (COSO)

2. Sumber daya IT, termasuk orang, sistim aplikasi, teknologi, fasilitas, dan data.

3. Proses IT, hal-hal ini dipecahkan dalam empat wilayah, perencanaan dan

organisasi, akuisisi dan implementasi, pengiriman dan dukungan, dan monitoring

dan evaluasi.

Kerangka kerja pengendalian internal COSO

Committee of Sponsoring Organization (COSO) beranggotakan American

Accounting Association, American Institute of Certified Public Accountants (AICPA),

Institute of Internal Auditors, The Isntitute of Management Accountants, and the

Financial Excecutive Institute. Pada tahun 1992 COSO mengeluakan Internal Control-

10 | P a g e S I A K e l o m p o k V I

Page 9: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Intregated Framework (IC), kerangka keja pengendalian intern yang terintregasi yang

secara luas diterima sebagai pengendalian intern yang sah dan digabungkan dalam

kebijakan-kebijakan, aturan, dan undang-undang digunakan untuk mengendalikan

kegiatan bisnis.

Lima komponen dari kerangka kerja Internal Control-Intregated Framework (IC),

disimpulkan dalam Tabel 7-1 sebagai bagaian COSO terbaru Kerangka Kerja Manajemen

Resiko Perusahaan.

Kerangka Kerja Manajemen Resiko Perusahaan COSO

Untuk meningkatkan proses manajemen resiko, COSO membuat kernagka kerja

pengendalian internal kedua yang dianamakan Enterprise Risk Management (ERM) atau

Manajemen Resiko Perusahaan. ERM adalah proses dewan direktur dan manajemen

mempersiapkan strategi, mengidentifikasikan kejadian-kejadian yang mempengaruhi

entitas, menilai dan mengelola resiko dan menyediakan jaminan yang wajar bahwa

perusahaan meraih sasaran dan tujuannya. Prinsip-prinsip dasar dibelakang ERM sebagai

berikut:

Perusahaan dibentuk untuk menciptakan nilai bagi pemilik-pemilknya

Manajemen harus memutuskan berapa banyak ketidakmentuan akan menerima

karena menciptakan nilai.

Ketidakmenentuan akan menghasilkan resiko, dimana sesuatu yang terjadi secara

negatif akan mempengaruhi kemampuan perusahaan untuk menciptakan atau

mempertahankan nilai.

Ketidakmenentuan menghasilkan kesempatan, dimana sesuatu yang terjadi secara

positif akan mempengaruhi kemampuan perusahaan untuk menciptakan nilai dan

mempertahankan nilai.

Kerangka kerja ERM bisa mengelola ketidakmenentuan dan juga menciptakan

dan mempertahankan nilai

COSO membuat gambar 7-1 untuk mengilustrasikan elemen-elemen ERM.

Empat kolom puncak menunjukkan bahwa tujuan manajemen harus bertemu dengan

tujuan perusahaan. Kolom sebelah kanan menunjukkan unit-unit perusahaan. Baris

horizontal adalah delapan resiko saling berhubungan dan komponen-komponen

11 | P a g e S I A K e l o m p o k V I

Page 10: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

pengendalian ERM. Model ERM berbentuk tiga dimensi. Setiap delapan resiko dan dan

elemen-elemen pengendalian diterapkan ke setiap empat tujuan perusahaan dan atau ke

subunit-subunit. Contohnya Perusahaan XYZ bisa melihat aktivitas pengendalian untuk

tujuan operasi divisi Pasifik.

Figure 7-1 COSO’s Enterprise Risk Management model

LINGKUNGAN INTERNAL

Lingkungan internal atau budaya perusahaan mempengaruhi organisasi

membangun strategi dan tujuan, struktur aktivitas bisnis, mengidentifikasi, menilai dan

merespon resiko. Ini merupakan pondasi bagi semua komponen ERM. Sebuah

kelemahan atau kekurangan lingkungan internal sering menghasilkan gangguan dalam

manajemen resiko dan pengendalian. Pada dasarnya hal yang sama seperti dalam

lingkungan pengendalian dalam kerangka kerja IC.

Lingkungan internal terdiri sebagai berikut:

1. Filsafat manajemen, style operasi, dan keinginan resiko

2. Dewan direktur

3. Komitmen integritas, nilai-nilai etika, dan kompetensi

4. Metode pemeberian wewenang dan tanggungjawab

5. Standar Sumber daya manusia

6. Pengaruh-pengaruh eksternal

12 | P a g e S I A K e l o m p o k V I

Page 11: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

PENYUSUNAN TUJUAN

Penyusunan tujuan adalah komponen ERM (Enterprise Risk

Management). Manajemen menentukan apakah perusahaan dapat mencapai apa

yang disebut dengan visi dan misi perusahaan. Manajemen menyusun tujuan-

tujuan pada tingkat perusahaan dan kemudian membaginya ke dalam beberapa

tujuan yang lebih spesifik bagi sub unit perusahaan. Perusahaan tersebut

menentukan apa yang harus berjalan benar untuk mencapai tujuan kinerja dan

membangun pengukuran kinerja yang menentukan apakah tercapai atau tidak.

Tujuan strategis, yang merupakan tujuan paling penting yang harus

disejajarkan dengan misi perusahaan, mendukungnya, dan menciptakan nilai

saham, yang harus disusun terlebih dulu. Manajemen harus menentukan cara

alternative dalam melengkapi tujuan strategis; mengidentifikasi dan menilai resiko

dan implikasi dari setiap alternative; merumuskan strategi perusahaan dan

menentukan operasi, melaksanakan dan melaporkan tujuan.

Tujuan Operasi, yang berkaitan dengan keefektifan dan keefisiensian

kerja perusahaan yang menentukan bagaimana mengalokasikan sumberdaya.

Tujuan ini mencerminkan pilihan-pilihan manajemen, penilaian, dan gaya kerja

yang merupakan faktor kunci kesuksesan perusahaan. Tujuan ini berubah secara

signifikan – sebuah perusahaan dapat memutuskan untuk menjadi pengguna

teknologi lebih awal atau pengguna teknologi bila teknologi tersebut terbukti, dan

yang ketiga menggunakan teknologi hanya setelah teknologi tersebut diterima

secara umum.

Tujuan Pelaporan, membantu memastikan keakuratan, kelengkapan dan

kehandalan laporan perusahaan; meningkatkan pengambilan keputusan, dan

memonitor aktivitas dan kinerja perusahaan.

Tujuan Pelaksanaan, membantu perusahaan mematuhi semua regulasi

dan hokum yang berlaku. Tujuan pelaksanaan yang paling penting, dan banyak

tujuan pelaporan dikenakan oleh entitas eksternal sebagai respon atas hukum dan

13 | P a g e S I A K e l o m p o k V I

Page 12: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

regulasi. Seberapa bagus perusahaan mencapai tujuan pelaksanaan dan pelaporan

akan secara signifikan berpengaruh terhadap reputasi perusahaan.

ERM menyediakan jaminan yang masuk akal dimana tujuan pelaksanaan dan

pelaporan tercapai karena perusahaan memiliki kendali terhadap tujuan tersebut.

Walau bagaimanapun, satu-satunya jaminan yang masuk akal dapat menyediakan

tujuan strategis dan operasi, yang terkadang ada pada kejadian eksternal diluar

kendali, dimana perusahaan dan direktur akan dapat diinformasikan dengan

berbasis waktu atas progres yang akan dicapai perusahaan.

IDENTIFIKASI KEJADIAN

COSO mengidentifikasi kejadian sebagai sebuah “Insiden atau kejadian

yang berasal dari sumber internal dan eksternal yang mempengaruhi pelaksanaan

strategi dan pencapaian tujuan. Suatu kejadian dapat berpengaruh positif atau

negatif dan bisa juga kedua-duanya. Suatu kejadian memperlihatkan

ketidakpastian; yang bisa atau tidak bisa terjadi. Bila kejadian tersebut terjadi,

sulit diketahu kapan. Sampai kejadian tersebut terjadi, akan sulit menentukan

pengaruhnya. Saat kejadian tersebut terjadi, akan dapat memicu terjadinya

kejadian lainnya. Kejadian dapat terjadi secara individu dan concurently.

Manajemen harus mengantisipasi semua kejadian positif dan negatif yang

mungkin terjadi, menentukan yang mana yang sering atau jarang kemungkinan

terjadi, dan memahami kejadian timbal balik yang terjadi.

Sebagaimana contoh, anggaplah pelaksanaan sistem pertukaran data

elektronik (EDI) yang menghasilkan dokumen elektronik, mengirimnya ke

pelanggan dan supplier dan menerima hasil elektronik. Sejumlah kecil kejadian

dalam perusahaan dapat dihadapi dengan memilih teknologi yang tercepat, akses

yang tidak sah, kehilangan integritas data, transaksi yang tidak lengkap.

Kegagalan sistem, dan sistem yang incompatible/tidak cocok.

14 | P a g e S I A K e l o m p o k V I

Page 13: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Beberapa teknik yang digunakan perusahaan untuk mengenal kejadian

termasuk menggunakan daftar komprehensif atas kejadian, melakukan analisis

internal, monitoring kejadian utama dan pemicunya, memimpin wawancara dan

workshop, menggunakan penggalian data dan menganalisa proses bisnis.

PENILAIAN DAN RESPON ATAS RESIKO

Resiko atas kejadian yang teridentifikasi dapat dinilai melalui beberapa

cara yang berbeda yaitu dengan kemungkinan, pengaruh positif dan negatif,

secara individu dan sesuai katagori, pengaruhnya terhadap unit organisasi baik

pada resiko turunan maupun resiko berbasis residual. Resiko Turunan terjadi

sebelum manajemen melakukan langkah-langkah untuk mengendalikan

kemungkinan atau pengaruh suatu kejadian. Resiko Residual adalah resiko yang

tersisa setelah manajemen melakukan kendali internal atau respon lainnya

terhadap resiko. Perusahaan harus menilai resiko turunan, memberikan respon dan

kemudian menilai/menaksir resiko residualnya. Perusahaan dapat menilai resiko

turunan, memberikan respond dan kemudian menilai resiko residual.

Untuk meluruskan resiko yang diidentifikasi melalui toleransi perusahaan

terhadap resiko, manajemen harus memandang secara luas resiko pada entitas.

Manajemen menilai kemungkinan dan pengaruh resiko, sebagaimana biaya dan

benefit atas respon alternative. Manajemen dapat merespon resiko dengan salah

satu diantara 4(empat) cara berikut :

Reduce (Mengurangi) . Mengurangi kemungkinan dan pengaruh resiko

dengan melaksanakan sistem yang efektif terhadap kendali internal.

Accept (Menerima) Menerima kemungkinan dan pengaruh resiko.

Share (Membagi) Membagi resiko atau mentransfer resiko tersebut ke

orang lain dengan membeli asuransi, outsourching aktivitas, atau

memasukkan ke dalam transaksi hedging.

Avoid (Menghindari). Menghindari resiko dengan tidak melakukan

kegiatan yang menghasilkan resiko. Dalam hal ini perusahaan perlu

15 | P a g e S I A K e l o m p o k V I

Page 14: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Yes

Avoid, share, or accept risk

Is it cost beneficial to protect the system from a threat?

Reduce risk by implementing controls to quard against the threat

Estimate the impact, or potential loss, from each threat

Identify controls to quard aqainst each threat

Identify the events, or threats, that confront the company

Estimate the likelihood, or probability, of each that occuring

Estimate the cost and benefits from instituting controls

No

Figure 7-2Risk Assessment Approacch to Designing Internal Controls

menjual pembagiannya, keluar dari lini produk, atau tidak

mengembangkan perusahaan sebagai antisipasinya.

Akuntan dan perancang sistem membantu manajemen merancang sistem

kendali yang efektif untuk menghindari resiko turunan tersebut. Mereka juga

mengevaluasi sistem kendali internal untuk memastikan bahwa sistem bekerja

secara efektif. Mereka menilai dan mengurangi resiko turunan menggunakan

strategi seperti yang ditunjukkan pada Gambar 7-2. Langkah pertama,

identifikasi kejadian telah dibahas.

16 | P a g e S I A K e l o m p o k V I

Page 15: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Memperkirakan Kemungkinan dan Pengaruh Resiko

Beberapa kejadian menunjukkan resiko yang lebih besar karena kejadian

tersebut akan lebih mungkin terjadi. Karyawan akan lebih mungkin melakukan

kesalahan dibanding melakukan kecurangan, perusahaan akan lebih mungkin

menjadi korban kecurangan dibandaing korban gempa bumi. Kemungkinan

terjadinya gempa bumi mungkin kecil namun pengaruhnya dapat menghancurkan

perusahaan. Pengaruh terjadinya kecurangan biasanya tidak begitu besar, karena

kebanyakan fraud terjadi secara instan tidak mengancam keberadaan perusahaan.

Kemungkinan dan pengaruh harus disamakan. Apakah peningkatan, baik secara

material kejadian dan kebutuhan akan perlindungan terhadap peningkatan

kecurangan.

Perangkat software membantu menjalankan penilaian resiko dan respon

akan resiko. Sebuah perusahaan di Florida yaitu Blue Cross Blue Shield

menggunakan software ERM yang memungkinkan manajer masuk ke dalam

resiko yang terlihat jelas; menilai sifat resiko, kemungkinannya dan pengaruh dan

menempatkannya dengan rating bilangan. Keseluruhan penilaian resiko

perusahaan dikembangkan dengan memisahkan semua rangking/urutan-urutan.

Mengidentifikasi Kontrol

Manajemen harus mengenali kendali yang melindungi perusahaan dari

setiap kejadian. Mencegah kendali biasanya lebih dulu dari mendeteksi kendali.

Saat kendali pencegahan gagal, kendali deteksi diperlukan untuk menemukan

permasalahan. Koreksi kendali membantu memperbaiki masalah yang ada. Sistem

kendali internal yang baik harus digunakan untuk ketiganya.

Memperkirakan Biaya dan Keuntungan

Tujuan perancangan sistem kendali internal adalah menyediakan jaminan

yang masuk akal yang memungkinkan suatu kejadian tidak terjadi. Tidak ada

sistem kendali internal yang menyediakan proteksi yang mudah terhadap semua

kejadian, karena memiliki terlalu banyak kendali mengakibatkan larangan biaya

17 | P a g e S I A K e l o m p o k V I

Page 16: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

dan secara negatif mempengaruhi efisiensi operasional. Sebaliknya memiliki

kontrol yang sedikitpun tidak akan memberikan jaminan yang masuk akal.

Keuntungan dari sebuah prosedur kendali internal harus melebihi

biayanya. Keuntungan, yang sukar dijumlahkan secara akurat, termasuk

peningkatan penjualan dan produktifitas, pengurangan kerugian, integrasi yang

lebih baik antara pelanggan dan supplier, meningkatkan kesetiaan pelanggan,

keuntungan yang kompetitif, dan premi asuransi yang lebih rendah. Biaya

biasanya lebih mudah diukur dibandingkan keuntungan. Elemen biaya primer

adalah personil, termasuk waktu untuk melakukan prosedur kendali, biaya

mempekerjakan karyawan tambahan untuk mencapai pemisahan yang efektif atas

tugas-tugas dan biaya program kontrol untuk sistem komputer. Salah satu cara

untuk memperkirakan nilai kendali internal melibatkan perkiraan kerugian, hasil

matematis terhadap pengaruh dan kemungkinan tersebut adalah :

Perkiraan Kerugian = Pengaruh x Kemungkinan

Nilai prosedur kontrol adalah perbedaan antara Perkiraan Kerugian dengan

prosedur kontrol dan kerugian yang diperkirakan tanpa prosedur kontrol.

Menentukan Keefektifan Biaya/Keuntungan

Manajemen harus menentukan apakah sebuah kendali memberi

keuntungan biaya. Sebagai contoh, pada Atlantic Richfield error data sering

terjadi yang memerlukan keseluruhan pembayaran harus diproses ulang, pada

biaya $ 10.000,-. Langkah validasi data harus dapat mengurangi kemungkinan

terjadinya kejadian sebesar 15% hingga 1% pada biaya $600 per periode

pembayaran. Analisis biaya dan keuntungan yang menentukan langkah validasi

harus digunakan seperti pada Tabel 7-2.

18 | P a g e S I A K e l o m p o k V I

Page 17: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Table 7-2 cost/benefit analysis of payroll validation procedure

Without Validation Procedure

With Validation Procedure

Net Expected Difference

Cost to reprocess entire payroll $10,000 $10,000

Likelihood of payroll date errors 15% 1%

Expected reprocessing cos

($10,000 x likelihood)

$1,500 $100 $1,400

Cost of validation procedure $0 $600 $(600)

Net expected benefit of validation procedure $800

Dalam mengevaluasi control internal, manajemen harus

mempertimbangkan factor-faktor dibandingkan kalkulasi keuntungan yang

diharapkan. Misalnya bila suatu kejadian yang mengancam keberadaan organisasi,

biaya ekstra dapat di pandang sebagai bencana terhadap kerugian premi asuransi.

Melaksanakan Kendali, Menerima, Membagi atau Menghindari Resiko

Kendali biaya efektif harus dilaksanakan untuk mengurangi resiko.

Resiko yang tidak dikurangi harus diterima, dibagi, atau dihindari. Resiko harus

dapat diterima jika masih dalam batas toleransi resiko perusahaan. Sebagai contoh

yaitu resiko dengan kemungkinan dan pengaruh yang kecil. Respon untuk

mengurangi atau membagi resiko yang akan membawa resiko residual ke dalam

batas toleransi resiko yang dapat diterima. Sebuah perusahaan dapat memilih

menghidari resiko dimana tidak ada cara yang bersifat biaya efektif untuk

membawa resiko ke dalam batas toleransi yang dapat diterima.

AKTIVITAS PENGENDALIAN

Aktivitas pengendalian merupakan kebijakan dan prosedur yang

menyediakan jaminan yang masuk akal yang mengendalikan tujuan agar tercapai

19 | P a g e S I A K e l o m p o k V I

Page 18: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

dan respon terhadap resiko dapat diatasi. Merupakan tanggung jawab manajemen

mengembangkan sistem kendali yang aman dan memadai. Manajemen

membangun sebuah susunan prosedur untuk memastikan pelaksanaan dan

penegakan kontrol. Petugas Pengaman Informasi dan staf operasi bertanggung

jawab dalam memastikan bahwa prosedur kontrol dijalankan.

Kontrol akan lebih efektif bila ditempatkan dalam sistem sebagai mana

sistem tersebut dibangun. Hasilnya manajer harus melibatkan penganalisa sistem,

perancang dan akhirnya pemakai saat merancang sistem yang berbasis kendali

komputer. Penting kiranya, aktivitas kontrol dilaksanakan selama musim liburan

akhir tahun, karena sejumlah besar kecurangan komputer dan pembobolan

keamanan terjadi selama musim tersebut. Beberapa alasan kejadian ini terjadi

adalah karena (1) lamanya liburan karyawan berarti bahwa makin sedikit orang

yang “menjaga toko”; (2) pelajar tidak masuk sekolah dan memiliki banyak waktu

untuk bekerja; dan (3) penggemar hacker meningkatkan serangan mereka.

Prosedur kendali memiliki beberapa katagori diantaranya :

1. Otorisasi transaksi dan kegiatan yang memadai

2. Pemisahan tugas

3. Kendali pengembangan dan akuisisi proyek

4. Mengubah kendali manajemen

5. Merancang dan menggunakan catatan dan dokumen

6. Menjaga/menyimpan aset, catatan, dan data

7. Pemeriksaan independen atas kinerja.

Otorisasi transaksi dan Kegiatan yang Memadai

Karena manajemen kekurangan waktu dan sumber daya untuk

mengawasi setiap aktivitas dan keputusan perusahaan, perusahaan

membuat kebijakan untuk karyawan untuk mengikuti dan memberdayakan

mereka. Pemberdayaan ini disebut dengan Otorisasi yang merupakan

20 | P a g e S I A K e l o m p o k V I

Page 19: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

prosedur kontrol yang penting. Otorisasi sering kali didokumentasikan

sebagai penandatanganan, pemberian tanda paraf, atau memasukkan kode-

kode otorisasi atas dokumen atau catatan transaksi. Sistem komputer saat

ini mampu melaksanakan tanda tangan digital (digital signature) atau sidik

jari yaitu sebuah cara menandatangani dokumen dengan sebuah data yang

tidak dapat dipalsukan.

Para pegawai yang memproses transaksi harus memverifikasi

keberadaan otorisasi yang sesuai Auditor meninjau transaksi untuk

memverifikasi otorisasi yang memadai, karena ketidakberadaan otorisasi

yang memadai menunjukkan kemungkinan masalah pengendalian.

Beberapa aktivitas atau transaksi tertentu terjadi karena keadaan

khusus, sehingga pihak manajemen memberikan otorisasi khusus agar

dapat dilaksanakan. Contohnya peninjauan dan persetujuan pihak

manajemen sering kali diminta untuk transaksi penjualan diatas $20.000,

pengeluaran modal melebihi $ 10.000, atau untuk penghapusan piutang

usaha tak tertagih melebihi $5.000. Sebaliknya, pihak manajemen dapat

memberikan otorisasi pegawai untuk menangani transaksi rutin tanpa

persetujuan khusus, atau disebut sebagai prosedur otorisasi umum (general

authorization). Pihak manajemen harus memiliki kebijakan tertulis baik

mengenai otorisasi khusus maupun umum, untuk semua jenis transaksi.

Pemisahan Tugas

Pengendalian internal yang baik mensyaratkan bahwa tidak ada pegawai

diberikan tanggung jawab terlalu banyak. Seorang pegawai seharusnya

tidak berada dalam posisi untuk melakukan penipuan dan

menyembunyikan penipuan atau kesalahan yang tidak disengaja. Sepeti

yang diperlihatakan dalam Gambar 7-3, pemisahan tugas yang efektif

dicapai ketika fungsi-fungsi berikut ini dipisahkan :

1. Otorisasi – menyetujui transaksi dan keputusan

21 | P a g e S I A K e l o m p o k V I

Page 20: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

2. Pencatatan – mempersiapkan dokumen sumber; memelihara

catatan jurnal, buku besar, dan file lainnya; mempersiapkan

rekonsiliasi serta mempersiapkan laporan kinerja.

3. Penyimpanan – menangani kas, memelihara tempat penyimpanan

persediaan, menerima cek yang masuk dari pelanggan, menulis

cek atas rekening bank organisasi.

Gambar 7-3 Pemisahan Tugas

Apabila dua dari tiga fungsi tersebut merupakan tanggung jawab satu orang, maka akan muncul masalah.

22 | P a g e S I A K e l o m p o k V I

FUNGSI-FUNGSI PENYIMPANAN FUNGSI-FUNGSI PENCATATAN

FUNGSI-FUNGSI OTORISASI

Menangani Kas Menangani Persediaan,

Peralatan atau Aktiva Tetap Menulis Cek Menerima Cek Lewat Surat

Mempersiapkan Dokumen Sumber

Memelihara catatan jurnal, buku besar, atau file lainnya

Mempersiapkan rekonsiliasi Mempersiapkan laporan kinerja

Otorisasi transaksiMencegah Otorisasi transaksi fiktif atau yang tidak akurat, yang merupakan cara menutupi pencurian aset

Mencegah Pegawai memalsukan catatan untuk menutupi transasksi yang tidak diotorisasi secara layak

Mencegah Para Pegawai memalsukan catatan untuk menyembunyikan pencurian aset yang dipercayakan pada

mereka

Page 21: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Komputer dapat diprogram untuk melaksanakan satu atau dua lebih

fungsi-fungsi yang telah disebutkan sebelumnya. Pemisahan tugas

diupayakan, kecuali komputer melakukan fungsinya. Misalnya kita dapat

membayar pompa bensin dengan kartu kredit dan debit. Komputer

melakukan keduanya penyimpanan dan pencatatan. Selain itu agar

internal kontrol berjalan baik, sebaiknya memberikan pelanggan

peningkatan kemudahan dan mengurangi antrian pembayaran bahan

bakar.

PEMISAHAN TUGAS-TUGAS SISTEM – Dalam sistem informasi

sebuah prosedur yang dilakukan oleh individu yang berbeda dapat

dikombinasikan. Karena itu setiap orang yang mempunyai akses tidak

terlarang pada komputer, programnya dan data langsung yang dapat

dilakukannya dan disembunyikannya penipuan. Untuk memberantas

anacaman ini, organisasi melaksanakan pemisahan tugas sistem. Kuasa

dan Tanggung jawab harus dibagi secara jelas terhadap fungsi-fungsi

berikut :

1. Administrasi sistem. Administrator sistem memastikan semua

komponen sistem informasi beroperasi dengan lancar dan efektif.

2. Manajemen jaringan. Manajer jaringan memastikan perangkat

terhubung ke jaringan internal dan eksternal dan jaringan tersebut

harus bekerja sepantasnya.

3. Manajemen keamanan. Memastikan bahwa sistem aman dan

terlindungi dari ancaman internal dan eksternal dan jaringan

beroperasi dengan baik.

4. Perubahan Manajemen. Perubahan manajemen memastikan

bahwa perubahan dibuat dengan lancar dan efficient dan tidak

secara negatif mempengaruhi keandalan, keamanan, kerahasiaan,

integritas dan ketersediaan sistem.

5. Pemakai. Catatan transaksi pemakai, data untuk diproses dan

output sistem yang digunakan.

23 | P a g e S I A K e l o m p o k V I

Page 22: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

6. Analisis Sistem. Membantu pemakai menentukan informasi yang

mereka butuhkan dan perancangan sistem untuk mencapai

kebutuhan tersebut.

7. Pemrograman. Programmer melakukan analisis rancangan dan

menciptakan sistem dengan menulis bahasa program komputer.

8. Operasi komputer. Operator komputer menjalankan software pada

komputer perusahaan. Operator memastikan data diinput dengan

benar, dan diproses dengan benar, dan ouputnya diproduksi saat

dibutuhkan.

9. Pustaka Sistem Informasi. Pustakawan sistem informasi

menetapkan penyimpanan database perusahaan, file, dan program

dalam bagian penyimpanan yang terpisah yang disebut sebagai

Pustaka sistem informasi.

10. Control Data. Group kontrol data memastikan bahwa sumber data

telah disetujui, mengawasi aliran kerja melalui komputer,

rekonsiliasi output dan input, mempertahankan catatan kesalahan

input untuk memastikan perbaikan dan penyerahan kembali, dan

mendistribusikan output sistem.

Membiarkan seseorang melakukan dua tugas tersebut atau lebih akan

mengakibatkan terjadinya penipuan pada perusahaan.

Pengembangan Proyek dan Kendali Akuisisi

Sangatlah penting memiliki metodologi yang terbukti untuk menjalankan

pengembangan, akuisisi, pelaksanaan dan pemeliharaan sistem informasi.

Kontrol pengembangan sistem yang penting diantaranya :

1. Streering Committee membina dan mengawasi pengembangan dan

akuisisi sistem.

24 | P a g e S I A K e l o m p o k V I

Page 23: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

2. Master plan strategis dikembangkan dan di update tahunan untuk

mensejajarkan sistem informasi organisasi dengan strategi bisnis.

Master plan ini menampilkan proyek-proyek yang harus diselesaikan

dan menunjukan perlunya hardware, software, personil, dan kebutuhan

infrastruktur.

3. Rencana pengembangan proyek menunjukkan tugas-tugas yang harus

diselesaikan, siapa yang akan menyelesaikannya, biaya, tanggal

penyelesaian dan rencana proyek – point yang penting saat progress

dikaji dan saat perkiraan waktu penyelesaian dapat dibandingkan.

Setiap proyek diberikan kepada manajer dan tim yang bertanggung

jawab atas kesuksesan dan kegagalannya.

4. Jadwal pemrosesan data menunjukkan kapan setiap tugas harus

diselesaikan.

5. Sistem Pengukuran Kinerja dibentuk untuk mengevaluasi sistem.

Pengukuran yang biasa termasuk Penempatan (Output per unit waktu),

Pemakaian (Persentase waktu yang digunakan sistem), dan Respon

waktu (berapa lama waktu yang terpakai oleh sistem untuk merespon).

6. Pengkajian terhadap post pelaksanaaan dilakukan setelah

pengembangan proyek dilengkapi untuk menentukan apakah benefit

yang diantisipasi dapat dicapai.

Beberapa perusahaan menyewa Sistem Integrator untuk mengatur

upaya pengembangan sistem yang melibatkan personel pribadi, client dan vendor

lainnya. Proyek pengembangan ini ditujukan untuk biaya keluar yang sama dan

menghilangkan tenggat waktu sebagai sistem yang dikembangkan secara internal.

Perusahaan yang menggunakan sistem integrator harus menggunakan

proses manajemen proyek yang sama dan mengendalikan proyek internal. Selain

itu perusahaan harus juga :

Mengembangkan spesifikasi yang jelas. Ini mencakup deskripsi

yang tepat dan pendefinisian sistem, deadline explicit dan

criteria penerimaan yang tepat.

25 | P a g e S I A K e l o m p o k V I

Page 24: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Memonitor proyek. Perusahaan harus membentuk prosedur

formal untuk mengukur dan melaporkan status proyek.

Pendekatan yang terbaik adalah membagi proyek ke dalam

tugas-tugas yang dapat diatur, menempatkan tanggung jawab

atas setiap tugas, dan melakukan setidaknya sebulan sekali

untuk meninjau progress dan kualitas penilaian.

Perubahan Kontrol Manajemen

Organisasi memodifikasi sistem yang ada untuk mencerminkan praktek

bisnis baru dan mengambil keuntungan dari kemajuan IT. Perubahan muatan yang

terjadi ini memastikan mereka tidak memperkenalkan error dan memfasilitasi

penipuan.

Perancangan dan Penggunaan Dokumen dan Catatan.

Perancangan yang tepat dan penggunaan dokumen elektronik dan catatan

membantu memastikan perekaman yang lengkap dan akurat terhadap semua data

transaksi yang relevan. Bentuk dan isinya harus sesederhana mungkin untuk

mendukung pencatatan yang efisien, meminimalkan kesalahan pencatatan, dan

memfasilitasi peninjauan serta verifikasi. Dokumen yang mengawali sebuah

transaksi harus memiliki ruang untuk otorisasi. Dokumen –dokumen yang

dipergunakan untuk memindahkan aset ke orang lain, harus memiliki ruang untuk

tanda tangan pihak penerima aset. Dalam rangka menggurangi kesempatan

penggunaan dokumen untuk penipuan, dokumen harus diberikan nomor urut yang

telah dicetak lebih dulu agar setiap dokumen dapat dipertanggung jawabkan. Jejak

audit yang baik memfasilitasi pelacakan ke setiap transaksi melalui sistem,

perbaikan kesalahan dan verifikasi output sistem.

Penjagaan Aset, Pencatatan dan Data.

Perusahaan harus melindungi uang dan asetnya sebagaimana

informasinya juga. Seorang reporter Reuter mengetahui bahwa Inentia sebuah

26 | P a g e S I A K e l o m p o k V I

Page 25: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

perusahaan software di Swedia meluncurkan hasil laporan laba rugi kuartal satu

dan dua ke dalam website yang hampir secara identik merupakan alamat website.

Dia menebak alamat web kuartal ketiga, menemukan bilangan yang tak

dikeluarkan dan membawa hasil cerita yang mengecewakan.

Karyawan memiliki resiko keamanan yang lebih besar dibanding orang

luar. Mereka akan lebih mampu menyembunyikan aksi ilegal mereka, karena

mereka lebih baik dalam mengetahui kelemahan sistem. Hampir 50% perusahaan

melaporkan orang dalam mengakses data tanpa izin yang. Seorang insinyur

software di America Online dituntut karena menjual 92 juta alamat email yang dia

peroleh secara illegal dengan menggunakan ID dan password karywan. Bisnis

perjudian di internet membeli nama dan menggunakannya untuk meningkatkan

pendapatan perusahaan sebesar $10.000 - $20.000 per hari. Pencurian data tidak

terselidiki selama setahun, hingga sorang tipster annonimous memberitahukan ke

pada penguasa bahwa bisnis perjudian menjual ulang nama ke spammer yang

menjual produk herbal kesehatan laki-laki.

Karyawan juga dapat mengakibatkan ancaman tanpa niat, misalnya

secara tidak sengaja menghapus data perusahaan, membawa virus yang

menyerang email, atau mencoba memperbaiki hardware atau software tanpa

kemampuan yang memadai. Hal ini dapat mengakibatkan kehancuran jaringan,

merusak data, dan mengakibatkan tidak berfungsinya hardware dan software.

Oleh karena itu, perlu kiranya :

1. Menciptakan dan memberdayakan prosedur dan kebijakan yang

sesuai. Adalah terlalu sering kebijakan dan prosedur itu diciptakan

namun tidak diberdayakan.

2. Mempertahankan pencatatan yang akurat atas semua aset. Secara

periodik merekonsiliasi jumlah catatan atas aset perusahaan ke

jumlah fisik dari aset-aset tersebut.

3. Membatasi Akses ke Aset. Membatasi akses ke wilayah

penyimpanan melindungin inventaris dan perlengkapan. Register

27 | P a g e S I A K e l o m p o k V I

Page 26: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

kas, Simpanan, Brankas, dan Brankas Deposit Tabungan akan

membatasi akses atas aset uang dan kertas.

4. Melindungi Catatan dan Dokumen. Area penyimpanan harus tahan

api, filing-filing kabinet terkunci, backup file, dan penyimpanan

diluar area akan memproteksi catatan dan dokumen. Akses ke cek

kosong dan dokumen harus dibatasi hanya kepada personil yang

berwenang.

Pemeriksaan Independen Atas Kinerja

Pemeriksaan internal atas kinerja, dilakukan oleh orang lain selain yang

melakukan pekerjaan awalnya, hal ini membantu memastikan transaksi diproses

secara akurat. Yang mencakup hal-hal berikut ini :

Kajian Top-Level. Manajemen harusnya memonitor hasil yang dicapai

perusahaan secara periodik dibandingkan kinerja perusahaan yang aktual

untuk (a) merencanakan kinerja, seperti ditunjukkan pada Anggaran,

Target/realisasi, dan Perkiraan; (b) kinerja per periode sebelumnya ; (c).

Kinerja pesaing.

Kajian Analitis. Sebuah kajian analitis adalah pemeriksaan atas hubungan

antara beberapa kumpulan data yang berbeda. Misalnya, saat penjualan

kredit meningkat, demikian pula rekening penerimaan. Selain itu, ada

kaitannya antara penjualan dan rekening yaitu biaya barang yang terjual,

inventaris dan barang kiriman.

Rekonsiliasi Catatan yang secara independen dipelihara. Catatan harus

direkonsiliasikan ke dokumen atau catatan dengan saldo yang sama.

Contohnya; rekonsiliasi bank memverifikasi bahwa akun pemeriksa telah

sesuai dengan laporan bank. Contoh lainnya adalah membandingkan

jumlah total dalam buku pembantu piutang usaha dengan total akun

piutang usaha dalam buku besar.

Perbandingan Jumlah Aktual dengan Yang di Catat. Kas dalam laci

mesin pada akhir pergantian staf administrasi, harus sama jumlahnya

28 | P a g e S I A K e l o m p o k V I

Page 27: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

dengan jumlah yang dicatat dalam pita mesin kas. Seluruh persediaan

harus dihitung secara periodik dan dibandingkan dengan catatan

persediaannya.

Pembukuan Berpasangan. Pepatah yang menyatakan bahwa debit harus

sama dengan kredit memberikan kesempatan besar untuk pemeriksaan

internal. Contohnya debit dalam akun penggajian mungkin dialokasikan

ke berbagai persediaan dan/atau akun beban, oleh departemen akuntansi

biaya. Kredit dialokasikan ke beberapa akun kewajiban untuk utang upah

dan gaji. Sebagai kesimpulan dari kedua operasi yang kompleks ini,

perbandingan jumlah total debit dengan jumlah total kredit merupakan

pemeriksaan yang memadai atas keakuratan kedua proses tersebut.

Perbedaan selisih apapun menunjukkan adanya satu atau lebih kesalahan.

Kajian Independen. Setelah transaksi diproses, orang kedua akan

mengkaji hasil kerja orang pertama, memeriksa kewenangan yang wajar,

mengkaji dokumen-dokumen pendukung, dan memeriksa keakuratan

harga, kuantitas dan ekstensinya.

INFORMASI DAN KOMUNIKASI

Informasi dan komunikasi merupakan komponen ketuju dari ERM. Hal ini

berkaitan langsung dengan tujuan utama SIA yaitu untuk mengumpulkan,

mencatat, memproses, menyimpan, meringkas, dan mengkomunikasikan

informasi atas suatu organisasi. Hal ini berarti bahwa akuntan harus memahami

bagaimana (1) transaksi diawali, (2) data didapat dalam bentuk yang dapat dibaca

oleh mesin, atau data diubah dari dokumen sumber ke bentuk yang dapat dibaca

oleh mesin, (3) file komputer diakses dan diperbarui, (4) data diproses untuk

mempersiapkan sebuah informasi, dan (5) informasi dilaporkan ke para pemakai

internal dan pihak eksternal. Akuntan juga harus memahami catatan dan prosedur

akuntansi, dokumen-dokumen pendukung, dan akun laporan keuangan tertentu

yang terlibat dalam pemrosesan dan pelaporan transaksi.

29 | P a g e S I A K e l o m p o k V I

Page 28: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Hal-hal tersebut membuat sistem dapat melakukan jejak audit (audt trail).

Jejak audit muncul ketika transaksi suatu perusahaan dapat dilacak di sepanjang

sistem mulai dari asalnya sampai tujuan akhirnya pada laporan keuangan. Sama

halnya angka-angka pada laporan keuangan dapat dilacak kembali di sepanjang

sistem hingga ke transaksi individual yang menghasilkan saldo.

Menurut AICPA, SIA memiliki lima tujuan utama yaitu:

1. Mengindentifikasi dan mencatat semua transaksi yang valid. Misalanya:

apabila perusahaan secara sengaja mencatat penjualan fiktif, maka

pendapatan dan pemasukan akan dinyatakan terlalu berlebihan. Apabila pada

akhir tahun perusahaan lupa mencatat beberapa pengeluaran, maka

pengeluaran dinyatakan kurang dan pemasukan bersih dinyatakan terlalu

berlebihan.

2. Mengklasifikasi transaksi secara tepat. Misalnya: apabila pengeluaran

diklasifikasi secara tidak tepat sebagai aset, maka aset dan pemasukan bersih

dinyatakan terlalu berlebihan.

3. Mencatat transaksi pada nilai moneter yang tepat. Misalnya piutang yang

tidak tertagih harus dihapus.

4. Mencatat transaksi dalam periode akuntansi yang tepat. Mencatat penjualan

tahun 2000 ke tahun 1999 akan menyatakan penjualan dan pemasukan yang

berlebihan untuk tahun 1999, dan memiliki pengaruh yang terbaik untuk

tahun 2000.

5. Menampilkan secara tepat semua transaksi dan pengungkapan yang berkaitan

dalam laporan keuangan. Kegagalan dalam mengungkapkan sebuah tuntutan

atau kewajiban kontijensi, dapat menyesatkan pembaca laporan keuangan.

Sistem akuntansi umumnya terdiri dari beberapa subsistem akuntansi,

yang masing-masing didesain untuk memproses transaksi jenis tertentu. Meskipun

berbeda menurut jenis transakasi yang diproses, semua subsistem akuntansi

mengikuti urutan prosedur yang sama. Prosedur ini disebut siklus akuntansi.

30 | P a g e S I A K e l o m p o k V I

Page 29: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

MENGAWASI KINERJA

Komponen kelima dari model pengendalian internal COSO adalah

pengawasan. Metode utama untuk mengawasi kinerja mencakup supervisi yang

efektif, pelaporan yang bertanggung jawab dan audit internal.

Supervisi yang Efektif

Supervisi yang efektif mencakup melatih dan mendampingi pegawai,

mengawasi kinerja mereka, mengoreksi kesalahan, dan melindungi aset dengan

cara mengawasi pegawai yang memuliki akses ke hal-hal tersebut. Supervisi

merupakan hal yang penting bagi organisasi yang tidak mampu melaporkan

tanggung jawab secara rinci, atau terlalu kecil untuk memiliki pemisahan tugas

yang memadai.

Akuntansi Pertanggungjawaban

Sistem akuntansi pertanggungjawaban mencakup anggaran, kuota, jadwal,

biaya standar, dan standar kualitas; laporan kinerja yang membandingkan kinerja

yang aktual dengan kinerja yang direncanakan, serta menunjukkan perbedaan

yang signifikan; dan prosedur untuk menyelidiki perbedaan yang signifikan dan

mengambil tindakan tepat pada waktunya, untuk mengoreksi kondisi-kondisi yang

mengarah pada perbedaan tersebut.

Audit Internal

Audit internal mencakup peninjauan ulang keandalan dan integritas

informasi keuangan dan operassinal serta menyediakan penilaian keefektifan

pengendalian internal. Audit internal juga mencakup penilaian kesadaran pegawai

31 | P a g e S I A K e l o m p o k V I

Page 30: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

terhadap prosedur dan kebijkan manajemen, hukum dan peraturan yang berlaku,

serta mengevaluasi efisiensi dan keefektifan manajamen. Berbeda dengan auditor

eksternal, para auditor internal menempatkan penekanan yang besar pada

pengendalaian manajemen perusahaan; sehingga mereka dapat mendeteksi waktu

lembur yang berlebihan, aset yang kurang digunakan, persediaan yang usang,

penggantian biaya perjalanan yang tidak diperlukan, anggaran dan kuota yang

terlalu longgar, pengeluaran modal yang kurang tepat, dan produksi yang menjadi

semakin lambat. Objektivitas dan keefektifan memerlukan fungsi audit internal

yang independen secara organisasional dari fungsi akuntansi dan operasional.

Misalnya, kepala audit internal harus melapor ke komite audit dari dewan

komisaris, bukan kepada kontroler atau chief financial officer.

Seorang auditor internal yang waspada, mencatat tentang seorang

supervisor departemen yang berulang tahun dengan mengajak seluruh staf keluar

makan siang menggunakan limousine. Selama sisa waktu audit, auditor tersebut

mencatat bukti-bukti lain dari gaya hidup yang terlalu boros. Auditor tersebut

merasa tidak yakin bahwa gaji supervisor tersebut dapat mendukung gaya

hidupnya. Auditor kemudian melakukan penyelidikan lebih mendalam. Dia

menemukan bahwa supervisor tersebut telah membuat beberapa pemasok fiktif,

mengirim faktur perusahaan ke para pemasok tersebut, dan kemudian mencairkan

ceknya ketika cek tersebut dikirim kepadanya. Selama bertahun-tahun, dia telah

menggelapkan lebih dari 12 juta dolar.

RINGKASAN DAN KESIMPULAN KASUS

Setelah tiga hari Bozeman, Jason dan Maria kembali ke kantor pusat di

northwest dan menyimpan laporan audit mereka. Seminggu kemudian, mereka

diminta datang kekantor Roger Sawyer, Direktur Audit Internal Northwest, untuk

menjelaskan temuan mereka. Segera setelah itu, tim audit internal tingkat tinggi

diberangkatkan ke Bozeman untuk melihat lebih dekat situasinya.

32 | P a g e S I A K e l o m p o k V I

Page 31: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

Ketika tim audit kembali, Jason dan Maria menyakan mengenai temuan

mereka dan diberitahukan bahwa situasi masih sedang diselidiki. Enam bulan

kemudian, newsletter perusahaan memuat pengumuman bahwa keluarga Springer

telah menjual sisa saham mereka yang 10% pada bisnis Bozeman ke Northwest

dan telah mengundurkan diri dari posisi manajemen. Dua eksekutif Northwest

ditransfer untuk menggantikan posisi keluarga Springer. Namun masih tetap tidak

ada kabar mengenai temuan audit.

Dua tahun kemudian, Jason dan Maria ditugaskan ke pekerjaan yang

disupervisi oleh Frank Ratliff, salah seorang anggota tim audit internal tingkat

tinggi. Setelah berjam-jam, Frank bercerita pada mereka. Berdasarkan laporan

Jason dan Maria, tim penyilidik telah memeriksa sampel dalam jumlah besar atas

transaksi pembelian dan seluruh catatan waktu kerja dan penggajian pegawai

untuk periode 12 bulan. Tim tersebut juga telah melakukan pemeriksaan

persediaan fisik secara terinci. Penyelidikan tersbut menemukan bahwa masalah

yang didentifikasi Jason – termasuk permintaan pembelian, pesanan pembelian,

dan laporan penerimaan yang hilang, serta harga yang mahal – banyak sekali

terjadi. Mereka menemukan bahwa masalah-masalah ini hampir sebagian besar

terjadi dalam transaksi dengan tiga vendor, tempat Springer’s membeli persediaan

dan perlengkapan senilai jutaan dolar. Tim tersebut mendiskusikan harga barang

yang tidak normal mahalnya tersebut dengan para vendor, tetapi mereka tidak

mendapatkan penjelasan yang memuskan. Akan tetapi, pemeriksaan dari biro

lisensi usaha daerah menunjukkan bahwa Bill Springer mempunyai kepemilikan

yang signifikas atas ketiga perusahaan tersebut. Melalui pengotorisasian harga

mahal keperusahaan yang separuh dimilikinya, Springer mendapatkan bagian

beberapa ratus ribu dolar atas kelebiha laba tersebut, dan semuanya atas

tanggungan Northwesr Industries.

Tim penyelidik juga menemukan bukti bahwa beberapa pegawai

Springer’s dibayar lebih banyak dari jam kerja yang didokumenasikan dalam

catatan waktu kerja. Terakhir, tim tersebut telah menetapkan bahwa akun

persediaan Springer’s telah dilebih-lebihkan jumlahnya. Persediaan fisik

33 | P a g e S I A K e l o m p o k V I

Page 32: Kelompok VI SIA (Pengendalian Dan Sistem Informasi Akuntansi) (1)

menunjukkan bahwa sejumlah besar persediaan yang dicatat dalam catatan

persediaan tidak ada, dan bahwa jumlah lainnya tidak diperbaharui. Ayat jurnal

penyesuaian yang mencerminkan persediaan Springer’s yang sebenarnya

menghapus sebagian besar laba toko tersebut dalam 3 tahun terakhir.

Ketika dikonfrontasikan, keluarga Springer tersebut menyangkal dengan

keras pelanggaran atas aturan apapun. Northwest mempertimbangkan untuk

mengadukan kepemerintah agar diadakan penyelidikan penipuan secara formal,

tetapi khawatir bahwa kasus mereka tidak cukup kuat untuk dibuktikan di

pengadilan. Mereka juga khawatir bahwa publisitas negatif akan merusak posisi

perusahaan di Bozeman. Setelah bernegosiasi beberapa bulan, keluarga Springer

setuju dengan penyelesaian yang dilaporkan dalam newsletter. Salah satu bagian

dari penyelesaian tersebut adala tidak ada pernyataaan publik yang akan

dikeluarkan, mengenai dugaan penipuan atau pencurian yang melibatkan keluarga

Springer tersebut. Menurut Frank, kebijakan ini sudah umum. Di dalam banyak

kasus penipuan, penyelesaian dicapai secara diam-diam tanpa tuntutan hukum,

agar perusahaan dapat menghindari publisats negatif.

34 | P a g e S I A K e l o m p o k V I