kelompok vi sia (pengendalian dan sistem informasi akuntansi) (1)
TRANSCRIPT
DISUSUN OLEH KELOMPOK IV:ISMUADI
DELI MARISAMARWAN
HUSNI HAMID
BAB 7
PENGENDALIAN SISTIM INFORMASI AKUNTANSI
Kasus intregratif Perusahaan Springer’s Lumber & Supply
Jason Scot, seorang internal auditor untuk Nortwest Industri, sedang mengaudit
Springer’s & Lumber Supply, Outlet material bangunan di Nortwest Bozeman, Montana.
Supervisornya Maria Piller, memintanya untuk menelusiri sebuah transaksi pembelian
dari permintaan pembelian sampai pengeluaran kas untuk memverifikasi prosedur
pengendalian yang benar telah diikuti. Jason frustasi dengan dengan tugas ini, dengan
alasan sebagai berikut:
Sistim pembelian sangat sedikit dokumentasinya
Dia menyimpan transaksi-transaksi yang tidak diproses seperti Ed Yates, Manajer
hutang mengatakan mereka harus melakukan seperti itu.
Permintaan pembelian untuk beberapa item yang diotorisasi secara personal oleh Bill
Springer, wakil president pembelian
Beberapa faktur telah dilunasi tanpa adanya dokumen pendukung, seperti order
pembelian dan laporan penerimaan barang.
Harga-harga beberapa jenis barang tidak seperti biasanya terasa mahal, ada beberapa
perbedaan dalam jenis harga barang antara faktur vendor koresponden order
pembelian
Yates telah menjawab secara logis setiap jawaban yang Jason ajukan dan
menyarakan Jasan bahwa Dunia nyata tidak sama seperti yang digambarkan dalam buku
text. Maria juga mengalami beberapa prihatin:
Springer’s adalah supplier terbesar di kawasan tersebut dan hampir memonopoli
Otoritas manajement dijabat oleh president perusahaan, Joe Springer’s dan dua
anaknya, Bill (wakil president pembelian), dan Ted (pengawas), beberapa Saudara
dan teman-temanya pada bidang penggajian. Springer’s memilki 10% dari
kepemilikan perusahaan
Garis wewenang dan tanggungjawab dalam perusahaan kabur dan membingungkan
Maria percaya bahwa Ted Springer’s telah terlibat dalam “rekayasa akuntansi” untuk
membuat Springer’s sebagai sebuah perusahaan retail terbaik di Nortwest
4 | P a g e S I A K e l o m p o k V I
Setelah berbicara dengan Maria, Jason memikirkan beberapa hal sebagai berikut:
1. Karena Ed Yates memiliki jawaban logis terhadap setiap transaksi yang tidak lazim,
haruskah Jason menjelaskan transaksi ini dalam laporannya?
2. Apakah sebuah pelanggaran dari prosedur pengendalian dapat diterima jika
manajemen telah mengesahkannya?
3. Maria prihatin dengan garis wewenang Springer’s yang kabur dan memungkinkan
“rekayasa akuntansi” merupakan masalah dari kebijakan manajemen, Apakah dia
telah berlaku professional atau bertanggungjawab secara etik terlibat?
PENDAHULUAN
Mengapa ancaman terhadap sistim informasi akuntansi terus meningkat
Hampir setiap tahun, lebih dari 60% mengalami sebuah kegagalan besar dalam
mengendalikan keamanan dan intregitas sistim komputer mereka. Penyebab-penyebanya
adalah sebagai berikut:
Informasi tersedia untuk junlah karyawan yang sangat besar. Chevron contohnya
memiliki 35.000 unit personal komputer.
Informasi yang didistribusikan dalam jaringan informasi sukar untuk diawasi. Di
Chevron, informasi didistribusikan ke setiap sistim dan ke beribu-ribu karyawan di
seluruh dunia. Setiap sistim dan karyawan berpotensi mewakili titik rentan
pengawasan.
Pelanggan dan supplier dapat mengakses setiap sistim dan data. Contoh WalMart
membolehkan vendornya untuk mengakses database mereka. Bayangkan
kepercayaan yang diberikan seperti ini kepada vendor yang memiliki hubungan
dengan pesaing.
5 | P a g e S I A K e l o m p o k V I
Organisasi belum melakukan proteksi data secara cukup memiliki beberapa alasan:
Beberapa perusahaan melihat bahwa kehilangan beberapa informasi penting masih
jauh dan sepertinya bukan ancaman
Implikasi pengendalian akibat berpindahnya sistim komputer yang tersentral ke
sistim berbasis internet tidak sepenuhnya dipahami.
Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber strategis
dan melindunginya membutuhkan sebuah strategi, contohnya sebuah perusahaan
kehilangan jutaan dollar karena tidak melindungi transmisi data. Seorang pesaing
masuk ke jaringan telepon dan mengfax design produk baru.
Produktivitas dan biaya menekan motivasi manajemen
TINJAUAN ATAS KONSEP PENGENDALIAN
Pengendalian Internal adalah proses yang dilakukan untuk menyediakan jaminan yang
masuk akal agar tujuan pengendalian tersebut tercapai , diantara tujuan tersebut adalah;
1. Mengamankan aset
2. Memelihara catatan dengan detail yang memadai
3. Menyediakan informasi yang akurat dan dapat diandalkan
4. Memberikan dan meningkatkan efisiensi operasi
5. Meningkatkan kepatuhan terhadap kebijakan manajerial yang dirumuskan.
6. Menuruti regulasi dan hukum yang dapat diterapkan.
Pengendalian Internal melakukan 3 (tiga) fungsi penting yaitu :
1. Pengendalian Preventif (Pencegahan) menentukan permasalahan sebelum
terjadi. Misalnya memperkerjakan personil yang berkualitas, memisahkan tugas-
tugas karyawan, dan mengendalikan akses fisik terhadap aset dan informasi
2. Deteksi Pengendalian menemukan permasalahan yang tidak dapat dicegah.
Misalkan termsuk menduplikasikan kalkulasi pemeriksaan dan menyiapkan
rekonsiliasi bank dan trial balance bulanan.
3. Koreksi Pengendalian menentukan dan mengoreksi permasalahan sebagaimana
proses memperbaiki dan memulihkan hasil error. Misalnya termasuk dalam
menjaga backup rekaman files, memperbaiki data entry yang error dan
menyerahkan kembali transaksi untuk proses selanjutnya.
6 | P a g e S I A K e l o m p o k V I
Pengendalian internal sering dibedakan dalam dua katagori:
1. Pengendalian Umum membuat keyakinan terhadap lingkungan pengendalian sebuah
organisasi stabil dan terpimpin dengan baik. Contohnya keamanan, Infrastruktur IT,
pengadaan sofware, pembangunan dan pemeliharaan pengawasan
2. Pengendalian aplikasi membuat keyakinan transaksi diproses secara benar. Mereka
perhatian dengan akurasi, kelengkapan, validitasi, dan otorisasi dari data diterima,
dimasukkan, diproses, disimpan, ditransmisikan ke sistim yang lain, dan dilaporkan.
Robert Simmon, seorang Professor Business di Harvard telah menuangkan empat
level pengendalian untuk membantu manajemen merekonsiliasi konflik antara kreativitas
dan pengendalian.
1. Sistim percaya (Belief system) menjelaskan bagaimana perusahaan membuat nilai,
membantu karyawan memahami visi manajemen perusahaan, mengkomunikasikan
nilai inti, dan menginspirasi karyawan untuk hidup dengan nilai-nilai tersebut.
2. Sistim Batas (Boundary sistim), membantu karyawan bertindak secara etis dengan
menyusun batasan-batasan tingkah laku karyawan. Karyawan tidak dikatakan apa
yang sesungguhnya harus dilakukan. Namun mereka di dorong untuk bertindak
secara kreatif mengatasi masalah dan memenuhi keinginan pelanggan ketika
menemukan adanya standard minimum diberikan, menghindari hal-hal yang
mebatasi, dan mencegah hal-hal yang menghancurkan reputasi mereka.
3. Sistim Pengendalian Diagnosa (Diagnostic control system), mengukur, memantau
dan membandingkan kemajuan aktual perusahaan dengan anggaran dan tujuannya.
Umpan balik membantu manajemen menyesuaikan input dan proses sehingga output
lebih mendekati tujuan.
4. Membuat manajer fokus pada isu-isu strategis untuk lebih terlibat dalam keputusan
mereka.
5. Sistim pengendalian interaktif membantu manajemen untuk fokus kepada isu-isu
strategis dan lebih terlibat dalam pengambilan keputusan mereka. Sistim interaktif
data diterjemahkan dan didiskusikan dalam pertemuan tatap muka dari yang paling
atas, bawahan dan sesama.
7 | P a g e S I A K e l o m p o k V I
Namun tidak semua organisasi mempunyai sistim pengendalian internal control
yang efektif. Contohnya sebuah laporan mengindikasikan bahwa FBI diganggu dengan
rentannya infranstruktur IT dan masalah keamanan, beberapa dari kejadian itu telah
diindentifikasikan 13 tahun yang lalu. Hal-hal yang diprihatikan adalah mengenai
standar keamanan, pedoman, dan prosedur, pemisahan tugas-tugas, pengawasan akses,
termasuk manajemen paword dan penggunaan, pengendalian backup dan penyembuhan,
dan pengembangan sofware dan pengendalian perubahan.
Praktek Korupsi Asing dan Undang-undang sarbane oakley
Tahun 1997 Undang-undang Praktek Korupsi Asing (FCPA) telah lulus untuk
mencegah perusahaan melakukan penyuapan kepada pegawai-pegawai asing untuk
mendapatkan bisnis. Kongres menggabungkan bahasa dari pernyataan American
Institute of Certified Public Accountants (AICPA) kedalam FCPA yang meminta
perusahaan sistim yang baik dari pengendalian intern. Sayangnya, permintaan ini
tidaklah cukup untuk mencegah masalah selanjutnya.
Di akhir tahun 1990 dan awal tahun 2000, berita baru dilaporkan terjadinya
kecurangan di Enron, Worldcom, Xerox, Tyco, Global Crossing, Adelphia, dan
perusahaan-perusahaan lain. Ketika Enron mengumumkan kebangkrutannya dengan nilai
asset $62 milyar pada Desember 2001. yang merupakan kebangkrutan terbesar dalam
sejarah USA. Pada Juni tahun 2002 Arthur Anderson, salah satu firma akuntan publik
terbesar bangkrut. Kebangkrutan Enron dikecilkan oleh kebangkrutan WorlCom, lebih
dari $100 milyar dalam asset, dan mengajukan kebangkrutan pada Juli 2002. Dalam
merespon kecurangan-kecurangan ini, Kongres mengesahkan undang-undang Sarbane
Oaxley (SOX) pada tahun 2002. SOX berlaku untuk perusahaan-perusahaan publik dan
auditor mereka untuk mencegah kecurangan dalam laporan keuangan, membuat laporan
keuangan lebih transparan, melindungi investor, memperkuat pengendalian intern, dan
menghukum eksekutif yang melakukan kecurangan.
SOX adalah undang-undang yang berorientasi bisnis yang sangat penting dalam
75 tahun terakhir. Undang-undang tersebut merubah dewan direktur dan manajemen
bekerja dan memiliki pengaruh dramatis terhadap CPA yang mengaudit mereka. Berikut
adalah beberapa aspek penting dari SOX.
Public Company Accounting Oversight Board (PCAOB), SOX membuat Badan
Pemantau Akuntansi Perusahaan Publik (PCAOB) untuk mengendalikan profesi
8 | P a g e S I A K e l o m p o k V I
auditing. PCAOB menyiapkan dan menerapkan Auditing, pengendalian
berkualitas, etiket, kebebasan, standar-standar audit lainnya.
Aturan-aturan baru untuk para auditor. Auditor harus melaporkan informasi
spesifik untuk komite audit perusahaan, seperti kebijakan-kebijakan akuntansi
genting dan praktek. Mitra audit harus diganti setiap kali. SOX melarang auditor
dari melmberikan jasa-jasa non audit tertentu. Seperti design sistim informasi dan
implementasinya. Perusahaan audit tidak boleh memberikan jasa kepada
perusahaan-perusaan jika manajemen puncaknya pernah dipekerjakan pada
perusahaan yang sedang melakukan audit dan bekerja pada perusahaan audit
dalam masa 12 bulan sebelumnya.
Aturan-aturan baru untuk komite audit, anggota-angota komite audit harus
dimasukkan dalam dewan direktur perusahaan dan berada bebas di perusahaan.
Seorang anggota komite audit harus ahli keuangan. Komite audit menyewa,
mengkompensasi dan memantau auditor yang melaporkan terhadapnya secara
langsung.
Aturan-aturan baru untuk manajemen. SOX meminta CEO dan CFO untuk
menyatakan bahwa (1) laporan keuangan dan pengungkapan disajikan secara fair,
yang direfisi oleh manjemen dan tidak menyesatkan, dan bahwa (2) auditor-
auditor akan diminta untuk mengungkapkan semua hal-hal kelemahan
pengendalian internal dan kecurangan. Jika manajemen secara sengaja
melakukan penyimpangan aturan ini mereka bisa dituntut dan didenda.
Perusahaan harus mengungkapkan dalam bahasa inggris biasa perubahan-
perubahan material dalam laporan keuangan mereka secara tepat waktu.
Permintaan-permintaan pengendalian internal baru. Seksi 404 meminta
perusahaan-perusahaan untuk menerbitkan sebuah laporan menemani catatan
laporan keuangan yang mana manajemen bertanggungjawab untuk menegakkan
dan memelihara sistim internal kontrol yang memadai. Laporan tersebut harus
berisi penilaian manajemen terhadap pengendalian internal control,
memperlihatkan keakurasian mereka, melaporkan kelemahan signifikan atau hal-
hal ketidakpatuhan.
Setelah SOX disahkan, Security Exhange Commission diamanatkan bahwa manajemen
harus:
9 | P a g e S I A K e l o m p o k V I
Mendasarkan evaluasinya pada kerangka pengendalian yang diakui. Kerangka
yang paling memungkinkan, diformulasikan oleh COSO akan didiskusikan dalam
Bab ini.
Mengungkapkan semua kelemahan material pengendalian intern
Menyimpulkan bahwa sebuah perusahaan yang tidak efektif pengendalian intern
pelaporan keuangannya jika adanya kelemahan yang material.
KERANGKA KERJA PENGENDALIAN
Cobit Framework
Asosiasi Pengendalian dan Audit Sistim Informasi (ISACA) telah membuat
kerangka tujuan pengendalian untuk informasi dan teknologi (COBIT). COBIT
menggabungkan standar pengendalian dari 36 sumber yang berbeda kedalam sebuah
kerangka tunggal yang memungkinkan (1) manajemen untuk membuat patokan
keamanan dan pelaksanaan pengendalian dari lingkungan IT, (2) Pengguna dijamin
bahwa keamanan IT yang cukup dan keberadaan pengendalian, dan (3) Auditor
menyokong pendapat pengendalian intern mereka dan menyarankan terhadap keamanan
IT dan masalah-masalah pengendalian.
Kerangka pengendalian disampaikan dari tiga titik pandang.
1. Tujuan bisnis, untuk memenuhi tujuan bisnis, informasi harus mematuhi tujuh
katagori dari criteria yang telah dipetakan dalam tujuan-tujuan yang telah dibuat
oleh Komite Organisasi Sponsor (COSO)
2. Sumber daya IT, termasuk orang, sistim aplikasi, teknologi, fasilitas, dan data.
3. Proses IT, hal-hal ini dipecahkan dalam empat wilayah, perencanaan dan
organisasi, akuisisi dan implementasi, pengiriman dan dukungan, dan monitoring
dan evaluasi.
Kerangka kerja pengendalian internal COSO
Committee of Sponsoring Organization (COSO) beranggotakan American
Accounting Association, American Institute of Certified Public Accountants (AICPA),
Institute of Internal Auditors, The Isntitute of Management Accountants, and the
Financial Excecutive Institute. Pada tahun 1992 COSO mengeluakan Internal Control-
10 | P a g e S I A K e l o m p o k V I
Intregated Framework (IC), kerangka keja pengendalian intern yang terintregasi yang
secara luas diterima sebagai pengendalian intern yang sah dan digabungkan dalam
kebijakan-kebijakan, aturan, dan undang-undang digunakan untuk mengendalikan
kegiatan bisnis.
Lima komponen dari kerangka kerja Internal Control-Intregated Framework (IC),
disimpulkan dalam Tabel 7-1 sebagai bagaian COSO terbaru Kerangka Kerja Manajemen
Resiko Perusahaan.
Kerangka Kerja Manajemen Resiko Perusahaan COSO
Untuk meningkatkan proses manajemen resiko, COSO membuat kernagka kerja
pengendalian internal kedua yang dianamakan Enterprise Risk Management (ERM) atau
Manajemen Resiko Perusahaan. ERM adalah proses dewan direktur dan manajemen
mempersiapkan strategi, mengidentifikasikan kejadian-kejadian yang mempengaruhi
entitas, menilai dan mengelola resiko dan menyediakan jaminan yang wajar bahwa
perusahaan meraih sasaran dan tujuannya. Prinsip-prinsip dasar dibelakang ERM sebagai
berikut:
Perusahaan dibentuk untuk menciptakan nilai bagi pemilik-pemilknya
Manajemen harus memutuskan berapa banyak ketidakmentuan akan menerima
karena menciptakan nilai.
Ketidakmenentuan akan menghasilkan resiko, dimana sesuatu yang terjadi secara
negatif akan mempengaruhi kemampuan perusahaan untuk menciptakan atau
mempertahankan nilai.
Ketidakmenentuan menghasilkan kesempatan, dimana sesuatu yang terjadi secara
positif akan mempengaruhi kemampuan perusahaan untuk menciptakan nilai dan
mempertahankan nilai.
Kerangka kerja ERM bisa mengelola ketidakmenentuan dan juga menciptakan
dan mempertahankan nilai
COSO membuat gambar 7-1 untuk mengilustrasikan elemen-elemen ERM.
Empat kolom puncak menunjukkan bahwa tujuan manajemen harus bertemu dengan
tujuan perusahaan. Kolom sebelah kanan menunjukkan unit-unit perusahaan. Baris
horizontal adalah delapan resiko saling berhubungan dan komponen-komponen
11 | P a g e S I A K e l o m p o k V I
pengendalian ERM. Model ERM berbentuk tiga dimensi. Setiap delapan resiko dan dan
elemen-elemen pengendalian diterapkan ke setiap empat tujuan perusahaan dan atau ke
subunit-subunit. Contohnya Perusahaan XYZ bisa melihat aktivitas pengendalian untuk
tujuan operasi divisi Pasifik.
Figure 7-1 COSO’s Enterprise Risk Management model
LINGKUNGAN INTERNAL
Lingkungan internal atau budaya perusahaan mempengaruhi organisasi
membangun strategi dan tujuan, struktur aktivitas bisnis, mengidentifikasi, menilai dan
merespon resiko. Ini merupakan pondasi bagi semua komponen ERM. Sebuah
kelemahan atau kekurangan lingkungan internal sering menghasilkan gangguan dalam
manajemen resiko dan pengendalian. Pada dasarnya hal yang sama seperti dalam
lingkungan pengendalian dalam kerangka kerja IC.
Lingkungan internal terdiri sebagai berikut:
1. Filsafat manajemen, style operasi, dan keinginan resiko
2. Dewan direktur
3. Komitmen integritas, nilai-nilai etika, dan kompetensi
4. Metode pemeberian wewenang dan tanggungjawab
5. Standar Sumber daya manusia
6. Pengaruh-pengaruh eksternal
12 | P a g e S I A K e l o m p o k V I
PENYUSUNAN TUJUAN
Penyusunan tujuan adalah komponen ERM (Enterprise Risk
Management). Manajemen menentukan apakah perusahaan dapat mencapai apa
yang disebut dengan visi dan misi perusahaan. Manajemen menyusun tujuan-
tujuan pada tingkat perusahaan dan kemudian membaginya ke dalam beberapa
tujuan yang lebih spesifik bagi sub unit perusahaan. Perusahaan tersebut
menentukan apa yang harus berjalan benar untuk mencapai tujuan kinerja dan
membangun pengukuran kinerja yang menentukan apakah tercapai atau tidak.
Tujuan strategis, yang merupakan tujuan paling penting yang harus
disejajarkan dengan misi perusahaan, mendukungnya, dan menciptakan nilai
saham, yang harus disusun terlebih dulu. Manajemen harus menentukan cara
alternative dalam melengkapi tujuan strategis; mengidentifikasi dan menilai resiko
dan implikasi dari setiap alternative; merumuskan strategi perusahaan dan
menentukan operasi, melaksanakan dan melaporkan tujuan.
Tujuan Operasi, yang berkaitan dengan keefektifan dan keefisiensian
kerja perusahaan yang menentukan bagaimana mengalokasikan sumberdaya.
Tujuan ini mencerminkan pilihan-pilihan manajemen, penilaian, dan gaya kerja
yang merupakan faktor kunci kesuksesan perusahaan. Tujuan ini berubah secara
signifikan – sebuah perusahaan dapat memutuskan untuk menjadi pengguna
teknologi lebih awal atau pengguna teknologi bila teknologi tersebut terbukti, dan
yang ketiga menggunakan teknologi hanya setelah teknologi tersebut diterima
secara umum.
Tujuan Pelaporan, membantu memastikan keakuratan, kelengkapan dan
kehandalan laporan perusahaan; meningkatkan pengambilan keputusan, dan
memonitor aktivitas dan kinerja perusahaan.
Tujuan Pelaksanaan, membantu perusahaan mematuhi semua regulasi
dan hokum yang berlaku. Tujuan pelaksanaan yang paling penting, dan banyak
tujuan pelaporan dikenakan oleh entitas eksternal sebagai respon atas hukum dan
13 | P a g e S I A K e l o m p o k V I
regulasi. Seberapa bagus perusahaan mencapai tujuan pelaksanaan dan pelaporan
akan secara signifikan berpengaruh terhadap reputasi perusahaan.
ERM menyediakan jaminan yang masuk akal dimana tujuan pelaksanaan dan
pelaporan tercapai karena perusahaan memiliki kendali terhadap tujuan tersebut.
Walau bagaimanapun, satu-satunya jaminan yang masuk akal dapat menyediakan
tujuan strategis dan operasi, yang terkadang ada pada kejadian eksternal diluar
kendali, dimana perusahaan dan direktur akan dapat diinformasikan dengan
berbasis waktu atas progres yang akan dicapai perusahaan.
IDENTIFIKASI KEJADIAN
COSO mengidentifikasi kejadian sebagai sebuah “Insiden atau kejadian
yang berasal dari sumber internal dan eksternal yang mempengaruhi pelaksanaan
strategi dan pencapaian tujuan. Suatu kejadian dapat berpengaruh positif atau
negatif dan bisa juga kedua-duanya. Suatu kejadian memperlihatkan
ketidakpastian; yang bisa atau tidak bisa terjadi. Bila kejadian tersebut terjadi,
sulit diketahu kapan. Sampai kejadian tersebut terjadi, akan sulit menentukan
pengaruhnya. Saat kejadian tersebut terjadi, akan dapat memicu terjadinya
kejadian lainnya. Kejadian dapat terjadi secara individu dan concurently.
Manajemen harus mengantisipasi semua kejadian positif dan negatif yang
mungkin terjadi, menentukan yang mana yang sering atau jarang kemungkinan
terjadi, dan memahami kejadian timbal balik yang terjadi.
Sebagaimana contoh, anggaplah pelaksanaan sistem pertukaran data
elektronik (EDI) yang menghasilkan dokumen elektronik, mengirimnya ke
pelanggan dan supplier dan menerima hasil elektronik. Sejumlah kecil kejadian
dalam perusahaan dapat dihadapi dengan memilih teknologi yang tercepat, akses
yang tidak sah, kehilangan integritas data, transaksi yang tidak lengkap.
Kegagalan sistem, dan sistem yang incompatible/tidak cocok.
14 | P a g e S I A K e l o m p o k V I
Beberapa teknik yang digunakan perusahaan untuk mengenal kejadian
termasuk menggunakan daftar komprehensif atas kejadian, melakukan analisis
internal, monitoring kejadian utama dan pemicunya, memimpin wawancara dan
workshop, menggunakan penggalian data dan menganalisa proses bisnis.
PENILAIAN DAN RESPON ATAS RESIKO
Resiko atas kejadian yang teridentifikasi dapat dinilai melalui beberapa
cara yang berbeda yaitu dengan kemungkinan, pengaruh positif dan negatif,
secara individu dan sesuai katagori, pengaruhnya terhadap unit organisasi baik
pada resiko turunan maupun resiko berbasis residual. Resiko Turunan terjadi
sebelum manajemen melakukan langkah-langkah untuk mengendalikan
kemungkinan atau pengaruh suatu kejadian. Resiko Residual adalah resiko yang
tersisa setelah manajemen melakukan kendali internal atau respon lainnya
terhadap resiko. Perusahaan harus menilai resiko turunan, memberikan respon dan
kemudian menilai/menaksir resiko residualnya. Perusahaan dapat menilai resiko
turunan, memberikan respond dan kemudian menilai resiko residual.
Untuk meluruskan resiko yang diidentifikasi melalui toleransi perusahaan
terhadap resiko, manajemen harus memandang secara luas resiko pada entitas.
Manajemen menilai kemungkinan dan pengaruh resiko, sebagaimana biaya dan
benefit atas respon alternative. Manajemen dapat merespon resiko dengan salah
satu diantara 4(empat) cara berikut :
Reduce (Mengurangi) . Mengurangi kemungkinan dan pengaruh resiko
dengan melaksanakan sistem yang efektif terhadap kendali internal.
Accept (Menerima) Menerima kemungkinan dan pengaruh resiko.
Share (Membagi) Membagi resiko atau mentransfer resiko tersebut ke
orang lain dengan membeli asuransi, outsourching aktivitas, atau
memasukkan ke dalam transaksi hedging.
Avoid (Menghindari). Menghindari resiko dengan tidak melakukan
kegiatan yang menghasilkan resiko. Dalam hal ini perusahaan perlu
15 | P a g e S I A K e l o m p o k V I
Yes
Avoid, share, or accept risk
Is it cost beneficial to protect the system from a threat?
Reduce risk by implementing controls to quard against the threat
Estimate the impact, or potential loss, from each threat
Identify controls to quard aqainst each threat
Identify the events, or threats, that confront the company
Estimate the likelihood, or probability, of each that occuring
Estimate the cost and benefits from instituting controls
No
Figure 7-2Risk Assessment Approacch to Designing Internal Controls
menjual pembagiannya, keluar dari lini produk, atau tidak
mengembangkan perusahaan sebagai antisipasinya.
Akuntan dan perancang sistem membantu manajemen merancang sistem
kendali yang efektif untuk menghindari resiko turunan tersebut. Mereka juga
mengevaluasi sistem kendali internal untuk memastikan bahwa sistem bekerja
secara efektif. Mereka menilai dan mengurangi resiko turunan menggunakan
strategi seperti yang ditunjukkan pada Gambar 7-2. Langkah pertama,
identifikasi kejadian telah dibahas.
16 | P a g e S I A K e l o m p o k V I
Memperkirakan Kemungkinan dan Pengaruh Resiko
Beberapa kejadian menunjukkan resiko yang lebih besar karena kejadian
tersebut akan lebih mungkin terjadi. Karyawan akan lebih mungkin melakukan
kesalahan dibanding melakukan kecurangan, perusahaan akan lebih mungkin
menjadi korban kecurangan dibandaing korban gempa bumi. Kemungkinan
terjadinya gempa bumi mungkin kecil namun pengaruhnya dapat menghancurkan
perusahaan. Pengaruh terjadinya kecurangan biasanya tidak begitu besar, karena
kebanyakan fraud terjadi secara instan tidak mengancam keberadaan perusahaan.
Kemungkinan dan pengaruh harus disamakan. Apakah peningkatan, baik secara
material kejadian dan kebutuhan akan perlindungan terhadap peningkatan
kecurangan.
Perangkat software membantu menjalankan penilaian resiko dan respon
akan resiko. Sebuah perusahaan di Florida yaitu Blue Cross Blue Shield
menggunakan software ERM yang memungkinkan manajer masuk ke dalam
resiko yang terlihat jelas; menilai sifat resiko, kemungkinannya dan pengaruh dan
menempatkannya dengan rating bilangan. Keseluruhan penilaian resiko
perusahaan dikembangkan dengan memisahkan semua rangking/urutan-urutan.
Mengidentifikasi Kontrol
Manajemen harus mengenali kendali yang melindungi perusahaan dari
setiap kejadian. Mencegah kendali biasanya lebih dulu dari mendeteksi kendali.
Saat kendali pencegahan gagal, kendali deteksi diperlukan untuk menemukan
permasalahan. Koreksi kendali membantu memperbaiki masalah yang ada. Sistem
kendali internal yang baik harus digunakan untuk ketiganya.
Memperkirakan Biaya dan Keuntungan
Tujuan perancangan sistem kendali internal adalah menyediakan jaminan
yang masuk akal yang memungkinkan suatu kejadian tidak terjadi. Tidak ada
sistem kendali internal yang menyediakan proteksi yang mudah terhadap semua
kejadian, karena memiliki terlalu banyak kendali mengakibatkan larangan biaya
17 | P a g e S I A K e l o m p o k V I
dan secara negatif mempengaruhi efisiensi operasional. Sebaliknya memiliki
kontrol yang sedikitpun tidak akan memberikan jaminan yang masuk akal.
Keuntungan dari sebuah prosedur kendali internal harus melebihi
biayanya. Keuntungan, yang sukar dijumlahkan secara akurat, termasuk
peningkatan penjualan dan produktifitas, pengurangan kerugian, integrasi yang
lebih baik antara pelanggan dan supplier, meningkatkan kesetiaan pelanggan,
keuntungan yang kompetitif, dan premi asuransi yang lebih rendah. Biaya
biasanya lebih mudah diukur dibandingkan keuntungan. Elemen biaya primer
adalah personil, termasuk waktu untuk melakukan prosedur kendali, biaya
mempekerjakan karyawan tambahan untuk mencapai pemisahan yang efektif atas
tugas-tugas dan biaya program kontrol untuk sistem komputer. Salah satu cara
untuk memperkirakan nilai kendali internal melibatkan perkiraan kerugian, hasil
matematis terhadap pengaruh dan kemungkinan tersebut adalah :
Perkiraan Kerugian = Pengaruh x Kemungkinan
Nilai prosedur kontrol adalah perbedaan antara Perkiraan Kerugian dengan
prosedur kontrol dan kerugian yang diperkirakan tanpa prosedur kontrol.
Menentukan Keefektifan Biaya/Keuntungan
Manajemen harus menentukan apakah sebuah kendali memberi
keuntungan biaya. Sebagai contoh, pada Atlantic Richfield error data sering
terjadi yang memerlukan keseluruhan pembayaran harus diproses ulang, pada
biaya $ 10.000,-. Langkah validasi data harus dapat mengurangi kemungkinan
terjadinya kejadian sebesar 15% hingga 1% pada biaya $600 per periode
pembayaran. Analisis biaya dan keuntungan yang menentukan langkah validasi
harus digunakan seperti pada Tabel 7-2.
18 | P a g e S I A K e l o m p o k V I
Table 7-2 cost/benefit analysis of payroll validation procedure
Without Validation Procedure
With Validation Procedure
Net Expected Difference
Cost to reprocess entire payroll $10,000 $10,000
Likelihood of payroll date errors 15% 1%
Expected reprocessing cos
($10,000 x likelihood)
$1,500 $100 $1,400
Cost of validation procedure $0 $600 $(600)
Net expected benefit of validation procedure $800
Dalam mengevaluasi control internal, manajemen harus
mempertimbangkan factor-faktor dibandingkan kalkulasi keuntungan yang
diharapkan. Misalnya bila suatu kejadian yang mengancam keberadaan organisasi,
biaya ekstra dapat di pandang sebagai bencana terhadap kerugian premi asuransi.
Melaksanakan Kendali, Menerima, Membagi atau Menghindari Resiko
Kendali biaya efektif harus dilaksanakan untuk mengurangi resiko.
Resiko yang tidak dikurangi harus diterima, dibagi, atau dihindari. Resiko harus
dapat diterima jika masih dalam batas toleransi resiko perusahaan. Sebagai contoh
yaitu resiko dengan kemungkinan dan pengaruh yang kecil. Respon untuk
mengurangi atau membagi resiko yang akan membawa resiko residual ke dalam
batas toleransi resiko yang dapat diterima. Sebuah perusahaan dapat memilih
menghidari resiko dimana tidak ada cara yang bersifat biaya efektif untuk
membawa resiko ke dalam batas toleransi yang dapat diterima.
AKTIVITAS PENGENDALIAN
Aktivitas pengendalian merupakan kebijakan dan prosedur yang
menyediakan jaminan yang masuk akal yang mengendalikan tujuan agar tercapai
19 | P a g e S I A K e l o m p o k V I
dan respon terhadap resiko dapat diatasi. Merupakan tanggung jawab manajemen
mengembangkan sistem kendali yang aman dan memadai. Manajemen
membangun sebuah susunan prosedur untuk memastikan pelaksanaan dan
penegakan kontrol. Petugas Pengaman Informasi dan staf operasi bertanggung
jawab dalam memastikan bahwa prosedur kontrol dijalankan.
Kontrol akan lebih efektif bila ditempatkan dalam sistem sebagai mana
sistem tersebut dibangun. Hasilnya manajer harus melibatkan penganalisa sistem,
perancang dan akhirnya pemakai saat merancang sistem yang berbasis kendali
komputer. Penting kiranya, aktivitas kontrol dilaksanakan selama musim liburan
akhir tahun, karena sejumlah besar kecurangan komputer dan pembobolan
keamanan terjadi selama musim tersebut. Beberapa alasan kejadian ini terjadi
adalah karena (1) lamanya liburan karyawan berarti bahwa makin sedikit orang
yang “menjaga toko”; (2) pelajar tidak masuk sekolah dan memiliki banyak waktu
untuk bekerja; dan (3) penggemar hacker meningkatkan serangan mereka.
Prosedur kendali memiliki beberapa katagori diantaranya :
1. Otorisasi transaksi dan kegiatan yang memadai
2. Pemisahan tugas
3. Kendali pengembangan dan akuisisi proyek
4. Mengubah kendali manajemen
5. Merancang dan menggunakan catatan dan dokumen
6. Menjaga/menyimpan aset, catatan, dan data
7. Pemeriksaan independen atas kinerja.
Otorisasi transaksi dan Kegiatan yang Memadai
Karena manajemen kekurangan waktu dan sumber daya untuk
mengawasi setiap aktivitas dan keputusan perusahaan, perusahaan
membuat kebijakan untuk karyawan untuk mengikuti dan memberdayakan
mereka. Pemberdayaan ini disebut dengan Otorisasi yang merupakan
20 | P a g e S I A K e l o m p o k V I
prosedur kontrol yang penting. Otorisasi sering kali didokumentasikan
sebagai penandatanganan, pemberian tanda paraf, atau memasukkan kode-
kode otorisasi atas dokumen atau catatan transaksi. Sistem komputer saat
ini mampu melaksanakan tanda tangan digital (digital signature) atau sidik
jari yaitu sebuah cara menandatangani dokumen dengan sebuah data yang
tidak dapat dipalsukan.
Para pegawai yang memproses transaksi harus memverifikasi
keberadaan otorisasi yang sesuai Auditor meninjau transaksi untuk
memverifikasi otorisasi yang memadai, karena ketidakberadaan otorisasi
yang memadai menunjukkan kemungkinan masalah pengendalian.
Beberapa aktivitas atau transaksi tertentu terjadi karena keadaan
khusus, sehingga pihak manajemen memberikan otorisasi khusus agar
dapat dilaksanakan. Contohnya peninjauan dan persetujuan pihak
manajemen sering kali diminta untuk transaksi penjualan diatas $20.000,
pengeluaran modal melebihi $ 10.000, atau untuk penghapusan piutang
usaha tak tertagih melebihi $5.000. Sebaliknya, pihak manajemen dapat
memberikan otorisasi pegawai untuk menangani transaksi rutin tanpa
persetujuan khusus, atau disebut sebagai prosedur otorisasi umum (general
authorization). Pihak manajemen harus memiliki kebijakan tertulis baik
mengenai otorisasi khusus maupun umum, untuk semua jenis transaksi.
Pemisahan Tugas
Pengendalian internal yang baik mensyaratkan bahwa tidak ada pegawai
diberikan tanggung jawab terlalu banyak. Seorang pegawai seharusnya
tidak berada dalam posisi untuk melakukan penipuan dan
menyembunyikan penipuan atau kesalahan yang tidak disengaja. Sepeti
yang diperlihatakan dalam Gambar 7-3, pemisahan tugas yang efektif
dicapai ketika fungsi-fungsi berikut ini dipisahkan :
1. Otorisasi – menyetujui transaksi dan keputusan
21 | P a g e S I A K e l o m p o k V I
2. Pencatatan – mempersiapkan dokumen sumber; memelihara
catatan jurnal, buku besar, dan file lainnya; mempersiapkan
rekonsiliasi serta mempersiapkan laporan kinerja.
3. Penyimpanan – menangani kas, memelihara tempat penyimpanan
persediaan, menerima cek yang masuk dari pelanggan, menulis
cek atas rekening bank organisasi.
Gambar 7-3 Pemisahan Tugas
Apabila dua dari tiga fungsi tersebut merupakan tanggung jawab satu orang, maka akan muncul masalah.
22 | P a g e S I A K e l o m p o k V I
FUNGSI-FUNGSI PENYIMPANAN FUNGSI-FUNGSI PENCATATAN
FUNGSI-FUNGSI OTORISASI
Menangani Kas Menangani Persediaan,
Peralatan atau Aktiva Tetap Menulis Cek Menerima Cek Lewat Surat
Mempersiapkan Dokumen Sumber
Memelihara catatan jurnal, buku besar, atau file lainnya
Mempersiapkan rekonsiliasi Mempersiapkan laporan kinerja
Otorisasi transaksiMencegah Otorisasi transaksi fiktif atau yang tidak akurat, yang merupakan cara menutupi pencurian aset
Mencegah Pegawai memalsukan catatan untuk menutupi transasksi yang tidak diotorisasi secara layak
Mencegah Para Pegawai memalsukan catatan untuk menyembunyikan pencurian aset yang dipercayakan pada
mereka
Komputer dapat diprogram untuk melaksanakan satu atau dua lebih
fungsi-fungsi yang telah disebutkan sebelumnya. Pemisahan tugas
diupayakan, kecuali komputer melakukan fungsinya. Misalnya kita dapat
membayar pompa bensin dengan kartu kredit dan debit. Komputer
melakukan keduanya penyimpanan dan pencatatan. Selain itu agar
internal kontrol berjalan baik, sebaiknya memberikan pelanggan
peningkatan kemudahan dan mengurangi antrian pembayaran bahan
bakar.
PEMISAHAN TUGAS-TUGAS SISTEM – Dalam sistem informasi
sebuah prosedur yang dilakukan oleh individu yang berbeda dapat
dikombinasikan. Karena itu setiap orang yang mempunyai akses tidak
terlarang pada komputer, programnya dan data langsung yang dapat
dilakukannya dan disembunyikannya penipuan. Untuk memberantas
anacaman ini, organisasi melaksanakan pemisahan tugas sistem. Kuasa
dan Tanggung jawab harus dibagi secara jelas terhadap fungsi-fungsi
berikut :
1. Administrasi sistem. Administrator sistem memastikan semua
komponen sistem informasi beroperasi dengan lancar dan efektif.
2. Manajemen jaringan. Manajer jaringan memastikan perangkat
terhubung ke jaringan internal dan eksternal dan jaringan tersebut
harus bekerja sepantasnya.
3. Manajemen keamanan. Memastikan bahwa sistem aman dan
terlindungi dari ancaman internal dan eksternal dan jaringan
beroperasi dengan baik.
4. Perubahan Manajemen. Perubahan manajemen memastikan
bahwa perubahan dibuat dengan lancar dan efficient dan tidak
secara negatif mempengaruhi keandalan, keamanan, kerahasiaan,
integritas dan ketersediaan sistem.
5. Pemakai. Catatan transaksi pemakai, data untuk diproses dan
output sistem yang digunakan.
23 | P a g e S I A K e l o m p o k V I
6. Analisis Sistem. Membantu pemakai menentukan informasi yang
mereka butuhkan dan perancangan sistem untuk mencapai
kebutuhan tersebut.
7. Pemrograman. Programmer melakukan analisis rancangan dan
menciptakan sistem dengan menulis bahasa program komputer.
8. Operasi komputer. Operator komputer menjalankan software pada
komputer perusahaan. Operator memastikan data diinput dengan
benar, dan diproses dengan benar, dan ouputnya diproduksi saat
dibutuhkan.
9. Pustaka Sistem Informasi. Pustakawan sistem informasi
menetapkan penyimpanan database perusahaan, file, dan program
dalam bagian penyimpanan yang terpisah yang disebut sebagai
Pustaka sistem informasi.
10. Control Data. Group kontrol data memastikan bahwa sumber data
telah disetujui, mengawasi aliran kerja melalui komputer,
rekonsiliasi output dan input, mempertahankan catatan kesalahan
input untuk memastikan perbaikan dan penyerahan kembali, dan
mendistribusikan output sistem.
Membiarkan seseorang melakukan dua tugas tersebut atau lebih akan
mengakibatkan terjadinya penipuan pada perusahaan.
Pengembangan Proyek dan Kendali Akuisisi
Sangatlah penting memiliki metodologi yang terbukti untuk menjalankan
pengembangan, akuisisi, pelaksanaan dan pemeliharaan sistem informasi.
Kontrol pengembangan sistem yang penting diantaranya :
1. Streering Committee membina dan mengawasi pengembangan dan
akuisisi sistem.
24 | P a g e S I A K e l o m p o k V I
2. Master plan strategis dikembangkan dan di update tahunan untuk
mensejajarkan sistem informasi organisasi dengan strategi bisnis.
Master plan ini menampilkan proyek-proyek yang harus diselesaikan
dan menunjukan perlunya hardware, software, personil, dan kebutuhan
infrastruktur.
3. Rencana pengembangan proyek menunjukkan tugas-tugas yang harus
diselesaikan, siapa yang akan menyelesaikannya, biaya, tanggal
penyelesaian dan rencana proyek – point yang penting saat progress
dikaji dan saat perkiraan waktu penyelesaian dapat dibandingkan.
Setiap proyek diberikan kepada manajer dan tim yang bertanggung
jawab atas kesuksesan dan kegagalannya.
4. Jadwal pemrosesan data menunjukkan kapan setiap tugas harus
diselesaikan.
5. Sistem Pengukuran Kinerja dibentuk untuk mengevaluasi sistem.
Pengukuran yang biasa termasuk Penempatan (Output per unit waktu),
Pemakaian (Persentase waktu yang digunakan sistem), dan Respon
waktu (berapa lama waktu yang terpakai oleh sistem untuk merespon).
6. Pengkajian terhadap post pelaksanaaan dilakukan setelah
pengembangan proyek dilengkapi untuk menentukan apakah benefit
yang diantisipasi dapat dicapai.
Beberapa perusahaan menyewa Sistem Integrator untuk mengatur
upaya pengembangan sistem yang melibatkan personel pribadi, client dan vendor
lainnya. Proyek pengembangan ini ditujukan untuk biaya keluar yang sama dan
menghilangkan tenggat waktu sebagai sistem yang dikembangkan secara internal.
Perusahaan yang menggunakan sistem integrator harus menggunakan
proses manajemen proyek yang sama dan mengendalikan proyek internal. Selain
itu perusahaan harus juga :
Mengembangkan spesifikasi yang jelas. Ini mencakup deskripsi
yang tepat dan pendefinisian sistem, deadline explicit dan
criteria penerimaan yang tepat.
25 | P a g e S I A K e l o m p o k V I
Memonitor proyek. Perusahaan harus membentuk prosedur
formal untuk mengukur dan melaporkan status proyek.
Pendekatan yang terbaik adalah membagi proyek ke dalam
tugas-tugas yang dapat diatur, menempatkan tanggung jawab
atas setiap tugas, dan melakukan setidaknya sebulan sekali
untuk meninjau progress dan kualitas penilaian.
Perubahan Kontrol Manajemen
Organisasi memodifikasi sistem yang ada untuk mencerminkan praktek
bisnis baru dan mengambil keuntungan dari kemajuan IT. Perubahan muatan yang
terjadi ini memastikan mereka tidak memperkenalkan error dan memfasilitasi
penipuan.
Perancangan dan Penggunaan Dokumen dan Catatan.
Perancangan yang tepat dan penggunaan dokumen elektronik dan catatan
membantu memastikan perekaman yang lengkap dan akurat terhadap semua data
transaksi yang relevan. Bentuk dan isinya harus sesederhana mungkin untuk
mendukung pencatatan yang efisien, meminimalkan kesalahan pencatatan, dan
memfasilitasi peninjauan serta verifikasi. Dokumen yang mengawali sebuah
transaksi harus memiliki ruang untuk otorisasi. Dokumen –dokumen yang
dipergunakan untuk memindahkan aset ke orang lain, harus memiliki ruang untuk
tanda tangan pihak penerima aset. Dalam rangka menggurangi kesempatan
penggunaan dokumen untuk penipuan, dokumen harus diberikan nomor urut yang
telah dicetak lebih dulu agar setiap dokumen dapat dipertanggung jawabkan. Jejak
audit yang baik memfasilitasi pelacakan ke setiap transaksi melalui sistem,
perbaikan kesalahan dan verifikasi output sistem.
Penjagaan Aset, Pencatatan dan Data.
Perusahaan harus melindungi uang dan asetnya sebagaimana
informasinya juga. Seorang reporter Reuter mengetahui bahwa Inentia sebuah
26 | P a g e S I A K e l o m p o k V I
perusahaan software di Swedia meluncurkan hasil laporan laba rugi kuartal satu
dan dua ke dalam website yang hampir secara identik merupakan alamat website.
Dia menebak alamat web kuartal ketiga, menemukan bilangan yang tak
dikeluarkan dan membawa hasil cerita yang mengecewakan.
Karyawan memiliki resiko keamanan yang lebih besar dibanding orang
luar. Mereka akan lebih mampu menyembunyikan aksi ilegal mereka, karena
mereka lebih baik dalam mengetahui kelemahan sistem. Hampir 50% perusahaan
melaporkan orang dalam mengakses data tanpa izin yang. Seorang insinyur
software di America Online dituntut karena menjual 92 juta alamat email yang dia
peroleh secara illegal dengan menggunakan ID dan password karywan. Bisnis
perjudian di internet membeli nama dan menggunakannya untuk meningkatkan
pendapatan perusahaan sebesar $10.000 - $20.000 per hari. Pencurian data tidak
terselidiki selama setahun, hingga sorang tipster annonimous memberitahukan ke
pada penguasa bahwa bisnis perjudian menjual ulang nama ke spammer yang
menjual produk herbal kesehatan laki-laki.
Karyawan juga dapat mengakibatkan ancaman tanpa niat, misalnya
secara tidak sengaja menghapus data perusahaan, membawa virus yang
menyerang email, atau mencoba memperbaiki hardware atau software tanpa
kemampuan yang memadai. Hal ini dapat mengakibatkan kehancuran jaringan,
merusak data, dan mengakibatkan tidak berfungsinya hardware dan software.
Oleh karena itu, perlu kiranya :
1. Menciptakan dan memberdayakan prosedur dan kebijakan yang
sesuai. Adalah terlalu sering kebijakan dan prosedur itu diciptakan
namun tidak diberdayakan.
2. Mempertahankan pencatatan yang akurat atas semua aset. Secara
periodik merekonsiliasi jumlah catatan atas aset perusahaan ke
jumlah fisik dari aset-aset tersebut.
3. Membatasi Akses ke Aset. Membatasi akses ke wilayah
penyimpanan melindungin inventaris dan perlengkapan. Register
27 | P a g e S I A K e l o m p o k V I
kas, Simpanan, Brankas, dan Brankas Deposit Tabungan akan
membatasi akses atas aset uang dan kertas.
4. Melindungi Catatan dan Dokumen. Area penyimpanan harus tahan
api, filing-filing kabinet terkunci, backup file, dan penyimpanan
diluar area akan memproteksi catatan dan dokumen. Akses ke cek
kosong dan dokumen harus dibatasi hanya kepada personil yang
berwenang.
Pemeriksaan Independen Atas Kinerja
Pemeriksaan internal atas kinerja, dilakukan oleh orang lain selain yang
melakukan pekerjaan awalnya, hal ini membantu memastikan transaksi diproses
secara akurat. Yang mencakup hal-hal berikut ini :
Kajian Top-Level. Manajemen harusnya memonitor hasil yang dicapai
perusahaan secara periodik dibandingkan kinerja perusahaan yang aktual
untuk (a) merencanakan kinerja, seperti ditunjukkan pada Anggaran,
Target/realisasi, dan Perkiraan; (b) kinerja per periode sebelumnya ; (c).
Kinerja pesaing.
Kajian Analitis. Sebuah kajian analitis adalah pemeriksaan atas hubungan
antara beberapa kumpulan data yang berbeda. Misalnya, saat penjualan
kredit meningkat, demikian pula rekening penerimaan. Selain itu, ada
kaitannya antara penjualan dan rekening yaitu biaya barang yang terjual,
inventaris dan barang kiriman.
Rekonsiliasi Catatan yang secara independen dipelihara. Catatan harus
direkonsiliasikan ke dokumen atau catatan dengan saldo yang sama.
Contohnya; rekonsiliasi bank memverifikasi bahwa akun pemeriksa telah
sesuai dengan laporan bank. Contoh lainnya adalah membandingkan
jumlah total dalam buku pembantu piutang usaha dengan total akun
piutang usaha dalam buku besar.
Perbandingan Jumlah Aktual dengan Yang di Catat. Kas dalam laci
mesin pada akhir pergantian staf administrasi, harus sama jumlahnya
28 | P a g e S I A K e l o m p o k V I
dengan jumlah yang dicatat dalam pita mesin kas. Seluruh persediaan
harus dihitung secara periodik dan dibandingkan dengan catatan
persediaannya.
Pembukuan Berpasangan. Pepatah yang menyatakan bahwa debit harus
sama dengan kredit memberikan kesempatan besar untuk pemeriksaan
internal. Contohnya debit dalam akun penggajian mungkin dialokasikan
ke berbagai persediaan dan/atau akun beban, oleh departemen akuntansi
biaya. Kredit dialokasikan ke beberapa akun kewajiban untuk utang upah
dan gaji. Sebagai kesimpulan dari kedua operasi yang kompleks ini,
perbandingan jumlah total debit dengan jumlah total kredit merupakan
pemeriksaan yang memadai atas keakuratan kedua proses tersebut.
Perbedaan selisih apapun menunjukkan adanya satu atau lebih kesalahan.
Kajian Independen. Setelah transaksi diproses, orang kedua akan
mengkaji hasil kerja orang pertama, memeriksa kewenangan yang wajar,
mengkaji dokumen-dokumen pendukung, dan memeriksa keakuratan
harga, kuantitas dan ekstensinya.
INFORMASI DAN KOMUNIKASI
Informasi dan komunikasi merupakan komponen ketuju dari ERM. Hal ini
berkaitan langsung dengan tujuan utama SIA yaitu untuk mengumpulkan,
mencatat, memproses, menyimpan, meringkas, dan mengkomunikasikan
informasi atas suatu organisasi. Hal ini berarti bahwa akuntan harus memahami
bagaimana (1) transaksi diawali, (2) data didapat dalam bentuk yang dapat dibaca
oleh mesin, atau data diubah dari dokumen sumber ke bentuk yang dapat dibaca
oleh mesin, (3) file komputer diakses dan diperbarui, (4) data diproses untuk
mempersiapkan sebuah informasi, dan (5) informasi dilaporkan ke para pemakai
internal dan pihak eksternal. Akuntan juga harus memahami catatan dan prosedur
akuntansi, dokumen-dokumen pendukung, dan akun laporan keuangan tertentu
yang terlibat dalam pemrosesan dan pelaporan transaksi.
29 | P a g e S I A K e l o m p o k V I
Hal-hal tersebut membuat sistem dapat melakukan jejak audit (audt trail).
Jejak audit muncul ketika transaksi suatu perusahaan dapat dilacak di sepanjang
sistem mulai dari asalnya sampai tujuan akhirnya pada laporan keuangan. Sama
halnya angka-angka pada laporan keuangan dapat dilacak kembali di sepanjang
sistem hingga ke transaksi individual yang menghasilkan saldo.
Menurut AICPA, SIA memiliki lima tujuan utama yaitu:
1. Mengindentifikasi dan mencatat semua transaksi yang valid. Misalanya:
apabila perusahaan secara sengaja mencatat penjualan fiktif, maka
pendapatan dan pemasukan akan dinyatakan terlalu berlebihan. Apabila pada
akhir tahun perusahaan lupa mencatat beberapa pengeluaran, maka
pengeluaran dinyatakan kurang dan pemasukan bersih dinyatakan terlalu
berlebihan.
2. Mengklasifikasi transaksi secara tepat. Misalnya: apabila pengeluaran
diklasifikasi secara tidak tepat sebagai aset, maka aset dan pemasukan bersih
dinyatakan terlalu berlebihan.
3. Mencatat transaksi pada nilai moneter yang tepat. Misalnya piutang yang
tidak tertagih harus dihapus.
4. Mencatat transaksi dalam periode akuntansi yang tepat. Mencatat penjualan
tahun 2000 ke tahun 1999 akan menyatakan penjualan dan pemasukan yang
berlebihan untuk tahun 1999, dan memiliki pengaruh yang terbaik untuk
tahun 2000.
5. Menampilkan secara tepat semua transaksi dan pengungkapan yang berkaitan
dalam laporan keuangan. Kegagalan dalam mengungkapkan sebuah tuntutan
atau kewajiban kontijensi, dapat menyesatkan pembaca laporan keuangan.
Sistem akuntansi umumnya terdiri dari beberapa subsistem akuntansi,
yang masing-masing didesain untuk memproses transaksi jenis tertentu. Meskipun
berbeda menurut jenis transakasi yang diproses, semua subsistem akuntansi
mengikuti urutan prosedur yang sama. Prosedur ini disebut siklus akuntansi.
30 | P a g e S I A K e l o m p o k V I
MENGAWASI KINERJA
Komponen kelima dari model pengendalian internal COSO adalah
pengawasan. Metode utama untuk mengawasi kinerja mencakup supervisi yang
efektif, pelaporan yang bertanggung jawab dan audit internal.
Supervisi yang Efektif
Supervisi yang efektif mencakup melatih dan mendampingi pegawai,
mengawasi kinerja mereka, mengoreksi kesalahan, dan melindungi aset dengan
cara mengawasi pegawai yang memuliki akses ke hal-hal tersebut. Supervisi
merupakan hal yang penting bagi organisasi yang tidak mampu melaporkan
tanggung jawab secara rinci, atau terlalu kecil untuk memiliki pemisahan tugas
yang memadai.
Akuntansi Pertanggungjawaban
Sistem akuntansi pertanggungjawaban mencakup anggaran, kuota, jadwal,
biaya standar, dan standar kualitas; laporan kinerja yang membandingkan kinerja
yang aktual dengan kinerja yang direncanakan, serta menunjukkan perbedaan
yang signifikan; dan prosedur untuk menyelidiki perbedaan yang signifikan dan
mengambil tindakan tepat pada waktunya, untuk mengoreksi kondisi-kondisi yang
mengarah pada perbedaan tersebut.
Audit Internal
Audit internal mencakup peninjauan ulang keandalan dan integritas
informasi keuangan dan operassinal serta menyediakan penilaian keefektifan
pengendalian internal. Audit internal juga mencakup penilaian kesadaran pegawai
31 | P a g e S I A K e l o m p o k V I
terhadap prosedur dan kebijkan manajemen, hukum dan peraturan yang berlaku,
serta mengevaluasi efisiensi dan keefektifan manajamen. Berbeda dengan auditor
eksternal, para auditor internal menempatkan penekanan yang besar pada
pengendalaian manajemen perusahaan; sehingga mereka dapat mendeteksi waktu
lembur yang berlebihan, aset yang kurang digunakan, persediaan yang usang,
penggantian biaya perjalanan yang tidak diperlukan, anggaran dan kuota yang
terlalu longgar, pengeluaran modal yang kurang tepat, dan produksi yang menjadi
semakin lambat. Objektivitas dan keefektifan memerlukan fungsi audit internal
yang independen secara organisasional dari fungsi akuntansi dan operasional.
Misalnya, kepala audit internal harus melapor ke komite audit dari dewan
komisaris, bukan kepada kontroler atau chief financial officer.
Seorang auditor internal yang waspada, mencatat tentang seorang
supervisor departemen yang berulang tahun dengan mengajak seluruh staf keluar
makan siang menggunakan limousine. Selama sisa waktu audit, auditor tersebut
mencatat bukti-bukti lain dari gaya hidup yang terlalu boros. Auditor tersebut
merasa tidak yakin bahwa gaji supervisor tersebut dapat mendukung gaya
hidupnya. Auditor kemudian melakukan penyelidikan lebih mendalam. Dia
menemukan bahwa supervisor tersebut telah membuat beberapa pemasok fiktif,
mengirim faktur perusahaan ke para pemasok tersebut, dan kemudian mencairkan
ceknya ketika cek tersebut dikirim kepadanya. Selama bertahun-tahun, dia telah
menggelapkan lebih dari 12 juta dolar.
RINGKASAN DAN KESIMPULAN KASUS
Setelah tiga hari Bozeman, Jason dan Maria kembali ke kantor pusat di
northwest dan menyimpan laporan audit mereka. Seminggu kemudian, mereka
diminta datang kekantor Roger Sawyer, Direktur Audit Internal Northwest, untuk
menjelaskan temuan mereka. Segera setelah itu, tim audit internal tingkat tinggi
diberangkatkan ke Bozeman untuk melihat lebih dekat situasinya.
32 | P a g e S I A K e l o m p o k V I
Ketika tim audit kembali, Jason dan Maria menyakan mengenai temuan
mereka dan diberitahukan bahwa situasi masih sedang diselidiki. Enam bulan
kemudian, newsletter perusahaan memuat pengumuman bahwa keluarga Springer
telah menjual sisa saham mereka yang 10% pada bisnis Bozeman ke Northwest
dan telah mengundurkan diri dari posisi manajemen. Dua eksekutif Northwest
ditransfer untuk menggantikan posisi keluarga Springer. Namun masih tetap tidak
ada kabar mengenai temuan audit.
Dua tahun kemudian, Jason dan Maria ditugaskan ke pekerjaan yang
disupervisi oleh Frank Ratliff, salah seorang anggota tim audit internal tingkat
tinggi. Setelah berjam-jam, Frank bercerita pada mereka. Berdasarkan laporan
Jason dan Maria, tim penyilidik telah memeriksa sampel dalam jumlah besar atas
transaksi pembelian dan seluruh catatan waktu kerja dan penggajian pegawai
untuk periode 12 bulan. Tim tersebut juga telah melakukan pemeriksaan
persediaan fisik secara terinci. Penyelidikan tersbut menemukan bahwa masalah
yang didentifikasi Jason – termasuk permintaan pembelian, pesanan pembelian,
dan laporan penerimaan yang hilang, serta harga yang mahal – banyak sekali
terjadi. Mereka menemukan bahwa masalah-masalah ini hampir sebagian besar
terjadi dalam transaksi dengan tiga vendor, tempat Springer’s membeli persediaan
dan perlengkapan senilai jutaan dolar. Tim tersebut mendiskusikan harga barang
yang tidak normal mahalnya tersebut dengan para vendor, tetapi mereka tidak
mendapatkan penjelasan yang memuskan. Akan tetapi, pemeriksaan dari biro
lisensi usaha daerah menunjukkan bahwa Bill Springer mempunyai kepemilikan
yang signifikas atas ketiga perusahaan tersebut. Melalui pengotorisasian harga
mahal keperusahaan yang separuh dimilikinya, Springer mendapatkan bagian
beberapa ratus ribu dolar atas kelebiha laba tersebut, dan semuanya atas
tanggungan Northwesr Industries.
Tim penyelidik juga menemukan bukti bahwa beberapa pegawai
Springer’s dibayar lebih banyak dari jam kerja yang didokumenasikan dalam
catatan waktu kerja. Terakhir, tim tersebut telah menetapkan bahwa akun
persediaan Springer’s telah dilebih-lebihkan jumlahnya. Persediaan fisik
33 | P a g e S I A K e l o m p o k V I
menunjukkan bahwa sejumlah besar persediaan yang dicatat dalam catatan
persediaan tidak ada, dan bahwa jumlah lainnya tidak diperbaharui. Ayat jurnal
penyesuaian yang mencerminkan persediaan Springer’s yang sebenarnya
menghapus sebagian besar laba toko tersebut dalam 3 tahun terakhir.
Ketika dikonfrontasikan, keluarga Springer tersebut menyangkal dengan
keras pelanggaran atas aturan apapun. Northwest mempertimbangkan untuk
mengadukan kepemerintah agar diadakan penyelidikan penipuan secara formal,
tetapi khawatir bahwa kasus mereka tidak cukup kuat untuk dibuktikan di
pengadilan. Mereka juga khawatir bahwa publisitas negatif akan merusak posisi
perusahaan di Bozeman. Setelah bernegosiasi beberapa bulan, keluarga Springer
setuju dengan penyelesaian yang dilaporkan dalam newsletter. Salah satu bagian
dari penyelesaian tersebut adala tidak ada pernyataaan publik yang akan
dikeluarkan, mengenai dugaan penipuan atau pencurian yang melibatkan keluarga
Springer tersebut. Menurut Frank, kebijakan ini sudah umum. Di dalam banyak
kasus penipuan, penyelesaian dicapai secara diam-diam tanpa tuntutan hukum,
agar perusahaan dapat menghindari publisats negatif.
34 | P a g e S I A K e l o m p o k V I