Konsep Resiko dan Sistem Pengendalian Intern

• Resiko & kontrol berkaitan dengan exposures• Exposures berasal dari kata expose yang

artinya uncover make visible (membuka kedok menjadi terlihat mata) atau leave unprotected (membiarkan tak terlindungi)

• Resiko adalah kemungkinan yang terjadi• Kontrol dibutuhkan untuk mengurangi

exposures

RESIKO DAN KONTROL

Kondisi exposures dalam perusahaan

• Terjadi kelalaian atau kecurangan• Kesalahan pencatatan / pelaporan keuangan• Kehilangan aset perusahaan• Piutang tak tertagih• Pengeluaran melebihi yang seharusnya• Kinerja perusahaan dibawah standar• Tidak dipatuhinya prosedur atau kebijakan • Kurangnya disiplin pegawai

Bagaimana perusahaan menghindari atau meminimalkan exposures?

Dengan sistem pengendalian intern

Jenis-jenis Resiko

1. Resiko Bisnis2. Resiko Bawaan3. Resiko Pengendalian4. Resiko Deteksi5. Resiko Audit

Resiko Bisnis• Adalah resiko yang dapat disebabkan oleh faktor-

faktor internal dan eksternal yang dapat membuat tujuan organisasi tidak tercapai

• Contoh resiko ekstern adalah:– perubahan kondisi perekonomian, – tingkat kurs yang berubah secara mendadak, – munculnya pesaing baru yang berpotensi tinggi

• Contoh resiko internal adalah:– Resiko berkaitan dengan peralatan– Permasalahan pegawai– Resiko keputusan yang tidak tepat

Contoh resiko bisnis

• Adanya keputusan organisasi untuk terjun sebagai first mover ke e-commerce.

• First mover adalah perusahaan yang berinisiatif sebagai pionir dalam mengambil peluang.

• Resiko yang dihadapi adalah perusahaan ternyata belum siap dari segi teknologi dan infrastruktur atau kultur / budaya masyarakat tidak sesuai.

• Resiko bisnis terjadi ketika peluang yang diambil ternyata gagal.

Resiko Bawaan

• Adalah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan, jika tidak ada pengendalian intern.

• Contoh:– Seorang kasir akan tergoda menggunakan uang

kas untuk kepentingan pribadi– Pegawai cenderung akan menggunakan barang

inventaris kantor untuk keperluannya

Resiko Pengendalian

• Adalah resiko yang dimiliki meskipun sudah ada pengendalian

• Contoh:– Auditor akan salah menilai jika ternyata daftar

hadir pegawai masih terdapat kemungkinan penyalahgunaan yang belum dapat dideteksi oleh prosedur yang ada

– prosedur otorisasi dalam sistem penjualan tidak dilakukan secara disiplin meski ada pengendalian

Resiko Deteksi

• Adalah resiko yang terjadi karena prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup materialitas

• Dapat terjadi karena auditor ternyata dalam prosedur auditnya tidak dapat mendeteksi terjadinya kesalahan karena pengendalian intern yang tidak berjalan dengan baik

Resiko Audit

• Adalah kombinasi dari resiko bawaan, resiko pengendalian dan resiko deteksi.

• Adalah resiko bahwa hasil pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya

• Contoh untuk menentukan prosedur otorisasi:– Auditor menggunakan teknik sampling– Hasil pemeriksaan: seluruh surat pesanan sudah diotorisasi dengan

baik– Pendapat Auditor prosedur penjualan sudah baik– Kenyataannya: dokumen yang lain tidak diotorisasi– Berarti opini atau rekomendasinya belum mencerminkan yang

sebenarnya

Jones dan Rama dalam bukunya Accounting Information System mengelompokkan resiko dalam 4 jenis yaitu:

• Execution Risk• Information Risk• Asset protection Risk• Performance Risk

JE Hunton, SM Bryant dan NA Bagranoff dalam bukunya Core Concepts of Information Technology Auditing menyebutkan jenis resiko yang lain yaitu:

• IT Security Risk• Continuity Risk

Dampak Komputerisasi

a. Perubahan struktur organisasib. Dapat mengolah data secara cepat, cermat,

akurat, konsisten dan dapat dilakukan secara terus menerus dalam waktu yang relatif tidak terbatas

c. Resiko sistem berbasis komputer

Resiko sistem berbasis komputer(1)

• Penggunaan teknologi secara tidak layak karena konfigurasi komputer yang kurang layak teknis tapi terlalu dipaksakan sehingga berakibat serius

• Kesalahan berantai atau pengulangan kesalahan

• Logika pengolahan yang salah akibat salah rumus atau logika program sehingga hasil keluaran program menjadi salah

Resiko sistem berbasis komputer(2)

• Ketidakmampuan sistem analisis /desainer dalam menerjemahkan kebutuhan user

• Konsentrasi data pada satu lokasi atau satu orang

• Konsentrasi tanggung jawab pada petugas teknis komputer bila ada masalah komputer

• Kerusakan sistem komunikasi dapat mengakibatkan lumpuhnya operasi perusahaan bila tidak ada backup

Resiko sistem berbasis komputer(3)

• Data input tidak akurat, kurang mutakhir, palsu dan tidak dapat segera dideteksi atau dikoreksi

• Perkembangan teknologi yang sangat pesat, membuat banyak perubahan yang cepat pula

• Ketidakmampuan mengendalikan teknologi, bila teknologi sudah semakin canggih

• Praktek pengamanan sistem informasi tidak efektif, kurang memadai dan direncanakan

Resiko sistem berbasis komputer(4)

• Penyalahgunaan atau kesalahan pengoperasian atau penggunaan data

• Akses sistem yang kurang terkendali• Rusaknya aset informasi karena terjadi

bencana dan tidak adanya perencanaan penanggulangan yang memadai

• Bila tidak ada backup maka pengolahan data data atau pelayanan organisasi bisa terganggu bila komputer rusak

Resiko sistem berbasis komputer(5)

• Data masukan tidak dijamin validitasnya atau diubah oleh yang tidak berwenang sehingga informasi yang dihasilkan salah

• Data diduplikasi atau digunakan secara tidak sah atau terjadi penyadapan data oleh pihak yang tidak berwenang

• Terjadi pengingkaran akses, khususnya dalam sistem e-commerce

Resiko sistem berbasis komputer(6)

• Penyalahgunaan komputer dapat berupa:a. Hacking: kegiatan memasuki sistem komputer

secara tidak sah/tidak memiliki otorisasib. Cracking: kegiatan memasuki sistem komputer

secara tidak sah/tidak memiliki otorisasi dan merusak sistem maupun data

c. Virus: program yang mampu masuk ke sistem tanpa diketahui dan digunakan untuk merusak sistem maupun data

Resiko sistem berbasis komputer(7)

a. Penyalahgunaan hak: orang yang memiliki akses ke suatu data tertentu tetapi memanfaatkan data tersebut untuk kepentingan ilegal

b. Pengrusakan assets (hardware, software, data, fasilitas, dokumentasi)

c. Pencurian assetsd. Pengubahan asset secara ilegale. Pelanggaran privasi: membuka dokumen yang bukan

haknyaf. Gangguan operasig. Penggunaan asset tanpa izin

Gangguan dapat diatasi dengan

• Batasi hak akses, hanya orang yang memiliki otoritas yang dapat mengakses komputer

• Password untuk akses server dan workstation• Non aktifkan password bila pegawai sudah

berhenti• Password sebaiknya diubah secara periodik• Catat dan kelola daftar password secara aman

dan terpisah

• Ingatkan bahwa password dan user ID adalah pribadi, jangan ditulis sembarangan atau diketahui oleh orang lain

• Hindari shared account• Anti virus diperiksa dan update secara teratur• Peralatan diletakkan di daerah yang jauh dari

jangkauan orang yang tidak memiliki otorisasi

Perubahan audit sebagai dampak komputerisasi

• Adanya audit SI• Berkembangnya audit System Development

Life Cycle (SDLC)• Adanya Audit manajemen unit sistem

informasi• Audit e-commerce