Tujuan 4.6- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Integrated test facility (ITF)

ITF-urlIntegrated test facility (ITF) adalah teknik yang menempatkan serangkaian kecil catatan fiktif di file utama. Catatan tersebut dapat saja mewakili bagian, departemen, atau kantor cabang, pelanggan, atau pemasok fiktif..Pemrosesan transaksi uji yang memperbarui catatan fiktif ini tidak akan mempengaruhi catatan asli.

fictitious-urlOleh karena catatan fiktif dan yang sesungguhnya diproses bersama-sama, para pegawai perusahaan biasanya tetap tidak menyadari bahwa pengujian tersebut berjalan. Sistem tersebut harus membedakan catatan ITF dari catatan yang sesungguhnya, mengumpulkan informasi atas dampak transaksi uji, serta melaporkan hasilnya.

Auditor akan membandingkan pemrosesan dengan hasil yang diharapkan, untuk memverifikasi bahwa sistem tersebut beserta pengendaliannya beroperasi dengan benar.

Dalam pemrosesan seeara batch, teknik ITF meniadakan kebutuhan untuk melakukan penelusuran transaksi uji dan dengan mudah disembunyikan dari para pegawai yang mengoperasikan sistem tersebut.

ITF sangat sesuai untuk menguji sistem pemrosesan on¬line, karena transaksi uji dapat dilakukan sesering mungkin, diproses bersama dengan transaksi yang sesungguhnya, dan ditelusuri melalui seluruh tahap pemrosesan.

Semua ini dapat dicapai tanpa mengganggu operasional pemrosesan yang normal; akan tetapi, perhatian harus diberikan untuk tidak menggabungkan catatan fiktif dengan yang sesungguhnya selama proses pelaporan.

Tujuan 4.7- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, SNAPSHOT.

Teknik snapshot memeriksa cara transaksi diproses. Transaksi yang dipilih ditandai dengan kode khusus yang akan memicu proses snapshot.

snapshot-urlModul-modul audit dalam program terkait mencatat transaksi-transaksi ini beserta dengan catatan file utamanya, sebelum dan sesudah pemrosesan.

Data snapshot dicatat dalam file khusus dan ditinjau oleh auditor untuk manverifikasi bahwa selurh langkah pemrosesan telah dengan benar dilaksanakan.

Tujuan 4.8- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, System control audit review file (SCARF)

scarf-1-urlSystem control audit review file (SCARF) menggunakan modul audit melekat untuk secara terus menerus mengawasi kegiatan transaksi dan mengumpulkan data atas transaksi yang menjadi tujuan audit. Data tersebut dicatat dalam file SCARF atau daftar audit (audit log).

scarf-logoTransaksi-transaksi yang dicatat dalam file daftar audit adalah yang melebihi batas nilai uang yang telah ditentukan, atau yang berisi penurunan nirai aset. Secara periodik, auditor akan menerima cetakan file SCARF, memeriksa informasi tersebut untuk mengidentifikasi transaksi yang meragukan, dan melaksanakan penyelidikan yang dibutuhkan.

Tujuan 4.9- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Audit Hooks.

console-hooksAudit hooks adalah kegiatan audit yang memberikan tanda atas transaksi yang mencurigakan. Contohnya, para auditor internal di State Farm Life Insurance menyatakan bahwa sistem pemegang asuransi mereka sangat rentan terhadap penipuan setiap.kali seorang pemegang asuransi mengganti nama atau alamatnya, dan kemudian menarik dana dari asuransi tersebut. Pegawai asuransi membuat sebuah sistem audit hooks untuk mengikuti catatan yang memiliki perubahan nama atau alamat.

Departemen audit internal perusahaan tersebut kini akan diperingatkan apabila catatan yang diikuti tersebut berhubungan dengan penarikan dan dapat menyelidiki apakah transaksi tersebut merupakan penipuan. Ketika audit hooks digunakan, auditor dapat diinformasikan mengenai transaksi yang mencurigakan begitu transaksi tersebut terjadi.

audit-hooks-rchitecturePendekatan ini, disebut sebagai peringatan real-time (real-time notification), yang menunjukkan sebuah pesan di terminal auditor. Informasi tambahan mengenai penggunaan audit hooks di State Farm, termasuk bagaimana sebuah penipuan besar dideteksi, dijelaskan dalam Fokus DD-1.

Tujuan 4.10- Audit Sistem Informasi: Audit Pengendalian Pemrosesan Komputer, Continuous and intermittent simulation (CIS)

cis_logo1Continuous and intermittent simulation (CIS) melekatkan modul audit dalam sistem manajemen database. Modul CIS memeriksa seluruh transaksi yang memperbarui DBMS dengan menggunakan kriteria yang hampir sarna dengan SCARF.

intermitten-simulation-mage-0000872Apabila sebuah transaksi memiliki nilai untuk diaudit, modul tersebut akan secara independen memproses data (dalam cara yang hampir sarna dengan simulasi paralel), mencatat hasil-hasilnya, dan membandingkan hasilnya dengan yang didapat dari DBMS.

Apabila terjadi penyimpangan, rincian penyimpangan tersebut akan ditulis dalam daftar audit untuk penyelidikan selanjutnya. Apabila ditemukan penyimpangan yang serius, CIS akan mencegah DBMS melaksanakan proses pembaruan data.

Analisis Logika Program.

Apabila seorang auditor mencurigai bahwa sebuah program aplikasi berisi kode yang tidak sah atau kesalahan serius, maka analisis yang rinci atas logika program mungkin diperlukan. Proses ini sangat memakan waktu dan membutuhkan keahlian dalam hal bahasa pemrograman, sehingga langkah ini harus digunakan sebagai pilihan terakhir.

logical-error-urlUntuk melaksanakan analisis tersebut, auditor merujuk pada bagan alir sistem dan program, dokumentasi program, dan daftar kode sumber program. Software berikut dapat dipakai untuk membantu analisis ini:

  • Automated flowcharting program, yang menerjemahkan kode sumber program dan membuat bagan alir program berdasarkan kode tersebut.
  • Automated decision table program, yang rnembuat sebuah tabel keputusan yang mewakili logika program.
  • Scanning routine, yang memeriksa suatu program atas terjadinya nama variabel tertentu atau kombinasi karakter lainnya.
  • Mapping program, yang mengidentifikasi kode program yang belum berfungsi. Software ini mengungkapkan kode program yang dimasukkan oleh programer yang tidak bertanggung jawab untuk menghapus seluruh file komputer ketika dirinya diberhentikan, seperti yang dieontohkan pada.bagian sebelumnya.
  • Program tracing, yang secara berurutan meneetak seluruh langkah program aplikasi (berdasar nomor baris atau nama paragraf) yang dijalankan selama operasional program. Daftar ini bercampur dengan output yang normal sehingga auditor dapat mengamati urutan yang tepat atas suatu kegiatan yang tampak selama pengoperasian program. Penelusuran program membantu auditor untuk mendeteksi perintah program tidak sah, alur logika yang salah, dan kode program yang belum berfungsi.

Menggunakan Audit Hooks di State Farm Life.

(Fokus DD-1) Menggunakan Audit Hooks di State Farm Life.
console-hooksSistem komputer di State Farm Life Insurance Company memiliki sebuah komputer induk di Bloomington, Illinois, dan 26 komputer yang lebih kecil di kantor wilayahnya. Di berbagai kantor wilayahnya, lebih dari 1.500 terminal dan PC dipakai untuk I memperbarui hampir 4 juta catatan pemegang asuransi di komputer induk. Sistem tersebut memproses lebih ,dari 30 juta transaksi per tahun. Sistem tersebut menelusuri dana pemegang asuransi yang bernilai lebih dari $6,7 miliar.

Sistem on-line real-time ini memperbarui file dan database begitu transaksi terjadi, jejak audit berupa kertas berkurang, .dan dokumen pendukung untuk perubahan atas catatan pemegang asuransi telah ditiadakan atau hanya dipertahankan sementara sebelum diproses.

Siapa pun yang memiliki akses dan pengetahuan aplikatif atas sistem tersebut, dapat berpotensi melakukan penipuan. Pegawai internal audit memiliki tantangan untuk mengidentifikasi transaksi asuransi jiwa yang memungkinkan terjadinya penipuan: Untuk melakukan tugas ini, para auditor internal membahas berbagai cara untuk menipu sistem tersebut dan mewawancarai berbagai pemakai sistem yang dapat memberikan pandangan yang sangat berharga.

Para auditor kini memiliki 33 audit hooks melekat yang mengawasi 92 jenis transaksi. Salah satu audit hooks mengawasi transaksi tidak normal dalam rekening transfer, yang akan melakukan kliring atas dana yang sementara ditahan untuk dikreditkan ke beberapa rekening.

audit-hooks-rchitectureAudit hooks tersebut berfungsi dengan sangat baik. Salah seorang pegawai mendapatkan uang dengan memproses sebuah pinjaman atas polis asuransi saudara laki-lakinya secara tidak sah. Dia kemudian memalsukan tanda tangan saudara laki-lakinya dan menguangkan cek tersebut. Untuk menutupi penipuan tersebut, dia harus membayar kembali pinjaman tersebut sebelum laporan status tahunan dikirim ke saudara laki-lakinya. Untuk melakukan hal tersebut, dia menggunakan serangkaian transaksi fiktif yang melibatkan sebuah rekening transfer. Penipuan tersebut terungkap segera ketika audit hooks rekening transfer tersebut mengenali transaksi fiktif pertama dan memperingatkan auditor.

Dalam waktu sebulan setelah peringatan tersebut, kasus tersebut diselidiki dan pegawai tersebut diberhentikan.

Sumber: Linda Marie Leinicke, W. Max Rexroad, dan JO’hn D. Ward, “Computer Fraud Auditing: It Works,” Internal Auditor (Agustus 1990),

Tujuan 5.2 – Audit Sistem Informasi: Audit Pengendalian Data Sumber.

Tabel DD-(10)5Tabel DD-5 memperlihatkan pengendalian internal yang mencegah, mendeteksi, dan memperbaiki data sumber yang salah atau tidak akurat. Tabel tersebut juga memperlihatkan tinjauan sistem dan prosedur uji pengendalian yang dapat digunakan auditor untuk melakukan evaluasi. Dalam sistem on-line, entri dan fungsi pemrosesan data sumber merupakan satu kesatuan operasi. Oleh sebab itu, pengendalian data sumber seperti otorisasi yang memadai dan edit input data, diintegrasikan dengan pengendalian pemrosesan.

Para auditor menggunakan matriks pengendalian input, seperti yang ditunjukkan dalam Gambar DD~3, untuk mendokumentasikan tinjauan atas pengendalian data sumber. Matriks tersebut memperlihatkan prosedur pengendalian yang diterapkan ke setiap field dalam catatan input. Gambar-10-0003-a

Para auditor harus memastikan bahwa fungsi pengendalian data independen dari fungsi lainnya, memelihara daftar pengendalian data, menangani kesalahan dan memastikan efisiensi umum operasinya. Biasanya tidak layak secara ekonomi bagi perusahaan kecil dan instalasi PC untuk memiliki fungsi pengendalian data yang independen. Untuk mengimbanginya, pengendalian departemen pemakai harus lebih kuat dalam hal persiapan data, pengendalian jumlah total batch, program edit, pembatasan atas akses secara fisik dan logika ke sistem, dan prosedur penanganan.kesalahan. Prosedur-prosedur ini harus menjadi fokus tinjauan sistem dan uji pengendalian auditor, ketika tidak didapati adanya fungsi pengendalian data yang independen.

my-document-a4045a88469cb15e_mainpicWalaupun pengendalian data sumber bisa saja tidak sering berubah, batasan penerannya berubah-ubah. Oleh sebab itu, auditor harus mengujinya secara teratur. Auditor harus menguji sistem dengan cara mengevaluasi beberapa sampel data sumber untuk melihat ada tidaknya otorisasi yang memadai. Sebuah sampel pengendalian batch harus direkonsiliasi. Sebuah sampel kesalahan edit data harus dievaluasi untuk memeriksa bahwa kesalahan tersebut telah diselesaikan dan diserahkan dikembalikan ke dalam sistem.

Apabila data sumber tidak memadai, pengendalian departemen pemakai dan pemrosesan komputer dapat menjadi pengimbang. Apabila tidak, maka auditor harus sangat merekomendasikan •langkah-langkah untuk memperbaiki kelemahan pengendalian data sumber.

Tujuan-6.2 – Audit Sistem Informasi: Audit Pengendalian File Data.

filesTujuan keenam meliputi akurasi, integritas, dan keamanan data yang disimpan dalam file yang dapat dibaca oleh mesin. Risiko penyimpanan data mencakup modifikasi tidak sah, penghancuran, atau pengungkapan data. Apabila pengendalian file sangat lemah, terutama dalam kaitannya dengan akses fisik atau logika atau dengan prosedur salinan cadangan dan pemulihan file, maka auditor harus sangat merekomendasikan perbaikan atas kelemahan-kelemahan tersebut.

Tabel DD-(10)6Tabel DD-6 meringkas kesalahan, pengendalian, dan prosedur audit untuk tujuan ini.

Pendekatan audit berdasarkan tujuan (auditing-by-objective approach) merupakan alat yang komprehensif, sistematis, dan efektif untuk mengevaluasi pengendalian internal di dalam sebuah SIA. Hal ini dapat diimplementasikan dengan menggunakan daftar prosedur audit untuk setiap tujuan. Daftar tersebut harus membantu auditor untuk membuat kesimpulan terpisah bagi setiap tujuan, dan menyarankan pengendalian pengimbangnya ketika sebuah tujuan tidak dapat dicapai secara penuh. Versi terpisah dari daftar tersebut harus dilengkapi untuk setiap aplikasi yang signifikan.

Para auditor harus meninjau desain sistem ketika masih terdapat waktu untuk mengimplementasikan saran-saran mereka atas pengendalian dan fitur audit. Teknik¬teknik seperti ITF, snapshot, SCARF, audit hooks dan peringatan secara real-time harus digabungkan ke dalam sebuah sistem selama masa proses desain, bukan sesudahnya. Dengan pemikiran yang hampir sarna, kebanyakan teknik pengendalian aplikasi lebih mudah untuk didesain masuk ke dalam sistem daripada ditambahkan ketnudian setelah sistem tersebut dikembangkan.

Software Komputer untuk Audit Sistem Informasi berbasis Komputer.

GAS-urlBeberapa program komputer, yang disebut computer audit software (CAS) atau generalized audit software (GAS) telah dibuat secara khusus untuk auditor. Program tersebut tersedia di pemasok software dan kantor akuntan publik besar.

Pada dasarnya, CAS adalah program komputer yang, berdasarkan spesifikasi dari auditor, menghasilkan program yang melaksanakan fungsi-fungsi audit. CAS idealnya sesuai untuk pemeriksaan file data yang besar, untuk mengidentifikasi catatan-catatan yang membutuhkan pemeriksaaan audit lebih lanjut.

CAS-urlContohnya, Fokus DD-2 menggambarkan bagaimana pemerintah Amerika Serikat menggunakan CAS untuk memerangi-defisit anggaran negara. Tabel DD-7 berisi sebuah daftar fungsi-fungsi CAS dengan satu atau lebih contoh audit untuk setiap fungsi tersebut.

Penggunaan CAS dalam Audit Sistem Informasi.

Gambar-10-0004-aGambar DD-4 memperlihatkan bagaimana CAS digunakan. Langkah pertama auditor adalah memutuskan tujuan-tujuan audit, mempelajari file serta database yang akan diaudit, mendesain laporan audit, dan menetapkan bagaimana cara menghasilkannya. Informasi ini akan dicatat dalam lembar spesifikasi dan dimasukkan ke dalam sistem melalui program input data.

CAS-urlProgram ini membuat catatan spesifikasi yang digunakan CAS untuk menghasilkan satu atau lebih program audit. Program audit memproses file¬file sumber dan melaksanakan operasional audit yang dibutuhkan untuk menghasilkan laporan audit yang telah ditentukan.

Sering kali, aplikasi awal CAS pada komputer dilaksanakan untuk mengekstraksi informasi utama audit dan menempatkannya di dalam file kerja audit. Laporan dan analisis audit tambahan dihasilkan oleh serangkaian urutan operasi komputer yang menggunakan file kerja audit sebagai inputnya.

Ilustrasi Nilai Software Audit dalam Audit Sistem Informasi.

valuesKasus berikut ini mengilustrasikan nilai software audit. Di dalam sebuah kota kecil di New England, seorang penagih pajak baru saja dipilih dengan mengalahkan orang yang sebelumnya memegang jabatan yang sarna. Penagih pajak yang baru tersebut meminta diadakannya audit atas catatan penagihan pajak kota tersebut.

software-icon-256-x-256Dengan menggunakan CAS, auditor yang ditunjuk mengakses catatan penagihan pajak untuk 4 tahun terakhir, . menyortirnya berdasarkan tanggal penagihan, menambahkan jumlah total pajak yang dikumpulkan bulanan, serta mempersiapkan laporan ringkasan 4 tahun atas penagihan pajak bulanan tersebut.

Analisis auditor mengungkapkan bahwa penagihan pajak selama bulan Januari hingga Juli, dua bulan tersibuk dalam setahun, telah menurun sebanyak 58 persen dan 72 persen, secara spesifik. Auditor menggunakan CAS untuk membandingkan catatan-catatan penagihan pajak satu per satu, dengan catatan-catatan properti kota.

Laporan selanjutnya mengidentifikasi beberapa penyimpangan, termasuk suatu kasus yang menyebutkan penagih pajak sebelumnya menggunakan pembayaran dari pembayar pajak lainnya untuk menutupi tunggakan tagihan pajak dirinya sendiri. Penagih pajak yang sebelumnya ditahan dan dituntut dengan tuduhan penggelapan.

Tujuan utama dari CAS adalah untuk membantu auditor dalam melakukan tinjauan serta menarik informasi dari berbagai file komputer. Ketika auditor menerima laporan dari CAS, sebagian besar kegiatan audit akan tetap harus dilaksanakan. Hal-hal yang termasuk dalam laporan pengecualian harus diselidiki, jumlah total file harus diverifikasi dengan sumber informasi lainnya, seperti buku besar, dan sampel-sampel audit harus diselidiki serta dievaluasi.

Walaupun kelebihan menggunakan CAS sangat banyak dan dapat dipereaya, CAS tidak dapat menggantikan penilaian auditor atau membebaskan auditor dari tahap-tahap audit lainnya.

Memerangi Defisit Anggaran Negara dengan Software Audit.

Fokus DD-2: Memerangi Defisit Anggaran Negara dengan Software Audit.
deficitPemerintah Amerika Serikat menemukan bahwa software audit komputer adalah alat yang berharga dalam usaha mereka untuk mengurangi defisit anggaran pemerintah dalam jumlah besar. Contohnya, software yang digunakan untuk mengidentifikasi penipuan klaim asuransi Medicare dan menunjukkan dengan tepat tagihan-tagihan berlebih yang dilakukan oleh para kontraktor Departemen Pertahanan.

Suatu audit komputer yang dilaksanakan oleh General Accounting Office (GAO) memeriksa silang berbagai angka dengan IRS dan menemukan bahwa ribuan veteran perang berbohong mengenai penghasilan mereka agar dapat memenuhi kualifikasi untuk kompensasi pensiun.

general accounting office sealAudit tersebut mengungkapkan bahwa 116.000 veteran yang menerima pensiun berdasarkan kebutuhan mereka, tidak mengungkapkan $338 juta penghasilan dari tabungan, dividen saham, atau sewa. Lebih dari 13.600 veteran mengurangi penghasilan mereka di laporan, bahkan salah seorang dari mereka tidak melaporkan . penghasilannya sejumlah lebih dari $300.000.

Sebelum pemeriksaan dengan komputer diadakan, Veteran Administration (VA) bergantung pada para veteran untuk memberikan laporan penghasilan yang akurat. Begitu V A memperingatkan para penerima kompensasi bahwa penghasilan mereka akan diverifikasi oleh IRS dan Social Security Administration, kompensasi pensiun turun sebanyak lebih dari 13.000 orang, dengan penghematan sebesar $9 juta per bulan, berdasarkan laporan GAO.

VA berencana menggunakan sistem yang sarna untuk memeriksa tingkat penghasilan mereka yang mengajukan aplikasi untuk asuransi kesehatan. Apabila penghasilan mereka ditemukan di atas suatu level tertentu, pasien-pasien tersebut akan diminta untuk melakukan pembayaran bersama (co-payment).

Audit Operasional atas suatu SI.

Berbagai teknik dan prosedur yang digunakan dalam audit operasional hampir sarna dengan yang diterapkan dalam audit sistem informasi dan keuangan.

Perbedaan utamanya adalah bahwa lingkup audit sistem informasi dibatasi pada pengendalian internal,audit-operational-22710117 sementara lingkup audit keuangan dibatasi pada output sistem. Sebaliknya, lingkup audit operasional lebih luas, melintasi seluruh aspek manajemen sistem informasi.

Sebagai tambahan, tujuan audit operasional mencakup faktor-faktor seperti efektivitas, efisiensi, dan pencapaian tujuian. .

Langkah pertama dalam audit operasional adalah perencanaan audit, yaitu masa pembuatan lingkup dan tujuan audit, tinjauan awal atas sistem dilakukan, dan program audit sementara dipersiapkan.

Pengumpulan Bukti Audit pada Audit Operasional atas Sistem Informasi.

evidencePengumpulan bukti mencakup kegiatan-kegiatan berikut ini:

  • Meninjau kebijakan dokumentasi operasional
  • Melakukan konfirmasi atas prosedur dengan pihak manajemen serta personil operasional
  • Mengamati fungsi-fungsi dan kegiatan operasional
  • Memeriksa rencana dan laporan keuangan serta operasional
  • Menguji akurasi imormasi operasional
  • Menguji pengendalian

Pada tahap pengumpulan bukti, auditor mengukur sistem yandata-capture-urlg sesungguhnya dengan sistem yang ideal, yaitu sistem yang mengikuti prinsip-prinsip terbaik dari manajemen sistem. Salah satu pertimbangan yang penting adalah hasil-hasil dari kebijakan serta praktik manajemen lebih signifikan dari kebijakan dan praktik mereka sendiri.

Jadi, .apabila hasil yang baik dicapai melalui kebijakan dan praktik yang secara teori lemah, maka auditor harus secara hati-hati mempertimbangkan apakah perbaikan yang direkomendasikan akan secara substansial memperbaiki hasil. Dalam banyak kejadian, auditor harus secara menyeluruh mendokumentasikan penemuan-penemuan dan kesimpulan-kesimpulan tersebut, serta mengkomunikasikan hasil audit ke pihak manajemen.

Keahlian yang dibutuhkan untuk menjadi Auditor Operasional.

Menjadi auditor operasional yang baik membutuhkan suatu pengalaman dalam bidang manajemen. Mereka yang memiliki latar belakang audit yang kuat tetapi lemah dari sisi pengalaman dalam bidang manajemen, sering kali kurang memiliki perspektif yang dibutuhkan untuk memahami proses manajemen.

mgt-skill-urlJadi, auditor operasional yang baik adalah orang yang memiliki pelatihan dan pengalaman audit serta beberapa tahun pengalaman di posisi manajerial.

Pengendalian dan Sistem Informasi Akuntansi

Masyarakat telah semakin tergantung pada sistem informasi akuntansi, yang juga telah berkembang semakin kompleks untuk memenuhi peningkatan kebutuhan atas informasi.

Sejalan dengan peningkatan kompleksitas sistem dan ketergantungan pada sistem tersebut, perusahaan menghadapi peningkatan risiko atas sistem mereka yang sedang dikembangkan dan dinegosiasikan.

threatsEmpat jenis ancaman yang dihadapi perusahaan, seperti yang diringkas dalam Tabel dibawah ini.
Tabe-7-1l

Ancaman-1 atas SIA: Kehancuran karena Bencana Alam dan Politik

bencana-alamSalah satu ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam dan politik, seperti kebakaran, panas yang berlebihan, banjir, gempa bumi, badai angin, dan perang.

war-urlBencana yang tidak bisa diprediksi dapat secara keseluruhan menghancurkan sistem informasi dan menyebabkan kejatuhan sebuah perusahaan. Ketika terjadi sebuah bencana, banyak perusahaan yang terkena pengaruhnya pada saat yang bersamaan. Contohnya, banjir di Chicago menghancurkan atau merusak 400 pusat pemrosesan data. Contoh-contoh bencana jenis ini adalah sebagai berikut:

  • Dua serangan teroris pada World Trade Center di kota New York dan serangan Gedung Federal di Oklahoma, menghancurkan atau mengganggu sistem di gedung¬-gedung tersebut.world-trade-center-september-11-2001
  • Pada tahun 1993, hujan deras menyebabkan Sungai Mississippi dan Missouri meluap dan membanjiri delapan negara bagian. Banyak organisasi kehilangan sistem komputer mereka, termasuk kota Des Moines, Iowa, yang komputer¬-komputernya terendam di dalam air setinggi 8 kaki.
  • Gempa bumi di Los Angeles menghancurkan banyak sekali sistem; menyebabkan sistem lainnya rusak karena jatuhnya puing-puing, air dari sistem penyemprot air (sprinkler systern), dan debu; serta mengganggu jalur komunikasi. Perusahaan¬-perusahaan di San Fransisco menderita nasib yang hampir sama beberapa tahun sebelumnya.
  • Defense Science Board telah memprediksi bahwa pada tahun 2005 serangan pada sistem informasi oleh negara-negara asing, agen mata-mata, dan teroris, akan tersebar luas.

Ancaman-2 atas SIA: Kesalahan pada software dan tidak berfungsinya peralatan

Ancaman kedua bagi perusahaan adalah kesalahan pada software dan tidak berfungsinya peralatan, seperti kegagalan hardware, kesalahan atau terdapat kerusakan pada software, kegagalan sistem operasi (operating system-OS), gangguan dan fluktuasi listrik, serta kesalahan pengiriman data yang tidak terdeteksi.image description

Contoh-contoh jenis ancaman ini adalah sebagai berikut:

  • Kerusakan pada sistem akuntansi perpajakan yang baru merupakan penyebab kegagalan Kalifornia mengumpulkan pajak perusahaan sebesar 5.535 juta.
  • Di Bank of New York, field yang dipergunakan untuk menghitung jumlah transaksi terlalu kecil untuk menangani volume transaksi pada hari yang sibuk. Kesalahan pada sistem mematikan sistem dan membuat bank tersebut mengalami kerugian sebesar $23 juta ketika mencoba untuk menutup bukunya. Bank tersebut akhirnya harus meminjam uang dalam satu malam dengan biaya yang tinggi.

Ancaman-3 atas SIA: Tindakan tidak sengaja

Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja, seperti kesalahan atau penghapusan karena ketidaktahuan atau karena kecelakaan semata. Hal ini biasanya terjadi karena kesalahan manusia, kegagalan untuk mengikuti prosedur yang telah ditetapkan, dan personil yang tidak diawasi atau dilatih dengan baik.

tidak-sengaja-imagesPara pemakai sering kali kehilangan atau salah meletakkan data, dan secara tidak sengaja menghapus atau mengubah file, data serta program. Para operator komputer dan pemakai dapat memasukkan input yang salah atau tidak andal, menggunakan versi program yang salah, menggunakan file data yang salah, atau meletakkan file di tempat yang salah.

Analis dan programmer sistem membuat kesalahan pada logika sistem, mengembangkan sistem yang tidak memenuhi kebutuhan perusahaan, atau mengembangkan sistem yang tidak mampu menangani tugas yang diberikan.

humanerrorContoh-contoh tentang ancaman ini adalah sebagai berikut:

  • Staf administrasi bagian entri data di Giant Food Inc., salah memasukkan data dividen kuartal sebesar $2,50 sebagai ganti dari $0,25. Sebagai hasilnya, perusahaan membayar lebih dari $10 juta atas kelebihan jumlah dividen tersebut.
  • Seorang programmer bank salah menghitung bunga per bulan dengan menggunakan satuan 31 hari. Selama 5 bulan sebelum kesalahan tersebut ditemukan, lebih dari $100.000 kelebihan bunga dibayarkan melalui tabungan.

Ancaman-4 atas SIA: Tindakan sengaja (kejahatan komputer)

Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja, yang biasanya disebut sebagai kejahatan komputer. Ancaman ini berbentuk sabotase, yang tujuannya adalah menghancurkan sistem atau beberapa komponennya.

cybercrimePenipuan komputer adalah jenis kejahatan komputer lainnya, dengan tujuan untuk mencuri benda berharga seperti uang, data, atau waktu/pelayanan komputer. Penipuan ini juga dapat melibatkan pencurian, yaitu pencurian atau ketidaklayakan penggunaan atas aset oleh pegawai, disertai dengan pemalsuan catatan untuk menyembunyikan pencurian tersebut.

Contoh-contoh ancaman jenis ini adalah sebagai berikut:

  • Sebagai seorang penggemar teknologi, John Draper menemukan bahwa tawaran hadiah sebagai pelapor di perusahaan sereal Cap’n Crunch menduplikasi frekuensi jalur komunikasi WATS. Dia menggunakan penemuannya tersebut untuk menipu perusahaan telepori, dengan cara melakukan berbagai panggilan telepon tanpa bayar.
  • Seorang manajer SIA di kantor koran di Florida bekerja untuk perusahaan pesaing setelah dia dipecat dari tempatnya bekerja tersebut. Pada waktu yang tidak lama, pihak pertama yang mempekerjakan dirinya tersebut menyadari bahwa para reporternya secara konstan telah direbut informasi beritanya. Perusahaan koran tersebut akhirnya mengetahui bahwa manajer SIA tersebut masih memiliki akun dan password aktif, serta masih secara teratur melihat-lihat file-file komputer di perusahaan tersebut untuk mendapatkan informasi mengenai cerita esklusif.Cyber-Crime-EMC-Ireland

Mengapa Ancaman-ancaman SIA Meningkat?

Sebagai akibat dari masalah-masalah tersebut diatas, pengendalian keamanan dan integritas sistem komputer menjadi isu yang penting. Kebanyakan manajer S1A menunjukkan bahwa risiko pengendalian telah meningkat dalam tahun-tahun belakangan ini.

integrity-urlContohnya, penelitian telah menunjukkan bahwa lebih dari 60 persen organisasi telah mengalami kegagalan besar dalam pengendalian di tahun-tahun belakangan ini. Beberapa alasan atas peningkatan masalah keamanan adalah sebagai berikut:

  • Peningkatan jumlah sistem klien/server (client/server system) memiliki arti bahwa informasi tersedia bagi para pekerja yang tidak baik. Komputer dan server tersedia di mana-mana terdapat PC di sebagian besar desktop, dan komputer laptop tersedia di tempat umum. Chevron Texaco, contohnya, memiliki lebih dari 35.000 PC.client_server
  • Oleh karena LAN dan sistem klien/server mendistribusikan data ke banyak pemakai, mereka lebih sulit dikendalikan daripada sistem komputer utama yang terpusat. Di Chevron Texaco, informasi didistribusikan di antara sistem dan ribuan pegawai yang bekerja di tempat lokal dan jarak jauh, seperti juga secara nasional dan internasional.
  • WAN memberikan pelanggan dan pemasok akses ke sistem dan data mereka satu sama lain, yang menimbulkan kekhawatiran dalam hal kerahasiaan. Contohnya, Wal-Mart mengizinkan beberapa vendor tertentu untuk mengakses informasi khusus di komputernya, sebagai salah satu persyaratan dalam persekutuan mereka. Bayangkan potensi masalah kerahasiaan apabila vendor-vendor tersebut juga membentuk persekutuan dengan para pesaing Wal-Mart, seperti Kmart dan Target.

Alasan Organisasi tidak secara memadai melindungi data mereka

Sayangnya, banyak organisasi yang tidak secara memadai melindungi data mereka karena satu atau beberapa alasan berikut ini:data-security-url

  • Masalah pengendalian komputer sering kali diremehkan dan dianggap minor. Perusahaan melihat hilangnya informasi yang penting, sebagai ancaman yang tidak mungkin terjadi. Contohnya, kurang dari 25 persen dari 1.250 partisipan dalam penelitian Ernts & Young berpikir bahwa keamanan komputer adalah isu yang sangat penting. Gambaran tersebut menurun dari angka sekitar 35 persen, berdasarkan survei tahun sebelumnya.
  • Implikasi-implikasi pengendalian untuk berpindah dari sistem komputer yang tersentralisasi dan terpusat dari masa lampau, ke sistem jaringan atau sistem berdasarkan Internet, tidak benar-benar dipahami.productivity-
  • Banyak perusahaan yang tidak menyadari bahwa keamanan data adalah hal yang penting untuk kelangsungan hidup perusahaan mereka. Informasi adalah sumber daya strategis, dan perlindungan atas informasi harus merupakan persyaratan strategis. Contohnya,-suatu perusahaan kehilangan jutaan dolar selama periode beberapa tahun, karena perusahaan tidak melindungi transmisi datanya. Salah satu pesaing menyadap saluran teleponnya dan mendapatkan faks yang berisi desain produk baru yang dikirim ke pabrik di luar negeri.cost-money
  • Tekanan atas produktivitas dan biaya membuat pihak manajemen melepas ukuran¬-ukuran pengendalian yang memakan waktu.

Ancaman-ancaman Keamanan Informasi Juga Dapat Dibayar Mahal di Pengadilan

Banyak CIO yang memperkuat dirinya dari hal-hal yang dapat merupakan banjir tuntutan pertanggung¬jawaban, akibat pelanggaran keamanan informasi. Apabila hal ini terjadi, perusahaan bukan hanya membayar kerusakan apa pun yang diderita dari pelanggaran tersebut, tetapi perusahaan juga dianggap bertanggung jawab atas kerusakan yang diderita pelanggan.

court2Contohnya, pada bulan Agustus 2001, setelah melawan Code Red Worm, Qwest berhadapan dengan perlawanan lain, yaitu melawan kantor jaksa penuntut umum. Setelah virus tersebut membuat beberapa pelanggan Qwest mendapat gangguan jangkauan DSL selama 10 hari, 15 hingga 20 pelanggan mengadu ke jaksa penuntut umum. Walaupun Qwest bersikeras bahwa perusahaan tidak bertanggung jawab atas serangan yang dilakukan oleh orang lain, jaksa pen untut umum meminta perusahaan tersebut untuk mengganti rugi para pelanggannya. Dalam waktu singkat para hakim dan juri akan diputuskan, apabila perusahaan secara hukum dianggap bertanggung jawab atas keamanan yang tidak memadai.

court-hammerWalaupun tidak ada tuntutan hukum sebelumnya, para pejabat perusahaan dapat secara individual bertanggung jawab atas pelanggaran keamanan. Dalam usaha untuk melindungi infra¬struktur teknologi informasi Amerika, pemerintah mulai membuat peraturan yang diharapkan dapat mengurangi bahaya tuntutan tertentu. Akan tetapi, perusahaan akan tetap harus meningkatkan keamanan dan tetap siaga apabila mereka ingin menghindari pengabulan tuntutan.

Sarah D. Scalet dalam sebuah artikel di CIO, menawarkan tips-tips berikut ini untuk menghindari pengabulan tuntutan:

  • “Buat dan implementasikan kebijakan keamanan dalam perusahaan.” Kembangkan kebijakan yang jelas mengenai cara bagaimana perusahaan menjaga data, dan pastikanbahwa kebijakan tersebut didokumentasikan dengan baik.
  • “Lakukan audit keamanan.” Pastikan bahwa perusahaan telah mengikuti kebijakan keamanan informasinya dengan cara mempekerjakan pihak ketiga untuk meng¬ujinya. Mempekerjakan pihak ketiga dan pihak yang objektif untuk meninjau keamanan informasi perusahaan, dapat membantu memperbaiki hal yang selama ini dicari oleh perusahaan, yaitu untuk tetap jauh dari potensi risiko keamanan.
  • “Mempertimbangkan keamanan dalam kontrak.” Ketika melakukan outsourcing, perusahaan harus memastikan bahwa perusahaan lain telah memiliki dan mengikuti prosedur keamanan yang memadai.
  • “Jangan membuat janji yang tidak dapat Anda tepati.” Perusahaan seharusnya jangan pernah menjanjikan keamanan yang tidak pernah gagal, selain dari ukuran-ukuran keamanan yang wajar. Membuat janji besar dapat menyeret Anda ke risiko tuntutan pelanggaran kontrak. “Perhatikan peraturan-peraturan yang mempengaruhi industri perusahaan Anda. “Beberapa negara kadang kala memiliki peraturan mengenai perlindungan atas informasi pelanggan. Pastikan bahwa perusahaan mengetahui peraturan di negara¬-negara tempat perusahaan menjalankan bisnisnya.insurance-1-url
  • Pertimbangkan untuk membeli asuransi e-commerce. “Asuransi maya melindungi dari risiko on-line yang tidak dilindungi oleh asuransi dasar bisnis. Asuransi maya meliputi kejadian seperti serangan yang menyebabkan pengingkaran pelayanan, kode-kode salah yang menyesatkan, dan isi web yang tidak layak. “Perhatikan hal-hal yang dilaksanakan oleh perusahaan yang hampir sama dengan perusahaan Anda. “Tetaplah mencari tahu apa yang dilaksanakan perusahaan lain agar Anda dapat membuktikan bahwa Anda melakukan usaha sebanyak dengan yang dilakukan orang ¬lain, dalam hal keamanan.

Sumber: Sarah D. Scalet.”See You in court”, CIO (1 November 2001): 62-70.

Mengapa Pengendalian dan Keamanan Komputer Penting(1).

Untungnya, perusahaan-perusahaan kini menyadari masalah-masalah tersebut dan mengambil langkah positif untuk meningkatkan pengendalian dan keamanan komputer.

Contohnya, mereka menjadi proaktif dalam pendekatan mereka. Mereka kini menyediakan pegawai tetap untuk menangani masalah pengendalian dan keamanan, serta mendidik para pegawai mereka mengenai ukuran-ukuran pengendalian.

computer_securityBanyak perusahaan yang membuat dan menerapkan kebijakan keamanan informasi secara formal. Mereka membuat pengendalian sebagai bagian dari proses pengembangan aplikasi, dan memindahkan data yang sensitif keluar dari sistem klien/server yang tidak aman ke lingkungan yang lebih aman, seperti komputer utama (mainframe).

Sebagai seorang akuntan, Anda harus memahami bagaimana cara melindungi system-sistem dari ancaman-ancaman yang mereka hadapi. Anda juga harus memiliki pemahaman yang baik mengenai teknologi informasi, dan kemampuan serta risiko¬-risikonya. Pengetahuan ini dapat membantu Anda untuk menggunakan teknologi informasi dalam rangka mencapai tujuan pengendalian perusahaan.

Mengapa Pengendalian dan Keamanan Komputer Penting(2).

Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi suatu organisasi seharusnya merupakan prioritas utama manajemen puncak. Walaupun tujuan pengendalian internal tetap sama apa pun metode pemrosesan datanya, SIA yang berdasarkan komputer membutuhkan kebijakan dan prosedur pengendalian internal yang berbeda.

computer securityContohnya, walaupun pemrosesan secara komputer mengurangi potensi kesalahan administrasi, proses ini dapat meningkatkan risiko adanya akses ke file atau perubahan file data, yang tidak memiliki otorisasi. Sebagai tambahan, memisahkan fungsi otorisasi, pencatatan, dan penjagaan aset dalam SIA harus dicapai dalam cara yang berbeda, karena program computer bias jadi bertanggungjawab atas satu atau lebih atas fungsi-fungsi tersebut. Untungnya, komputer juga memberikan kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya.

Membantu manajemen dalam mengendalikan organisasi bisnisnya adalah tujuan utama SIA. Akuntan dapat membantu mencapai tujuan ini dengan cara mendesain sistem pengendalian yang efektif dan melaksanakan audit (atau peninjauan) atas sistem pengendalian yang telah ada, untuk memastikan keefektivitasan mereka.

Mengapa Pengendalian dan Keamanan Komputer Penting(3).

Potensi adanya kejadian atau kegiatan yang tidak diharapkan yang dapat membahayakan baik SIA maupun organisasi, disebut sebagai ancaman (threat). Potensi kerugian dalam bentuk uang yang terjadi apabila sebuah ancaman benar-benar terjadi, disebut sebagai pajanan/dampak (exposure) ancaman, sedangkan kemungkinan terjadinya ancaman disebut sebagai risiko yang berhubungan dengan ancaman.

computer-security-2-urlPihak manajemen berharap akuntan dapat menjadi konsultan pengendalian. Dengan kata lain, akuntan harus (1) mengambil pendekatan proaktif untuk menghilangkan ancaman terhadap sistem, dan (2) mendeteksi, memperbaiki, dan memuiihkan perusahaan dari ancaman apabila suatu ancaman terjadi.

Merupakan hal yang penting untuk diketahui bahwa lebih mudah mengembangkan pengendalian pada tahap awal desain, daripada menambahkannya setelah terjadi suatu ancaman. Berdasarkan alasan ini, akuntan dan para ahli pengendalian lainnya harus menjadi anggota yang lebih penting dalam tim yang mengembangkan atau mengubah sistem informasi.

Tinjauan Menyeluruh Konsep-konsep Pengendalian

Pengendalian internal (internal control) adalah rencana organisasi dan metode bisnis yang dipergunakan untuk menjaga aset, memberikan informasi yang akurat dan andal, mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian dengan kebijakan yang telah ditetapkan.

internal-control-urlTujuan-tujuan pengendalian internal ini kadangkala bertentangan satu sama lain.

Contohnya, banyak orang menekankan pada perekayasaan proses bisnis yang radikal agar mereka bisa mendapat inforniasi yang lebih baik dan cepat, serta untuk memperbaiki efisiensi operasional.

Pihak lainnya menolak perubahan tersebut karena perubahan mengganggu penjagaan atas aset perusahaan dan membutuhkan perubahan yang signifikan dalam kebijakan manajerial.

Apakah struktur Pengendalian Internal itu ?

Struktur pengendalian internal (internal control structure) terdiri dari kebijakan dan prosedur yang dibuat untuk memberikan tingkat jaminan yang wajar atas pencapaian tujuan tertentu organisasi.

Sistem tersebut hanya menyediakan jaminan yang wajar, karena pihak yang memberikan jaminan penuh akan sulit untuk melaksanakan tahap desain dan biayanya mahal, hingga akan menjadi penghalang bagi perusahaan.

control-aPengendalian internal melaksanakan tiga fungsi penting, yaitu :

  • Pengendalian untuk pencegahan (preventive control)
  • Pengendalian untuk pemeriksaan (detective control)
  • Pengendalian korektif (corrective control)

Pengendalian untuk pencegahan (Preventive Control)

Preventative_0Pengendalian untuk pencegahan (preventive control) mencegah timbulnya suatu masalah sebelum mereka muncul.

Mempekerjakan personil akuntansi yang berkualifikasi tinggi, pemisahan tugas pegawai yang memadai, dan secara efektif mengendalikan akses fisik atas aset, fasilitas dan informasi, merupakan pengendalian pencegahan yang efektif.

Pengendalian untuk pemeriksaan (Detective Control)

Pengendalian untuk pemeriksaan (detective control) dibutuhkan mntuk mengungkap masalah begitu masalah tersebut muncul.

Preventative_0Contoh dari pengendalian untuk pemeriksaan adalah pemeriksaan salinan atas perhitungan, mernpersiapkan rekonsiliasi bank dan neraca saldo setiap bulan.

Pengendalian korektif (Corrective Control)

corrective-action-urlPengendalian korektif (corrective control) memecahkan masalah yang ditemukan oleh pengendalian untuk pemeriksaan. Pengendalian ini mencakup prosedur yang dilaksanakan untuk mengidentifikasi penyebab masalah, memperbaiki kesalahan atau kesulitan yang ditimbulkan, dan mengubah sistem agar masalah di masa mendatang dapat diminimalisasikan atau dihilangkan.

Contoh dari pengendalian ini termasuk pemeliharaan kopi cadangan (backup copies) atas transaksi dan file utama, dan mengikuti prosedur untuk memperbaiki kesalahan memasukkan data, seperti juga kesalahan dalam menyerahkan kembali transaksi untuk proses lebih lanjut.

Mencegah penyuapan atas para pejabat luar negeri untuk mendapatkan bisnis.

Pada tahun 1977, gelombang keterkejutan berkumandang di seluruh profesi akuntansi ketika Congress memasukkan bahasa dari standar AICPA ke dalam Foreign Corrupt Practices Act.

bribery-urlTujuan utama dari undang-undang ini adalah mencegah penyuapan atas para pejabat luar negeri untuk mendapatkan bisnis. Akan tetapi, pengaruh yang signifikan dari undang-undang ini membutuhkan kerja sama untuk memelihara sistem pengendalian internal akuntansi yang baik.

Tidak perlu dikatakan bahwa syarat ini telah menimbulkan rasa tertarik yang besar di antara pihak manajemen, akuntan, dan auditor untuk mendesain dan mengevaluasi sistem pengendalian internal.

Penelitian Oleh Committee of Sponsoring Organizations (COSO).

coso-logo-1-urlCommittee of Sponsoring Organizations (COSO) adalah kelompok sektor swasta yang terdiri dari American Accounting Association (AAA), AICPA, Institute of Internal Auditors, Institute of Management Accountants, dan Financial Executives Institute. Pada tahun 1992, COSO mengeluarkan hasil penelitian untuk mengembangkan definisi pengendalian internal dan memberikan petunjuk untuk mengevaluasi sistem pengendalian internal. Laporan tersebut telah diterima secara luas sebagai ketentuan dalam pengendalian internal.

Penelitian tersebut memakan waktu 3 tahun dan melibatkan 10 ribu jam penelitian, diskusi, analisis, dan proses penilaian. Penelitian ini melibatkan ribuan orang, termasuk para anggota dari kelima organisasi dalam COSO, para direktur dan dewan direksi perusahaan, pembuat undang-undang (legislator), pemerintah, pengacara, konsultan, auditor, dan para akademisi.

Laporan tersebut menjelaskan tanggung jawab pegawai untuk menjalankan dengan layak pengendalian, serta mendeskripsikan peran auditor eksternal dalam menilai pengendalian.

Bagaimana COSO menjamin tujuan Pengendalian dapat tercapai.

Penelitian COSO mendefinisikan pengendalian internal sebagai proses yang diimplementasikan oleh dewan komisaris, pihak manajemen, dan mereka yang berada di bawah arahan keduanya, untuk memberikan jaminan yang wajar bahwa tujuan pengendalian dicapai dengan pertimbangan hal-hal berikut:COSO ERM

  1. Efektivitas dan efisiensi operasional organisasi
  2. Keandalan pelaporan keuangan
  3. Kesesuaian dengan hukum dan peraturan yang berlaku

Pengendalian Internal menurut COSO.

Berdasarkan COSO, pengendalian internal adalah proses karena hal tersebut menembus kegiatan operasional organisasi dan merupakan bagian integral-dari kegiatan manajemen dasar.

coso_graphPengendalian internal memberikan jaminan yang wajar, bukan yang absolut, karena kemungkinan kesalahan manusia, kolusi, dan penolakan manajemen atas pengendalian, membuat proses ini menjadi tidak sempurna.

COSO menyajikan langkah yang signifikan atas definisi pengendalian internal yang dahulu terbatas pada pengendalian akuntansi, menjadi pengendalian yang menangani tujuan yang luas dari para dewan komisaris dan pihak manajemen.

5(lima) Komponen Pengendalian Internal menurut COSO.

COSO menyajikan langkah yang signifikan atas definisi pengendalian internal yang dahulu terbatas pada pengendalian akuntansi, menjadi pengendalian yang menangani tujuan yang luas dari para dewan komisaris dan pihak manajemen.

coso-urlCOSO menentukan 5(lima) komponen Pengendalian Internal yang saling berhubungan, kelima komponen itu adalah:

  • Lingkungan pengendalian
  • Aktivitas pengendalian
  • Penilaian risiko
  • Informasi dan komunikasi
  • Pengawasan

Lingkungan Pengendalian sebagai Komponen Pengendalian Internal menurut COSO.

Lingkungan pengendalian : Inti dari bisnis apa pun adalah orang-orangnya-ciri perorangan, termasuk integritas, nilai-nilai etika, dan kompetensi-serta lingkungan tempat beroperasi.

coso-1-internal_controlsMereka adalah mesin yang mengemudikan organisasi dan dasar tempat segala hal terletak.

Aktivitas Pengendalian sebagai Komponen Pengendalian Internal menurut COSO.

Coso-2-control model - 404 scopeKebijakan dan prosedur pengendalian harus dibuat dan dilaksanakan untuk membantu memastikan bahwa tindakan yang diidentifikasi oleh pihak manajemen untuk mengatasi risiko pencapaian tujuan organisasi, secara efektif dijalankan.

Penilaian Risiko sebagai Komponen Pengendalian Internal menurut COSO.

Organisasi harus sadar akan dan berurusan dengan risiko yang dihadapinya. Organisasi harus menempatkan tujuan, yang terintegrasi dengan penjualan, produksi, pemasaran, keuangan, dan kegiatan lainnya, agar organisasi beroperasi secara harmonis.

coso-3-urlOrganisasi juga harus membuat mekanisme untuk meng-identifikasi, menganalisis, dan mengelola risiko yang terkait.

Informasi dan Komunikasi sebagai Komponen Pengendalian Internal menurut COSO.

coso4Di sekitar aktivitas pengendalian terdapat sistem informasi dan komunikasi. Mereka memungkinkan orang-orang dalam organisasi untuk mendapat dan bertukar informasi yang dibutuhkan untuk melaksanakan, mengelola, dan mengendalikan operasinya.

Penelitian oleh Information Systems Audit and Control Foundation

Information Systems Audit and Control Foundation (ISACF) mengembangkan Control Objectives for Information and Related Technology (COBIT).

COBIT_Logo.27280646_stdCOBIT adalah sebuah kerangka praktik pengendalian untuk teknologi informasi, dan keamanan sistem informasi yang umumnya dapat diaplikasikan.

Kerangka tersebut memungkinkan:

  1. Pihak manajemen melakukan perbandingan atas praktik keamanan dan pengendalian dalam lingkungan Teknologi Informasi (TI),
  2. Pemakai pelayanan TI untuk merasa pasti akan adanya pengendalian dan keamanan yang memadai, dan
  3. Para auditor untuk memverifikasi pendapat mereka atas pengendalian internal dan untuk memberikan saran dalam masalah keamanan dan pengendalian TI.

3(tiga) Dimensi yang menguntungkan untuk menangani isu Pengendalian Menurut COBIT.

cobit-dimensi-urlKerangka tersebut menangani isu pengendalian berdasarkan tiga poin atau dimensi yang menguntungkan, yaitu:

  1. Tujuan Bisnis. Untuk memenuhi tujuan bisnis, informasi harus sesuai dengan kriteria yang disebut COBIT sebagai persyaratan bisnis atas informasi. Kriteria tersebut dibagi ke dalam kategori terpisah tetapi saling melengkapi, yang mencerminkan tujuan-tujuan COSO, yatiu: efektivitas (relevan, berkaitan, dan tepat waktu), efisiensi, kerahasiaan, integritas, ketersediaan, kesesuaian dengan persyaratan hukum, dan keandalan.
  2. Sumber daya-sumber daya TI, yang termasuk didalamnya adalah orang, sistem aplikasi, teknologi, fasilitas, dan data.
  3. Proses TI, yang dipecah ke dalam empat bidang, yaitu: perencanaan dan organisasi, proses perolehan (acqusition) dan implementasi, pengiriman dan pendukung, serta pengawasan.

Manfaat Konsolidasi dari 36 sumber yang berbeda kedalam satu kerangka oleh COBIT.

COBIT, yang mengkonsolidasikan standar dari 36 sumber berbeda ke dalam satu kerangka, memiliki dampak yang besar atas profesi sistem informasi.

cobit-benefit-urlCOBIT membantu para manajer untuk mempelajari bagaimana menyeimbangkan risiko dan pengendalian investasi dalam lingkungan sistem informasi. COBIT memberikan kepastian yang lebih besar bahwa pengendalian TI dan keamanannya yang disediakan oleh pihak ketiga termasuk memadai.

COBIT memandu para auditor pada saat mereka memverifikasi pendapat mereka, dan saat mereka memberikan saran pada pihak manajemen dalam hal pengendalian internal.

LINGKUNGAN PENGENDALIAN menurut COSO

coso-env-contrl-3_engLingkungan pengendalian menurut COSO terdiri dari faktor-faktor berikut ini:

  1. Komitmen atas integritas dan nilai-nilai etika
  2. Filosofi pihak manajemen dan gaya beroperasi
  3. Struktur organisasional
  4. Badan audit dewan komisaris
  5. Metode untuk memberikan otoritas dan tanggung jawab
  6. Kebijakan dan praktik-praktik dalam sumber daya manusia
  7. Pengaruh-pengaruhreksternal

Komitmen atas Integritas dan Nilai-nilai Etika dalam Lingkungan Pengendalian menurut COSO

Merupakan hal yang penting bagi pihak manajemen untuk menciptakan struktur organisasional yang menekankan pada integritas dan nilai-nilai etika. Perusahaan dapat mengesahkan integritas sebagai prinsip dasar beroperasi, dengan cara secara aktif mengajarkan dan mempraktikkannya.

commitment-integrity-urlContohnya, manajemen puncak harus memperjelas bahwa laporan yang jujur lebih penting daripada Iaporan yang sesuai keinginan pihak manajemen. Pihak manajemen harus tidak berasumsi bahwa setiap orang menerima kejujuran. Mereka harus secara konsisten menghargai dan mendorong kejujuran, serta memberikan suatu sebutan untuk perilaku yang jujur dan tidak jujur. Apabila perusahaan hanya menghukum atau menghargai kejujuran tanpa memberikan sebutan atas perilakunya atau menjelaskan prinsipnya, atau apabila standar kejujuran tidak konsisten, maka para pegawai akan cenderung tidak konsisten perilaku moralnya.

Pihak manajemen harus mengembangkan kebijakan yang tertulis dengan jelas, yang secara eksplisit mendeskripsikan perilaku yang jujur dan tidak jujur. Kebijakan-kebijakan ini harus secara khusus mencakup isu-isu yang tidak pasti atau tidak jelas, seperti konflik kepentingan dan penerimaan hadiah.

Contohnya, sebagian besar agen pembelian akan setuju bahwa menerima suap sebesar $5.000 dari pemasok adalah hal yang tidak jujur, tetapi liburan akhir minggu di pondok berburu tidak dijabarkan dengan jelas. Penyebab utama ketidakjujuran berasal dari perasionalisasian situasi-situasi ini; bukanlah hal yang aneh apabila kriteria kesesuaian (expediency), menggantikan kriteria benar atau salah.

Seluruh tindakan yang tidak jujur harus secara menyeluruh diinvestigasi, dan mereka yang dianggap bersalah harus dibebastugaskan. Pegawai yang tidak jujur harus dituntut untuk membuat pegawai mengetahui bahwa perilaku semacam ini tidak akan diperbolehkan.

Filosofi Pihak Manajemen dan Gaya Beroperasi dalam Lingkungan Pengendalian menurut COSO

Semakin bertanggung jawab filosofi pihak manajemen dan gaya beroperasi mereka; semakin besar kemungkinannya para pegawai akan berperilaku secara bertanggung jawab dalam usaha untuk mencapai tujuan organisasi.

phylosophy-urlApabila pihak manajemen menunjukkan sedikit perhatian atas pengendalian internal, maka para pcgawai akan menjadi kurang rajin dan efektif dalam mencapai tujuan pengendalian tertentu.

Contohnya, Maria Pilier menemukan bahwa garis otoritas dan tanggung jawab di Springer’s tidak ditetapkan dengan jelas, dan dia curiga bahwa pihak manajemen mungkin terlibat dalam rekayasa akuntansi untuk memperlihatkan kinerja perusahaan sebaik mungin.

Sementara itu, Jason Scott menemukan bukti adanya praktik pengendalian internal yang tidak memadai dalam fungsi pembelian dan utang usaha. Mungkin sekali bahwa kedua kondisi ini saling berhubungan yaitu bahwa sikap pihak manajemen yang tidak ketat memberikan kontribusi pada ketidakberadaan praktik pengendalian internal yang baik di bagian pembelian.

ManagementFilosofi pihak manajemen dan gaya beroperasi dapat dinilai-dengan cara menjawab pertanyaan seperti berikut ini:

  • Apakah pihak manajemen mengambil risiko yang tidak sepantasnya untuk mencapai tujuan perusahaaan, atau apakah pihak manajemen menilai potensi risiko dan penghargaan sebelum bertindak?
  • Apakah pihak manajemen mencoba untuk memanipulasi ukuran-ukuran kinerja seperti pemasukan bersih, agar kinerjanya dapat dilihat dalam pandangan yang lebih baik?
  • Apakah pihak manajemen menekan para pegawai untuk mencapai hasil apa pun metode yang dipergunakan, atau apakah pihak manajemen menuntut perilaku yang beretika? Dengan kata lain, apakah pihak manajemen yakin bahwa hasil dapat membenarkan cara?

Struktur Organisasional dalam Lingkungan Pengendalian menurut COSO

Struktur organisasional perusahaan menetapkan garis otoritas dan tanggung jawab, serta menyediakan kerangka umum untuk perencanaan, pengarahan, dan pengendalian operasinya. Aspek-aspek penting struktur organisasi termasuk sentralisasi atau desentralisasi otoritas, penetapan tanggung jawab untuk tugas-tugas tertentu, cara alokasi tanggung jawab mempengaruhi permintaan informasi pihak manajemen, dan organisasi fungsi sistem informasi dan akuntansi.

???????????????????????????????Struktur organisasi yang sangat kompleks dan tidak jelas dapat menunjukkan masalah yang lebih serius. ESM, sebuah perusahaan sekuritas yang berhubungan dengan sekuritas pemerintah, menggunakan struktur organisasi berlapis-lapis untuk menyembunyikan penipuan sebesar $300 juta. Para pejabat perusahaan menyalurkan uang ke diri mereka sendiri, dan menyembunyikannya dengan melaporkan piutang usaha fiktif dari perusahaan terkait, dalam laporan keuangan mereka.

Di dalam dunia bisnis saat ini, perubahan yang drastis terjadi dalam praktik di bidang manajemen, dan di dalam pengorganisasian perusahaan. Struktur organisasi hierarkis, dengan banyak lapisan pihak manajemen yang akan mengawasi dan mengendalikan pekerjaan mereka yang di bawah, mulai menghilang.

Struktur tersebut digantikan dengan organisasi datar (flat organization) yang memiliki tim yang dapat bekerja sendiri dan terdiri dari para pegawai yang dulunya ditugaskan ke berbagai departemen yang berbeda dan terpisah.

Para anggota tim diberdayakan untuk membuat keputusan tanpa mencari berlapis-lapis persetujuan untuk menyelesaikan pekerjaan mereka. Penekanannya adalah pada perbaikan berkelanjutan, bukan pada peninjauan periodik dan karakteristik penilaian dari evaluasi sebelumnya.

Perubahan-perubahan ini memiliki dampak yang besar atas struktur organisasi perusahaan, sifat, serta jenis pengendalian yang dipergunakan.

Komite Audit Dewan Komisaris (Board of Director) dalam Lingkungan Pengendalian menurut COSO

board-of-director-urlSeluruh perusahaan yang terdaftar di New York Stock Exchange harus memiliki komite audit (audit committee) yang secara keseluruhan terdiri dari para komisaris (non-pegawai) dari luar perusahaan.

Komite audit bertanggung jawab untuk mengawasi struktur pengendalian internal perusahaan, proses pelaporan keuangannya, dan kepatuhannya terhadap hukum, peraturan, dan standar yang terkait. Komite tersebut bekerja dekat dengan auditor eksternal dan internal perusahaan.

audit-commitee-urlSalah satu tanggung jawab komite ini adalah menyediakan peninjauan independen, atas nama pemegang saham perusahaan; terhadap tindakan para manajer perusahaan. Peninjauan ini berfungsi untuk memeriksa integritas manajemen dan meningkatkan kepercayaan publik yang berinvestasi, atas kesesuaian pelaporan keuangan.

Metode Memberikan Otoritas dan Tanggung Jawab dalam Lingkungan Pengendalian menurut COSO

Pihak manajemen harus memberikan tanggung jawab untuk tujuan bisnis tertentu ke departemen dan individu yang terkait, serta kemudian membuat mereka bertanggung jawab untuk mencapai tujuan tersebut.

authentication_authorizationOtoritas dan tanggung jawab dapat diberikan melalui deksripsi pekerjaan secara formal, pelatihan pegawai, dan rencana operasional, jadwal, dan anggaran. Salah satu hal yang sangat penting adalah peraturan yang menangani masalah seperti standar etika berperilaku, praktik bisnis yang dapat dibenarkan, peraturan persyaratan, dan konflik kepentingan.

Buku pedoman kebijakan dan prosedur (policy and procedures manual) adalah alat yang penting untuk memberikan otoritas dan tanggung jawab. Buku pedoman tersebut menjelaskan tentang kebijakan manajemen sehubungan dengan penanganan setiap transaksi.

Sebagai tambahan, buku pedoman tersebut mendokumentasikan sistem dan prosedur yang dipergunakan untuk memproses berbagai transaksi. Termasuk didalamnya adalah daftar akun organisasi, dan kopi contoh berbagai formulir serta dokumen. Buku pedoman tersebut membantu dalam memberikan referensi bagi para pegawai, dan alat yang berguna dalam rnelatih pegawai baru.

Kebijakan dan Praktik-praktik dalam Sumber Daya Manusia dalam Lingkungan Pengendalian menurut COSO

Kebijakan dan praktik-praktik mengenai pengontrakkan, pelatihan, pengevaluasian, pemberian kompensasi, dan promosi pegawai mempengaruhi kemampuan organisasi untuk meminimalkan ancaman, risiko, dan pajanan/dampak. Para pegawai harus dipekerjakan dan dipromosikan berdasarkan seberapa baik mereka memenuhi persyaratan pekerjaan mereka. Data riwyavat hidup, surat referensi, dan pemeriksaan atas latar belakang, merupakan cara-cara yang penting nntuk mengevaluasi kualifikasi para pelamar pekerjaan.

Human-Resource-DevelopmentProgram pelatihan harus membuat pegawai baru mengetahui dengan baik tanggung jawab mereka, dan juga kebijakan serta prosedur organiasi. Terakhir, kebijakan yang berhubungan dengan kondisi bekerja, pemberian kompensasi, insentif bekerja, dan kemajuan karir dapat merupakan dorongan yang kuat dalam mendorong pelayanan yang efisien dan kesetiaan.

Pentingnya pemcriksaan menyeluruh atas latar belakang seseorang digarisbawahi dengan adanya kasus Philip Crosby Associates (PCA), sebuah firma konsultan dan pelatihan. PCA melaksanakan penyelidikan yang mendalam untuk memilih direktur keuangan. Perusahaan tersebut akhirnya rnempekerjakan John Nelson, seorang penyandang gelar MBA dan CPA yang mendapat referensi bagus dari perusahaan sebelumnya. Pada kenyataannya, gelar CPA dan referensi tersebut palsu. Nelson sebenarnya bernama Robert W. Liszewski, yang belum lama ini dihukum selama 18 bulan atas pencurian sebesar $400.000 dari bank di Indiana. Ketika PCA menemukan fakta ini, Lisrewski telah mencuri $960.000 dengan menggunakan transfer elektronik ke perusahaan fiktif, yang didukung oleh pemalsuan tanda tangan atas beberapa kontrak dan dokumen otorisasi.

cpa-urlKebijakan pengendalian tambahan dibutuhkan bagi para pegawai yang memiliki akses ke kas atau properti lainnya. Mereka harus diminta untuk mengambil libur tahunan, dan selama waktu tersebut, fungsi pekerjaan mereka harus dilaksanakan oleh anggota staf lainnya.

Banyak penipuan pegawai yang ditemukan ketika pelaku tiba-tiba terhalang oleh sakit atau kecelakaan yang memaksa mereka mengambil cuti. Rotasi tugas secara periodik di antara para pegawai utama dapat mencapai hasil yang sama. Tentu saja, keberadaan kebijakan semacam ini menghalangi penipuan dan meningkatkan pengendalian internal.

Terakhir, jaminan asuransi ikatan kesetiaan para pegawai utama, melindungi perusahaan dari kerugian yang ditimbulkan oleh tindakan penipuan yang disengaja oleh para pegawai yang diikat tersebut.

Pengaruh-pengaruh Eksternal dalam Lingkungan Pengendalian menurut COSO

External-Influences-of-BusinessPengaruh-pengaruh eksternal yang mempengaruhi lingkungan pengendalian adalah termasuk persyaratan yang dibebankan oleh bursa efek, oleh Financial Accounting Standards Board (FASB), dan oleh Securities and Exchange Commission (SEC).

Termasuk dalam pengaruh eksternal juga persyaratan peraturan lembaga, seperti bank, sarana umum (utility), dan perusahaan asuransi. Termasuk dalam contoh adalah ketentuan pengendalian internal oleh Foreign Corrupt Practices Act yang dibuat oleh SEC, dan audit lembaga keuangan yang dibuat oleh Federal Deposit Insurance Corporation (FDIC).

AKTIVITAS-AKTIVITAS PENGENDALIAN menurut COSO.

Komponen kedua dari model pengendalian internal COSO adalah kegiatan-kegiatan pengendalian, yang merupakan kebijakan dan peraturan yang menyediakan jaminan yang wajar bahwa tujun pengendalian pihak manajemen, dicapai.

coso-urlSecara umum, prosedur-prosedur pengendalian termasuk dalam satu dari lima kategori berikut ini:

  1. Otorisasi transaksi dan kegiatan yang memadai
  2. Pemisahan tugas
  3. Desain dan penggunaan dokumen serta catatan yang memadai
  4. Penjagaan aset dan catatan yang memadai
  5. Pemeriksaan independen atas kinerja

Otorisasi Transaksi dan Kegiatan yang Memadai dalam Aktivitas-aktivitas Pengendalian menurut COSO

Para pegawai melaksanakan tugas dan membuat keputusan yang mempengaruhi asset perusahaan. Oleh karena pihak manajemen kekurangan waktu dan sumber dava untuk melakukan supervisi setiap aktivitas dan keputusan, mereka membuat kebijakan untuk diikuti oleh para pegawai, dan kemudian memberdayakan mereka untuk melaksanakannya.

authorization-urlPemberdayaan ini, yang disebut sebagai otorisasi (authorization), adalah bagian penting dari pengendalian dan prosedur organisasi.

Pemisahan Tugas dalam Aktivitas-aktivitas Pengendalian menurut COSO

Pengendalian internal yang baik mensyaratkan bahwa tidak ada pegawai yang diberi tanggung jawab terlalu banyak.

Seorang pegawai seharusnya tidak berada dalam posisi untuk melakukan penipuan dan menyembunyikan penipuan atau kesalahan yang tidak disengaja. pernisahan tugas yang efektif dicapai ketika fungsi-fungsi berikut ini dipisahkan:

  • Otorisasi-menyetujui transaksi dan keputusan
  • Pencatatan-menpersiapkan dokumen sumber; memelihara catatan jurnaI; buku besar, dan file lainnya; mempersiapkan rekonsiliasi; serta mempersiapkan laporan kinerja.
  • Penyimpanan-menangani kas, memelihara tempat penyimpanan persediaan, menerima cek yang masuk dari pelanggan, menulis cek atas rekening bank organisasi

segregation-of-duties-urlApabila dua dari ketiga fungsi tersebut merupakan tanggung jawab satu orang, maka akan muncul masalah.

Contohnya, bendahara kota Fairfax, Virginia, sebelumnya dihukum atas pencurian sebesar $600.000 dari kekayaan kota. Ketika penduduk menggunakan uang tunai untuk membayar pajak mereka, bendahara tersebut akan menyimpannya.

Dia mencatat penerimaan pajak dalam catatan pajak bangunan, tetapi tidak melaporkannya ke kontroler kota. Kemudian, dia akan membuat jurnal penyesuaian untuk menyesuaikan catatannya dengan catatan kontroler. Ketika bendahara tersebut menerima uang tunai untuk membayar biaya lisensi usaha atau biaya pengadilan, dia mencatat transaksi-transaksi ini ke daftar penerimaan kas dan menyimpan uang tersebut setiap harinya dia mencuri sebagian uang tersebut dan menyembunyikan perbedaan selisih dalam penyimpanan di bank dengan menggunakan cek lain-lain yang diterima melalui surat dan yang tidak akan terlacak ketika cek tersebut tidak dicatat.

Oleh karena bendahara tersebut bertanggungjawab atas penyinipanan tanda terima tunai dan pencatatan atas tanda terima tersebut, dia dapat mencuri tanda terima dan memalsukan akun, untuk menutupi kesalahan.