Pengendalian dan Sistem Informasi Akuntansi

Masyarakat telah semakin tergantung pada sistem informasi akuntansi, yang juga telah berkembang semakin kompleks untuk memenuhi peningkatan kebutuhan atas informasi.

Sejalan dengan peningkatan kompleksitas sistem dan ketergantungan pada sistem tersebut, perusahaan menghadapi peningkatan risiko atas sistem mereka yang sedang dikembangkan dan dinegosiasikan.

threatsEmpat jenis ancaman yang dihadapi perusahaan, seperti yang diringkas dalam Tabel dibawah ini.
Tabe-7-1l

Ancaman-1 atas SIA: Kehancuran karena Bencana Alam dan Politik

bencana-alamSalah satu ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam dan politik, seperti kebakaran, panas yang berlebihan, banjir, gempa bumi, badai angin, dan perang.

war-urlBencana yang tidak bisa diprediksi dapat secara keseluruhan menghancurkan sistem informasi dan menyebabkan kejatuhan sebuah perusahaan. Ketika terjadi sebuah bencana, banyak perusahaan yang terkena pengaruhnya pada saat yang bersamaan. Contohnya, banjir di Chicago menghancurkan atau merusak 400 pusat pemrosesan data. Contoh-contoh bencana jenis ini adalah sebagai berikut:

  • Dua serangan teroris pada World Trade Center di kota New York dan serangan Gedung Federal di Oklahoma, menghancurkan atau mengganggu sistem di gedung¬-gedung tersebut.world-trade-center-september-11-2001
  • Pada tahun 1993, hujan deras menyebabkan Sungai Mississippi dan Missouri meluap dan membanjiri delapan negara bagian. Banyak organisasi kehilangan sistem komputer mereka, termasuk kota Des Moines, Iowa, yang komputer¬-komputernya terendam di dalam air setinggi 8 kaki.
  • Gempa bumi di Los Angeles menghancurkan banyak sekali sistem; menyebabkan sistem lainnya rusak karena jatuhnya puing-puing, air dari sistem penyemprot air (sprinkler systern), dan debu; serta mengganggu jalur komunikasi. Perusahaan¬-perusahaan di San Fransisco menderita nasib yang hampir sama beberapa tahun sebelumnya.
  • Defense Science Board telah memprediksi bahwa pada tahun 2005 serangan pada sistem informasi oleh negara-negara asing, agen mata-mata, dan teroris, akan tersebar luas.

Ancaman-2 atas SIA: Kesalahan pada software dan tidak berfungsinya peralatan

Ancaman kedua bagi perusahaan adalah kesalahan pada software dan tidak berfungsinya peralatan, seperti kegagalan hardware, kesalahan atau terdapat kerusakan pada software, kegagalan sistem operasi (operating system-OS), gangguan dan fluktuasi listrik, serta kesalahan pengiriman data yang tidak terdeteksi.image description

Contoh-contoh jenis ancaman ini adalah sebagai berikut:

  • Kerusakan pada sistem akuntansi perpajakan yang baru merupakan penyebab kegagalan Kalifornia mengumpulkan pajak perusahaan sebesar 5.535 juta.
  • Di Bank of New York, field yang dipergunakan untuk menghitung jumlah transaksi terlalu kecil untuk menangani volume transaksi pada hari yang sibuk. Kesalahan pada sistem mematikan sistem dan membuat bank tersebut mengalami kerugian sebesar $23 juta ketika mencoba untuk menutup bukunya. Bank tersebut akhirnya harus meminjam uang dalam satu malam dengan biaya yang tinggi.

Ancaman-3 atas SIA: Tindakan tidak sengaja

Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja, seperti kesalahan atau penghapusan karena ketidaktahuan atau karena kecelakaan semata. Hal ini biasanya terjadi karena kesalahan manusia, kegagalan untuk mengikuti prosedur yang telah ditetapkan, dan personil yang tidak diawasi atau dilatih dengan baik.

tidak-sengaja-imagesPara pemakai sering kali kehilangan atau salah meletakkan data, dan secara tidak sengaja menghapus atau mengubah file, data serta program. Para operator komputer dan pemakai dapat memasukkan input yang salah atau tidak andal, menggunakan versi program yang salah, menggunakan file data yang salah, atau meletakkan file di tempat yang salah.

Analis dan programmer sistem membuat kesalahan pada logika sistem, mengembangkan sistem yang tidak memenuhi kebutuhan perusahaan, atau mengembangkan sistem yang tidak mampu menangani tugas yang diberikan.

humanerrorContoh-contoh tentang ancaman ini adalah sebagai berikut:

  • Staf administrasi bagian entri data di Giant Food Inc., salah memasukkan data dividen kuartal sebesar $2,50 sebagai ganti dari $0,25. Sebagai hasilnya, perusahaan membayar lebih dari $10 juta atas kelebihan jumlah dividen tersebut.
  • Seorang programmer bank salah menghitung bunga per bulan dengan menggunakan satuan 31 hari. Selama 5 bulan sebelum kesalahan tersebut ditemukan, lebih dari $100.000 kelebihan bunga dibayarkan melalui tabungan.

Ancaman-4 atas SIA: Tindakan sengaja (kejahatan komputer)

Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja, yang biasanya disebut sebagai kejahatan komputer. Ancaman ini berbentuk sabotase, yang tujuannya adalah menghancurkan sistem atau beberapa komponennya.

cybercrimePenipuan komputer adalah jenis kejahatan komputer lainnya, dengan tujuan untuk mencuri benda berharga seperti uang, data, atau waktu/pelayanan komputer. Penipuan ini juga dapat melibatkan pencurian, yaitu pencurian atau ketidaklayakan penggunaan atas aset oleh pegawai, disertai dengan pemalsuan catatan untuk menyembunyikan pencurian tersebut.

Contoh-contoh ancaman jenis ini adalah sebagai berikut:

  • Sebagai seorang penggemar teknologi, John Draper menemukan bahwa tawaran hadiah sebagai pelapor di perusahaan sereal Cap’n Crunch menduplikasi frekuensi jalur komunikasi WATS. Dia menggunakan penemuannya tersebut untuk menipu perusahaan telepori, dengan cara melakukan berbagai panggilan telepon tanpa bayar.
  • Seorang manajer SIA di kantor koran di Florida bekerja untuk perusahaan pesaing setelah dia dipecat dari tempatnya bekerja tersebut. Pada waktu yang tidak lama, pihak pertama yang mempekerjakan dirinya tersebut menyadari bahwa para reporternya secara konstan telah direbut informasi beritanya. Perusahaan koran tersebut akhirnya mengetahui bahwa manajer SIA tersebut masih memiliki akun dan password aktif, serta masih secara teratur melihat-lihat file-file komputer di perusahaan tersebut untuk mendapatkan informasi mengenai cerita esklusif.Cyber-Crime-EMC-Ireland

Mengapa Ancaman-ancaman SIA Meningkat?

Sebagai akibat dari masalah-masalah tersebut diatas, pengendalian keamanan dan integritas sistem komputer menjadi isu yang penting. Kebanyakan manajer S1A menunjukkan bahwa risiko pengendalian telah meningkat dalam tahun-tahun belakangan ini.

integrity-urlContohnya, penelitian telah menunjukkan bahwa lebih dari 60 persen organisasi telah mengalami kegagalan besar dalam pengendalian di tahun-tahun belakangan ini. Beberapa alasan atas peningkatan masalah keamanan adalah sebagai berikut:

  • Peningkatan jumlah sistem klien/server (client/server system) memiliki arti bahwa informasi tersedia bagi para pekerja yang tidak baik. Komputer dan server tersedia di mana-mana terdapat PC di sebagian besar desktop, dan komputer laptop tersedia di tempat umum. Chevron Texaco, contohnya, memiliki lebih dari 35.000 PC.client_server
  • Oleh karena LAN dan sistem klien/server mendistribusikan data ke banyak pemakai, mereka lebih sulit dikendalikan daripada sistem komputer utama yang terpusat. Di Chevron Texaco, informasi didistribusikan di antara sistem dan ribuan pegawai yang bekerja di tempat lokal dan jarak jauh, seperti juga secara nasional dan internasional.
  • WAN memberikan pelanggan dan pemasok akses ke sistem dan data mereka satu sama lain, yang menimbulkan kekhawatiran dalam hal kerahasiaan. Contohnya, Wal-Mart mengizinkan beberapa vendor tertentu untuk mengakses informasi khusus di komputernya, sebagai salah satu persyaratan dalam persekutuan mereka. Bayangkan potensi masalah kerahasiaan apabila vendor-vendor tersebut juga membentuk persekutuan dengan para pesaing Wal-Mart, seperti Kmart dan Target.

Alasan Organisasi tidak secara memadai melindungi data mereka

Sayangnya, banyak organisasi yang tidak secara memadai melindungi data mereka karena satu atau beberapa alasan berikut ini:data-security-url

  • Masalah pengendalian komputer sering kali diremehkan dan dianggap minor. Perusahaan melihat hilangnya informasi yang penting, sebagai ancaman yang tidak mungkin terjadi. Contohnya, kurang dari 25 persen dari 1.250 partisipan dalam penelitian Ernts & Young berpikir bahwa keamanan komputer adalah isu yang sangat penting. Gambaran tersebut menurun dari angka sekitar 35 persen, berdasarkan survei tahun sebelumnya.
  • Implikasi-implikasi pengendalian untuk berpindah dari sistem komputer yang tersentralisasi dan terpusat dari masa lampau, ke sistem jaringan atau sistem berdasarkan Internet, tidak benar-benar dipahami.productivity-
  • Banyak perusahaan yang tidak menyadari bahwa keamanan data adalah hal yang penting untuk kelangsungan hidup perusahaan mereka. Informasi adalah sumber daya strategis, dan perlindungan atas informasi harus merupakan persyaratan strategis. Contohnya,-suatu perusahaan kehilangan jutaan dolar selama periode beberapa tahun, karena perusahaan tidak melindungi transmisi datanya. Salah satu pesaing menyadap saluran teleponnya dan mendapatkan faks yang berisi desain produk baru yang dikirim ke pabrik di luar negeri.cost-money
  • Tekanan atas produktivitas dan biaya membuat pihak manajemen melepas ukuran¬-ukuran pengendalian yang memakan waktu.

Ancaman-ancaman Keamanan Informasi Juga Dapat Dibayar Mahal di Pengadilan

Banyak CIO yang memperkuat dirinya dari hal-hal yang dapat merupakan banjir tuntutan pertanggung¬jawaban, akibat pelanggaran keamanan informasi. Apabila hal ini terjadi, perusahaan bukan hanya membayar kerusakan apa pun yang diderita dari pelanggaran tersebut, tetapi perusahaan juga dianggap bertanggung jawab atas kerusakan yang diderita pelanggan.

court2Contohnya, pada bulan Agustus 2001, setelah melawan Code Red Worm, Qwest berhadapan dengan perlawanan lain, yaitu melawan kantor jaksa penuntut umum. Setelah virus tersebut membuat beberapa pelanggan Qwest mendapat gangguan jangkauan DSL selama 10 hari, 15 hingga 20 pelanggan mengadu ke jaksa penuntut umum. Walaupun Qwest bersikeras bahwa perusahaan tidak bertanggung jawab atas serangan yang dilakukan oleh orang lain, jaksa pen untut umum meminta perusahaan tersebut untuk mengganti rugi para pelanggannya. Dalam waktu singkat para hakim dan juri akan diputuskan, apabila perusahaan secara hukum dianggap bertanggung jawab atas keamanan yang tidak memadai.

court-hammerWalaupun tidak ada tuntutan hukum sebelumnya, para pejabat perusahaan dapat secara individual bertanggung jawab atas pelanggaran keamanan. Dalam usaha untuk melindungi infra¬struktur teknologi informasi Amerika, pemerintah mulai membuat peraturan yang diharapkan dapat mengurangi bahaya tuntutan tertentu. Akan tetapi, perusahaan akan tetap harus meningkatkan keamanan dan tetap siaga apabila mereka ingin menghindari pengabulan tuntutan.

Sarah D. Scalet dalam sebuah artikel di CIO, menawarkan tips-tips berikut ini untuk menghindari pengabulan tuntutan:

  • “Buat dan implementasikan kebijakan keamanan dalam perusahaan.” Kembangkan kebijakan yang jelas mengenai cara bagaimana perusahaan menjaga data, dan pastikanbahwa kebijakan tersebut didokumentasikan dengan baik.
  • “Lakukan audit keamanan.” Pastikan bahwa perusahaan telah mengikuti kebijakan keamanan informasinya dengan cara mempekerjakan pihak ketiga untuk meng¬ujinya. Mempekerjakan pihak ketiga dan pihak yang objektif untuk meninjau keamanan informasi perusahaan, dapat membantu memperbaiki hal yang selama ini dicari oleh perusahaan, yaitu untuk tetap jauh dari potensi risiko keamanan.
  • “Mempertimbangkan keamanan dalam kontrak.” Ketika melakukan outsourcing, perusahaan harus memastikan bahwa perusahaan lain telah memiliki dan mengikuti prosedur keamanan yang memadai.
  • “Jangan membuat janji yang tidak dapat Anda tepati.” Perusahaan seharusnya jangan pernah menjanjikan keamanan yang tidak pernah gagal, selain dari ukuran-ukuran keamanan yang wajar. Membuat janji besar dapat menyeret Anda ke risiko tuntutan pelanggaran kontrak. “Perhatikan peraturan-peraturan yang mempengaruhi industri perusahaan Anda. “Beberapa negara kadang kala memiliki peraturan mengenai perlindungan atas informasi pelanggan. Pastikan bahwa perusahaan mengetahui peraturan di negara¬-negara tempat perusahaan menjalankan bisnisnya.insurance-1-url
  • Pertimbangkan untuk membeli asuransi e-commerce. “Asuransi maya melindungi dari risiko on-line yang tidak dilindungi oleh asuransi dasar bisnis. Asuransi maya meliputi kejadian seperti serangan yang menyebabkan pengingkaran pelayanan, kode-kode salah yang menyesatkan, dan isi web yang tidak layak. “Perhatikan hal-hal yang dilaksanakan oleh perusahaan yang hampir sama dengan perusahaan Anda. “Tetaplah mencari tahu apa yang dilaksanakan perusahaan lain agar Anda dapat membuktikan bahwa Anda melakukan usaha sebanyak dengan yang dilakukan orang ¬lain, dalam hal keamanan.

Sumber: Sarah D. Scalet.”See You in court”, CIO (1 November 2001): 62-70.

Mengapa Pengendalian dan Keamanan Komputer Penting(1).

Untungnya, perusahaan-perusahaan kini menyadari masalah-masalah tersebut dan mengambil langkah positif untuk meningkatkan pengendalian dan keamanan komputer.

Contohnya, mereka menjadi proaktif dalam pendekatan mereka. Mereka kini menyediakan pegawai tetap untuk menangani masalah pengendalian dan keamanan, serta mendidik para pegawai mereka mengenai ukuran-ukuran pengendalian.

computer_securityBanyak perusahaan yang membuat dan menerapkan kebijakan keamanan informasi secara formal. Mereka membuat pengendalian sebagai bagian dari proses pengembangan aplikasi, dan memindahkan data yang sensitif keluar dari sistem klien/server yang tidak aman ke lingkungan yang lebih aman, seperti komputer utama (mainframe).

Sebagai seorang akuntan, Anda harus memahami bagaimana cara melindungi system-sistem dari ancaman-ancaman yang mereka hadapi. Anda juga harus memiliki pemahaman yang baik mengenai teknologi informasi, dan kemampuan serta risiko¬-risikonya. Pengetahuan ini dapat membantu Anda untuk menggunakan teknologi informasi dalam rangka mencapai tujuan pengendalian perusahaan.

Mengapa Pengendalian dan Keamanan Komputer Penting(2).

Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi suatu organisasi seharusnya merupakan prioritas utama manajemen puncak. Walaupun tujuan pengendalian internal tetap sama apa pun metode pemrosesan datanya, SIA yang berdasarkan komputer membutuhkan kebijakan dan prosedur pengendalian internal yang berbeda.

computer securityContohnya, walaupun pemrosesan secara komputer mengurangi potensi kesalahan administrasi, proses ini dapat meningkatkan risiko adanya akses ke file atau perubahan file data, yang tidak memiliki otorisasi. Sebagai tambahan, memisahkan fungsi otorisasi, pencatatan, dan penjagaan aset dalam SIA harus dicapai dalam cara yang berbeda, karena program computer bias jadi bertanggungjawab atas satu atau lebih atas fungsi-fungsi tersebut. Untungnya, komputer juga memberikan kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya.

Membantu manajemen dalam mengendalikan organisasi bisnisnya adalah tujuan utama SIA. Akuntan dapat membantu mencapai tujuan ini dengan cara mendesain sistem pengendalian yang efektif dan melaksanakan audit (atau peninjauan) atas sistem pengendalian yang telah ada, untuk memastikan keefektivitasan mereka.

Mengapa Pengendalian dan Keamanan Komputer Penting(3).

Potensi adanya kejadian atau kegiatan yang tidak diharapkan yang dapat membahayakan baik SIA maupun organisasi, disebut sebagai ancaman (threat). Potensi kerugian dalam bentuk uang yang terjadi apabila sebuah ancaman benar-benar terjadi, disebut sebagai pajanan/dampak (exposure) ancaman, sedangkan kemungkinan terjadinya ancaman disebut sebagai risiko yang berhubungan dengan ancaman.

computer-security-2-urlPihak manajemen berharap akuntan dapat menjadi konsultan pengendalian. Dengan kata lain, akuntan harus (1) mengambil pendekatan proaktif untuk menghilangkan ancaman terhadap sistem, dan (2) mendeteksi, memperbaiki, dan memuiihkan perusahaan dari ancaman apabila suatu ancaman terjadi.

Merupakan hal yang penting untuk diketahui bahwa lebih mudah mengembangkan pengendalian pada tahap awal desain, daripada menambahkannya setelah terjadi suatu ancaman. Berdasarkan alasan ini, akuntan dan para ahli pengendalian lainnya harus menjadi anggota yang lebih penting dalam tim yang mengembangkan atau mengubah sistem informasi.

Tinjauan Menyeluruh Konsep-konsep Pengendalian

Pengendalian internal (internal control) adalah rencana organisasi dan metode bisnis yang dipergunakan untuk menjaga aset, memberikan informasi yang akurat dan andal, mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian dengan kebijakan yang telah ditetapkan.

internal-control-urlTujuan-tujuan pengendalian internal ini kadangkala bertentangan satu sama lain.

Contohnya, banyak orang menekankan pada perekayasaan proses bisnis yang radikal agar mereka bisa mendapat inforniasi yang lebih baik dan cepat, serta untuk memperbaiki efisiensi operasional.

Pihak lainnya menolak perubahan tersebut karena perubahan mengganggu penjagaan atas aset perusahaan dan membutuhkan perubahan yang signifikan dalam kebijakan manajerial.

Apakah struktur Pengendalian Internal itu ?

Struktur pengendalian internal (internal control structure) terdiri dari kebijakan dan prosedur yang dibuat untuk memberikan tingkat jaminan yang wajar atas pencapaian tujuan tertentu organisasi.

Sistem tersebut hanya menyediakan jaminan yang wajar, karena pihak yang memberikan jaminan penuh akan sulit untuk melaksanakan tahap desain dan biayanya mahal, hingga akan menjadi penghalang bagi perusahaan.

control-aPengendalian internal melaksanakan tiga fungsi penting, yaitu :

  • Pengendalian untuk pencegahan (preventive control)
  • Pengendalian untuk pemeriksaan (detective control)
  • Pengendalian korektif (corrective control)

Pengendalian untuk pencegahan (Preventive Control)

Preventative_0Pengendalian untuk pencegahan (preventive control) mencegah timbulnya suatu masalah sebelum mereka muncul.

Mempekerjakan personil akuntansi yang berkualifikasi tinggi, pemisahan tugas pegawai yang memadai, dan secara efektif mengendalikan akses fisik atas aset, fasilitas dan informasi, merupakan pengendalian pencegahan yang efektif.

Pengendalian untuk pemeriksaan (Detective Control)

Pengendalian untuk pemeriksaan (detective control) dibutuhkan mntuk mengungkap masalah begitu masalah tersebut muncul.

Preventative_0Contoh dari pengendalian untuk pemeriksaan adalah pemeriksaan salinan atas perhitungan, mernpersiapkan rekonsiliasi bank dan neraca saldo setiap bulan.

Pengendalian korektif (Corrective Control)

corrective-action-urlPengendalian korektif (corrective control) memecahkan masalah yang ditemukan oleh pengendalian untuk pemeriksaan. Pengendalian ini mencakup prosedur yang dilaksanakan untuk mengidentifikasi penyebab masalah, memperbaiki kesalahan atau kesulitan yang ditimbulkan, dan mengubah sistem agar masalah di masa mendatang dapat diminimalisasikan atau dihilangkan.

Contoh dari pengendalian ini termasuk pemeliharaan kopi cadangan (backup copies) atas transaksi dan file utama, dan mengikuti prosedur untuk memperbaiki kesalahan memasukkan data, seperti juga kesalahan dalam menyerahkan kembali transaksi untuk proses lebih lanjut.

Mencegah penyuapan atas para pejabat luar negeri untuk mendapatkan bisnis.

Pada tahun 1977, gelombang keterkejutan berkumandang di seluruh profesi akuntansi ketika Congress memasukkan bahasa dari standar AICPA ke dalam Foreign Corrupt Practices Act.

bribery-urlTujuan utama dari undang-undang ini adalah mencegah penyuapan atas para pejabat luar negeri untuk mendapatkan bisnis. Akan tetapi, pengaruh yang signifikan dari undang-undang ini membutuhkan kerja sama untuk memelihara sistem pengendalian internal akuntansi yang baik.

Tidak perlu dikatakan bahwa syarat ini telah menimbulkan rasa tertarik yang besar di antara pihak manajemen, akuntan, dan auditor untuk mendesain dan mengevaluasi sistem pengendalian internal.

Penelitian Oleh Committee of Sponsoring Organizations (COSO).

coso-logo-1-urlCommittee of Sponsoring Organizations (COSO) adalah kelompok sektor swasta yang terdiri dari American Accounting Association (AAA), AICPA, Institute of Internal Auditors, Institute of Management Accountants, dan Financial Executives Institute. Pada tahun 1992, COSO mengeluarkan hasil penelitian untuk mengembangkan definisi pengendalian internal dan memberikan petunjuk untuk mengevaluasi sistem pengendalian internal. Laporan tersebut telah diterima secara luas sebagai ketentuan dalam pengendalian internal.

Penelitian tersebut memakan waktu 3 tahun dan melibatkan 10 ribu jam penelitian, diskusi, analisis, dan proses penilaian. Penelitian ini melibatkan ribuan orang, termasuk para anggota dari kelima organisasi dalam COSO, para direktur dan dewan direksi perusahaan, pembuat undang-undang (legislator), pemerintah, pengacara, konsultan, auditor, dan para akademisi.

Laporan tersebut menjelaskan tanggung jawab pegawai untuk menjalankan dengan layak pengendalian, serta mendeskripsikan peran auditor eksternal dalam menilai pengendalian.

Bagaimana COSO menjamin tujuan Pengendalian dapat tercapai.

Penelitian COSO mendefinisikan pengendalian internal sebagai proses yang diimplementasikan oleh dewan komisaris, pihak manajemen, dan mereka yang berada di bawah arahan keduanya, untuk memberikan jaminan yang wajar bahwa tujuan pengendalian dicapai dengan pertimbangan hal-hal berikut:COSO ERM

  1. Efektivitas dan efisiensi operasional organisasi
  2. Keandalan pelaporan keuangan
  3. Kesesuaian dengan hukum dan peraturan yang berlaku

Pengendalian Internal menurut COSO.

Berdasarkan COSO, pengendalian internal adalah proses karena hal tersebut menembus kegiatan operasional organisasi dan merupakan bagian integral-dari kegiatan manajemen dasar.

coso_graphPengendalian internal memberikan jaminan yang wajar, bukan yang absolut, karena kemungkinan kesalahan manusia, kolusi, dan penolakan manajemen atas pengendalian, membuat proses ini menjadi tidak sempurna.

COSO menyajikan langkah yang signifikan atas definisi pengendalian internal yang dahulu terbatas pada pengendalian akuntansi, menjadi pengendalian yang menangani tujuan yang luas dari para dewan komisaris dan pihak manajemen.

5(lima) Komponen Pengendalian Internal menurut COSO.

COSO menyajikan langkah yang signifikan atas definisi pengendalian internal yang dahulu terbatas pada pengendalian akuntansi, menjadi pengendalian yang menangani tujuan yang luas dari para dewan komisaris dan pihak manajemen.

coso-urlCOSO menentukan 5(lima) komponen Pengendalian Internal yang saling berhubungan, kelima komponen itu adalah:

  • Lingkungan pengendalian
  • Aktivitas pengendalian
  • Penilaian risiko
  • Informasi dan komunikasi
  • Pengawasan

Lingkungan Pengendalian sebagai Komponen Pengendalian Internal menurut COSO.

Lingkungan pengendalian : Inti dari bisnis apa pun adalah orang-orangnya-ciri perorangan, termasuk integritas, nilai-nilai etika, dan kompetensi-serta lingkungan tempat beroperasi.

coso-1-internal_controlsMereka adalah mesin yang mengemudikan organisasi dan dasar tempat segala hal terletak.

Aktivitas Pengendalian sebagai Komponen Pengendalian Internal menurut COSO.

Coso-2-control model - 404 scopeKebijakan dan prosedur pengendalian harus dibuat dan dilaksanakan untuk membantu memastikan bahwa tindakan yang diidentifikasi oleh pihak manajemen untuk mengatasi risiko pencapaian tujuan organisasi, secara efektif dijalankan.

Penilaian Risiko sebagai Komponen Pengendalian Internal menurut COSO.

Organisasi harus sadar akan dan berurusan dengan risiko yang dihadapinya. Organisasi harus menempatkan tujuan, yang terintegrasi dengan penjualan, produksi, pemasaran, keuangan, dan kegiatan lainnya, agar organisasi beroperasi secara harmonis.

coso-3-urlOrganisasi juga harus membuat mekanisme untuk meng-identifikasi, menganalisis, dan mengelola risiko yang terkait.

Informasi dan Komunikasi sebagai Komponen Pengendalian Internal menurut COSO.

coso4Di sekitar aktivitas pengendalian terdapat sistem informasi dan komunikasi. Mereka memungkinkan orang-orang dalam organisasi untuk mendapat dan bertukar informasi yang dibutuhkan untuk melaksanakan, mengelola, dan mengendalikan operasinya.

Penelitian oleh Information Systems Audit and Control Foundation

Information Systems Audit and Control Foundation (ISACF) mengembangkan Control Objectives for Information and Related Technology (COBIT).

COBIT_Logo.27280646_stdCOBIT adalah sebuah kerangka praktik pengendalian untuk teknologi informasi, dan keamanan sistem informasi yang umumnya dapat diaplikasikan.

Kerangka tersebut memungkinkan:

  1. Pihak manajemen melakukan perbandingan atas praktik keamanan dan pengendalian dalam lingkungan Teknologi Informasi (TI),
  2. Pemakai pelayanan TI untuk merasa pasti akan adanya pengendalian dan keamanan yang memadai, dan
  3. Para auditor untuk memverifikasi pendapat mereka atas pengendalian internal dan untuk memberikan saran dalam masalah keamanan dan pengendalian TI.

3(tiga) Dimensi yang menguntungkan untuk menangani isu Pengendalian Menurut COBIT.

cobit-dimensi-urlKerangka tersebut menangani isu pengendalian berdasarkan tiga poin atau dimensi yang menguntungkan, yaitu:

  1. Tujuan Bisnis. Untuk memenuhi tujuan bisnis, informasi harus sesuai dengan kriteria yang disebut COBIT sebagai persyaratan bisnis atas informasi. Kriteria tersebut dibagi ke dalam kategori terpisah tetapi saling melengkapi, yang mencerminkan tujuan-tujuan COSO, yatiu: efektivitas (relevan, berkaitan, dan tepat waktu), efisiensi, kerahasiaan, integritas, ketersediaan, kesesuaian dengan persyaratan hukum, dan keandalan.
  2. Sumber daya-sumber daya TI, yang termasuk didalamnya adalah orang, sistem aplikasi, teknologi, fasilitas, dan data.
  3. Proses TI, yang dipecah ke dalam empat bidang, yaitu: perencanaan dan organisasi, proses perolehan (acqusition) dan implementasi, pengiriman dan pendukung, serta pengawasan.

Manfaat Konsolidasi dari 36 sumber yang berbeda kedalam satu kerangka oleh COBIT.

COBIT, yang mengkonsolidasikan standar dari 36 sumber berbeda ke dalam satu kerangka, memiliki dampak yang besar atas profesi sistem informasi.

cobit-benefit-urlCOBIT membantu para manajer untuk mempelajari bagaimana menyeimbangkan risiko dan pengendalian investasi dalam lingkungan sistem informasi. COBIT memberikan kepastian yang lebih besar bahwa pengendalian TI dan keamanannya yang disediakan oleh pihak ketiga termasuk memadai.

COBIT memandu para auditor pada saat mereka memverifikasi pendapat mereka, dan saat mereka memberikan saran pada pihak manajemen dalam hal pengendalian internal.

LINGKUNGAN PENGENDALIAN menurut COSO

coso-env-contrl-3_engLingkungan pengendalian menurut COSO terdiri dari faktor-faktor berikut ini:

  1. Komitmen atas integritas dan nilai-nilai etika
  2. Filosofi pihak manajemen dan gaya beroperasi
  3. Struktur organisasional
  4. Badan audit dewan komisaris
  5. Metode untuk memberikan otoritas dan tanggung jawab
  6. Kebijakan dan praktik-praktik dalam sumber daya manusia
  7. Pengaruh-pengaruhreksternal

Komitmen atas Integritas dan Nilai-nilai Etika dalam Lingkungan Pengendalian menurut COSO

Merupakan hal yang penting bagi pihak manajemen untuk menciptakan struktur organisasional yang menekankan pada integritas dan nilai-nilai etika. Perusahaan dapat mengesahkan integritas sebagai prinsip dasar beroperasi, dengan cara secara aktif mengajarkan dan mempraktikkannya.

commitment-integrity-urlContohnya, manajemen puncak harus memperjelas bahwa laporan yang jujur lebih penting daripada Iaporan yang sesuai keinginan pihak manajemen. Pihak manajemen harus tidak berasumsi bahwa setiap orang menerima kejujuran. Mereka harus secara konsisten menghargai dan mendorong kejujuran, serta memberikan suatu sebutan untuk perilaku yang jujur dan tidak jujur. Apabila perusahaan hanya menghukum atau menghargai kejujuran tanpa memberikan sebutan atas perilakunya atau menjelaskan prinsipnya, atau apabila standar kejujuran tidak konsisten, maka para pegawai akan cenderung tidak konsisten perilaku moralnya.

Pihak manajemen harus mengembangkan kebijakan yang tertulis dengan jelas, yang secara eksplisit mendeskripsikan perilaku yang jujur dan tidak jujur. Kebijakan-kebijakan ini harus secara khusus mencakup isu-isu yang tidak pasti atau tidak jelas, seperti konflik kepentingan dan penerimaan hadiah.

Contohnya, sebagian besar agen pembelian akan setuju bahwa menerima suap sebesar $5.000 dari pemasok adalah hal yang tidak jujur, tetapi liburan akhir minggu di pondok berburu tidak dijabarkan dengan jelas. Penyebab utama ketidakjujuran berasal dari perasionalisasian situasi-situasi ini; bukanlah hal yang aneh apabila kriteria kesesuaian (expediency), menggantikan kriteria benar atau salah.

Seluruh tindakan yang tidak jujur harus secara menyeluruh diinvestigasi, dan mereka yang dianggap bersalah harus dibebastugaskan. Pegawai yang tidak jujur harus dituntut untuk membuat pegawai mengetahui bahwa perilaku semacam ini tidak akan diperbolehkan.

Filosofi Pihak Manajemen dan Gaya Beroperasi dalam Lingkungan Pengendalian menurut COSO

Semakin bertanggung jawab filosofi pihak manajemen dan gaya beroperasi mereka; semakin besar kemungkinannya para pegawai akan berperilaku secara bertanggung jawab dalam usaha untuk mencapai tujuan organisasi.

phylosophy-urlApabila pihak manajemen menunjukkan sedikit perhatian atas pengendalian internal, maka para pcgawai akan menjadi kurang rajin dan efektif dalam mencapai tujuan pengendalian tertentu.

Contohnya, Maria Pilier menemukan bahwa garis otoritas dan tanggung jawab di Springer’s tidak ditetapkan dengan jelas, dan dia curiga bahwa pihak manajemen mungkin terlibat dalam rekayasa akuntansi untuk memperlihatkan kinerja perusahaan sebaik mungin.

Sementara itu, Jason Scott menemukan bukti adanya praktik pengendalian internal yang tidak memadai dalam fungsi pembelian dan utang usaha. Mungkin sekali bahwa kedua kondisi ini saling berhubungan yaitu bahwa sikap pihak manajemen yang tidak ketat memberikan kontribusi pada ketidakberadaan praktik pengendalian internal yang baik di bagian pembelian.

ManagementFilosofi pihak manajemen dan gaya beroperasi dapat dinilai-dengan cara menjawab pertanyaan seperti berikut ini:

  • Apakah pihak manajemen mengambil risiko yang tidak sepantasnya untuk mencapai tujuan perusahaaan, atau apakah pihak manajemen menilai potensi risiko dan penghargaan sebelum bertindak?
  • Apakah pihak manajemen mencoba untuk memanipulasi ukuran-ukuran kinerja seperti pemasukan bersih, agar kinerjanya dapat dilihat dalam pandangan yang lebih baik?
  • Apakah pihak manajemen menekan para pegawai untuk mencapai hasil apa pun metode yang dipergunakan, atau apakah pihak manajemen menuntut perilaku yang beretika? Dengan kata lain, apakah pihak manajemen yakin bahwa hasil dapat membenarkan cara?

Struktur Organisasional dalam Lingkungan Pengendalian menurut COSO

Struktur organisasional perusahaan menetapkan garis otoritas dan tanggung jawab, serta menyediakan kerangka umum untuk perencanaan, pengarahan, dan pengendalian operasinya. Aspek-aspek penting struktur organisasi termasuk sentralisasi atau desentralisasi otoritas, penetapan tanggung jawab untuk tugas-tugas tertentu, cara alokasi tanggung jawab mempengaruhi permintaan informasi pihak manajemen, dan organisasi fungsi sistem informasi dan akuntansi.

???????????????????????????????Struktur organisasi yang sangat kompleks dan tidak jelas dapat menunjukkan masalah yang lebih serius. ESM, sebuah perusahaan sekuritas yang berhubungan dengan sekuritas pemerintah, menggunakan struktur organisasi berlapis-lapis untuk menyembunyikan penipuan sebesar $300 juta. Para pejabat perusahaan menyalurkan uang ke diri mereka sendiri, dan menyembunyikannya dengan melaporkan piutang usaha fiktif dari perusahaan terkait, dalam laporan keuangan mereka.

Di dalam dunia bisnis saat ini, perubahan yang drastis terjadi dalam praktik di bidang manajemen, dan di dalam pengorganisasian perusahaan. Struktur organisasi hierarkis, dengan banyak lapisan pihak manajemen yang akan mengawasi dan mengendalikan pekerjaan mereka yang di bawah, mulai menghilang.

Struktur tersebut digantikan dengan organisasi datar (flat organization) yang memiliki tim yang dapat bekerja sendiri dan terdiri dari para pegawai yang dulunya ditugaskan ke berbagai departemen yang berbeda dan terpisah.

Para anggota tim diberdayakan untuk membuat keputusan tanpa mencari berlapis-lapis persetujuan untuk menyelesaikan pekerjaan mereka. Penekanannya adalah pada perbaikan berkelanjutan, bukan pada peninjauan periodik dan karakteristik penilaian dari evaluasi sebelumnya.

Perubahan-perubahan ini memiliki dampak yang besar atas struktur organisasi perusahaan, sifat, serta jenis pengendalian yang dipergunakan.

Komite Audit Dewan Komisaris (Board of Director) dalam Lingkungan Pengendalian menurut COSO

board-of-director-urlSeluruh perusahaan yang terdaftar di New York Stock Exchange harus memiliki komite audit (audit committee) yang secara keseluruhan terdiri dari para komisaris (non-pegawai) dari luar perusahaan.

Komite audit bertanggung jawab untuk mengawasi struktur pengendalian internal perusahaan, proses pelaporan keuangannya, dan kepatuhannya terhadap hukum, peraturan, dan standar yang terkait. Komite tersebut bekerja dekat dengan auditor eksternal dan internal perusahaan.

audit-commitee-urlSalah satu tanggung jawab komite ini adalah menyediakan peninjauan independen, atas nama pemegang saham perusahaan; terhadap tindakan para manajer perusahaan. Peninjauan ini berfungsi untuk memeriksa integritas manajemen dan meningkatkan kepercayaan publik yang berinvestasi, atas kesesuaian pelaporan keuangan.

Metode Memberikan Otoritas dan Tanggung Jawab dalam Lingkungan Pengendalian menurut COSO

Pihak manajemen harus memberikan tanggung jawab untuk tujuan bisnis tertentu ke departemen dan individu yang terkait, serta kemudian membuat mereka bertanggung jawab untuk mencapai tujuan tersebut.

authentication_authorizationOtoritas dan tanggung jawab dapat diberikan melalui deksripsi pekerjaan secara formal, pelatihan pegawai, dan rencana operasional, jadwal, dan anggaran. Salah satu hal yang sangat penting adalah peraturan yang menangani masalah seperti standar etika berperilaku, praktik bisnis yang dapat dibenarkan, peraturan persyaratan, dan konflik kepentingan.

Buku pedoman kebijakan dan prosedur (policy and procedures manual) adalah alat yang penting untuk memberikan otoritas dan tanggung jawab. Buku pedoman tersebut menjelaskan tentang kebijakan manajemen sehubungan dengan penanganan setiap transaksi.

Sebagai tambahan, buku pedoman tersebut mendokumentasikan sistem dan prosedur yang dipergunakan untuk memproses berbagai transaksi. Termasuk didalamnya adalah daftar akun organisasi, dan kopi contoh berbagai formulir serta dokumen. Buku pedoman tersebut membantu dalam memberikan referensi bagi para pegawai, dan alat yang berguna dalam rnelatih pegawai baru.

Kebijakan dan Praktik-praktik dalam Sumber Daya Manusia dalam Lingkungan Pengendalian menurut COSO

Kebijakan dan praktik-praktik mengenai pengontrakkan, pelatihan, pengevaluasian, pemberian kompensasi, dan promosi pegawai mempengaruhi kemampuan organisasi untuk meminimalkan ancaman, risiko, dan pajanan/dampak. Para pegawai harus dipekerjakan dan dipromosikan berdasarkan seberapa baik mereka memenuhi persyaratan pekerjaan mereka. Data riwyavat hidup, surat referensi, dan pemeriksaan atas latar belakang, merupakan cara-cara yang penting nntuk mengevaluasi kualifikasi para pelamar pekerjaan.

Human-Resource-DevelopmentProgram pelatihan harus membuat pegawai baru mengetahui dengan baik tanggung jawab mereka, dan juga kebijakan serta prosedur organiasi. Terakhir, kebijakan yang berhubungan dengan kondisi bekerja, pemberian kompensasi, insentif bekerja, dan kemajuan karir dapat merupakan dorongan yang kuat dalam mendorong pelayanan yang efisien dan kesetiaan.

Pentingnya pemcriksaan menyeluruh atas latar belakang seseorang digarisbawahi dengan adanya kasus Philip Crosby Associates (PCA), sebuah firma konsultan dan pelatihan. PCA melaksanakan penyelidikan yang mendalam untuk memilih direktur keuangan. Perusahaan tersebut akhirnya rnempekerjakan John Nelson, seorang penyandang gelar MBA dan CPA yang mendapat referensi bagus dari perusahaan sebelumnya. Pada kenyataannya, gelar CPA dan referensi tersebut palsu. Nelson sebenarnya bernama Robert W. Liszewski, yang belum lama ini dihukum selama 18 bulan atas pencurian sebesar $400.000 dari bank di Indiana. Ketika PCA menemukan fakta ini, Lisrewski telah mencuri $960.000 dengan menggunakan transfer elektronik ke perusahaan fiktif, yang didukung oleh pemalsuan tanda tangan atas beberapa kontrak dan dokumen otorisasi.

cpa-urlKebijakan pengendalian tambahan dibutuhkan bagi para pegawai yang memiliki akses ke kas atau properti lainnya. Mereka harus diminta untuk mengambil libur tahunan, dan selama waktu tersebut, fungsi pekerjaan mereka harus dilaksanakan oleh anggota staf lainnya.

Banyak penipuan pegawai yang ditemukan ketika pelaku tiba-tiba terhalang oleh sakit atau kecelakaan yang memaksa mereka mengambil cuti. Rotasi tugas secara periodik di antara para pegawai utama dapat mencapai hasil yang sama. Tentu saja, keberadaan kebijakan semacam ini menghalangi penipuan dan meningkatkan pengendalian internal.

Terakhir, jaminan asuransi ikatan kesetiaan para pegawai utama, melindungi perusahaan dari kerugian yang ditimbulkan oleh tindakan penipuan yang disengaja oleh para pegawai yang diikat tersebut.

Pengaruh-pengaruh Eksternal dalam Lingkungan Pengendalian menurut COSO

External-Influences-of-BusinessPengaruh-pengaruh eksternal yang mempengaruhi lingkungan pengendalian adalah termasuk persyaratan yang dibebankan oleh bursa efek, oleh Financial Accounting Standards Board (FASB), dan oleh Securities and Exchange Commission (SEC).

Termasuk dalam pengaruh eksternal juga persyaratan peraturan lembaga, seperti bank, sarana umum (utility), dan perusahaan asuransi. Termasuk dalam contoh adalah ketentuan pengendalian internal oleh Foreign Corrupt Practices Act yang dibuat oleh SEC, dan audit lembaga keuangan yang dibuat oleh Federal Deposit Insurance Corporation (FDIC).

AKTIVITAS-AKTIVITAS PENGENDALIAN menurut COSO.

Komponen kedua dari model pengendalian internal COSO adalah kegiatan-kegiatan pengendalian, yang merupakan kebijakan dan peraturan yang menyediakan jaminan yang wajar bahwa tujun pengendalian pihak manajemen, dicapai.

coso-urlSecara umum, prosedur-prosedur pengendalian termasuk dalam satu dari lima kategori berikut ini:

  1. Otorisasi transaksi dan kegiatan yang memadai
  2. Pemisahan tugas
  3. Desain dan penggunaan dokumen serta catatan yang memadai
  4. Penjagaan aset dan catatan yang memadai
  5. Pemeriksaan independen atas kinerja

Otorisasi Transaksi dan Kegiatan yang Memadai dalam Aktivitas-aktivitas Pengendalian menurut COSO

Para pegawai melaksanakan tugas dan membuat keputusan yang mempengaruhi asset perusahaan. Oleh karena pihak manajemen kekurangan waktu dan sumber dava untuk melakukan supervisi setiap aktivitas dan keputusan, mereka membuat kebijakan untuk diikuti oleh para pegawai, dan kemudian memberdayakan mereka untuk melaksanakannya.

authorization-urlPemberdayaan ini, yang disebut sebagai otorisasi (authorization), adalah bagian penting dari pengendalian dan prosedur organisasi.

Pemisahan Tugas dalam Aktivitas-aktivitas Pengendalian menurut COSO

Pengendalian internal yang baik mensyaratkan bahwa tidak ada pegawai yang diberi tanggung jawab terlalu banyak.

Seorang pegawai seharusnya tidak berada dalam posisi untuk melakukan penipuan dan menyembunyikan penipuan atau kesalahan yang tidak disengaja. pernisahan tugas yang efektif dicapai ketika fungsi-fungsi berikut ini dipisahkan:

  • Otorisasi-menyetujui transaksi dan keputusan
  • Pencatatan-menpersiapkan dokumen sumber; memelihara catatan jurnaI; buku besar, dan file lainnya; mempersiapkan rekonsiliasi; serta mempersiapkan laporan kinerja.
  • Penyimpanan-menangani kas, memelihara tempat penyimpanan persediaan, menerima cek yang masuk dari pelanggan, menulis cek atas rekening bank organisasi

segregation-of-duties-urlApabila dua dari ketiga fungsi tersebut merupakan tanggung jawab satu orang, maka akan muncul masalah.

Contohnya, bendahara kota Fairfax, Virginia, sebelumnya dihukum atas pencurian sebesar $600.000 dari kekayaan kota. Ketika penduduk menggunakan uang tunai untuk membayar pajak mereka, bendahara tersebut akan menyimpannya.

Dia mencatat penerimaan pajak dalam catatan pajak bangunan, tetapi tidak melaporkannya ke kontroler kota. Kemudian, dia akan membuat jurnal penyesuaian untuk menyesuaikan catatannya dengan catatan kontroler. Ketika bendahara tersebut menerima uang tunai untuk membayar biaya lisensi usaha atau biaya pengadilan, dia mencatat transaksi-transaksi ini ke daftar penerimaan kas dan menyimpan uang tersebut setiap harinya dia mencuri sebagian uang tersebut dan menyembunyikan perbedaan selisih dalam penyimpanan di bank dengan menggunakan cek lain-lain yang diterima melalui surat dan yang tidak akan terlacak ketika cek tersebut tidak dicatat.

Oleh karena bendahara tersebut bertanggungjawab atas penyinipanan tanda terima tunai dan pencatatan atas tanda terima tersebut, dia dapat mencuri tanda terima dan memalsukan akun, untuk menutupi kesalahan.

Contoh Kasus Tidak adanya Pemisahan Tugas(1)

Direktur fasilitas umum di Newport Beach, Kalifornia, yang bertanggung jawab untuk mengotorisasi transaksi dan memiliki fungsi penyimpanan kas, dituntut atas pencurian sebesar $1,2 juta.

Dia memalsukan faktur atau dokumen hak untuk melewati tanah milik seseorang (easement document) dengan mengotorisasi pembayaran ke pemilik fiktif atau as1i. Para pejabat bagian keuangan memberikan cek untuk dikirim ke para pemilik properti tersebut.

Dia memalsukan tanda tangan, mengesahkan cek untuk dirinya sendiri, dan menyimpannya ke dalam rekening miliknya sendiri. Oleh karena dia diberikan wewenang penyimpanan cek secara fisik untuk transaksi-transaksi yang berada dalam otorisasinya, maka dia dapat mengotorisasi transaksi fiktif dan mencuri pembayaran.

Contoh Kasus Tidak adanya Pemisahan Tugas(2)

Direktur bagian penggajian Los Angeles Didgers, yang bertanggung jawab baik atas fungsi otorisasi maupun pencatan, diputuskan bersalah atas pencurian sebesar $330.000 dari tim tersebut.

Dia mengkredit para pegawai untuk jam-jam mereka tidak bekerja, dan kemudian menerima pengembalian sebesar 50 persen dari kompensasi ekstra mereka. Dia juga menambahkan nama fiktif dalam sistem penggajian Dodgers, dan menguangkan cek pembayarannya.

Penipuan ini ditemukan saat direktur bagian penggajian tersebut jatuh sakit dan digantikan oleh pegawai lainnya. Oleh karena penipu tersebut bertanggung jawab untuk mengotorisasi pengontrakkan pegawai dan pencatatan jam kerja pegawai, dia tidak perlu mempersiapkan atau menangani cek pembayaran sesungguhnya. Bendahara klub tersebut hanya akan mengirim cek-cek tersebut ke alamat yang disebutkan oleh direktur bagian penggajian.

Pemisahan Tugas dalam Sistem Informasi berbasis Komputer

Di dalam sistem informasi yang modern, komputer sering kali dapat diprogram untuk melaksanakan satu atau lebih funsgi-fungsi yang telah disebutkan sebelumnya intinya, mengganti pegawai.

separation of dutiesPrinsip pemisahan tugas tetaplah sama; satu-satunya perbedaan adalah komputer, bukan manusia, yang melaksanakan fungsi tersebut. Contohnya, banyak pompa bensin yang sekarang dilengkapi dengan pompa yang memungkinkan pelanggan memasukkan kartu kredit untuk membayar bensin yang dibelinya.

Di dalam kasus semacam ini, fungsi penyimpanan “kas” dan pencatatan dilaksanakan oleh komputer. Sebagai tambahan atas perbaikan pengendalian internal, mesin-mesin ini benar-benar memperbaiki proses pelayanan pada pelanggan dengan cara meningkatkan kenyamanan dan menghilangkan antrian untuk membayar bensin.

Kolusi menyulitkan manfaat Pemisahan Tugas.

Di dalam sebuah sistem yang memasukkan pemisahan tugas secara efektif, mcrupakan hal yang sulit bagi seorang pegawai untuk melakukan pencurian.

Mendeteksi penipuan yang melibatkan dua atau lebih pegawai yang berkolusi untuk melanggar pengendalian, merupakan ha1 yang lebih sulit.

collusion-81397_logoContohnya, dua orang wanita yang dipekerjakan oleh sebuah perusahaan kartu kredit, berkolusi untuk mencuri dana. Salah seorang dari mereka diberikan otorisasi untuk membuat rekening atas kartu kredit, sementara lainnya memiliki otorisasi untuk menghapns rekening tak tertagih dengan jumlah kurang dari S1.000.

Wanita pertama membuat rekening baru untuk mereka berdua dengan menggunakan data fiktif. Ketika jumlah yang belum dibayar mendekati batas $ 1.000, wanita yang bekerja di bagian penagihan akan menghapusnya. Wanita pertama kemudian akan membuat dua kartu baru lagi, dan proses selanjutnya akan berulang. Kedua wanita tersebut tertangkap ketika salah satu bekas pacar mereka membalas dendam; dia menelepon perusahaan kartu kredit dan mengungkapkan skema penipuan tersebut.

Desain dan Penggunaan Dokumen serta Catatan yang Memadai dalam Aktivitas-aktivitas Pengendalian menurut COSO

Desain dan penggunaan catatan yang memadai membantu untuk memastikan pencatatan yang akurat dan lengkap atas seluruh data traksaksi yang berkaitan. Bentuk dan isinya harus dijaga agar tetap sesederhana mungkin untuk mendukung pencatatan yang efisien, meminimalkan kesalahan pencatatan, dan memfasilitasi peninjauan serta verifikasi.

documents-urlDokumen-dokumen yang mengawali sebuah transaksi harus memiliki ruang untuk otorisasi. Dokumen-dokumen yang dipergunakan untuk memindahkan aset ke orang lain, harus memiliki ruang untuk tanda tangan pihak penerima aset.

Dalam rangka mengurangi kesempatan penggunaan dokumen untuk penipuan, dokumen harus diberikan nomor urut yang telah dicetak lebih dahulu, agar setiap dokumen dapat dipertanggungjawabkan.

Jejak audit yang baik memfasilitasi pelacakan ke setiap transaksi melalui sistem, perbaikan kesalahan, dan verifikasi output sistem.

Penjagaan Aset dan Pencatatan yang Memadai dalam Aktivitas-aktivitas Pengendalian menurut COSO

Ketika orang berpikir tentang penjagaan aset, mereka sering kali berpikir tentang kas dan aset fisik, seperti persediaan dan perlengkapan. Akan tetapi, di masa sekarang ini, salah satu aset terpenting perusahaan adalah informasi. Oleh sebab itu, harus diambil langkah-¬langkah untuk menjaga baik aset berupa informasi maupun fisik.

Prosedur-prosedur berikut ini menjaga aset pencurian, penggunaan tanpa otorisasi, dan vandalisme:Asset-Guardian-Solutions-Logo-Transparent-Background-Tiny

  • Mensupervisi dan memisahkan tugas secara efektif.
  • Memelihara catatan aset, termasuk informasi, secara akurat
  • Membatasi akses secara fisik ke aset (mesin kas, lemari besi, kotak uang, dan akses terbatas ke safe deposit box kas, sekuritas, dan aset dalam bentuk surat-surat berharga. Area penyimpanan yang terlarang, dipergunakan untuk melindungi persediaan. Contohnya, lebih dari $1 juta dicuri dari Perini Corp. karena pengendalian yang buruk. Cek-cek kosong disimpan dalam ruang penyimpanan yang tidak dikunci. Pegawai hanya perlu mengambil cek, membuat pembayaran untuk vendor fiktif, dan memasukkannya ke dalam mesin penandatangan cek yang juga tidak diletakkan dalam ruangan terkunci, kemudian menguangkan cek tersebut).
  • Melindungi catatan dan dokumen (area penyimpanan tahan api, kabinet file yang terkunci, dan lokasi pendukung di luar kantor, merupakan cara yang efektif untuk melindungi catatan dan dokumen. Akses ke cek kosong serta dokumen harus dibatasi hanya untuk personil yang memiliki otorisasi. Di Inglewood, Kalifornia, seorang pembersih kantor dituntut karena mencuri 34 cek kosong ketika membersihkan kantor bagian keuangan kota. Dia memalsukan tanda tangan para pejabat kota di cek-cek tersebut, dan menguangkannya dalam jumlah yang berkisar antara $50.000 hingga $470.000).
  • Mengendalikan lingkungan (Perlengkapan komputer yang sensitif harus diletakkan dalam ruangan yang memiliki alat pendingin dan perlindungan dari api, yang memadai. Ruangan tersebut harus ditinggikan dan diperkuat untuk menghindari banjir dan kejatuhan benda lainnya).
  • Pembatasan akses ke ruang komputer, file komputer, dan informasi

Pemeriksaan Independen atas Kinerja dalam Aktivitas-aktivitas Pengendalian menurut COSO

Pemeriksaan internal untuk memastikan bahwa seluruh transaksi diproses secara akurat adalah elemen pengendalian lainnya yang penting.

independent-check-urlPemeriksaan ini harus independen, karena pemeriksaan umumnya akan lebih efektif apabila dilaksanakan oleh orang lain yang tidak bertanggung jawab atas jalannya operasi yang diperiksa. Berbagai jenis pemeriksaan independen diuraikan dibawah ini:

  • Rekonsiliasi dua rangkaian catatan yang dipelihara secara terpisah
  • Perbandingan jumlah aktual dengan yang dicatat
  • Pembukuan berpasangan
  • Jumlah total batch
  • Peninjauan Independen

Rekonsiliasi dua rangkaian catatan yang dipelihara secara terpisah dalam Pemeriksaan Independen atas Kinerja

Salah satu cara untuk memeriksa keakuratan dan kelengkapan catatan adalah rnerekonsiliasi catatan tersebut dengan catatan lainnya yang seharusnya memiliki saldo yang sama.

account-reconciliation-urlContohnya, rekonsiliasi bank memverifikasi bahwa akun pemeriksa telah sesuai dengan laporan bank. Contoh Iainnya adalah membandingkan jumlah total dalam buku pembantu piutang usaha dengan total akun piutang usaha dalam buku besar.

Perbandingan jumlah aktual dengan yang dicatat dalam Pemeriksaan Independen atas Kinerja

Kas dalam laci mesin kas pada akhir pergantian staf administrasi, harus sama jumlahnya dengan jumlah yang dicatat dalam pita mesin kas.

actual_logo_webSeluruh persediaan harus dihitung paling tidak per tahun, dan hasilnya dibandingkan dengan catatan persediaan. Barang-barang yang berharga, seperti perhiasan atau pakaian bulu binatang, harus lebih sering dihitung.

Pembukuan berpasangan dalam Pemeriksaan Independen atas Kinerja

Credit_Debit_PicPepatah yang menyatakan bahwa debit harus sama dengan kredit memberikan kesempatan besar untuk pemeriksaan internal.

Contobnya, debit dalam akun penggajian mungkin dialokasikan ke berbagai persediaan dan/atau akun beban, oieh dcpartemen akuntansi biaya. Kredit dialokasikan kebeberapa akun kewajiban untuk utang upah dan gaji.

double_entry_journalSebagai kesimpulan dari kedua operasi yang kompleks ini, perbandingan jumlah total debit dengan jumlah total kredit merupakan pemeriksaan yang memadai atas keakuratan kedua proses tersebut. Perbedaan selisih apa pun menunjukkan adanya satu atau lebih kesalahan.

Jumlah total batch dalam Pemeriksaan Independen atas Kinerja

batch_process_before1Di dalam aplikasi pemrosesan secara batch, dokumen sumber digabungkan dalam kelompok dan jumlah total batch (yang juga disebut sebagai jumlah total kontrol), dan secara manual dihitung sebelum data sumber dimasukkan ke dalam sistem.

Sementara data diproses, jumlah total kontrol harus dihasilkan dalam tiap langkah pemrosesan. Seorang pegawai yang tidak terlibat untuk mempersiapkan jumlah total batch asli tersebut, harus membandingkan kedua jumlah total batch.

Apabila tidak dilakukan, seseorang yang menghasilkan jumlah total asli dan merekonsiliasi dua rangkaian jumlah total tersebut, dapat dengan mudah menyembunyikan kesalahan atau transaksi yang curang. Selisih antara kedua jumlah total batch menunjukkan kesalahan dalam langkah pemrosesan sebelumnya.

Contohnya meliputi catatan yang hilang, catatan yang tidak diotorisasi ditambahkan ke dalam batch, atau kesalahan transkripsi atau pemrosesan data.

Sebab keberadaan selisih harus diidentifikasi, dan kesalahan harus diperbaiki sebelum transaksi diproses lebih jauh. Membatasi ukuran Eatch (seperti 50 catatan saja) akan mengurangi waktu yang dibutuhkan untmk menemukan penyebab setiap selisih tersebut.

total-control-urlTerdapat lima jumlah total batch yang dipergunakan dalam sistem komputer, yaitu:

  1. Jumlah total keuangan (financial total) adalah jumlah dalam field nilai uang, seperti jumlah total penjualan atau penerimaan tunai.
  2. Jumlah total lain-lain (hash total) adalah jumlah field yang biasanya tidak ditambahkan, seperti jumlah nomor rekening pelanggan atau nomor identifikasi pegawai.
  3. Jumlah catatan (record count) adalah jumlah dokumen yang diproses.
  4. Jumlah baris (line record) adalah jumlah baris data yang dimasukkan. Contohnya, jumlah baris adalah lima apabila pesanan penjualan memperlihatkan penjualan lima produk berbeda ke seorang pelanggan.
  5. Uji kesesuaian baris dan kolom (cross footing balance test). Banyak lembar kerja yang memiliki jumlah total baris dan kolom. Uji ini akan membandingkan jumlah total dari setiap jumlah dalam baris, dengan jurnlah total dari setiap jumlah dalam kolom, untuk memeriksa apakah jumlah mereka sama.

Ilustrasi Penggunaan Jumlah Total batch

Usaha rumahan milik Sarah Robinson di Springville, Utah, akan dipergunakan untuk mengilustrasikan penggunaan jurnlah total batch dalam rangka mencegah kesalahan pencatatan dan akuntansi.batch-control

  1. Ketika Sarah menerima cek lewat surat, dia mempersiapkan daftar tanda terima yang memperlihatkan nama pelanggan dan jumlah yang diterima, menghitung jumlah total batch (jumlah total uang dari seluruh cek), menuliskannya ke dalam daftar tanda terima, dan mempersiapkan slip penyimpanan.
  2. Setelah dia menyimpan cek-cek tersebut, Sarah membandingkan kopi slip penyimpanan yang telah divalidasi bank, dengan jumlah total batch miliknya dalam daftar tanda terima.
  3. Berdasarkan kopi dari daftar tanda terima Sarah, akuntan yang disewa Sarah akan memasukkan kredit ke rekening pelanggan terkait, dan memperbarui setiap saldo rekening pelanggan. Akuntan tersebut menghitung jumlah total saldo dalam file piutang usaha, menetapkan perbedaan antara jumlah total yang lama dan baru dalam file, serta memverifikasi bahwa perbedaan tersebut sesuai dengan jumlah total batch Sarah. Perbandingan ini berlaku sebagai pemeriksaan independen atas keakuratan memasukkan tanda terima ke dalam rekening pelanggan.
  4. Akuntan Sarah kemudian mempersiapkan ikhtisar ayat jurnal dan mema¬sukkannya ke buku besar, serta sekali lagi memverifikasi bahwa jumlah entri sama dengan jumlah total batch Sarah.

Keakuratan setiap langkah pemrosesan dapat dideteksi dengan Jumlah Total Batch.

Jumlah total batch menyediakan pemeriksaan independen atas keakuratan setiap langkah pemrosesan. Apabila sebuah selisih ditemukan, perbedaan antara jumlah total batch sering kali memberikan petunjuk tentang letak terjadinya kesalahan.

Contohnya, apabila perbedaan tersebut sama dengan jumlah suatu transaksi, maka transaksi tersebut mungkin yang terlewat. Apabila perbedaan tersebut jumlahnya kelipatan dari jumlah suatu transaksi, maka transaksi tersebut telah salah didebit, sementara seharusnya dikredit (ditambahkan, bukan dikurangi).

accurate-is-zillowApabila selisih melibatkan angka bukan nol, mungkin terdapat kesalahan transkripsi (transcription error), yang memasukkan sebuah angka dengan tidak benar, dalam suatu langkah pemrosesan (contoh memasukkan angka 94 sebagai ganti 54, menyebabkan kesalahan sebesar 50). Apabila selisih tersebut dapat dibagi dengan angka 9, maka penyebabnya adalah kesalahan perubahan (transposition change), yaitu dua angka yang terletak berdekatan tertukar (contoh 46 sebagai ganti 64).

Contoh Kesalahan yang dapat timbul tanpa Jumlah Total Batch

Kesalahan yang sederhana dapat memiliki dampak keuangan yang besar.

computer-errorContohnya, kesalahan perubahan hampir membebani U.S. Treasury sebesar $14 juta. Seorang staf administrasi di Federal Reserve Bank of Philadelphia mengubah dua angka ketika menghitung bunga obligasi pemerintah berjangka waktu 5 tahun, yang baru diterbitkan. Operator komputer salah memasukkan tingkat bunga menjadi sebesar 8,67 persen, bukan 6,87 persen.

Untungnya, seorang investor mendeteksi kesalahan tersebut ketika dia menerima surat pemberitahuan jumlah yang dibayar. Pihak bank kemudian dapat memperbaiki kesalahan sebelum cek dikeluarkan dan dikirim.

Bank tersebut segera mengimplementasikan prosedur pengendalian baru untuk memastikan bahwa masalah tersebut tidak akan terjadi lagi.

Peninjauan Independen dalam Pemeriksaan Independen atas Kinerja

independentSetelah seseorang memproses sebuah transaksi, orang kedua kadang kala meninjau pekerjaan orang pertama. Orang kedua memeriksa keberadaan tanda tangan otorisasi yang memadai, meninjau dokumen pendukung, dan memeriksa keakuratan bagian data yang penting, seperti harga, jumlah, dan pemberian kredit.

Penilaian Resiko menurut COSO

Komponen ketiga dari model pengendalian internal COSO adalah penilaian risiko. Akuntan memainkan peran yang penting dalam membantu manajemen mengontrol bisnis dengan mendesain sistem pengendalian yang efektif, dan mengevaluasi sistem yang ada untuk memastikan bahwa sistem tersebut berjalan dengan efektif.

Akuntan dapat mengevaluasi sistem pengendalian internal dengan menggunakan strategi manajemen risiko yang ditampilkan pada Gambar dibawah ini.

gambar-7-10002-a
Langkah-langkah utama dari strategi tersebut adalah sebagai berikut:

  • Identifikasi Ancaman
  • Perkirakan Risiko
  • Perkirakan Pajanan/dampak (Exposure)
  • Identifikasi Pengendalian
  • Perkirakan Biaya dan Manfaat
  • Menetapkan Efektivitas Biaya-Manfaat (Cost-Benefit Effectiveness)

Identifikasi Ancaman dalam Penilaian Resiko menurut COSO

Identifikasi Ancaman
Perusahaan rnenghadapi jenis-jenis ancaman berikut ini:

  • Strategis (contoh: melakukan hal yang salah)
  • Operasional (contoh: melakukan hal yang benar, tetapi dengan cara yang salah)
  • Keuangan (contoh: adanya kerugian sumber daya keuangan, pemborosan, pencurian atau pembuatan kewajiban yang tidak tepat)
  • Informasi (contoh: menerima informasi yang salah atau tidak relevan, sistem yang tidak andal, dan laporan yang tidak benar atau menyesatkan)

edi-urlContohnya, banyak organisasi yang menerapkan sistem pertukaran data elektronik (electronic data interchange-EDI) yang menyediakan komunikasi instan dan tidak menggunakan dokumen kertas. Sistem EDI membuat mereka dapat menciptakan dokumen clektronik, mentransfernya melalui jaringan kerja internal atau melalui Internet, ke komputer pelanggan atau pemasok mereka, dan sebaliknya juga menerima respons elektronik.

Perusahaan yang menerapkan sistem EDI barus mengidentifikasi ancaman-ancaman yang akan dihadapi olch sistem tersebut, yaitu:

  1. Pemilihan teknologi yang tidak sesuai. Perusahaan mungkin pindah ke EDI sebelum pelanggan dan pemasok mereka siap. Perusahaan juga dapat memilih untuk menggunakan EDI ketika ada sarana komunikasi yang lebih efektif dengan pelanggan dan pemasok secara elektronik.
  2. Akses sistem yang tidak diotorisasi. Hackers (perusak program komputer) dapat menerobos sistem dan mencuri data atau menyabot sistem.
  3. Penyadapan transmisi data. Hacker dapat menyadap transmisi data dan mengkopi transmisi, mengacaukannya, atau menghalanginya untuk sampai ke tempat tujuan.
  4. Hilangnya integritas data. Kesalahan mungkin masuk ke data karena kesalahan yang ditimbulkan oleh software atau pegawai, masukan yang salah, transmisi yang gagal, dan lain-lain.
  5. Transaksi yang tidak lengkap. Komputer penerima mungkin tidak menerima paket data yang lengkap dari komputer pengirim.
  6. Kegagalan sistem. Masalah software dan hardware, pemadaman listrik, sabotase, kesalahan pegawai, atau faktor-faktor lainnya, dapat menyebabkan sistem EDI gagal atau tidak dapat diakses pada waktu tertentu.
  7. Sistem yang tidak kompatibel. Beberapa perusahaan dapat mengalami kesulitan berinteraksi dengan sistem yang lain karena sistem komputer yang tidak kompatibel.

Perkirakan Resiko dalam Penilaian Resiko menurut COSO

Perkirakan Risiko.
risk-comp-urlBeberapa ancaman menunjukkan risiko yang lebih besar karena probabilitas kemunculannya lebih besar.

Misalnya: perusahaan lebih mungkin menjadi korban penipuan komputer daripada serangan teroris, dan pegawai lebih mungkin melakukan kesalahan yang tidak disengaja daripada melakukan tindakan penipuan secara sengaja.

Perkirakan Pajanan/dampak (Exposure) dalam Penilaian Resiko menurut COSO

Perkirakan Pajanan/dampak (Exposure).
KONICA MINOLTA DIGITAL CAMERARisiko gempa bumi mungkin kecil, tetapi pajanan/dampaknya dapat sangat besar; gempa dapat menghancurkan perusahaan dan menyebabkan kebangkrutan.

exposurePajanan/dampak dari penipuan biasanya tidak sebesar itu, karena kebanyakan penipuan tidak mengancam keberadaan perusahaan. Pajanan/dampak dari kesalahan yang tidak disengaja memiliki jangkauan pengaruh yang luas, tergantung bentuk kesalahan dan berapa lama terjadinya.

Risiko dan pajanan/dampak harus diperhitungkan bersama-sama, karena apabila salah satu meningkat, maka baik materialitas ancaman maupun kebutuhan untuk melindunginya, akan meningkat.