Menurut commitee of sponsoring organization (COSO) pengertian pengendalian internal dalam buku Sistem Informasi Akuntansi (Romney:230) adalah :

Transkripsi

1 5 Komponen Sistem Pengendalian Internal Menurut COSO Menurut commitee of sponsoring organization (COSO) pengertian pengendalian internal dalam buku Sistem Informasi Akuntansi (Romney:230) adalah : Suatu proses yang diimplementasikan oleh dewan komisaris, pihak manajemen, dan mereka yang berada dibawah arahan keduanya, untuk memberikan jaminan yang wajar bahwa tujuan pengendalian dicapai dengan pertimbangan hal-hal sebagai berikut : 1) efektivitas dan efisiensi operasional organisasi, 2) keandalan pelaporan keuangan, 3) kesesuaian dengan hukum dan peraturan yang berlaku. Pengendalian internal terdiri dari 5 (lima) komponen yang saling berhubungan. Komponen ini didapat dari cara manajemen menjalankan bisnisnya, dan terintegrasi dengan proses manajemen. Walaupun komponen-komponen tersebut dapat diterapkan kepada semua entitas, perusahaan yang kecil dan menengah dapat menerapkannya berbeda dengan perusahaan besar. Dalam hal ini pengendalian dapat tidak terlalu formal dan tidak terlalu terstruktur, namun pengendalian internal tetap dapat berjalan dengan efektif. Adapun 5 (lima) komponen Pengendalian internal tersebut adalah : 1.Control Environment ( Lingkungan pengendalian) Lingkungan pengendalian memberikan nada pada suatu organisasi, mempengaruhi kesadaran pengendalian dari para anggotanya. Lingkungan pengendalian merupakan dasar bagi komponen Pengendalian Internal lainnya, memberikan disiplin dan struktur. Faktor lingkungan pengendalian termasuk : Integritas, nilai etika dan kemampuan orang-orang dalam entitas; Filosofi manajemen dan Gaya Operasi; Cara Manajemen untuk menentukan wewenang dan tanggung jawab, mengorganisasikan dan mengembangkan orang-orangnya; dan Kebijakan dan praktek sumber daya manusia Perhatian dan arahan yang diberikan dewan direksi. 2.Risk Assesment (penilaian risiko) Seluruh entitas menghadapi berbagai macam resiko dari luar dan dalam yang harus ditaksir. Prasyarat dari Risk Assessment adalah penegakan tujuan, yang terhubung antara tingkatan yang berbeda, dan konsisten secara internal. Risk Assessment adalah proses mengidentifikasi dan menganalisis resikoresiko yang relevan dalam pencapaian tujuan, membentuk sebuah basis untuk menentukan bagaimana resiko dapat diatur. Karena kondisi ekonomi, industri, regulasi, dan operasi selalu berubah, maka diperlukan mekanisme untuk mengidentifikasi dan menghadapi resiko-resiko spesial terkait dengan perubahan tersebut.

2 3.Control Activities (aktivitas pngendalian ) Control Activities adalah kebijakan dan prosedur membantu meyakinkan manajemen bahwa arahannya telah dijalankan. Control Activities membantu meyakinkan bahwa tindakan yang diperlukan telah diambil dalam menghadapi resiko sehingga tujuan entitas dapat tercapai. Control Activities terjadi pada seluruh organisasi, pada seluruh level, dan seluruh fungsi. Control activities termasuk berbagai kegiatan yang berbeda-beda, seperti : Penyetujuan (Approvals) Otorisasi (Authorization) Verifikasi (Verifications) Rekonsiliasi (Reconciliations) Review terhadap performa operasi (Reviews of Operating Performance) Keamanan terhadap Aset (Security of Assets) Pemisahan tugas (Segregation of duties) Pengendalian terhadap sistem informasi meliputi dua cara: 1.General controls, mencakup kontrol terhadap akses, perangkat lunak, dan system development. 2.Application controls, mencakup pencegahan dan deteksi transaksi yang tidak terototrisasi. Berfungsi untuk menjamin completeness,accuray,authorization and validity dari proses transaksi. 4. Information and Communication (informasi dan komunikasi) Informasi yang bersangkutan harus diidentifikasi, tergambar dan terkomunikasi dalam sebuah form dan timeframe yang memungkinkan orang-orang menjalankan tanggung jawabnya. Sistem informasi menghasilkan laporan, yang berisi informasi operasional, finansial, dan terpenuhinya keperluan sistem, yang membuatnya mungkin untuk menjalankan dan mengendalikan bisnis. Informasi dan Komunikasi tidak hanya menghadapi data-data yang dihasilkan internal, tetapi juga kejadian eksternal, kegiatan dan kondisi yang diperlukan untuk memberikan informasi dalam rangka pembuatan keputusan bisnis dan laporan eksternal. Komunikasi yang efektif juga harus terjadi dalam hal yang lebih luas, mengalir ke bawah, ke samping dan ke atas organisasi. Seluruh personel harus menerima dengan jelas pesan dari manajemen teratas bahwa pengendalian tanggung jawab diambil dengan serius. Para personel harus mengerti peran mereka dalam sistem pengendalian internal, sebagaimana mereka mengerti bahwa kegiatan individu mereka berhubungan dengan pekerjaan orang lain. Mereka harus memiliki niat untuk mengkomunikasikan informasi yang signifikan kepada atasannya. Selain itu juga dibutuhkan komunikasi efektif dengan pihak eksternal, seperti customer, supplier, regulator, dan Pemegang Saham. 5.Monitoring (pemantauan) Sistem pengendalian internal perlu diawasi, sebuah proses untuk menentukan kualitas performa sistem dari waktu ke waktu. Proses ini terselesaikan melalui kegiatan pengawasan yang berkesinambungan, evaluasi yang terpisah atau kombinasi dari keduanya. Kegiatan ini termasuk manajemen dan supervisi yang reguler, dan kegiatan lainnya yang dilakukan personel dalam menjalankan tugasnya. Luas dan frekuensi evaluasi terpisah, akan tergantung pada terutama penaksiran resiko dan efektifnya prosedur monitoring yang sedang berlangsung. Ketergantungan sistem pengendalian harus dilaporkan kepada atasan, dengan masalah yang serius juga dilaporkan kepada manajemen teratas dan dewan direksi. Yang merupakan Soft Control sebagai berikut:

3 1.Lingkungan pengendalian (Control Environment) 2.Penilaian resiko (Risk Assesment) Yang merupakan Hard Control sebagai berikut: 1.Aktivitas pengendalian (Control Activities) 2.Informasi dan komunikasi (Information and Communication) 3.Pemantaun (monitoring) Physical Control Transaction Authorization : Merupakan kontrol untuk memastikan bahwa semua transaksi yang diproses oleh sistem informasi adalah valid atau sesuai dengan tujuan pihak manajemen. Segregation of Duties : Salah satu aktivitas pengendalian yang paling penting yaitu pemisahan tugas karyawan untuk meminimalkan fungsi yang tidak boleh disatukan. Pemisahan tugas dapat berupa berbagai bentuk, tergantung pada kewajiban yang akan di kendalikan. Supervision : Proses dalam menetapkan ukuran kinerja dan pengambilan tindakan yang dapat mendukung pencapaian hasil yang diharapkan sesuai dengan kinerja yang telah ditetapkan tersebut. Accounting Records : Merupakan dokument sumber, Jurnal dan Buku besar. Access Control : Aktifitas untuk memastikan bahwa personel yang sah saja yang memiliki akses ke aktiva perusahaan. Independent Verification : Pemeriksaan independen sistem akuntansi untuk mengidentifikasi kesalahan. 1) IT Controls IT controls berkaitan dengan pengendalian menggunakan teknologi komputer. IT controls dibagi menjadi 2 tipe yaitu : > Pegendalian Umum (General Controls) Tujuan dari pengendalian umum adalah untuk mengendalikan pengembangan program, perubahan program, operasi komputer, dan untuk mengamankan akses terhadap data dan program. > Pengendalian Aplikasi (Application Controls) Pengendalian aplikasi didesain untuk memastikan kelengkapan dan akurasi pemrosesan transaksi, otorisasi, dan validasi. Dalam banyak kasus, pengecekan komputer dapat mencegah terjadinya kesalahan dan mendeteksi serta mengkoreksi kesalahan. Tiga kelompok pengendalian aplikasi yang dikenal secara luas : -Pengendalian masukan Pengendalian masukan mempunyai tugas untuk meyakinkan bahwa data transaksi yang valid telah lengkap, terkumpul semuanya serta bebas dari kesalahan sebelum dilakukan proses pengolahan. -Pengendalian pemrosesan

4 Tujuan dari pengendalian pengolahan ini adalah ntuk mencegah kesalahan-kesalahan yang terjadi selama proses pengolahan data yang dilakukan setelah data dimasukan ke komputer. -Pengendalian keluaran Keluaran yang dihasilkan oleh sistem informasi harus lengkap, terpercaya dan di sampaikan kepada pemakai yang berkepentingan. Pengendalian-pengendalian tersebut dirancang untuk menyediakan keyakinan yang memadai bahwa pencatatan, pemrosesan, dan pelaporan data oleh teknologi informasi secara tepat dilaksanakan untuk aplikasi tertentu. 2) Pengendalian fisik (Physical Controls) 6 tipe pengendalian secara fisik yaitu : a. Otorisasi transaksi Otorisasi transaksi digunakan untuk meyakinkan bahwa karyawan hanya mengeluarkan transaksi yang memang sudah diotorisasi. b. Pembagian tugas Dalam pengendalian internal, pengendalian fisik dapat dilakukan secara manual, yaitu dengan pembagian tanggung jawab pelaksanaan suatu transaksi ke tangan beberapa orang atau departemen.atau dapat juga dilakukan dalam sistem komputer. c. Supervisi Pengendalian penyeimbang dari ketidakberadaan pengendalian pemisahan pada operasi perusahaan kecil atau dalam berbagai area fungsional yang kekurangan personel. d. Pencatatan akuntansi Perusahaan terdiri dari berbagai dokumen sumber, jurnal, dan buku besar yang menagkap esensi ekonomi dari berbagai transaksi dan menyediakan jejak audit berbagai peristiwa ekonomi. e. Akses kontrol Akses kontrol membantu untuk mengamankan aset dengan membatasi akses ke aset tersebut. Tujuannya adalah untuk memastikan bahwa hanya personel yang sah saja yang memiliki akses ke aktivitas perusahaan. f. Independent Verification Melalui prosedur verifikasi independen, pihak manajemen dapat mengakses : - Kinerja individu - Integritas sistem pemrosesan transaksi - Kebenaran data yang terdapat dalam catatan akuntansi

5 Pencegahan Computer Fraud Salah satu cara untuk mencegah timbulnya computer fraud adalah dengan merancang sebuah sistem yang dilengkapi dengan internal control yang cukup memadai sehingga computer fraud sukar dilakukan oleh pihak luar maupun orang dalam perusahaan. Selain itu manajemen perusahaan harus memiliki komitmen untuk selalu meningkatkan budaya integritas (culture of integrity). Mengingat computer fraud dewasa ini semakin meningkat, metode dan cara untuk melindungi perusahaan dari computer fraud masih sangat terbatas, secara hukum Indonesia belum ada cyber law yang dapat dijadikan payung bagi petugas polisi dan aparat terkait lainnya untuk bertindak dan saat ini masih menggunakan KUHP umum. Berikut beberapa cara perlindungan yang dapat dilakukan oleh organisasi / perusahaan untuk melindungi / mencegah timbulnya computer fraud, yaitu: Personnel screening. Definisi pekerjaan (job defined). Pemisahan tugas (segregration of duties). Etika profesional (professional ethics) Lisensi (license) System design control Physical access security Electronic access security. Internal control and edit. Computer fraud harus dicegah sebelum terjadi, merupakan tanggung jawab manajemen untuk menciptakan lingkungan yang kondusif sehingga dapat mencegah terjadinya computer fraud. Pendeteksian fraud oleh Internal Auditor Pada awalnya perhatian utama internal auditor adalah langsung mendeteksi terjadinya computer fraud. Namun fungsi internal auditor ternyata lebih bersifat protektif dan detektif daripada konstruktif. Berdasarkan Statement on Internal Auditing Standards (SIAS) No.3 dijelaskan 4 (empat) fungsi dan tanggung jawab dari internal auditor dalam menghadapi fraud, yaitu : Pencegahan computer fraud Tanggung jawab utama pencegahan computer fraud berada pada pihak manajemen. Tanggung jawab internal auditor terletak pada audit dan evaluasi kelengkapan dan keefektifan tindakan yang dijalankan managemen untuk memenuhi kewajibannya Pendeteksian computer fraud Internal auditor harus memiliki pengetahuan yang cukup tentang computer fraud untuk dapat melakukan identifikasi indikasi computer fraud. Apabila pengendalian (control) terhadap kelemahan yang signifikan telah dideteksi, sebagai pengujian lanjutan (substantive test) internal auditor harus menambahkan pengujian langsung (direct test) terhadap identifikasi dan indikator computer fraud. Meskipun prosedur audit serta kemahiran jabatan professional (due professional care) dari internal auditor telah dilakukan dengan baik belum tentu dapat menjamin sepenuhnya computer fraud dapat dideteksi. Penginvestigasian computer fraud Investigasi terhadap computer fraud mungkin telah diarahkan atau telah ada partisipasi dari internal auditor, lawyer, investigators, security personnel, dan spesialis lainnya dari dalam maupun luar perusahaan. Internal auditor harus dapat mengakses fakta dari seluruh computer fraud investigation, sebagai berikut : Menjelaskan kebutuhan pengendalian (control) yang harus diimplementasikan. Merancang pengujian audit (design audit test) untuk membantu pengungkapan adanya computer fraud di masa yang akan datang. Membantu dokumentasi tanggung jawab internal auditor dalam pengembangan pengetahuan (knowledge) tentang computer fraud, sehingga dapat digunakan sebagai pedoman / acuan oleh para auditor berikutnya.

6 Pelaporan computer fraud. Pelaporan (report) tentang computer fraud harus dibuat berdasarkan kesimpulan dari setiap tahapan / fase investigasi. Selain itu, harus melaporkan seluruh temuan (finding), kesimpulan, rekomendasi, dan tindak lanjut (feed back) perbaikan yang telah diambil. Apabila internal auditor menemukan indikasidan mencurigai terjadinya computer fraud di perusahaan, maka ia harus segera memberitahukan hal tersebut kepada top manajemen. Apabila indikasi tersebut cukup kuat, manajemen akan menugaskan suatu tim audit untuk melakukan investigasi. Tim yang ditugaskan tersebut biasanya yang memiliki keahlian dibidang Sistem Informasi (computer skill). Sertifikat internasional bagi auditor yang lulus ujian sertifikasi spesialisasi bidang audit sistem informasi adalah Certified Information System Audit (CISA). Peran internal auditor untuk menemukan indikasi adanya computer fraud dan melakukan investigasi terhadap computer fraud adalah sangat besar. Walaupun internal auditor tidak dapat menjamin bahwa computer fraud tidak akan terjadi, namun ia harus menggunakan kemahiran jabatannya (due professional care) dan dapat memberikan saran / rekomendasi yang bermanfaat kepada manajemen untuk mencegah terjadinya computer fraud. Rekomendasi internal audit tersebut akan membantu manajemen dalam mengambil tindakan perbaikan sehingga kemungkinan terjadinya computer fraud dapat diperkecil. Pendeteksian fraud oleh Auditor Independen Accounting Standard Board telah menerbitkan Statement on Auditing Standard (SAS) No. 99 Consideration of Fraud in a Financial Statement Audit dan mulai diberlakukan efektif untuk audit laporan keuangan setelah tanggal 15 Desember 2002, penerapan lebih awal sangat dianjurkan. SAS No. 99, menyatakan Auditor bertanggungjawab untuk merencanakan dan melaksanakan audit guna mendapatkan keyakinan memadai (reasonable assurance) bahwa laporan keuangan bebas dari salah saji material, baik yang disebabkan oleh kekeliruan (error) maupun kecurangan (fraud). Dua tipe salah saji (misstatements) yang relevan dengan tanggung jawab auditor, yaitu salah saji yang diakibatkan oleh fraudulent financial reporting dan salah saji yang diakibatkan oleh penyalahgunaan asset (misappropriation of assets). SAS No. 99 menegaskan agar auditor independen memiliki integritas serta menggunakan kemahiran professional (professional skepticism) melalui penilaian secara kritis (critical assessment) terhadap bukti audit (audit evidence) yang dikumpulkan. Selain itu, International Standard on Auditing (ISA) 240, The Auditor s Responsibility to Consider Fraud in an Audit of Financial Statements, yang berlaku efektif untuk audit laporan keuangan periode mulai 15 Desember 2004, juga menyatakan bahwa auditor independen harus menggunakan Computer Assisted Audit Techniques (CAAT) untuk memperoleh bukti (evidence) yang signifikan terkait accounts /electronic transaction files. Profesi akuntan publik (auditor independen) memiliki tangggung jawab yang sangat besar dalam mengemban kepercayaan yang diberikan kepadanya oleh masyarakat (publik). Seperti halnya internal auditor, maka auditor independen (Akuntan Publik) untuk dapat mencegah, mendeteksi dan melakukan investigasi adanya computer fraud terutama yang terkait dengan Fraudulent financial reporting, maka perlu menggunakan keahlian di bidang audit sistem informasi atau EDP audit.