SISTEM INFORMASI AKUNTANSI -Accounting Information system Marshall B. Romney Paul John Steinbart George H. Bodnar William S. Hopwood
Materi 7 PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI
Tujuan Pembelajaran Setelah mempelajari bab ini, Anda diharapkan dapat: Menguasai konsep dan prinsip tentang: a. Manajemen risiko, b. Pengendalian internal, c. Lingkungan bisnis (PP12) Mampu mengambil keputusan secara tepat dalam konteks penyelesaian masalah di bidang keahliannya, berdasarkan hasil analisis informasi dan data (KU5)
KONSEP DASAR PENGENDALIAN Pengendalian internal (internal control) adalah proses yang dijalankan untuk menyediakan jaminan memadai bahwa tujuan – tujuan pengendalian berikut telah dicapai. Mengamankan aset – mencegah atau mendeteksi perolehan, penggunaan atau penempatan yang tidak sah Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan Memberikan informasi yang akurat dan reliabel Menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan Mematuhi hukum
FUNGSI PENGENDALIAN INTERNAL Pengendalian Preventif (Preventif control) Pengendalian yang mencegah masalah sebelum terjadi Contohnya merekrut personel berkualifikasi, memisahkan tugas pegawai, dan mengendalikan akses fisik atas aset dan informasi Pengendalian detektif (Detective control) Pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak di terletakkan Contohnya Menduplikasi pengecekan kalkulasi dan menyiapkan rekonsiliasi bank serta neraca saldo bulanan Pengendalian korektif (Corrective control) Pengendalian yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang dihasilkan Contohnya menjaga salinan backup pada file, perbaikan kesalahan entri data, dan pengumpulan ulang transaksi – transaksi untuk pemprosesan selanjutnya.
Pengendalian Aplikasi (Application control) PENGENDALIAN INTERNAL DI KATEGORIKAN memastikan lingkungan pengendalian sebuah organisasi stabil dan di kelola dengan baik. Contohnya keamanan, infrastruktur IT, dan pengendalian pembelian perangkat lunak, pengembangan dan pemeliharaan Pengendalian umum (General Control) Mencegah, mendeteksi dan mengoreksi kesalahan transaksi serta penipuan di dalam program aplikasi. Pengendalian ini fokus terhadap ketepatan, kelengkapan, validitas, serta otorisasi data yang didapat, dimasukkan, diproses, disimpan, ditransmisikan ke sistem lain dan dilaporkan. Pengendalian Aplikasi (Application control)
Sistem pengendalian diagnostik Sistem pengendalian interaktif PENGENDALIAN INTERNAL MENURUT ROBERT SIMONS Robert Simons, seorang profesor bisnis harvard, telah menganut empat kaitan pengendalian untuk membantu manajemen menyelesaikan konflik di antara kreativitas dan pengendalian Sistem kepercayaan Sistem yang menjelaskan cara sebuah perusahaan menciptakan nilai, membantu pegawai memahami visi perusahaan, mengkomunikasikan nilai – nilai dasar perusahaan, dan menginspirasi pegawai untuk bekerja berdasarkan nilai – nilai tersebut. Sistem batas Sistem yang membantu pegawai bertindak secara etis dengan membangun batas pada perilaku kepegawaian Sistem pengendalian diagnostik Sistem yang mengukur, mengawasi. Dan membandingkan perkembangan perusahaan aktual dengan anggaran dan tujuan kinerja Sistem pengendalian interaktif Sistem yang membantu manajer untuk memfokuskan perhatian bawahan pada isu – isu strategis utama dan lebih terlibat didalam keputusan mereka.
KERANGKA KERJA PENGENDALIAN Kerangka Pengendalian COBIT Kerangka Pengendalian COSO Kerangka manajemen risiko perusahaan - ERM
KERANGKA PENGENDALIAN INTERNAL COBIT COBIT (Control Objectives for Information and Related Technology) sebuah kerangka keamanan dan pengendalian yang memungkinkan Manajemen untuk membuat tolak ukur praktik – praktik keamanan dan pengendalian lingkungan Para pengguna layanan IT dijamin dengan adanya keamanan dan pengendalian yang memadai, dan Para auditor memperkuat opini pengendalian internal dan mempertimbangkan masalah keamanan IT dan pengendalian yang dilakukan.
KERANGKA PENGENDALIAN INTERNAL COBIT COBIT 5 adalah sebuah kerangka komprehensif yang membantu perusahaan mencapai tujuan tata kelola dan manajemen IT. Model COBIT 5 tentang referensi proses mengidentifikasi lima proses tata kelola (merujuk pada mengevaluasi, mengarahkan, mengawasi, direct, monitor ) dan 32 proses manajemen. Tiga puluh dua proses manajemen dibagi ke dalam empat domain sebagai berikut : Menyelaraskan, merencanakan dan mengatur (align, plan, dan organize –APO) Membangun, mengakuisisi, menerapkan (build, acquire dan implement – BAI) Mengantar, melayanim mendukung (deliver, service, dan support – DSS) Mengawasi, mengevaluasi, menilai (monitor, evaluate dan assess – MEA)
KERANGKA PENGENDALIAN INTERNAL COBIT COBIT 5 didasarkan pada lima prinsip utama tata kelola dan manajemen IT Memenuhi keperluan pemangku kepentingan Mencakup perusahaan dari ujung ke ujung Mengajukan sebuah kerangka terintegrasi dan tunggal Memungkinkan pendekatan holistik Memisahkan tata kelola dari manajemen
KERANGKA PENGENDALIAN INTERNAL COSO COSO (Committee of Sponsoring Organization) sebuah kelompok sektor swasta yang terdiri dari : Asosiasi Akuntansi Amerika (American Accounting Association) Ikatan Auditor Internal (Institute of Internal Auditors) Ikatan Akuntan Manajemen (Institute of Management Accountants), dan Ikatan Eksekutif Keuangan (Financial Executives Institute) COSO menerbitkan Pengendalian Internal – kerangka terintegrasi IC yaitu sebuah kerangka COSO yang menjelaskan pengendalian internal dan memberikan panduan untuk mengevaluasi dan meningkatkan sistem pengendalian internal.
KERANGKA MANAJEMEN RISIKO PERUSAHAAN COSO Untuk memperbaiki proses manajemen risiko, COSO mengembangkan kerangka pengendalian kedua yang disebut Manajemen Risiko Perusahaan – kerangka terintergrasi – ERM. Kerangka ERM (Enterprise Risk Management) adalah proses yang digunakan oleh dewan direksi dan manajemen untuk mengatur strategi, mengidentifikasi kejadian yang mungkin mempengaruhi entitas, menilai dan mengelola risiko, serta menyediakan jaminan memadai bahwa perusahaan mencapai tujuan dan sasarannya.
KERANGKA MANAJEMEN RISIKO PERUSAHAAN COSO Prinsip – prinsip dasar dibalik ERM adalah sebagai berikut : Perusahaan dibentuk untuk mrnciptakan nilai bagi perusahaan Manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima saat menciptakan nilai Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu secara negatif mempengaruhi kemampuan perusahaan untuk mrnghasilkan atau mempertahankan nilai Ketidakpastian menghasilkan peluang Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan nilai
KERANGKA MANAJEMEN RISIKO VS KERANGKA PENGENDALIAN INTERNAL Kerangka IC telah diadopsi secara luas sebagai cara untuk mengevaluasi pengendalian internal. Kerangka ERM yang lebih komprehensif menggunakan pendekatan berbasis risiko daripada berbasis pengendalian. ERM menambahkan tiga elemen tambahan ke kerangka IC COSO : penetapan tujuan, pengidentifikasian kejadian yang mungkin mempengaruhi perusahaan, dan pengembangan sebuah respons untuk risiko yang dinilai.
MODEL MANAJEMEN RISIKO PERUSAHAAN (ERM) Enterprise Risk Management (ERM) adalah suatu proses, yang dipengaruhi oleh manajemen, board of directors, dan personel lain dari suatu organisasi, diterapkan dalam setting strategi, dan mencakup organisasi secara keseluruhan, didisain untuk mengidentifikasi kejadian potensial yang mempengaruhi suatu organisasi, mengelola risiko dalam toleransi suatu organisasi, untuk memberikan jaminan yang cukup pantas berkaitan dengan pencapaian tujuan organisasi. (COSO, COSO Enterprise Risk Management – Integrated Framework. COSO, 2004) .
MODEL MANAJEMEN RISIKO PERUSAHAAN (ERM) Selanjutnya COSO menampilkan format berikut ini yang menunjukkan bahwa ERM adalah manajemen risiko yang komprehensif (Lihat bagan berikut ini).
COSO – Enterprise Risk Management Menunjukkan delapan komponen ERM yaitu Lingkungan internal, Penentuan tujuan, Identifikasi kejadian, Evaluasi (assessment) risiko, Respons terhadap risiko, Aktivitas pengendalian, Informasi dan komunikasi, Monitoring. Risiko yang dikelola mencakup risiko strategis, operasi, pelaporan, dan kepatuhan (compliance).
MODEL MANAJEMEN RISIKO PERUSAHAAN (ERM) Kemudian ERM mencakup keseluruhan organisasi, mulai dari level perusahaan keseluruhan (entity level), level divisi, level unit bisnis, dan level anak perusahaan (subsidiary).
AKTIVITAS PENGENDALIAN Aktivitas pengendalian (Control Activities) adalah kebijakan, prosedur, dan aturan yang memberikan jaminan memadai bahwa tujuan pengendalian telah dicapai dan respon risiko dilakukan. Manajemen harus memastikan bahwa : Pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level yang dapat diterima Pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi Aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan prosedur perusahaan yang telah ditentukan
KATEGORI PROSEDUR PENGENDALIAN Otorisasi transaksi dan aktivitas yang layak Pemisahan tugas Pengembangan proyek dan pengendalian akuisisi (perolehan) Mengubah pengendalian manajemen Mendesain dan menggunakan dokumen serta catatan Pengamanan aset, catatan dan data Pengecekan kinerja yang independen
OTORISASI TRANSAKSI DAN AKTIVITAS YANG TEPAT Otorisasi adalah penetapan kebijakan bagi para pegawai untuk diikuti dan kemudian memberdayakan mereka guna melakukan fungsi organisasi tertentu. Otorisasi sering didokumentasikan dengan penandatanganan, penginisialisasian, atau pemasukan kode pengotorisasian pada sebuah dokumen atau catatan Otorisasi umum : otorisasi yang diberikan kepada pegawai untuk menangani transaksi rutin tanpa persetujuan khusus Otorisasi khusus : persetujuan khusus yang dbutuhkan oleh seorang pegawai agar diizinkan untuk menangani sebuah transaksi.
PEMISAHAN TUGAS Pemisahan tugas akuntansi : Otorisasi – menyetujui transaksi dan keputusan Pencatatan – mempersiapkan dokumen sumber; memasukan data ke dalam sistem komputer, memelihara jurnal, buku besar, file atau database dan menyiapkan rekonsiliasi dan laporan kinerja Penyimpanan – menangani kas, peralatan, persediaan atau aktiva tetap, menerima cek pelanggan yang datang, menulis cek
PEMISAHAN TUGAS SISTEM Wewenang dan tanggungjawab harus dibagi dengan jelas menurut fungsi – fungsi sebagai berikut : Administrator sistem : orang yang bertanggung jawab untuk memastikan bahwa sistem beroperasi dengan lancar dan efisien Manajer jaringan : orang yang bertanggung jawab untuk memastikan bahwa perangkat yang berlaku ditautkan ke jaringan perusahaan dan memastikan pula bahwa jaringan beroperasi dengan baik Manajemen keamanan : orang yang bertanggung jawab untuk memastikan bahwa sistem yang ada aman dan terlindungi baik dari ancaman internal maupun eksternal.
PEMISAHAN TUGAS SISTEM Manajemen perubahan : proses untuk memastikan perubahan dibuat dengan lancar dan efisien serta tidak mempengaruhi keterandalan, keamanan, kerahasiaan, integritas dan ketersediaan sistem secara negatif. Pengguna : orang yang mencatat transaksi, melakukan otorisasi data untuk diproses dan menggunakan output sistem. Analisis sistem : orang yang membantu pengguna menentukan kebutuhan informasi mereka dan mendesain sistem agar sesuai dengan kebutuhan tersebut.
PEMISAHAN TUGAS SISTEM Pemprogram : orang yang membuat desain analis dan mengembangkan, mengodekan serta menguji program komputer. Operator komputer : orang yang mengoperasikan komputer perusahaan Perpustakaan sistem informasi : sebuah koleksi database, file dan program perusahaan yang disimpan didalam sebuah area penyimpanan terpisah dan dikelola oelh pustakawan sistem Pengendalian data : orang yang memastikan bahwa data sumber telah disetujui dengan semestinya, mengawasi alur kerja melalui komputer, merekonsiliasi input dan output, memlihara catatan input dan output serta mendistribusikan output sistem.
Rencana induk strategik Rencana pengembangan proyek PENGEMBANGAN PROYEK DAN PENGENDALIAN AKUISISI (PEROLEHAN) Pengendalian pengembangan sistem yang penting meliputi hal – hal sebagai berikut : Komite pengarah Rencana induk strategik Rencana pengembangan proyek Jadwal pengolahan data Pengukuran kinerja sistem Tujuan pasca-implementasi
PENGECEKAN KINERJA YANG INDEPENDEN Pengecekan kinerja yang independen ini meliputi : Tinjauan tingkat atas Manajemen harus mengawasi hasil perusahaan dan membandingkan kinerja perusahaan secara periodik terhadap : Kinerja yang direncanakan, seperti yang ditunjukkan di dalam anggaran, target dan perkiraan Kinerja periode sebelumnya, dan Kinerja pesaing
PENGECEKAN KINERJA YANG INDEPENDEN Tinjauan analitis, sebuah pemeriksaan hubungan di antara set – set data yang berbeda. Misalnya dengan meningkatkan jumlah kredit dan piutang meningkat. Rekonsiliasi catatan – catatan yang dikelola secara independen Perbandingan terhadap komunitas aktual dengan jumlah dicatat Akuntansi double – entry Tinjauan independen
INFORMASI DAN KOMUNIKASI Sistem informasi dan komunikasi haruslah memperoleh dan mempertukarkan informasi yang dibutuhkan untuk mengatur, mengelola, dan mengendalikan operasi perusahaan. Komunikasi harus dilakukan secara internal dan eksternal untuk menyediakan informasi yang dibutuhkan guna menjalankan aktivitas pengendalian internal harian.
PENGAWASAN Metode – metode utama dalam pengawasan kinerja : Menjalankan evaluasi pengendalian internal Implementasi pengawasan yang efektif Menggunakan sistem akuntansi pertanggungjawaban Mengawasi aktivitas sistem Melacak perangkat lunak dan perangkat bergerak yang dibeli Menjalankan audit berkala
PENGAWASAN Memperkerjakan tugas keamanan komputer dan Chief Compliance Officer Computer security officer (CSO) : seorang pegawai yang independen dan fungsi sistem informasi yang mengawasi sistem, menyebarkan informasi mengenai penggunaan sistem yang tidak sesuai dan konsekuensinya, serta melapor kepada manajemen puncak Chief compliance officer (CCO) :seorang pegawai yang bertanggungjawab atas semua kepatuhan yag terkait SOX serta pengaturan hukum dan peraturan.
PENGAWAS Menyewa spesialis forensik Penyelidik forensik : individu yang memiliki spesialisasi dalam penipuan, sebagian besar dari mereka memiliki pelatihan khusus dari agen – agen penegak hukum lainnya. Seperti FBI, atau IRS atau memiliki sertifikasi profesional seperti Certified Fraud Examiner (CFE) Spesialis forensik komputer : pakar komputer yang menemukan, mengekstraksi, mengamankan, dan mendokumentasi bukti komputer seperti keabsahan, akurasi dan integritas bahwa tidak akan menyerah pada tantangan hukum.
PENGAWASAN Memasang perangkat lunak deteksi penipuan Mengimplementasikan hotline penipuan