Disampaikan oleh Nyimas Artina, S.Kom, M.Si Proses Bisnis dan Informasi Aturan, Risiko Dan Pengendalian

Objectives Dapat menguraikan hubungan antara risiko, kesempatan dan pengendalian Menjelaskan komponen dari suatu sistem pengawasan internal Mendiskusikan kelemahan di dalam philosofi pengendalian tradisional Outline a control philosophy applicable to an informational technology environment Describe types of business and information process risks

Hubungan antara Risiko, Kesempatan dan Pengendalian Risks - risiko Suatu risiko adalah setiap bahaya, kecelakaan yang dihadapkan pada kerugian atau kecelakaan. Van Horne dan Machowics,jr mendefinisikan risiko sebagai variabilitas return terhadap return yang diharapkan Peluang dan objektifitas Peluang dan risiko berjalan bergandengan tangan.Anda tidak bisa mempunyai satu peluang tanpa beberapan risiko dan pada setiap resiko terdapat beberapa peluang potensial. Pengendalian - Controls Suatu pengendalian adalah satu aktivitas yang dilaksanakan untuk memperkecil atau menghapus suatu risiko.

Risiko –Risiko Bisnis Risiko – risiko strategi Risiko – risiko Keputusan Risiko – risiko Operasional Risiko – risiko Keuangan Risiko – risiko Informasi

Sistem Pengawasan Internal Pengawasan internal meliputi satu set dari aturan, kebijakan, dan prosedur suatu organisasi menerapkan untuk menyediakan jaminan yang layak : (a) Suatu laporan keuangan yang dapat dipercaya, (b) Operasional yang bersifat efektif dan efisiensi, dan (c) Suatu aktivitas lyang memenuhi ketentuan hukum dan regulasi. Ini menunjukan ke tiga tujuan utama dari sistem pengendalian internal. Dewan direksi organisasi, manajemen, dan personal lain adalah bertanggung jawab dalam sistem pengawasan internal.

Skema Klasifikasi Pengawasan Seluruh organisasi Lingkungan pengolahan data Kejadian peristiwa Proses – proses informasi Administrative Controls Accounting Controls Preventive, Detective, and Corrective Controls Input, Processing, and Output Controls Control Environment General Controls Application Controls Control Environment IT/Human Controls Business Event Controls Information Processing Controls

Sistem Informasi “Tidak Komplek” Update Process Batch Output Batch Input Disk atau Tape File – file Master

Arsitektur Sistem Informasi “Komplek”

Pengendalian Lingkungan - Control Environment Pengendalian lingkungan menetapakan nada dari organisasi, yang mempengaruhi kesadaran pengendalian tentang orang-orang. Pondasi ini menyediakan disiplin dan struktur semua komponen lain dari pengawasan internal di bangun. Lingkungan pengendalian meliputi bidang – bidang : Perilaku intregritas dan etis Kesanggupan untuk kemampuan - Commitment to competence Keikutsertaan komite dewan direksi dan audit Philosofu manajemen dan gaya operasional Struktur organisasi Kewenangan dari tugas dan tanggung jawab Praktek dan kebijakan sumber daya manusia

Risiko dan Materialitas Kemungkinan Dari kerugian Ukuran dari dampak potensial High Low Small Large Risiko Materialitas

Penaksiran Risiko - Risk Assessment Penaksiran risiko identifikasi dan menganalisa relevan risiko yang dihubungkan dengan organisasi dalam meraih sasaran. Penaksiran risiko membentuk dasar dalam menentukan apa kebutuhan risiko untuk dikendalikan dan pengendalian yang dibutuhkan untuk mengatur risiko

Aktivitas Pengendalian Aktivitas pengendalian adalah penggunaan suatu kebijakan dan prosedur organisasi untuk memastikan bahwa tindakan-tindakan perlu diambil untuk memperkecil risiko yang berhubungan dengan meraih sasaran. Pengendalian mempunyai berbagai sasaran dan mungkin dapat diterapkan dalam berbagai tingkatan fungsional dan organisatoris. Pengendalian memakai - Mencegah, Deteksi, dan Mengkoreksi Aktivitas pengenalian dapat digolongkan oleh penggunaan C apakah mereka digunakan untuk mencegah, mendeteksi atau memulihkan dari kesalahan atau ketidakteraturan. Tujuan dari pengendalian evident by its name. Preventive controls fokus pada pencegahan kesalahan atau ketidakteraturan. Detective controls fokus pada ketika satu kesalahan atau ketidakteraturan sudah terjadi Corrective controls fokus pada penyembuhan, memperbaiki, atau memperkecil biaya satu kesalahan atau ketidakteraturan.

Aktivitas Pengendalian Pengendalian fisik meliputi pengamanan atas aktiva sendiri, pembatasan akses kepada aktiva hanya pada orang yang diberi hak, dan secara periode merekonsiliasi jumlah persediaan yang keluar dengan jumlah yang direkam di dalam rekaman organisasi. Pengendalian pengolahan informasi digunakan untuk memeriksa ketelitian, kelengkapan, dan otorisasi dari transaksi-transaksi. Pengendalian umum meliputi operasi pusat data, pemeliharaan dan akuisisi sistem perangkat lunak, akses keamanan, dan pemeliharaan dan pengembangan sistem aplikasi Pengendalian aplikasi berlaku bagi pemprosesan suatu aplikasi yang spesifik,seperti menjalankan suatu program komputer untuk mempersiapkan cek pembayaran upah karyawan setiap bulan.

Aktivitas Pengendalian Pemeriksaan Prestasi Pemeriksaan prestasi adalah suatu tinjauan ulang dari setiap kinerja - prestasi kesatuan. Sebagian dari tinjauan ulang semakin umum : Bandingkan data aktual kepada data yang dianggarkan atau periode data yang telah lewat, Data operasi kepada data keuangan, dan data disalam dan keseberang berbagai unit, subdivisi, atau pada bidang fungsional di dalam organisasi.

Komunikasi dan Informasi Suatu sistem informasi terdiri dari metode-metode dan merekam digunakan untuk merekam, memelihara dan melaporkan kejadian dari suatu kesatuan, seperti memelihara akuntabilitas dari aktiva-aktiva yang terkait, kewajiban dan ekuitas. Kualitas – mutu suatu sistem yang menghasilkan informasi mempengaruhi kemampuan manajemen untuk membuat keputusan yang sesuai di dalam memanajemen dan mengendalikan aktivitas kesatuan dan untuk mempersiapkan laporan keuangan yang dapat dipercaya. Suatu sistem informasi perlu melakukan langkah untuk menyediakan informasi yang lengkap dan akurat di alam sistem akuntansi dan secara benar melaporkan hasil-hasil operasi.: Identifikasi dan merekam seluruh kejadian bisnis berdasarkan tepat waktu. Uraikan masing-masing peristiwa secara detail dengan jelas. Ukur nilai moneter secara tepat dari setiap peristiwa Tentukan periode waktu di mana kejadian terjadi. Sajikan dengan baik kejadian dan hubungkan dengan pengungkapan di dalam laporan keuangan.

Komunikasi dan Informasi Komponen aspek Komunikasi ini menyediakan suatu pemahaman tentang peran dan tanggung jawab secara individual yang bersinggungan dengan pengawasan internal. Orang-orang perlu memahami bagaimana aktivitas mereka berhubungan dengan pekerjaan orang lain dan bagaimana pengecualian harus dilaporkan kepada tingkat yang lebih tinggi dari manajemen. Buka chanel komunikasi membantu bahwa pengecualian dilaporkan dan dilaksanakan. Komunikasi juga termasuk manual kebijakan, manual akuntansi, dan manual pelaporan keuangan.

Pemantauan - Monitoring Pemantauan - Monitoring adalah suatu proses bagaimana menaksir mutu kinerja pengawasan internal dari waktu ke waktu. Monitoring melibatkan menaksir desain dan pengawasan operasional ber basis tepat waktu dan mengambil tindakan korektif jika dibutuhkan. Proses ini akan tercapai oleh aktivitas pemantauan berkelanjutan oleh manajemen laporan pertanyaan terdapat perbedaan secara signifikan dari pengetahuan mereka.

Traditional Internal Control Environment Lingkungan pengendalian Sub elemen pengendalian lingkungan Sistem akuntansi Objektivitas yang harus dicukupi Prosedur pengendalian Kategori prosedur pengendalian Philosopy manajemen dan operating style Struktur organisasi Komite audit Metode untuk mengkomunikasikan tuga dari kewenangan dan tanggung jawab Metode pengendalian manajemen Fungsi audit internal Prosedur dan kebijakan kepegawaian Pengaruh ekternal Garis pemisahan tugas Otorisasi yang tepat pada transaksi dan aktivitas Adequate dokumen dan perekaman Pengendalian phisik atas aktiva dan perekaman Kebebasan pengecekan terhadap kinerja Validitas Otorisasi Kelengkapan Penilaian Klasifikasi Pengaturan tempo Mempos-kan dan intisar

Philosopy Pengendalian Tradisional Sebagian besar akuntansi tradisional dan philosopy pengendalian auditing sudah didasarkan pada konsep dan praktek sebagai berikut : Penggunaan luas pada dokumen hard-copy untuk menangkap informasi tentang transaksi akuntansi dan frekuensi printouts antara memproses aliran transaksi akuntansi sepanjang proses akuntansi. Pemisahan tugas dan tanggung jawab sehingga pekerjaan seseorang mengecek pekerjaan orang lain. Duplikat perekaman pada data akuntansi dan luasnya rekonsiliasi pada duplikasi data. Akuntan bagaimana memandang peran utama mereka sebagai satu kebebasan, reaktif dan mendeteksi. Suaty pepercayaan yang besar pada review akhir tahun dari laporan keuangan dan penggunaan luas dari daftar pemeriksaan yang panjang yang diperlukan pada pengendalian Penekanan lebih besar diberikan kepada pengendalian internal dibanding kepada efisiensi operasional. Penghindaran atau toleransi terhadap kemajuan di dalam teknologi informasi.

Konsep Pengendalian #1: Para akuntan harus menjadi konsultan pengendalian secara real-time, proaktif, philosopy pengendalia fokus pertama dalam usaha pencegahan risiko bisnis, lalu dapat mendeteksi dan mengkoreksi kesalahan dan ketidakteraturan. Perspektif dari orang bagaimana membangun dan mengevaluasi pengendalian

Konsep Pengendalian #2: Gunakan IT modern untuk mencapai objektivitas dari perekaman, pemeliharaan, dan menghasilkan output dari informasi yang akurat, lengkap, dan tepat waktu dengan cara - cara : Mengevaluasi risiko-risiko yang berhubungan dengan gaya pengumpulan, penyimpanan dan pelaporan data yang diperbaharui, dan Merancang prosedur pengendalian spesifik yang membantu pengendalian risiko yang dapat diaplikasikan untuk desain yang baru. Hubungan antara risiko-risiko dan prosedur –prosedur pengendalian spesifik

Kemampuan untuk mencapai sasaran pengendalian dan perakitan kembali Konsep Pengendalian #3 Prosedur – prosedur pengendalian untuk proses bisnis agar dapat memperbaiki mutu dari sistem pengawasan internal selagi meningkatkan efektivitas organisasi. Kemampuan untuk mencapai sasaran pengendalian dan perakitan kembali

Hubungan antara teknologi informasi dan risiko Konsep Pengendalian #4 Para akuntan harus menjadi terbiasa dengan kemampuan IT dan risiko-risiko dan mengenali peluang – peluang IT yang menyediakan pencegahan, mendeteksi, dan mengkoreksi kesalahan dan ketidakteraturan pada saat peristiwa bisnis dieksekusi. Hubungan antara teknologi informasi dan risiko

Kompleksitas pemprosesan informasi Konsep Pengendalian #5 Proses-proses yang menggunaan kertas kerja input dan output dan data-data terekam proses perantara adalah kurang ber-risiko dari pada sistem terintregrasi – tinggi yang lebih kompleks/rimut. Sistem terintregrasi “komplek," bisa menyediakan risiko yang lebih kecil bila mereka dibangun secara layak dengan membangun kontrol – pengendalian yang tepat ke dalam sistem tersebut. Kompleksitas pemprosesan informasi

Kebutuhan informasi yang dapat dimengerti Konsep Pengendalian #6 Suatu jejak yang elektronik adalah sama efektifnya atau bahkan lebih efektif dari pada sebuah kertas kerjaberbasis jejak audit. Jejak audit dalam sebuah sistem berbasis – peristiwa yang terintregarasi seringkali lebih pendek dan kurang komplek di bandingkan dengan sebuah kertas kerja tradisional berbasisi jejak audit Kebutuhan informasi yang dapat dimengerti

Waktu Rancang dan Kendali Implementasi Konsep Pengendalian #7 Terlibatlah dengan aktif selama tahapan perancangan dan pengembangan dari sebuah sistem informasi yang dimotofikasi atau baru untuk membantu mengidentifikasi dan meng-implementasikan kendali-kendali ke dalam sistem tersebut Waktu Rancang dan Kendali Implementasi

Ukuran dari organisasi Konsep Pengendalian #8 Organisasi kecil dapat mempunyai sistem pengawasan internal yang baik dengan mengintregrasikan pengendalian ke dalam sistem informasi dan menggunakan IT untuk memantau dan mengendalikan proses-proses bisnis dan informasi. Ukuran dari organisasi

Mengembangkan Suatu Philosopy Kendali yang Diperbaharui dengan suatu Sudut Pandang IT Dokumen Hardcopy semestinya sebagian besar dihapuskan. Mereka adalah mahal untuk membangun maupun memelihara dan mereka menyediakan sedikit keuntungan melalui sebuah versi elektronik dari informasi yang sama kenyataannya, oleh kerena ukuran, biaya penyimpanan dan ketidaktercapaian, dokumen dan kertas kerja akan menjadi suatu kewajiban ketidakbebasan. Pemisahan tugas-tugas berlanjut menjadi suatu konsep yang relevan, tetapi IT dapat digunakan sebagai suatu penggantian untuk beberapa fungsi yang secara normal ditugaskan ke pada suatu individu yang terpisah. Sebagian besar kendali yang sudah tersebar ke beberapa individu sekarang dapat dibuat ke dalam sistem informasi dan dipantau oleh teknologi informasi.

Mengembangkan Suatu Philosopy Kendali yang Diperbaharui dengan suatu Sudut Pandang IT Perekaman-perekaman duplikat dari data peristiwa bisnis dan rekonsialiasi-penyesuaian harus dihapuskan. Merekan dan memeliharan data duplikat, dan melaksanakan rekonsiliasi adalah mahal dan tidak diperlukan dalam suatu lingkungan IT. Para akuntan harus menjadi konsultan-konsultan dengan philosofi kontrol yang proaktif dan real-time Penekanan yang jauh lebih besar harus ditempatkan pada pencegahan risiko-risiko bisnis, dari pada mendeteksi dan mengoreksi kesalahan dan ketidakteraturan.

Mengembangkan Suatu Philosopy Kendali yang Diperbaharui dengan suatu Sudut Pandang IT Penekanan yang lebih besar harus ditempatkan pada penerapan kendali-kendali selama desain dan pengembangan sistem informasi dan pada lebih banyak keterlibatan pengauditan dalam ketelitian dari sistem itu sendiri. Meski audit tahunan dari laporan keuangan akan berlanjut menjadi layanan yang berharga yang dilaksankan oleh pengaudit-pengaudit ekternal, kepentingan relatif akan berkuang pada saat sebagian kepentingan ditempatkan pada pembuktian - verifikasi akurasi sistem itu sendiri dan menyediakan layanan – layanan pelaporan asuransi real time.

Mengembangkan Suatu Philosopy Kendali yang Diperbaharui dengan suatu Sudut Pandang IT Penekanan lebih besar harus ditempatkan pada peningkatan efektivitas organisasi dan kendali-kendali harus diadaptasi untuk memelihara pengawasan internal yang kuat. Ini dikerjakan dengan membaung mentalitas daftar periksa dan memerlukan suatu evaluasi risiko tertentu – spesifik dan penciptaan kendali-kendali untuk menunjuk risiko-risiko tertentu itu. Teknologi informasi harus dimanfaatkan untuk perlusasn yang seluas-luasnya. Hal ini memerlukan suatu usaha yang direncanakan untuk memahami baik kemampuan maupun risiko-risiko IT. IT modern haruslah digunakan jauh lebih luas- ekstensif untuk mendukung proses-proses keputusan, mengatur kejadian bisnis, membentuk proses-proses informasi, dan mencegah dan mendeteksi kesalahan dan ketidakteraturan – ketidak teraturan.

Proses – Proses Pengembangan Suatu Sistem Pengawasan Internal Jika anda mengembangkan suatu philosopy pengendalian berdasarkan pada konsep –konsep kendali kunci yang diidentifikasi dalam bab ini, proses tentang mengembangkan suatu sistem pengawasan internal adalah agak maju kedepan : Identifikasi sasaran organisasi, proses-proses, dan risiko-risiko dan menentukan meterial risiko. Identifikasi sistem pengawasan internal  termasuk aturan, proses-proses, dan prosedur  untuk pengendalian material risiko. Mengembangkan, menguji, dan mengimplementasi sistem pengawasan internal Memonitor dan menyuling sistem.

Risiko dan Pengendalian dalam suatu Sistem Event-Driven Suatu sistem event-driven menyediakan suatu kerangka kerja untuk menggolongkan risiko-risiko yang membangun diatas apa yang telah anda pelajari tentang keputusan, bisnis dan proses-proses informasi, memperoleh kemampuan itu untuk mengidentifikasi risiko memerlukan pengetahuan tentang organisasi bisnis. Peristiwa bisnis mencetuskan tiga jenis proses – proses informasi : Merekam data peristiwa (misal, merekam penjualan barang dagangan). Memelihara data sumber daya, agen dan lokasi (misal, memperbaharui suatu alamat pelanggan). Melaporkan infromasi bermanfaat (menyiapkan sebuah melaporkan tentang hasil penjualan produk).

Mengoperasikan Peristiwa Risiko Risiko peristiwa bisnis yang menghasilkan kesalahan dan ketidakteraturan mempunyai satu atau lebih ciri-ciri yang berikut : Suatu peristiwa bisnis: Terjadi di waktu atau urutan waktu yang salah. Terjadi tanpa otorisasi yang tepat. Melibatkan agen internal yang salah. Melibatkan agen eksternal yang salah. Melibatkan sumber daya yang salah. Melibatkan jumlah sumber daya yang salah. Terjadi di lokasi yang salah.

Taxonomy of Business and Information Process Risk Organization Risk Business Event Risk Information Processing Risk System Resource Risks Resources Development and Operation Recording Processes Events Access Maintenance Processes Agents Reporting Processes Systems Failure Data Loss Locations Human Behavior

Information Processing Risks Recording risks include recording incomplete, inaccurate, or invalid data about a business event. Incomplete data results in not having all the relevant characteristics about an operating event. Inaccuracies arise from recording data that do not accurately represent the event. Invalid refers to data that are recorded about a fabricated event. Maintaining risks are essentially the same as those for recording. The only difference is the data relates to resources, agents, and locations rather than to operating events. The risk relating to maintenance processes is that changes with respect to the organization's resources, agents, and locations will go either undetected or unrecorded (e.g., customer or employee moves, customer declares bankruptcy, or location is destroyed through a natural disaster). Reporting risks include data that are improperly accessed, improperly summarized, provided to unauthorized individuals, or not provided in a timely manner.