Pengendalian Intrnal
Pengertian Pengendalian Internal Menurut Gramling, Rittenberg, dan Johnstone (2012: 208), “Internal control is a process related to the achievement of the organization’s objectives. Organizations identify the risks to achieving those objectives and implement various controls to mitigate those risks”. Pengendalian internal diperlukan untuk mengidentifikasi risiko agar proses bisnis perusahaan tidak terganggu.
Pengertian Pengendalian Internal Menurut Standar Profesi Audit Internal (SPAD) yang dikutip oleh Tunggal (2007, hal. 1), Pengendalian Internal adalah tindakan yang diambil oleh manajemen, dewan pengawas, atau pihak lain, termasuk komite audit, untuk mengelola resiko dan meningkatkan kemungkinan pencapaian tujuan organisasi. Manajemen melakukan tindakan - tindakan seperti perencanaan, pemantauan dan sebagainya untuk memberikan jaminan yang wajar atas pencapaian tujuan tersebut. Menurut Rama & Jones (2008, hal. 8), pengendalian internal (internal control) mencakup kebijakan - kebijakan, prosedur - prosedur, dan sistem informasi yang digunakan untuk melindungi aset - aset perusahaan dari kerugian atau korupsi, dan untuk memelihara keakuratan data keuangan.
Pengendalian Internal Jadi dapat disimpulkan bahwa pengendalian internal adalah pengendalian dalam suatu organisasi bertujuan untuk menjaga aset perusahaan, pemenuhan terhadap kebijakan dan prosedur, kehandalan dalam proses, dan operasi yang efisien
Tujuan Pengendalian Internal Menurut Gondodiyoto (2007: 260), tujuan disusunnya system control atau pengendalian internal komputer adalah sebagai berikut: Meningkatkan pengamanan (improve safeguard) aset sistem informasi (data/catatan akuntansi (accounting records) yang bersifat logical assets, maupun physical assets seperti hardware, infrastructures, dan sebagainya). Meningkatkan integritas data (improve data integrity), sehingga dengan data yang benar dan konsisten akan dapat dibuat laporan yang benar. Meningkatkan efektifitas sistem (improve system effectiveness). Meningkatkan efisiensi sistem (improve system efficiency).
Tujuan Sistem Pengendalian Internal Menurut Mulyadi (2001, hal. 163) Tujuan sistem pengendalian internal direncanakan atau dirancang dengan tujuan untuk : Menjaga kekayaan organisasi, Mengecek ketelitian dan kehandalan data akuntasi, Mendorong efisiensi, dan Mendorong dipatuhinya kebijakan manajemen.
Penggolongan Pengendalian Internal Pengendalian internal harus diterapkan terhadap setiap sistem dan aplikasi, hal ini dilakukan untuk mengurangi exposure yang selalu muncul pada pencatatan yang buruk, akuntansi yang tidak tepat, interupsi bisnis, pengambilan keputusan yang buruk, penipuan dan penggelapan, pelanggaran hukum terhadap peraturan, peningkatan biaya dan hilangnya aset perusahaan. Oleh sebab itu manajemen harus menyadari pentingnya pengendalian untuk menjaga sistem dari penggunaan secara tidak tepat, untuk mengurangi timbulnya kesalahan dan untuk memaksimalkan hasil dari sistem operasi. Pengendalian ini digolongkan menjadi 2 golongan yaitu : General controls (pengendalian umum). Application controls (pengendalian aplikasi).
General controls (pengendalian umum)
Pengendalian Umum (General Control) Menurut Sawyer, Dittenhofer, & Scheiner (2005, hal. 549), general control consist of those controls in the IS and user environment that are pervasive over all or most application. They include such controls as segregation of incompatible duties, system development procedures, data security, all administrative controls, and disaster recovery capabilities. Menurut Gondodiyoto (2007, hal. 301) pengendalian umum didefinisikan sebagai sistem pengendalian internal komputer yang berlaku umum meliputi seluruh kegiatan komputerisasi sebuah organisasi secara menyeluruh. Artinya ketentuan – ketentuan dalam pengendalian tersebut berlaku untuk seluruh kegiatan komputerisasi yang digunakan di perusahaan tersebut.
Contoh Pengendalian Umum Pengendalian umum juga dapat diartikan sebagai pengendalian yang tidak terkait langsung ke suatu aplikasi tertentu. Misalnya dalam contoh ATM di atas, ketentuan bahwa masuk ke ruang ATM tidak boleh memakai helm. Adanya CCTV di ruang ATM dan ketentuan adanya SATPAM di situ adalah dapat dikategorikan dengan pengendalian umum (ketentuan-ketentuan tersebut tidak langsung dengan transaksi pengambilan uang di mesin ATM).
Ruang lingkup pengendalian umum Ruang lingkup yang termasuk dalam pengendalian umum (pengendalian perspektif manajemen) diantaranya adalah : Pengendalian manajemen puncak (top management controls). Pengendalian manajemen pengembangan sistem (information system management controls). Pengendalian manajemen sumber data (data resources management controls). Pengendalian manajemen operasi (operations management controls). Pengendalian manajemen keamanan (security administration management controls). Pengendalian manajemen jaminan kualitas (quality assurance management controls).
Unsur Pengendalian Umum Dari beberapa pengendalian umum tersebut, berdasarkan ruang lingkup dari penulisan skripsi ini, maka yang akan dibahas adalah : Pengendalian Manajemen Operasi (Operational Management Controls) Pengendalian Manajemen Keamanan (Security Management Controls)
Operational Management Controls Menurut Gondodiyoto (2007, hal. 331) pengendalian manajemen operasi merupakan jenis pengendalian internal yang didesain untuk pengelolaan sumber daya dan operasi IT pada suatu organisasi. Pengendalian manajemen operasi disusun dengan tujuan untuk menciptakan kerangka kerja organisasi, pendayagunaan sumber daya informasi, dan pembagian tugas yang baik bagi suatu organisasi yang menggunakan sistem berbasis teknologi informasi. Pemisahan tugas dan fungsi Pengendalian personil Pengendalian perangkat keras Pengendalian jaringan Manajemen operasi
Pemisahan tugas dan fungsi Pemisahan tugas dan fungsi didesain untuk memastikan bahwa fungsi – fungsi yang tidak sejalan (atau seharusnya - cek), seperti : fungsi analisis/desain dan pemprograman dengan operasi komputer (mencakup penyiapan transaksi, otorisasi, proses entri, dan pelaporan) telah dipisahkan. Terdapat dua pemisahan fungsi yaitu : Pemisahan fungsi departement IT dengan non IT (users) Pemisahan fungsi ini bertujuan untuk memisahkan antara pemakai dengan departement IT sehingga meningkatkan pengendalian terhadap aktivitas IT. Pemisahan fungsi dalam departement IT Fungsi – fungsi departement IT dapat dipisahkan berdasarkan fungsi sistem dan pemrograman, operasi komputer, pengendalian dan penjadwalan input/output, pemeliharaan media (library).
Pengendalian personil Personil mempunyai peranan penting dalam pengendalian sistem. Pengendalian personil dapat diindikasikan oleh hal-hal berikut : Adanya prosedur penerimaan dan pemilihan pegawai Adanya program peningkatan keahlian pegawai melalui pelatihan yang berhubungan dengan bidang tugasnya Adanya evaluasi atas pekerjaan yang dilakukan pegawai Administrasi atas gaji dan prosedur promosi yang jelas Penggunaan uraian tugas (job description) Pemilihan dan pelatihan pegawai Penyediaan (supervisi) dan penilaian Penggiliran pekerjaan (job rotation) dan keharusan mengambil cuti Adanya jenjang karier serta sarana dan aturan untuk mencapainya
Pengendalian perangkat keras Pengawasan terhadap akses fisik Untuk menjaga perangkat komputer dari kemungkinan penyalahgunaan, akses fisik terhadap perangkat komputer perlu diawasi. Pengaturan lokasi fisik Lokasi ruang komputer merupakan pertimbangan yang penting dalam pengendalian keamanan komputer Penggunaan alat pengamanan Alat – alat penggunaan tambahan diperlukan untuk menjaga keamanan komputer dari kemungkinan kerusakan Pengendalian operasi perangkat keras Pengendalian operasional perangkat keras merupakan bentuk pengendalian untuk menjaga perangkat keras dari kemungkinan kerusakan akibat kesalahan pengoperasian perangkat tersebut Pengendalian perangkat lunak Pengendalian perangkat lunak didesain untuk memastikan keamanan dan kehandalan sistem Pengendalian keamanan data Pengendalian keamanan data merupakan suatu tindakan pengendalian untuk menjaga keamanan datayang tersimpan didalam media penyimpanan agar tidak hilang dan rusak, atau diakses oleh orang yang tidak berhak.
Pengendalian jaringan Alat bantu (tools) penting yang dapat digunakan oleh operator untuk mengelola wide area network adalah network control terminal. Network control terminal menyediakan akses kepada software system yang khusus untuk mengelola jenis fungsi dibawah ini agar dapat berjalan dengan baik, yaitu : Memulai dan menghentikan jaringan dan proses Memonitor aktivitas jaringan Mengganti nama line komunikasi Mengenerate statistic system Mensetting ulang panjangnya antrian Menambah frekuensi backup Menanyakan status sistem Mengirimkan system warning dan status message Memeriksa lintasan data pada line komunikasi Network control terminal juga dapat digunakan untuk menjalankan fungsi yang sejenis ke peralatan individual yang terhubung dengan jaringan, karena itu dari sudut pengamanan harta dan data integrity, network control terminal adalah komponen yang sangat penting pada suatu jaringan.
Manajemen operasi Saat ini fungsi sistem yang sekarang digunakan pada manajemen operasi adalah komputer mikro secara stand alone, multi user atau jaringan (network) atau dalam bentuk client server. Service level agreements Kepustakaan file Fungsi help desk Capacity planning Outsource
Security Management Controls (1) Menurut Gondodiyoto (2007, hal. 345) pengendalian internal terhadap manajemen keamanan (security management controls) dimaksudkan untuk menjamin agar aset sistem informasi tetap aman. Aset sumber daya informasi mencakup fisik (perangkat mesin dan fasilitas penunjangnya) serta aset tak berwujud (non fisik, misalnya data/informasi, dan program aplikasi komputer). Kebijakan keamanan IT (IT security policy) Beberapa aspek serangan potensial Mitos-mitos seputar keamanan komputer Kebijakan keamanan komputer Personil dan kebijakan keamanan komputer
Security Management Controls (2) Menurut Weber (1999 : 256), Pengendalian Manajemen Keamanan meliputi perlindungan terhadap asset dan fungsi sistem informasi, yang dapat diimplementasi. Berikut beberapa ancaman terhadap sistem informasi beserta cara penanganannya: Kebakaran Tindakan pengamanan untuk ancaman kebakaran adalah : Memiliki alarm kebakaran otomatis yang diletakkan di ruangan dimana aset – aset sistem informasi berada. Memiliki tabung kebakaran yang diletakkan pada lokasi yang mudah dijangkau. Gedung tempat penyimpanan aset sistem informasi dibangun dari bahan yang tahan api. Banjir Tindakan pengamanan untuk ancaman kebanjiran, antara lain : Memiliki atap, dinding dan lantai yang dibuat dari bahan yang tahan air. Perubahan tegangan sumber energi Tindakan pengamanan untuk mengatasi perubahan tegangan sumber energi listrik, dapat menggunakan stabilizer ataupun Uninterruptible Power Supply (UPS) yang mampu mengatasi masalah yang terjadi ketika tegangan listrik tiba – tiba turun.
Security Management Controls (3) Polusi Tindakan pengamanan untuk mengantisipasi polusi adalah dengan membuat situasi kantor bebas debu, tidak memperbolehkan membawa binatang peliharaan serta melarang pegawai membawa atau meletakkan minuman di dekat peralatan komputer. Virus dan Worm Tindakan pengamanan untuk mengantisipasi virus dan worm adalah : Preventif, dapat dengan menginstal anti virus dan di-update secara berkala, melakukan scan atas file yang akan digunakan. Detektif, melakukan scan secara rutin untuk mendeteksi adanya virus maupun worm. Korektif, memastikan back up data bebas virus dan worm, pemakaian anti virus terhadap file yang terinfeksi.
Application controls (pengendalian aplikasi)
Pengendalian Aplikasi (Application Control) Menurut Ruppel (2008, hal. 537-538) application controls help ensure the completeness and accuracy of transaction processing, authorization, and validity edit checks, numerical sequence checks, and manual follow up of the exception report are example of application controls. Menurut Gondodiyoto (2007, hal. 372-373) pengendalian aplikasi (appliaction controls) adalah sistem pengendalian intern (internal control) pada sistem informasi berbasis teknologi informasi yang berkaitan dengan pekerjaan/kegiatan/aplikasi tertentu (setiap aplikasi memiliki karakteristik dan kebutuhan pengendalian yang berbeda).
Contoh Pengendalian Aplikasi Pengendalian aplikasi disebut juga pengendalian transaksi, karena didesain berkaitan dengan transaksi pada aplikasi tertentu. Misalnya apabila nasabah akan mengambil uang di ATM, setelah memasukkan kartu akan dimina PIN, atau setelah memasukkan nilai uang yang akan diambil, ATM akan mengecek sapakah saldo cukup, atau jumlahnya diijinkan sesuai dengan mengecek apakah saldo cukup, atau jumlahnya diijinkan sesuai dengan ketentuan bank. Pengendalian berupa PIN dan limit pengambilan uang tersebut hanya berlaku di ATM, tidak berlaku di kegiatan lain.
Unsur Pengendalian Aplikasi Terdapat beberapa unsur dalam pengendalian aplikasi, pengendalian aplikasi pada dasarnya terdiri dari : Pengendalian batas sistem (boundary controls) Pengendalian masukan (input controls) Pengendalian proses pengolahan data (process controls) Pengendalian keluaran (output controls) Pengendalian file/database (file/database controls) Pengendalian komunikasi aplikasi (communication controls) Namun yang akan dibahas dalam penulisan skripsi ini meliputi boundary controls, input controls, output controls.
Pengendalian batas sistem (boundary controls) Menurut Gondodiyoto (2007, hal. 374-375) yang dimaksud boundary adalah interface antara users dengan sistem berbasi teknologi informasi. Tujuan utama boundary controls adalah antara lain : Untuk mengenal identitas dan otentik/tidaknya pemakai sistem, artinya suatu sistem yang didesain dengan baik seharusnya dapat mengidentifikasi dengan tepat siapa users tersebut, dan apakah identitas diri yang dipakainya otentik. Untuk menjaga agar sumber daya sistem informasi digunakan oleh user dengan cara yang ditetapkan. Contoh dari pengendalian batasan : Otoritas akses ke sistem aplikasi Identitas dan otentisitas pengguna
Pengendalian masukan (input controls) Menurut Gondodiyoto (2007, hal. 377-378) pengendalian masukan (input controls) dirancang dengan tujuan untuk mendapat keyakinan bahwa data transaksi input adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan. Input controls ini merupakan pengendalian aplikasi yang penting karena input yang salah akan menyebabkan output juga keliru. Mekanisme masuknya data input ke sistem dapat dikategorikan ke dalam dua cara yaitu : Batch system (delayed processing systems) On line transaction processing system (pada umumnya bersifat real time system)
Batch system (delayed processing systems) Pada sistem pengolahan data secara batch processing system, tiap transaksi (misalnya formulir sensus, kartu pencoblosan pemilihan ketua umum, atau answer sheet ujian calon mahasiswa) dibundel dalam jumlah lembar tertentu untuk direkam. Demikian pula sistem batch dalam siklus akuntansi keuangan (book keeping untuk mencatat transaksi ke dalam jurnal, posting ke buku besar dan buku pembantu, serta pengolahan untuk menghasilkan laporan keuangan) dilakukan tidak pada saat transaksi itu terjadi. Sistem pengolahan data lebih bersifat back office system, yaitu semata-mata untuk mengolah data dokumen-dokumen akuntansi yang transaksinya sudah lewat. Jadi pengolahan datanya tertunda (delayed processing). Pada sistem batch ini orientasi utamanya adalah sistem pengolahan data (dahulu disebut sistem pengolahan data elektronik, electronic data processing, EDP). Data input yang akan dimasukkan ke sistem informasi berbasis teknologi pada hakikatnya dapat dikelompokan dalam tiga tahapan, yaitu (1) data capture (penangkapan data, pengisian dokumen sumber atau source document), (2) data preparation (penyiapan data untuk di entry), (3) data entry (pemasukan data) merupakan proses merekam atau memasukan data ke komputer, suatu proses mengubah data ke dalam bentuk yang dapat dibaca oleh mesin (machine readable form).
On line transaction processing system On line transaction processing system (pada umumnya bersifat real time system) Cara pemrosesan data input yang lain yang lebih lazim pada saat ini adalah dengan online transaction processing system. Pada sistem tersebut data masukan dientri dengan workstation/terminal atau jenis input device seperti ATM (automatic teller machine) dan point of sales (POS). Meskipun online bisa saja dengan memakai pola batch, tetapi biasanya online dikaitkan dengan real time system, artinya updating data di komputer bersamaan dengan terjadinya transaksi. Contoh dari pengendalian input : Otoritas dan validasi masukan Transmisi dan konversi data Penanganan kesalahan
Pengendalian keluaran (output controls) Pengendalian keluaran merupakan pengendalian yang dilakukan untuk menjaga output sistem agar akurat, lengkap, dan digunakan sebagaimana mestinya. Pengendalian keluaran (output controls) ini didesain untuk menjamin agar output / informasi dapat disajikan secara akurat, lengkap, mutakhir, dan didistribusikan kepada orang-orang yang berhak (para user) secara cepat dan tepat waktu. Yang termasuk pengendalian keluaran antara lain adalah : Rekonsiliasi keluaran dengan masukan dan pengolahan Rekonsiliasi keluaran dilakukan dengan cara membandingkan hasil keluaran dari sistem dengan dokumen asal. Penelaahan dan pengujian hasil-hasil pengolahan Pengendalian ini dilakukan dengan cara melakukan penelaahan, pemeriksaan dan pengujian terhadap hasil-hasil pengolahan dari sistem. Proses penelaahan dan pengujian ini biasanya dilakukan oleh atasan langsung pegawai.
Pendistribusian keluaran Pengendalian ini didesain untuk memastikan bahwa keluaran didistribusikan kepada pihak yang berhak, dilakukan secara tepat waktu dan hanya keluaran yang diperlukan saja yang didistribusikan. Contoh dari pengendalian output : Rekonsiliasi keseluruhan Penelaahan dan pengujian hasil pengolahan Distribusi keluaran
Sifat-Sifat Pengendalian Internal Menurut Gondodiyoto (2007, hal. 137), pengendalian internal digolongkan dalam preventive, detection, corrective : Preventive control, yaitu pengendalian internal yang dirancang dengan maksud untuk mengurangi kemungkinan (atau mencegah/menjaga jangan sampai terjadi kesalahan, kekeliruan, kelalaian, error) maupun penyalahgunaan (kecurangan, fraud) Detection control, yaitu pengendalian yang didisain dengan tujuan agar apabila data direkam (di-entry)/dikonfersi dari media sumber (media input) untuk di transfer ke sistem komputer dapat dideteksi apabila terjadi kesalahan (maksudnya tidak sesuai dengan kriteria yang ditetapkan). Corrective control, ialah pengendalian yang sifatnya jika terdapat data yang sebenarnya error tetapi tidak terdeteksi oleh program validasi, harus ada prosedur yang jelas tentang bagaimana melakukan pembetulan terhadap data yang salah dengan maksud untuk mengurangi kemungkinan kerugian atau kesalahan/ penyalahgunaan tersebut sudah benar-benar terjadi.
Kelompok Pegendalian Internal Pengendalian intern dikelompokkan dalam pengendalian yang bersifat wajib (mandatory) dan yang opsional Jika ada peraturan dari pemerintah DKI bahwa setelah jam 24.00 ruang ATM harus dikunci dalam rolling-door misalnya, maka ketentuan tersebut adalah mandatory. Jika ketentuan pengamanan ruang ATM tersebut tidak harus dilakukan, maka termasuk pengendalian yang bersifat opsional.
Aktivitas Pengendalian Menurut Weygandt (2011: 102), terdapat enam prinsip aktivitas pengendalian, yaitu: Penetapan tanggung jawab Pembagian tugas Prosedur dokumentasi Pengendalian fisik Verifikasi internal yang dilakukan secara independen Pengendalian sumber daya manusia
Fungsi Internal Auditor Menurut Hunton et.al. dalam Basalamah (2011: 17), seorang auditor TI sebaiknya ampu melakukan pekerjaan-pekerjaan sebagai berikut: Mengevaluasi pengendalian atas aplikasi-aplikasi tertentu, yang mencakup analisis terhadap risiko dan pengendalian atas aplikasi-aplikasi seperti e-business, sistem perencanaan sumber daya perusahaan. Memberikan asersi (assurance) atas proses-proses tertentu, seperti audit dengan prosedur-prosedur tertentu yang disepakati bersama dengan auditee mengenai lingkup asersi. Memberikan asersi atas aktifitas pengolahan data pihak ketiga dengan tujuan untuk memberikan asersi bagi pihak lain yang memerlukan informasi mengenai aktifitas pengendalian data yang dilakukan oleh pihak ketiga tersebut. Pengujian penetrasi, yaitu upaya untuk mengakses sumber daya informasi guna menemukan kelemahan-kelemahan yang ada dalam pengolahan data tersebut. Memberikan dukungan atas pekerjaan audit keuangan yang mencakup evaluasi atas risiko dan pengendalian TI yang dapat mempengaruhi kehandalan sistem pelaporan keuangan. Mencari kecurangan yang berbasis TI, yaitu menginvestigasi catatan-catatan komputer dalam investigasi kecurangan.