SPI

Hal 1 dari 22
BAB I
SISTEM PENGENDALIAN INTERN
Tujuan Pokok Sistem Pengendalian Intern:

1. Menjaga aktiva organisasi
a. Penggunaan aktiva harus melalui sistem otorisasi yang ditetapkan
1) Pembatasan akses langsung terhadap aktiva perusahaan
2) Pembatasan akses tidak langsung terhadap aktiva perusahaan
b. Pertanggungjawaban aktiva yang ada dengan catatannya
1) Membandingkan secara periodik aktiva dengan catatanya
2) Rekonsiliasi antar catatan akuntansi
2. Mengecek ketelitian dan keandalan data akuntansi
a. Pelaksanaan transaksi melalui sistem otorisasi yang ditetapkan
1) Pemberian otorisasi kepada pejabat yang berwenang
2) Pelaksanaan transaksi sesuai dengan otorisasi
b. Pencatatan transaksi secara akuntansi
1) Keberadaan/keterjadian
2) Kelengkapan
3) Hak dan kewajiban
4) Penilaian/ alokasi
5) Penyajian dan pengungkapan
3. Mendorong efisiensi
4. Mendorong dipauthinya kebijakan manajemen
Unsur Sistem pengendalian intern:

1. Organisasi yang memisahkan tanggung jawab dan wewenang secara tegas
a. Terdapat pemisahan antaran fungsi operasi, fungsi penyimpanan dan fungsi akuntansi
b. Suatu fungsi tidak boleh diberi tanggung jawab penuh untuk melakukan seluruh tahap pada suatu transaksi
2. Sistem otorisasi dan prosedur pencatatan
3. Praktik yang sehat
a. formulir harus prenumbered dan penggunaan formulir harus dipertanggung jawabkan oleh yang berwenang
b. Pemeriksaan mendadak (surprised audit)
c. Suatu fungsi tidak boleh diberi tanggung jawab penuh untuk melakukan seluruh tahap pada suatu transaksi
d. Perputaran jabatan (Job Rotation)
e. Keharusan pengambilan cuti bagi karyawan
f. Secara periodik dilakukan pencocokan fisik aktiva dengan catatannya
g. Pembentukan satuan pengawas intern (auditor internal)
4. Karyawan yang mutunya sesuai dengan tanggung jawabnya
a. Seleksi pegawai berdasarkan persyaratan yang dibutuhkan perusahaan
b. Pengembangan pendidikan karyawan
Lingkungan Pengendalian:
1. Filosopi Dan Gaya Operasi
Apa yang harus dikerjakan dan tidak dikerjakan dan cara manajer melakukan operasi perusahaan
2. Berfungsinya Dewan Komisaris Dan Komite Audit
3. Metode Pengendalian Manajemen
bagaimana perencanaan dan pengendalian atas pengalokasian sumber daya perusahaan, dengan tahap sebagai
berikut:
a. Penyusunan program
b. Penyusunan anggaran
c. Pelaksanaan dan pengukuran program/anggaran
d. Pelaporan dan analisis
4. Kesadaran Pengendalian
Hal 2 dari 22
Perbedaan Sistem Pengendalian Manual Vs Komputer
No Pengendalian Intern Akuntansi Pengendalian Intern Akuntansi dalam Sistem

dalam Sistem Manual Komputer
1 Pembagian tanggung jawab pelaksanaan Karena ketelitian dan kecepatan pengolahan data
suatu transaksi ke tangan beberapa dengan komputer, lebih sedikit diperlukan cek
orang atau departemen agar tercipta silang dalam pengolahan data, terutama yang
adanya cek silang (cross-check) dan menyangkut perhitungan dalam pengolahan data
spesialisasi pekerjaan klerikal. akuntansi.
2 Dilakukan pemeriksaan secara visual Komputer dapat melakukan berbagai pemeriksaan

terhadap transaksi penting dan dokumen (edit) yang semula dilakukan oleh manusia melalui
yang diproses melalui sistem. program komputer, sehingga mengurangi
pekerjaan editing dokumen secara visual.
3 Manual system menitik beratkan Sistem komputer menitikberatkan pengendalian

pengendalian di tangan manusia, yang melalui program komputer, sehingga pernbagian
dicapai dengan pembagian tanggung tanggung jawab fungsional dalam pelaksanaan
jawab pelaksanaan transaksi ke beberapa transaksi dapat dikurangi
orang atau bagian
Struktur Organisasi Departemen PDE
Manajer PDE
Manajer Sistem dan Manajer Fasilitas dan

Program Pengolahan Data
Analisis Pemrogr Perpust Konversi Operator Control Jasa

Sistem aman akaan data Group Teknik
Unsur Pengendalian Intern dalam Lingkungan EDP

Hal 3 dari 22
Pengendalian Umum (General Control)
1. Organisasi
Dalam manual system, pengendalian dilaksanakan dengan memisahkan fungsi-fungsi pokok: operasi, penyimpanan, dan
akuntansi. Suatu transaksi akan dilaksanakan oleh fungsi operasi jika ada otorisasi dari yang berwenang, hasil transaksi
akan disimpan oleh fungsi penyimpanan, dan transaksi yang terjadi akan dicatat oleh fungsi akuntansi.
Dalam sistem komputer, fungsi-fungsi otorisasi, operasi, dan akuntansi, seringkali digabung dalam wujud program
komputer, sehingga penggabungan ketiga fungsi ini memerlukan metode pengendalian khusus.
Untuk menciptakan sistem pengendalian intern dalam lingkungan pengolahan data elektronik, yang fungsi otorisasi dan
fungsi akuntansinya dimasukkan dalam program komputer, perlu diadakan pemisahan fungsi-fungsi berikut ini:
1. Fungsi perancangan sistem dan penyusunan program
2. Fungsi operasi fasilitas pengolahan data
3. Fungsi penyimpanan program dan kepustakaan
Pemisahan ketiga fungsi tersebut harus dilakukan dalam lingkungan pengolahan data elektronik karena:
1. Pemisahan ini akan menciptakan pengecekan silang (cross- check) terhadap sistem, dan kepantasan perubahan yang
dimasukkan dalam sistem.
2. Pemisahan ini dapat mencegah karyawan operator komputer melakukan perubahan terhadap program tanpa ijin dan
tanpa pengujian sebelumnya.
3. Pemisahan ini dapat mencegah akses terhadap komputer oleh bukan karyawan operator komputer dan oleh orang lain
yang tahu mengenai sistem.
4. Pemisahan ini akan mendorong efisiensi karena setiap fungsi tersebut memerlukan kemampuan, latihan, dan keahlian
yang berbeda dalam melaksanakan
2. Pengendalian terhadap Sistem dan Program
Dalam lingkungan pengolahan perancangan sistem dan program harus terpisah dari fungsi operasi data. Pengendalian
umum yang bersangkutan dengan fungsi pengembangan sistem dan program meliputi:
1. Prosedur penelaahan dan pengesahan sistem baru oleh komisi yang berwenang
2. Prosedur pengujian program
3. Prosedur pengubahan program
a. Perubahan program harus dilakukan oleh fungsi perancangan sistem dan program, bukan oleh fungsi
operasi fasilitas pengolahan data
b. Perubahan program harus melalui prosedur dan didokumentasikan dengan baik untuk mencegah
manipulasi program
c. Perubahan program harus diarsipkan dalam program run book (catatan atas seluruh perubahan program)
4. Dokumentasi, dilakukan dalam program run book berisi:
a. Deskripsi tujuan program
b. Flowchart
c. Himpunan daftar program
d. Intruksi pemakaian program komputer
e. Catatan pengujian program
f. Contoh semua laporan yang dihasilkan program
3. Pengendalian terhadap Fasilitas Pengolahan Data
Fasilitas pengolahan data meliputi empat bidang utama berikut ini:

1. Operasi konversi data
a. Kegiatan konversi data terdiri dari pengubahan data dari dokumen sumber ke dalam bentuk yang
dapat dibaca oleh komputer (machine- readableform), baik dengan metode batch atau dengan direct- entry mode
b. Operasi komputer dapat diawasi dengan menggunakan console control
c. Console dapat digunakan untuk menghentikan dan menjalankan sistem serta untuk menjalankan lagi
komputer yang terhenti akibat kerusakan
d. Dengan menggunakan console, operator dapat menentukan status internal register dan dapat
digunakan untuk memasukkan data secara manual ke dalam sistem
e. Console juga menghasilkan console log untuk mencatat semua kegiatan fasilitas komputer
2. Operasi komputer
Operasi komputer harus diawasi sedemikian rupa untuk menjamin keandalan data akuntansi yang diolah dan untuk
memberikan perlindungan terhadap arsip data dan program dari kehilangan, kerusakan, atau pengubahan dan
pengungkapan tanpa ijin. Pengendalian terhadap operasi komputer meliputi:
a. Akses terhadap ruang komputer hanya terbatas bagi karyawan tertentu saja.
b. Pengendalian terhadap penggunaan arsip yang disimpan dalam perpustakaan
c. Pembuatan instruksi yang jelas mengenai pengubahan data dari dokumen sumber ke dalam bentuk yang dapat
dibaca oleh komputer.
d. Prosedur dalam penyimpanan arsip di perpustakaan.
e. Penjagaan keamanan fisik terhadap arsip dan komputer.
f. Pembuatan prosedur rekonstruksi catatan.
g. Prosedur pembuatan arsip cadangan (backup).
h. Passwords yang digunakan untuk mengatur wewenang penggunaan data yang disimpan dalam komputer.
Hal 4 dari 22
3. Perpustakaan
Pengendalian terhadap penyimpanan arsip data dan program harus dilakukan oleh karyawan perpustakaan dalam
tempat yang terlindung dengan baik, yang hanya dapat dimasuki oleh karyawan yang diijinkan untuk itu. Arsip yang
disimpan dalam perpustakaan harus ditangani dengan pedoman bahwa setiap arsip harus secara spesifik menunjukkan:
a. Nama dan nomor arsip
b. Otorisasi yang diperlukan untuk meminjamkan arsip yang penggunaannya terbatas
c. Siklus pemutakhiran
d. Siklus penyimpanan
e. File size dan block size.
f. Bagaimana merekonstruksi arsip jika terjadi kerusakan.
g. Bagaimana arsip disimpan dalam perpustakaan.
4. Fungsi pengendalian.
Fungsi pengendalian berkaitan dengan pengendalian terhadap masukan dan keluaran Departernen Pengolahan Data
Elektronik. Fungsi pengendalian ini dibagi menjadi dua: (1) fungsi pengawas internal dan (2) fungsi pengawas ekstern.
Fungsi pengawas internal dilaksanakan oleh bagian Control Group dalam Departernen Pengolahan Data Elektronik,
yang mencakup:
a. Mengawasi tahap pengolahan data sejak diterima dari pemakai sampai dengan saat dikirimkannya informasi
kepada pemakai tersebut.
b. Bertindak sebagai penghubung antara departemen pengolahan elektronik dengan para pemakai.
c. Mencatat input control totals dalam control log untuk dicocokkan dengan total yang dihitung oleh komputer.
d. Mengawasi kesalahan-kesalahan yang ditolak oleh komputer, untuk menjamin bahwa semua kesalahan telah
dikoreksi dan hasil koreksinya telah dimasukkan ke dalam sistem komputer.
e. Menjamin bahwa laporan yang merupakan keluaran departemen Pengolahan Data Elektronik dapat disajikan pada
waktunya dan didistribusikan kepada manajer yang berhak menerimanya.
Fungsi pengawas ekstern dilaksanakan dengan berbagai cara, namun pada dasarnya dimaksudkan untuk melakukan
pengecekan secara independen terhadap pelaksanaan fungsi Departemen PengoIahan Data Elektronik. Pengecekan
tersebut dilakukan oleh departemen pemakai, atau dalam perusahaan yang besar dilakukan oleh unit organisasi khusus
yang dibentuk dalam Departemen Akuntansi dan Keuangan. Unit organisasi khusus yang dibentuk sebagai pengawas
ekstern bagi Departemen Pengolahan Data Elektronik mempunyai tugas berikut ini:
a. Mengadakan pernbandingan keluaran Departemen Pengolahan Data Elektronik dengan yang direncanakan untuk
mendeteksi adanya unsur-unsur yang tidak biasa dan mengusulkan tindakan koreksi.
b. Melakukan pengambilan sampel secara sistematik terhadap keluaran Departemen Pengolahan Data Elektronik
untuk menentukan apakah sistem yang digunakan berfungsi sebagaimana yang dirancang.
c. Menangani pertanyaan, permintaan, dan kritik dari pemakai mengenai keluaran Departemen Pengolahan Data
Elektronik, sebagai umpan balik bagi perancang sistem dan pembuat program.
Pengendalian Aplikasi (Application Control)
Pengendalian aplikasi dirancang untuk memenuhi persyaratan pengendalian khusus setiap aplikasi. Pengendalian aplikasi
mempunyai tujuan berikut ini:
1. Menjamin bahwa semua transaksi yang telah diotorisasi telah diproses sekali saja secara lengkap.
2. Menjamin bahwa data transaksi lengkap dan teliti.
3. Menjamin bahwa pengolahan data transaksi benar dan sesuai dengan keadaan.
4. Menjamin bahwa hasil pengolahan data dimanfaatkan untuk tujuan yang telah ditetapkan.
5. Menjamin bahwa aplikasi dapat terus menerus berfungsi.
Pengendalian aplikasi dapat dibagi menjadi:

1. Pengendalian preventif
2. Pengendalian detektif atau pengendalian yang bersifat korektif.
1. Pengendalian Preventif
Pengendalian preventif bertindak sebagai petunjuk untuk membantu sesuatu terjadi seperti yang seharusnya terjadi.
Pengendalian ini sangat diperlukan dalam pengolahan data elektronik, karena hal ini dapat mencegah terjadinya masalah.
Pengendalian preventif diletakkan di sepanjang proses pengolahan data dalam sistem pengolahan data elektronik.
Umumnya unsur pengendalian preventif dilaksanakan sebelum data masuk ke dalam program komputer. Pengendalian
preventif meliputi unsur-unsur berikut ini:
1. Otorisasi data sumber
2. Konversi data
3. Penyiapan data sumber
4. Turnaround documents
5. Formulir bernomor urut tercetak
6. Validasi masukan
7. Pemutakhiran arsip dengan komputer
8. Pengendalian terhadap pengolahan data.
Otorisasi Data Sumber. Sebelum data diolah dengan komputer, harus ada teknik yang digunakan untuk mendeteksi
apakah data tersebut telah diotorisasi oleh yang berwenang. Contoh data sumber yang memerlukan otorisasi sebelum
diproses oleh komputer adalah syarat kredit, potongan harga, tarif komisi, dan jam lembur. Dokumen yang dipakai sebagai
sumber data untuk diolah dalam komputer sedapat mungkin harus berisi bukti otorisasi dari yang berwenang dan ditelaah
Hal 5 dari 22
oleh Control Group dalam Departemen Pengolahan Data Elektronik. Sedapat mungkin komputer harus digunakan untuk
memberikan otorisasi terhadap masukan dengan menggunakan pengendalian melalui program.
Konversi Data. Konversi data adalah proses pengubahan data dari bentuk yang tidak dapat dibaca oleh mesin menjadi
bentuk yang dapat dibaca oleh mesin. Karena konversi data merupakan kegiatan manual, diperlukan pengendalian untuk
menjamin bahwa konversi data dilaksanakan dengan teliti. Teknik yang biasa dipakai mengawasi konversi data adalah:
1. Pembuatan dokumen sumber sebagai produk sampingan dari kegiatan pencatatan. Sebagai contoh, pada saat
pembuatan faktur penjualan dengan komputer, sekaligus komputer membuat transaction file yang akan digunakan
untuk memutakhirkan arsip induk persediaan (inventory master file) dan membuat laporan analisis penjualan.
2. Penggunaan turnaround documents yang meniadakan kegiatan konversi data.
Penyiapan Data Sumber. Dalam lingkungan pengolahan data elektronik, dokumen sumber yang konvensional masih
banyak digunakan, oleh karena itu diperlukan pengendalian sebelum dokumen sumber tersebut dikonversi ke dalam bentuk
yang dapat dibaca oleh mesin. Cara-cara yang umumnya ditempuh untuk mengawasi penyiapan data sumber adalah
sebagai berikut:
1. Parancangan formulir secara khusus untuk mendorong perekaman data secara teliti ke dalamnya.
2. Pemeriksaan terhadap dokumen sumber oleh karyawan untuk mendeteksi kesalahan eja, penulisan kode yang tidak
sah, penulisan jumlah yang tidak masuk akal, dan data lain yang tidak semestinya.
3. jika dokumen sumber dihilangkan dalam sistem pengolahan data elektronik atau digunakan formulir yang tidak
memungkinkan pemeriksaan oleh manusia, pengendalian terhadap penyiapan data sumber dilakukan sedemikian rupa
untuk mencegah akses dan penggunaan ekuipmen yang dipakai untuk mencatat dan mengirimkan data, agar dapat
dihindari penggunaan tanpa ijin atau penggunaan yang tidak semestinya.
Turnaround Documents. Turnaround documents dapat menciptakan ketelitian dalam penyiapan masukan yang akan
diolah dengan komputer. Contoh turnaround document adalah dokumen tagihan yang dikeluarkan oleh suatu perusahaan
yang dirancang terdiri dari 2 bagian. Bagian pertama berupa kartu plong (punched card) yang berisi data nomor rekening
dan jumlah rupiah tagihan. Bagian ini disobek oleh debitur dan dikembalikan lagi ke perusahaan pada saat pembayaran
tagihan. Oleh perusahaan, bagian ini langsung dipakai sebagai media masukan untuk pengolahan dengan komputer
transaksi penerimaan kas. Bagian ke dua disimpan oleh debitur sebagai arsip.
Formulir Bernomor Urut Tercetak- Seperti halnya dalam manual system, penggunaan formulir bernomor urut tercetak
yang pemakaiannya dipertanggungjawabkan merupakan unsur sistem pengendalian intern untuk mendorong adanya praktik
yang sehat.
Validasi Masukan. Cara ini merupakan upaya terakhir untuk mengawasi penyiapan masukan yang akan diolah dengan
komputer. Validasi masukan ini dilakukan dengan menggunakan kemampuan komputer dalam memeriksa (edit) masukan
dengan menggunakan program. Pemeriksaan yang dilakukan oleh komputer mencakup inspeksi dan penerimaan (atau
penolakan) transaksi sesuai dengan validitas kuantitas, kode, dan data lain yang terdapat dalam masukan. Kemampuan
komputer dalam mengedit masukan dapat mendeteksi kesalahan penyiapan masukan yang tidak dapat terdeteksi dengan
alat pengendalian yang telah diuraikan di atas. Kemampuan mengedit komputer dapat dicapai dengan memasukkan
pengecekan dalam program yang dapat berupa:
1. Validity tests.
digunakan untuk menjamin bahwa transaksi berisi kode, caracter, dan field size yang sah. Sebagai contoh, jika nomor
kode persediaan hanya terdiri dari 4 angka, pemasukan data kode persediaan yang melebihi 4 angka ke dalam
komputer akan ditolak oleh komputer.
2. Completeness tests.
digunakan untuk menjamin bahwa masukan mempunyai jumlah data seperti yang telah ditetapkan dalam semua data
field.
3. Logical tests.
digunakan dalam transaksi yang berbagai bagian atau, field yang terdapat dalam catatan (record) mempunyai
hubungan logis antara yang satu dengan yang lain. Program komputer dapat digunakan untuk mengecek hubungan
logis tersebut untuk menolak kombinasi yang salah meskipun nilai secara individual dapat diterima.
4. Limit tests.
digunakan untuk menguji record field untuk mengetahui apakah batas tertentu yang ditetapkan telah dilampaui.
Sebagai contoh field untuk jam kerja karyawan yang telah diprogram tidak mungkin diisi lebih besar dari 40 jam,
akan menolak angka yang lebih dari 40 jam.
5. Seff-cbecking digits.
digunakan untuk menjamin ketelitian nomor identifikasi scperti kode rekening. Check digit ditentukan dengan
melakukan perhitungan atas nomor identifikasi itu sendiri.
6. Control totals.
Control totals dihitung dari field jumlah rupiah atau kuantitas dari kelompok record dalam komputer yang digunakan
untuk mengecek jumlah rupiah atau kuantitas yang terdapat dalam kelompok dokumen sumber yang dihitung secara
manual. Control totals ini digunakan untuk menjamin bahwa semua masukan telah dicatat dalam arsip komputer.
Pemutakhiran Arsip dengan Komputer. Setelah data transaksi divalidasi, komputer kemudian digunakan untuk
memutakhirkan arsip induk (masterfile) dengan menggunakan arsip transaksi (transaction file) yang telah divalidasi
tersebut. Pemutakhiran arsip induk dengan menggunakan komputer meliputi pengurutan transaksi, pernbandingan record
dalam arsip transaksi dengan record dalam arsip induk, perhitungan, dan manipulasi serta penyusunan data untuk
keperluan pemutakhiran arsip induk dan produksi keluaran untuk didistribusikan kepada departemen pemakai atau untuk
proses pengolahan komputer lanjutan. Pengendalian pemutakhiran arsip dengan komputer tergantung pada pengendalian
penyusunan program, pengecekan perangkat keras yang dirancang dan dibangun di dalamnya oleh produsen perangkat
keras, dan pengendalian melalui program yang dirancang dalam program yang dipakai untuk pengolahan data. Teknik
pengendalian lain yang digunakan untuk mengawasi pemutakhiran arsip dengan komputer adalah pemeliharaan arsip.
Hal 6 dari 22
Pemeliharaan arsip terdiri dari prosedur pengubahan informasi yang bersifat permanen yang terdapat dalam arsip induk.
Contoh informasi tersebut adalah nama karyawan, pangkat, dan gaji pokok. Karena informasi yang bersifat permanen ini
sangat penting dalam pengolahan data dengan komputer, maka diperlukan prosedur formal untuk mengubahnya.
Pengendalian terhadap Pengolahan Data. pengendalian terhadap pengolahan data dilakukan dengan menggunakan
pengendalian terprogram. pengendalian terprogram. dirancang untuk mendeteksi kehilangan data, mengecek perhitungan,
dan menjamin pembukuan transaksi dengan benar, pengendalian terprogram dapat berbentuk pengendalian berikut ini:
1. Record counts
Record counts adalah jumlah record yang diolah oleh komputer. Hasil penghitungan record tersebut kemudian
dibandingkan dengan jumlah yang ditentukan sebelumnya.
2. Control totals
3. Hash totals
Hash totals adalah jumlah angka yang terdapat dalam non-quantity field, seperti nomor kode pemasok atau nomor
kode langganan.
4. Limit checks
Limit checks adalah batasan yang dibuat dalam program komputer untuk menolak data yang diluar batas yang
ditetapkan sebelumnya. Misalnya gaji karyawan perusahaan berkisar antara Rp 150.000 sampai dengan Rp 5.000.000
per bulan. Program pembuatan daftar gaji dibuat dengan memasukkan kedalam program untuk memungkinkan
komputer menolak data jumlah gaji yang berada diluar kisaran gaji tersebut.
5. Cross- footing balance check
Cross- footing balance check adalah pembandingan secara internal (melalui program komputer) antara jumlah catatan
yang satu dengan jumlah catatan yang lain.
6. Overflow test
Overflow test digunakan untuk menentukan apakah ukuran hasil perhitungan melebihi ukuran yang telah disediakan
untuk menampung hasil perhitungan tersebut.
7. File check
File check merupakan pengendalian yang digunakan untuk menjamin bahwa arsip yang digunakan dalam pengolahan
data adalah benar.
2. Pengendalian Detektif
Pengendalian detektif tidak akan mencegah terjadinya masalah, namun akan memberi petunjuk di mana letak terjadinya
masalah. Contoh pengendalian detektif adalah data transmission, control register, control totals, dokumentasi dan testing,
penggunaan label, dan output check. I
Setelah data sumber disiapkan, diotorisasi, dan diubah kedalam bentuk yang dapat diproses dengan komputer, data
tersebut kemudian dikirim dari departemen sumber ke Departemen Pengolahan Data Elektronik. Pengiriman data dapat
dilakukan secara konvensional (melalui pos atau pengantar) atau melalui alat transmisi. Satu teknik pengendalian yang
penting dalam pengiriman data adalah dengan mengelompokkan transaksi yang banyak kedalam satu kelompok kecil
(disebut batching). Batching dan control totals merupakan teknik pengendalian baik dalam konversi data maupun
pengiriman data. Cara pengendalian ini dapat mengecek kelengkapan transaksi yang diproses melalui komputer dan dapat
menjamin bahwa semua transaksi telah diterima oleh Departemen Pengolahan Data Elektronik.
Cara lain untuk menjamin bahwa pengiriman data adalah dengan mencatat control totals dalam suatu control log yang
dapat memungkinkan Control Group dalam Departemen Pengolohan Data Elektronik dapat merekonsiliasi input controls
dengan control totals yang dihasilkan dari pengolahan komputer.
Control totals biasanya dihitung dari batch data masukan. Control totals ini dihitung secara manual, sebelum pengolahan
data dilaksanakan, dan kemudian dimasukkan sebagai masukan dalam tahap pengolahan oleh komputer. Komputer dapat
diprogram untuk mengitung control totals dalam proses pengolahan data, dan kemudian membandingkannya dengan
control totals yang dimasukkan sebagai masukan tersebut. Pesan yang bersangkutan dengan hasil pernbandingan tersebut
dicetak untuk ditelaah oleh Control Group dalam Departemen Pengolahan Data Elektronik.
Ketelitian penyusunan program dapat terjamin jika diadakan dokumentasi program yang memadai dan pengujian program
secara ektensif. Dokumentasi program akan membantu pencarian kesalahan program dan memudahkan pembetulan
kesalahan program, meskipun perancang programnya sudah tidak ada di perusahaan. Pengujian program secara ekstensif
dalam kondisi nyata, tanpa mengikut sertakan penyusun programnya, akan memperkecil kemungkinan adanya
tipuan-tipuan yang dimasukkan dalam program dan akan memperlancar penerapan sistem.
Pemberian label akan memudahkan identifikasi arsip dan akan mencegah penggunaan arsip secara keliru. Label arsip ditulis
dalam bentuk yang dibaca dengan komputer dan termasuk dalam pengendalian program. Label juga ditempelkan secara
fisik pada disket arau reel pita.
Out put check terdiri dari prosedur dan t knik pengendalian berikut ini:
1. Rekonsiliasi data keluaran, terutama control totals, dengan control totals yang ditentukan sebelumnya dalam waktu
menyiapkan data masukan.
2. Review terhadap data keluaran mengenai kewajaran dan formatnya,
3. Pengendalian terhadap data masukan yang ditolak oleh komputer dalam pengolahan data, dan pendistribusian data
yang ditolak tersebut kepada karyawan yang bersangkutan.
4. Pendistribusian laporan yang dikeluarkan oleh komputer kepada departemen pemakai pada waktu yang tepat.
Hal 7 dari 22
BAB II
PENGENDALIAN INTERN SPAP
SA Seksi 319 dalam SPAP memberikan panduan tentang pertimbangan auditor atas pengendalian intern klien dalam
audit terhadap laporan keuangan berdasarkan standar auditing yang ditetapkan Ikatan Akuntan Indonesia.
Berkaitan dengan standar pekerjaan lapangan yang kedua, yaitu: "Pemahaman memadai atas pengendalian intern
harus diperoleh untuk merencanakan audit dan menentukan sifat, saat, dan lingkup pengujian yang akan dilakukan",
maka dalam semua audit, auditor harus memperoleh pemahaman tentang pengendalian intern yang memadai untuk
merencanakan audit dengan melaksanakan prosedur untuk memahami desain pengendalian yang relevan dengan audit
atas laporan keuangan, dan apakah pengendalian intern tersebut dioperasikan.
Definisi Pengendalian Intern
Pengendalian intern adalah suatu proses -yang dijalankan oleh dewan komisaris manajemen, dan personel lain entitas-
yang didesain untuk memberikan keyakinan memadai tentang pencapaian tiga golongan tujuan berikut ini: (a) keandalan
pelaporan keuangan, efektivitas dan efisiensi operasi, dan (c) kepatuhan terhadap hukum dan peraturan yang berlaku.
Pengendalian terdiri dari lima komponen yang saling terkait berikut ini:
1. Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi kesadaran pengendalian orang-
orangnya. Lingkungan pengendalian merupakan dasar untuk semua komponen pengendalian intern, menyediakan
disiplin dan struktur.
2. Penaksiran risiko adalah identifikasi entitas dan analisis terhadap risiko yang relevan untuk mencapai tujuannya,
membentuk suatu dasar untuk menentukan bagaimana risiko harus dikelola.
3. Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin bahwa arahan manajemen
dilaksanakan
4. Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran informasi dalam suatu bentuk
dan waktu yang memungkinkan orang melaksanakan tanggung jawab mereka.
5. Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian intern sepanjang waktu.
Lingkungan Pengendalian
Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi kesadaran pengendalian orang-orangnya.
Lingkungan pengendalian merupakan dasar untuk semua komponen pengendalian intern yang lain, menyediakan disiplin
dan struktur.
Lingkungan pengendalian mencakup faktor-faktor berikut ini:

1. Integritas dan nilai etika.
2. Komitmen terhadap kompetensi.
3. Partisipasi dewan komisaris atau komite audit.
4. Filosofi dan gaya operasi manajemen.
5. Struktur organisasi.
6. Pemberian wewenang dan tanggung jawab.
7. Kebijakan dan praktik sumber daya manusia.
Penafsiran Risiko
Penaksiran risiko entitas untuk tujuan pelaporan keuangan merupakan pengidentifikasian analisis, dan pengelolaan risiko
yang relevan dengan penyusunan laporan keuangan yang disajikan secara wajar sesuai dengan prinsip akuntansi yang
berlaku umum di Indonesia.
Risiko yang relevan dengan pelaporan keuangan mencakup peristiwa dan keadaan intern dan ekstern yang mungkin terjadi
dan secara negatif berdampak terhadap kemampuan entitas untuk mencatat, mengolah, meringkas, dan melaporkan data
keuangan konsisten dengan asersi manajemen dalam laporan keuangan.
Risiko dapat timbul atau berubah karena keadaan seperti berikut ini:
1. Perubahan dalam lingkungan operasi.
2. Personel baru.
3. Sistem informasi baru atau yang diperbaiki.
4. Pertumbuhan yang pesat.
5. Teknologi baru.
6. Lini produk, produk, atau aktivitas baru.
7. Restrukturisasi korporat.
8. Operasi luar negeri.
9. Penerbitan standar akuntansi baru.
Aktifitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu meyakinkan bahwa tindakan yang diperlukan telah
dilaksanakan untuk menghadapi risiko dalam pencapaian tujuan entitas. Aktivitas pengendalian memiliki berbagai tujuan dan
diterapkan di berbagai tingkat organisasi dan fungsi.
Hal 8 dari 22
Umumnya, aktivitas pengendalian yang mungkin relevan dengan audit dapat digolongkan sebagai kebijakan dan prosedur
yang berkaitan dengan berikut ini:
1. Review kinerja.
2. Pengolahan informasi.
3. Pengendalian fisik.
4. Pemisahan tugas.
Informasi dan komunikasi

Sistem informasi yang relevan dengan tujuan pelaporan keuangan, yang mencakup system akuntansi, terdiri dari metode
dan catatan yang dibangun untuk mencatat, mengolah, meringkas, dan melaporkan transaksi entitas (termasuk peristiwa
dan keadaan) dan untuk menyelenggarakan akuntabilitas terhadap aktiva, utang, ekuitas yang bersangkutan. Kualitas
informasi yang dihasilkan oleh sistem berdampak kemampuan manajemen untuk mengambil keputusan semestinya
dalam mengelola dan mengendalikan aktivitas entitas dan untuk menyusun laporan keuangan yang andal.
Komunikasi mencakup pemberian pemahaman atas peran dan tanggung jawab individual berkenaan dengan pengendalian
intern atas pelaporan keuangan. Komunikasi meliputi luasnya pemahaman personel tentang bagaimana aktivitas mereka
dalam sistem informasi pelaporan keuangan berkaitan dengan pekerjaan orang lain dan cara pelaporan
penyimpangan kepada tingkat yang semestinya dalam entitas. Pembukaan saluran komunikasi membantu
memastikan bahwa penyimpangan dilaporkan dan ditindaklanjuti.
Komunikasi dapat mengambil berbagai bentuk seperti panduan kebijakan, akuntansi, dan panduan pelaporan keuangan, serta
memorandum. Komunikasi juga dapat dilakukan secara lisan dan melalui tindakan manajemen.
Pemantauan
Pemantauan adalah proses penetapan kualitas kinerja pengendalian intern sepanjang waktu. Pemantauan mencakup penentuan
desain dan operasi pengendalian tepat waktu dan tindakan perbaikan yang dilakukan. Proses ini dilaksanakan melalui
aktivitas pemantauan secara terus menerus, evaluasi secara terpisah, atau suatu kombinasi di antara keduanya.
Pemantauan secara terus menerus terhadap aktivitas dibangun ke dalam aktivitas normal entitas yang terjadi secara
berulang dan meliputi aktivitas pengelolaan dan supervisi yang reguler.
Dalam banyak entitas, auditor intern atau personel yang melaksanakan fungsi semacam itu, membantu untuk melakukan
pemantauan atas aktivitas entitas melalui evaluasi secara terpisah. Mereka secara teratur memberikan informasi tentang
berfungsinya pengendalian intern, memfokuskan sebagian besar perhatian mereka pada evaluasi terhadap desain dan operasi
pengendalian intern. Mereka mengkomunikasikan informasi tentang kekuatan dan kelemahan dan rekomendasi untuk
memperbaiki pengendalian intern.
Aktivitas pemantauan dapat mencakup penggunaan informasi dari komunikasi dari pihak luar. Customers secara tersirat
menguatkan data penagihan dengan pembayaran faktur mereka atau pengajuan keluhan tentang pembebanan yang
diterimanya. Di samping itu badan pengatur kemungkinan berkomunikasi dengan entitas berkaitan dengan masalah-
masalah yang berdampak terhadap berfungsinya pengendalian intern, seperti, komunikasi tentang pemeriksaan oleh badan
pengatur perbankan. Demikian pula, manajemen dapat mempertimbangkan komunikasi yang berkaitan dengan pengendalian
intern dari auditor ekstern dalam pelaksanaan aktivitas pemantauan.
SA Seksi 319 dalam SPAP memberikan panduan tentang pertimbangan auditor atas pengendalian intern klien dalam
audit terhadap laporan keuangan berdasarkan standar auditing yang ditetapkan Ikatan Akuntan Indonesia.
Pelaporan Pengendalian Intern Suatu Entitas Atas Pelaporan Keuangan

Pelaporan pengendalian intern suatu entitas atas pelaporan keuangan diatur dalam SAT seksi 400, dengan sumber PSAT
No.05. Seksi ini memberikan panduan bagi praktisi yang mengadakan perikatan untuk memeriksa dan melaporkan asersi
tertulis manajemen tentang efektivitas pengendalian intern suatu entitas atas pelaporan keuangan pada saat tertentu.
Panduan yang diberikan berupa:
1. Kondisi yang harus dipenuhi bagi praktisi untuk memeriksa dan melaporkan asersi manajemen tentang efektivitas
pengendalian intern suatu entitas;
2. Pelarangan bagi praktisi untuk menerima perikatan review atas asersi manajemen tentang efektivitas pengendalian
intern suatu entitas.
3. Perikatan untuk memeriksa dan melaporkan asersi manajemen tentang efektivitas desain dan operasi
pengendalian intern suatu entitas.
4. Perikatan untuk memeriksa dan melaporkan asersi manajemen tentang efektivitas desain dan operasi suatu
segmen pengendalian intern.
5. Perikatan untuk memeriksa dan melaporkan asersi manajemen hanya tentang kesesuaian desain pengendalian
intern suatu entitas (tidak terdapat asersi yang dibuat tentang efektivitas operasi pengendalian intern).
6. Perikatan untuk memeriksa dan melaporkan asersi manajemen tentang efektivitas desain dan operasi
pengendalian intern suatu entitas berdasarkan atas kriteria yang ditetapkan oleh badan pengatur.
Pengendalian intern suatu entitas atas pelaporan keuangan (selanjutnya disebut pengendalian intern) mencakup
kebijakan dan prosedur yang berkaitan dengan kemampuan entitas untuk mencatat, mengolah, meringkas, dan
melaporkan data keuangan konsisten dengan asersi yang terkandung dalam laporan keuangan tahunan atau laporan
keuangan interim, atau dalam kedua laporan tersebut. Praktisi yang mengadakan perikatan ini harus mematuhi standar
umum, standar pekerjaan lapangan, dan standar pelaporan SAT seksi 100 (PSAT No.02) Standar Atestasi dan standar
pelaksanaan dan pelaporan khusus yang diterapkan dalam seksi ini.
Manajemen dapat menyajikan asersi tertulis tentang efektivitas pengendalian intern dalam bentuk:
Hal 9 dari 22
a. Suatu laporan terpisah yang akan melampiri laporan praktisi
b. Suatu surat representasi yang ditujukan kepada praktisi
Suatu entitas dapat menerbitkan berbagai dokumen yang berisi informasi lain sebagai tambahan tehadap asersi manajemen
tentang efektivitas pengendalian intern entitas dan laporan praktisi mengenai asersi manajemen tersebut.
Tujuan pemeriksan praktisi atas asersi manajemen tentang efektivitas pengendalian intern adalah untuk menyatakan
pendapat tentang apakah asersi manajemen bahwa entias menyelengarakan pengendalian intern yang efektif pada saat
tertentu disajikan secara wajar, dalam semua hal yang material, berdasarkan kriteria pengendalian. Sedangkan tujuan
pertimbangan auditor atas pengendalian intern dalam audit atas laporan keuangan adalah untuk memungkinkan auditor
merencanakan auditnya dan menentukan sifat, waktu, dan lingkup pengujian yang harus dilaksanakan.
Pertimbangan auditor atas pengendalian intern lebih terbatas sifatnya dibandingkan dengan yang dilakukan oleh praktisi
dalam mengadakan perikatan untuk memeriksa asersi manajemen tentang efektivitas pengendalian intern. Pengetahuan
yang diperoleh praktisi tentang pengendalian intern dapat dipakai sebagai dasar untuk pemahaman atas pengendalian
intern dalam audit atas laporan keuangan. Sebaliknya, praktisi dapat mempertimbangkan hasil pengujian pengendalian,
beserta kelemahan material yang diidentifikasinya, pada waktu mementukan resiko pengendalian dalam audit atas laporan
keuangan.
Pengendalian Intern Dalam Pengolahan Data Elektronik
SA Seksi 327 tentang Teknik Audit Berbantuan Komputer

Dalam suatu lingkungan sistem informasi komputer, penerapan prosedur audit mungkin mengharuskan auditor untuk
mempertimbangkan teknik-teknik yang menggunakan computer sebagai alat audit yang disebut dengan istilah Teknik Audit
Berbantuan Komputer (TABK).
Faktor-faktor yang harus dipertimbangkan dalam menentukan apakah TABK akan digunakan dalam audit adalah:
Pengetahuan, keahlian, dan pengalaman komputer yang dimiliki auditor
Tersedianya TABK dan fasilitas komputer yang sesuai
Ketidakpraktisan pengujian manual
Efektivitas dan efisiensi
Saat pelaksanaan
Pengendalian penerapan TABK

Penggunaan TABK harus dikendalikan oleh auditor untuk memberikan keyakinan memadai bahwa tujuan audit dan
spesifikasi rinci TABK terpenuhi dan bahwa TABK tidak dimanipulasi oleh staf entitas. Dalam menciptakan pengendalian
audit, auditor harus mempertimbangkan perlunya untuk:
Menyetujui spesifikasi teknis dan melaksanakan review teknis
Me-review pengendalian umum entitas terhadap SIK yang dapat memberikan kontribusi terhadap integritas TABK
Menjamin integrasi semestinya semua keluaran yang dihasilkan oleh auditor ke dalam proses audit
Prosedur pengendalian
A. Perangkat lunak audit
- partisipasi dalam perancangan dan pengujian program computer
- pengecekan pengkodean program untuk menjamin kesesuaian dengan spesifikasi program rinci
- permintaan kepada staf komputer untuk me-review perintah-perintah sistem operasi untuk menjamin perangkat
lunak dapat berjalan dalam instalasi komputer entitas
- pengoperasian perangkat lunak audit untuk file uji kecil sebelum melaksanakan untuk file data utama
- penjaminan bahwa file yang benar yang digunakan
- pemerolehan bukti bahwa perangkat lunak audit tersebut berfungsi sebagai mana direncanakan
- penciptaan cara-cara pengamanan yang semestinya untuk menjaga keamanan dari kemungkinan manipulasi data
file
B. Data uji
- pengendalian urutan penyerahan data uji yang diolah di beberapa siklus pengolahan
- pelaksanaan uji pengoperasian program (test runs) yang berisi jumlah data uji kecil sebelum penyerahan data uji
audit utama
- prediksi hasil data uji dan pembandingan hasil tersebut dengan keluaran data uji sesungguhnya
- konfirmasi bahwa versi terakhir program telah digunakan untuk mengolah data uji
- pemerolehan keyakinan memadai bahwa program yang digunakan untuk mengolah data uji digunakan oleh entitas
selama periode yang diaudit
SA Seksi 343 tentang Lingkungan Sistem Informasi Komputer Komputer Mikro Berdiri Sendiri
Seksi ini menggambarkan dampak komputer mikro terhadap sistem akuntansi dan pengendalian intern yang berkaitan dan
terhadap prosedur audit. Komputer mikro dapat digunakan untuk mengolah transaksi akuntansi dan untuk menghasilkan
laporan yang penting untuk penyusunan laporan keuangan. Tipe pengendalian intern tertentu harus ditekankan oleh auditor
karena karakteristik komputer mikro itu sendiri dan lingkungan tempat komputer mikro itu digunakan.
Konfigurasi dan karakteristik komputer mikro

Suatu komputer mikro dapat digunakan dalam berbagai konfigurasi, seperti:
a. Satu stand-alone workstation yang dioperasikan oleh satu pemakai atau beberapa pemakai pada waktu yang
berbeda
b. Satu workstation yang merupakan bagian dari local area network mikro komputer
c. Satu workstation yang dihubungkan dengan suatu komputer pusat
Hal 10 dari 22
Karakteristik komputer mikro antara lain memiliki kemampuan perhitungan yang besar, cukup kecil untuk dipindahkan,
relatif tidak mahal dan dapat dioperasikan segera, pengoperasiannya mudah karena user friendly, dan perangkat lunak
sistem operasi kurang menyeluruh dibandingkan dengan yang terdapat dalam lingkungan komputer yang lebih besar.
Pengendalian intern dalam lingkungan komputer mikro

Prosedur pengamanan dan pengendalian yang dapat membantu meningkatkan tingkat pengendalian intern secara
menyeluruh adalah sebagai berikut:
a. Otorisasi manajemen untuk mengoperasikan komputer mikro

Manajemen dapat memberikan kontribusi dalam mengefektifkan operasi stand-alone microcomputers dengan
merumuskan dan menegakkan kebijakan untuk pengendalian dan pemakaian komputer tersebut. Pernyataan
kebijakan manajemen dapat berupa tanggung jawab manajemen, instruksi atas pemakaian komputer mikro,
persyaratan pelatihan dan lain-lain.
b. Pengamanan fisik ekuipmen

Metode untuk memberikan perlindungan secara fisik terhadap komputer mikro adalah dengan membatasi akses ke
komputer mikro pada waktu tidak digunakan dengan menggunakan pintu yang terkunci atau perlindungan
pengamanan yang lain selama jam kerja.
c. Pengamanan fisik media yang dapat diambil dan yang tidak dapat diambil
Pengendalian atas media penyimpanan yang dapat diambil dapat dibangun dengan meletakkan tanggung jawab
atas media tersebut ke pundak personel yang tanggung jawabnya mencakup tugas sebagai penyimpan dan
pustakawan, juga dengan menggunakan sistem pengecekan keluar atau masuknya arsip data dan program serta
disediakan tempat penyimpanan tertentu yang berkunci.
d. Pengamanan program dan data

Perangkat lunak sistem operasi komputer mikro kemungkinan besar tidak berisi alat-alat pengendalian dan
pengamana, tetapi terdapat beberapa teknik pengendalian yang dapat dibangun ke dalam program aplikasi untuk
membantu menjamin agar data diolah dan dibaca sebagaimana yang seharusnya dan agar dapat dicegah
terjadinya kecelakaan yang menghancurkan data tersebut. Teknik-teknik ini mencakup:
- pemisahan data ke dalam arsip yang disusun ke dalam file directory terpisah
- penggunaan arsip yang disembunyikan dan nama arsip rahasia
- penggunaan password
- penggunaan cryptographpy
e. Integritas perangkat lunak dan data

Tingkat kecermatan dan keandalan informasi keuangan yang dihasilkan tergantung pada pengendalian intern,
begitu pula dengan pengendalian terhadap integritas data dan perangkat lunak. Integritas data dapat ditingkatkan
dengan memasukkan prosedur pengendalian intern seperti penggunaan format check, range check, dan cross
check terhadap hasil.
f. Back up perangkat keras, perangkat lunak, dan data

Back up adalah rencana yang dibuat oleh entitas untuk memperoleh akses ke perangkat keras, perangkat lunak,
dan data yang sebanding dalam hal terjadi kegagalan, kehilangan, dan kehancuran. Dalam lingkungan komputer
mikro, pemakai biasanya bertanggung jawab dalam pengolahan termasuk pengidentifikasian arsip program dan
data penting yang harus di-copy secara periodik dan disimpan dalam lokasi yang jauh dari mikro komputer yang
bersangkutan.
Dampak komputer mikro atas sistem akuntansi dan pengendalian intern terkait
A. Pengendalian SIK umum pemisahan tugas

Dalam lingkungan komputer mikro, biasanya pemakai dapat melaksanakan dua atau lebih fungsi di dalam sistem akuntansi
berikut:
1. Membuat dan memberikan otorisasi dokumen sumber
2. Memasukkan data ke dalam sistem
3. Mengoperasikan komputer
4. Mengubah arsip program dan data
5. Menggunakan atau mendistribusikan keluaran
6. Mengubah sistem operasi
Dalam lingkungan SIK yang lain, fungsi-fungsi tersebut umumnya dipisahkan melalui pengendalian umum SIK. Tidak
adanya pemisahan fungsi dalam lingkungan mikro komputer dapat:
- mengakibatkan kekeliruan terjadi tanpa dideteksi
- memungkinkan terjadinya atau penyembunyian kecurangan
B. Pengendalian aplikasi SIK

Keberadaan dan penggunaan pengendalian akses yang semestinya terhadap perangkat lunak, perangkat keras dan arsip
data yang dikombinasikan dengan pengendalian terhadap data masukan, pengolahan dan keluaran dapat mengatasi
kelemahan dalam pengendalian umum SIK. Pengendalian yang efektif mencakup:
- suatu sistem transaction log dan batch balancing
- supervisi langsung
- rekonsiliasi record count atau hash totals
Pengendalian dapat dilakukan oleh fungsi yang independent yang umumnya:

Hal 11 dari 22
- menerima data untuk diolah
- menjamin bahwa semua data telah diotorisasi dan dicatat
- menindaklanjuti kekeliruan yang dideteksi selama pengolahan
- memverifikasi distribusi semestinya terhadap pengeluaran
- membatasi akses fisik terhadap arsip program aplikasi dan arsip data
Dampak lingkungan komputer mikro terhadap prosedur audit

Prosedur pengendalian yang dapat dipertimbangkan bila auditor bermaksud meletakkan kepercayaan terhadap
pengendalian intern akuntansi yang berkaitan dengan komputer mikro:
a. Pemisahan tugas dan pengendalian saldo
- pemisahan fungsi
- perputaran tugas di antara karyawan
- rekonsiliasi saldo yang dihasilkan oleh sistem dengan akun kontrol dalam buku besar
- review periodik oleh manajemen terhadap skedul pengolahan data dan laporan yang menunjukkan
individu yang menggunakan sistem
b. Akses ke komputer mikro dan arsip yang terdapat didalamnya:
- penempatan komputer mikro dalam jarak pandang individu yang bertanggung jawab atas pengendalian
akses ke komputer tersebut
- penggunaan kunci pengaman atas komputer dan terminal
- penggunaan password untuk akses ke arsip program dan data komputer
- pembatasan atas penggunaan program utilitas
c. Penggunaan perangkat lunak pihak ketiga
- review terhadap program aplikasi sebelum membeli
- pengujian memadai terhadap perangkat lunak dan modifikasi terhadapnya sebelum digunakan
- penentuan secara terus menerus mengenai memadai atau tidaknya perangkat lunak dalam memenuhi
kebutuhan pemakai
SA Seksi 344: Pengendalian Intern Dalam Sistem Komputer On-Line

Pengendalian Sistem Informasi Komputer (SIK) umum tertentu sangat penting dalam pengolahan on_line. Pengendalian ini
mencakup:
a. Pengendalian akses- prosedur yang didesain untuk membatasi akses ke dalam program dan data. Secara khusus,
program ini didesain untuk mencegah atau mendeteksi:
(1) Akses yang tidak semestinya ke peralatan terminal on-line, program dan data.
(2) Memasukkan transaksi tanpa otorisasi.
(3) Perubahan arsip data tanpa ototrisasi.
(4) Penggunaan program komputer yang masih operasional oleh personel yang tidak berwenang.
(5) Penggunaan program komputer yang belum mendapatkan otorisasi
Prosedur ini selain menggunakan password dan perangkat lunak pengendalian akses khusus juga mencakup
pengendalian fisik seperti penggunaan kunci pengaman atas perlatan terminal.
b. Pengendalian terhadap password-prosedur untuk pemberian dan pemeliharaan password untuk membatasi akses
hanya kepada pemakai yang sah.
c. Pengendalian atas pengembangan dan pemeliharaan sistem- prosedur tambahan untuk menjamin bahwa
pengendalian yang sangat penting terhadap aplikasi on-line, dimasukkan di dalam sistem selama pengembangan
dan pemeliharaan sistem.
d. Pengendalian pemrograman- prosedur yang didesain untuk mencegah atau mendeteksi perubahan yang tidak
semestinya terhadap program komputer yang diakses melalui peralatan terminal on-line.
e. Transaction log- Laporan yang didesain untuk membuat jejak audit untuk setiap transaksi on-line.
Pengendalian aplikasi SIK tertentu terhadap pengolahan on-line menjadi sangat penting, hal ini mencakup:
a. Otorisasi sebelum pengolahan
b. Pengeditan melalui terminal, pengujian, kelayakan dan validasi lain
c. Prosedur pisah batas (cut off procedures)
d. Pengendalian arsip
e. Pengendalian arsip induk
Dampak Sistem Komputer on-line atas sistem akuntansi dan pengendalian intern yang terkait umumnya tergantung pada:
a. Luasnya sistem on-line yang digunakan untuk mengolah aplikasi akuntansi
b. Tipe dan signifikannya transaksi keuangan yang diolah
c. Sifat arsip dan program yang dimanfaatkan dalam aplikasi
Risiko terjadinya kecurangan atau kekeliruan dalam sistem on-line dapat dikurangi dalam keadaan berikut ini:
a. Jika pemasukan data secara on-line dilaksanakan pada atau dekat dengan tempat asal transaksi.
b. Jika transaksi yang tidak sah dikoreksi dan dimasukkan kembali segera.
c. Jika pemasukan data dilaksanakan secara on-line oleh individu yang memehami sifat transaksi yang bersangkutan.
d. Jika transaksi diolah segera setelah on-line
Namun risiko terjadinya kecurangan dan kekeliruan dalam sistem komputer on-line menjadi meningkat jika terdapat
alasan-alasan berikut ini:
Hal 12 dari 22
a. Jika peralatan terminal diletakkan di seluruh entitas
b. Peralatan terminal on-line memberikan kesempatan untuk terjadinya penggunaan tidak semestinya:
(1) Modifikasi transaksi atau saldo yang sebelumnya sudah dimasukkan
(2) Modifikasi program komputer
(3) Akses ke data dan program dari lokasi jauh
c. Jika pengolahan on-line terputus dengan sebab apapun, kemungkinan besar akan terjadi kehilangan data.
d. Akses secara on-line ke data dan program melalui telekomunikasi mengingkatkan kemungkinan akses ke data dan
program oleh orang yang tidak semestinya
Sistem komputer on-line juga berdampak terhadap pengendalian intern, yakni:

a. Tidak terdapat dokumen sumber untuk setiap transaksi masukan
b. Hasi pengolahan dapat sangat ringkas
c. Sistem komputer on-line didesain untuk menyediakan laporan tercetak.
Dampak Sistem Komputer On-Line terhadap Prosedur Audit
Prosedur yang dilaksanakan selama tahap perencanaan dapat mencakup:

a. Partisipasi individu yang memiliki keahlian teknis dalam sistem komputer on-line dan pengendalian yang berkaitan
di dalam tim audit
b. Pertimbangan pendahuluan dalam proses penaksiran risiko tentang dampak sistem komputer on-line terhadap
prosedur audit. Umumnya, di dalam sistem komputer on-line yang didesain dengan baik, kemungkinan besar
auditor akan meletakkan kepercayaan lebih besar ke pengendalian intern dalam sistem tersebut di dalam
menentukan sifat, saat, dan luasnya prosedur audit.
Prosedur audit yang dilaksanakan bersamaan dengan pengolahan on-line mencakup pengujian kepatuhan pengendalian di
dalam aplikasi on-line. Sementara itu, prosedur yang dilaksanakan oleh auditor setelah pengolahan selesai dilaksanakan
mencakup:
a. Pengujian kepatuhan terhadap pengendalian atas transaksi yang direkam dalam transaction log melalui sistem on-
line tentang otorisasi, kelengkapan dan kecermatan.
b. Pengujian subtantif terhadap transaksi dan hasil pengolahan, bukan pengujian pengendalian, bilamana pengujian
subtantif dapat lebih cost-efektif atau bilamana sistem komputer on-line tidak didesain dan dikendalikan dengan
baik.
c. Pengolahan kembali transaksi dalam prosedur pengujian kepatuhan atau prosedur subtantif
SA Seksi 345: Pengendalian Intern dalam Lingkungan Database

Pengendalian intern dalam lingkungan database memerlukan pengendalian efektif terhadap database, DBMS, dan aplikasi.
Pengendalian umum SIK terhadap database, DBMS, dan aktivitas fungsi pengelolaan database berpengaruh pervasif atas
pengolahan aplikasi. Pengendalian ini digolongkan ke dalam 4 kelompok berikut:
a. Pendekatan baku untuk pengembangan dan pemeliharaan program aplikasi
Pengendalian ini mencakup diikutinya pendekatan resmi dan tahap demi tahap yang yang harus dipatuhi oleh
individu yang mengembangkan atau mengubah program aplikasi. Pengendalian ini juga mencakup dilaksanakannya
analisis terhadap dampak transaksi baru dan yang telah ada atas database setiap kali modifikasi diperlukan.
Implementasi pendekatan baku dalam pengembangan dan perubahan program aplikasi merupakan teknik yang
dapat membantu meningkatkan kecermatan, integritas dan kelengkapan database.
b. Kepemilikan data
Dalam lingkungan database, yang didalamnya banyak individu dapat menggunakanprogram untuk memasukkan dan
mengubah data, perlu ditunjuk seseorang sebagai pemilik data yang bertanggung jawab untuk menetapkan aturan
akses dan integritas. Jika beberapa orang dapat membuat keputusan yang berdampak terhadap integritas dan
kecermatan data tertentu, kemungkinan data akan dikorupsi atau disalahgunakan menjadi meningkat.
c. Akses ke Database
Akses oleh pemakai ke database dapat dibatasi dengan menggunakan password. Pengaitan password ke peralatan
terminal, program, dan data membantu menjamin bahwa hanya pemakai yang berwenangdan program yang
sahdapat mengakses, mengubah atau menghapus data. Akses pemakai ke berbagai unsur database dapat
dikendalikan lebih lanjut melalui penggunaan tabel otorisasi.
d. Pemisahan Tugas
Tanggung jawab untuk melaksanakan berbagai aktivitas yang diperlukan untuk mendesain, mengimplementasikan,
dan mengoperasikan database dibagi diantara personel teknis, desain, pengelola, dan pemakai. Pembagian tugas
tersebut diperlukan untuk menjamin kelengkapan, integritas, dan operasi.
Dampak Database terhadap Sistem Akuntansi dan Pengendalian yang Berkaitan

Dampak sistem database terhadap sistem akuntansi dan risiko yang berkaitan umumnya akan tergantung pada:
a. Luasnya database digunakan untuk aplikasi akuntansi
b. Tipe dan signifikaanya transasksi keuangan yang diolah
c. Sifat database, DBMS (termasuk kamus data), tugas pengelolaan database dan aplikasi (mislanya batch atau on-line
update)
d. Pengendalian umum SIK yang sangat penting dalam lingkungan database
Sistem database umumnya menyediakan data dengan tingkat keandalan tinggi yang dapat mengakibatkan turunnya risiko
kecurangan dan kekeliruan dalam sistem akuntansi yang menggunakan database. Faktor-faktor berikut ini dalam kombinasi
dengan pengendalian memadai, membantu meningkatkan keandalan data:
a. Konsistensi data meningkat karena data dicatat dan di-update hanya sekali
b. Integritas data menjadi meningkat dengan penggunaan fasilitas yang terdapat dalam DBMS, seperti pemulihan,
restart routines, generalized edit and validation routines, dan alat-alat pengendalian dan pengamanan.
Hal 13 dari 22
c. Fungsi lain yang terdapat dalam DBMS dapat memberikan kemudahan dalam prosedur pengendalian dan audit.
Dampak Database Terhadap Prosedur audit

Untuk memahami lingkungan pengendalian databse dan arus transaksi, auditor dapat mempertimbangkan dampak berikut
ini terhadap risikko audit dan perencanaan audit.
a. DBMS dan aplikasi akuntansi signifikan yang menggunakan database
b. Standar dan prosedur untuk pengembangan dan pemeliharaan program aplikasi yang menggunakan database.
c. Fungsi pengelolaan database
d. Deskripsi perkerjaan, standar dan prosedur bagi individu yang bertanggung jawab terhadap dukungan teknis,
desain, pengelolaan, dan operasi database
e. Prosedur yang digunakan untuk menjamin integritas, keamanan, dan kelengkapan informasi keuangan yang
terdapat dalam database
f. Ketersediaan fasilitas audit di dalam DBMS
Selama proses penaksiran risiko, dalam penentuan seberapa jauh kepercayaan dapat diletakkan atas pengendalian intern
yang berkaitan dengan penggunaan database dalam sistem akuntansi, auditor dapat mempertimbangkan bagaimana
pengendalian intern dalam lingkungan database digunakan dalam sistem. Jika kemudian ia memutuskan untuk
mempercayai pengendalian tersebut, ia akan mendesain dan melaksanakan pengujian pengendalian yang semestinya.
Hal 14 dari 22
BAB III
UNDANG-UNDANG SARBANES OXLEY
Sarbanes-Oxley adalah undang-undang Amerika Serikat yang diterbitkan pada tahun 2002 untuk menciptakan pengelolaan
perusahaan yang baik (corporate governance) dan mengembalikan kepercayaan para investor. Sarbanes-Oxley
diundangkan sehubungan dengan adanya skandal pengelolaan dan akuntansi yang dilakukan sejumlah perusahaan besar di
Amerika Serikat. Peraturan ini mencakup banyak hal dan membuat standar-standar baru maupun perbaikan atas standar
yang sudah ada untuk para dewan direksi, manajemen, dan perusahaan akuntan publik.
Tujuan Dibuatnya Undang-undang Sarbanes Oxley

1. Membuat standar-standar baru untuk Dewan Direksi dan Komite Audit
2. Membuat standar-standar akuntabilitas baru dan hukuman atas tindak kriminal untuk manajemen.
3. Membuat standar-standar independen yang baru untuk auditor eksternal.
4. Membuat sebuah Badan Pengawas Akuntansi Perusahaan Umum dibawah Komisi Perdagangan dan Sekuritas (SEC)
untuk mengontrol perusahaan akuntan publik dan membuat standar-standar akuntansi.
Pasal 302 dan 404 tentang Efektifitas

Pasal-pasal ini memuat persyaratan bagi perusahaan-perusahaan untuk mengevaluasi efektifitas pengendalian internal
mereka atas informasi yang dilaporkan kepada pasar uang. SEC telah mengeluarkan aturan untuk memenuhi aturan-aturan
persyaratan ini yang harus dilakukan untuk periode laporan keuangan yang berakhir pada dan setelah 15 juni 2004 (untuk
sebagian besar perusahaan di Amerika) dan sejak atau setelah 15 April untuk perusahaan lainnya.
Meskipun istilah efektifitas telah banyak disebutkan dalam undang-undang dan peraturan SEC, tetap saja masih banyak
perusahaan yang belum secara penuh menyadari arti pentingnya istilah ini dan melihatnya sebagai sesuatu yang mahal dan
sia-sia.
Cara Mudah untuk Menilai Efektifitas Pengendalian Internal

Terdapat dua pendekatan atau cara untuk menilai apakah suatu departemen/bagian akuntansi terkendali atau tidak, cara
tersebut adalah:
1. Pelajari prosedur-prosedur dan pengendalian yang ada, kemudian indikasikan resiko-resiko yang ada dalam
pengendalian tersebut untuk melihat apakah hal tersebut menjadi kelemahan dalam rancangan sistem. Selanjutnya
ujilah masing-masing pengendalian untuk menentukan apakah benar-benar telah berjalan dan dilaksanakan secara
benar.
2. Amatilah hasil-hasil pengendalian yang ada, seperti keterlambatan pemrosesan, tingkat pemogokan, serta kesalahan
dan koreksi yang ditemukan. Selanjutnya wawancarai pengawas untuk mengetahui apakah dia benar-benar mengetahui
permasalahan tersebut.
Berdasarkan pengalaman para auditor yang telah mencoba kedua metode tersebut, disimpulkan bahwa pilihan kedua
sejauh ini adalah yang terbaik, dan pendekatan yang ideal adalah dengan mengkombinasikan keduanya. Mengapa
demikian?
Evaluasi pertama bersifat teoritis. Jika kita dapat menilai resiko secara tepat, dan menilai efektifitas masing-masing
pengendalian secara tepat juga, serta mampu mengkombinasikan kedua informasi tersebut secara akurat, maka
kesimpulan kita mengenai efektifitas pengendalian secara keseluruhan tentunya akan tepat. Namun dalam prakteknya
akurasi seperti itu sangat sulit dilakukan, disamping itu penilaian secara teoritis dianggap kurang dapat diandalkan.
Selain itu, penilaian secara teoritis menyita banyak waktu dan pengumpulan serta pendokumentasian informasi
membutuhkan banyak interview (wawancara). Hal lain yang menjadi masalah adalah dalam tahap pemetaan resiko
dibutuhkan keterampilan yang jarang dimiliki oleh orang, dimana orang tersebut disyaratkan untuk memiliki banyak
keahlian. Pada tahap pertimbangan kelemahan yang ada juga dibutuhkan banyak diskusi, walaupun dalam kenyataannya
hal ini tergantung pada keputusan manusia untuk menilai secara tepat kemungkinan-kemungkinan yang ada.
Mengacu atau mendasarkan kepada praktek terbaik yang sudah ada, bukanlah suatu pemecahan untuk masalah ini.
Perbedaaan dalam hal kesalahan dan kecurangan antar organisasi dengan orang, sistem, prosedur yang berbeda, serta
perbedaan-perbedaan lainnya sangatlah luas, dimana standard atau praktek yang seharusnya, kurang dapat dipercaya. Hal-
hal tersebut selalu membutuhkan adaptasi terhadap persyaratan yang sesuai secara tepat.
Hal ini berbeda dengan tipe evaluasi yang kedua, dimana mengharuskan untuk melihat pada bukti langsung efektifitas.
Disini tidak perlu menganalisis pengendalian ataupun resiko secara penuh. Tetapi cukup langsung melihat hasil dari
pengendalian sebagai ganti usaha untuk mencoba menduga dari apa yang terjadi sebelumnya.
Proses Penilaian Efektifitas

Dalam prakteknya, mencari indikator langsung/primer atas efektifitas pengendalian terhadap semua proses dan semua
resiko dianggap kurang sesuai, karena itu, harus ditentukan dahulu beberapa keputusan sementara tentang teknik penilaian
mana yang akan dipakai. Selain itu, perbedaan indikator juga harus diidentifikasi dan sesuaikan.
Hal 15 dari 22
Setelah penilaian dilakukan maka kemungkinan dibutuhkan perbaikan terhadap pengendalian, dan penilaian ulang lebih
difokuskan jika pemicu-pemicu digunakan. Semua poin-poin tersebut dijelaskan dalam proses penilaian efektifitas dibawah
ini:
Langkah 1: Gambarkan siklus tahunan secara menyeluruh atas penilaian kegiatan untuk memenuhi semua
persyaratan.
Langkah 2: Identifikasi proses-proses yang pengendaliannya perlu dievaluasi

Tujuan dari tahap ini adalah untuk mendaftar proses-proses bukan untuk menjelaskannya yang mana
akan membutuhkan banyak pekerjaan tambahan.
Langkah 3: Identifikasi pemicu persyaratan resiko dan pengendalian

Kebutuhan terhadap pengendalian, dan keterbatasan dalam tipe pengendalian yang mana, ekonomi atau
budaya yang sesuai, didorong oleh sejumlah faktor pada masing-masing proses. Bentuk-bentuk sistem
pengendalian dan ketika mereka berubah ke sistem pengendalian yang seharusnya, pertimbangkan
pemicu-pemicu yang mungkin ada sebagaimana tersebut dibawah ini:
1. Persyaratan kinerja pengawasan
2. Kecepatan proses yang disyaratkan.
3. Keluwesan proses yang disyaratkan
4. Tingkat toleransi maksimum atas perselisihan dengan pelanggan
5. Ketepatan waktu yang disyaratkan
6. Kehandalan pelayanan terhadap pelanggan yang disyaratkan
7. Biaya proses yang ditargetkan
8. Tingkat peraturan kegiatan
Karakteristik Budaya
1. Norma-norma perilaku budaya yang mendorong tindakan kecurangan atau pencurian. Pola-pola
kejahatan yang sudah terbentuk.
2. Kebijakan perusahaan untuk memberikan wewenang
3. Manajemen proses Vs silo fungsional
4. Standar lingkungan pengendalian
Karakteristik Data
1. Data adalah data tetap atau data transaksi
2. Kompleksitas data
3. Jumlah sata
4. Tingkat prediktibilitas data
5. Apakah data dapat dibagi kedalam sub-populasi yang mana sangat dapat diprediksi atau setidaknya
memiliki karakteristik yang sangat umum.
Nilai maksimum dari masing-masing data

1. Apakah data tentang individual khusus dimiliki
2. Tingkat yang mana sangat bisnis abstrak berdasarkan aturan, pengertian-pengertian, dan
kemungkinan-kemungkinan.
Karakteristik Proses
1. Kompleksitas proses
2. Siapakah yang menghasilkan data
3. Tingkat otomatisasi
4. Kemudahan dimana aset dapat di diganti jika dicuri
5. Jumlah uang yang dikeluarkan
6. Jumlah bahasa yang dipakai orang-orang yang terlibat dalam proses
7. Distribusi geogfrafis/internasional
8. Kualitas pengendalian proses bisnis yang telah ada
9. Apakah lingkungan terdekat dari proses adalah dalam perusahaan
Karakteristik beban kerja

1. Tingkat kenaikan atau penurunan beban kerja
2. Variasi beban kerja
3. Perbandingan kerja yang berkelanjutan, kerja periodik, dan berdasarkan pesanan saja
4. Apakah lingkungan cepat berubah atau stabil
5. Tingkat perubahan dalam proses, sistem, dan orang
6. Proporsi kerja dalam proses yang dikendalikan
Karakteristik Proyek
1. Kesehatan proyek
Hal diatas kelihatan seperti sebuah daftar panjang tetapi hampir semuanya merupakan pengetahuan yang
umum dalam perusahaan serta sangat mudah untuk mengumpulkan dan meneliti datanya.
Langkah 4: Mengumpulkan dan Mengawasi Pemicu/Pendorong Data

Hal ini tidak perlu untuk menyelesaikan pengawasan ini sebelum melakukan evaluasi pengendalian yang
pertama, tetapi setelah pemicu/pendorong dimonitor hal ini mungkin untuk mengevaluasi pengendalian
Hal 16 dari 22
sasaran dan membuatnya tetap efisien. Variasi dalam berbagai pemicu yang terdaftar dalam langkah
sebelumnya memiliki pengaruh terhadap pengendalian yang disyaratkan.
Alasan lain untuk melakukan pengendalian ini adalah bahwa hal ini disyaratkan secara eksplisit oleh
Undang-undang Sarbanes Oxley dalam pasal 302, dimana disebutkan bahwa diharuskan untuk memberi
komentar atas beberapa faktor yang mungkin memiliki pengaruh terhadap efektifitas sistem pengendalian
sejak penilaian terakhir.
Langkah 5: Memutuskan Tipe Evaluasi mana yang akan digunakan untuk setiap proses dan Tipe Resikonya.
Tipe evaluasi tergantung kepada sifat dari proses dan tipe resiko
Jika Maka
Proses besar Lihatlah pemicu resikonya dan indikator langsung atas efektifitas
dan sangat pengendalian. Lihatlah cakupan pengukuran untuk memastikan
terotomatisasi hal ini cukup memberikan indikasi yang terpercaya. Pastikan
bahwa pengawas mengetahui dan mampu melakukan
pengendalian
Untuk resiko yang jarang terjadi, lihatlah pemicunya, petakan
pengendalian atas resiko yang relevan dan pertimbangkanlah
hasilnya.
Proses Kecil Lihatlah pemicu resikonya, petakan pengendalian resikonya, dan
ujilah pengendaliannya
Hal ini menghindari analisis teoritis yang meluas atas pengendalian terhadap siklus akuntansi yang besar,
dan tentunya akan menghemat waktu.
Hal ini penting untuk mempertimbangkan cakupan indikator yang digunakan. Jika ada perbedaan yang
mencolok mereka perlu disesuaikan dengan memetakan dan menguji pengendalian. Satu hal yang tidak
pernah muncul dalam stattistik adalah kesalahan yang tidak terungkap, yang tentu saja berhubungan
dengan resiko yang kita perhatikan. Keputusan atas efektifitas pengendalian yang didasarkan pada prinsip
bahwa kesalahan yang tidak terungkap adalah mungkin, dimana:
Pengecekan kurang cukup dilakukan, dan/atau
Pengecekkan dilakukan dan mengungkapkasn tingkat kesalahan asli yang tinggi dan/atau kelambatan
yang besar.
Langkah 6: Melakukan Evaluasi

Proses bisnis atau siklus akuntansi yang terkendali dengan baik harus memiliki laporan pengawasan
proses yang digunakan oleh manajemen untuk mengelola proses yang sehat. Laporan ini menunjukkan
beban kerja dan sumber daya yang digunakan, dilengkapi statistik kesalahan dan penundaan pekerjaan,
dan dukungan sistem, dimana akan lebih baik jika menggunakan grafik untuk menunjukkan dengan jelas
apa yang sedang terjadi dalam perusahaan. Disana juga terdapat bagian yang memproyeksikan
perubahan dimasa depan sehingga resiko dapat diantisipasi lebih lanjut.
Apabila laporan tersebut sudah ada, kemudian proses evaluasi terhadap efektifitas pengendalian dilakukan
ketika laporan digunakan dan tentu saja pemenuhan persyaratan Sarbanes-Oxley untuk proses akan
menjadi lebih mudah. Kerja keras hanya akan dibutuhkan untuk resiko kecurangan dan bencana yang
jarang terjadi.
Jika laporan ini tidak tersedia dan proses yang ada termasuk kategori besar maka laporan pengawasan
proses harus segera dibuat. Saat ini SEC memberi keluangan waktu kepada perusahaan untuk
memenuhiaturan tersebut, hal ini memungkinkan untuk menyediakan laporan ini untuk proses yang lebih
banyak.
Dalam kondisi dimana resiko dan kontrol harus dipetakan karena kurangnya indikator-indikator langsung,
akan membuang banyak waktu dengan memilih tipe matrik yang salah.
Langkah 7: Identifikasi penyebab kelemahan

Ketika evaluasi kita adalah pendeketan teoritis yang didasarkan pada rancangan pengendalian dan
masing-masing operasinya, maka lokasi kelemahan tersebut dapat terklihat dengan jelas. Baik karena
kesalahan disain, kegagalan operasi, ataupun karena kombinasi keduanya.
Namun demikian, jika permasalahan telah ditunjukkan dalam statistik proses yang sehat maka kerja
ekstra diperlukan untuk apaka kelemahannya (rancangan atau operasinya). Hal ini dibutuhkan jika kita
ingin memperbaiki kesalahan dan juga untuk memenuhi aturan yang ditetapkan oleh SEC.
Hal 17 dari 22
BAB IV
KONSEP PENGENDALIAN INTERN - COSO
Latar Belakang
COSO singkatan dari the Committee of Sponsoring Organizations of the Treadway Commission. Coso didirikan tahun 1985
oleh lima organisasi profesi:
American Accounting Association (AAA)
American Institute of Certified Public Accountants (AICPA)
Financial Executives International (FEI)
Institute of Management Accountants (IMA)
The Institute of Internal Auditors (IIA)
Tujuan COSO
Meningkatkan kualitas pelaporan keuangan dengan memfokuskan terhadap corporate governance, ethical practices dan
internal control.
K erangka Ko nsep tu al Peng en dalian In tern

Struktur pengendalian intern yang efektif dapat membantu perusahaan untuk mencapai tujuan dan sasaran mereka. Agar
struktur pengendalian dapat terlaksana dengan efektif maka manajemen, internal auditor dan komite audit harus dengan
jelas memahami peran mereka masing-masing dalam suatu proses dan menerima tanggungjawab untuk melaksanakan
aktivitas yang dirancang. Karena tumbuhnya permintaan publik untuk menumbuhkan akuntabilitas perusahaan, masing-
masing kelompok harus menunjukkan komitmennya membangun struktur pengendalian intern yang efisien, sehingga akan
membantu memastikan keakuratan dan integritas dari informasi yang tersedia bagi masyarakat.
Kerangka kerja COSO mendefinisikan internal control sebagai: suatu proses yang dipengaruhi oleh suatu dewan direksi
entitas, manajemen dan personel lain yang dirancang untuk menyediakan kepastian yang memadai mengenai pencapaian
tujuan-tujuan dalam;
keefektifan dan keefesienan operasi
keandalan pelaporan keuangan
ketaatan terhadap undang-undang dan peraturan yang ditetapkan
Operasi, suatu tujuan operasi menekankan pada kefektifan dan keefisienan pelaksanaan pengendalian. Keefektifan
berkaitan dengan kualitas pengendalian terhadap pencapaian tujuan-tujuan manajemen khusus. Sementara efisiensi
ditujukan terhadap kualitas pemgendalian yang menghasilkan ukuran-ukuran sumberdaya yang optimal terhadap output
yang produktif. Suatu audit operasi hendaknya menentukan apakah organisasi dapat diyakini secara wajar bahwa tidak ada
inefisiensi yang material atau kekurangan keefektifan yang ditemukan dalam organisasi atau proses yang diaudit.
Pelaporan Keuangan, dalam audit dimana tujuannya adalah laporan keuangan, penekanan diletakkan atas kecukupan dan
keefektifan pengendalian manajemen dan mengelola keandalan data keuangan yang digunakan untuk tujuan pelaporan
eksternal. Audit yang didasarkan pada pengendalian tersebut hendaknya menyajikan kepastian yang memadai bahwa tidak
ada salah saji yang material dalam data yang diuji. Penelusuran pengendalian audit dan data keuangan ke laporan
keuangan merupakan indikasi audit dengan tujuan laporan keuangan.
Ketaatan, audit yang didasarkan ketaatan menekankan pada kecukupan dan keefektifan pelaksanaan pengendalian
manajemen yang mentaati undang-undang dan peraturan eksternal. Audit tersebut terutama berkaitan dengan hubungan
antara hukum dan undang-undang, prosedur perusahaan dan praktek nyata.
Sistem internal control yang efektif terdiri dari lima komponen integral yaitu:
1. Control environment
2. Risk assessment
3. Control activities
4. Information and communications
5. Monitoring
1. Lingkungan pengendalian (Control Environment)

Lingkungan pengendalian menyediakan landasan bagi struktur internal control perusahaan. Hal ini mencakup faktor-faktor
seperti integritas dan nilai etis, kompetensi, gaya dan filosofi operasi manajemen dan juga perhatian dan arahan yang
disediakan oleh dewan direksi dan komite audit. Dalam melakukan penilaian lingkungan pengendalian suatu perusahaan,
manajemen dan komite audit harus menanyakan
Apakah standar untuk integritas dan nilai etis telah ditetapkan?
Kebijakan corporate government apa yang ditempatkan yang berdampak terhadap lingkungan pengendalian?
Apakah manajemen telah mempertimbangkan tingkat kompetensi, keahlian dan pengetahuan yang diperlukan
untuk fungsi dan kinerja internal control tertentu.
Seluas apa partisipasi dewan direksi dan komite audit dalam menentukan kebijakan terhadap kegiatan
perusahaan?
Hal 18 dari 22
2. Penilaian Resiko (Risk Assessment)
Manajemen dan dewan direksi menetapkan tujuan yang akan dicapai perusahaan. Setelah tujuan yang ingin dicapai
perusahaan teridentifikasi, maka manajemen dan komite audit harus mengidentifikasi resiko yang dapat menghambat
tujuan tersebut. Dalam melakukan review, manajemen dan komite audit harus menanyakan:
Apakah tujuan utama perusahaan dan tujuan tingkat aktivitas pendukung telah ditetapkan dan dikaitkan?
Apakah ada mekanisme untuk melakukan identifikasi resiko yang muncul dari sumber internal dan eksternal?
Seberapa dalam dan relevan kah proses penilaian resiko, dan apakah hal ini meliputi estimasi seberapa penting
resiko, penilaian kemungkinan kejadian dan penentuan tindakan dibutuhkan?
Bagaimana dewan direksi terlibat dalam usaha mempertimbangkan resiko strategis yang dihadapi perusahaan?
3. Kegiatan Pengendalian (Control Activities)

Kegiatan pengendalian merupakan kebijakan dan prosedur yang dilaksanakan untuk mencapai tujuan-tujuan yang telah
ditetapkan oleh manajemen. Kegiatan pengendalian, yang berada di setiap proses bisnis mungkin bersifat preventif atau
detektif, manual atau otomatis, atau mungkin melibatkan review manajemen. Kegiatan pengendalian bisa
didokumentasikan dalam suatu manual prosedur atau mungkin dalam bentuk deskripsi pekerjaan yang dikomunikasikan
kepada para pegawai yang disewa.
Dalam melakukan review kegiatan tersebut, manajemen dan komite audit harus menanyakan:
Apakan kegiatan pengendalian yang terjadi untuk menjamin ketaatan terhadap semua kebijakan yang ditetapkan
dan pelaksanaan tindakan yang ditujukan thd resiko yang terkait?
Apakah ada kegiatan pengendalian yang tepat dalam tiap-tiap proses kunci perusahaan?
4. Informasi dan Komunikasi (Information and Communication)

Sistem informasi dan komunikasi memungkinkan para pegawai melaksanakan kegiatan pengendalian dan mengidentifikasi,
menangkap dan mengkomunikasikan informasi secara tepat dan dalam format yang cocok untuk memungkinkan orang
mengelola operasi secara efektif.
Review terhadap komponen kontrol ini harus fokus pada pertanyaan-2:

Apakah informasi disediakan kepada orang yang tepat dalam bentuk detail yang cukup dan pada waktu yang tepat
untuk memungkinkan mereka secara efektif berhenti dari tanggung jawabnya?
Apakah saluran komunikasi ditempatkan untuk pelaporan ketidaklayakan yang dicurigai? Apakah komite audit telah
menetapkan prosedur untuk penerimaan surat rahasia dan tanpa nama dan pemecahan terhadap keluhan?
5. Pemantauan (Monitoring)
Struktur internal control harus dimonitor secara terus-menerus untuk menilai kualitas kinerja sistem sewaktu-waktu. Hal ini
seharusnya memberikan input untuk melakukan modifikasi sistem untuk mencerminkan perubahan lingkungan yang
berkelanjutan dimana perusahaan beroperasi.
Aktivitas monitoring difokuskan pada pertanyaan-2 sbb:

Apakah prosedur yang pantas dijalankan untuk memonitor atas basis berkelanjutan, atau secara periodik
mengevaluasi penggerak fungsi komponen internal control yang lain? Apakah fungsi kebijakan ini melibatkan
manajemen, komite audit dan dewan direksi?
Mekanisme apa yang ada untuk menangkap dan melaporkan kekurangan internal control yang teridentifikasi ke
level manajemen yang lebih tinggi dan dewan direksi?
P eran Dan Tangg un g Jawab

Setiap anggota organisasi memainkan suatu peran dalam struktur pengendalian intern. Namun demikian, tanggungjawab
utama SPI terletak pada manajemen senior kadang-kadang CEO dan CFO. CEO suatu perusahaan menetapkan batu di
puncak dan memimpin anggota manajemen lainnya dengan contoh.
CEO harus memberikan kepemimpinan dan arahan kepada manajer senior yang selanjutnya menugaskan tanggungjawab
untuk penetapan prosedur yang lebih khusus dalam tiap area fungsional. CFO dan pejabat accounting senior lain
memainkan peran yang kritis dalam mendesain, menerapkan dan memonitor sistem pelaporan keuangan perusahaan.
Dewan direksi dan komite audit menetapkan perintah, arahan dan kebijakan. Anggota dewan direksi, komite audit harus
objektif, mampu dan mempunyai keingintahuan. mereka harus memiliki pengetahuan yang wajar tentang lingkungan usaha
perusahaan, kegiatan pelaporan dan sekarang lebih dari itu, kerangka kerja internal control-nya
ERM - paradigma baru kerangka COSO
Enterprise Risk Management (ERM)

ERM adalah suatu proses yang dipengaruhi oleh suatu dewan direksi entitas, manajemen dan personel lain, yang diterapkan
dalam penetapan strategi dan semua perusahaan, yang dirancang untuk mengidentifikasi peristiwa yang potensial yang
mungkin mempengaruhi entitas, dan mengelola resiko dalam hasrat resikonya, untuk menyajikan kepastian yang memadai
mengenai pencapaian tujuan perusahaan.
Enterprise risk management meliputi:

Suatu proses, berkelanjutan dan mengalir melalui entitas
Dipengaruhi oleh orang dalam setiap level organisasi
Diterapkan dalam penetapan strategi
Diterapkan di seluruh perusahaan, pada setiap tingkat dan unit, dan termasuk meliputi pandangan resiko portofolio
Dirancang untuk mengidentifikasi peristiwa yang potensial, jika mereka terjadi akan mempengaruhi entitas dan
untuk mengelola resiko dalam hasrat resiko
Mampu menyajikan kepastian yang memadai terhadap manajemen dan dewan direksi entitas
Hal 19 dari 22
ERM menunjukan landasan konsep utama terhadap bagaimana perusahaan dan organisasi lain mengelola resiko,
menyajikan suatu dasar bagi penerapan di seluruh organisasi, industri dan sektor lain. Hal ini menekankan secara langsung
terhadap pencapaian tujuan yang telah ditetapkan oleh entitas tertentu dan penyaikan suatu landasan untuk mendefinisikan
keefektifan manajemen resiko perusahaan.
Pencapaian Tujuan
Dalam konteks visi atau misi yang ditetapkan entitas, manajemen menetapkan tujuan strategis, memilih strategi dan
menetapkan tujuan yang sejalan dalam perusahaan. Kerangka ERM ini diarahkan untuk mencapai tujuan suatu entitas,
menetapkan kedalam empat kategori:
Strategis sasaran tingkat tingi, disejajarkan dan mendukung misi
Operasi penggunaan sumber daya secara efektif dan efisien
Pelaporan keandalan pelaporan
Ketaatan taat dengan UU dan peraturan yang ditetapkan.
Kategorisasi tujuan entitas ini memungkinkan suatu penekanan atas aspek yang terpisah dari manajemen resiko
perusahaan. Hal tersebut nampak jelas, namun merupakan kategori yang saling bertumpuk tujuan tertentu dapat terjadi
mejadi lebih dari satu kategori. Pengkategorian ini pun memungkinkan pembedaan antara apa yang diharapkan dari tiap-
tiap kategori tujuan. Karena tujuan yang terkait dengan keandalan pelaporan dan ketaatan dengan hukum dan peraturan
berada dalam kendali entitas, ERM dapat diharapkan menyajikan kepastian memadai tentang pencapaian tujuan-tujuan
tersebut.
Komponen ERM
ERM terdiri dari delapan komponen yang saling berkaitan. Komponen tersebut berasal dari cara manajemen menjalankan
suatu perusahaan dan diintegrasikan dengan proses manajamen. Komponen tersebut sbb:
Lingkungan Internal lingkungan internal meliputi sifat suatu organisasi, dan rangkaian basis tentang bagaimana
resiko dilihat dan ditujukan oleh karyawan, termasuk filosofi manajemen resiko dan hasrat resiko, integritas dasn nilai
etis dan lingkungan dimana mereka beroperasi.
Penetapan Tujuan harus ada tujuan sebelum manajemen dapat mengidentifikasi even potensial yang mempengaruhi
pencapaiannya. ERM menjamin bahwa manajemen memiliki suatu proses untuk menetapkan tujuan dan bahwa
tujuan yang dipilihnya mendukung dan sejajar dengan misi entitas dan konsisten dengan hasrat resiko.
Identifikasi Even Peristiwa internal dan eksternal yang mempengaruhi pencapaian tujuan organisasi harus
diidentifikasi, dibedakan antara resiko dan kesempatan. Kesempatan disalurkan kembali ke strategi manajemen atau
proses penetapan tujuan
Penilaian Resiko Resiko dianalisa, dengan mempertimbangkan kemungkinan dan dampak, sebagai basis untuk
menentukan bagamana mereka dikelola. s
Tanggapan Resiko Manajemen memilih tanggapan resiko menghindari, menerima, mengurangi atau berbagi resiko
mengembangkan serangkaian tindakan untuk mensejajarkan resiko dengan toleransi resiko entitas dan hasrat
resiko..
Kegiatan Pengendalian kebijakan dan prosedur yang ditetapkan dan diterapkan untuk membantu memastikan
tanggapan resiko dilaksanakan secara efektif.
Informasi dan Komunikasi Informasi yang relevan diidentifikasi, ditangkap dan dikomunikasikan dalam suatu bentuk
dan kerangka waktu yang memungkinkan orang melaksanakan tanggungjawabnya..
Pemantauan Keseluruhan ERM dipantau dan modifikasi dibuat seperlunya. Pemantauan dicapai melalui kegiatan
menajamen yang berkelanjutan, evaluasi terpisah atau keduanya.
ERM bukan merupakan suatu proses rangkaian yang secara ketat, dimana satu komponen hanya mempengaruhi komponen
berikutnya. Namun merupakan multiarah, proses dimana hampir beberapa komponen dapat saling mempengaruhi
Efektivitas
Untuk menentukan apakah ERM efektif merupakan suatu penilaian yang berasal dari penaksiran apakah kedelapan
komponen tersebut ada dan berfungsi secara efektif. Sehingga, komponen tersebut juga merupakan kriteria untuk ERM
yang efektif. Terhadap komponen yang ada dan berfungsi secara efektif, mungkin tidak akan ada kelemahan yang material
dan resiko yang diperlukan telah dibawa dalam hasrat resiko entitas.
Ketika ERM ditentukan efektif dalam tiap empat kategori tujuan secara berurutan, dewan direksi dan manajemen memiliki
keyakinan yang memadai bahwa mereka mengerti seberapa luas dimana tujuan operasi dan strategis entitas sedang
dicapai, dan bahwa pelaporan entitas dapat diandalkan dan hukum dan peraturan ditaati.
Hal 20 dari 22
BAB V
Analisis Hubungan Antara Undang-undang Sarbanes-Oxley,
COSO Pengendalian Intern-Kerangka Kerja Terintegrasi,
Pengendalian Intern - SPAP
Sarbanes-Oxley (SOX) Act merupakan undang-undang yang dibuat untuk melindungi para investor dengan cara
meningkatkan ketepatan dan keandalan laporan keuangan yang disusun oleh perusahaan. Terdapat beberapa pasal
terpenting dalam SOX, yaitu pasal 302, 404, dan 906.
SOX pasal 302 mempersyaratkan agar pihak manajemen, terutama CEO dan CFO menjamin kewajaran laporan keuangan
dan efektivitas pengendalian intern. CEO dan CFO juga harus bertanggung jawab menyusun dan memelihara pengendalian
intern (selanjutnya disebut dengan internal control) yang dapat meyakinkan bahwa seluruh pihak terkait memahaminya,
serta mengevaluasi efektivitas internal control. Hal ini sejalan dengan tujuan COSO 1992, yaitu meningkatkan kualitas
pelaporan keuangan dengan berfokus pada corporate governance, praktik-praktik etis, dan internal control. COSO
menyatakan bahwa manajemen eksekutif dan senior harus memperlihatkan bahwa mereka menerima tanggung jawab
pengendalian, bukan hanya mendelegasikan tanggung jawab tersebut pada staf keuangan dan audit. Selain itu, pihak
manajemen bertanngung jawab untuk mengadakan pelatihan dan pemantauan internal control dalam pelaksanaan operasi.
Evaluasi periodik dan sistematis atas sistem pengendalian juga harus dilakukan, dengan menggunakan kriteria evaluasi
yang tepat.
Pasal 404 mempersyaratkan adanya laporan manajemen tentang efektivitas internal control secara terpisah dan diaudit
oleh auditor laporan keuangan. Laporan internal control tersebut harus memuat penilaian efektivitas atas internal control
yang telah ada. Internal control tersebut juga harus dinilai menurut standar tertentu oleh kantor akuntan publik
bersangkutan. Pasal 906 juga menyatakan bahwa CEO dan CFO harus memastikan bahwa pelaporan keuangan termasuk
laporan tahunan dan periodik disajikan secara wajar dalam semua hal yang material. Berkaitan dengan ketiga pasal
tersebut, terdapat empat pilar yang harus dimiliki oleh perusahaan, yaitu:
1. Analisis Anti-Kecurangan Level Makro

Esensi dari pilar satu berkaitan dengan kemampuan perusahaan untuk memperlihatkan bahwa mereka menempuh
langkah-langkah yang memadai untuk mencegah penerbitan pengungkapan atau pelaporan keuangan yang curang
(fraudulent) atau menyesatkan (misleading).
2. Penaksiran Level Makro terhadap Model Pengendalian
SOX pasal 404 mempersyaratkan agar CEO dan CFO merepresentasikan bahwa mereka memiliki sistem
pengendalian yang efektif sesuai dengan model pengendalian yang diakui dimulai dari tahun fiskal dan berakhir
setelah 15 November 2004. Salah satu kerangka yang dapat diterima untuk tujuan ini adalah COSO 1992 dan COSO
ERM. Namun demikian, persyaratan tersebut merupakan hal yang problematik sebab COSO 1992 tidak didesain
untuk mendukung penilaian yang lalu/gagal. Selain itu, COSO 1992 dan COSO ERM terdiri dari kombinasi tujuan
pengendalian yang berhubungan dengan pelaporan keuangan dan efisiensi operasional, dimana efisiensi
operasional berada di luar lingkup SOX.
3. Penaksiran Kecukupan Pengendalian Umum IT atas Berbagai Sistem
4. Penaksiran Resiko dan Pengendalian di Tempat untuk Memastikan Keandalan Pengungkapan Ekstern
Perusahaan harus mendokumentasikan dan memelihara penaksiran resiko yang mengancam keandalan pengungkapan,
pengendalian di tempat untuk mengurangi resiko tersebut. Tujuannya adalah untuk menentukan apakah terdapat kondisi
yang layak untuk dilaporkan (reportable condition) yang memenuhi definisi kelemahan material (material weaknesses)
atau kelemahan yang signifikan (significant deficiencies menurut SEC dan PCAOB.
COSO 1992 juga menyaratkan agar kelemahan intenal control dilaporkan kepada level manajemen yang lebih tinggi untuk
dilakukan tindakan koreksi. Selain itu, informasi intern dan ekstern yang relevan dan dapat diandalkan harus diidentifikasi,
disusun, dan dikomunikasikan secara tepat waktu kepada mereka yang memiliki kewenangan untuk bertindak.
Selanjutnya, pengendalian intern yang diatur dalam SPAP mengacu pada konsep COSO 1992. SA#319 memberikan
panduan tentang pertimbangan auditor atas pengendalian intern dalam audit terhadap laporan keuangan. Tujuan, kategori,
dan komponen pengendalian intern yang diatur dalam SPAP SA#319 mengacu pada kerangka kerja COSO 1992. Pada tahun
1994, kerangka COSO diamandemen, sehingga ruang lingkupnya lebih luas, mencakup Laporan Manajemen atas
Pengendalian Intern. Untuk tujuan pelaporan manajemen publik, definisi internal control diamandemen menjadi
Pengendalian intern atas penjagaan aktiva dari pemerolehan, penggunaan, atau penghentian pemakaian yang tidak
diotorisasi, penggunaan atau pelepasan merupakan suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan
personel lain untuk memberikan keyakinan memadai atas pencegahan atau deteksi tepat waktu mengenai pemerolehan,
penggunaan, dan pelepasan yang tidak diotorisasi yang dapat menimbulkan pengaruh material pada laporan keuangan..
Pernyataan yang sama juga dimuat dalam SA#319 paragraf 13 tentang penjagaan aktiva.
Mengenai reportable condition yang dipersyaratkan dalam SOX, hal tersebut juga diatur dalam SPAP SA#325 tentang
Komunikasi Masalah yang Berhubungan dengan Pengendalian Intern yang Ditemukan dalam Suatu Audit. Kondisi yang
Dapat Dilaporkan adalah persoalan perhatian auditor, yang menurut pertimbangannya harus dikomunikasikan kepada
komite audit, karena merupakan kekurangan material dalam desain atau operasi pengendalian intern, yang berakibat buruk
terhadap kemampuan organisasi tersebut dalam mencatat, mengolah, mengiktisarkan, dan melaporkan data keuangan
Hal 21 dari 22
yang konsisten dengan asersi manajemen dalam laporan keuangan. Kekurangan tersebut dapat mencakup lima komponen
pengendalian intern yang dinyatakan dalam kerangka kerja COSO.
SOX pasal 404 (b) mengatur mengenai atestasi auditor eksternal. Pasal ini mempersyaratkan bahwa auditor eksternal harus
melaksanakan atestasi atas keakuratan asersi manjemen mengenai pengendalian intern beserta efektifitasnya. SPAP
SAT#400 juga mengatur mengenai Pelaporan Pengendalian Intern Suatu Entitas atas Pelaporan Keuangan. Seksi ini
memberikan panduan bagi praktisi yang mengadakan perikatan untuk memeriksa dan melaporkan asersi tertulis
manajemen tentang efektivitas pengendalian intern suatu entitas atas pelaporan keuangan pada saat tertentu.
Secara ringkas ketiga konsep internal control tersebut dapat diilustrasikan dalam tabel berikut:
COSO Pengendalian Intern-
Deskripsi Undang-undang SOX SPAP
Kerangka Kerja Terintegrasi
Bentuk Undang-undang Kerangka kerja Standar
Pencetus/pembuat Paul Sarbanes- Senator Commitee of Sponsoring
USA dan Michael Oxley- Organizations of the Treadway IAI
Anggota parlemen USA Commision
Berlaku Efektif 15 Juni 2004 untuk
perusahaan-perusahaan
1992 2001
amerika dan 15 April 2005
untuk perusahaan lainnya
Latar belakang Berbagai skandal pelaporan permintaan publik untuk Standar Pekerjaan Lapangan
keuangan di Amerika menumbuhkan akuntabilitas ke-2 dan standar atestasi
perusahaan yang ditunjukkan
dengan struktur internal control
yang baik
Tujuan melindungi para investor meningkatkan kualitas - merencanakan audit dan
dengan cara meningkatkan pelaporan keuangan dengan menentukan sifat, saat,
ketepatan dan keandalan berfokus pada corporate dan lingkup pengujian
laporan keuangan yang governance, praktik-praktik etis, - memeriksa dan melaporkan
disusun oleh perusahaan dan internal control. asersi tertulis manajemen
tentang efektivitas
pengendalian intern suatu
entitas atas pelaporan
keuangan pada saat
tertentu.
Kategori keefektifan dan keefesienan keefektifan dan keefesienan
operasi operasi
- Efektivitas
keandalan pelaporan keandalan pelaporan
pengendalian intern
keuangan keuangan
- Kewajaran laporan
ketaatan terhadap undang- ketaatan terhadap undang-
keuangan
undang dan peraturan yang undang dan peraturan yang
- Ketaatan
ditetapkan ditetapkan
Komponen 1. Analisis Anti- 1. Control environment 1. Control environment

Kecurangan Level 2. Risk assessment 2. Risk assessment
Makro 3. Control activities 3. Control activities
2. Penaksiran Level Makro 4. Information and 4. Information and
terhadap Model communications communications
Pengendalian 5. Monitoring 5. Monitoring
3. Penaksiran Kecukupan
Pengendalian Umum IT
atas Berbagai Sistem
4. Penaksiran Resiko
dan Pengendalian di
Tempat untuk
Memastikan Keandalan
Pengungkapan Ekstern
Luas penerapan Dapat diimplementasikan secara
USA Indonesia
Internasional
Tanggung jawab atas Dewan komisaris dan
CEO dan CFO CEO dan CFO
pengendalian intern manajemen
Penyajian laporan Diatur pasal 404 Tidak disyaratkan, hanya SAT seksi 400
efektivitas berupa dokumentasi atas
pengendalian intern evaluasi sistem pengendalian
secara dan pelaporan kelemahan
pengendalian intern kepada
manajemen puncak
Pemeriksaan atas Dilakukan melalui atestasi Tidak diatur Dilakukan melalui atestasi oleh
pelaporan efektivitas oleh auditor eksternal praktisi (auditor yang
pengendalian intern melakukan jasa atestasi)
Hal 22 dari 22
Mengenai Teknik Audit Berbantuan Komputer (TABK) yang diatur dalam SA Seksi 327, pada dasarnya tujuan dan lingkup
keseluruhan audit tidak berubah bila audit dilaksanakan dalam suatu sistem informasi komputer (SIK). Perbedaan dapat
terjadi dalam penerapan prosedur audit yang mempersyaratkan auditor untuk mempertimbangkan teknik yang
menggunakan komputer sebagai suatu alat audit. SA Seksi 343, 344, dan 345 mengimplementasikan SA Seksi 319 tentang
Pertimbangan atas Pengendalian Intern dalam Audit Laporan Keuangan. Pengendalian intern yang diatur dalam SA seksi
319 mempunyai definisi, tujuan, kategori, dan komponen yang sama dengan pengendalian intern menurut kerangka COSO.
SA Seksi 314 tentang Penentuan Resiko dan Pengendalian Intern-Pertimbangan dan Karakteristik SIK juga berhubungan
erat dengan SA seksi 343, 344, dan 345. SA seksi 314 mangatur Pengendalian Umum SIK dan Pengendalian Aplikasi SIK.
Tujuan pengendalian umum (general control) adalah untuk membuat rerangka pengendalian menyeluruh atas aktivitas SIK
dan untuk memberikan tingkat keyakinan memadai bahwa tujuan pengendalian intern dapat tercapai. Pengendalian umum
meliputi:
a. Pengendalian organisasi dan manajemen
b. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi
c. Pengendalian terhadap operasi sistem
d. Pengendalian terhadap perangkat lunak sistem
e. Pengendalian terhadap entry data dan program
Pengendalian aplikasi (aplication control) bertujuan untuk menetapkan prosedur pengendalian khusus atas applikasi
akuntansi, mencakup:
a. Pengendalian atas masukan
b. Pengendalian atas pengolahan dan file data komputer
c. Pengendalian atas keluaran
d. Pengendalian masukan, pengolahan, dan keluaran dalam sistem on-line
Apabila dikaitkan dengan kerangka pengendalian intern COSO, pengendalian umum dan aplikasi merupakan aktivitas
pengendalian (control activities).
Pilar no.3 Undang-undang Sarbanes Oxley mengenai penaksiran atas pengendalian umum yang memadai atas teknologi
informasi mempersyaratkan agar semua perusahaan yang melaksanakan SOX pasal 302/404/906 harus memelihara suatu
penaksiran atas pengendalian umum dan pengendalian aplikasi dalam teknologi informasi. Pengendalian dikatakan
memadai apabila perusahaan:
1. Mencegah perubahan yang tidak diotorisasi atas data dalam aplikasi perangkat lunak
2. Mencegah perubahan yang tidak diotorisasi atas kode program yang mengatur dan menyimpan data
3. Menjamin bahwa program melaksanakan dan hanya melaksanakan hal yang diperintahkan, dan program didukung
oleh pengendalian pengguna manual
4. Akses pengendalian atas aktiva terhadap penggunaan internal dan eksternal yang tidal diotorisasi.
SOX mengatur bahwa persyaratan ketaatan atas teknologi informasi secara umum didasarkan pada Tujuan Pengendalian
bagi Informasi dan Teknologi yang Berkaitan (Control Objectives for Information and related Technology CobIT), yang
merupakan produk dari IT Governance Institute (ITGA). Pembahasan lebih lanjut mengenai CobIT akan diuraikan dalam
sesi berikutnya.

SPI

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

SPI

Uploaded by

Copyright:

Available Formats

Hal 1 dari 22

Tujuan Pokok Sistem Pengendalian Intern:

Unsur Sistem pengendalian intern:

No Pengendalian Intern Akuntansi Pengendalian Intern Akuntansi dalam Sistem

2 Dilakukan pemeriksaan secara visual Komputer dapat melakukan berbagai pemeriksaan

3 Manual system menitik beratkan Sistem komputer menitikberatkan pengendalian

Struktur Organisasi Departemen PDE

Manajer Sistem dan Manajer Fasilitas dan

Analisis Pemrogr Perpust Konversi Operator Control Jasa

Unsur Pengendalian Intern dalam Lingkungan EDP

2. Pengendalian terhadap Sistem dan Program

3. Pengendalian terhadap Fasilitas Pengolahan Data

Fasilitas pengolahan data meliputi empat bidang utama berikut ini:

Pengendalian Aplikasi (Application Control)

Pengendalian aplikasi dapat dibagi menjadi:

Definisi Pengendalian Intern

Lingkungan pengendalian mencakup faktor-faktor berikut ini:

Informasi dan komunikasi

Pelaporan Pengendalian Intern Suatu Entitas Atas Pelaporan Keuangan

Pengendalian Intern Dalam Pengolahan Data Elektronik

SA Seksi 327 tentang Teknik Audit Berbantuan Komputer

Pengendalian penerapan TABK

Konfigurasi dan karakteristik komputer mikro

Pengendalian intern dalam lingkungan komputer mikro

a. Otorisasi manajemen untuk mengoperasikan komputer mikro

b. Pengamanan fisik ekuipmen

d. Pengamanan program dan data

e. Integritas perangkat lunak dan data

f. Back up perangkat keras, perangkat lunak, dan data

A. Pengendalian SIK umum pemisahan tugas

B. Pengendalian aplikasi SIK

Pengendalian dapat dilakukan oleh fungsi yang independent yang umumnya:

Dampak lingkungan komputer mikro terhadap prosedur audit

SA Seksi 344: Pengendalian Intern Dalam Sistem Komputer On-Line

Sistem komputer on-line juga berdampak terhadap pengendalian intern, yakni:

Dampak Sistem Komputer On-Line terhadap Prosedur Audit

Prosedur yang dilaksanakan selama tahap perencanaan dapat mencakup:

SA Seksi 345: Pengendalian Intern dalam Lingkungan Database

Dampak Database terhadap Sistem Akuntansi dan Pengendalian yang Berkaitan

Dampak Database Terhadap Prosedur audit

Tujuan Dibuatnya Undang-undang Sarbanes Oxley

Pasal 302 dan 404 tentang Efektifitas

Cara Mudah untuk Menilai Efektifitas Pengendalian Internal

Proses Penilaian Efektifitas

Langkah 2: Identifikasi proses-proses yang pengendaliannya perlu dievaluasi

Langkah 3: Identifikasi pemicu persyaratan resiko dan pengendalian

Nilai maksimum dari masing-masing data

Karakteristik beban kerja

Langkah 4: Mengumpulkan dan Mengawasi Pemicu/Pendorong Data

Langkah 6: Melakukan Evaluasi

Langkah 7: Identifikasi penyebab kelemahan

K erangka Ko nsep tu al Peng en dalian In tern

1. Lingkungan pengendalian (Control Environment)

3. Kegiatan Pengendalian (Control Activities)

4. Informasi dan Komunikasi (Information and Communication)

Review terhadap komponen kontrol ini harus fokus pada pertanyaan-2:

Aktivitas monitoring difokuskan pada pertanyaan-2 sbb:

P eran Dan Tangg un g Jawab

ERM - paradigma baru kerangka COSO

Enterprise Risk Management (ERM)

Enterprise risk management meliputi:

1. Analisis Anti-Kecurangan Level Makro