Professional Documents
Culture Documents
BAB I
SISTEM PENGENDALIAN INTERN
Lingkungan Pengendalian:
1. Filosopi Dan Gaya Operasi
Apa yang harus dikerjakan dan tidak dikerjakan dan cara manajer melakukan operasi perusahaan
2. Berfungsinya Dewan Komisaris Dan Komite Audit
3. Metode Pengendalian Manajemen
bagaimana perencanaan dan pengendalian atas pengalokasian sumber daya perusahaan, dengan tahap sebagai
berikut:
a. Penyusunan program
b. Penyusunan anggaran
c. Pelaksanaan dan pengukuran program/anggaran
d. Pelaporan dan analisis
4. Kesadaran Pengendalian
Hal 2 dari 22
Perbedaan Sistem Pengendalian Manual Vs Komputer
1 Pembagian tanggung jawab pelaksanaan Karena ketelitian dan kecepatan pengolahan data
suatu transaksi ke tangan beberapa dengan komputer, lebih sedikit diperlukan cek
orang atau departemen agar tercipta silang dalam pengolahan data, terutama yang
adanya cek silang (cross-check) dan menyangkut perhitungan dalam pengolahan data
spesialisasi pekerjaan klerikal. akuntansi.
Manajer PDE
1. Organisasi
Dalam manual system, pengendalian dilaksanakan dengan memisahkan fungsi-fungsi pokok: operasi, penyimpanan, dan
akuntansi. Suatu transaksi akan dilaksanakan oleh fungsi operasi jika ada otorisasi dari yang berwenang, hasil transaksi
akan disimpan oleh fungsi penyimpanan, dan transaksi yang terjadi akan dicatat oleh fungsi akuntansi.
Dalam sistem komputer, fungsi-fungsi otorisasi, operasi, dan akuntansi, seringkali digabung dalam wujud program
komputer, sehingga penggabungan ketiga fungsi ini memerlukan metode pengendalian khusus.
Untuk menciptakan sistem pengendalian intern dalam lingkungan pengolahan data elektronik, yang fungsi otorisasi dan
fungsi akuntansinya dimasukkan dalam program komputer, perlu diadakan pemisahan fungsi-fungsi berikut ini:
1. Fungsi perancangan sistem dan penyusunan program
2. Fungsi operasi fasilitas pengolahan data
3. Fungsi penyimpanan program dan kepustakaan
Pemisahan ketiga fungsi tersebut harus dilakukan dalam lingkungan pengolahan data elektronik karena:
1. Pemisahan ini akan menciptakan pengecekan silang (cross- check) terhadap sistem, dan kepantasan perubahan yang
dimasukkan dalam sistem.
2. Pemisahan ini dapat mencegah karyawan operator komputer melakukan perubahan terhadap program tanpa ijin dan
tanpa pengujian sebelumnya.
3. Pemisahan ini dapat mencegah akses terhadap komputer oleh bukan karyawan operator komputer dan oleh orang lain
yang tahu mengenai sistem.
4. Pemisahan ini akan mendorong efisiensi karena setiap fungsi tersebut memerlukan kemampuan, latihan, dan keahlian
yang berbeda dalam melaksanakan
Dalam lingkungan pengolahan perancangan sistem dan program harus terpisah dari fungsi operasi data. Pengendalian
umum yang bersangkutan dengan fungsi pengembangan sistem dan program meliputi:
1. Prosedur penelaahan dan pengesahan sistem baru oleh komisi yang berwenang
2. Prosedur pengujian program
3. Prosedur pengubahan program
a. Perubahan program harus dilakukan oleh fungsi perancangan sistem dan program, bukan oleh fungsi
operasi fasilitas pengolahan data
b. Perubahan program harus melalui prosedur dan didokumentasikan dengan baik untuk mencegah
manipulasi program
c. Perubahan program harus diarsipkan dalam program run book (catatan atas seluruh perubahan program)
4. Dokumentasi, dilakukan dalam program run book berisi:
a. Deskripsi tujuan program
b. Flowchart
c. Himpunan daftar program
d. Intruksi pemakaian program komputer
e. Catatan pengujian program
f. Contoh semua laporan yang dihasilkan program
3. Perpustakaan
Pengendalian terhadap penyimpanan arsip data dan program harus dilakukan oleh karyawan perpustakaan dalam
tempat yang terlindung dengan baik, yang hanya dapat dimasuki oleh karyawan yang diijinkan untuk itu. Arsip yang
disimpan dalam perpustakaan harus ditangani dengan pedoman bahwa setiap arsip harus secara spesifik menunjukkan:
a. Nama dan nomor arsip
b. Otorisasi yang diperlukan untuk meminjamkan arsip yang penggunaannya terbatas
c. Siklus pemutakhiran
d. Siklus penyimpanan
e. File size dan block size.
f. Bagaimana merekonstruksi arsip jika terjadi kerusakan.
g. Bagaimana arsip disimpan dalam perpustakaan.
4. Fungsi pengendalian.
Fungsi pengendalian berkaitan dengan pengendalian terhadap masukan dan keluaran Departernen Pengolahan Data
Elektronik. Fungsi pengendalian ini dibagi menjadi dua: (1) fungsi pengawas internal dan (2) fungsi pengawas ekstern.
Fungsi pengawas internal dilaksanakan oleh bagian Control Group dalam Departernen Pengolahan Data Elektronik,
yang mencakup:
a. Mengawasi tahap pengolahan data sejak diterima dari pemakai sampai dengan saat dikirimkannya informasi
kepada pemakai tersebut.
b. Bertindak sebagai penghubung antara departemen pengolahan elektronik dengan para pemakai.
c. Mencatat input control totals dalam control log untuk dicocokkan dengan total yang dihitung oleh komputer.
d. Mengawasi kesalahan-kesalahan yang ditolak oleh komputer, untuk menjamin bahwa semua kesalahan telah
dikoreksi dan hasil koreksinya telah dimasukkan ke dalam sistem komputer.
e. Menjamin bahwa laporan yang merupakan keluaran departemen Pengolahan Data Elektronik dapat disajikan pada
waktunya dan didistribusikan kepada manajer yang berhak menerimanya.
Fungsi pengawas ekstern dilaksanakan dengan berbagai cara, namun pada dasarnya dimaksudkan untuk melakukan
pengecekan secara independen terhadap pelaksanaan fungsi Departemen PengoIahan Data Elektronik. Pengecekan
tersebut dilakukan oleh departemen pemakai, atau dalam perusahaan yang besar dilakukan oleh unit organisasi khusus
yang dibentuk dalam Departemen Akuntansi dan Keuangan. Unit organisasi khusus yang dibentuk sebagai pengawas
ekstern bagi Departemen Pengolahan Data Elektronik mempunyai tugas berikut ini:
a. Mengadakan pernbandingan keluaran Departemen Pengolahan Data Elektronik dengan yang direncanakan untuk
mendeteksi adanya unsur-unsur yang tidak biasa dan mengusulkan tindakan koreksi.
b. Melakukan pengambilan sampel secara sistematik terhadap keluaran Departemen Pengolahan Data Elektronik
untuk menentukan apakah sistem yang digunakan berfungsi sebagaimana yang dirancang.
c. Menangani pertanyaan, permintaan, dan kritik dari pemakai mengenai keluaran Departemen Pengolahan Data
Elektronik, sebagai umpan balik bagi perancang sistem dan pembuat program.
Pengendalian aplikasi dirancang untuk memenuhi persyaratan pengendalian khusus setiap aplikasi. Pengendalian aplikasi
mempunyai tujuan berikut ini:
1. Menjamin bahwa semua transaksi yang telah diotorisasi telah diproses sekali saja secara lengkap.
2. Menjamin bahwa data transaksi lengkap dan teliti.
3. Menjamin bahwa pengolahan data transaksi benar dan sesuai dengan keadaan.
4. Menjamin bahwa hasil pengolahan data dimanfaatkan untuk tujuan yang telah ditetapkan.
5. Menjamin bahwa aplikasi dapat terus menerus berfungsi.
1. Pengendalian Preventif
Pengendalian preventif bertindak sebagai petunjuk untuk membantu sesuatu terjadi seperti yang seharusnya terjadi.
Pengendalian ini sangat diperlukan dalam pengolahan data elektronik, karena hal ini dapat mencegah terjadinya masalah.
Pengendalian preventif diletakkan di sepanjang proses pengolahan data dalam sistem pengolahan data elektronik.
Umumnya unsur pengendalian preventif dilaksanakan sebelum data masuk ke dalam program komputer. Pengendalian
preventif meliputi unsur-unsur berikut ini:
1. Otorisasi data sumber
2. Konversi data
3. Penyiapan data sumber
4. Turnaround documents
5. Formulir bernomor urut tercetak
6. Validasi masukan
7. Pemutakhiran arsip dengan komputer
8. Pengendalian terhadap pengolahan data.
Otorisasi Data Sumber. Sebelum data diolah dengan komputer, harus ada teknik yang digunakan untuk mendeteksi
apakah data tersebut telah diotorisasi oleh yang berwenang. Contoh data sumber yang memerlukan otorisasi sebelum
diproses oleh komputer adalah syarat kredit, potongan harga, tarif komisi, dan jam lembur. Dokumen yang dipakai sebagai
sumber data untuk diolah dalam komputer sedapat mungkin harus berisi bukti otorisasi dari yang berwenang dan ditelaah
Hal 5 dari 22
oleh Control Group dalam Departemen Pengolahan Data Elektronik. Sedapat mungkin komputer harus digunakan untuk
memberikan otorisasi terhadap masukan dengan menggunakan pengendalian melalui program.
Konversi Data. Konversi data adalah proses pengubahan data dari bentuk yang tidak dapat dibaca oleh mesin menjadi
bentuk yang dapat dibaca oleh mesin. Karena konversi data merupakan kegiatan manual, diperlukan pengendalian untuk
menjamin bahwa konversi data dilaksanakan dengan teliti. Teknik yang biasa dipakai mengawasi konversi data adalah:
1. Pembuatan dokumen sumber sebagai produk sampingan dari kegiatan pencatatan. Sebagai contoh, pada saat
pembuatan faktur penjualan dengan komputer, sekaligus komputer membuat transaction file yang akan digunakan
untuk memutakhirkan arsip induk persediaan (inventory master file) dan membuat laporan analisis penjualan.
2. Penggunaan turnaround documents yang meniadakan kegiatan konversi data.
Penyiapan Data Sumber. Dalam lingkungan pengolahan data elektronik, dokumen sumber yang konvensional masih
banyak digunakan, oleh karena itu diperlukan pengendalian sebelum dokumen sumber tersebut dikonversi ke dalam bentuk
yang dapat dibaca oleh mesin. Cara-cara yang umumnya ditempuh untuk mengawasi penyiapan data sumber adalah
sebagai berikut:
1. Parancangan formulir secara khusus untuk mendorong perekaman data secara teliti ke dalamnya.
2. Pemeriksaan terhadap dokumen sumber oleh karyawan untuk mendeteksi kesalahan eja, penulisan kode yang tidak
sah, penulisan jumlah yang tidak masuk akal, dan data lain yang tidak semestinya.
3. jika dokumen sumber dihilangkan dalam sistem pengolahan data elektronik atau digunakan formulir yang tidak
memungkinkan pemeriksaan oleh manusia, pengendalian terhadap penyiapan data sumber dilakukan sedemikian rupa
untuk mencegah akses dan penggunaan ekuipmen yang dipakai untuk mencatat dan mengirimkan data, agar dapat
dihindari penggunaan tanpa ijin atau penggunaan yang tidak semestinya.
Turnaround Documents. Turnaround documents dapat menciptakan ketelitian dalam penyiapan masukan yang akan
diolah dengan komputer. Contoh turnaround document adalah dokumen tagihan yang dikeluarkan oleh suatu perusahaan
yang dirancang terdiri dari 2 bagian. Bagian pertama berupa kartu plong (punched card) yang berisi data nomor rekening
dan jumlah rupiah tagihan. Bagian ini disobek oleh debitur dan dikembalikan lagi ke perusahaan pada saat pembayaran
tagihan. Oleh perusahaan, bagian ini langsung dipakai sebagai media masukan untuk pengolahan dengan komputer
transaksi penerimaan kas. Bagian ke dua disimpan oleh debitur sebagai arsip.
Formulir Bernomor Urut Tercetak- Seperti halnya dalam manual system, penggunaan formulir bernomor urut tercetak
yang pemakaiannya dipertanggungjawabkan merupakan unsur sistem pengendalian intern untuk mendorong adanya praktik
yang sehat.
Validasi Masukan. Cara ini merupakan upaya terakhir untuk mengawasi penyiapan masukan yang akan diolah dengan
komputer. Validasi masukan ini dilakukan dengan menggunakan kemampuan komputer dalam memeriksa (edit) masukan
dengan menggunakan program. Pemeriksaan yang dilakukan oleh komputer mencakup inspeksi dan penerimaan (atau
penolakan) transaksi sesuai dengan validitas kuantitas, kode, dan data lain yang terdapat dalam masukan. Kemampuan
komputer dalam mengedit masukan dapat mendeteksi kesalahan penyiapan masukan yang tidak dapat terdeteksi dengan
alat pengendalian yang telah diuraikan di atas. Kemampuan mengedit komputer dapat dicapai dengan memasukkan
pengecekan dalam program yang dapat berupa:
1. Validity tests.
digunakan untuk menjamin bahwa transaksi berisi kode, caracter, dan field size yang sah. Sebagai contoh, jika nomor
kode persediaan hanya terdiri dari 4 angka, pemasukan data kode persediaan yang melebihi 4 angka ke dalam
komputer akan ditolak oleh komputer.
2. Completeness tests.
digunakan untuk menjamin bahwa masukan mempunyai jumlah data seperti yang telah ditetapkan dalam semua data
field.
3. Logical tests.
digunakan dalam transaksi yang berbagai bagian atau, field yang terdapat dalam catatan (record) mempunyai
hubungan logis antara yang satu dengan yang lain. Program komputer dapat digunakan untuk mengecek hubungan
logis tersebut untuk menolak kombinasi yang salah meskipun nilai secara individual dapat diterima.
4. Limit tests.
digunakan untuk menguji record field untuk mengetahui apakah batas tertentu yang ditetapkan telah dilampaui.
Sebagai contoh field untuk jam kerja karyawan yang telah diprogram tidak mungkin diisi lebih besar dari 40 jam,
akan menolak angka yang lebih dari 40 jam.
5. Seff-cbecking digits.
digunakan untuk menjamin ketelitian nomor identifikasi scperti kode rekening. Check digit ditentukan dengan
melakukan perhitungan atas nomor identifikasi itu sendiri.
6. Control totals.
Control totals dihitung dari field jumlah rupiah atau kuantitas dari kelompok record dalam komputer yang digunakan
untuk mengecek jumlah rupiah atau kuantitas yang terdapat dalam kelompok dokumen sumber yang dihitung secara
manual. Control totals ini digunakan untuk menjamin bahwa semua masukan telah dicatat dalam arsip komputer.
Pemutakhiran Arsip dengan Komputer. Setelah data transaksi divalidasi, komputer kemudian digunakan untuk
memutakhirkan arsip induk (masterfile) dengan menggunakan arsip transaksi (transaction file) yang telah divalidasi
tersebut. Pemutakhiran arsip induk dengan menggunakan komputer meliputi pengurutan transaksi, pernbandingan record
dalam arsip transaksi dengan record dalam arsip induk, perhitungan, dan manipulasi serta penyusunan data untuk
keperluan pemutakhiran arsip induk dan produksi keluaran untuk didistribusikan kepada departemen pemakai atau untuk
proses pengolahan komputer lanjutan. Pengendalian pemutakhiran arsip dengan komputer tergantung pada pengendalian
penyusunan program, pengecekan perangkat keras yang dirancang dan dibangun di dalamnya oleh produsen perangkat
keras, dan pengendalian melalui program yang dirancang dalam program yang dipakai untuk pengolahan data. Teknik
pengendalian lain yang digunakan untuk mengawasi pemutakhiran arsip dengan komputer adalah pemeliharaan arsip.
Hal 6 dari 22
Pemeliharaan arsip terdiri dari prosedur pengubahan informasi yang bersifat permanen yang terdapat dalam arsip induk.
Contoh informasi tersebut adalah nama karyawan, pangkat, dan gaji pokok. Karena informasi yang bersifat permanen ini
sangat penting dalam pengolahan data dengan komputer, maka diperlukan prosedur formal untuk mengubahnya.
Pengendalian terhadap Pengolahan Data. pengendalian terhadap pengolahan data dilakukan dengan menggunakan
pengendalian terprogram. pengendalian terprogram. dirancang untuk mendeteksi kehilangan data, mengecek perhitungan,
dan menjamin pembukuan transaksi dengan benar, pengendalian terprogram dapat berbentuk pengendalian berikut ini:
1. Record counts
Record counts adalah jumlah record yang diolah oleh komputer. Hasil penghitungan record tersebut kemudian
dibandingkan dengan jumlah yang ditentukan sebelumnya.
2. Control totals
3. Hash totals
Hash totals adalah jumlah angka yang terdapat dalam non-quantity field, seperti nomor kode pemasok atau nomor
kode langganan.
4. Limit checks
Limit checks adalah batasan yang dibuat dalam program komputer untuk menolak data yang diluar batas yang
ditetapkan sebelumnya. Misalnya gaji karyawan perusahaan berkisar antara Rp 150.000 sampai dengan Rp 5.000.000
per bulan. Program pembuatan daftar gaji dibuat dengan memasukkan kedalam program untuk memungkinkan
komputer menolak data jumlah gaji yang berada diluar kisaran gaji tersebut.
5. Cross- footing balance check
Cross- footing balance check adalah pembandingan secara internal (melalui program komputer) antara jumlah catatan
yang satu dengan jumlah catatan yang lain.
6. Overflow test
Overflow test digunakan untuk menentukan apakah ukuran hasil perhitungan melebihi ukuran yang telah disediakan
untuk menampung hasil perhitungan tersebut.
7. File check
File check merupakan pengendalian yang digunakan untuk menjamin bahwa arsip yang digunakan dalam pengolahan
data adalah benar.
2. Pengendalian Detektif
Pengendalian detektif tidak akan mencegah terjadinya masalah, namun akan memberi petunjuk di mana letak terjadinya
masalah. Contoh pengendalian detektif adalah data transmission, control register, control totals, dokumentasi dan testing,
penggunaan label, dan output check. I
Setelah data sumber disiapkan, diotorisasi, dan diubah kedalam bentuk yang dapat diproses dengan komputer, data
tersebut kemudian dikirim dari departemen sumber ke Departemen Pengolahan Data Elektronik. Pengiriman data dapat
dilakukan secara konvensional (melalui pos atau pengantar) atau melalui alat transmisi. Satu teknik pengendalian yang
penting dalam pengiriman data adalah dengan mengelompokkan transaksi yang banyak kedalam satu kelompok kecil
(disebut batching). Batching dan control totals merupakan teknik pengendalian baik dalam konversi data maupun
pengiriman data. Cara pengendalian ini dapat mengecek kelengkapan transaksi yang diproses melalui komputer dan dapat
menjamin bahwa semua transaksi telah diterima oleh Departemen Pengolahan Data Elektronik.
Cara lain untuk menjamin bahwa pengiriman data adalah dengan mencatat control totals dalam suatu control log yang
dapat memungkinkan Control Group dalam Departemen Pengolohan Data Elektronik dapat merekonsiliasi input controls
dengan control totals yang dihasilkan dari pengolahan komputer.
Control totals biasanya dihitung dari batch data masukan. Control totals ini dihitung secara manual, sebelum pengolahan
data dilaksanakan, dan kemudian dimasukkan sebagai masukan dalam tahap pengolahan oleh komputer. Komputer dapat
diprogram untuk mengitung control totals dalam proses pengolahan data, dan kemudian membandingkannya dengan
control totals yang dimasukkan sebagai masukan tersebut. Pesan yang bersangkutan dengan hasil pernbandingan tersebut
dicetak untuk ditelaah oleh Control Group dalam Departemen Pengolahan Data Elektronik.
Ketelitian penyusunan program dapat terjamin jika diadakan dokumentasi program yang memadai dan pengujian program
secara ektensif. Dokumentasi program akan membantu pencarian kesalahan program dan memudahkan pembetulan
kesalahan program, meskipun perancang programnya sudah tidak ada di perusahaan. Pengujian program secara ekstensif
dalam kondisi nyata, tanpa mengikut sertakan penyusun programnya, akan memperkecil kemungkinan adanya
tipuan-tipuan yang dimasukkan dalam program dan akan memperlancar penerapan sistem.
Pemberian label akan memudahkan identifikasi arsip dan akan mencegah penggunaan arsip secara keliru. Label arsip ditulis
dalam bentuk yang dibaca dengan komputer dan termasuk dalam pengendalian program. Label juga ditempelkan secara
fisik pada disket arau reel pita.
Out put check terdiri dari prosedur dan t knik pengendalian berikut ini:
1. Rekonsiliasi data keluaran, terutama control totals, dengan control totals yang ditentukan sebelumnya dalam waktu
menyiapkan data masukan.
2. Review terhadap data keluaran mengenai kewajaran dan formatnya,
3. Pengendalian terhadap data masukan yang ditolak oleh komputer dalam pengolahan data, dan pendistribusian data
yang ditolak tersebut kepada karyawan yang bersangkutan.
4. Pendistribusian laporan yang dikeluarkan oleh komputer kepada departemen pemakai pada waktu yang tepat.
Hal 7 dari 22
BAB II
PENGENDALIAN INTERN SPAP
SA Seksi 319 dalam SPAP memberikan panduan tentang pertimbangan auditor atas pengendalian intern klien dalam
audit terhadap laporan keuangan berdasarkan standar auditing yang ditetapkan Ikatan Akuntan Indonesia.
Berkaitan dengan standar pekerjaan lapangan yang kedua, yaitu: "Pemahaman memadai atas pengendalian intern
harus diperoleh untuk merencanakan audit dan menentukan sifat, saat, dan lingkup pengujian yang akan dilakukan",
maka dalam semua audit, auditor harus memperoleh pemahaman tentang pengendalian intern yang memadai untuk
merencanakan audit dengan melaksanakan prosedur untuk memahami desain pengendalian yang relevan dengan audit
atas laporan keuangan, dan apakah pengendalian intern tersebut dioperasikan.
Pengendalian intern adalah suatu proses -yang dijalankan oleh dewan komisaris manajemen, dan personel lain entitas-
yang didesain untuk memberikan keyakinan memadai tentang pencapaian tiga golongan tujuan berikut ini: (a) keandalan
pelaporan keuangan, efektivitas dan efisiensi operasi, dan (c) kepatuhan terhadap hukum dan peraturan yang berlaku.
Pengendalian terdiri dari lima komponen yang saling terkait berikut ini:
1. Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi kesadaran pengendalian orang-
orangnya. Lingkungan pengendalian merupakan dasar untuk semua komponen pengendalian intern, menyediakan
disiplin dan struktur.
2. Penaksiran risiko adalah identifikasi entitas dan analisis terhadap risiko yang relevan untuk mencapai tujuannya,
membentuk suatu dasar untuk menentukan bagaimana risiko harus dikelola.
3. Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin bahwa arahan manajemen
dilaksanakan
4. Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran informasi dalam suatu bentuk
dan waktu yang memungkinkan orang melaksanakan tanggung jawab mereka.
5. Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian intern sepanjang waktu.
Lingkungan Pengendalian
Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi kesadaran pengendalian orang-orangnya.
Lingkungan pengendalian merupakan dasar untuk semua komponen pengendalian intern yang lain, menyediakan disiplin
dan struktur.
Penafsiran Risiko
Penaksiran risiko entitas untuk tujuan pelaporan keuangan merupakan pengidentifikasian analisis, dan pengelolaan risiko
yang relevan dengan penyusunan laporan keuangan yang disajikan secara wajar sesuai dengan prinsip akuntansi yang
berlaku umum di Indonesia.
Risiko yang relevan dengan pelaporan keuangan mencakup peristiwa dan keadaan intern dan ekstern yang mungkin terjadi
dan secara negatif berdampak terhadap kemampuan entitas untuk mencatat, mengolah, meringkas, dan melaporkan data
keuangan konsisten dengan asersi manajemen dalam laporan keuangan.
Risiko dapat timbul atau berubah karena keadaan seperti berikut ini:
1. Perubahan dalam lingkungan operasi.
2. Personel baru.
3. Sistem informasi baru atau yang diperbaiki.
4. Pertumbuhan yang pesat.
5. Teknologi baru.
6. Lini produk, produk, atau aktivitas baru.
7. Restrukturisasi korporat.
8. Operasi luar negeri.
9. Penerbitan standar akuntansi baru.
Aktifitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu meyakinkan bahwa tindakan yang diperlukan telah
dilaksanakan untuk menghadapi risiko dalam pencapaian tujuan entitas. Aktivitas pengendalian memiliki berbagai tujuan dan
diterapkan di berbagai tingkat organisasi dan fungsi.
Hal 8 dari 22
Umumnya, aktivitas pengendalian yang mungkin relevan dengan audit dapat digolongkan sebagai kebijakan dan prosedur
yang berkaitan dengan berikut ini:
1. Review kinerja.
2. Pengolahan informasi.
3. Pengendalian fisik.
4. Pemisahan tugas.
Komunikasi mencakup pemberian pemahaman atas peran dan tanggung jawab individual berkenaan dengan pengendalian
intern atas pelaporan keuangan. Komunikasi meliputi luasnya pemahaman personel tentang bagaimana aktivitas mereka
dalam sistem informasi pelaporan keuangan berkaitan dengan pekerjaan orang lain dan cara pelaporan
penyimpangan kepada tingkat yang semestinya dalam entitas. Pembukaan saluran komunikasi membantu
memastikan bahwa penyimpangan dilaporkan dan ditindaklanjuti.
Komunikasi dapat mengambil berbagai bentuk seperti panduan kebijakan, akuntansi, dan panduan pelaporan keuangan, serta
memorandum. Komunikasi juga dapat dilakukan secara lisan dan melalui tindakan manajemen.
Pemantauan
Pemantauan adalah proses penetapan kualitas kinerja pengendalian intern sepanjang waktu. Pemantauan mencakup penentuan
desain dan operasi pengendalian tepat waktu dan tindakan perbaikan yang dilakukan. Proses ini dilaksanakan melalui
aktivitas pemantauan secara terus menerus, evaluasi secara terpisah, atau suatu kombinasi di antara keduanya.
Pemantauan secara terus menerus terhadap aktivitas dibangun ke dalam aktivitas normal entitas yang terjadi secara
berulang dan meliputi aktivitas pengelolaan dan supervisi yang reguler.
Dalam banyak entitas, auditor intern atau personel yang melaksanakan fungsi semacam itu, membantu untuk melakukan
pemantauan atas aktivitas entitas melalui evaluasi secara terpisah. Mereka secara teratur memberikan informasi tentang
berfungsinya pengendalian intern, memfokuskan sebagian besar perhatian mereka pada evaluasi terhadap desain dan operasi
pengendalian intern. Mereka mengkomunikasikan informasi tentang kekuatan dan kelemahan dan rekomendasi untuk
memperbaiki pengendalian intern.
Aktivitas pemantauan dapat mencakup penggunaan informasi dari komunikasi dari pihak luar. Customers secara tersirat
menguatkan data penagihan dengan pembayaran faktur mereka atau pengajuan keluhan tentang pembebanan yang
diterimanya. Di samping itu badan pengatur kemungkinan berkomunikasi dengan entitas berkaitan dengan masalah-
masalah yang berdampak terhadap berfungsinya pengendalian intern, seperti, komunikasi tentang pemeriksaan oleh badan
pengatur perbankan. Demikian pula, manajemen dapat mempertimbangkan komunikasi yang berkaitan dengan pengendalian
intern dari auditor ekstern dalam pelaksanaan aktivitas pemantauan.
SA Seksi 319 dalam SPAP memberikan panduan tentang pertimbangan auditor atas pengendalian intern klien dalam
audit terhadap laporan keuangan berdasarkan standar auditing yang ditetapkan Ikatan Akuntan Indonesia.
Pengendalian intern suatu entitas atas pelaporan keuangan (selanjutnya disebut pengendalian intern) mencakup
kebijakan dan prosedur yang berkaitan dengan kemampuan entitas untuk mencatat, mengolah, meringkas, dan
melaporkan data keuangan konsisten dengan asersi yang terkandung dalam laporan keuangan tahunan atau laporan
keuangan interim, atau dalam kedua laporan tersebut. Praktisi yang mengadakan perikatan ini harus mematuhi standar
umum, standar pekerjaan lapangan, dan standar pelaporan SAT seksi 100 (PSAT No.02) Standar Atestasi dan standar
pelaksanaan dan pelaporan khusus yang diterapkan dalam seksi ini.
Manajemen dapat menyajikan asersi tertulis tentang efektivitas pengendalian intern dalam bentuk:
Hal 9 dari 22
a. Suatu laporan terpisah yang akan melampiri laporan praktisi
b. Suatu surat representasi yang ditujukan kepada praktisi
Suatu entitas dapat menerbitkan berbagai dokumen yang berisi informasi lain sebagai tambahan tehadap asersi manajemen
tentang efektivitas pengendalian intern entitas dan laporan praktisi mengenai asersi manajemen tersebut.
Tujuan pemeriksan praktisi atas asersi manajemen tentang efektivitas pengendalian intern adalah untuk menyatakan
pendapat tentang apakah asersi manajemen bahwa entias menyelengarakan pengendalian intern yang efektif pada saat
tertentu disajikan secara wajar, dalam semua hal yang material, berdasarkan kriteria pengendalian. Sedangkan tujuan
pertimbangan auditor atas pengendalian intern dalam audit atas laporan keuangan adalah untuk memungkinkan auditor
merencanakan auditnya dan menentukan sifat, waktu, dan lingkup pengujian yang harus dilaksanakan.
Pertimbangan auditor atas pengendalian intern lebih terbatas sifatnya dibandingkan dengan yang dilakukan oleh praktisi
dalam mengadakan perikatan untuk memeriksa asersi manajemen tentang efektivitas pengendalian intern. Pengetahuan
yang diperoleh praktisi tentang pengendalian intern dapat dipakai sebagai dasar untuk pemahaman atas pengendalian
intern dalam audit atas laporan keuangan. Sebaliknya, praktisi dapat mempertimbangkan hasil pengujian pengendalian,
beserta kelemahan material yang diidentifikasinya, pada waktu mementukan resiko pengendalian dalam audit atas laporan
keuangan.
Prosedur pengendalian
A. Perangkat lunak audit
- partisipasi dalam perancangan dan pengujian program computer
- pengecekan pengkodean program untuk menjamin kesesuaian dengan spesifikasi program rinci
- permintaan kepada staf komputer untuk me-review perintah-perintah sistem operasi untuk menjamin perangkat
lunak dapat berjalan dalam instalasi komputer entitas
- pengoperasian perangkat lunak audit untuk file uji kecil sebelum melaksanakan untuk file data utama
- penjaminan bahwa file yang benar yang digunakan
- pemerolehan bukti bahwa perangkat lunak audit tersebut berfungsi sebagai mana direncanakan
- penciptaan cara-cara pengamanan yang semestinya untuk menjaga keamanan dari kemungkinan manipulasi data
file
B. Data uji
- pengendalian urutan penyerahan data uji yang diolah di beberapa siklus pengolahan
- pelaksanaan uji pengoperasian program (test runs) yang berisi jumlah data uji kecil sebelum penyerahan data uji
audit utama
- prediksi hasil data uji dan pembandingan hasil tersebut dengan keluaran data uji sesungguhnya
- konfirmasi bahwa versi terakhir program telah digunakan untuk mengolah data uji
- pemerolehan keyakinan memadai bahwa program yang digunakan untuk mengolah data uji digunakan oleh entitas
selama periode yang diaudit
SA Seksi 343 tentang Lingkungan Sistem Informasi Komputer Komputer Mikro Berdiri Sendiri
Seksi ini menggambarkan dampak komputer mikro terhadap sistem akuntansi dan pengendalian intern yang berkaitan dan
terhadap prosedur audit. Komputer mikro dapat digunakan untuk mengolah transaksi akuntansi dan untuk menghasilkan
laporan yang penting untuk penyusunan laporan keuangan. Tipe pengendalian intern tertentu harus ditekankan oleh auditor
karena karakteristik komputer mikro itu sendiri dan lingkungan tempat komputer mikro itu digunakan.
c. Pengamanan fisik media yang dapat diambil dan yang tidak dapat diambil
Pengendalian atas media penyimpanan yang dapat diambil dapat dibangun dengan meletakkan tanggung jawab
atas media tersebut ke pundak personel yang tanggung jawabnya mencakup tugas sebagai penyimpan dan
pustakawan, juga dengan menggunakan sistem pengecekan keluar atau masuknya arsip data dan program serta
disediakan tempat penyimpanan tertentu yang berkunci.
Dampak komputer mikro atas sistem akuntansi dan pengendalian intern terkait
a. Pengendalian akses- prosedur yang didesain untuk membatasi akses ke dalam program dan data. Secara khusus,
program ini didesain untuk mencegah atau mendeteksi:
(1) Akses yang tidak semestinya ke peralatan terminal on-line, program dan data.
(2) Memasukkan transaksi tanpa otorisasi.
(3) Perubahan arsip data tanpa ototrisasi.
(4) Penggunaan program komputer yang masih operasional oleh personel yang tidak berwenang.
(5) Penggunaan program komputer yang belum mendapatkan otorisasi
Prosedur ini selain menggunakan password dan perangkat lunak pengendalian akses khusus juga mencakup
pengendalian fisik seperti penggunaan kunci pengaman atas perlatan terminal.
b. Pengendalian terhadap password-prosedur untuk pemberian dan pemeliharaan password untuk membatasi akses
hanya kepada pemakai yang sah.
c. Pengendalian atas pengembangan dan pemeliharaan sistem- prosedur tambahan untuk menjamin bahwa
pengendalian yang sangat penting terhadap aplikasi on-line, dimasukkan di dalam sistem selama pengembangan
dan pemeliharaan sistem.
d. Pengendalian pemrograman- prosedur yang didesain untuk mencegah atau mendeteksi perubahan yang tidak
semestinya terhadap program komputer yang diakses melalui peralatan terminal on-line.
e. Transaction log- Laporan yang didesain untuk membuat jejak audit untuk setiap transaksi on-line.
Pengendalian aplikasi SIK tertentu terhadap pengolahan on-line menjadi sangat penting, hal ini mencakup:
a. Otorisasi sebelum pengolahan
b. Pengeditan melalui terminal, pengujian, kelayakan dan validasi lain
c. Prosedur pisah batas (cut off procedures)
d. Pengendalian arsip
e. Pengendalian arsip induk
Dampak Sistem Komputer on-line atas sistem akuntansi dan pengendalian intern yang terkait umumnya tergantung pada:
a. Luasnya sistem on-line yang digunakan untuk mengolah aplikasi akuntansi
b. Tipe dan signifikannya transaksi keuangan yang diolah
c. Sifat arsip dan program yang dimanfaatkan dalam aplikasi
Risiko terjadinya kecurangan atau kekeliruan dalam sistem on-line dapat dikurangi dalam keadaan berikut ini:
a. Jika pemasukan data secara on-line dilaksanakan pada atau dekat dengan tempat asal transaksi.
b. Jika transaksi yang tidak sah dikoreksi dan dimasukkan kembali segera.
c. Jika pemasukan data dilaksanakan secara on-line oleh individu yang memehami sifat transaksi yang bersangkutan.
d. Jika transaksi diolah segera setelah on-line
Namun risiko terjadinya kecurangan dan kekeliruan dalam sistem komputer on-line menjadi meningkat jika terdapat
alasan-alasan berikut ini:
Hal 12 dari 22
a. Jika peralatan terminal diletakkan di seluruh entitas
b. Peralatan terminal on-line memberikan kesempatan untuk terjadinya penggunaan tidak semestinya:
(1) Modifikasi transaksi atau saldo yang sebelumnya sudah dimasukkan
(2) Modifikasi program komputer
(3) Akses ke data dan program dari lokasi jauh
c. Jika pengolahan on-line terputus dengan sebab apapun, kemungkinan besar akan terjadi kehilangan data.
d. Akses secara on-line ke data dan program melalui telekomunikasi mengingkatkan kemungkinan akses ke data dan
program oleh orang yang tidak semestinya
Prosedur audit yang dilaksanakan bersamaan dengan pengolahan on-line mencakup pengujian kepatuhan pengendalian di
dalam aplikasi on-line. Sementara itu, prosedur yang dilaksanakan oleh auditor setelah pengolahan selesai dilaksanakan
mencakup:
a. Pengujian kepatuhan terhadap pengendalian atas transaksi yang direkam dalam transaction log melalui sistem on-
line tentang otorisasi, kelengkapan dan kecermatan.
b. Pengujian subtantif terhadap transaksi dan hasil pengolahan, bukan pengujian pengendalian, bilamana pengujian
subtantif dapat lebih cost-efektif atau bilamana sistem komputer on-line tidak didesain dan dikendalikan dengan
baik.
c. Pengolahan kembali transaksi dalam prosedur pengujian kepatuhan atau prosedur subtantif
Sistem database umumnya menyediakan data dengan tingkat keandalan tinggi yang dapat mengakibatkan turunnya risiko
kecurangan dan kekeliruan dalam sistem akuntansi yang menggunakan database. Faktor-faktor berikut ini dalam kombinasi
dengan pengendalian memadai, membantu meningkatkan keandalan data:
a. Konsistensi data meningkat karena data dicatat dan di-update hanya sekali
b. Integritas data menjadi meningkat dengan penggunaan fasilitas yang terdapat dalam DBMS, seperti pemulihan,
restart routines, generalized edit and validation routines, dan alat-alat pengendalian dan pengamanan.
Hal 13 dari 22
c. Fungsi lain yang terdapat dalam DBMS dapat memberikan kemudahan dalam prosedur pengendalian dan audit.
Selama proses penaksiran risiko, dalam penentuan seberapa jauh kepercayaan dapat diletakkan atas pengendalian intern
yang berkaitan dengan penggunaan database dalam sistem akuntansi, auditor dapat mempertimbangkan bagaimana
pengendalian intern dalam lingkungan database digunakan dalam sistem. Jika kemudian ia memutuskan untuk
mempercayai pengendalian tersebut, ia akan mendesain dan melaksanakan pengujian pengendalian yang semestinya.
Hal 14 dari 22
BAB III
UNDANG-UNDANG SARBANES OXLEY
Sarbanes-Oxley adalah undang-undang Amerika Serikat yang diterbitkan pada tahun 2002 untuk menciptakan pengelolaan
perusahaan yang baik (corporate governance) dan mengembalikan kepercayaan para investor. Sarbanes-Oxley
diundangkan sehubungan dengan adanya skandal pengelolaan dan akuntansi yang dilakukan sejumlah perusahaan besar di
Amerika Serikat. Peraturan ini mencakup banyak hal dan membuat standar-standar baru maupun perbaikan atas standar
yang sudah ada untuk para dewan direksi, manajemen, dan perusahaan akuntan publik.
Meskipun istilah efektifitas telah banyak disebutkan dalam undang-undang dan peraturan SEC, tetap saja masih banyak
perusahaan yang belum secara penuh menyadari arti pentingnya istilah ini dan melihatnya sebagai sesuatu yang mahal dan
sia-sia.
Berdasarkan pengalaman para auditor yang telah mencoba kedua metode tersebut, disimpulkan bahwa pilihan kedua
sejauh ini adalah yang terbaik, dan pendekatan yang ideal adalah dengan mengkombinasikan keduanya. Mengapa
demikian?
Evaluasi pertama bersifat teoritis. Jika kita dapat menilai resiko secara tepat, dan menilai efektifitas masing-masing
pengendalian secara tepat juga, serta mampu mengkombinasikan kedua informasi tersebut secara akurat, maka
kesimpulan kita mengenai efektifitas pengendalian secara keseluruhan tentunya akan tepat. Namun dalam prakteknya
akurasi seperti itu sangat sulit dilakukan, disamping itu penilaian secara teoritis dianggap kurang dapat diandalkan.
Selain itu, penilaian secara teoritis menyita banyak waktu dan pengumpulan serta pendokumentasian informasi
membutuhkan banyak interview (wawancara). Hal lain yang menjadi masalah adalah dalam tahap pemetaan resiko
dibutuhkan keterampilan yang jarang dimiliki oleh orang, dimana orang tersebut disyaratkan untuk memiliki banyak
keahlian. Pada tahap pertimbangan kelemahan yang ada juga dibutuhkan banyak diskusi, walaupun dalam kenyataannya
hal ini tergantung pada keputusan manusia untuk menilai secara tepat kemungkinan-kemungkinan yang ada.
Mengacu atau mendasarkan kepada praktek terbaik yang sudah ada, bukanlah suatu pemecahan untuk masalah ini.
Perbedaaan dalam hal kesalahan dan kecurangan antar organisasi dengan orang, sistem, prosedur yang berbeda, serta
perbedaan-perbedaan lainnya sangatlah luas, dimana standard atau praktek yang seharusnya, kurang dapat dipercaya. Hal-
hal tersebut selalu membutuhkan adaptasi terhadap persyaratan yang sesuai secara tepat.
Hal ini berbeda dengan tipe evaluasi yang kedua, dimana mengharuskan untuk melihat pada bukti langsung efektifitas.
Disini tidak perlu menganalisis pengendalian ataupun resiko secara penuh. Tetapi cukup langsung melihat hasil dari
pengendalian sebagai ganti usaha untuk mencoba menduga dari apa yang terjadi sebelumnya.
Langkah 1: Gambarkan siklus tahunan secara menyeluruh atas penilaian kegiatan untuk memenuhi semua
persyaratan.
Karakteristik Budaya
1. Norma-norma perilaku budaya yang mendorong tindakan kecurangan atau pencurian. Pola-pola
kejahatan yang sudah terbentuk.
2. Kebijakan perusahaan untuk memberikan wewenang
3. Manajemen proses Vs silo fungsional
4. Standar lingkungan pengendalian
Karakteristik Data
1. Data adalah data tetap atau data transaksi
2. Kompleksitas data
3. Jumlah sata
4. Tingkat prediktibilitas data
5. Apakah data dapat dibagi kedalam sub-populasi yang mana sangat dapat diprediksi atau setidaknya
memiliki karakteristik yang sangat umum.
Karakteristik Proses
1. Kompleksitas proses
2. Siapakah yang menghasilkan data
3. Tingkat otomatisasi
4. Kemudahan dimana aset dapat di diganti jika dicuri
5. Jumlah uang yang dikeluarkan
6. Jumlah bahasa yang dipakai orang-orang yang terlibat dalam proses
7. Distribusi geogfrafis/internasional
8. Kualitas pengendalian proses bisnis yang telah ada
9. Apakah lingkungan terdekat dari proses adalah dalam perusahaan
Karakteristik Proyek
1. Kesehatan proyek
Hal diatas kelihatan seperti sebuah daftar panjang tetapi hampir semuanya merupakan pengetahuan yang
umum dalam perusahaan serta sangat mudah untuk mengumpulkan dan meneliti datanya.
Alasan lain untuk melakukan pengendalian ini adalah bahwa hal ini disyaratkan secara eksplisit oleh
Undang-undang Sarbanes Oxley dalam pasal 302, dimana disebutkan bahwa diharuskan untuk memberi
komentar atas beberapa faktor yang mungkin memiliki pengaruh terhadap efektifitas sistem pengendalian
sejak penilaian terakhir.
Langkah 5: Memutuskan Tipe Evaluasi mana yang akan digunakan untuk setiap proses dan Tipe Resikonya.
Tipe evaluasi tergantung kepada sifat dari proses dan tipe resiko
Jika Maka
Proses besar Lihatlah pemicu resikonya dan indikator langsung atas efektifitas
dan sangat pengendalian. Lihatlah cakupan pengukuran untuk memastikan
terotomatisasi hal ini cukup memberikan indikasi yang terpercaya. Pastikan
bahwa pengawas mengetahui dan mampu melakukan
pengendalian
Untuk resiko yang jarang terjadi, lihatlah pemicunya, petakan
pengendalian atas resiko yang relevan dan pertimbangkanlah
hasilnya.
Proses Kecil Lihatlah pemicu resikonya, petakan pengendalian resikonya, dan
ujilah pengendaliannya
Hal ini menghindari analisis teoritis yang meluas atas pengendalian terhadap siklus akuntansi yang besar,
dan tentunya akan menghemat waktu.
Hal ini penting untuk mempertimbangkan cakupan indikator yang digunakan. Jika ada perbedaan yang
mencolok mereka perlu disesuaikan dengan memetakan dan menguji pengendalian. Satu hal yang tidak
pernah muncul dalam stattistik adalah kesalahan yang tidak terungkap, yang tentu saja berhubungan
dengan resiko yang kita perhatikan. Keputusan atas efektifitas pengendalian yang didasarkan pada prinsip
bahwa kesalahan yang tidak terungkap adalah mungkin, dimana:
Pengecekan kurang cukup dilakukan, dan/atau
Pengecekkan dilakukan dan mengungkapkasn tingkat kesalahan asli yang tinggi dan/atau kelambatan
yang besar.
Apabila laporan tersebut sudah ada, kemudian proses evaluasi terhadap efektifitas pengendalian dilakukan
ketika laporan digunakan dan tentu saja pemenuhan persyaratan Sarbanes-Oxley untuk proses akan
menjadi lebih mudah. Kerja keras hanya akan dibutuhkan untuk resiko kecurangan dan bencana yang
jarang terjadi.
Jika laporan ini tidak tersedia dan proses yang ada termasuk kategori besar maka laporan pengawasan
proses harus segera dibuat. Saat ini SEC memberi keluangan waktu kepada perusahaan untuk
memenuhiaturan tersebut, hal ini memungkinkan untuk menyediakan laporan ini untuk proses yang lebih
banyak.
Dalam kondisi dimana resiko dan kontrol harus dipetakan karena kurangnya indikator-indikator langsung,
akan membuang banyak waktu dengan memilih tipe matrik yang salah.
Namun demikian, jika permasalahan telah ditunjukkan dalam statistik proses yang sehat maka kerja
ekstra diperlukan untuk apaka kelemahannya (rancangan atau operasinya). Hal ini dibutuhkan jika kita
ingin memperbaiki kesalahan dan juga untuk memenuhi aturan yang ditetapkan oleh SEC.
Hal 17 dari 22
BAB IV
KONSEP PENGENDALIAN INTERN - COSO
Latar Belakang
COSO singkatan dari the Committee of Sponsoring Organizations of the Treadway Commission. Coso didirikan tahun 1985
oleh lima organisasi profesi:
American Accounting Association (AAA)
American Institute of Certified Public Accountants (AICPA)
Financial Executives International (FEI)
Institute of Management Accountants (IMA)
The Institute of Internal Auditors (IIA)
Tujuan COSO
Meningkatkan kualitas pelaporan keuangan dengan memfokuskan terhadap corporate governance, ethical practices dan
internal control.
Kerangka kerja COSO mendefinisikan internal control sebagai: suatu proses yang dipengaruhi oleh suatu dewan direksi
entitas, manajemen dan personel lain yang dirancang untuk menyediakan kepastian yang memadai mengenai pencapaian
tujuan-tujuan dalam;
keefektifan dan keefesienan operasi
keandalan pelaporan keuangan
ketaatan terhadap undang-undang dan peraturan yang ditetapkan
Operasi, suatu tujuan operasi menekankan pada kefektifan dan keefisienan pelaksanaan pengendalian. Keefektifan
berkaitan dengan kualitas pengendalian terhadap pencapaian tujuan-tujuan manajemen khusus. Sementara efisiensi
ditujukan terhadap kualitas pemgendalian yang menghasilkan ukuran-ukuran sumberdaya yang optimal terhadap output
yang produktif. Suatu audit operasi hendaknya menentukan apakah organisasi dapat diyakini secara wajar bahwa tidak ada
inefisiensi yang material atau kekurangan keefektifan yang ditemukan dalam organisasi atau proses yang diaudit.
Pelaporan Keuangan, dalam audit dimana tujuannya adalah laporan keuangan, penekanan diletakkan atas kecukupan dan
keefektifan pengendalian manajemen dan mengelola keandalan data keuangan yang digunakan untuk tujuan pelaporan
eksternal. Audit yang didasarkan pada pengendalian tersebut hendaknya menyajikan kepastian yang memadai bahwa tidak
ada salah saji yang material dalam data yang diuji. Penelusuran pengendalian audit dan data keuangan ke laporan
keuangan merupakan indikasi audit dengan tujuan laporan keuangan.
Ketaatan, audit yang didasarkan ketaatan menekankan pada kecukupan dan keefektifan pelaksanaan pengendalian
manajemen yang mentaati undang-undang dan peraturan eksternal. Audit tersebut terutama berkaitan dengan hubungan
antara hukum dan undang-undang, prosedur perusahaan dan praktek nyata.
Sistem internal control yang efektif terdiri dari lima komponen integral yaitu:
1. Control environment
2. Risk assessment
3. Control activities
4. Information and communications
5. Monitoring
Dalam melakukan review kegiatan tersebut, manajemen dan komite audit harus menanyakan:
Apakan kegiatan pengendalian yang terjadi untuk menjamin ketaatan terhadap semua kebijakan yang ditetapkan
dan pelaksanaan tindakan yang ditujukan thd resiko yang terkait?
Apakah ada kegiatan pengendalian yang tepat dalam tiap-tiap proses kunci perusahaan?
5. Pemantauan (Monitoring)
Struktur internal control harus dimonitor secara terus-menerus untuk menilai kualitas kinerja sistem sewaktu-waktu. Hal ini
seharusnya memberikan input untuk melakukan modifikasi sistem untuk mencerminkan perubahan lingkungan yang
berkelanjutan dimana perusahaan beroperasi.
CEO harus memberikan kepemimpinan dan arahan kepada manajer senior yang selanjutnya menugaskan tanggungjawab
untuk penetapan prosedur yang lebih khusus dalam tiap area fungsional. CFO dan pejabat accounting senior lain
memainkan peran yang kritis dalam mendesain, menerapkan dan memonitor sistem pelaporan keuangan perusahaan.
Dewan direksi dan komite audit menetapkan perintah, arahan dan kebijakan. Anggota dewan direksi, komite audit harus
objektif, mampu dan mempunyai keingintahuan. mereka harus memiliki pengetahuan yang wajar tentang lingkungan usaha
perusahaan, kegiatan pelaporan dan sekarang lebih dari itu, kerangka kerja internal control-nya
ERM menunjukan landasan konsep utama terhadap bagaimana perusahaan dan organisasi lain mengelola resiko,
menyajikan suatu dasar bagi penerapan di seluruh organisasi, industri dan sektor lain. Hal ini menekankan secara langsung
terhadap pencapaian tujuan yang telah ditetapkan oleh entitas tertentu dan penyaikan suatu landasan untuk mendefinisikan
keefektifan manajemen resiko perusahaan.
Pencapaian Tujuan
Dalam konteks visi atau misi yang ditetapkan entitas, manajemen menetapkan tujuan strategis, memilih strategi dan
menetapkan tujuan yang sejalan dalam perusahaan. Kerangka ERM ini diarahkan untuk mencapai tujuan suatu entitas,
menetapkan kedalam empat kategori:
Strategis sasaran tingkat tingi, disejajarkan dan mendukung misi
Operasi penggunaan sumber daya secara efektif dan efisien
Pelaporan keandalan pelaporan
Ketaatan taat dengan UU dan peraturan yang ditetapkan.
Kategorisasi tujuan entitas ini memungkinkan suatu penekanan atas aspek yang terpisah dari manajemen resiko
perusahaan. Hal tersebut nampak jelas, namun merupakan kategori yang saling bertumpuk tujuan tertentu dapat terjadi
mejadi lebih dari satu kategori. Pengkategorian ini pun memungkinkan pembedaan antara apa yang diharapkan dari tiap-
tiap kategori tujuan. Karena tujuan yang terkait dengan keandalan pelaporan dan ketaatan dengan hukum dan peraturan
berada dalam kendali entitas, ERM dapat diharapkan menyajikan kepastian memadai tentang pencapaian tujuan-tujuan
tersebut.
Komponen ERM
ERM terdiri dari delapan komponen yang saling berkaitan. Komponen tersebut berasal dari cara manajemen menjalankan
suatu perusahaan dan diintegrasikan dengan proses manajamen. Komponen tersebut sbb:
Lingkungan Internal lingkungan internal meliputi sifat suatu organisasi, dan rangkaian basis tentang bagaimana
resiko dilihat dan ditujukan oleh karyawan, termasuk filosofi manajemen resiko dan hasrat resiko, integritas dasn nilai
etis dan lingkungan dimana mereka beroperasi.
Penetapan Tujuan harus ada tujuan sebelum manajemen dapat mengidentifikasi even potensial yang mempengaruhi
pencapaiannya. ERM menjamin bahwa manajemen memiliki suatu proses untuk menetapkan tujuan dan bahwa
tujuan yang dipilihnya mendukung dan sejajar dengan misi entitas dan konsisten dengan hasrat resiko.
Identifikasi Even Peristiwa internal dan eksternal yang mempengaruhi pencapaian tujuan organisasi harus
diidentifikasi, dibedakan antara resiko dan kesempatan. Kesempatan disalurkan kembali ke strategi manajemen atau
proses penetapan tujuan
Penilaian Resiko Resiko dianalisa, dengan mempertimbangkan kemungkinan dan dampak, sebagai basis untuk
menentukan bagamana mereka dikelola. s
Tanggapan Resiko Manajemen memilih tanggapan resiko menghindari, menerima, mengurangi atau berbagi resiko
mengembangkan serangkaian tindakan untuk mensejajarkan resiko dengan toleransi resiko entitas dan hasrat
resiko..
Kegiatan Pengendalian kebijakan dan prosedur yang ditetapkan dan diterapkan untuk membantu memastikan
tanggapan resiko dilaksanakan secara efektif.
Informasi dan Komunikasi Informasi yang relevan diidentifikasi, ditangkap dan dikomunikasikan dalam suatu bentuk
dan kerangka waktu yang memungkinkan orang melaksanakan tanggungjawabnya..
Pemantauan Keseluruhan ERM dipantau dan modifikasi dibuat seperlunya. Pemantauan dicapai melalui kegiatan
menajamen yang berkelanjutan, evaluasi terpisah atau keduanya.
ERM bukan merupakan suatu proses rangkaian yang secara ketat, dimana satu komponen hanya mempengaruhi komponen
berikutnya. Namun merupakan multiarah, proses dimana hampir beberapa komponen dapat saling mempengaruhi
Efektivitas
Untuk menentukan apakah ERM efektif merupakan suatu penilaian yang berasal dari penaksiran apakah kedelapan
komponen tersebut ada dan berfungsi secara efektif. Sehingga, komponen tersebut juga merupakan kriteria untuk ERM
yang efektif. Terhadap komponen yang ada dan berfungsi secara efektif, mungkin tidak akan ada kelemahan yang material
dan resiko yang diperlukan telah dibawa dalam hasrat resiko entitas.
Ketika ERM ditentukan efektif dalam tiap empat kategori tujuan secara berurutan, dewan direksi dan manajemen memiliki
keyakinan yang memadai bahwa mereka mengerti seberapa luas dimana tujuan operasi dan strategis entitas sedang
dicapai, dan bahwa pelaporan entitas dapat diandalkan dan hukum dan peraturan ditaati.
Hal 20 dari 22
BAB V
Analisis Hubungan Antara Undang-undang Sarbanes-Oxley,
COSO Pengendalian Intern-Kerangka Kerja Terintegrasi,
Pengendalian Intern - SPAP
Sarbanes-Oxley (SOX) Act merupakan undang-undang yang dibuat untuk melindungi para investor dengan cara
meningkatkan ketepatan dan keandalan laporan keuangan yang disusun oleh perusahaan. Terdapat beberapa pasal
terpenting dalam SOX, yaitu pasal 302, 404, dan 906.
SOX pasal 302 mempersyaratkan agar pihak manajemen, terutama CEO dan CFO menjamin kewajaran laporan keuangan
dan efektivitas pengendalian intern. CEO dan CFO juga harus bertanggung jawab menyusun dan memelihara pengendalian
intern (selanjutnya disebut dengan internal control) yang dapat meyakinkan bahwa seluruh pihak terkait memahaminya,
serta mengevaluasi efektivitas internal control. Hal ini sejalan dengan tujuan COSO 1992, yaitu meningkatkan kualitas
pelaporan keuangan dengan berfokus pada corporate governance, praktik-praktik etis, dan internal control. COSO
menyatakan bahwa manajemen eksekutif dan senior harus memperlihatkan bahwa mereka menerima tanggung jawab
pengendalian, bukan hanya mendelegasikan tanggung jawab tersebut pada staf keuangan dan audit. Selain itu, pihak
manajemen bertanngung jawab untuk mengadakan pelatihan dan pemantauan internal control dalam pelaksanaan operasi.
Evaluasi periodik dan sistematis atas sistem pengendalian juga harus dilakukan, dengan menggunakan kriteria evaluasi
yang tepat.
Pasal 404 mempersyaratkan adanya laporan manajemen tentang efektivitas internal control secara terpisah dan diaudit
oleh auditor laporan keuangan. Laporan internal control tersebut harus memuat penilaian efektivitas atas internal control
yang telah ada. Internal control tersebut juga harus dinilai menurut standar tertentu oleh kantor akuntan publik
bersangkutan. Pasal 906 juga menyatakan bahwa CEO dan CFO harus memastikan bahwa pelaporan keuangan termasuk
laporan tahunan dan periodik disajikan secara wajar dalam semua hal yang material. Berkaitan dengan ketiga pasal
tersebut, terdapat empat pilar yang harus dimiliki oleh perusahaan, yaitu:
Perusahaan harus mendokumentasikan dan memelihara penaksiran resiko yang mengancam keandalan pengungkapan,
pengendalian di tempat untuk mengurangi resiko tersebut. Tujuannya adalah untuk menentukan apakah terdapat kondisi
yang layak untuk dilaporkan (reportable condition) yang memenuhi definisi kelemahan material (material weaknesses)
atau kelemahan yang signifikan (significant deficiencies menurut SEC dan PCAOB.
COSO 1992 juga menyaratkan agar kelemahan intenal control dilaporkan kepada level manajemen yang lebih tinggi untuk
dilakukan tindakan koreksi. Selain itu, informasi intern dan ekstern yang relevan dan dapat diandalkan harus diidentifikasi,
disusun, dan dikomunikasikan secara tepat waktu kepada mereka yang memiliki kewenangan untuk bertindak.
Selanjutnya, pengendalian intern yang diatur dalam SPAP mengacu pada konsep COSO 1992. SA#319 memberikan
panduan tentang pertimbangan auditor atas pengendalian intern dalam audit terhadap laporan keuangan. Tujuan, kategori,
dan komponen pengendalian intern yang diatur dalam SPAP SA#319 mengacu pada kerangka kerja COSO 1992. Pada tahun
1994, kerangka COSO diamandemen, sehingga ruang lingkupnya lebih luas, mencakup Laporan Manajemen atas
Pengendalian Intern. Untuk tujuan pelaporan manajemen publik, definisi internal control diamandemen menjadi
Pengendalian intern atas penjagaan aktiva dari pemerolehan, penggunaan, atau penghentian pemakaian yang tidak
diotorisasi, penggunaan atau pelepasan merupakan suatu proses yang dipengaruhi oleh dewan direktur, manajemen, dan
personel lain untuk memberikan keyakinan memadai atas pencegahan atau deteksi tepat waktu mengenai pemerolehan,
penggunaan, dan pelepasan yang tidak diotorisasi yang dapat menimbulkan pengaruh material pada laporan keuangan..
Pernyataan yang sama juga dimuat dalam SA#319 paragraf 13 tentang penjagaan aktiva.
Mengenai reportable condition yang dipersyaratkan dalam SOX, hal tersebut juga diatur dalam SPAP SA#325 tentang
Komunikasi Masalah yang Berhubungan dengan Pengendalian Intern yang Ditemukan dalam Suatu Audit. Kondisi yang
Dapat Dilaporkan adalah persoalan perhatian auditor, yang menurut pertimbangannya harus dikomunikasikan kepada
komite audit, karena merupakan kekurangan material dalam desain atau operasi pengendalian intern, yang berakibat buruk
terhadap kemampuan organisasi tersebut dalam mencatat, mengolah, mengiktisarkan, dan melaporkan data keuangan
Hal 21 dari 22
yang konsisten dengan asersi manajemen dalam laporan keuangan. Kekurangan tersebut dapat mencakup lima komponen
pengendalian intern yang dinyatakan dalam kerangka kerja COSO.
SOX pasal 404 (b) mengatur mengenai atestasi auditor eksternal. Pasal ini mempersyaratkan bahwa auditor eksternal harus
melaksanakan atestasi atas keakuratan asersi manjemen mengenai pengendalian intern beserta efektifitasnya. SPAP
SAT#400 juga mengatur mengenai Pelaporan Pengendalian Intern Suatu Entitas atas Pelaporan Keuangan. Seksi ini
memberikan panduan bagi praktisi yang mengadakan perikatan untuk memeriksa dan melaporkan asersi tertulis
manajemen tentang efektivitas pengendalian intern suatu entitas atas pelaporan keuangan pada saat tertentu.
Secara ringkas ketiga konsep internal control tersebut dapat diilustrasikan dalam tabel berikut:
COSO Pengendalian Intern-
Deskripsi Undang-undang SOX SPAP
Kerangka Kerja Terintegrasi
Bentuk Undang-undang Kerangka kerja Standar
Pencetus/pembuat Paul Sarbanes- Senator Commitee of Sponsoring
USA dan Michael Oxley- Organizations of the Treadway IAI
Anggota parlemen USA Commision
Berlaku Efektif 15 Juni 2004 untuk
perusahaan-perusahaan
1992 2001
amerika dan 15 April 2005
untuk perusahaan lainnya
Latar belakang Berbagai skandal pelaporan permintaan publik untuk Standar Pekerjaan Lapangan
keuangan di Amerika menumbuhkan akuntabilitas ke-2 dan standar atestasi
perusahaan yang ditunjukkan
dengan struktur internal control
yang baik
Tujuan melindungi para investor meningkatkan kualitas - merencanakan audit dan
dengan cara meningkatkan pelaporan keuangan dengan menentukan sifat, saat,
ketepatan dan keandalan berfokus pada corporate dan lingkup pengujian
laporan keuangan yang governance, praktik-praktik etis, - memeriksa dan melaporkan
disusun oleh perusahaan dan internal control. asersi tertulis manajemen
tentang efektivitas
pengendalian intern suatu
entitas atas pelaporan
keuangan pada saat
tertentu.
Kategori keefektifan dan keefesienan keefektifan dan keefesienan
operasi operasi
- Efektivitas
keandalan pelaporan keandalan pelaporan
pengendalian intern
keuangan keuangan
- Kewajaran laporan
ketaatan terhadap undang- ketaatan terhadap undang-
keuangan
undang dan peraturan yang undang dan peraturan yang
- Ketaatan
ditetapkan ditetapkan
SA Seksi 314 tentang Penentuan Resiko dan Pengendalian Intern-Pertimbangan dan Karakteristik SIK juga berhubungan
erat dengan SA seksi 343, 344, dan 345. SA seksi 314 mangatur Pengendalian Umum SIK dan Pengendalian Aplikasi SIK.
Tujuan pengendalian umum (general control) adalah untuk membuat rerangka pengendalian menyeluruh atas aktivitas SIK
dan untuk memberikan tingkat keyakinan memadai bahwa tujuan pengendalian intern dapat tercapai. Pengendalian umum
meliputi:
a. Pengendalian organisasi dan manajemen
b. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi
c. Pengendalian terhadap operasi sistem
d. Pengendalian terhadap perangkat lunak sistem
e. Pengendalian terhadap entry data dan program
Pengendalian aplikasi (aplication control) bertujuan untuk menetapkan prosedur pengendalian khusus atas applikasi
akuntansi, mencakup:
a. Pengendalian atas masukan
b. Pengendalian atas pengolahan dan file data komputer
c. Pengendalian atas keluaran
d. Pengendalian masukan, pengolahan, dan keluaran dalam sistem on-line
Apabila dikaitkan dengan kerangka pengendalian intern COSO, pengendalian umum dan aplikasi merupakan aktivitas
pengendalian (control activities).
Pilar no.3 Undang-undang Sarbanes Oxley mengenai penaksiran atas pengendalian umum yang memadai atas teknologi
informasi mempersyaratkan agar semua perusahaan yang melaksanakan SOX pasal 302/404/906 harus memelihara suatu
penaksiran atas pengendalian umum dan pengendalian aplikasi dalam teknologi informasi. Pengendalian dikatakan
memadai apabila perusahaan:
1. Mencegah perubahan yang tidak diotorisasi atas data dalam aplikasi perangkat lunak
2. Mencegah perubahan yang tidak diotorisasi atas kode program yang mengatur dan menyimpan data
3. Menjamin bahwa program melaksanakan dan hanya melaksanakan hal yang diperintahkan, dan program didukung
oleh pengendalian pengguna manual
4. Akses pengendalian atas aktiva terhadap penggunaan internal dan eksternal yang tidal diotorisasi.
SOX mengatur bahwa persyaratan ketaatan atas teknologi informasi secara umum didasarkan pada Tujuan Pengendalian
bagi Informasi dan Teknologi yang Berkaitan (Control Objectives for Information and related Technology CobIT), yang
merupakan produk dari IT Governance Institute (ITGA). Pembahasan lebih lanjut mengenai CobIT akan diuraikan dalam
sesi berikutnya.