PENGENDALIAN DAN SISTEM INFORMASI AKNTANSI

IKHTISAR KONSEP PENGENDALIAN 

Pengendalian internal (internal control) adalah proses yang dijalankan untuk menyediakan jaminan memadai bahwa tujuan-tujuan pengendalian berikut telah dicapai.

• mengamankan aset-mencegah atau mendeteksi perolehan, penggunaan, atau penempatan yang tidak sah.
• mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara akurat dan wajar.
• memberikan informasi yang akurat dan reliabel.
• menyiapkan laporan keuangan yang sesuai dengan kriteria yang ditetapkan.
• mendorong dan memperbaiki efisien operasional.
• mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan.
• mematuhi hukum yang berlaku.

Pengendalian internal adalah sebuah proses karena ia menyebar ke seluruh aktivitas pengoperasian perusahaan dan merupakan bagian integral dari aktivitas manajemen. Pengendalian internal memberikan jaminan memadai—jaminan menyeluruh yang sulit dicapai dan terlalu mahal. Selain itu, sistem pengendalian internal memiliki keterbatasan yang melekat, seperti kelemahan terhadap kekeliruan dan kesalahan, pertimbangan dan pembuatan keputusan yang salah, pengesampingan manajemen, serta kolusi.

Pengendalian internal menjalankan tiga fungsi sebagai berikut.

1. Pengendalian preventif (preventive control), mencegah masalah sebelum timbul. Contohnya, merekrut personel berkualitas, memisahkan tugas pegawai, dan mengendalikan akses fisik atas aset dan informasi.
2. Pengendalian detektif (detective control), menemukan masalah yang tidak terelakan. Contohnya, menduplikasi pengecekan kalkulasi dan menyiapkan rekonsiliasi bank secara saldo bulanan.
3. Pengendalian korektif (corrective control), mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkannya dari kesalahan yang dihasilkan. Contohnya, menjaga salinan backup pada file, perbaikan kesalahan entri data, dan pengumpulan ulang transaksi-transaksi untuk pemrosesan selanjutnya.

Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut.

1. Pengendalian umum (general control), memastikan lingkungan pengendalian sebuah organisasi stabil dan dikelola dengan baik. Contohnya, keamanan: infrastruktur TI; dan pengendalian pembelian perangkat lunak, pengembangan, dan pemeliharaan.
2. Pengendalian aplikasi (application control), mencegah, mendeteksi, dan mengoreksi kesalahan transaksi serta penipuan di dalam program aplikasi.  Pengendalian ini fokus terhadap, ketepatan, kelengkapan, validitas, serta otorasi data yang didapat, dimaskkan, diproses, disimpan, ditransmisikan ke sistem lain, dan dilaporkan.

Robert Simons, seorang profesor bisnis Harvard, telah menganut empat kaitan pengendalian untuk membantu manajemen menyelesaikan konflik di antara krestivitas dan pengendalian.

1. Sistem kepercayaan (belief system) menjelaskan cara sebuah perusahaan menciptakan nilai membantu pegawai memahami visi manajemen, mengomunikasikan niali-nilai dasar perusahaan, dan menginspirasi pegawai untuk bekerja berdasarkan nilai0nilai tersebut.  
2. Sistem batas (bondary system) membantu pegawai bertindak secara etis dengan membangun batas-batas dalam perilaku kepegawaian. Sistem ini tidak memberitahukan secara langsung kepada pegawai apa yang dilakukan, tetapi mereka didorong untuk menyelesaikan masalah secara kreatif dan memenuhi kebutuhan pelanggan di samping memenuhi standar kinerja minimum, menghindari tindakan yang mungkin merusak reputasi mereka.
3. Sistem pengendalian diagnostik (diagnostic control system) mengukur, mengawasi, dan membandingkan perkembangan perusahaan actual berdasarkan anggaran dan tjuan kinerja. Umpan balik membantu manajemen menyesuaikan dan menyempurnakan input serta proses sehingga output di masa depan semakin mendekati tujuan yang ingin dicapai.
4. Sistem pengendalian interaktif (interactive control system) membantu manajer untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dsn lebih terlibat di dalam keputusan mereka. Data sistem interaktif diinterprestasikan dan disiskusikan dalam pertemuan tatap muka para atasan, bawahan dan  rekanan.

KERANGKA KERJA PENGENDALIAN

Bagian ini membahas tiga kerangka yang digunakan untuk mengembangkan sistem pengendalian internal.

KERANGKA COBIT

Information System Audit and Control Association (ISACA) mengembangkan kerangka Control Objective Information and Related Technology (COBIT). 
COBIT menggabungkan standar-standar pengendalian dari banyak sumber berbeda ke dalam sebuah kerangka tunggal yang memungkinkan (1) manajemen untuk membuat tolak ukur praktik-praktik keaman  dan pengendalian lingkungan TI; (2) para pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian yang memadai; dan (3) para auditor memperkuat opini pengendalian internal dan mempertimbangkan masalah keaman TI dan pengendalian yang dilakukan.

Kerangka COBIT 5 menjelaskan praktik-praktik terbaik untuk tata kelola dan mnajemen TI yang efektif. Selain itu, COBIT 5 didasarkan pada liam perinsip utama tata kelola dan manajemn TI. Prinsip-prinsip berikut ini memungkinkan dalam membantu organisasi membangun sebuah tata kelola yang efektif dan kerangka manajemen yang melindungi investasi pemangku kepentingan dan menghasilkan sistem informasi terbaik.

1. Memenuhi keperluan pemangku kepentingan.
2. Mencakup perusahaan dari ujung ke ujung.
3. Mengajukan sebuah kerangka terintegrasi dan tunggal.
4. Memungkinkan pendekatan holistik.
5. Memisahkan tata kelola dari manajemen.

KERANGKA PENGENDALIAN INTERNAL COSO

Commite of Sponsoring Organization (COSO) terdiri dari Asosiasi Akuntan Amerika (American Accounting Assosiation), AICPA, Ikatan Auditor Internal (Institute of Internal Auditors), Ikatan Akuntan Manajemen (Institute of Management Accountants), dan Ikatan Eksekutif Keungan (Financial Executives Institute).
Pada 1992, COSO menerbitkan Pengendalian Internal (internal control)-Kerangka Terintegrasi (integrated Freamwork)-IC, yang diterima secara luas sebagai otoritas untuk pengendalian internal yang digabungkan ke dalam kebijakan, peraturan, dan regulasi yang digunakan untuk mengendalikan aktivitas bisnis.

KERANGKA MANAJEMEN RISIKO PERUSAHAAN COSO

Untuk memperbaiki proses manajemen risiko, COSO mengembangkan kerangka pengendalian kedua yang disebut Manajemen Risiko Perusahaan (Enterprise Risk Management)- Kerangka Terintegrasi (integrated Freamwork)- ERM. Kerangka ERM adalah proses yang digunakan oleh dewan direksi dan manajemen untuk mengatur strategi, mengidentifikasi kejadian yang mungkin mempengaruhi entitas, menilai dan mengelola risiko, serta menyediakan jaminan memadai bagwa perusahaan mencapai tujuan dan sasarannya. Perinsip-perinsip dasar di balik ERM adalah sebagai berikut.

• Perusahaan dibentuk untuk menciptakan niali bagi para pemiliknya.
• Manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima saat menciptakan nilai.
• Ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu secara negative memengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan nilai.
• Ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa sesuatu secara positif memengaruhi kemeuan perusahaan untuk menghasilakan atau mempertahankan nilai.
• Kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan nilai.

LINGKUNGAN INTERNAL

Lingkungan internal (internal environment) atau budaya perusahaan, memengaruhi cara organisasi menetapkan strategi dan tujuannya; membuat struktur aktivitas bisnis; dan mengidentifikasi, menilai, serta merespon risiko. Ini adalah fondsi dari seluruh komponen ERM lainnya. Lingkungan internal yang lemah atau tidak efisien seringkali menghasilkan kerusakan di dalam manajemen dan pengendalian risiko. Hal tersebut secara esensial merupakan hal yang sama dengan lingkungan pengendalian pada kerangka IC.

Sebuah lingkungan internal mencakup hal-hal sebagai berikut.

1. Filosofi manajemen, gaya pengoperasian dan selera risiko.
2. Komitmen terhadap integritas, nilai-nilai etis, dan kompetensi.
3. Pengawasan pengendalian internal oleh dewan direksi.
4. Struktur organisasi.
5. Metode penetapan wewenang dan tanggung jawab.
6. Standar-standar sumber daya manusia yang menarik, mengembangkan, dan mempertahankan indibidu yang kompeten.
7. Pengaruh ekternal.

PENETAPAN TUJUAN

Penetapan tujuan adalah komponen ERM yang kedua. Manajemen menentukan hal yang ingin dicapai oleh perusahaan, sering disebut sebagai visi atau misi perusahaan. Manajemen menetapkan tujuan pada tingkat perusahaan dan kemudian membaginya kedalam tujuan yang lebih spesifik untuk subunit perusahaan. Perusahaan menetukan hal yang harus berjalan dengan benar untuk mencapai tujuan dan menetapkan ukuran kinerja guna menentukan apakah ukuran-ukuran kinerja tersebut terpenuhi.

Tujuan strategis (strategic objective) merupakan sasaran tingkat tinggi yang diseajarkan dengan misi perusahaan, mendukungnya, serta menciptakan nilai pemegang saham. Manajemen seharusnya mengidentifikasi cara alternative dalam pencapaian tujuan strategis; mengidentifikasi dan menilai risiko serta dampak dari setiap alternative; memformulasikan strategi perusahaan; dan menetapkan tujuan operasi, kapatuhan, dan pelaporan.

Tujuan operasi (operation objective) berhubungan dengan efektivitas dan efisiensi operasi perusahaan, menetukan cara mengalokasikan sumber daya. Tujuan ini merefleksikan preferensi, pertimbangan, dan gaya manajemen serta merupakan faktor penting dalam keberhasilan perusahaan. Tujuan perusahaan bervariasi secara signifikan—sebuah perusahaan mungkin memutuskan untuk menjadi pengadopsi awal teknologi, perusahaan lain mungkin mengadopsi teknologi ketika terbukti andal, dan yang ketiga mungkin mengadosi hanya setelah teknologi tersebut telah diterima secara umum.

Tujuan pelaporan (reporting objective) membantu memastikan ketelitian, kelengkapan, dan keterandalan dalam laporan perusahaan; meningkatkan pembuatan keputusan; dan mengawasi aktivitas perusahaa.

Tujuan kepatuhan (compliance objective) membantu perusahaan mematuhi seluruh hukum dan peraturan yang berlaku. Sebagian besar tujuan kepatuhan dan banyak tujuan pelaporan dipaksakan oleh entitas eksternal agar merespon hukum dan peraturan. Seberapa baik sebuah perusahaan mencapai tujuan kepatuhan dan pelaporan dapat memengaruhi reputasi perusahaan tersebut secara signifikan.

ERM memberikan jaminan memadai bahwa tujuan pelaporan dan kepatuhan tercapai karena perusahaan memiliki kendali terhadapnya. Namun, satu-satunya jaminan memadai yang dapat diberikan oleh ERM pada tujuan strategis dan operasi yang terkadang merupakn anugrah terhadap suatu keterjadian eksternal yang tidak dapat dikendalikan, yaitu bahwa manajemen dan direksi diinformasikan secara tepat waktu atas kemajuan yang dibuat perusahaan dalam mencapai tujuan strategis dan operasi.

IDENTIFIKASI KEJADIAN

COSO mengidentifikasikan kejadian (event) sebagai ‘’ sebuah insiden atau peristiwa yang berasal dari sumber-sumber internal atau eksternal yang memengaruhi implementasi strategi atau pencapaian tujuan. Kejadian mungkin memiliki dampak positif atau negative atau keduanya.’’ Sebuah kejadian menunjukkan ketidakpastian; mungkin atau tidak mungkin terjadi. Jika terjadi, sulit untuk diketahui kapan. Sampai terjadi, mungkin sulit unuk menentukan dampaknya. Ketika terjadi, dapat memicu kejadian yang lain. Kejadian bisa terjadi secara individu atau secara serentak. Manajemen harus mencoba untuk mengantisipasi seluruh kemungkinan kejadian positif atau negative, menetukan mana yang lebih dan kurang mungkin untuk terjadi, dan memahami hubungan timbal-balik kejadian.

Sebagai contoh, pertimbangan bahwa implementasi dari sebuah sistem pertukaran data eketronik (electronic data interchange-EDI) yang menciptakan dokumen elektronik, mengirimkan data-data tersebut ke pelanggan dan pemasok, dan menerima respons elektronik kembali. Beberapa kejadian yang dapat dialami sebuah perusahaan adalah memilih teknologi yang tidak sesuai, akses yang tidak sah, kehilangan integrita data, transaksi yang tidak lengkap, kegagalan sistem, dan sistem yang tidak kopatibel.

Beberapa teknik untuk menidentifikasi kejadian termasuk penggunaan sebuah daftar komprehensif dari ejadian poensial, pelaksanan sebuah analisi internal, pengawasan kejadian-kejadian yang menjadi penyebab dan titik-titik pemicu, pengadaan seminar dan wawancara, penggunaan data mining, dan penganalisian peroses-proses bisnis.

PENILAIAN RISIKO DAN REPONS RISIKO

Risiko-risiko sebuah kejadian yang teridentifikasi dinilai dalam beberapa cara yang berbeda: kemungkinan, dampak positif dan negative, secara individu dan berdasarkan kategori, dampak pada unit organisasi yang lain, serta berdasarkan pada sifat turunan dan residual. Risiko turunan (inherent risk) adalah kelemahan dari sebuah penetapan akunatau transaksi pada masalah pengendalian yang signifikan tanpa adanya penegndalian internal. Risiko residual (residual risk) adalah risiko yang tersisa setelah manajemen mengimplementasikan pengendalian internal atau beberapa respons lainnya terhadap risiko. Peusahaan harus menilai risiko turunan, mengembangkan respons, dan kemudian menilai risiko residual. Manajemen dapat merespons risiko dengan salah satu dari empat cara berikut.

• Mengurangi (reduce). Mengurangi kemungkian dan dampak risiko dengan mengimplementasikan sistem pengendalian internal yang efektif.
• Menerima (accept). Menerima kemungkinan dan dampak risiko.
• Membagikan (share). Membagikan risiko atau menstransfernya kepada orang lain dengan asuransi pembelian, mengalihdayakan sebuah aktivitas, atau masuk ke dalam transaksi lindung niali (hedging).
• Menghindari (avoid). Menghindari risiko dengan tidak melakukan aktivitas yang menciptakan risiko. Hal ini bisa jadi mensyaratkan perusahaan untuk menjual sebuah divisi, keluar dari lini produk, atau tidak memperluas perusahaan seperti yang diharapkan.

Akuntan dan perancang sistem mebantu manajemn merancang sistem pengendalian yang efektif untuk mengurangi risiko menggunakan turunan. Mereka juga mengevaluasi sitem pengendalian internal untuk memastikan bahwa sistem tersebut beroperasi dengan efektif. Mereka menilai dan mengurangi risiko menggunakan strategi penilaian dan repons risiko yang ditampilkan pada figure 7-1. Langkah pertama adalah identifikasi kejadian, yang telah dibahas.

Memperkirakan Risiko dan Dampak

            Beberapa kejadian memiliki risiko yang lebih besar karena lebih cenderung untuk terjadi. Para pegawai cenderung membuat sebuah kesalahan daripaada melakukan penipuan dan sebuah perusahaan cenderung menjadi korban penipuan daripada gempa bumi. Risiko terjadinya gempa bumi mungkin kecil, tetapi dampaknya dapat menghancurkan sebuah perusahaan. Dampak dari penipuan biasanya tidak sebeasar itu, karena kebanyakan kasus penipuan tidak mengancam eksistensi perusahaan. Risiko dan dampaknya harus dipertimbangkan bersamaan. Oleh karena itu, keduanya meningkat, baik materialitas dari kejadian maupun kebutuhan untuk melindunginya akan muncul.

Mendeteksi Pengendalian

            Manajemen harus mengidentifikasi pengendalian yang melindungi perusahaan dari setiap kejadian. Pengendalian preventif biasanya superior dibandingkan pengendalian detektif. Ketika pengendalian preventif gagal, pengendalian detektif menjadi sangat deperlukan untuk menemukan masalah. Pengendalian korektif membantu memulihkan dari segala masalah. Sebuah sistem pengendalian internal yang baik harus menggunakan ketiganya.

Memperkirakan Biaya dan Manfaat

Manfaat dari prosedur pengendalian internal harus melebihi biayanya. Manfaat-manfaat tersebut sulit dihitung secara akurat, termasuk penjualan dan produktivitas yang meningkat,

kerugian yang dikurangi, integrasi yang lebih baik dengan pelanggan dan pemasok, loyalitas pelanggan yang meningka, keunggulan kompetitif, dan premi asuransi yang lebih rendah. Biaya biasanya lebih mudah diukur dibandingkan manfaat. Salah satu cara untuk memperkirakan nilai pengendalian internal melibatkan kerugian yang diperkirakan (expected loss), hasil matematis dampak dan risiko.

Kerugian yang diperkirakan = damapk x risiko

Nilai dari prosedur pengendalian internal adalah selisih antara kerugian yang diperkirakan dengan prosedur-prosedur pengendalian dan kerugian yang diperkirakan tanpa prosedur tersebut.

Menentukan Efektivitas Biaya/Manfaat

Manajemen harus menentukan apakah sebuah pengendalian merupakan biaya menguntungkan. Sebagai contoh, kesalahan data Atlantic Richfield mengharuskan keseluruhan penggajian untuk diproses ulang, dengan biaya $10.000. sebuah tahap validasi data akan menurunkan risiko kejadian dari 15% menjadi 1%, dengan biaya $600 per periode pembayaran. Analisi biaya/manfaat yang menentukan bahwa tahap validasi harus dijalankan, terlihat pada table 7-1.

Dalam mengevaluasi pengendalian internal, manajemn harus lebih mempertimbangkan faktor-faktor yang ada di dalam perhitungan biaya/manfaat yang diperkirakan. Sebagai contoh, jika sebuah kejadian mengancam eksistensi sebuah perusahaan, biaya ekstranya dapat dianggap sebagai sebuah premi asuransi kerugian bencana.

Mengimplementasi Pengendalian atau Meneriman, Membagi, atau Menghindari Risiko

            Pengendalian biaya efektif harus diimplementasikan untuk mengurangi risiko. Risiko yang tidak dikurangi harus diterima, dibagi, atau dihindari. Risiko dapat diterima jika ia berada dalam jangkauan toleransi risiko perusahaan. Respons untuk menurunkan atau membagi risiko membantu membawa risiko residual ke dalam sebuah jangkauan toleransi risiko yang dapat diterima. Sebuah perusahaan mungkin memilih menghindari risiko ketika tidak ada cara biaya-efektif untuk membawa risiko kedalam sebuah jangkauan toleransi yang dapat diterima.  

Referensi :
MARSHALL B. ROMNEY & PAUL JOHN STEINBART edisi 13