1. Pendahuluan
Bermula dengan banyaknya temuan
kecurangan pada profesi akuntansi global yang merugikan stakeholder – terutama
sejak kasus Enron, Worldcom, Xerox, Tyco, Global Crossing dan lainnya di tahun
2001. Oleh karena itu pemerintah Amerika Serikat menerbitkan undang-undang yang
dapat melindungi stakeholder yaitu Sarbanes-Oxley (Sarbanes-Oxley Act of 2002,
Public Company Accounting Reform and Investor Protection Act of 2002) atau
kadang disingkat SOX atau Sarbox. Sarbaness-Oxley Act (SOX) diterbitkan untuk
memproteksi kepentingan investor dengan cara menciptakan tata kelola perusahaan
yang baik, full disclosure, dan akuntabilitas dalam perusahaan. Pasal yang
berkatian dengan Internal Control Over Financial Reporting (ICOFR) adalah 304
dan 404. Pasal 304 mewajibkan manajemen membuat pernyataan dalam laporan
keuangan sedangkan pasal 404 mensyaratkan adanya laporan manajemen tahunan
(annual management report) tentang pengendalian intern perusahaan atas
pelaporan keuangan dan laporan manajemen tersebut merupakan subjek yang akan
diaudit.
SOX mewajibkan perusahaan yang listing
di AS untuk membuat dokumentasi pengendalian kunci dan melaporkan kondisi
pengendalian internnya secara periodik.
• SOX Section 302 tentang ”Corporate
Responsibility for Financial Reports” menetapkan bahwa pejabat eksekutif
perusahaan (CEO & CFO) harus bertanggung jawab secara pribadi terhadap
pernyataan prosedur pengendalian, internal control, dan jaminan atas kecurangan
(fraud).
• SOX section 404 tentang “Management
Assessment of Internal Controls” mengatur ketentuan yang mewajibkan
terselenggaranya audit SOA tahunan yang menunjukkan laporan pengendalian
internal (internal control report).
Jadi, selain adanya laporan auditor yang
dilampirkan dalam laporan keuangan, juga terdapat laporan manajemen tentang
keefektifan pengendalian intern yang diimplementasikan dalam perusahaan untuk
mendukung reliabilitas laporan keuangan. Aturan pelaksanaannya bagi auditor dam
manajemen telah diatur dalam PCAOB Auditing Standard No. 2 an audit of internal
control over financial reporting performed in conjunction with an audit of
financial statements dan AS No. 5 an audit of internal control over financial
reporting that is integrated with an audit of financial statements. SEC dan
PCAOB menganjurkan mengunakan kerangka acuan pengendalian internal COSO
(Committee of Sponsoring Organizations of the Treadway Commission) dan untuk
pengendalian internal teknologi informasi disarankan menggunakan COBIT (Control
Objectives for Information and related Technology), yang dikebangkan oleh ISACA
(Information Systems Audit and Control Association) sekarang versi 4.1.
Sarbanes Oxley itu menyajikan beberapa
hal penting antara lain:
a. Tanggungjawab Perusahaan, semua yang
terafiliasi dalam perusahaan semakin diminta dan diaktifkan seperti Komite
Audit, Internal Auditor, pemisahan yang lebih jelas antara audit service dengan
non-audit service, dan perlunya persetujuan dan pengungkapan atas semua jasa
non-audit. Direktur Utama perusahaan serta Direktur keuangan harus membuat
pernyataan bahwa laporan keuangan yang disajikannya adalah akurat dan tidak
menimbulkan salah tafsir dan telah menerapkan sistem pengawasan internal yang
sehat dan tidak ada keterkaitan pinjaman mereka kepada perusahaan.
b. Auditor, independensi akuntan publik
diperketat lagi dengan kewajiban mempertahan- kan independensi dan membentuk
Dewan Pengawas Akuntan Publik serta melarang pemberian jasa non audit diluar
jasa perpajakan dan adanya kewajiban untuk menggilir pelaksana dan
penanggungjawab audit.
c. Pengungkapan diperluas, manajemen dan
auditor setiap tahun harus menilai sistem pengendalian internal. Seperti halnya
di industri perbankan maka semua pembiayaan yang bersifat off-balance sheet dan
pembiayaan yang bersifat kontingensi harus diungkapkan. Laporan proforma wajib
disajikan. Transaksi saham intern harus dilaporkan dalam jangkawa waktu dua
hari. Beberapa informasi tertentu yang dianggap penting harus di laporkan dalam
“real time”.
d. Analis, analis saham harus dapat
mengungkapkan kemungkinan konflik kepentingan.
e. SEC, memperluas objek reviewnya
terhadap laporan keuangan perusahaan, me- ningkatkan kekuasaan untuk memaksa
perusahaan melaksanakan peraturannnya dan menaikkan biaya hukuman terhadap
setiap pelanggaran UU pasar modal.
Semua ketentuan dalam SOX berlaku bagi
perusahaan Amerika dan juga perusahaan Non Amerika. Baik yang mengeluarkan
saham atau obligasi di pasar modal Amerika seperti tentu di New Yorks Stock
Exchange. Tentu saja UU ini akan berpengaruh juga pada perusahaan Indonesia
yang mendaftarkan sahamnya di pasar modal Amerika seperti PT Telkom, PT Indosat
dan sebagainya. Jika hal ini berpengaruh maka sudah otomatis akan mempengaruhi
professi akuntan di Tanah Air khususnya yang mengadit perusahaan yang
dipengaruhi oleh Sarbanes Oxley Act itu.
2. ICOFR di Indonesia
ICOFR di Indonesia telah diatur dalam
SPAP (Standar Audit Akuntan Publik) yang diterbitkan oleh IAI (Ikatan Akuntan
Indonesia) yaitu standar yang mewajibkan auditor untuk melaksanakan pekerjaan
sesuai dengan standar pekerjaan lapangan No.2, SPAP 1994 – PSA No.06, 23, 24,
35, 60 & 69 , SPAP 2001-SAT Seksi 400 & SA Seksi 314, dalam
implementasinya pengendalian internal menggunakan COSO, namun kewajiban audit
atau memberi opini atas pengendalian internal belum diterapkan. Bagi BUMN
keharusan penyelenggaraan pengendalian internal berbasis COSO tertuang dalam
pasal 22 Keputusan Menteri BUMN Nomor Kep-117/M-MBU/2002 tentang penerapan good
governance pada Badan Usaha Milik Negara (BUMN). Dalam keputusan tersebut
dinyatakan bahwa manajemen BUMN harus memelihara pengendalian internal bagi
perusahaan yang meliputi. Keputusan Ketua Badan Pengawas Pasar Modal nomor:
Kep-40/PM/2003 atau peraturan nomor VIII.G.11 tentang tanggung jawab direksi
atas laporan keuangan, yaitu:
a. Laporan Keuangan dalam rangka
kewajiban penyampaian laporan keuangan kepada Bapepam.
b. Direksi Emiten atau Perusahaan Publik
wajib membuat surat pernyataan.
c. Surat pernyataan sebagaimana wajib
ditandatangani oleh Direktur Utama dan seorang Direktur yang membawahi bidang
akuntansi atau keuangan, dan bermeterai cukup.
d. Direksi Emiten atau Perusahaan Publik
secara tanggung renteng bertanggung jawab atas pernyataan yang dibuat termasuk
kerugian yang mungkin ditimbulkan.
e. Surat pernyataan wajib dilekatkan
pada laporan keuangan yang disampaikan kepada Bapepam.
f. Dalam hal laporan keuangan yang
disampaikan telah diaudit atau ditelaah secara terbatas, maka tanggung jawab
Direksi atas pernyataan sebagaimana dimaksud berlaku sampai dengan tanggal
pendapat akuntan.
g. Laporan keuangan interim yang
disampaikan tidak diaudit, maka tanggung jawab Direksi atas pernyataan berlaku
sampai dengan tanggal disampaikannya surat pernyataan dimaksud kepada Bapepam.
h. Dengan tidak mengurangi ketentuan
pidana di bidang Pasar Modal, Bapepam berwenang mengenakan sanksi terhadap
setiap pelanggaran ketentuan peraturan ini, termasuk pihakpihakyang menyebabkan
terjadinya pelanggaran tersebut.
Perusahaan Indonesia yang listing di
bursa efek di Amerika Serikat (NYSE) dan hanya satu-satunya Badan Usaha Milik
Negara (BUMN) di Indonesia yang terdaftar di NYSE sehingga PT Telkom harus
patuh terhadap SOA section 404 seperti yang disyaratkan oleh SEC (Securities
and Exchange Commission).
PT Pelabuhan Indonesia III (Persero)
merupakan pemerintah yang perlu diaudit oleh auditor atas laporan keuangan
menerapkan standar SPAP dan harus melakukan review intern control atas laporan
keuangan. Berdasarkan informasi hingga saat ini PT Pelabuhan Indonesia III
(Persero) belum melakukan reviu pengendalian internal dan belum membuat
pernyataan Direksi atas penerapan pengendalian internal.
Pelajaran yang harus dipetik adalah
bahwa dengan globalisasi ini maka kita mau tidak mau baik akuntan, perusahan,
manajemen, analis, pemerintah selaku regulator dan juga dunia kampus harus
selalu mengikuti atau kalau bisa didepan untuk menerapkan “good governance”
disemua bidang bukan saja di dunia swasta, tetapi juga di dunia birokrasi dan
dunia akademis. Status kita yang selalu dianggap memiliki risiko tinggi tidak
lepas dari aspek penerapan “good governance” ini. Kita akan selalu menjadi
bulan bulanan para professional dan penentu kebijakan tingkat internasional.
Sebenarnya dengan sifat budaya kita yang religius sudah cukup menjadi modal
awal untuk menerapkan good governance itu, namun modal perasaan religius tidak
cukup karena harus ditopang oleh penegakan aturan aturan yang baik dan benar
sesuai dengan ukuran baik dan buruk yang ditetapkan oleh nilai nilai akhlak dan
agama yang kita anut. Upaya meningkatkan peran agama menurut saya masih relevan
untuk menegakkan moral bangsa, moral birokrat, moral pengusaha, yang terpuruk
ini.
Doylea, Geb, dan McVay (2006) menemukan
bahwa salah satu penyebab kelemahan material pengendalian internal menurut
section 302 dan 404 Sarbanex-Oxley Act adalah kompleksitas proses operasi.
Sementara Namiri dan Stojanovic (2007) mengemukakan bahwa rancangan
pengendalian harus mengendalikan ke arah mana sebuah proses bisnis
dilaksanakan. Sebuah perancangan ulang proses bisnis pun (business process
reengineering), menyebabkan pemutakhiran kembali penilaian risiko pada proses
bisnis, yang menggiring ke sebuah pengendalian yang baru atau terbaharui,
termasuk pengujiannya. Proses bisnis merupakan fokus utama dalam menilai
perancangan dan pengelolaan pengendalian internal.
Proses bisnis adalah serangkaian atau
sekumpulan aktifitas yang dirancang untuk menyelesaikan tujuan strategik sebuah
organisasi, seperti pelanggan dan pasar (Hollander, Denna, dan Cherrington,
2000). Proses bisnis memiliki beberapa karakteristik antara lain (Sparx System,
2004)
a. memiliki tujuan,
b. memiliki input tertentu,
c. memiliki output tertentu,
d. menggunakan sumberdaya,
e. memiliki sejumlah aktifitas yang
dilakukan dalam suatu urutan,
f. dapat mempengaruhi lebih dari satu
unit organisasional, dan
g. mnciptakan suatu nilai untuk
konsumen. pelanggan dapat berupa internal atau eksternal.
3. Pengendalian Internal
SAT Seksi 400 menyatakan Pelaporan
Pengendalian Intern Suatu Entitas Atas Pelaporan Keuangan. Paragraf 03
Manajemen dapat menyajikan asersi tertulis tentang efektivitas pengendalian
intern suatu entitas dalam bentuk:
a. Suatu laporan terpisah yang akan
melampiri laporan praktisi.
b. Suatu surat representasi yang
ditujukan kepada praktisi (namun, dalam hal ini, praktisi harus membatasi
penggunaan laporannya hanya untuk manajemen dan pihak lain dalam entitas dan,
jika berlaku, badan pengatur yang ditentukan).
Komponen yang membentuk pengendalian
intern suatu entitas adalah suatu fungsi definisi pengendalian intern yang
dipilih oleh manajemen. Sebagai contoh, manajemen dapat memilih definisi
pengendalian intern yang terdapat dalam SA Seksi 319 [PSA No. 23] Pertimbangan
atas Pengendalian Intern dalam Audit atas Laporan Keuangan. Paragraf 07
menjelaskan komponen yang membentuk pengendalian intern entitas sebagaimana
didefinisikan dalam SA Seksi 319 [PSA No. 231 tersebut: lingkungan
pengendalian, penaksiran risiko, aktivitas pengendalian, informasi dan
komunikasi, serta pemantauan. Jika manajemen memilih definisi lain suatu
pengendalian intern, penjelasan komponen yang membentuknya dalam paragraf
tersebut mungkin tidak relevan.
a. COSO Internal Control Frameworks.
Dikembangkan oleh The Committee of
Sponsoring Organization of the Treadway Commission sejak sebelum 1980, pertama
kali dipublikasi pada tahun 1992 yang kemudian dikembangkan hingga kini. COSO
Internal Control Framework lebih dikenal sebagai acuan yang diterima umum dalam
pengendalian internal perusahaan dan kaitannya dengan pelaporan keuangan dan
proses operasi.
Definisi pengendalian internal menurut
COSO adalah Sebuah proses, yang dilaksanakan oleh dewan direksi, manajemen, dan
personil lainnya, yang dirancang untuk menyajikan keyakinan memadai terkait
dengan pencapaian tujuan-tujuan dibawah ini:
- Efektifitas dan efisiensi operasi
- Keandalan pelaporan keuangan
- Kepatuhan terhadap hukum dan peraturan
Tujuan pengendalian internal ini dapat
dijelaskan sebagai berikut:
1) Efektivitas dan Efisiensi Operasi
Pengendalian internal dimaksudkan untuk
menghindarkan pengulangan kerjasama yang tidak perlu dan pemborosan dalam
seluruh aspek usaha serta mencegah penggunaan sumber daya yang tidak efisien.
2) Keandalan Laporan Keuangan
Agar dapat menyelenggarakan operasi
usahanya, manajemen memerlukan informasi yang akurat. Oleh karena itu dengan
adanya pengendalian internal diharapkan dapat menyediakan data yang dapat
dipercaya, sebab dengan adanya data atau catatan yang andal memungkinkan akan
tersusunnya laporan keuangan yang dapat diandalkan.
3) Kepatuhan terhadap Hukum dan
Peraturan
Pengendalian internal dimaksudkan untuk
memastikan bahwa segala peraturan dan kebijakan yang telah ditetapkan manajemen
untuk mencapai tujuan perusahaan dapat ditaati oleh karyawan perusahaan.
Pengendalian internal mengarah pada
sebuah proses karena pengendalian internal menyatu ke dalam kegiatan operasi
organisasi dan merupakan bagian integral kegiatan utama manajemen yaitu
perencanaan, pelaksanaan, dan pengawasan.
Pengendalian internal menurut COSO
terdiri dari:
1) Lingkungan Pengendalian
2) Penilaian Risiko
3) Aktifitas Pengendalian
4) Informasi dan Komunikasi
5) Pemantauan
Gambar COSO Internal Control Framework
1) Lingkungan Pengendalian menentukan
kondisi lingkungan perusahaan, mempengaruhi kesadaran pengendalian pegawai.
Merupakan pondasi dari komponen lain dengan menyediakan disiplin dan struktur.
Lingkungan Pengendalian:
a) Integritas dan nilai etika
b) Komitmen terhadap kompetensi
c) Komisaris dan Komite Audit yang aktif
dan efektif
d) Pilosofi manajemen dan gaya
operasional
e) Struktur Organisasi
f) Pemberian wewenang dan tanggung jawab
g) Kebijakan dan praktik SDM
2) Penilaian Risiko merupakan
identifikasi dan analisa risiko perusahaan yang relevan dengan pencapaian
tujuan, memberikan dasar bagi penentuan pengelolaan risiko.
Penilaian Risiko:
a) Penetapan Tujuan Tingkat Entitas
b) Penentuan Tujuan Tingkat Aktivitas
c) Identifikasi dan analisa risiko
d) Pengelolaan perubahan
3) Aktivitas Pengendalian merupakan
kebijakan dan prosedur yang memberikan keyakinan bahwa arahan manajemen
dilaksanakan dan risiko yang telah dinilai ditangani secara semestinya.
Aktivitas Pengendalian:
a) Keberadaan kebijakan dan prosedur
yang tepat
b) Pelaksanaan kebijakan dan prosedur
yang tepat
Aktivitas pengendalian terdiri dari
kebijakan dan prosedur yang merasakan bahwa diperlukan tindakan untuk meredam
risiko dalam upaya pencapaian tujuan perusahaan secara umum. Aktivitas
pengendalian dapat dijelaskan sebagai berikut:
a) Adequate Separation of Duties
(Pemisahan Tugas yang Cukup)
Pengendalian internal yang baik
menetapkan bahwa tidak ada pegawai yang diberikan terlalu banyak tanggung jawab
sehingga perlu adanya pemisahan tugas. Beberapa pedoman umum dalam pemisahan
tugas untuk mencegah salah saji, baik yang disengaja maupun yang tidak
disengaja, yaitu :
(1) Pemisahan fungsi pemegang aktiva
dari fungsi akuntansi
(2) Pemisahan otorisasi transaksi dari
pemegang aktiva yang bersangkutan
(3) Pemisahan tanggung jawab operasional
dari pembukuan
(4) Pemisahan tugas dalam EDP
b) Proper Authorization of Transaction
and Activities (Otorisasi yang Pantas atas Transaksi)
Otorisasi dapat berbentuk umum dan
khusus. Otorisasi umum berarti bahwa manajemen menyusun kebijakan bagi
organisasi untuk ditaati. Sedangkan otorisasi khusus dilakukan terhadap
transaksi individual. Misalnya, manajemen menentukan kebijakan otorisasi untuk
pembelian aktiva berdasarkan jumlah tertentu yang sudah ditetapkan, ini adalah
otorisasi umum. Bila jumlah pembelian melebihi yang ditetapkan, maka harus
diotorisasi dulu oleh dewan komisaris, ini adalah otorisasi khusus.
c) Adequate Document and Record (Dokumen
dan Catatan yang Memadai)
Dokumen dan catatan adalah objek fisik
dimana transaksi dimasukkan dan diikhtisarkan. Dokumen berfungsi sebagai
pengantar informasi ke seluruh bagian organisasi. Dokumen harus memadai untuk
memberikan keyakinan memadai bahwa seluruh aktiva dikendalikan dengan pantas
dan seluruh transaksi dicatat dengan benar. Beberapa prinsip tertentu yang
relevan menandai perancangan dan penggunaan yang tepat atas dokumen dan
catatan. Dokumen dan catatan hendaknya :
(1) Diberi nomor urut untuk mencegah
terjadinya dokumen yang hilang dan membantu menelusurinya bila diperlukan.
(2) Dibuat pada saat yang sama ketika
terjadinya transaksi atau segera sesudahnya.
(3) Cukup sederhana agar mudah
dimengerti.
(4) Dirancang untuk berbagai kegunaan
(bila mungkin) untuk mengurangi jumlah formulir yang harus dibuat.
(5) Dirancang sedemikian rupa untuk
memungkinkan penyajian yang benar.
Pengendalian yang erat berkaitan dengan
dokumen dan catatan adalah bagan
perkiraan yang mengklasifikasikan transaksi
ke dalam perkiraan neraca dan laba rugi. Bagan perkiraan merupakan pengendalian
yang penting karena memberikan kerangka kerja untuk menentukan informasi yang
disajikan kepada manajemen lain dari laporan keuangan. Prosedur untuk
pencatatan secara tepat harus disesuaikan dalam sistem manual untuk mendorong
penerapan yang konsisten. Sistem manual harus menyediakan informasi yang cukup
untuk membantu pencatatan dan mempertahankan informasi yang tepat atas
transaksi.
d) Physical Check on Performance (Pengendalian
Fisik atas Aktiva dan Catatan)
Jenis perlindungan untuk mengamankan
aktiva dan catatan yang paling utama adalah penggunaan tindakan pencegahan
secara fisik. Contohnya, penggunaan gudang persediaan untuk melindungi dari
kemungkinan terjadinya pencurian.
e) Independen Check on Performance
(Pengecekan Independen atas Pelaksanaan)
Kategori terakhir prosedur pengendalian
adalah penelaahan yang hati-hati dan berkesimbangan atas keempat prosedur yang
lain, yang sering disebut sebagai pengecekan independen atau verifikasi intern.
Kebutuhan pengecekan secara independen meningkat karena pengendalian internal
cenderung berubah setiap saat jika tidak terdapat mekanisme penelaahan yang
sering. Contohnya pegawai mungkin lupa atau sengaja tidak mengikuti prosedur
jika tidak ada orang yang meninjau atau mengawasi pelaksanaanya.
4) Informasi dan komunikasi sistemmen
dukung identifikasi, perolehan, dan pertukaran informasi dalam bentuk dan
kerangka waktu yang memungkinkan pegawai melaksanakan tanggung jawabnya.
Informasi dan Komunikasi:
a) Informasi diidentifikasi, diperoleh,
diolah dan dilaporkan
b) Komunikasi yang efektif
Sistem informasi yang relevan terhadap
tujuan pelaporan keuangan yang meliputi sistem akuntansi terdiri dari metoda
dan catatan yang ditetapkan untuk mencatat, mengolah, mengikhtisarkan, dan
melaporkan transaksi suatu entitas dan mempertahankan akuntabilitas untuk
aktiva dan utang yang berkaitan.
Komunikasi mencakup memberikan pemahaman
peranan individual dan tanggung jawab yang berkaitan dengan pengendalian intern
atas laporan keuangan. Komunikasi meliputi sejauh mana personel memahami
bagaimana aktivitas mereka dalam sistem informasi pelaporan keuangan berkaitan
dengan pekerjaan dan hal lainnya.
5) Pemantauan adalah penilaian kualitas
kinerja pengendalian internal sepanjang waktu. Pemantauan dilaksanakan oleh
personel yang semestinya melakukan pekerjaan tersebut baik tahap desain maupun
pengoperasian pengendalian pada waktu yang tepat untuk menentukan apakah
pengendalian internal beroperasi seperti yang diharapkan, dan untuk menentukan
apakah pengendalian internal tersebut memerlukan proses karena terjadinya
perubahan pengelolaan.
Monitoring:
a) Monitoring berkesinambungan
b) Evaluasi Terpisah
c) Pelaporan Kelemahan
b. COBIT (Control Objective for
Information and Related Technology
COBIT (Control Objective for Information
and Related Technology) Dikembangkan pertama kali oleh Information System Audit
and Control Association (ISACA) tahun 1992 yang kemudian dikelola oleh The IT
Governance Institute (ITGI) – sebuah badan afiliasi ISACA – hingga kini COBIT
telah terbit dengan versi 4.1. COBIT merupakan kerangka pengendalian internal
yang diterima secara umum untuk teknologi informasi (TI). COBIT diterjemahkan
ke dalam empat domain 34 Control Objectives dan 256 Control Indicator.
Gambar COBIT Cube
Adapun ke-empat domain tersebut adalah :
1) Perencanaan dan Pengorganisasian
(Planning and Organization / PO) menyediakan arahan untuk solusi dan pelayanan
solusinya.
2) Perolehan dan Implementasi
(Acquisition and Implementation / AI) - menyediakan solusi dan mengubahnya
menjadi pelayanan
3) Layanan dan Dukungan (Delivery and
Suppport / DS) - menerima solusi dan membuatnya berguna bagi organisasi.
4) Pemantauan dan Evaluasi (Monitor and
Evaluate / ME) - memantau seluruh proses agar menjamin bahwa semua arahan
diikuti.
Sedangkan Tujuan Pengendalian (Control
Objective) mencakup hal-hal sebagai berikut :
Perencanaan dan Pengorganisasian
(Planning and Organization)
1. PO1 Perencanaan stratejik TI
2. PO2 Arsitektur informasi
3. PO3 Arah TI
4. PO4 Organisasi dan keterkaitan TI
5. PO5 Pengelolaan investasi TI
6. PO6 Komunikasi tujuan dan arah
manajemen
7. PO7 Pengelolaan SDM
8. PO8 Ketaatan dg kebutuhan eksternal
9. PO9 Penilaian risiko
10. PO10 Pengelolaan proyek
11. PO11 Pengelolaan kualitas
Perolehan dan Implementasi (Acquisition
and Implementation)
12. AI1 Solusi terotomasi
13. AI2 Perolehan dan pemeliharaan
software aplikasi
14. AI3 Perolehan dan pemeliharaan
infrastruktur TI
15. AI4 Pengembangan dan pemeliharaan
prosedur
16. AI5 Install dan penguasaan sistem
17. AI6 Pengelolaan perubahan
Layanan dan Dukungan (Delivery and
Suppport)
18. DS1 Pendefinisikan dan pengelolaan
tingkatan jasa
19. DS2 Pengelolaan jasa pihak ketiga
20. DS3 Pengelolaan kinerja dan
kapasitas
21. DS4 Pemastian jasa berkelanjutan
22. DS5 Pemastian security sistem
23. DS6 Pengidentifikasian dan
pengalokasian biaya
24. DS7 Pendidikan dan pelatihan
pengguna
25. DS8 Membantu pelanggan
26. DS9 Pengelolaan konfigurasi
27. DS10 Pengelolaan masalah dan insiden
28. DS11 Pengelolaan data
29. DS12 Pengelolaan fasilitas
30. DS13 Pengelolaan operasi
Pantauan (Monitoring)
31. M1 Pemantauan proses
32. M2 Penilaian kecukupan pengendalian
intern
33. M3 Perolehan jaminan yang independen
34. M4 Penyediaan audit yang independen
Gambar 3. IT Governance
Walaupun struktur pengendalian internal
menurut COSO juga mencakup aktifitas pengendalian terkait dengan pemrosesan
informasi (pengendalian umum dan pengendalian aplikasi), COBIT menelusuri
pengendalian umum lebih jauh lagi menjadi pengendalian menyeluruh (pervasive IS
control) dan pengendalian terinci (detailed IS control). COBIT memandang pengendalian
internal bekerja sepanjang proses sejak perencanaan dan organisasi, perolehan
dan penerapan, pemberian dan dukungan hingga pemantauan dan evaluasi.
Pengendalian menyeluruh meliputi proses perencanaan, organisasi, pemantauan dan
evaluasi seluruh komponen sistem informasi dan operasional secara umum.
Pengendalian terinci terdiri dari pengendalian umum yang bukan bagian dari
pengendalian menyeluruh dan pengendalian aplikasi/proses bisnis.
IS Auditing Guidelines nomor G11 tentang
dampak dari pengendalian sistem informasi menyeluruh (Effect of Pervasive IS
Controls), secara tidak langsung mengindikasikan bahwa COBIT tidak khusus
berfokus pada prosedur pengendalian proses bisnis atau aplikasi, melainkan pada
pengendalian umum (ISACA, 2007; ITGI, 2007). COBIT menyerahkan tanggungjawab
kebutuhan bisnis dan penggunaan operasional pengendalian aplikasi pada dunia
usaha, namun bertanggungjawab dalam pengembangan aplikasi dan proses
otomasinya.
4. Keterbatasan Pengendalian Intern
Suatu Entitas
Tidak ada satu sistem pun yang dapat
mencegah secara sempurna semua pemborosan dan penyelewengan yang terjadi pada
suatu perusahaan, karena pengendalian internal setiap perusahaan memiliki
keterbatasan bawaan. Keterbatasan bawaan yang melekat pada pengendalian
internal menurut Mulyadi (2002,181) sebagai berikut:
a. Kesalahan dalam pertimbangan
Seringkali, manajemen dan personil lain
dapat salah dalam mempertimbangkan keputusan hisnis yang diambil atau dalam
melaksanakan tugas rutin karena tidak memadainya informasi, keterbatasan waktu,
dan tekanan lain.
b. Gangguan
Gangguan dalam pengendalian yang telah
ditetapkan dapat terjadi karena personil secara keliru memahami perintah atau
membuat kesalahan karena kelalaian, tidak adanya perhatian, atau kelelahan.
Perubahan yang bersifat sementara atau permanen dalam personil atau dalam
sistem dan prosedur dapat pula mengakibatkan gangguan.
c. Kolusi
Tindakan bersama beberapa individu untuk
tujuan kejahatan disebut kolusi. Kolusi dapat mengakibatkan bobolnya
pengendahan internal yang dibangun untuk melindungi kekayaan entitas dan tidak
terungkapnya ketidakberesan atau terdeteksinya kecurangan oleh struktur
pengendalian internal yang dirancang.
d. Pengabaian oleh manajemen
Manajemen dapat mengabaikan kebijakan
atau prosedur yang telah ditetapkan untuk tujuan yang tidak sah. Seperti
keuntungan pribadi manajer, penyajian kondisi keuangan yang berlebihan atau
kepatuhan semu.
e. Biaya lawan manfaat
Biaya yang diperlukan untuk
mengoperasikan struktur pengendalian internal tidak boleh melebihi manfaat yang
diharapkan dari pengendalian internal tersebut, karena pengukuran secara tepat
baik biaya maupun manfaat biasanya tidak mungkin
dilakukan. Manajemen harus memperkirakan
dan memperthnbangkan secara kuantitatif dan kualitatif untuk mengevaluasi biaya
dan manfaat suatu strukur pengendahan internal.
Berdasarkan uraian di atas, bahwa
keefektifan pengendalian internal tergantung dari orang-orang yang
melaksanakannya dan juga perlu diperhatikan manfaat yang dihasilkan.
Pengendalian intern, terlepas
bagaimanapun baiknya desain maupun pengoperasiannya, hanya dapat memberikan
keyakinan memadai kepada manajemen dan dewan komisaris tent a kolusi dua orang
atau lebih atau karena manajemen melanggar pengendalian ang pencapaian tujuan
entitas. Kemungkinan pencapaian tujuan entitas dipengaruhi oleh keterbatasan
bawaan yang terdapat dalam pengendalian intern. Hal ini mencakup kenyataan
tentang pertimbangan manusia dapat salah, dan kerusakan pengendalian intern
dapat terjadi karena kegagalan manusia seperti kesalahan yang sederhana. Di
samping itu, pengendalian dapat tidak berdaya karen intern.
Adat, budaya, dan sistem corporate
governance mungkin menghalangi dilakukannya ketidakberesan oleh manajemen,
namun hal itu bukanlah alat pencegah yang bersifat mutlak. Lingkungan
pengendalian yang efektif dapat juga membantu mengurangi kemungkinan
dilakukannya ketidakberesan semacam itu. Sebagai contoh, faktor lingkungan
pengendalian seperti dewan komisaris, komite audit, dan fungsi audit intern
yang efektif dapat menghalangi perbuatan manajemen yang tidak semestinya. Di
lain pihak, suatu lingkungan pengendalian yang tidak efektif dapat berakibat
negatif terhadap efektivitas komponen lain pengendalian intern. Sebagai contoh,
pada waktu adanya insentif manajemen yang menciptakan lingkungan yang dapat
mengakibatkan salah saji material dalam laporan keuangan, efektivitas aktivitas
pengendalian dapat berkurang. Efektivitas pengendalian intern entitas dapat
pula dipengaruhi secara negatif oleh faktor-faktor seperti perubahan dalam
pemilikan perusahaan atau pengendalian, perubahan manajemen atau pegawai lain,
atau perkembangan dalam pasar atau industri entitas.
5. Prinsip-prinsip Sistem Pengendalian
Intern
Menurut (Bambang Hartadi ) Untuk dapat
mencapai tujuan pengendalian akuntansi, suatu sistem harus memenuhi enam
prinsip dasar pengendalian intern yang meliputi:
a. Pemisahan fungsi
Tujuan utama pemisahan fungsi untuk
menghindari dan pengawasan segera atas kesalahan atau ketidakberesan. Adanya pemisahan
fungsi untuk dapat mencapai suatu efisiensi pelaksanaan tugas.
b. Prosedur pemberian wewenang Tujuan
prinsip ini adalah untuk menjamin bahwa transaksi telah diotorisir oleh orang
yang berwenang.
c. Prosedur dokumentasi
Dokumentasi yang layak penting untuk
menciptakan sistem pengendalian akuntansi yang efektif. Dokumentasi memberi
dasar penetapan tanggungjawab untuk pelaksanaan dan pencatatan akuntansi.
d. Prosedur dan catatan akuntansi
Tujuan pengendalian ini adalah agar
dapat disiapkannya catatancatatan akuntansi yang yang teliti secara cepat dan
data akuntansi dapat dilaporkan kepada pihak yang menggunakan secara tepat
waktu.
e. Pengawasan fisik
Berhubungan dengan penggunaan alat-alat
mekanis dan elektronis dalam pelaksanaan dan pencatatan transaksi.
f. Pemeriksaan intern secara bebas
Menyangkut pembandingan antara catatan
asset dengan asset yang betul-betul ada, menyelenggarakan rekening-rekening
kontrol dan mengadakan perhitungan kembali gaji karyawan. Ini bertujuan untuk
mengadakan pengawasan kebenaran data.
6. Jenis-jenis pengendalian
a. Berdasarkan tujuan, meliputi:
1) Pengendalian Akuntansi, meliputi
rencana, prosedur dan pencatatan yang bertujuan menjaga keamanan kekayaan
perusahaan dan keandalan data akuntansinya. Pengendalian ini menjamin bhw semua
transaksi dilaksanakan sesuai otorisasi manajemen. Transaksi dicatat sesuai
dengan Standar akuntansi
2) Pengendalian Administratif, meliputi
rencana, prosedur dan pencatatan yang mendorong efisiensi dan ditaatinya
kebijakan manajemen yang ditetapkan
b. Berdasarkan manfaat, meliputi:
1) Pengendalian preventif (preventive
control), mencegah terjadinya kesalahan, secara otomatis dilakukan
pengendalian/pengecekan
2) Pengendalian detektif (feed forward
control), mendeteksi kapan kesalahan terjadi dan dilakukan perbaikan
3) Pengendalian korektif (feedback
control), memberikan umpan balik berupa informasi kepada manajemen untuk
memperbaiki akibat terjadinya kesalahan.
b. Berdasarkan cakupan, meliputi:
1) Pengendalian umum, pengendalian
terhadap semua aktivitas pemrosesan data dengan komputer, hal ini meliputi
pemisahan tanggung jawab dan fungsi pengolahan data.
2) Pengendalian aplikasi, mencakup semua
pengawasan transaksi dan penggunaan programprogram aplikasi di komputer. Untuk
menjaga agar setiap transaksi mendapat otorisasi serta dicatat,
diklasifikasikan, diproses, dan dilaporkan dengan benar.
7. Rencana Review Implementasi ICOFR
pada PT Pelabuhan Indonesia III (Persero)
Dalam hal ini pembahasan rencana review
implementasi pengendalian internal atas laporan keuangan pada PT Pelabuhan
Indonesia III (Persero) yang mengacu pada COSO dan COBIT. COSO dan COBIT
menjadi kerangka acuan dalam menilai aspek pengendalian pada sistem informasi
dan pelaporan keuangan. Alasan pengunaan COSO dan COBIT dalam mengidentifikasi
risiko dan pengendalian atas laporan keuangan adalah:
- Kerangka pengendalian internal menurut
COSO umumnya memberikan pijakan pada pengendalian khusus pada laporan keuangan,
bukan pada sistem informasi. Sementara transaksi bisnis lebih banyak
mengandalkan sistem pemroses transaksi.
- Kerangka pengendalian berdasarkan
COBIT berfokus pada pengendalian berbasis komputer secara umum (general
control) dan menyerahkan operasionalisasi dari pengendalian aplikasi pada
organisasi yang bersangkutan.
- Pemahaman terhadap proses bisnis
perusahaan menjadi kritikal bagi profesi akuntansi karena menentukan derajat
akomodasi sistem informasi akuntansi terhadap kewajaran proses operasi, proses
pengungkapan informasi, dan proses pengambilan keputusan manajemen.
Pengendalian aplikasi berfokus pada proses bisnis.
a. Dasar Implementasi
1) Undang-Undang Republik Indonesia
Nomor 19 Tahun 2003 Tentang Badan Usaha Milik Negara.
2) Undang-Undang Republik Indonesia
Nomor 40 Tahun 2008 Tentang Perseroan Terbatas.
3) Keputusan Menteri Negara BUMN
No.Kep-117/M-MBU/2002 tentang Penerapan Praktek Good Corporate Governance Dalam
Badan Usaha Milik Negara (BUMN).
4) Keputusan Kepala Bapepam No
VIII.G.11, IX.E.1/2 dan IX.I.5
5) PSAK Standar Pekerjaan Lapangan No.2,
SPAP 1994 – PSA No.06, 23, 24, 35, 60 & 69 dan SPAP 2001 SAT Seksi 400
& SA Seksi 314
6) Mempertimbangkan perkembangan operasi
perusahaan dimana perusahaan telah go public, maka ada beberapa peraturan di
luar negeri terutama Amerika Serikat, antara lain :
- Sarbanes Oxley Act item 304 dan 404
- SEC No 33-8810 atau 33-8818
- Standard Audit No 2 dan 5 PCOAB
- SAS 55/78 AICPA
Yang mengatur perusahaan harus melakukan
review internal control dan berkewajian untuk menyertakan pernyataan direksi
dalam laporan keuangan dan di audit oleh auditor idependen.
Sumber :
Mukhtar Daud, 2011, http://mukhtardaud.blogspot.co.id/2011/08/internal-control-over-financial.html (Diakses Tanggal 11
Juni 2017)
makasih yah kak udah share
BalasHapusdaging bacon