SIKLUS PROSES BISNIS REVIEW ATAS PROSES BISNIS

UTAMA DALAM PERUSAHAAN MANUFAKTUR

Paper Untuk memenuhi Tugas

SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

Disusun Oleh : Jemmy Esrom Serang

NIM : 55516120030

Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, MM, CMA

Program Studi Magister Akuntansi

FAKULTAS PASCA SARJANA

UNIVERSITAS MERCUBUANA

JAKARTA

2017

Tanggapi dan Jawablah Forum mingu ini dengan baik dan benar:

Setelah saudara pelajari materi minggu ini tentang siklus proses bisnis dan

review atas proses bisnis utama dalam perusahaan manufaktur dan

berdasarkan pengalaman empiris, apa executive summary yang dapat

saudara simpulkan. Kalau perlu berikan contohnya…!

JAWABAN

Proses bisnis adalah suatu kumpulan aktivitas atau pekerjaan terstruktur yang

saling terkait untuk menyelesaikan suatu masalah tertentu atau yang menghasilkan

produk atau layanan (demi meraih tujuan tertentu). Suatu proses bisnis dapat

dipecah menjadi beberapa subproses yang masing-masing memiliki atribut sendiri

tapi juga berkontribusi untuk mencapai tujuan dari superprosesnya. Analisis proses

bisnis umumnya melibatkan pemetaan proses dan subproses di dalamnya hingga

tingkatan aktivitas atau kegiatan. (Modul SI PI, Siklus proses bisnis Review atas

proses bisnis, M.Akt UMB, Hapzi Ali, 2015)

Davenport (1993) mendefinisikan proses bisnis sebagai:

“Aktivitas yang terukur dan terstruktur untuk memproduksi output tertentu untuk

kalangan pelanggan tertentu. Terdapat di dalamnya penekanan yang kuat pada

“bagaimana” pekerjaan itu dijalankan di suatu organisasi, tidak seperti fokus dari

produk yang berfokus pada aspek “apa”. Suatu proses oleh karenanya merupakan

urutan spesifik dari aktivitas kerja lintas waktu dan ruang, dengan suatu awalan dan

akhiran, dan secara jelas mendefinisikan input dan output.” (Thomas Davenport

(1993). Process Innovation: Reengineering work through information technology.

Harvard Business School Press, Boston)

Terdapat tiga jenis proses bisnis:

1. Proses manajemen, yakni proses yang mengendalikan operasional dari

sebuah sistem. Contohnya semisal Manajemen Strategis

2. Proses operasional, yakni proses yang meliputi bisnis inti dan menciptakan

aliran nilai utama. Contohnya semisal proses pembelian, manufaktur,

pengiklanan dan pemasaran, dan penjualan.

3. Proses pendukung, yang mendukung proses inti. Contohnya semisal

akunting, rekruitmen, pusat bantuan.

Siklus Proses Bisnis

Siklus pengeluaran, pertukaran informasi utama adalah dengan pemasok barang

(vendor). Di dalam organisasi, informasi mengalir ke siklus pengeluaran dari siklus

pendapatan dan produksi, pengendalian persediaan, dan berbagai departemen

tentang kebutuhan untuk membeli barang dan bahan baku. Begitu barang dan bahan

baku tiba, pemberitahuan penerimaannya mengalir kembali ke sumber-sumber

tersebut dari siklus pengeluaran. Data mengenai biaya juga mengalir dari siklus

pengeluaran ke buku besar dan ke fungsi pelaporan untuk dimasukkan ke dalam

laporan keuangan serta berbagai laporan manajemen lainnya.

1. Siklus Pendapatan

Siklus pendapatan adalah proses bisnis yang berkaitan dengan penyediaan

barang dan jasa ke pelanggan untuk kemudian menagih penjualan tersebut

sehngga menghasilkan pendapatan. Pada siklus pendapatan sendiri terdapat

4 dasar bisnis yaitu :

Memasukkan pesanan penjualan (sales order entry)

Kenapa hal ini menjadi dasar ? karena proses penjualan pastilah diawali

dengan adanya pesanan dari pelanggan. Dalam tahap ini ada 3 hal yang

harus kita pastikan yaitu mengambil pesanan penjualan, memeriksadan

lalu menyetujui kredit penjualan tersebut (hanya jika penjualan secara

kredit), dan memeriksa ketersediaan barang yang akan dipesan. Bagian

yang terkait yaitu bagian penjualan.

Mengirim Pesanan (Shipping)

Setelah kita menerima pesanan dan juga memastikan bahwa barang

yang dipesan memang ada maka selanjutnya kita harus mengirim

pesanan tersebut. Di sini ada 2 tahap yaitu mengepak barang yang akan

dikirim dan mengirimnya bersama surat jalan (dokumen pengiriman).

Bagian yang terkait yaitu bagian gudang dan bagian pengiriman.

Penagihan dan piutang usaha (billing and accounts receivable)

Dasar yang ketiga disini tentunya hanya berlaku bagi penjualan yang

bersifat kredit. Dimana bagian kredit melakukan penagihan ke para

pelanggan dengan membuat faktur penjualan. Selain melakukan

penagihan tentu saja harus memelihara data-data piutang usaha yang

dimiliki oleh organisasi atau perusahaan tersebut.

Menerima pembayaran / kas (cash collection)

Yang terakhir tentu saja setelah melakukan penagihan maka bagian kasir

akan menerima pembayaran baik dari penjualan kredit maupun

penjualan tunai

2. Siklus Pengeluaran

Siklus pengeluaran (expenditure cycle) adalah rangkaian kegiatan bisnis

dan operasional pemrosesan data terkait yang berhubungan dengan

pembelian serta pembayaran barang dan jasa (Romney & Steinbert, 2005).

Pada siklus ini terdapat 3 aktivitas dasar yaitu :

Memesan barang , persediaan, dan jasa

Aktivitas yang pertama adalah melakukan pesanan terhadap barang,

persediaan maupun jasa yang dibutuhkan oleh perusahaan. Dalam hal

ini kita perlu memperhatikan berapa jumlah yang akan dibeli dan kapan

akan digunakan agar bisa tersedia tepat waktu, selain itu perlu juga

untuk menentukan pemasok mana yang akan kita pesan. Bagian

pembelian disini harus membuat surat order pembelian (Purchase

Order)

Menerima dan menyimpan barang, persediaan, dan jasa

Aktivitas kedua dalam siklus pengeluaran adalah penerimaan dan

penyimpanan barang yang dipesan. Bagian penerimaan bertanggung

jawab untuk mengecek dan menerima kiriman dari para pemasok.

Dokumen yang dibuat dalam proses penerimaan barang adalah laporan

penerimaan barang adalah laporan penerimaan (receiving report).

Membayar untuk barang, persediaan, dan jasa

Aktivitas ketiga dalam siklus pengeluaran adalah menyetujui faktur

penjualan yang dibuat oleh pemasok. Bagian utang usaha menyetujui

faktur penjualan untuk dibayar dan kasir bertanggung jawab untuk

melakukan pembayaran.

3. Siklus Produksi

Siklus Produksi adalah rangkaian aktivitas bisnis dan operasi pemrosesan

data terkait yang terus terjadi yang berkaitan dengan pembuatan produk.

Aktivitas-aktivitas yang ada dalam siklus produksi yaitu :

Desain Produk

Kenapa harus dilakukan desain produk?

Karena desain produk ini bertujuan agar produk yang dihasilkan

nantinya laku dijual, memiliki kualitas yang bagus, intinya agar produk

yang dihasikan bisa menang bersaing dengan produk lainnya.

Perencanaan dan Penjadwalan

Perencanaan dan penjadwalan disini terkait dengan proses pembuatan

produk yang telah di desain. Selain itu juga termasuk perencanaan

perolehan bahan baku, disini ada 2 metode yaitu :

a) Metode Perencanaan Sumber Daya Produksi

Yaitu perusahaan menyiapkan gudang untuk menampung bahan

baku agar nantinya ketika akan melakukan produksi kita telah

memiliki bahan baku.

b) Metode Just In Time

Yaitu perusahaan tidak memiliki gudang penyimpanan bahan

baku karena bahan baku dipesan ketika ada pesanan penjualan

atau di pesan saat itu juga (just in time).

Operasi Produksi

Prosedur-prosedur yang dijalankan dalam rangka menghasilkan suatu

produk.

Akuntansi Biaya

Memproses semua informasi yang berkaitan dengan biaya-biaya

produksi termasuk biaya bahan baku, biaya tenaga kerja maupun biaya

overhead pabrik. Sehingga nantinya diharapkan mampu menghasilkan

biaya yang akurat.

4. Siklus Sumber Daya Manusia

Siklus SDM adalah aktivitas bisnis yang berulang dan operasi pemrosesan

data yang terkait dengan manajemen yang efektif atas tenaga kerja.

Aktivitas-aktivitas dalam siklus SDM yaitu :

Perekrutan dan kontrak kerja

Pelatihan

Penugasan pekerjaan

Kompensasi (Penggajian)

Evaluasi kinerja

Pemutusan hubungan kerja

5. Siklus Keuangan

Siklus ini mencakup kegiatan untuk mendapatkan laba dari investor dan

kreditor dan membayar mereka kembali. Siklus ini merupakan pelaporan

keuangan berupa prosedur pencatatan dan perekaman ke jurnal dan buku

besar dan pencetakan laporan-laporan keuangan yang datanya diambil dari

buku besar. Sistem aplikasi dalam siklus keuangan yaitu :

Sistem pemilikan.

Sistem catatan jurnal.

Sistem pelaporan keuangan

Batasan Aplikasi Siklus Keuangan

Siklus laporan keuangan ini menunjukkan pada kesatuan eksternal dengan

meringkas data akuntansi dan menunjukkannya dalam rekening keuangan.

Organisasi mengikut sertakan tiga bentuk transaksi capital:pinjaman

bank,pengeluaran obligasi, dan pengeluaran saham kapital. Catatan

akuntansi secara manual untuk capital eguiti adalah:buku besar wesel bayar,

buku besar pemilik surat obliigasi(pemegang obligasi), dan buku besar

pemilik saham.

Subsistem Aplikasi Siklus Keuangan Memproses dua kejadian ekonomi,

perolehan kapital dan penggunaan kapital untuk memperoleh pemilikan.

Subsistem aplikasi siklus keuangan yaitu :

sistem pemilikan.

sistem catatan jurnal.

Sistem pelaporan keuangan.

Jawablah Quiz minggu ini dengan baik dan benar :

Bagaimanakah mengidentifikasi major threat dalam aktivitas bisnis untuk

pengendalian internal dan bagaimana implementasinya pada perusahaan

saudara

Selamat menjawab Quiz...!

JAWABAN

Empat jenis ancaman yang dihadapi perusahaan, antara lain :

1. KEHANCURAN KARENA BENCANA ALAM DAN POLITIK

Salah satu ancaman yang dihadapi perusahaan adalah kehancuran karena

bencana alam dan politik, seperti kebakaran, panas yang berlebihan, banjir,

gempa bumi, badai angin, dan perang.

Bencana yang tidak bisa diprediksi dapat secara keseluruhan

menghancurkan sistem informasi dan menyebabkan kejatuhan sebuah

perusahaan. Ketika terjadi sebuah bencana, banyak perusahaan yang terkena

pengaruhnya pada saat yang bersamaan. Contohnya, banjir di Chicago

menghancurkan atau merusak 400 pusat pemrosesan data. Contoh-contoh

bencana jenis ini adalah sebagai berikut :

a. Dua serangan teroris pada World Trade Center di kota New York

dan serangan Gedung Federal di Oklahoma, menghancurkan atau

mengganggu sistem di gedung¬-gedung tersebut.

b. Pada tahun 1993, hujan deras menyebabkan Sungai Mississippi dan

Missouri meluap dan membanjiri delapan negara bagian. Banyak

organisasi kehilangan sistem komputer mereka, termasuk kota Des

Moines, Iowa, yang komputer¬-komputernya terendam di dalam air

setinggi 8 kaki.

c. Gempa bumi di Los Angeles menghancurkan banyak sekali sistem;

menyebabkan sistem lainnya rusak karena jatuhnya puing-puing, air

dari sistem penyemprot air (sprinkler systern), dan debu; serta

mengganggu jalur komunikasi. Perusahaan¬-perusahaan di San

Fransisco menderita nasib yang hampir sama beberapa tahun

sebelumnya.

d. Defense Science Board telah memprediksi bahwa pada tahun 2005

serangan pada sistem informasi oleh negara-negara asing, agen mata-

mata, dan teroris, akan tersebar luas.

2. KESALAHAN PADA SOFTWARE DAN TIDAK BERFUNGSINYA

PERALATAN

Ancaman kedua bagi perusahaan adalah kesalahan pada software dan tidak

berfungsinya peralatan, seperti kegagalan hardware, kesalahan atau terdapat

kerusakan pada software, kegagalan sistem operasi (operating system-OS),

gangguan dan fluktuasi listrik, serta kesalahan pengiriman data yang tidak

terdeteksi.

Contoh-contoh jenis ancaman ini adalah sebagai berikut:

a. Kerusakan pada sistem akuntansi perpajakan yang baru merupakan

penyebab kegagalan Kalifornia mengumpulkan pajak perusahaan

sebesar 5.535 juta.

b. Di Bank of New York, field yang dipergunakan untuk menghitung

jumlah transaksi terlalu kecil untuk menangani volume transaksi

pada hari yang sibuk. Kesalahan pada sistem mematikan sistem dan

membuat bank tersebut mengalami kerugian sebesar $23 juta ketika

mencoba untuk menutup bukunya. Bank tersebut akhirnya harus

meminjam uang dalam satu malam dengan biaya yang tinggi.

3. TINDAKAN TIDAK SENGAJA

Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja,

seperti kesalahan atau penghapusan karena ketidaktahuan atau karena

kecelakaan semata. Hal ini biasanya terjadi karena kesalahan manusia,

kegagalan untuk mengikuti prosedur yang telah ditetapkan, dan personil

yang tidak diawasi atau dilatih dengan baik.

Para pemakai sering kali kehilangan atau salah meletakkan data, dan secara

tidak sengaja menghapus atau mengubah file, data serta program. Para

operator komputer dan pemakai dapat memasukkan input yang salah atau

tidak andal, menggunakan versi program yang salah, menggunakan file data

yang salah, atau meletakkan file di tempat yang salah.

Analis dan programmer sistem membuat kesalahan pada logika sistem,

mengembangkan sistem yang tidak memenuhi kebutuhan perusahaan, atau

mengembangkan sistem yang tidak mampu menangani tugas yang

diberikan.

Contoh-contoh tentang ancaman ini adalah sebagai berikut:

a. Staf administrasi bagian entri data di Giant Food Inc., salah

memasukkan data dividen kuartal sebesar $2,50 sebagai ganti dari

$0,25. Sebagai hasilnya, perusahaan membayar lebih dari $10 juta

atas kelebihan jumlah dividen tersebut.

b. Seorang programmer bank salah menghitung bunga per bulan

dengan menggunakan satuan 31 hari. Selama 5 bulan sebelum

kesalahan tersebut ditemukan, lebih dari $100.000 kelebihan bunga

dibayarkan melalui tabungan.

4. TINDAKAN SENGAJA (KEJAHATAN KOMPUTER)

Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja,

yang biasanya disebut sebagai kejahatan komputer. Ancaman ini berbentuk

sabotase, yang tujuannya adalah menghancurkan sistem atau beberapa

komponennya.

Penipuan komputer adalah jenis kejahatan komputer lainnya, dengan tujuan

untuk mencuri benda berharga seperti uang, data, atau waktu/pelayanan

komputer. Penipuan ini juga dapat melibatkan pencurian, yaitu pencurian

atau ketidaklayakan penggunaan atas aset oleh pegawai, disertai dengan

pemalsuan catatan untuk menyembunyikan pencurian tersebut.

Contoh-contoh ancaman jenis ini adalah sebagai berikut:

a. Sebagai seorang penggemar teknologi, John Draper menemukan

bahwa tawaran hadiah sebagai pelapor di perusahaan sereal Cap’n

Crunch menduplikasi frekuensi jalur komunikasi WATS. Dia

menggunakan penemuannya tersebut untuk menipu perusahaan

telepori, dengan cara melakukan berbagai panggilan telepon tanpa

bayar.

b. Seorang manajer SIA di kantor koran di Florida bekerja untuk

perusahaan pesaing setelah dia dipecat dari tempatnya bekerja

tersebut. Pada waktu yang tidak lama, pihak pertama yang

mempekerjakan dirinya tersebut menyadari bahwa para reporternya

secara konstan telah direbut informasi beritanya. Perusahaan koran

tersebut akhirnya mengetahui bahwa manajer SIA tersebut masih

memiliki akun dan password aktif, serta masih secara teratur

melihat-lihat file-file komputer di perusahaan tersebut untuk

mendapatkan informasi mengenai cerita esklusif.

5. BEBERAPA ANCAMAN (THREATS) LAINNYA ADALAH :

a. Merekrut karyawan yang tidak kualified Hiring of unqualified

b. Pelanggaran hukum oleh karyawan (Violation of employment law)

c. Perubahan yang tidak diotorisasi opada file induk pembayaran

(master payroll file)

d. Ketidakakuratan data waktu (Inaccurate time data)

e. Ketidakakuratan proses pembayaran

f. Pencurian atau kecurangan pendistribusian pembayaran

g. Kehilangan atau tidak terotorisasi data pembayaran

h. Performansi jelek

PENYEBAB ANCAMAN SIA MENINGKAT, ADALAH :

1. Peningkatan jumlah sistem klien/server memiliki arti bahwa informasi

tersedia bagi para pekerja yang tidak baik.

2. Oleh karena LAN dan sistem klien/server mendistribusikan data ke banyak

pemakai, mereka lebih sulit dikendalikan daripada sistem komputer utama

yang terpusat.

3. WAN memberikan pelanggan dan pemasok akses ke sistem dan data

mereka satu sama lain, yang menimbulkan kekhawatiran dalam hal

kerahasiaan.

LINGKUNGAN PENGENDALIAN

Faktor-faktor pengendalian lingkungan terdiri dari :

1. Komitmen atas integritas dan nilai-nilai etika

2. Filosofi pihak manajemen dan gaya beroperasi

3. Struktur organisasional

4. Badan audit dewan komisaris

5. Metode untuk memberikan otoritas dan tanggung jawab

6. Kebijakan dan praktik-praktik dalam sumber daya manusia

7. Pengaruh-pengaruh eksternal

AKTIVITAS PENGENDALIAN

Aktivitas pengendalian bertujuan untuk mengarahkan karyawan agar karyawan

dapat bertindak sesuai dengan arahan manajer.

1. Aktivitas yang terkait dengan pelaporan keuangan. Meliputi: Perancangan

dokumen yang baik dan penggunaan dokumen bernomor urut tercetak;

Pemisahan tugas; Otorisasi atas transaksi; Pengamanan yang memadai; Cek

independen atas kinerja rekan sekerja; Penilaian (valuation) atas jumlah

yang mesti dicatat yang tepat

2. Aktivitas yang terkait dengan pemrosesan informasi, meliputi pengendalian

umum dan pengendalian aplikasi. Aktivitas ini membantu memastikan

reliabilitas dan integritas sistem informasi yang memproses informasi

keuangan maupun informasi non keuangan.

Aktivitas pengendalian yang lain yang relevan dengan pelaporan keuangan adalah

review atas kinerja, yang meliputi:

1. Membandingkan anggaran dan nilai aktual

2. Menganalisis kaitan antar data, melakukan investigasi dan tindakan korektif

3. Review atas kinerja fungsional atau area tertentu

TUJUAN PENGENDALIAN INTERNAL :

1. Efektivitas dan efisiensi operasi

2. Reliabilitas pelaporan keuangan

3. Kesesuaian dengan aturan dan regulasi yang berlaku

Proses Pengendalian Internal :

Proses Pengendalian Internal adalah sebuah proses yang dirancang untuk

memastikan bahwa tujuan-tujuan organisasi dapat dicapai, yaitu :

a. Pelaporan keuangan yang handal

b. Efektivitas dan efisiensi operasional organisasi

c. Dipatuhinya semua hukum dan peraturan-peraturan yang diterapkan.

Unsur-unsur dari pengendalian internal :

a. Penetapan risiko

b. Aktivitas pengendalian

c. Informasi dan komuniaksi

d. Monitoring/supervisi

e. Apakah terdapat pemisahan fungsi dan tugas pada bagian akuntansi?

f. Tidak ada perangkapan fungsi / tugas oleh satu individu atau satu

departemen.

g. Apakah dilaksanakan audit internal?

h. Audit internal sebagai aktivitas evaluasi secara independen dalam

organisasi.

Klasifikasi pengendalian internal

Prosedur-prosedur pengendalian khusus yang digunakan dalam sistem

pengendalian internal dan pengendalian manajemen mungkin dikelompokkan

menggunakan empat kelompok pengendalian internal berikut ini:

a. Pengendalian untuk Pencegahan, Pengendalian untuk Pemeriksaan,

dan Pengendalian Korektif

b. Pengendalian umum dan Pengendalian aplikasi

c. Pengendalian Administrasi dan Pengendalian Akuntansi

d. Pengendalian Input, proses, dan output

STRUKTUR PENGENDALIAN INTERNAL

1. Struktur pengendalian internal menurut COSO

2. Lingkungan Pengendalian Internal

3. Penaksiran Risiko

4. Aktivitas Pengendalian

5. Informasi dan Komunikasi

6. Monitoring

LINGKUNGAN PENGENDALIAN INTERNAL

Lingkungan pengendalian internal merefleksikan seluruh sikap dan kesadaran

dewan direksi, komite audit, manager, pemilik, dan karyawan mengenai pentingnya

pengendalian internal sebuah perusahaan. Lingkungan pengendalian merupakan

dasar dari seluruh komponen pengendalian internal yang lain.

Lingkungan pengendalian meliputi:

1. Filosofi manajemen dan gaya operasi. Manajer perlu menjadi contoh

perilaku etis dengan mentaati kode etik perusahaan. Manajer perlu

menyusun kode etik secara formal. Manajer mesti menekankan pentingnya

pengendalian internal dan memperlakukan setiap personel dengan wajar

dengan dengan penuh respek

2. Integritas dan nilai-nilai etika. Perilaku etis dan tidak etis manajer dan

seluruh karyawan akan berdampak besar terhadap keseluruhan struktur

pengendalian internal, menciptakan suasana yang secara signifikan

mempengaruhi validitas proses pelaporan keuangan. Manajemen mesti

secara proaktif memastikan bahwa semua karyawan benar-benar sadar

dengan standard etika perusahaan. Manajemen juga mesti membuat

kebijakan yang mendukung karyawan untuk mencapai tujuan jangka

panjang dan bukan tujuan jangka pendek.

3. Komitmen terhadap kompetensi. Perusahaan mesti merekrut karyawan yang

kompenen dan dapat dipercaya yang memiliki inisiatif dan kreativitas untuk

bereaksi secara cepat terhadap kondisi bisnis yang dinamis. Perusahaan

mesti memilih personil yang memiliki pengetahuan dan ketrampilan yang

memadai untuk menyelesaikan setiap tanggung jawab yang diberikan

kepada karyawan tersebut.

4. Dewan direksi atau komite audit. Dewan direksi semestinya menunjuk

komite audit untuk mengawasi praktik dan kebijakan akuntansi dan

pelaporan keuangan perusahaan. Komite audit merupakan perantara antara

dewan direksi dan auditor internal/eksternal.

5. Struktur organisasi. Struktur organisasi merupakan rerangka hubungan

formal antar personil perusahaan untuk mencapai tujuan organsisasi.

6. Pemberian wewenang dan tanggung jawab. Perusahaan mesti memiliki

deskripsi pekerjaan untuk setiap karyawan. Pendelegasian wewenang dan

tanggung jawab mesti dilakukan dengan baik. Perubahan terhadap sistem

informasi mesti dilakukan melalui persetujuan tertulis.

7. Kebijakan dan praktik sumber daya manusia. Setiap karyawan baru mesti

dikenalkan dengan pengendalian internal, kebijakan etika dan kode etik

perusahaan. Perusahaan mesti perduli dengan undang-undang dan peraturan

ketenagakerjaan yang ditetapkan oleh pemerintah. Perusahaan mesti

memastikan terwujudnya lingkungan kerja yang aman dan sehat.

Perusahaan dapat menyelenggarakan sarana konseling untuk karyawan

yang bermasalah. Perusahaan punya prosedur yang baik untuk karyawan

yang berhenti bekerja

8. Penilaian Resiko

Perusahaan menghadapi jenis-jenis ancaman berikut ini :

a. strategis — melakukan hal yang salah

b. Operasional ── melakukan hal yang benar, tetapi dengan cara yang

salah

c. Keuangan — adanya kerugian sumber daya keuangan, pemborosan,

pencurian atau pembuatan kewajiban yang tidak tepat

d. informasi — menerima informasi yang salah atau tidak relevan,

sistem yang tidak andal, dan laporan yang tidak benar atau

menyesatkan

Perusahaan yang menerapkan sistem EDI harus mengidentifikasi ancaman-

ancaman yang akan dihadapi oleh sistem tersebut, yaitu :

a. Pemilihan teknologi yang tidak sesuai

b. Akses sistem yang tidak diotorisasi

c. Penyadapan transmisi data

d. Hilangnya integritas data

e. Transaksi yang tidak lengkap

f. Kegagalan sistem

g. Sistem yang tidak kompatibel

Beberapa ancaman menunjukkan resiko yang lebih besar karena

probabilitas kemunculannya lebih besar, misalnya :

a. Perusahaan lebih mungkin menjadi korban penipuan komputer

daripada serangan teroris

b. Resiko dan penyingkapan harus diperhitungkan bersama-sama

PENAKSIRAN RISIKO

Manajemen mesti mengidentifikasi dan menaksir risiko yang relevan yang dapat

mencegah perusahaan mencapai tujuan organisasi. Manajer juga mesti menyusun

rencana untuk mengelola risiko yang telah diidentifikasi.

1. Mengidentifikasi risiko internal yang signifikan.

2. Mengidentifikasi risiko eksternal yang signifikan.

3. Menyusun analisis risiko.

4. Manajemen risiko yang relevan.

MONITORING

Tujuan monitoring adalah menaksir kualitas struktur pengendalian internal dari

waktu ke waktu melalui aktivitas monitoring. Contoh aktivitas monitoring:

supervisi atas aktivitas karyawan dari hari ke hari dan audit atas catatan akuntansi.

PAPARAN RISIKO

Setiap perusahaan menghadapi paparan risiko. Paparan risiko dapat berasal dari

pihak internal maupun eksternal perusahaan, seperti dari karyawan, konsumen,

hacker, pelaku criminal dan bencana alam.

Tipe resiko :

a. kesalahan yang tidak disengaja

b. kesalahan yang disengaja

c. pencurian aktiva

d. menjebol keamanan perusahaan

e. tindak kekerasan dan bencana alam

Paparan terhadap risiko dipengaruhi oleh :

a. Frekuensi kejadian. Contoh: penjualan.

b. Kerentanan sebuah aktiva. Contoh kas sangat rentan.

c. Besarnya nilai rupiah.

Masalah yang memperbesar paparan risiko yang dihadapi perusahaan:

a. Kolusi

b. Kurangnya penegakan disiplin

c. Kejahatan komputer

Contoh kejahatan komputer:

a. Pencurian hardware dan software

b. penggunaan komputer tanpa otorisasi untuk kepentingan personal

c. modifikasi atau penggunaan program untuk melakukan kejahatan

Komputer rentan terhadap tindak kejahatan karena :

a. Komputer mengakibatkan pemusatan data dan pemrosesan data

b. jejak audit dalam lingkungan SIA tidak sejelas dalam lingkungan manual

c. Komputer powerful tetapi kompleks dan rentan

Sebagai akibat dari masalah-masalah tersebut diatas, pengendalian keamanan dan

integritas sistem komputer menjadi isu yang penting. Kebanyakan manajer S1A

menunjukkan bahwa risiko pengendalian telah meningkat dalam tahun-tahun

belakangan ini.

Contohnya, penelitian telah menunjukkan bahwa lebih dari 60 persen organisasi

telah mengalami kegagalan besar dalam pengendalian di tahun-tahun belakangan

ini. Beberapa alasan atas peningkatan masalah keamanan adalah sebagai berikut:

a. Peningkatan jumlah sistem klien/server (client/server system) memiliki arti

bahwa informasi tersedia bagi para pekerja yang tidak baik. Komputer dan

server tersedia di mana-mana terdapat PC di sebagian besar desktop, dan

komputer laptop tersedia di tempat umum. Chevron Texaco, contohnya,

memiliki lebih dari 35.000 PC.

b. Oleh karena LAN dan sistem klien/server mendistribusikan data ke banyak

pemakai, mereka lebih sulit dikendalikan daripada sistem komputer utama

yang terpusat. Di Chevron Texaco, informasi didistribusikan di antara

sistem dan ribuan pegawai yang bekerja di tempat lokal dan jarak jauh,

seperti juga secara nasional dan internasional.

c. WAN memberikan pelanggan dan pemasok akses ke sistem dan data

mereka satu sama lain, yang menimbulkan kekhawatiran dalam hal

kerahasiaan. Contohnya, Wal-Mart mengizinkan beberapa vendor tertentu

untuk mengakses informasi khusus di komputernya, sebagai salah satu

persyaratan dalam persekutuan mereka. Bayangkan potensi masalah

kerahasiaan apabila vendor-vendor tersebut juga membentuk persekutuan

dengan para pesaing Wal-Mart, seperti Kmart dan Target.

Sayangnya, banyak organisasi yang tidak secara memadai melindungi data mereka

karena satu atau beberapa alasan berikut ini:

a. Masalah pengendalian komputer sering kali diremehkan dan dianggap

minor. Perusahaan melihat hilangnya informasi yang penting, sebagai

ancaman yang tidak mungkin terjadi. Contohnya, kurang dari 25 persen dari

1.250 partisipan dalam penelitian Ernts & Young berpikir bahwa keamanan

komputer adalah isu yang sangat penting. Gambaran tersebut menurun dari

angka sekitar 35 persen, berdasarkan survei tahun sebelumnya.

b. Implikasi-implikasi pengendalian untuk berpindah dari sistem komputer

yang tersentralisasi dan terpusat dari masa lampau, ke sistem jaringan atau

sistem berdasarkan Internet, tidak benar-benar dipahami.

c. Banyak perusahaan yang tidak menyadari bahwa keamanan data adalah hal

yang penting untuk kelangsungan hidup perusahaan mereka. Informasi

adalah sumber daya strategis, dan perlindungan atas informasi harus

merupakan persyaratan strategis. Contohnya,-suatu perusahaan kehilangan

jutaan dolar selama periode beberapa tahun, karena perusahaan tidak

melindungi transmisi datanya. Salah satu pesaing menyadap saluran

teleponnya dan mendapatkan faks yang berisi desain produk baru yang

dikirim ke pabrik di luar negeri.

d. Tekanan atas produktivitas dan biaya membuat pihak manajemen melepas

ukuran¬-ukuran pengendalian yang memakan waktu.

Banyak CIO yang memperkuat dirinya dari hal-hal yang dapat merupakan banjir

tuntutan pertanggung¬jawaban, akibat pelanggaran keamanan informasi. Apabila

hal ini terjadi, perusahaan bukan hanya membayar kerusakan apa pun yang diderita

dari pelanggaran tersebut, tetapi perusahaan juga dianggap bertanggung jawab atas

kerusakan yang diderita pelanggan.

Contohnya, pada bulan Agustus 2001, setelah melawan Code Red Worm, Qwest

berhadapan dengan perlawanan lain, yaitu melawan kantor jaksa penuntut umum.

Setelah virus tersebut membuat beberapa pelanggan Qwest mendapat gangguan

jangkauan DSL selama 10 hari, 15 hingga 20 pelanggan mengadu ke jaksa penuntut

umum. Walaupun Qwest bersikeras bahwa perusahaan tidak bertanggung jawab

atas serangan yang dilakukan oleh orang lain, jaksa pen untut umum meminta

perusahaan tersebut untuk mengganti rugi para pelanggannya. Dalam waktu singkat

para hakim dan juri akan diputuskan, apabila perusahaan secara hukum dianggap

bertanggung jawab atas keamanan yang tidak memadai.

Walaupun tidak ada tuntutan hukum sebelumnya, para pejabat perusahaan dapat

secara individual bertanggung jawab atas pelanggaran keamanan. Dalam usaha

untuk melindungi infra¬struktur teknologi informasi Amerika, pemerintah mulai

membuat peraturan yang diharapkan dapat mengurangi bahaya tuntutan tertentu.

Akan tetapi, perusahaan akan tetap harus meningkatkan keamanan dan tetap siaga

apabila mereka ingin menghindari pengabulan tuntutan.

Sarah D. Scalet dalam sebuah artikel di CIO, menawarkan tips-tips berikut ini untuk

menghindari pengabulan tuntutan:

a. “Buat dan implementasikan kebijakan keamanan dalam perusahaan.”

Kembangkan kebijakan yang jelas mengenai cara bagaimana perusahaan

menjaga data, dan pastikanbahwa kebijakan tersebut didokumentasikan

dengan baik.

b. “Lakukan audit keamanan.” Pastikan bahwa perusahaan telah mengikuti

kebijakan keamanan informasinya dengan cara mempekerjakan pihak

ketiga untuk meng¬ujinya. Mempekerjakan pihak ketiga dan pihak yang

objektif untuk meninjau keamanan informasi perusahaan, dapat membantu

memperbaiki hal yang selama ini dicari oleh perusahaan, yaitu untuk tetap

jauh dari potensi risiko keamanan.

c. “Mempertimbangkan keamanan dalam kontrak.” Ketika melakukan

outsourcing, perusahaan harus memastikan bahwa perusahaan lain telah

memiliki dan mengikuti prosedur keamanan yang memadai.

d. “Jangan membuat janji yang tidak dapat Anda tepati.” Perusahaan

seharusnya jangan pernah menjanjikan keamanan yang tidak pernah gagal,

selain dari ukuran-ukuran keamanan yang wajar. Membuat janji besar dapat

menyeret Anda ke risiko tuntutan pelanggaran kontrak. “Perhatikan

peraturan-peraturan yang mempengaruhi industri perusahaan Anda.

“Beberapa negara kadang kala memiliki peraturan mengenai perlindungan

atas informasi pelanggan. Pastikan bahwa perusahaan mengetahui peraturan

di negara¬-negara tempat perusahaan menjalankan bisnisnya.

e. Pertimbangkan untuk membeli asuransi e-commerce. “Asuransi maya

melindungi dari risiko on-line yang tidak dilindungi oleh asuransi dasar

bisnis. Asuransi maya meliputi kejadian seperti serangan yang

menyebabkan pengingkaran pelayanan, kode-kode salah yang

menyesatkan, dan isi web yang tidak layak. “Perhatikan hal-hal yang

dilaksanakan oleh perusahaan yang hampir sama dengan perusahaan Anda.

“Tetaplah mencari tahu apa yang dilaksanakan perusahaan lain agar Anda

dapat membuktikan bahwa Anda melakukan usaha sebanyak dengan yang

dilakukan orang ¬lain, dalam hal keamanan.

Untungnya, perusahaan-perusahaan kini menyadari masalah-masalah tersebut dan

mengambil langkah positif untuk meningkatkan pengendalian dan keamanan

komputer.

Contohnya, mereka menjadi proaktif dalam pendekatan mereka. Mereka kini

menyediakan pegawai tetap untuk menangani masalah pengendalian dan

keamanan, serta mendidik para pegawai mereka mengenai ukuran-ukuran

pengendalian.

Banyak perusahaan yang membuat dan menerapkan kebijakan keamanan informasi

secara formal. Mereka membuat pengendalian sebagai bagian dari proses

pengembangan aplikasi, dan memindahkan data yang sensitif keluar dari sistem

klien/server yang tidak aman ke lingkungan yang lebih aman, seperti komputer

utama (mainframe).

Sebagai seorang akuntan, Anda harus memahami bagaimana cara melindungi

system-sistem dari ancaman-ancaman yang mereka hadapi. Anda juga harus

memiliki pemahaman yang baik mengenai teknologi informasi, dan kemampuan

serta risiko¬-risikonya. Pengetahuan ini dapat membantu Anda untuk

menggunakan teknologi informasi dalam rangka mencapai tujuan pengendalian

perusahaan.

Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi

suatu organisasi seharusnya merupakan prioritas utama manajemen puncak.

Walaupun tujuan pengendalian internal tetap sama apa pun metode pemrosesan

datanya, SIA yang berdasarkan komputer membutuhkan kebijakan dan prosedur

pengendalian internal yang berbeda.

Contohnya, walaupun pemrosesan secara komputer mengurangi potensi kesalahan

administrasi, proses ini dapat meningkatkan risiko adanya akses ke file atau

perubahan file data, yang tidak memiliki otorisasi. Sebagai tambahan, memisahkan

fungsi otorisasi, pencatatan, dan penjagaan aset dalam SIA harus dicapai dalam cara

yang berbeda, karena program computer bias jadi bertanggungjawab atas satu atau

lebih atas fungsi-fungsi tersebut. Untungnya, komputer juga memberikan

kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya.

Membantu manajemen dalam mengendalikan organisasi bisnisnya adalah tujuan

utama SIA. Akuntan dapat membantu mencapai tujuan ini dengan cara mendesain

sistem pengendalian yang efektif dan melaksanakan audit (atau peninjauan) atas

sistem pengendalian yang telah ada, untuk memastikan keefektivitasan mereka.

Potensi adanya kejadian atau kegiatan yang tidak diharapkan yang dapat

membahayakan baik SIA maupun organisasi, disebut sebagai ancaman (threat).

Potensi kerugian dalam bentuk uang yang terjadi apabila sebuah ancaman benar-

benar terjadi, disebut sebagai pajanan/dampak (exposure) ancaman, sedangkan

kemungkinan terjadinya ancaman disebut sebagai risiko yang berhubungan dengan

ancaman.

Pihak manajemen berharap akuntan dapat menjadi konsultan pengendalian. Dengan

kata lain, akuntan harus (1) mengambil pendekatan proaktif untuk menghilangkan

ancaman terhadap sistem, dan (2) mendeteksi, memperbaiki, dan memuiihkan

perusahaan dari ancaman apabila suatu ancaman terjadi.

Merupakan hal yang penting untuk diketahui bahwa lebih mudah mengembangkan

pengendalian pada tahap awal desain, daripada menambahkannya setelah terjadi

suatu ancaman. Berdasarkan alasan ini, akuntan dan para ahli pengendalian lainnya

harus menjadi anggota yang lebih penting dalam tim yang mengembangkan atau

mengubah sistem informasi.

Pengendalian internal (internal control) adalah rencana organisasi dan metode

bisnis yang dipergunakan untuk menjaga aset, memberikan informasi yang akurat

dan andal, mendorong dan memperbaiki efisiensi jalannya organisasi, serta

mendorong kesesuaian dengan kebijakan yang telah ditetapkan.

Tujuan-tujuan pengendalian internal ini kadangkala bertentangan satu sama lain.

Contohnya, banyak orang menekankan pada perekayasaan proses bisnis yang

radikal agar mereka bisa mendapat inforniasi yang lebih baik dan cepat, serta untuk

memperbaiki efisiensi operasional.

Pihak lainnya menolak perubahan tersebut karena perubahan mengganggu

penjagaan atas aset perusahaan dan membutuhkan perubahan yang signifikan dalam

kebijakan manajerial.

Berdasarkan COSO, pengendalian internal adalah proses karena hal tersebut

menembus kegiatan operasional organisasi dan merupakan bagian integral-dari

kegiatan manajemen dasar.

Pengendalian internal memberikan jaminan yang wajar, bukan yang absolut, karena

kemungkinan kesalahan manusia, kolusi, dan penolakan manajemen atas

pengendalian, membuat proses ini menjadi tidak sempurna.

COSO menyajikan langkah yang signifikan atas definisi pengendalian internal yang

dahulu terbatas pada pengendalian akuntansi, menjadi pengendalian yang

menangani tujuan yang luas dari para dewan komisaris dan pihak manajemen.

COSO menyajikan langkah yang signifikan atas definisi pengendalian internal yang

dahulu terbatas pada pengendalian akuntansi, menjadi pengendalian yang

menangani tujuan yang luas dari para dewan komisaris dan pihak manajemen.

COSO menentukan 5(lima) komponen Pengendalian Internal yang saling

berhubungan, kelima komponen itu adalah:

Lingkungan pengendalian

Aktivitas pengendalian

Penilaian risiko

Informasi dan komunikasi

Pengawasan