Bab 7: Pengendalian Dan Sistem Informasi Akuntansi
MENGAPA ANCAMAN TERHADAP SISTEM INFORMASI AKUNTANSI MENINGKAT
Lebih dari 60% organisasi mengalami kegagalan utama dalam mengendalikan keamanan dan integritas sistem komputer. Alasan untuk kegagalan tersebut meliputi:
- Informasi tersedia untuk sejumlah pekerja yang tidak pernah ada. Sebagai contoh, Chevron memiliki 35.000 PC.
- Informasi pada jaringan komputer distribusi sulit dikendalikan.
- Pelanggan serta pemasok memiliki akses ke sistem dan data satu sama lain.
Organisasi belum melindungi data dengan baik karena:
- Beberapa perusahaan memandang kehilangan atas informasi penting sebagai sebuah ancaman yang tidak mungkin terjadi.
- Implikasi pengendalian atas pemindahan dari sistem komputer tersentralisasi ke sistem berbasis internet tidak sepenuhnya dipahami.
- Banyak perusahaan tidak menyadari bahwa informasi adalah sebuah sumber daya strategi dan melindungi informasi harus menjadi sebuah ketentuan strategis.
- Produktivitas dan penekanan biaya memotivasi manajemen untuk mengabaikan ukuran-ukuran pengendalian yang memakan waktu.
Ancaman/kejadian (threat/event): segala potensi kejadian yang merugikan atau kejadian tidak diinginkan yang dapat merusak SIA atau organisasi.
Paparan/dampak (exposure/impact): kerugian uang yang potensial dari sebuah ancaman tertentu yang akan menjadi kenyataan.
Kemungkinan (likelihood): probabilitas bahwa suatu ancaman akan terjadi.
IKHTISAR KONSEP PENGENDALIAN
Pengendalian internal (internal control): proses dan prosedur yang dijalankan untuk menyediakan jaminan memadai bahwa tujuan pengendalian dipenuhi. Tujuan-tujuan tersebut sebagai berikut:
- Mengamankan aset - mencegah atau mendeteksi perolehan, penggunaan, atau penempatan yang tidak sah.
- Mengelola catatan dengan detail yang baik untuk melaporkan aset perusahaan secara akurat dan wajar.
- Memberikan informasi yang akurat dan reliabel.
- Menyiapkan laporan keuangan yang sesuai dengan kriteria yang telah ditetapkan.
- Mendorong dan memperbaiki efisiensi operasional.
- Mendorong ketaatan terhadap kebijakan manajerial yang telah ditentukan.
- Mematuhi hukum dan peraturan yang berlaku.
Pengendalian internal menjalankan tiga fungsi penting sebagai berikut:
- Pengendalian preventif (preventive control): pengendalian yang mencegah masalah sebelum timbul. Contoh: merekrut personel berkualifikasi, memisahkan tugas pegawai, dan mengendalian akses fisik atas aset dan informasi.
- Pengendalian detektif (detective control): pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak terelakkan. Contoh: menduplikasi pengecekan kalkulasi dan menyiapkan rekonsiliasi bank serta neraca saldo tahunan.
- Pengendalian korektif (corrective control): pengendalian yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang dihasilkan. Contoh: menjaga salinan backup pada file, perbaikan kesalahan entri data, dan pengumpulan ulang transaksi-transaksi untuk pemrosesan selanjutnya.
Pengendalian internal sering kali dipisahkan dalam dua kategori sebagai berikut:
- Pengendalian umum (deneral control): pengendalian yang didesain untuk memastikan sistem informasi organisasi serta pengendalian lingkungan stabil dan dikelola dengan baik. Contoh: keamanan; infrastruktur TI; dan pengendalian pembelian perangkat lunak, pengembanagan, dan pemeliharaan.
- Pengendalian aplikasi (application control): pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi. Pengendalian ini fokus terhadap ketepatan, kelengkapan, validitas, serta otorisasi data yang didapat, dimasukkan, diproses, disimpan, ditransmisikan ke sistem lain, dan dilaporkan.
Robert Simons, seorang profesor bisnis Harvard, telah menganut empat kaitan pengendalian untuk membantu manajemen menyelesaikan konflik di antara kreativitas dan pengendalian.
- Sistem kepercayaan (belief system): sistem yang menjelaskan cara sebuah perusahaan menciptakan nilai, membantu pegawai memahami visi perusahaan, mengomunikasikan nilai-nilai dasar perusahaan, dan menginspirasi pegawai untuk bekerja berdasarkan nilai-nilai tersebut.
- Sistem batas (boundary system): sistem yang membantu pegawai bertindak secara etis dengan membangun batas pada perilaku kepegawaian.
- Sistem pengendalian diagnostik (diagnostic control system): sistem yang mengukur, mengawasi, dan membandingkan perkembangan perusahaan aktual dengan anggaran dan tujuan kinerja.
- Sistem pengendalian interaktif (interactive control system): sistem yang membantu manajer untuk memfokuskan perhatian bawahan pada isu-isu strategis utama dan lebih terlibat di dalam keputusan mereka.
PRAKTIK KORUPSI ASING DAN SARBANES-OXLEY ACTS
Foreign Corrupt Practices Act (FCPA): undang-undang yang dikeluarkan untuk mencegah perusahaan menyuap pejabat asing agar mendapatkan bisnis; juga mengharuskan semua perusahaan milik publik untuk memelihara sebuah sistem pengendalian akuntansi internal.
Sarbanes-Oxley Act (SOX): undang-undang yang dimaksudkan untuk mencegah kejahatan laporan keuangan, membuat laporan keuangan lebih transparan, memberikan perlindungan pada investor, memperkuat pengendalian internal pada perusahaan publik, dan menghukum eksekutif yang melakukan kejahatan. Berikut beberapa aspek terpenting SOX:
- Public Company Accounting Oversight Board (PCAOB): dewan yang dibuat oleh SOX yang mengatur profesi pengauditan; dibuat sebagai bagian dari SOX.
- Aturan-aturan baru bagi para auditor.
- Peran baru bagi komite audit.
- Aturan baru bagi manajemen.
- Ketentuan baru pengendalian internal.
Setelah SOX dikeluarkan, Securities and Exchange Comission (SEC) memerintahkan bahwa manajemen haru:
- mendasarkan evaluasinya pada sebuah kerangka pengendalian yang berlaku.
- mengungkapkan semua kelemahan pengendalian internal material.
- menyimpulkan bahwa sebuah perusahaan tidak memiliki pengendalian internal pelaporan keuangan yang efektif jika terdapat kelemahan material.
KERANGKA PENGENDALIAN
Pada pembahasan ini, ada tiga kerangka yang digunakan untuk mengembangkan sistem pengendalian internal.
KERANGKA COBIT
Control Objective for Information and Related Technology (COBIT): sebuah kerangka keamanan dan pengendalian yang memungkinkan 1) manajemen untuk membuat tolok ukur praktik-praktik keamanan dan pengendalian lingkungan TI; 2) para pengguna layanan TI dijamin dengan adanya keamanan dan pengendalian yang memadai; 3) para auditor memperkuat opini pengendalian internal dan mempertimbangkan masalah keamanan TI dan pengendalian yang dilakukan.
Beberapa prinsip yang memungkinkan dalam membantu organisasi membangun sebuah tata kelola yang efektif dan kerangka manajemen yang melindungi investasi pemangku kepentingan dan menghasilkan sistem informasi terbaik:
- memenuhi keperluan pemangku kepentingan.
- mencakup perusahaan dari ujung ke ujung.
- mengajukan sebuah kerangka terintegrasi dan tunggal.
- memungkinkan pendekatan holistik.
- memisahkan tata kelola dari manajemen. Tata kelola menciptakan nilai dengan mengoptimalkan penggunaan sumber daya organisasi untuk menghasilkan manfaat yang diinginkan dengan cara yang secara efektif mengatasi risiko.
COBIT 5: sebuah kerangka komprehensif yang membantu perusahaan mencapai tujuan tata kelola dan manajemen TI.
Model COBIT 5 tentang referensi proses mengidentifikasi lima proses tata kelola (merujuk pada mengevaluasi, mengarahkan, mengawasi- evaluate, direct, dan monitor atau EDM) dan 32 proses manajemen. Tiga puluh dua proses manajemen dibagi ke dalam empat domain sebagai berikut:
- menyelaraskan, merencanakan, dan mengatur (align, plan, dan organize - APO)
- membangun, mengakuisisi, menerapkan (build, acquire, dan implement - BAI)
- mengantar, melayani, mendukung (deliver, service, dan support - DSS)
- mengawasi, mengevaluasi, menilai (monitor, evaluate, dan assess - MEA)
KERANGKA PENGENDALIAN INTERNAL COSO
Committee of Sponsoring Organizations (COSO): sebuah kelompok sektor swasta yang terdiri atas Asosiasi Akuntansi Amerika (American Accounting Association), AICPA, Ikatan Auditor Internal(Institute of Management Accountans), dan Ikatan Eksekutif Keuangan (Financial Executives Institute).
Pengendalian Internal (Internal Control)-Kerangka Terintegrasi-IC: sebuah kerangka COSO yang menjelaskan pengendalian internal dan memberikan panduan untuk mengevaluasi dan meningkatkan sistem pengendalian internal.
KERANGKA MANAJEMEN RISIKO PERUSAHAAN COSO
Manajemen Risiko Perusahaan (Enterprise Risk Management)-Kerangka Terintegrasi(Integrated Framework)-ERM: sebuah kerangka COSO yang memperbaiki proses manajemen risiko dengan memperluan (menambahkan tiga elemen tambahan) Pengendalian Internal COSO-Terintegrasi. Prinsip-prinsip dasar dibalik ERM:
- perusahaan dibentuk untuk menciptakan nilai bagi para pemiliknya.
- manajemen harus memutuskan seberapa banyak ketidakpastian yang akan ia terima saat menciptakan nilai.
- ketidakpastian menghasilkan risiko, yang merupakan kemungkinan bahwa sesuatu secara negatif memengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan nilai.
- ketidakpastian menghasilkan peluang, yang merupakan kemungkinan bahwa sesuatu secara postifi memengaruhi kemampuan perusahaan untuk menghasilkan atau mempertahankan nilai.
- kerangka ERM dapat mengelola ketidakpastian serta menciptakan dan mempertahankan nilai.
KERANGKA MANAJEMEN RISIKO PERUSAHAAN VERSUS KERANGKA PENGENDALIAN
Kerangka IC telah mengadopsi secara luas sebagai cara untuk mengevaluasi pengendalian internal, seperti yang ditentukan oleh SOX. Kerangka ERM yang lebih komprehensif menggunakan pendekatan berbasis risiko daripada berbasis pengendalian. ERM menambah tiga elemen tambahan ke kerangka IC COSO: penetapan tujuan, pengidentifikasian kejadian yang mungkin memengaruhi perusahaan, dan pengembangan sebuah respons utuk risiko yang dinilai. Hasilnya, pengendalian bersifat fleksibel dan relevan karena mereka ditautkan dengan tujuan organisasi terkini. Model ERM juga mengakui bahwa risiko, selain dikendalikan, dapat pula diterima, dihindari, dibuat berjenis-jenis, dibagi, atau ditransfer.
LINGKUNGAN INTERNAL
Lingkungan internal (internal environment): budaya perusahaan yang merupakan fondasi dari seluruh elemen ERM lainnya karena ini memengaruhi cara organisasi menetapkan strategi dan tujuannya; membuat struktur aktivitas; dan mengidentifikasi, menilai, serta merespons risiko. Sebuah lingkungan internal mencakup:
- filosofi manajemen, gaya pengoperasian, dan selera risiko.
- komitmen terhadap integritas, nilai-nilai etis, dan kompentensi.
- pengawasan pengendalian internal oleh dewan direksi.
- struktur organisasi.
- metode penetapan wewenang dan tanggung jawab.
- standar-standar sumber daya manusia yang menarik, mengembangkan, dan mempertahankan individu yang kompeten.
- pengaruh eksternal.
FILOSOFI MANAJEMEN, GAYA PENGOPERASIAN, DAN SELERA RISIKO
Selera risiko (risk appetite): jumlah risiko yang sebuah perusahaan ingin terima untuk mencapai tujuan dan tujuannya. Untuk menghindari risiko yang tidak semestinya, selera risiko harus selaras dengan strategi perusahaan.
KOMITMEN TERHADAP INTEGRITAS, NILAI ETIS, DAN KOMPETENSI
Perusahaan mendukung integritas dengan:
- mengajarkan dan mensyaratkannya secara aktif.
- menghindari pengharapan atau insentif yang tidak realistis.
- memberikan penghargaan atas kejujuran serta memberikan label verbal pada perilaku jujur dan tidak jujur secara konsisten.
- mengembangkan sebuah kode etik tertulis yang menjelaskan secara eksplisit perilaku-perilaku jujur dan tidak jujur.
- mewajibkan pegawai untuk melaporkan tindakan tidak jujur atau ilegal dan mendisiplinkan pegawai yang diketahui tidak melaporkannya.
- membuat sebuah komitmen untuk kompetensi.
PENGAWASAN PENGENDALIAN INTERNAL OLEH DEWAN DIREKSI
Komite audit (audit committee): sejumlah anggota dewan direksi yang berasal dari luar dan independen yang bertanggung jawab untuk pelaporan keuangan, kepatuhan terhadap peraturan, pengendalian internal, serta perekrutan dan pengawasan auditor internal dan eksternal.
STRUKTUR ORGANISASI
Aspek-apek penting dari struktur organisasi menyertakan hal-hal berikut:
- sentralisasi atau desentralisasi wewenang.
- hubungan pengarahan atau matriks pelaporan.
- organisasi berdasarkan industri, lini produk, lokasi, atau jaringan pemasaran.
- bagaimana alokasi tanggung jawab memengaruhi ketentuan informasi.
- organisasi dan garis wewenang untuk akuntansi, pengauditan, dan fungsi sistem informasi.
- ukuran dan jenis aktivitas perusahaan.
METODE PENETAPAN WEWENANG DAN TANGGUNG JAWAB
Kebijakan dan prosedur manual (policy and procedures manual): sebuah dokumen yang menjelaskan praktik bisnis yang sesuai, mendeskripsikan pengetahuan dan pengalaman yang dibutuhkan, menjelaskan cara menangani transaksi serta mendata sumber daya yang tersedia untuk melaksanakan tugas-tugas tertentu.
STANDAR SUMBER DAYA MANUSIA YANG MENARIK, MENGEMBANGKAN, DAN MEMPERTAHANKAN INDIVIDU YANG KOMPETEN
Kekuatan pengendalian terbesar adalah kejujuran pegawai; dan salah satu kelemahan pengendalian terbesar adalah ketidakjujuran pegawai. Adanya kebijakan dan praktik-praktik yang mengatur kondisi kerja, insentif pekerjaan, dan kemajuan karier dapat menjadi kekuatan untuk mendorong kejujuran, efisiensi, dan layanan yang loyal.
PEREKRUTAN
Pengecekan latar belakang (background check): sebuah investigasi para pegawai atau calon pegawai yang memasukkan verifikasi pendidikan dan pengalaman kerja mereka, berbicara berdasarkan referensi, pengecekan catatan kriminal atau masalah kredit, dan pemeriksaan informasi lain yang tersedia secara publik.
MENGOMPENSASI, MENGEVALUASI, DAN MEMPROMOSIKAN
Pembayaran yang wajar dan insentif bonus yang sesuai membantu memotivasi dan memperkuat kinerja pegawai yang hebat. Para pegawai seharusnya diberi penilaian kinerja periodik untuk membantu mereka memahami kekuatan dan kelemahan mereka.
PELATIHAN
Pelatihan mengajarkan pegawai baru akan tanggung jawab mereka.
PENGELOLAAN PARA PEGAWAI YANG TIDAK PUAS
Perusahaan membutuhkan prosedur untuk mengidentifikasi pegawai yang tidak puas dan membantu mereka mengatasi perasaan itu untuk memindahkan mereka dari pekerjaan yang sensitif.
PEMBERHENTIAN
Pegawai yang diberhentikan harus segera dipindahkan dari pekerjaan yang sensitif dan ditolak aksesnya ke sistem informasi.
LIBURAN DAN ROTASI KERJA
Melakukan rotasi tugas pegawai secara periodik dan membuat pegawai mengambil liburan dapat mencapai hasil yang sama.
PERJANJIAN KERAHASIAAN DAN ASURANSI IKATAN KESETIAAN
Seluruh pegawai, pemasok, dan kontraktor menandatangani dan mematuhi sebuah perjanjian kerahasiaan. Asuransi ikatan kesetiaan melingkupi para pegawai kunci yang melindungi perusahaan terhadap kerugian yang timbul dari tindakan penipuan yang disengaja.
MENUNTUT DAN MEMENJARAKAN PELAKA
Sebagian besar penipuan tidak dilaporkan karena:
- perusahaan segan untuk melaporkan penipuan karena dapat menjadi sebuah bencana hubungan publik.
- penegak hukum dan pengadilan sibuk dengan kriminal kekerasan dibandingkan dengan penipuan.
- menyelidiki dan menuntut penipuan itu sulit, membutuhkan biaya, dan memakan waktu.
- banyak petugas penegak hukum, pengacaram dan hakim kurang memiliki kecapakan komputer yang diperlukan untuk menyelidiki dan menuntut kejahatan komputer.
- hukuman untuk penipuan biasanya ringan.
PENGARUH EKSTERNAL
Pengaruh eksternal meliputi persyaratan-persyaratan yang diajukan oleh bursa efek, Financial Accounting Standars Board (FASB), PCAOB, dan SEC.
PENETAPAN TUJUAN
Tujuan strategis (strategic objective): tujuan tingkat tinggi yang disejajarkan dan mendukung misi perusahaan serta menciptakan nilai pemegang saham.
Tujuan operasi (operation objective): tujuan yang berhubungan dengan efektivitas dan efisiensi operasi perusahaan serta menentukan cara mengalokasikan sumber daya.
Tujuan pelaporan (reporting objective): tujuan yang membantu memastikan ketelitian, kelengkapan, dan keterandalan laporan perusahaan; meningkatkan perbuatan keputusan; dan mengawasi aktivitas serta kinerja perusahaan.
Tujuan kepatuhan (compliance objective): tujuan yang membantu perusahaan mematuhi seluruh hukum dan peraturan yang berlaku.
IDENTIFIKASI KEJADIAN
Kejadian (event): sebuah insiden atau peristiwa positif atau negatif dari sumber-sumber internal dan eksternal yang memengaruhi implementasi strategi atau pencapaian tujuan.
PENILAIAN RISIKO DAN RESPONS RISIKO
Risiko bawaan (inherent risk): kelemahan dari sebuah penetapan akun atau transaksi pada masalah pengendalian yang signifikan tanpa adanya pengendalian internal.
Risiko residual (residual risk): risiko yang tersisa setelah manajemen mengimplementasikan pengendalian internal atau beberapa respons lainnya terhadap risiko. Manajemen dapat merespon risiko dengan salah satu dari empat cara berikut:
- mengurangi kemungkinan dan dampak risiko.
- menerima kemungkinan dan dampak risiko.
- membagikan risiko.
- menghindari risiko.
Berikut pendekatan penilaian risiko untuk perancangan pengendalian internal:
MEMPERKIRAKAN KEMUNGKINAN DAN DAMPAK
Setiap kejadian memiliki risiko, sehingga harus ada perkiraan kemungkinan risiko dan dampak dari risiko itu sendiri.
MENGIDENTIFIKASI PENGENDALIAN
Manajemen harus mengidentifikasi pengendalian yang melindungi perusahaan dari setiap kejadian.
MEMPERKIRAKAN BIAYA DAN MANFAAT
Kerugian yang diperkirakan (expexted loss): hasil matematis dari kerugian finansial potensial yang akan terjadi jika sebuah ancaman menjadi kenyataan (disebut dampak atau paparan) dan risiko atau probabilitas bahwa ancaman akan terjadi (disebut kemungkinan).
Rumusnya: Kerugian yang diperkirakan = Dampak x Kemungkinan
MENENTUKAN EFEKTIVITAS BIAYA/MANFAAT
MENGIMPLEMENTASIKAN PENGENDALIAN ATAU MENERIMA, PMEMBAGI, ATAU MENGHINDARI RISIKO
Pengendalian biaya efektif harus diimplementasikan untuk mengurangi risiko. Risiko yang tidak dikurangi harus diterima, dibagi, atau dihindari.
AKTIVITAS PENGENDALIAN
Aktivitas pengendalian (control activities): kebijakan, prosedur, dan aturan yang memberikan jaminan memadai bahwa tujuan pengendalian telah dicapai dan respons risiko dilakukan. Manajemen harus memastikan bahwa:
- pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level yang dapat diterima,
- pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi,
- aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan prosedur perusahaan yang telah ditentukan.
Prosedur pengendalian dilakukan dalam kategori-kategori berikut:
- Otorisasi transaksi dan aktivitas yang layak.
- Pemisahan tugas.
- Pengembangan proyek dan pengendalian akuisisi (perolehan).
- Mengubah pengendalian manajemen.
- Mendesain dan menggunakan dokumen serta cararan.
- Pengamanan aset, catatan, dan data.
- Pengecekan kinerja yang independen.
OTORISASI TRANSAKSI DAN AKTIVITAS YANG TEPAT
Otorisasi (authorization): penetapan kebijakan bagi para pegawai untuk diikuti dan kemudian memberdayakan mereka guna melakukan fungsi organisasi tertentu. Otorisasi sering didokumentasikan dengan penandatanganan, penginisialisasian, atau pemasukan kode pengotorisasian pada sebuah dokumen atau catatan.
Tanda tangan digital (digital signature): cara penandatanganan sebuah dokumen secara elektronik dengan data yang tidak dapat dipalsukan.
Otorisasi khusus (specific authorization): persetujuan khusus yang dibutuhkan oleh seorang pegawai agar diizinkan untuk menangani sebuah transaksi.
Otorisasi umum (general authorization): otorisasi yang diberikan kepada pegawai untuk menangani transaksi rutin tanpa persetujuan khusus.
PEMISAHAN TUGAS
Pemisahan tugas terdiri dari beberapa pemisahan yang akan dibahas berikut ini.
PEMISAHAN TUGAS AKUNTANSI
Pemisahan tugas akuntansi (segregation of accounting duties): pemisahan fungsi akuntansi otorisasi, penyimpanan, dan pencatatan guna meminimalkan kemampuan pegawai untuk melakukan penipuan. Pemisahan tugas akuntansi akan efektif jika fungsi-fungsi berikut dipisahkan:
- Otorisasi - menyetujui transasksi dan keputusan.
- Pencatatan - mempersiapkan dokumen sumber; memasukkan data ke dalam sistem komputer, memelihara jurnal, buku besar, file, atau database; dan mempersiapkan rekonsiliasi dan laporan kinerja.
- Penyimpanan - menangani kas, peralatan, persediaan, atau aktiva tetap; menerima cek pelanggan yang datang; menulis cek.
Berikut pemisahan tugas:
Kolusi (collusion): kerja sama antara dua orang atau lebih dalam sebuah upaya untuk menggagalkan pengendalian internal.
PEMISAHAN TUGAS SISTEM
Pemisahan tugas sistem (segregation of system duties): penerapan prosedur-prosedur pengendalian untuk membagi wewenang dan tanggung jawab secara jelas di dalam fungsi sistem informasi. Wewenang dan tanggung jawab harus dibagi dengan jelas menurut fungsi-fungsi berikut:
- Administrator sistem (system administrator): orang yang bertanggung jawab untuk memastikan bahwa sistem beroperasi dengan lancar dan efisien.
- Manajemen jaring (network manager): orang yang bertanggung jawab untuk memastikan bahwa perangkat yang berlaku ditautkan ke jaringan perusahaan dan memastikan pula bahwa jaringan beroperasi dengan baik.
- Manajemen keamanan (security management): orang yang bertanggung jawab untuk memastikan bahwa sistem yang ada aman dan terlindungi baik dari ancaman internal maupun eksternal.
- Manajemen perubahan (change management): proses untuk memastikan perubahan dibuat dengan lancar dan efisien serta tidak memengaruhi keterandalan, keamanan, kerahasiaan, integritas, dan ketersediaan sistem secara negatif.
- Pengguna (users): orang yang mencatat transaksi, melakukan otorisasi data untuk diprosesm dan menggunakan output sistem.
- Analisis sistem (system analysis): orang yang membantu pengguna menentukan kebutuhan informasi mereka dan mendesai sistem agar sesuai dengan kebutuhan tersebut.
- Pemrograman (programmer): orang yang membuat desain analisis dan mengembangkan, mengodekan, serta menguji program komputer.
- Operasi komputer (computer operator): orang yang mengoperasikan komputer perusahaan.
- Perpustakaan sistem informasi (information system library): sebuah koleksi database, file,dan program perusahaan yang disimpan di dalam sebuah area penyimpanan terpisah dan dikelola oleh pustakawan sistem.
- Kelompok pengendalian data (data control group): orang yang memastikan bahwa data sumber telah disetujui dengan semestinya, mengawasi alur kerja melalui komputer, merekonsiliasi input dan output, memelihara catatan input untuk memastikan kebenaran dan kepatuhannya kembali, serta mendistribusikan output sistem.
PENGEMBANGAN PROYEK DAN PENGENDALIAN AKUISISI (PEROLEHAN)
- Komite pengarah (steering committee): sebuah komite tingkat eksekutif untuk merencanakan dan mengawasi fungsi sistem informasi.
- Rencana induk strategis (strategic master plan): sebuah rencana multitahunan yang menjabarkan proyek perusahaan yang harus terselesaikan untuk mencapai tujuan jangka panjangnya dan sumber daya yang dibutuhkan untuk mencapai rencana tersebut.
- Rencana pengembangan proyek (project development plan): sebuah dokumen yang menunjukkan cara sebuah proyek akan diselesaikan. Tonggak proyek (project milestones):poin-poin kemajuan ditinjau dan waktu penyelesaian aktual serta perkiraan dibandingkan.
- Jadwal pengolahan data (data processing schedule): sebuah jadwal yang menunjukkan kapan tiap-tiap tugas pengolahan data seharusnya dilakukan.
- Pengukuran kinerja sistem (system performance measurement): cara-cara untuk mengevaluasi dan menilai sebuah sistem. Output per unit waktu (throughtput): jumlah pekerjaan yang dilakukan oleh sebuah sistem selama periode waktu tertentu. Pemanfaatan(utilization): persentase waktu penggunaan sebuah sistem. Waktu respons (response time):lama waktu yang diperlukan sebuah sistem untuk merespon.
- Tinjauan pasca-implementasi (postimplementation review): tinjauan yang dilakukan setelah sistem baru beroperasi untuk periode yang singkat, guna memastikan hal itu sesuai dengan tujuan yang telah ditencanakan.
Sistem integrator (system integrator): pihak luar yang dipekerjakan untuk mengelola usaha pengembangan sistem perusahaan.
Perusahaan juga harus melakukan:
- mengembangkan spesifikasi yang jelas.
- mengawasi proyek.
MENGUBAH PENGENDALIAN MANAJEMEN
Organisasi memodifikasi sistem yang berjalan untuk merefleksikan praktik-praktik bisnis baru dan untuk memanfaatkan penggunaan TI.
MENDESAIN DAN MENGGUNAKAN DOKUMEN DAN CATATAN
Desain dan penggunaan dokumen elektronik dan kertas yang sesuai dapat membantu memastikan pencatatan yang akurat serta lengkap dari seluruh data transaksi yang relevan.
PENGAMANAN ASET, CATATAN, DAN DATA
Sebuah perusahaan harus melindungi kas dan aset fisik beserta informasinya.
Selain itu juga penting melakukan:
- menciptakan dan menegakkan kebijakan dan prosedur yang tepat.
- memelihara catatan akurat dari seluruh aset.
- membatasi akses terhadap aset.
- melindungi catatan dan dokumen.
PENGECEKAN KINERJA YANG INDEPENDEN
- Tinjauan tingkat atas.
- Tinjauan analitis
- Rekonsiliasi catatan-catatan yang dikelola secara independen.
- Perbandingan terhadap kuantitas aktual dengan jumlah dicatat.
- Akuntansi double-entry.
- Tinjauan independen.
INFORMASI DAN KOMUNIKASI
Jejak audit (audit trail): sebuah jalur yang memungkinkan transaksi untuk ditelusuri melalui sistem pengolahhan data dari titik asal ke output atau sebaliknya dari output ke titik awal.
PENGAWASAN MENJALANKAN EVALUASI PENGENDALIAN INTERNAL Efektivitas pengendalian internal diukur dengan menggunakan evaluasi formal atau evaluasi penilaian diri.
IMPLEMENTASI PENGAWASAN YANG EFEKTIF Pengawasan yang efektif meliputi melatih dan mendampingi pegawai, mengawasi kinerja pegawai, mengoreksi kesalahan, dan mengawasi pegawai yang memiliki akses terhadap aset.
MENGGUNAKAN SISTEM AKUNTANSI PERTANGGUNGJAWABAN Sistem akuntansi pertanggungjawaban meliputi anggaran, kuota, jadwal, biaya standar, dan standar kualitas; perbandingan laporan kinerja aktual dan yang direncanakan; dan prosedur untuk menyelidiki serta mengoreksi varians yang signifikan.
MENGAWASI AKTIVITAS SISTEM Seluruh transaksi dan aktivitas sistem harus direkam di dalam sebuah log yang mengindikasikan siapa mengakses data apa, kapan, dan dari perangkat online yang mana.
MELACAK PERANGKAT LUNAK DAN PERANGKAT BERGERAK YANG DIBELI Untuk mematuhi hak cipta dan melindungi dirinya dari gugatan pembajakan perangkat lunak, perusahaan harus melakukan audit perangkat lunak secara periodik.
MENJALANKAN AUDIT BERKALA Audit keamanan eksternal, internal, dan jaringan dapat menilai dan mengawasi risiko maupun mendeteksi penipuan dan kesalahan.
MEMPEKERJAKAN PETUGAS KEAMANAN KOMPUTER DAN CHIEF COMPLIANCE OFFICER
Computer Security Officer (CSO): seorang pegawai yang independen dari fungsi sistem informasi yang mengawasi sistem, menyebarkan informasi mengenai penggunaan sistem yang tidak sesuai dan konsekuensinya, serta melaporkan kepada manajemen puncak.
Chief Compliance Officer (CCO): seorang pegawai yang bertanggung jawab atas semua tugas kepatuhan yang terkait SOX serta pengaturan hukum dan peraturan.
MENYEWA SPESIALIS FORENSIK
Penyelidik forensik (computer forensics specialist): individu yang memiliki spesialisasi dalam penipuan, sebagian besar dari mereka memiliki pelatihan khusus dari agen-agen penegak hukum lainnya, seperti FBI atau IRS atau memiliki sertifikasi profesional seperti Certified Fraud Examiner(CFE).
MEMASANG PERANGKAT LUNAK DETEKSI PENIPUAN
Jaringan saraf (neural network): sistem komputasi yang meniru proses pembelajaran otak dengan menggunakan jaringan prosesor yang terhubung satu sama lain dengan menjalankan berbagai operasi secara serentak dan berinteraksi dengan dinamis.
MENGIMPLEMENTASIKAN HOTLINE PENIPUAN
Hotline peniputan (fraud hotline): nomor telepon yang dapat dihubungi oleh para pegawai untuk melaporkan penipuan dan penyalahgunaan secara anonim (tanpa nama).
Jika salah satu penetapan tujuan tidak terpenuhi apa yg akan terjadi.mohon dijawab
BalasHapusmr pedro dan perusahaan pinjamannya benar-benar hebat untuk diajak bekerja sama. dia sangat jelas, teliti dan sabar saat dia membimbing saya dan istri saya melalui proses pinjaman. dia juga sangat tepat waktu dan bekerja keras untuk memastikan semuanya siap sebelum menutup pinjaman. mr pedro adalah petugas pinjaman bekerja dengan sekelompok investor yang membantu kami mendapatkan dana untuk membeli rumah baru kami, Anda dapat menghubungi dia jika Anda ingin mendapatkan pinjaman dengan tingkat rendah yang terjangkau 2 rio email dia di . pedroloanss@gmail.com atau chat whatsapp: + 1-863-231-0632
BalasHapus