Pengendalian
Internal
Pendahuluan
E-Commerce sebagai salah
satu pelaku bisnis tidak bisa lepas dari
kondisi persaingan dan globalisasi bisnis di
era globalisasi akan mempertajam persaingan persaingan diantara para
pelaku usaha, sehingga perlu strategi yang potensial dan kreatif dalam
pemanfaatan secara optimal berbagai sumber daya yang meliputi peningkatan produktivitas, efisiensi serta efektifitas pencapaian tujuan bisnis. Menghadapi
hal ini, berbagai kebijakan
dan strategi terus diterapkan dan ditingkatkan. Kebijakan yang
ditempuh manajemen antara lain meningkatkan pengawasan dalam perusahaan (
internal control )
Menurut COSO (Committee
of Sponsoring Organizations) dari Treadway Commision dalam Azhar Susanto
(2013:95) pengendalian internal adalah suatu proses yang dipengaruhi oleh dewan
direksi, manajemen dan karyawan yang dirancang untuk memberikan jaminan yang
meyakinkan bahwa tujuan organisasi akan dapat dicapai melalui: efisiensi dan
efektifitas operasi, penyajian laporan keuangan uang dapat dipercaya, ketaatan
terhadap undang-undang dan aturan yang berlaku.
Dengan demikian maka dirasakan perlunya Bantuan manajer
manajer,auditor internal, dan auditor eksternal yang profesional sesuai dengan
bidang yang ada dalam organisasi misalnya bidang pemasaran, produksi, keuangan,
audit, dan lain lain. Perlu adanya
struktur organisasi yang memadai, yang akan menciptakan suasana kerja yang
sehat karena setiap staf bisa mengetahui dengan jelas dan pasti wewenang dan
tanggung jawabnya serta dengan siapa ia bertanggung jawab.
Teori
- Definisi audit internal secara umum
Pengertian audit Internal adalah kegiatan pemeriksaan dan pengujian suatu pernyataan, pelaksanaan dari kegiatan yang dilakukan oleh pihak independen
guna memberikan suatu pendapat. Pihak yang melaksanakan auditing disebut dengan
auditor. Pengertian auditing semakin berkembang sesuai dengan kebutuhan yang
meningkat akan hasil pelaksanaan auditing.
-
Tujuan dari audit internal
Internal audit memiliki
tujuan dalam manajemen organisasi/perusahaan. Menurut Hiro Tugiman
(2006) internal audit memiliki tujuan membantu anggota organisasi agar
dapat menjalankan tugas dengan efektif. Dalam aktivitas internal audit berusaha
melakukan analisis dan memberikan berbagai saran dan penilaian. Proses
pemeriksaan audit meliputi pengawasan yang efektif dengan cost yang
normal.
Sedangkan Sukrisno
Agoes (2004) mengemukakan bahwa tujuan internal audit adalah membantu
manajemen perusahaan menjalankan tugas melalui analisa, penilaian, dan
pemberian saran dan masukan mengenai kegiatan/program (yang masuk dalam
pemeriksaan).
Pada pencapaian tujuan dari internal audit maka
auditor harus melakukan beberapa hal sebagai berikut :
1. Memastikan terkait peraturan dan
prosedur yang harus dipatuhi oleh seluruh elemen manajemen.
2. Memberi penilaian baik dan
meningkatkan pengawasan efektif dengan biaya sewajarnya serta mengidentifikasi
sistem pengendalian yang diterapkan yang meliputi pengendalian internal
manajemen dan kegiatan operasional yang berkaitan.
3. Memastikan bahwa seluruh aset
perusahaan dijaga dengan penuh tanggung jawab dari penyalahgunaan, kehilangan,
korupsi dan hal-hal semisal.
4. Mengajukan berbagai saran dalam
rangka memperbaiki sistem operasional perusahaan agar lebih efektif dan
efisien.
5. Memberi nilai terkait mutu dan
kualitas kerja kepada setiap bagian yang ditunjuk manajemen perusahaan.
6. Memastikan bahwa data yang dimiliki
dan diolah di dalam perusahaan dapat dipertanggungjawabkan.
- Fungsi dari audit internal
Sawyer
(2005) mengemukakan
bahwa internal audit memiliki berbagai fungsi diantaranya :
1. Pengawasan pada seluruh aktivitas
yang sulit ditangani oleh pimpinan puncak.
2. Pengidentifikasian dan minimalisasi
resiko.
3. Report Validationkepada manajer.
4. Mendukung dan membantu manajemen
pada bidang-bidang teknis.
5. Membanti proses decision
making.
6. Menganalisis masa mendatang (bukan
untuk hal yang telah terjadi).
7. Membantu manajer dalam mengelola
perusahaan.
- Perbedaan internal dengan
eksternal
Sukrisno pada buku “Auditing:
(pemeriksaaan Akuntan) mengemukakan perbedaan audit internal dan eksternal.
Perbedaan keduanya adalah sebagai berikut :
1. Internal Audit
- Dilaksanakan oleh auditor
internal yang merupakan bagian dari perusahaan.
- Auditor internal dianggap tidak
independen oleh pihak eksternal perusahaan.
- Internal audit memiliki tujuan
pemeriksaan untuk membantu manajemen dalam menjalankan tugasnya melalui
cara memberikan saran dari analisa, penilaian terkait aktivitas yang di
audit.
- Internal Audit Reportmemaparkan mengenai temuan
pemeriksaan/audit findings yang berkaitan dengan adanya
penyimpangan dan penyalahgunaan, kekurangan pengendalian internal yang
disertai dengan saran perbaikan.
- Pelaksanaan internal audit
mengacu pada Internal Audit Standards yang ditetapkan
oleh Institute of Internal Auditorsatau Norma Pemeriksaan
Intern yang ditetapkan oleh BPKP maupun BPK serta Norma pemeriksaan satuan
pengawasan intern BUMN/BUMD oleh SPI (Standar Pemeriksaan Intern belum
disusun oleh Ikatan Akuntan Indonesia)
- Keberjalanan pemeriksaan
internal dilakukan lebih mendetail dan membutuhkan waktu sepanjang tahun.
Hal ini disebabkan internal auditor memiliki kesediaan waktu yang lebih
untuk perusahaannya.
- Penanggungjawab internal
auditor tidak harus sebagai akuntan yang terdaftar.
- Gaji maupun tunjangan yang
diperoleh internal auditor diperoleh dari perusahaan.
- Pada tahap penyerahan laporan
internal audit tidak perlu disertai dengan “Surat Pernyataan Langganan”
- Internal Auditor biasanya
tertarik pada kesalahan material dan non-material.
2. Eksternal Audit
- Audit eksternal dilaksanakan
oleh auditor eksternal yang berasal dari luar perusahaan (Kantor Akuntan
Publik).
- Auditor Eksternal dianggap
sebagai pihak yang independen.
- Tujuan Eksternal audit adalah
memberikan masukan terkait kewajaran laporan finansial yang disusun
manajemen perusahaan.
- Isi dari external audit
reportyaitu pendapat tentang kewajaran financial report.
Selain laporan tersebut juga disetaimanagement letter yang
berisi tentang kelemahan pengendalian internal dan saran perbaikannya yang
akan dilaporkan kepada manajemen perusahaan.
- Standar yang digunakan pada
audit eksternal adalah Standar Profesional Akuntan Publik dari Ikatan
Akuntan Indonesia.
- Pelaksanaan audit eksternal
dilaksanakan dengan sampling dikarenakan waktu yang terbatas. Selain itu
biaya pemeriksaan akan jauh lebih besar bila dilaksanakan secara
mendetail.
- Pimpinan dari audit eksternal
berasal dari akuntan publik yang terdaftar dan memiliki register
number/registered public accountant.
- Auditor eksternal memperoleh
fee atas jasa audit yang dilakukannya.
- Sebelum memberikan laporan
hasil audit, auditor harus menyertakan “Surat Pernyataan Langganan/Client
Representation Letter.
- External Auditorhanya fokus dan tertarik pada
kesalahan material yang berpengaruh terhadap kewajaran laporan finansial
perusahaan
Analisis
Dewasa ini e-commerse
atau penjualan online semakin diminati oleh masyarakat karena kemudahannya
dalam pembelian barang, konsumen tidak harus datang langsung ke toko melainkan
konsumen dapat memesan barang melalui smartphone dan gadget yang dapat diakses
dimana saja. Cara pembayaran pun cukup mudah dapat melalui transfer bank. Hal
tersebut membuat para pengembang aplikasi e-commerse semakin berlomba – lomba
meningkatkan kualitas dan produktivitas dalam persaingan bisnis.
Untuk mengatasi hal
tersebutmaka dibutuhkan sebuah tata kelola untuk melaksanakan fungsi dari audit
internal untuk melakukan pemeriksaan dan pengujian terhadap pernyataan dan
pelaksanaan kegiatan. Kegiatan ini dilakukan untuk mempertimbangkan resiko dari
masing – masing aspek yang diaudit.
Unit audit internal ini
bertugas menguji dan mengevaluasi segala macam resiko dengan kebijakan
perseroan dan melakukan pemeriksaan atas keefetivan dan efisiensi pada bidang
keuangan, operasional, pemasaran dan sumber daya manusia. Setelah dilakukan
pemeriksaan maka auditor akan memberikan saran perbaikan tentang kegiatan yang
diperiksa, lalu auditor akan memberikan laporan kepada direktur utama. Kegiatan
audit internal ini sangat penting dilakukan untuk mengurangi resiko dalam
kegiatan perusahaan.
referensi :
Standar
dan panduan audit sistem informasi
1.
ISACA
ISACA adalah suatu organisasi profesi internasional di
bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada
tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and
Control Association, saat ini ISACA hanya menggunakan akronimnya untuk
merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.
• Sifat khusus audit sistem informasi, keterampilan dan pengetahuan yang
diperlukan untuk melakukan audit SI memerlukan standar yang berlaku secara
global
• ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan
pengetahuan
• Dalam famework ISACA terkait, audit sistem informasi terdapat Standards,
Guidelines and procedures
• Standar yang ditetapkan oleh ISACA harus diikuti oleh auditor.
• Guidelines memberikan bantuan tentang bagaimana auditor dapat menerapkan
standar dalam berbagai penugasan audit.
• Prosedur memberikan contoh langkah-langkah auditor dapat mengikuti penugasan
audit tertentu sehingga dapat menerapkan standar.
• Namun, IS auditor harus menggunakan pertimbangan profesional ketika
menggunakan pedoman dan prosedur.
Standard Audit Sistem
Informasi menurut ISACA (Information System Audit and Control Association)
S1 Audit Charter
•
Tujuan, tanggung jawab, kewenangan dan
akuntabilitas dari fungsi audit sistem informasi atau penilaian audit sistem
informasi harus didokumentasikan dengan pantas dalam sebuah audit charter
atau perjanjian tertulis.
•
Audit charter
atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada
tingkatan yang tepat dalam organisasi.
S2 Independence
•
Professional
Independence
•
Dalam
semua permasalahan yang berhubungan dengan audit, auditor sistem
informasi harus independen terhadap auditee baik dalam sikap maupun
penampilan.
•
Organisational
Independence
•
Fungsi
audit sistem informasi harus independen tehadap area atau aktivitas yang sedang
diperiksa agar tujuan penilaian audit terselesaikan.
S3 Professional Ethics and Standards
•
Auditor
sistem informasi harus tunduk pada kode etika
profesi dari ISACA dalam melakukan tugas audit.
•
Auditor sistem informasi harus patuh pada penyelenggarakan
profesi, termasuk observasi terhadap standar audit profesional yang
dipakai dalam melakukan tugas audit.
S4 Professional
Competence
•
Auditor sistem informasi harus seorang profesional yang
kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit.
•
Auditor sistem informasi harus mempertahankan kompetensi
profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.
S5 Planning
•
Auditor sistem informasi harus merencanakan peliputan audit
sistem informasi sampai pada tujuan audit dan tunduk pada standar audit
profesional dan hukum yang berlaku.
•
Audit
sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan
pada pendekatan audit.
S6 Performance of Audit Work
•
Pengawasan-staff audit sistem
informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan
audit telah sesuai dan standar audit profesional yang ada.
• Bukti-Selama
berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang
cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan
kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap
bukti-bukti yang ada.
• Dokumentasi-Proses
audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit
untuk mendukung temuan dan kesimpulan auditor sistem informasi.
S7 Reporting
•
Auditor sistem informasi harus menyajikan laporan, dalam
pola yang tepat, atas penyelesaian audit.
•
Laporan
audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan
tingkatan kerja audit yang dilaksanakan.
•
Laporan
audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai
pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem
informasi bertanggung jawab terhadap audit.
•
Auditor sistem informasi harus memiliki bukti yang cukup dan
tepat untuk mendukung hasil pelaporan.
2.
IIA
Audit internal menurut Institute
of Internal Auditors (IIA) adalah aktivitas independen, keyakinan objektif, dan
konsultasi yang dirancang untuk menambah nilai dan meningkatkan operasi
organisasi. Audit internal ini membantu organisasi mencapai tujuannya dengan
melakukan pendekatan sistematis dan disiplin untuk mengevaluasi dan
meningkatkan efektivitas manajemen resiko, pengendalian dan proses tata kelola.
Institute of Internal Auditors (IIA) mengeluarkan
standar yang mendefinisikan praktik dasar dari audit internal. Standar –
standar tersebut bertujuan untuk :
·
Menggambarkan prinsip – prinsip dasar
untuk praktik audit internal.
·
Menyediakan kerangka kerja untuk
melaksanakan dan memajukan aktivitas audit internal yang dapat meningkatkan
nilai tambah.
·
Menetapkan basis untuk pengukuran kinerja
audit internal.
·
Membantu memperbaiki proses dan operasi
dari organisasi.
3.
COSO
COSO IC 2013 secara prinsip masih mempertahankan
definisi pengendalian intern tahun 1992. Pengendalian intern didefinisikan
sebagai suatu proses di dalam organisasi yang dipengaruhi oleh dewan pengawas,
manajemen, dan personel lainnya. Tujuan yang hendak dicapai menurut COSO IC
2013 terdiri dari 3 kategori yaitu operasi (operations), pelaporan (reporting),
dan kepatuhan (compliance)
Kerangka konseptual
pengendalian internal (COSO) sekarang telah menjadi standar di seluruh dunia
untuk membangun pengendalian internal. The Committee of Sponsoring
Organizations of the Treadway Commission’s didirikan pada tahun 1985, yang
merupakan aliansi dari lima organisasi profesi diantaranya :
• Financial Executives International (FEI)
• the American Accounting Association (AAA)
• the American Institute of Certified Public
Accountants (AICPA)
• the Institute of Internal Auditors (IIA)
• the Institute of Management Accountants (IMA)
(formerly the National Association of Accountants).
COSO 2013 tidak mengubah lima komponen pengendalian
intern yang telah dipakai sejak COSO 1992. Tentu saja penjelasannya tetap
mengalami penyempurnaan. Komponen-komponen tersebut adalah sebagai berikut.
1. Lingkungan
pengendalian
Merupakan
susunan dari standar, proses dan struktur yang menyediakan dasar untuk
terlaksananya pengendalian internal dalam organisasi.
2. Penilaian
resiko
Penilaian
risiko melibatkan proses yang dinamis dan berulang (iterative) untuk
mengidentifikasi dan menganalisis risiko terkait pencapaian tujuan.
3. Aktifitas
pengendalian
Kegiatan
pengendalian mencakup tindakan-tindakan yang ditetapkan melalui kebijakan dan
prosedur untuk membantu memastikan dilaksanakan arahan manajemen dalam rangka
meminimalkan risiko atas pencapaian tujuan.
4. Informasi
dan komunikasi
Organisasi
memerlukan informasi demi terselenggaranya fungsi pengendalian intern dalam
mendukung pencapaian tujuan.
5. Pemantauan
Komponen
ini merupakan satu-satunya komponen yang berubah nama. Sebelumnya komponen ini
hanya disebut pemantau (monitoring).
4.
ISO
17799
Istilah dan
definisi di ISO-17799
ISO = the International Standards Organization adalah
lembaga idependent yang mengeluarkan standar operasional prosedur (SOP)
terhadap kualitas suatu layanan.
Information Security = merupakan gambaran dari &
aspek penting keamanan informasi yang meliputi confidentiality, integrity dan
availability
Risk Assessment = perkiraan kemungkinan ancaman
akibat kelemahan keamanan sistem informasi dan proses ketersediaan informasi
sehingga bisa menyebabkan gangguan.
Risk Management
= proses identifikasi, penga(asan, minimalisasi atau eliminasi resiko
keamanan yang akan mempengaruhi sistem informasi, untuk biaya yang dapat
diterima.
ISMS = (Information Security
Management System)Sistem manajemen keamanan informasi organisasi yang
menyediakan pendekatan sistematik dalam mengatur informasi yang sensitif agar dapat
memproteksinya. Ini meliputi pega(ai, proses- proses dan sistem informasi.
Isi dari
ISO-17799, meliputi:
- 10
control clauses (10 pasal pengamatan)
- 36
control objectives (36 objek/sasaran pengamatan)
- 127
control security (127 pengawasan keamanan)
10 pasal
keamanan ISO-17799, meliputi:
- Security policy
- System access control
- Communication & operations
management
- System development and maintenance
- Physical and environmental security
- Compliance
- Personnel security
- Security organization (information
security)
- Assets classification and control
- Bussiness continuity management (BCM)
