12 si pi, jemmy esrom serang, hapzi ali, siklus proses bisnis review atas proses bisnis utama dalam...
-
Upload
jemmy-esrom-serang -
Category
Education
-
view
51 -
download
0
Transcript of 12 si pi, jemmy esrom serang, hapzi ali, siklus proses bisnis review atas proses bisnis utama dalam...
SIKLUS PROSES BISNIS REVIEW ATAS PROSES BISNIS
UTAMA DALAM PERUSAHAAN MANUFAKTUR
Paper Untuk memenuhi Tugas
SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
Disusun Oleh : Jemmy Esrom Serang
NIM : 55516120030
Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, MM, CMA
Program Studi Magister Akuntansi
FAKULTAS PASCA SARJANA
UNIVERSITAS MERCUBUANA
JAKARTA
2017
Tanggapi dan Jawablah Forum mingu ini dengan baik dan benar:
Setelah saudara pelajari materi minggu ini tentang siklus proses bisnis dan
review atas proses bisnis utama dalam perusahaan manufaktur dan
berdasarkan pengalaman empiris, apa executive summary yang dapat
saudara simpulkan. Kalau perlu berikan contohnya…!
JAWABAN
Proses bisnis adalah suatu kumpulan aktivitas atau pekerjaan terstruktur yang
saling terkait untuk menyelesaikan suatu masalah tertentu atau yang menghasilkan
produk atau layanan (demi meraih tujuan tertentu). Suatu proses bisnis dapat
dipecah menjadi beberapa subproses yang masing-masing memiliki atribut sendiri
tapi juga berkontribusi untuk mencapai tujuan dari superprosesnya. Analisis proses
bisnis umumnya melibatkan pemetaan proses dan subproses di dalamnya hingga
tingkatan aktivitas atau kegiatan. (Modul SI PI, Siklus proses bisnis Review atas
proses bisnis, M.Akt UMB, Hapzi Ali, 2015)
Davenport (1993) mendefinisikan proses bisnis sebagai:
“Aktivitas yang terukur dan terstruktur untuk memproduksi output tertentu untuk
kalangan pelanggan tertentu. Terdapat di dalamnya penekanan yang kuat pada
“bagaimana” pekerjaan itu dijalankan di suatu organisasi, tidak seperti fokus dari
produk yang berfokus pada aspek “apa”. Suatu proses oleh karenanya merupakan
urutan spesifik dari aktivitas kerja lintas waktu dan ruang, dengan suatu awalan dan
akhiran, dan secara jelas mendefinisikan input dan output.” (Thomas Davenport
(1993). Process Innovation: Reengineering work through information technology.
Harvard Business School Press, Boston)
Terdapat tiga jenis proses bisnis:
1. Proses manajemen, yakni proses yang mengendalikan operasional dari
sebuah sistem. Contohnya semisal Manajemen Strategis
2. Proses operasional, yakni proses yang meliputi bisnis inti dan menciptakan
aliran nilai utama. Contohnya semisal proses pembelian, manufaktur,
pengiklanan dan pemasaran, dan penjualan.
3. Proses pendukung, yang mendukung proses inti. Contohnya semisal
akunting, rekruitmen, pusat bantuan.
Siklus Proses Bisnis
Siklus pengeluaran, pertukaran informasi utama adalah dengan pemasok barang
(vendor). Di dalam organisasi, informasi mengalir ke siklus pengeluaran dari siklus
pendapatan dan produksi, pengendalian persediaan, dan berbagai departemen
tentang kebutuhan untuk membeli barang dan bahan baku. Begitu barang dan bahan
baku tiba, pemberitahuan penerimaannya mengalir kembali ke sumber-sumber
tersebut dari siklus pengeluaran. Data mengenai biaya juga mengalir dari siklus
pengeluaran ke buku besar dan ke fungsi pelaporan untuk dimasukkan ke dalam
laporan keuangan serta berbagai laporan manajemen lainnya.
1. Siklus Pendapatan
Siklus pendapatan adalah proses bisnis yang berkaitan dengan penyediaan
barang dan jasa ke pelanggan untuk kemudian menagih penjualan tersebut
sehngga menghasilkan pendapatan. Pada siklus pendapatan sendiri terdapat
4 dasar bisnis yaitu :
Memasukkan pesanan penjualan (sales order entry)
Kenapa hal ini menjadi dasar ? karena proses penjualan pastilah diawali
dengan adanya pesanan dari pelanggan. Dalam tahap ini ada 3 hal yang
harus kita pastikan yaitu mengambil pesanan penjualan, memeriksadan
lalu menyetujui kredit penjualan tersebut (hanya jika penjualan secara
kredit), dan memeriksa ketersediaan barang yang akan dipesan. Bagian
yang terkait yaitu bagian penjualan.
Mengirim Pesanan (Shipping)
Setelah kita menerima pesanan dan juga memastikan bahwa barang
yang dipesan memang ada maka selanjutnya kita harus mengirim
pesanan tersebut. Di sini ada 2 tahap yaitu mengepak barang yang akan
dikirim dan mengirimnya bersama surat jalan (dokumen pengiriman).
Bagian yang terkait yaitu bagian gudang dan bagian pengiriman.
Penagihan dan piutang usaha (billing and accounts receivable)
Dasar yang ketiga disini tentunya hanya berlaku bagi penjualan yang
bersifat kredit. Dimana bagian kredit melakukan penagihan ke para
pelanggan dengan membuat faktur penjualan. Selain melakukan
penagihan tentu saja harus memelihara data-data piutang usaha yang
dimiliki oleh organisasi atau perusahaan tersebut.
Menerima pembayaran / kas (cash collection)
Yang terakhir tentu saja setelah melakukan penagihan maka bagian kasir
akan menerima pembayaran baik dari penjualan kredit maupun
penjualan tunai
2. Siklus Pengeluaran
Siklus pengeluaran (expenditure cycle) adalah rangkaian kegiatan bisnis
dan operasional pemrosesan data terkait yang berhubungan dengan
pembelian serta pembayaran barang dan jasa (Romney & Steinbert, 2005).
Pada siklus ini terdapat 3 aktivitas dasar yaitu :
Memesan barang , persediaan, dan jasa
Aktivitas yang pertama adalah melakukan pesanan terhadap barang,
persediaan maupun jasa yang dibutuhkan oleh perusahaan. Dalam hal
ini kita perlu memperhatikan berapa jumlah yang akan dibeli dan kapan
akan digunakan agar bisa tersedia tepat waktu, selain itu perlu juga
untuk menentukan pemasok mana yang akan kita pesan. Bagian
pembelian disini harus membuat surat order pembelian (Purchase
Order)
Menerima dan menyimpan barang, persediaan, dan jasa
Aktivitas kedua dalam siklus pengeluaran adalah penerimaan dan
penyimpanan barang yang dipesan. Bagian penerimaan bertanggung
jawab untuk mengecek dan menerima kiriman dari para pemasok.
Dokumen yang dibuat dalam proses penerimaan barang adalah laporan
penerimaan barang adalah laporan penerimaan (receiving report).
Membayar untuk barang, persediaan, dan jasa
Aktivitas ketiga dalam siklus pengeluaran adalah menyetujui faktur
penjualan yang dibuat oleh pemasok. Bagian utang usaha menyetujui
faktur penjualan untuk dibayar dan kasir bertanggung jawab untuk
melakukan pembayaran.
3. Siklus Produksi
Siklus Produksi adalah rangkaian aktivitas bisnis dan operasi pemrosesan
data terkait yang terus terjadi yang berkaitan dengan pembuatan produk.
Aktivitas-aktivitas yang ada dalam siklus produksi yaitu :
Desain Produk
Kenapa harus dilakukan desain produk?
Karena desain produk ini bertujuan agar produk yang dihasilkan
nantinya laku dijual, memiliki kualitas yang bagus, intinya agar produk
yang dihasikan bisa menang bersaing dengan produk lainnya.
Perencanaan dan Penjadwalan
Perencanaan dan penjadwalan disini terkait dengan proses pembuatan
produk yang telah di desain. Selain itu juga termasuk perencanaan
perolehan bahan baku, disini ada 2 metode yaitu :
a) Metode Perencanaan Sumber Daya Produksi
Yaitu perusahaan menyiapkan gudang untuk menampung bahan
baku agar nantinya ketika akan melakukan produksi kita telah
memiliki bahan baku.
b) Metode Just In Time
Yaitu perusahaan tidak memiliki gudang penyimpanan bahan
baku karena bahan baku dipesan ketika ada pesanan penjualan
atau di pesan saat itu juga (just in time).
Operasi Produksi
Prosedur-prosedur yang dijalankan dalam rangka menghasilkan suatu
produk.
Akuntansi Biaya
Memproses semua informasi yang berkaitan dengan biaya-biaya
produksi termasuk biaya bahan baku, biaya tenaga kerja maupun biaya
overhead pabrik. Sehingga nantinya diharapkan mampu menghasilkan
biaya yang akurat.
4. Siklus Sumber Daya Manusia
Siklus SDM adalah aktivitas bisnis yang berulang dan operasi pemrosesan
data yang terkait dengan manajemen yang efektif atas tenaga kerja.
Aktivitas-aktivitas dalam siklus SDM yaitu :
Perekrutan dan kontrak kerja
Pelatihan
Penugasan pekerjaan
Kompensasi (Penggajian)
Evaluasi kinerja
Pemutusan hubungan kerja
5. Siklus Keuangan
Siklus ini mencakup kegiatan untuk mendapatkan laba dari investor dan
kreditor dan membayar mereka kembali. Siklus ini merupakan pelaporan
keuangan berupa prosedur pencatatan dan perekaman ke jurnal dan buku
besar dan pencetakan laporan-laporan keuangan yang datanya diambil dari
buku besar. Sistem aplikasi dalam siklus keuangan yaitu :
Sistem pemilikan.
Sistem catatan jurnal.
Sistem pelaporan keuangan
Batasan Aplikasi Siklus Keuangan
Siklus laporan keuangan ini menunjukkan pada kesatuan eksternal dengan
meringkas data akuntansi dan menunjukkannya dalam rekening keuangan.
Organisasi mengikut sertakan tiga bentuk transaksi capital:pinjaman
bank,pengeluaran obligasi, dan pengeluaran saham kapital. Catatan
akuntansi secara manual untuk capital eguiti adalah:buku besar wesel bayar,
buku besar pemilik surat obliigasi(pemegang obligasi), dan buku besar
pemilik saham.
Subsistem Aplikasi Siklus Keuangan Memproses dua kejadian ekonomi,
perolehan kapital dan penggunaan kapital untuk memperoleh pemilikan.
Subsistem aplikasi siklus keuangan yaitu :
sistem pemilikan.
sistem catatan jurnal.
Sistem pelaporan keuangan.
Jawablah Quiz minggu ini dengan baik dan benar :
Bagaimanakah mengidentifikasi major threat dalam aktivitas bisnis untuk
pengendalian internal dan bagaimana implementasinya pada perusahaan
saudara
Selamat menjawab Quiz...!
JAWABAN
Empat jenis ancaman yang dihadapi perusahaan, antara lain :
1. KEHANCURAN KARENA BENCANA ALAM DAN POLITIK
Salah satu ancaman yang dihadapi perusahaan adalah kehancuran karena
bencana alam dan politik, seperti kebakaran, panas yang berlebihan, banjir,
gempa bumi, badai angin, dan perang.
Bencana yang tidak bisa diprediksi dapat secara keseluruhan
menghancurkan sistem informasi dan menyebabkan kejatuhan sebuah
perusahaan. Ketika terjadi sebuah bencana, banyak perusahaan yang terkena
pengaruhnya pada saat yang bersamaan. Contohnya, banjir di Chicago
menghancurkan atau merusak 400 pusat pemrosesan data. Contoh-contoh
bencana jenis ini adalah sebagai berikut :
a. Dua serangan teroris pada World Trade Center di kota New York
dan serangan Gedung Federal di Oklahoma, menghancurkan atau
mengganggu sistem di gedung¬-gedung tersebut.
b. Pada tahun 1993, hujan deras menyebabkan Sungai Mississippi dan
Missouri meluap dan membanjiri delapan negara bagian. Banyak
organisasi kehilangan sistem komputer mereka, termasuk kota Des
Moines, Iowa, yang komputer¬-komputernya terendam di dalam air
setinggi 8 kaki.
c. Gempa bumi di Los Angeles menghancurkan banyak sekali sistem;
menyebabkan sistem lainnya rusak karena jatuhnya puing-puing, air
dari sistem penyemprot air (sprinkler systern), dan debu; serta
mengganggu jalur komunikasi. Perusahaan¬-perusahaan di San
Fransisco menderita nasib yang hampir sama beberapa tahun
sebelumnya.
d. Defense Science Board telah memprediksi bahwa pada tahun 2005
serangan pada sistem informasi oleh negara-negara asing, agen mata-
mata, dan teroris, akan tersebar luas.
2. KESALAHAN PADA SOFTWARE DAN TIDAK BERFUNGSINYA
PERALATAN
Ancaman kedua bagi perusahaan adalah kesalahan pada software dan tidak
berfungsinya peralatan, seperti kegagalan hardware, kesalahan atau terdapat
kerusakan pada software, kegagalan sistem operasi (operating system-OS),
gangguan dan fluktuasi listrik, serta kesalahan pengiriman data yang tidak
terdeteksi.
Contoh-contoh jenis ancaman ini adalah sebagai berikut:
a. Kerusakan pada sistem akuntansi perpajakan yang baru merupakan
penyebab kegagalan Kalifornia mengumpulkan pajak perusahaan
sebesar 5.535 juta.
b. Di Bank of New York, field yang dipergunakan untuk menghitung
jumlah transaksi terlalu kecil untuk menangani volume transaksi
pada hari yang sibuk. Kesalahan pada sistem mematikan sistem dan
membuat bank tersebut mengalami kerugian sebesar $23 juta ketika
mencoba untuk menutup bukunya. Bank tersebut akhirnya harus
meminjam uang dalam satu malam dengan biaya yang tinggi.
3. TINDAKAN TIDAK SENGAJA
Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja,
seperti kesalahan atau penghapusan karena ketidaktahuan atau karena
kecelakaan semata. Hal ini biasanya terjadi karena kesalahan manusia,
kegagalan untuk mengikuti prosedur yang telah ditetapkan, dan personil
yang tidak diawasi atau dilatih dengan baik.
Para pemakai sering kali kehilangan atau salah meletakkan data, dan secara
tidak sengaja menghapus atau mengubah file, data serta program. Para
operator komputer dan pemakai dapat memasukkan input yang salah atau
tidak andal, menggunakan versi program yang salah, menggunakan file data
yang salah, atau meletakkan file di tempat yang salah.
Analis dan programmer sistem membuat kesalahan pada logika sistem,
mengembangkan sistem yang tidak memenuhi kebutuhan perusahaan, atau
mengembangkan sistem yang tidak mampu menangani tugas yang
diberikan.
Contoh-contoh tentang ancaman ini adalah sebagai berikut:
a. Staf administrasi bagian entri data di Giant Food Inc., salah
memasukkan data dividen kuartal sebesar $2,50 sebagai ganti dari
$0,25. Sebagai hasilnya, perusahaan membayar lebih dari $10 juta
atas kelebihan jumlah dividen tersebut.
b. Seorang programmer bank salah menghitung bunga per bulan
dengan menggunakan satuan 31 hari. Selama 5 bulan sebelum
kesalahan tersebut ditemukan, lebih dari $100.000 kelebihan bunga
dibayarkan melalui tabungan.
4. TINDAKAN SENGAJA (KEJAHATAN KOMPUTER)
Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja,
yang biasanya disebut sebagai kejahatan komputer. Ancaman ini berbentuk
sabotase, yang tujuannya adalah menghancurkan sistem atau beberapa
komponennya.
Penipuan komputer adalah jenis kejahatan komputer lainnya, dengan tujuan
untuk mencuri benda berharga seperti uang, data, atau waktu/pelayanan
komputer. Penipuan ini juga dapat melibatkan pencurian, yaitu pencurian
atau ketidaklayakan penggunaan atas aset oleh pegawai, disertai dengan
pemalsuan catatan untuk menyembunyikan pencurian tersebut.
Contoh-contoh ancaman jenis ini adalah sebagai berikut:
a. Sebagai seorang penggemar teknologi, John Draper menemukan
bahwa tawaran hadiah sebagai pelapor di perusahaan sereal Cap’n
Crunch menduplikasi frekuensi jalur komunikasi WATS. Dia
menggunakan penemuannya tersebut untuk menipu perusahaan
telepori, dengan cara melakukan berbagai panggilan telepon tanpa
bayar.
b. Seorang manajer SIA di kantor koran di Florida bekerja untuk
perusahaan pesaing setelah dia dipecat dari tempatnya bekerja
tersebut. Pada waktu yang tidak lama, pihak pertama yang
mempekerjakan dirinya tersebut menyadari bahwa para reporternya
secara konstan telah direbut informasi beritanya. Perusahaan koran
tersebut akhirnya mengetahui bahwa manajer SIA tersebut masih
memiliki akun dan password aktif, serta masih secara teratur
melihat-lihat file-file komputer di perusahaan tersebut untuk
mendapatkan informasi mengenai cerita esklusif.
5. BEBERAPA ANCAMAN (THREATS) LAINNYA ADALAH :
a. Merekrut karyawan yang tidak kualified Hiring of unqualified
b. Pelanggaran hukum oleh karyawan (Violation of employment law)
c. Perubahan yang tidak diotorisasi opada file induk pembayaran
(master payroll file)
d. Ketidakakuratan data waktu (Inaccurate time data)
e. Ketidakakuratan proses pembayaran
f. Pencurian atau kecurangan pendistribusian pembayaran
g. Kehilangan atau tidak terotorisasi data pembayaran
h. Performansi jelek
PENYEBAB ANCAMAN SIA MENINGKAT, ADALAH :
1. Peningkatan jumlah sistem klien/server memiliki arti bahwa informasi
tersedia bagi para pekerja yang tidak baik.
2. Oleh karena LAN dan sistem klien/server mendistribusikan data ke banyak
pemakai, mereka lebih sulit dikendalikan daripada sistem komputer utama
yang terpusat.
3. WAN memberikan pelanggan dan pemasok akses ke sistem dan data
mereka satu sama lain, yang menimbulkan kekhawatiran dalam hal
kerahasiaan.
LINGKUNGAN PENGENDALIAN
Faktor-faktor pengendalian lingkungan terdiri dari :
1. Komitmen atas integritas dan nilai-nilai etika
2. Filosofi pihak manajemen dan gaya beroperasi
3. Struktur organisasional
4. Badan audit dewan komisaris
5. Metode untuk memberikan otoritas dan tanggung jawab
6. Kebijakan dan praktik-praktik dalam sumber daya manusia
7. Pengaruh-pengaruh eksternal
AKTIVITAS PENGENDALIAN
Aktivitas pengendalian bertujuan untuk mengarahkan karyawan agar karyawan
dapat bertindak sesuai dengan arahan manajer.
1. Aktivitas yang terkait dengan pelaporan keuangan. Meliputi: Perancangan
dokumen yang baik dan penggunaan dokumen bernomor urut tercetak;
Pemisahan tugas; Otorisasi atas transaksi; Pengamanan yang memadai; Cek
independen atas kinerja rekan sekerja; Penilaian (valuation) atas jumlah
yang mesti dicatat yang tepat
2. Aktivitas yang terkait dengan pemrosesan informasi, meliputi pengendalian
umum dan pengendalian aplikasi. Aktivitas ini membantu memastikan
reliabilitas dan integritas sistem informasi yang memproses informasi
keuangan maupun informasi non keuangan.
Aktivitas pengendalian yang lain yang relevan dengan pelaporan keuangan adalah
review atas kinerja, yang meliputi:
1. Membandingkan anggaran dan nilai aktual
2. Menganalisis kaitan antar data, melakukan investigasi dan tindakan korektif
3. Review atas kinerja fungsional atau area tertentu
TUJUAN PENGENDALIAN INTERNAL :
1. Efektivitas dan efisiensi operasi
2. Reliabilitas pelaporan keuangan
3. Kesesuaian dengan aturan dan regulasi yang berlaku
Proses Pengendalian Internal :
Proses Pengendalian Internal adalah sebuah proses yang dirancang untuk
memastikan bahwa tujuan-tujuan organisasi dapat dicapai, yaitu :
a. Pelaporan keuangan yang handal
b. Efektivitas dan efisiensi operasional organisasi
c. Dipatuhinya semua hukum dan peraturan-peraturan yang diterapkan.
Unsur-unsur dari pengendalian internal :
a. Penetapan risiko
b. Aktivitas pengendalian
c. Informasi dan komuniaksi
d. Monitoring/supervisi
e. Apakah terdapat pemisahan fungsi dan tugas pada bagian akuntansi?
f. Tidak ada perangkapan fungsi / tugas oleh satu individu atau satu
departemen.
g. Apakah dilaksanakan audit internal?
h. Audit internal sebagai aktivitas evaluasi secara independen dalam
organisasi.
Klasifikasi pengendalian internal
Prosedur-prosedur pengendalian khusus yang digunakan dalam sistem
pengendalian internal dan pengendalian manajemen mungkin dikelompokkan
menggunakan empat kelompok pengendalian internal berikut ini:
a. Pengendalian untuk Pencegahan, Pengendalian untuk Pemeriksaan,
dan Pengendalian Korektif
b. Pengendalian umum dan Pengendalian aplikasi
c. Pengendalian Administrasi dan Pengendalian Akuntansi
d. Pengendalian Input, proses, dan output
STRUKTUR PENGENDALIAN INTERNAL
1. Struktur pengendalian internal menurut COSO
2. Lingkungan Pengendalian Internal
3. Penaksiran Risiko
4. Aktivitas Pengendalian
5. Informasi dan Komunikasi
6. Monitoring
LINGKUNGAN PENGENDALIAN INTERNAL
Lingkungan pengendalian internal merefleksikan seluruh sikap dan kesadaran
dewan direksi, komite audit, manager, pemilik, dan karyawan mengenai pentingnya
pengendalian internal sebuah perusahaan. Lingkungan pengendalian merupakan
dasar dari seluruh komponen pengendalian internal yang lain.
Lingkungan pengendalian meliputi:
1. Filosofi manajemen dan gaya operasi. Manajer perlu menjadi contoh
perilaku etis dengan mentaati kode etik perusahaan. Manajer perlu
menyusun kode etik secara formal. Manajer mesti menekankan pentingnya
pengendalian internal dan memperlakukan setiap personel dengan wajar
dengan dengan penuh respek
2. Integritas dan nilai-nilai etika. Perilaku etis dan tidak etis manajer dan
seluruh karyawan akan berdampak besar terhadap keseluruhan struktur
pengendalian internal, menciptakan suasana yang secara signifikan
mempengaruhi validitas proses pelaporan keuangan. Manajemen mesti
secara proaktif memastikan bahwa semua karyawan benar-benar sadar
dengan standard etika perusahaan. Manajemen juga mesti membuat
kebijakan yang mendukung karyawan untuk mencapai tujuan jangka
panjang dan bukan tujuan jangka pendek.
3. Komitmen terhadap kompetensi. Perusahaan mesti merekrut karyawan yang
kompenen dan dapat dipercaya yang memiliki inisiatif dan kreativitas untuk
bereaksi secara cepat terhadap kondisi bisnis yang dinamis. Perusahaan
mesti memilih personil yang memiliki pengetahuan dan ketrampilan yang
memadai untuk menyelesaikan setiap tanggung jawab yang diberikan
kepada karyawan tersebut.
4. Dewan direksi atau komite audit. Dewan direksi semestinya menunjuk
komite audit untuk mengawasi praktik dan kebijakan akuntansi dan
pelaporan keuangan perusahaan. Komite audit merupakan perantara antara
dewan direksi dan auditor internal/eksternal.
5. Struktur organisasi. Struktur organisasi merupakan rerangka hubungan
formal antar personil perusahaan untuk mencapai tujuan organsisasi.
6. Pemberian wewenang dan tanggung jawab. Perusahaan mesti memiliki
deskripsi pekerjaan untuk setiap karyawan. Pendelegasian wewenang dan
tanggung jawab mesti dilakukan dengan baik. Perubahan terhadap sistem
informasi mesti dilakukan melalui persetujuan tertulis.
7. Kebijakan dan praktik sumber daya manusia. Setiap karyawan baru mesti
dikenalkan dengan pengendalian internal, kebijakan etika dan kode etik
perusahaan. Perusahaan mesti perduli dengan undang-undang dan peraturan
ketenagakerjaan yang ditetapkan oleh pemerintah. Perusahaan mesti
memastikan terwujudnya lingkungan kerja yang aman dan sehat.
Perusahaan dapat menyelenggarakan sarana konseling untuk karyawan
yang bermasalah. Perusahaan punya prosedur yang baik untuk karyawan
yang berhenti bekerja
8. Penilaian Resiko
Perusahaan menghadapi jenis-jenis ancaman berikut ini :
a. strategis — melakukan hal yang salah
b. Operasional ── melakukan hal yang benar, tetapi dengan cara yang
salah
c. Keuangan — adanya kerugian sumber daya keuangan, pemborosan,
pencurian atau pembuatan kewajiban yang tidak tepat
d. informasi — menerima informasi yang salah atau tidak relevan,
sistem yang tidak andal, dan laporan yang tidak benar atau
menyesatkan
Perusahaan yang menerapkan sistem EDI harus mengidentifikasi ancaman-
ancaman yang akan dihadapi oleh sistem tersebut, yaitu :
a. Pemilihan teknologi yang tidak sesuai
b. Akses sistem yang tidak diotorisasi
c. Penyadapan transmisi data
d. Hilangnya integritas data
e. Transaksi yang tidak lengkap
f. Kegagalan sistem
g. Sistem yang tidak kompatibel
Beberapa ancaman menunjukkan resiko yang lebih besar karena
probabilitas kemunculannya lebih besar, misalnya :
a. Perusahaan lebih mungkin menjadi korban penipuan komputer
daripada serangan teroris
b. Resiko dan penyingkapan harus diperhitungkan bersama-sama
PENAKSIRAN RISIKO
Manajemen mesti mengidentifikasi dan menaksir risiko yang relevan yang dapat
mencegah perusahaan mencapai tujuan organisasi. Manajer juga mesti menyusun
rencana untuk mengelola risiko yang telah diidentifikasi.
1. Mengidentifikasi risiko internal yang signifikan.
2. Mengidentifikasi risiko eksternal yang signifikan.
3. Menyusun analisis risiko.
4. Manajemen risiko yang relevan.
MONITORING
Tujuan monitoring adalah menaksir kualitas struktur pengendalian internal dari
waktu ke waktu melalui aktivitas monitoring. Contoh aktivitas monitoring:
supervisi atas aktivitas karyawan dari hari ke hari dan audit atas catatan akuntansi.
PAPARAN RISIKO
Setiap perusahaan menghadapi paparan risiko. Paparan risiko dapat berasal dari
pihak internal maupun eksternal perusahaan, seperti dari karyawan, konsumen,
hacker, pelaku criminal dan bencana alam.
Tipe resiko :
a. kesalahan yang tidak disengaja
b. kesalahan yang disengaja
c. pencurian aktiva
d. menjebol keamanan perusahaan
e. tindak kekerasan dan bencana alam
Paparan terhadap risiko dipengaruhi oleh :
a. Frekuensi kejadian. Contoh: penjualan.
b. Kerentanan sebuah aktiva. Contoh kas sangat rentan.
c. Besarnya nilai rupiah.
Masalah yang memperbesar paparan risiko yang dihadapi perusahaan:
a. Kolusi
b. Kurangnya penegakan disiplin
c. Kejahatan komputer
Contoh kejahatan komputer:
a. Pencurian hardware dan software
b. penggunaan komputer tanpa otorisasi untuk kepentingan personal
c. modifikasi atau penggunaan program untuk melakukan kejahatan
Komputer rentan terhadap tindak kejahatan karena :
a. Komputer mengakibatkan pemusatan data dan pemrosesan data
b. jejak audit dalam lingkungan SIA tidak sejelas dalam lingkungan manual
c. Komputer powerful tetapi kompleks dan rentan
Sebagai akibat dari masalah-masalah tersebut diatas, pengendalian keamanan dan
integritas sistem komputer menjadi isu yang penting. Kebanyakan manajer S1A
menunjukkan bahwa risiko pengendalian telah meningkat dalam tahun-tahun
belakangan ini.
Contohnya, penelitian telah menunjukkan bahwa lebih dari 60 persen organisasi
telah mengalami kegagalan besar dalam pengendalian di tahun-tahun belakangan
ini. Beberapa alasan atas peningkatan masalah keamanan adalah sebagai berikut:
a. Peningkatan jumlah sistem klien/server (client/server system) memiliki arti
bahwa informasi tersedia bagi para pekerja yang tidak baik. Komputer dan
server tersedia di mana-mana terdapat PC di sebagian besar desktop, dan
komputer laptop tersedia di tempat umum. Chevron Texaco, contohnya,
memiliki lebih dari 35.000 PC.
b. Oleh karena LAN dan sistem klien/server mendistribusikan data ke banyak
pemakai, mereka lebih sulit dikendalikan daripada sistem komputer utama
yang terpusat. Di Chevron Texaco, informasi didistribusikan di antara
sistem dan ribuan pegawai yang bekerja di tempat lokal dan jarak jauh,
seperti juga secara nasional dan internasional.
c. WAN memberikan pelanggan dan pemasok akses ke sistem dan data
mereka satu sama lain, yang menimbulkan kekhawatiran dalam hal
kerahasiaan. Contohnya, Wal-Mart mengizinkan beberapa vendor tertentu
untuk mengakses informasi khusus di komputernya, sebagai salah satu
persyaratan dalam persekutuan mereka. Bayangkan potensi masalah
kerahasiaan apabila vendor-vendor tersebut juga membentuk persekutuan
dengan para pesaing Wal-Mart, seperti Kmart dan Target.
Sayangnya, banyak organisasi yang tidak secara memadai melindungi data mereka
karena satu atau beberapa alasan berikut ini:
a. Masalah pengendalian komputer sering kali diremehkan dan dianggap
minor. Perusahaan melihat hilangnya informasi yang penting, sebagai
ancaman yang tidak mungkin terjadi. Contohnya, kurang dari 25 persen dari
1.250 partisipan dalam penelitian Ernts & Young berpikir bahwa keamanan
komputer adalah isu yang sangat penting. Gambaran tersebut menurun dari
angka sekitar 35 persen, berdasarkan survei tahun sebelumnya.
b. Implikasi-implikasi pengendalian untuk berpindah dari sistem komputer
yang tersentralisasi dan terpusat dari masa lampau, ke sistem jaringan atau
sistem berdasarkan Internet, tidak benar-benar dipahami.
c. Banyak perusahaan yang tidak menyadari bahwa keamanan data adalah hal
yang penting untuk kelangsungan hidup perusahaan mereka. Informasi
adalah sumber daya strategis, dan perlindungan atas informasi harus
merupakan persyaratan strategis. Contohnya,-suatu perusahaan kehilangan
jutaan dolar selama periode beberapa tahun, karena perusahaan tidak
melindungi transmisi datanya. Salah satu pesaing menyadap saluran
teleponnya dan mendapatkan faks yang berisi desain produk baru yang
dikirim ke pabrik di luar negeri.
d. Tekanan atas produktivitas dan biaya membuat pihak manajemen melepas
ukuran¬-ukuran pengendalian yang memakan waktu.
Banyak CIO yang memperkuat dirinya dari hal-hal yang dapat merupakan banjir
tuntutan pertanggung¬jawaban, akibat pelanggaran keamanan informasi. Apabila
hal ini terjadi, perusahaan bukan hanya membayar kerusakan apa pun yang diderita
dari pelanggaran tersebut, tetapi perusahaan juga dianggap bertanggung jawab atas
kerusakan yang diderita pelanggan.
Contohnya, pada bulan Agustus 2001, setelah melawan Code Red Worm, Qwest
berhadapan dengan perlawanan lain, yaitu melawan kantor jaksa penuntut umum.
Setelah virus tersebut membuat beberapa pelanggan Qwest mendapat gangguan
jangkauan DSL selama 10 hari, 15 hingga 20 pelanggan mengadu ke jaksa penuntut
umum. Walaupun Qwest bersikeras bahwa perusahaan tidak bertanggung jawab
atas serangan yang dilakukan oleh orang lain, jaksa pen untut umum meminta
perusahaan tersebut untuk mengganti rugi para pelanggannya. Dalam waktu singkat
para hakim dan juri akan diputuskan, apabila perusahaan secara hukum dianggap
bertanggung jawab atas keamanan yang tidak memadai.
Walaupun tidak ada tuntutan hukum sebelumnya, para pejabat perusahaan dapat
secara individual bertanggung jawab atas pelanggaran keamanan. Dalam usaha
untuk melindungi infra¬struktur teknologi informasi Amerika, pemerintah mulai
membuat peraturan yang diharapkan dapat mengurangi bahaya tuntutan tertentu.
Akan tetapi, perusahaan akan tetap harus meningkatkan keamanan dan tetap siaga
apabila mereka ingin menghindari pengabulan tuntutan.
Sarah D. Scalet dalam sebuah artikel di CIO, menawarkan tips-tips berikut ini untuk
menghindari pengabulan tuntutan:
a. “Buat dan implementasikan kebijakan keamanan dalam perusahaan.”
Kembangkan kebijakan yang jelas mengenai cara bagaimana perusahaan
menjaga data, dan pastikanbahwa kebijakan tersebut didokumentasikan
dengan baik.
b. “Lakukan audit keamanan.” Pastikan bahwa perusahaan telah mengikuti
kebijakan keamanan informasinya dengan cara mempekerjakan pihak
ketiga untuk meng¬ujinya. Mempekerjakan pihak ketiga dan pihak yang
objektif untuk meninjau keamanan informasi perusahaan, dapat membantu
memperbaiki hal yang selama ini dicari oleh perusahaan, yaitu untuk tetap
jauh dari potensi risiko keamanan.
c. “Mempertimbangkan keamanan dalam kontrak.” Ketika melakukan
outsourcing, perusahaan harus memastikan bahwa perusahaan lain telah
memiliki dan mengikuti prosedur keamanan yang memadai.
d. “Jangan membuat janji yang tidak dapat Anda tepati.” Perusahaan
seharusnya jangan pernah menjanjikan keamanan yang tidak pernah gagal,
selain dari ukuran-ukuran keamanan yang wajar. Membuat janji besar dapat
menyeret Anda ke risiko tuntutan pelanggaran kontrak. “Perhatikan
peraturan-peraturan yang mempengaruhi industri perusahaan Anda.
“Beberapa negara kadang kala memiliki peraturan mengenai perlindungan
atas informasi pelanggan. Pastikan bahwa perusahaan mengetahui peraturan
di negara¬-negara tempat perusahaan menjalankan bisnisnya.
e. Pertimbangkan untuk membeli asuransi e-commerce. “Asuransi maya
melindungi dari risiko on-line yang tidak dilindungi oleh asuransi dasar
bisnis. Asuransi maya meliputi kejadian seperti serangan yang
menyebabkan pengingkaran pelayanan, kode-kode salah yang
menyesatkan, dan isi web yang tidak layak. “Perhatikan hal-hal yang
dilaksanakan oleh perusahaan yang hampir sama dengan perusahaan Anda.
“Tetaplah mencari tahu apa yang dilaksanakan perusahaan lain agar Anda
dapat membuktikan bahwa Anda melakukan usaha sebanyak dengan yang
dilakukan orang ¬lain, dalam hal keamanan.
Untungnya, perusahaan-perusahaan kini menyadari masalah-masalah tersebut dan
mengambil langkah positif untuk meningkatkan pengendalian dan keamanan
komputer.
Contohnya, mereka menjadi proaktif dalam pendekatan mereka. Mereka kini
menyediakan pegawai tetap untuk menangani masalah pengendalian dan
keamanan, serta mendidik para pegawai mereka mengenai ukuran-ukuran
pengendalian.
Banyak perusahaan yang membuat dan menerapkan kebijakan keamanan informasi
secara formal. Mereka membuat pengendalian sebagai bagian dari proses
pengembangan aplikasi, dan memindahkan data yang sensitif keluar dari sistem
klien/server yang tidak aman ke lingkungan yang lebih aman, seperti komputer
utama (mainframe).
Sebagai seorang akuntan, Anda harus memahami bagaimana cara melindungi
system-sistem dari ancaman-ancaman yang mereka hadapi. Anda juga harus
memiliki pemahaman yang baik mengenai teknologi informasi, dan kemampuan
serta risiko¬-risikonya. Pengetahuan ini dapat membantu Anda untuk
menggunakan teknologi informasi dalam rangka mencapai tujuan pengendalian
perusahaan.
Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi
suatu organisasi seharusnya merupakan prioritas utama manajemen puncak.
Walaupun tujuan pengendalian internal tetap sama apa pun metode pemrosesan
datanya, SIA yang berdasarkan komputer membutuhkan kebijakan dan prosedur
pengendalian internal yang berbeda.
Contohnya, walaupun pemrosesan secara komputer mengurangi potensi kesalahan
administrasi, proses ini dapat meningkatkan risiko adanya akses ke file atau
perubahan file data, yang tidak memiliki otorisasi. Sebagai tambahan, memisahkan
fungsi otorisasi, pencatatan, dan penjagaan aset dalam SIA harus dicapai dalam cara
yang berbeda, karena program computer bias jadi bertanggungjawab atas satu atau
lebih atas fungsi-fungsi tersebut. Untungnya, komputer juga memberikan
kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya.
Membantu manajemen dalam mengendalikan organisasi bisnisnya adalah tujuan
utama SIA. Akuntan dapat membantu mencapai tujuan ini dengan cara mendesain
sistem pengendalian yang efektif dan melaksanakan audit (atau peninjauan) atas
sistem pengendalian yang telah ada, untuk memastikan keefektivitasan mereka.
Potensi adanya kejadian atau kegiatan yang tidak diharapkan yang dapat
membahayakan baik SIA maupun organisasi, disebut sebagai ancaman (threat).
Potensi kerugian dalam bentuk uang yang terjadi apabila sebuah ancaman benar-
benar terjadi, disebut sebagai pajanan/dampak (exposure) ancaman, sedangkan
kemungkinan terjadinya ancaman disebut sebagai risiko yang berhubungan dengan
ancaman.
Pihak manajemen berharap akuntan dapat menjadi konsultan pengendalian. Dengan
kata lain, akuntan harus (1) mengambil pendekatan proaktif untuk menghilangkan
ancaman terhadap sistem, dan (2) mendeteksi, memperbaiki, dan memuiihkan
perusahaan dari ancaman apabila suatu ancaman terjadi.
Merupakan hal yang penting untuk diketahui bahwa lebih mudah mengembangkan
pengendalian pada tahap awal desain, daripada menambahkannya setelah terjadi
suatu ancaman. Berdasarkan alasan ini, akuntan dan para ahli pengendalian lainnya
harus menjadi anggota yang lebih penting dalam tim yang mengembangkan atau
mengubah sistem informasi.
Pengendalian internal (internal control) adalah rencana organisasi dan metode
bisnis yang dipergunakan untuk menjaga aset, memberikan informasi yang akurat
dan andal, mendorong dan memperbaiki efisiensi jalannya organisasi, serta
mendorong kesesuaian dengan kebijakan yang telah ditetapkan.
Tujuan-tujuan pengendalian internal ini kadangkala bertentangan satu sama lain.
Contohnya, banyak orang menekankan pada perekayasaan proses bisnis yang
radikal agar mereka bisa mendapat inforniasi yang lebih baik dan cepat, serta untuk
memperbaiki efisiensi operasional.
Pihak lainnya menolak perubahan tersebut karena perubahan mengganggu
penjagaan atas aset perusahaan dan membutuhkan perubahan yang signifikan dalam
kebijakan manajerial.
Berdasarkan COSO, pengendalian internal adalah proses karena hal tersebut
menembus kegiatan operasional organisasi dan merupakan bagian integral-dari
kegiatan manajemen dasar.
Pengendalian internal memberikan jaminan yang wajar, bukan yang absolut, karena
kemungkinan kesalahan manusia, kolusi, dan penolakan manajemen atas
pengendalian, membuat proses ini menjadi tidak sempurna.
COSO menyajikan langkah yang signifikan atas definisi pengendalian internal yang
dahulu terbatas pada pengendalian akuntansi, menjadi pengendalian yang
menangani tujuan yang luas dari para dewan komisaris dan pihak manajemen.
COSO menyajikan langkah yang signifikan atas definisi pengendalian internal yang
dahulu terbatas pada pengendalian akuntansi, menjadi pengendalian yang
menangani tujuan yang luas dari para dewan komisaris dan pihak manajemen.
COSO menentukan 5(lima) komponen Pengendalian Internal yang saling
berhubungan, kelima komponen itu adalah:
Lingkungan pengendalian
Aktivitas pengendalian
Penilaian risiko
Informasi dan komunikasi
Pengawasan