Fraud Tree, COSO Framework 2013, dan Macam Pengendalian Intern secara IT
1. Fraud Tree
Fraud tree intinya terdiri dari 3 komponen utama, yaitu :
a. Korupsi
mencakup bagian sub lagi berupa distorsi ekonomi,
gratifikasi ilegal, konflik kepentingan, dan penyuapan.
1)Konflik kepentingan
Konflik kepentingan terjadi ketika seorang karyawan,
manajer, atau eksekutif memiliki kepentingan ekonomi atau pribadi yang tidak
diungkapkan dalam transaksi yang berdampak negatif mempengaruhi perusahaan.
Konflik kepentingan antara tiga microcategories: pembelian skema, skema
penjualan, dan skema lainnya.
2)Penyuapan
dapat didefinisikan sebagai korban, memberi, menerima, atau
meminta apapun. Nilai untuk mempengaruhi tindakan atau keputusan bisnis resmi.
Tapi penyuapan juga lazim dalam dunia bisnis ketika kontrak dan pengaturan yang
terlibat. Penyuapan mencakup tiga microcategories: suap, persekongkolan tender,
dan lainnya
3)Gratifikasi ilegal
Kasus ini mirip dengan suap, tetapi tidak ada tentu maksud
untuk mempengaruhi keputusan bisnis.
4)Pemerasan ekonomi
Sebagai intinya, kasus ini adalah kebalikan dari kasus
penipuan suap. Alih-alih Vendor yang menawarkan suap, karyawan menuntut
pembayaran dari vendor dalam rangka untuk mendukung vendor.
b.Penyalahgunaan aset
Suatu tindakan menggelapkan atau beralih ke tujuan yang
salah layaknya antara lain perampasan, sebuah istilah yang tidak berarti
pemborosan uang negara, meskipun mungkin berarti seperti itu. Istilah ini juga
dapat merangkul pengambilan dan penggunaan properti yang lain untuk tujuan
tunggal memanfaatkan adil pada niat baik dan reputasi pemilik properti. Penyalahgunaan
aset terbagi menjadi 2 cabang antara lain:
Uang Tunai (Cash)
Di kasus ini berhubungan dengan penyalahgunaan yang
berhubungan kas perusahaan. Ada 3 tipe dalam uang tunai
a)Skimming
kadang disebut penipuan front-end, yaitu dana yang dicuri
sebelum entri pemesanan dibuat. Jadi mungkin akan sangat sulit untuk mendeteksi
skema skimming atau bahkan melihat bahwa uang itu dicuri. Skema Skimming jatuh
ke dalam tiga kelompok: sales (penjualan yang tidak tercatat, understated
sales), piutang (skema write-off, lapping skema, dan unconcealedskema), dan
pengembalian uang.
b)Pencurian
Berbeda dengan skimming, maka larceny yaitu menjarah uang
ketika sudah masuk dalam perusahaan. Dalam fraud tree larceny ada 5 yaitu
billing schemes, Payroll Schemes, Expense Reimbursement Schemes, Check
Tampering dan Register Disbursement
c)Pernyataan pengeluaran
Penyaluran dana yang di buat dari
beberapa rekening perusahaan dalam apa yang
tampaknya menjadi cara yang normal tapi sebenarnya penipuan
Inventarisasi dan aset lainnya (Non-Cash)
Skema yang melibatkan persediaan dan aset lainnya tidak
hampir yang biasa seperti penipuan uang, tetapi keduanya hampir identik
kerugian rata-rata. Seorang karyawan dapat menyalahgunakan persediaan dan aset lainnya
(tidak termasuk kas) di dasarnya dua cara. Aset dapat disalahgunakan (misalnya,
meminjam), atau bisa dicuri.
Pernyataan Palsu
Tindakan yang dilakukan oleh pejabat atau eksekutif suatu
perusahaan atau instansi pemerintah untuk menutupi kondisi Keuangan yang
sebenarnya dengan melakukan rekayasa Keuangan (financial engineering) dalam
penyajian laporan keuangannya
2. Pengendalian Internal Menurut COSO
Secara umum, pengendalian internal merupakan bagian dari
masing-masing sistem yang dipergunakan sebagai prosedur dan pedoman operasional
perusahaan atau organisasi tertentu. Perusahaan umumnya menggunakan Sistem
Pengendalian Internal untuk mengarahkan operasi perusahaan dan mencegah
terjadinya penyalahgunaan sistem.
Pada edisi yang baru, COSO (2013) mendefinisikan pengendalian internal sebagai berikut: "Internal control is a process, affected by an entity's board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance". Pengertian pengendalian internal control menurut COSO tersebut, dapat dipahami bahwa pengendalian internal adalah proses, karena hal tersebut menembus kegiatan operasional organisasi dan merupakan bagian integral dari kegiatan manajemen dasar. Pengendalian internal hanya dapat menyediakan keyakinan memadai, bukan keinginan mutlak. Hal ini menegaskan bahwa sebaik apapun pengendalian internal itu dirancang dan dioperasikan,hanya dapat menyediakan keyakinan yang memadai, tidak dapat sepenuhnya efektif dalam mencapai tujuan pengendalian internal meskipun telah dirancang dan disusun sedemikian rupa dengan sebaik baiknya. Bahkan bagaimanapun baiknya pengendalian internal yang ideal di rancang, namun keberhasilannya bergantung pada kompetisi dan kendala dari pada pelaksanaannya dan tidak terlepas dari berbagai keterbatasan.
Pada edisi yang baru, COSO (2013) mendefinisikan pengendalian internal sebagai berikut: "Internal control is a process, affected by an entity's board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance". Pengertian pengendalian internal control menurut COSO tersebut, dapat dipahami bahwa pengendalian internal adalah proses, karena hal tersebut menembus kegiatan operasional organisasi dan merupakan bagian integral dari kegiatan manajemen dasar. Pengendalian internal hanya dapat menyediakan keyakinan memadai, bukan keinginan mutlak. Hal ini menegaskan bahwa sebaik apapun pengendalian internal itu dirancang dan dioperasikan,hanya dapat menyediakan keyakinan yang memadai, tidak dapat sepenuhnya efektif dalam mencapai tujuan pengendalian internal meskipun telah dirancang dan disusun sedemikian rupa dengan sebaik baiknya. Bahkan bagaimanapun baiknya pengendalian internal yang ideal di rancang, namun keberhasilannya bergantung pada kompetisi dan kendala dari pada pelaksanaannya dan tidak terlepas dari berbagai keterbatasan.
Tujuan pengendalian internal
Dari beberapa pendapat para ahli dapat dijelaskan bahwa tujuan
pengendalian internal yaitu mencakup tiga hal pokok yang dapat diuraikan
sebagai berikut:
1. Tujuan tujuan operasi
yang berkaitan dengan efektivitas dan efisiensi operasi.
Bahwa pengendalian internal dimaksudkan untuk meningkatkan
efektifitas dan efisiensi dari semua operasi perusahaan sehingga dapat
mengendalikan biaya yang bertujuan untuk mencapai tujuan organisasi.
2. Tujuan-tujuan
pelaporan
Bahwa pengendalian internal dimaksudkan untuk meningkatkan
keandalan data serta catatan catatan akuntansi dalam bentuk laporan keuangan
dan laporan manajemen sehingga tidak menyesatkan pemakai laporan tersebut dan
dapat diuji kebenarannya.
3. Tujuan-tujuan ketaatan
terhadap hukum dan peraturan yang berlaku.
Bahwa pengendalian internal dimaksudkan untuk meningkatkan
ketaatan entitas terhadap hukum hukum dan peraturan yang telah ditetapkan
pemerintah, pembuat aturan terkait, maupun kebijakan kebijakan entitas itu
sendiri.
Ketiga tujuan pengendalian internal tersebut merupakan hasil
(output) dari suatu pengendalian internal yang baik, yang dapat dicapai dengan
memperhatikan unsur unsur pengendalian internal yang merupakan proses untuk
menghasilkan pengendalian internal yang baik. Oleh karena itu, agar tujuan
pengendalian internal tercapai, maka perusahaan harus mempertimbangkan unsur
unsur pengendalian internal.
Unsur unsur pengendalian internal
COSO menyatakan mengenai unsur unsur pengendalian internal
sebagai berikut: "Internal control consists of five integrated
components:
1. Control Environment
2. Risk Assessment
3. Control Activities
4. Information And
Communication
5. Monitoring
Activities"
Adapun hubungan diantara kelima tujuan dan komponen komponen
pengendalian internal tersebut digambarkan oleh COSO dalam bentuk kubus sebagai
berikut:
Berdasarkan gambar tersebut menjelaskan bahwa ada suatu
hubungan langsung antara tujuan tujuan sebagai apa yang hendak dicapai entitas
dengan komponen komponen pengendalian internal yang mewakili apa yang
diperlukan untuk mencapai tujuan tujuan itu, serta struktur organisasi entitas
pada setiap tingkatan (divisi, unit, operasi, fungsi, dan lainnya). Ketiga
kategori tujuan tersebut (operasi, pelaporan, dan ketaatan) diwakili oleh
kolom, kemudian kelima komponen pengendalian internal diwakili oleh baris,
sedangkan struktur organisasi entitas direpresentasikan oleh ketiga dimensinya.
Agar lebih jelas berikut ini akan dijelaskan kelima komponen
pengendalian internal tersebut :
1.Lingkungan Pengendalian (Control Invironment)
Lingkungan pengendalian menciptakan suasana pengendalian
dalam suatu organisasi dan mempengaruhi kesadaran personal organisasi tentang
pengendalian. Lingkungan pengendalian merupakan landasan untuk semua komponen
pengendalian internal yang membentuk disiplin dan struktur.
Berdasarkan rumusan COSO, bahwa lingkungan pengendalian
didefinisikan sebagai seperangkat standar, proses, dan struktur yang memberikan
dasar untuk melaksanakan pengendalian internal di seluruh organisasi.
Selanjutnya, COSO menyatakan, bahwa terdapat lima prinsip
yang harus ditegakkan atau dijalankan dalam organisasi untuk mendukung
lingkungan pengendalian agar dapat terwujud dengan baik, yaitu:
a).Organisasi yang terdiri dari dewan direksi, manajemen,
dan personil lainnya menunjukkan komitmen terhadap integritas dan nilai-nilai
etika.
b).Dewan direksi menunjukkan indenpendensi dari manajemen
dan dalam mengawasi pengembangan dan kinerja pengendalian internal.
c).Manajemen dengan pengawasan dewan direksi menetapkan
struktur, jalur pelaporan, wewenang-wewenang dan tanggung jawab dalam mengejar
tujuan.
d).Organisasi menunjukkan komitmen untuk menarik,
mengembangkan, dan mempertahankan individu yang kompetensi sejalan dengan
tujuan.
e).Organisasi meyakinkan individu bertanggung jawab atas
tugas dan tanggung jawab pengendalian internal mereka dalam mengejar tujuan.
2.Penilaian Risiko (Risk Assessment)
Menurut COSO, penilaian risiko melibatkan proses yang
dinamis dan interaktif untuk mengidentifikasi dan menilai risiko terhadap
pencapaian tujuan. Risiko itu sendiri dipahami sebagai suatu kemungkinan bahwa
suatu peristiwa akan terjadi dan mempengaruhi pencapaian tujuan entitas, dan
risiko terhadap pencapaian seluruh tujuan dari entitas ini dianggap relatif
terhadap toleransi risiko yang ditetapkan. Oleh karena itu, penilaian risiko
membentuk dasar untuk menentukan bagaimana risiko harus dikelola oleh
organisasi.
Prinsip-prinsip yang mendukung penilaian risiko menurut COSO
sebagai berikut:
a).Organisasi menetapkan tujuan dengan kejelasan yang cukup
untuk memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan
tujuan.
b).Organisasi mengidentifikasi risiko terhadap pencapaian
tujuan di seluruh entitas dan analis risiko sebagai dasar untuk menentukan
bagaimana risiko harus dikelola.
c).Organisasi mempertimbangkan potensi kecurangan dalam menilai
risiko terhadap pencapaian tujuan.
d).Organisasi mengidentifikasi dan menilai perubahan yang
signifikan dapat mempengaruhi sistem pengendalian internal.
3. Aktivitas Pengendalian (Control Activities)
Menurut COSO, aktivitas pengendalian adalah
tindakan-tindakan yang ditetapkan melalui kebijakan-kebijakan dan
prosedur-prosedur yang membantu memastikan bahwa arahan manajemen untuk
mengurangi risiko terhadap pencapaian tujuan dilakukan. Aktivitas pengendalian
dilakukan pada semua tingkat entitas, pada berbagai tahap dalam proses bisnis,
dan atas lingkungan teknologi.
Aktivitas pengendalian memiliki berbagai macam tujuan dan
diterapkan dalam berbagai tindakan dan fungsi organisasi. Aktivitas
pengendalian meliputi kegiatan yang berbeda,seperti: otorisasi, verifikasi,
rekonsiliasi, analisis, prestasi kerja, menjaga keamanan harta perusahaan dan
pemisahan fungsi.
COSO menegaskan mengenai prinsip prinsip dalam organisasi
yang mendukung aktivitas pengendalian yaitu sebagai berikut:
a).Organisasi memilih dan mengembangkan aktivitas
pengendalian yang berkontribusi terhadap mitigasi risiko pencapaian sasaran
pada tahap yang dapat diterima.
b). Organisasi memilih dan mengembangkan aktivitas
pengendalian umum atas teknologi untuk mendukung tercapainya tujuan.
c).Organisasi menyebarkan aktivitas pengendalian melalui
kebijakan kebijakan yang menetapkan apa yang diharapkan, dan prosedur-prosedur
yang menempatkan kebijakan kebijakan ke dalam tindakan.
4.Informasi Dan Komunikasi (Information And
Communication)
COSO menjelaskan bahwa informasi sangat penting bagi setiap
entitas untuk melaksanakan tanggung jawab pengendalian internal guna mendukung
pencapaian tujuan-tujuannya. Informasi yang diperlukan manajemen adalah
informasi yang relevan dan berkualitas baik yang berasal dari sumber internal
maupun eksternal dan informasi yang digunakan untuk mendukung fungsi
komponen-komponen lain pengendalian internal. Informasi diperoleh ataupun
dihasilkan melalui proses komunikasi antar pihak internal maupun eksternal yang
dilakukan secara terus- menerus, berulang, dan berbagi. Kebanyakan organisasi
membangun suatu sistem informasi untuk memenuhi kebutuhan informasi yang andal,
releva,n dan tepat waktu.
Ada 3 prinsip yang mendukung komponen informasi dan
komunikasi dalam pengendalian internal menurut COSO,yaitu:
a). Organisasi memperoleh atau menghasilkan dan
menggunakan informasi yang berkualitas dan yang relevan untuk mendukung fungsi
pengendalian internal.
b). Organisasi secara internal mengkomunikasikan
informasi, termasuk tujuan dan tanggung jawab untuk pengendalian internal dalam
rangka mendukung fungsi pengendalian internal.
c). Organisasi berkomunikasi dengan pihak
internal mengenai hal-hal yang mempengaruhi fungsi pengendalian internal.
5.Aktivitas Pemantauan (Monitoring Activities)
Aktivitas pemantauan menurut COSO merupakan kegiatan
evaluasi dengan beberapa bentuk apakah yang sifatnya berkelanjutan, terpisah
maupun kombinasi keduanya yang digunakan untuk memastikan apakah masing-masing
dari kelima komponen pengendalian internal mempengaruhi fungsi fungsi dalam
setiap komponen, ada dan berfunsi. Evaluasi berkesinambungan ,(terus menerus)
dibangun ke dalam proses bisnis pada tingkat yang berbeda dari
entitamenyajikanyajikan informasi yang tepat waktu. Evaluasi terpisah dilakukan
secara periodik, akan bervariasi dalam lingkup dan frekuensi tergantung pada
penilaian risiko, efektifitas evaluasi yang sedang berlangsung, bahan
pertimbangan manajemen lainnya. Temuan-temuan dievaluasi terhadap kriteria yang
ditetapkan oleh pembuat kebijakan, lembaga-lembaga pembuat standar yang diakui
atau manajemen dan dewan direksi, dan kekurangan kekurangan yang ditemukan
dikomunikasikan kepada manajemen dan dewan direksi.
Kegiatan pemantauan meliputi proses penilaian kualitas
kinerja pengendalian internal sepanjang waktu, dan memastikan apakah semuanya
dijalankan seperti yang diinginkan serta apakah telah disesuaikan dengan
perubahan keadaan. Pemantauan seharusnya dilakukan oleh personal yang
semestinya melakukan pekerjaan tersebut, baik pada tahap desain maupun
pengoperasian pengendalian pada waktu yang tepat, guna menentukan apakah
pengendalian internal beroperasi sebagaimana yang diharapkan dan untuk
menentukan apakah pengendalian internal tersebut telah disesuaikan dengan
perubahan keadaan yang selalu dinamis.
Keterbatasan pengendalian internal
Pelaksanaan struktur pengendalian internal yang efisien dan
efektif haruslah mencerminkan keadaan yang ideal. Namun dalam kenyataannya hal ini
sulit untuk dicapai, karena dalam pelaksanaannya struktur pengendalian internal
mempunyai keterbatasan-keterbatasan. COSO menjelaskan bahwa pengendalian
internal tidak bisa mencegah penilaian buruk atau keputusan, atau kejadian
eksternal yang dapat menyebabkan sebuah organisasi gagal untuk mencapai tujuan
operasionalnya. Dengan kata lain bahwa sistem pengendalian internal yang
efektif dapat mengalami kegagalan.
Lebih lanjut dikemukakan bahwa keterbatasan-keterbatasan
yang ada mungkin terjadi sebagai hasil dari penetapan tujuan-tujuan yang
menjadi prasyarat untuk pengendalian internal tidak tepat, penilaian manusia
dalam pengendalian keputusan yang dapat salah dan bias, faktor
kegagalan/kesalahan manusia sebagai pelaksana, kemampuan manajemen untuk
mengesampingkan pengendalian internal, kemampuan manajemen, personel lainnya,
ataupun pihak ketiga untuk menghindari kolusi, dan juga peristiwa-peristiwa
eksternal yang berada di luar kendali organisasi.
Keterbatasan bawaan yang melekat dalam setiap pengendalian internal
sebagaimana dikemukakan oleh mulyadi (2003) yaitu:
1. Kesalahan dalam pertimbangan
2. Gangguan
3. Kolusi
4. Pengabaian oleh manajemen
5. Biaya lawan manfaat.
3. Macam pengendalian secara IT
a. Pengendalian Umum (General Control)
Berkaitan
dengan perhatian pada keseluruhan perusahaan, seperti pengendalian atas pusat
data, basis data perusahaan, pengembangan sistem, dan pemeliharaan progam.
Pengendalian organisasi dan otorisasi.
Yang dimaksud dengan pengendalian organisasi adalah secara
umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan
administrator sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya
dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.
Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga perlu
pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan
baik selayaknya sesuai yang diharapkan.
Pengendalian perubahan.
Perubahan-perubahan yang dilakukan terhadap sistem informasi
harus dikendalikan, termasuk pengendalian versi dari sistem informasi tersebut,
catatan perubahan versi, serta manajemen perubahan atas diimplementasikannya
sebuah sistem informasi.
Pengendalian akses fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan akses secara
fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan
akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi sistem
tersebut (misal: windows).
b. Pengendalian aplikasi (Application Control)
Memastikan
integritas sistem tertentu seperti aplikasi pemrosesan pesanan penjualan, utang
usaha, dan aplikasi penggajian.
Macam pengendalian aplikasi, antara lain :
1)Pengendalian Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir sama dengan
pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang
diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna,
hingga pengembangan aplikasi tersebut. Untuk pengendalian akses, terpusat hanya
pada pengendalian logika saja untuk menghindari akses tidak terotorisasi.
2)Pengendalian Input
Pengendalian input memastikan data-data yang dimasukkan ke
dalam sistem telah tervalidasi, akurat, dan terverifikasi.
3)Pengendalian Proses
Pengendalian proses biasanya terbagi menjadi dua tahapan,
yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi
baik yang sementara maupun yang permanen dan (2) tahapan database, proses yang
dilakukan pada berkas-berkas master.
4)Pengendalian Output
Pada pengendalian ini dilakukan beberapa pengecekan baik
secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga
kasat mata.
5)Pengendalian Berkas Master
Pada pengendalian ini harus terjadi integritas referensial
pada data, sehingga tidak akan diketemukan anomali-anomali, seperti:
Anomaly penambahan
Anomaly penghapusan
Anomaly pemuktahiran/pembaruan
Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi bersifat
pervasif saling berhubungan. Dalam arti bilamana pengendalian umum terbukti
jelek, maka berakibat juga pada pengendalian aplikasinya diasumsikan jelek
juga, sedangkan bila pengendalian umum terbukti baik, maka diasumsikan
pengendalian aplikasinya juga baik.
Komentar
Posting Komentar