Yak, dalam
kesempatan kali ini saya akan mencoba membahas mengenai apa itu Committee of
Sponsoring Organizations of the Treadway Commission atau biasa disingkat COSO,
dan mencoba menjelaskan tentang apa internal control menurut COSO, apa saja
definisi dari kelima komponen yang digambarkan COSO dengan analogi kubus, fraud
tree dengan penjelasannya, dan chptr 3 yakni pengendalian umum dan
pengendalian aplikasi, mari kita perhatikan:
Committee of Sponsoring Organizations
of the Treadway Commission (COSO)
Committee of
Sponsoring Organizations of the Treadway Commission,
atau disingkat COSO,
adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985.
Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan
penggelapan laporan
keuangan dan
membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun
suatu definisi umum untuk pengendalian, standar dan kriteria internal yang dapat
digunakan perusahaan untuk menilai sistem
pengendalian mereka.
COSO disponsori
dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional; American
Institute of Certified Public Accountants (AICPA), American
Accounting Association(AAA), Financial
Executives Institute (FEI), The
Institute of Internal Auditors (IIA)
dan The
Institute of Management Accountants (IMA).
Internal Control Menurut COSO
·
Definisi
internal control menurut COSO
Internal
Control menurut COSO adalah suatu proses yang dijalankan oleh dewan direksi,
manajemen, dan staff, untuk membuat reasonable assurance mengenai:
a)
Efektifitas dan efisiensi
operasional
b)
Reliabilitas pelaporan
keuangan
c)
Kepatuhan atas hukum dan
peraturan yang berlaku
·
Menurut
COSO framework, Internal control terdiri dari 5 komponen yang saling terkait,
yaitu:
v
Control Environment
v
Risk Assessment
v
Control Activities
v
Information and communication
v
Monitoring
Pengendalian
intern terdiri dari lima komponen yang saling berkaitan sebagai berikut:
·
Lingkungan
Pengendalian
Lingkungan
pengendalian menetapkan corak suatu organisasi, mempengaruhi
kesadaran pengendalian orang-orangnya. Lingkungan pengendalian
merupakan dasar untuk semua komponen pengendalian intern, menyediakan
disiplin dan struktur. Lingkungan pengendalian menyediakan arahan bagi
organisasi dan mempengaruhi kesadaran pengendalian dari orang-orang yang ada di
dalam organisasi tersebut. Beberapa faktor yang berpengaruh di dalam lingkungan
pengendalian antara lain integritas dan nilai etik, komitmen terhadap
kompetensi, dewan direksi dan komite audit, gaya manajemen dan gaya operasi,
struktur organisasi, pemberian wewenang dan tanggung jawab, praktik dan
kebijkan SDM. Auditor harus memperoleh pengetahuan memadai tentang lingkungan
pengendalian untuk memahami sikap, kesadaran, dan tindakan manajemen, dan dewan
komisaris terhadap lingkungan pengendalian intern, dengan mempertimbangkan baik
substansi pengendalian maupun dampaknya secarakolektif.
·
Penaksiran Risiko
Penaksiran
risiko adalah identifikasi entitas dan analisis terhadap risiko yang relevan
untuk
mencapai
tujuannya, membentuk suatu dasar untuk menentukan bagaimana risiko
harus dikelola. Penentuan risiko tujuan laporan keuangan adalah
identifkasi organisasi, analisis, dan manajemen risiko yang berkaitan dengan
pembuatan laporan keuangan yang disajikan sesuai dengan PABU. Manajemen risiko
menganalisis hubungan risiko asersi spesifik laporan keuangan dengan aktivitas
seperti pencatatan, pemrosesan, pengikhtisaran, dan pelaporan data-data
keuangan. Risiko yang relevan dengan pelaporan keuangan mencakup peristiwa dan
keadaan intern maupun ekstern yang dapat terjadi dan secara negatif
mempengaruhi kemampuan entitas untuk mencatat, mengolah, meringkas, dan
melaporkan data keuangan konsisten dengan asersi manajemen dalam laporan
keuangan. Risiko dapat timbul atau berubah karena berbagai keadaan, antara lain
perubahan dalam lingkungan operasi, personel baru, sistem informasi yang baru
atau yang diperbaiki, teknologi baru, lini produk, produk, atau aktivitas baru,
restrukturisasi korporasi, operasi luar negeri, dan standar akuntansi
baru.
·
Aktivitas
Pengendalian
Aktivitas
pengendalian adalah kebijakan dan prosedur yang membantu menjamin bahwaarahan
manajemen dilaksanakan. Aktivitas tersebut membantu memastikan bahwa tindakan
yang diperlukan untuk menanggulangi risiko dalam pencapaian tujuan entitas.
Aktivitas pengendalian memiliki berbagai tujuan dan diterapkan di berbagai
tingkat organisasi dan fungsi. Umumnya aktivitas pengendalian yang mungkin
relevan dengan audit dapat digolongkan sebagai kebijakan dan prosedur yang
berkaitan dengan review terhadap kinerja, pengolahan informasi, pengendalian
fisik, dan pemisahan tugas. Aktivitas pengendalian dapat dikategorikan sebagai
berikut.
a)
Pengendalian Pemrosesan Informasi
o pengendalian umum
o pengendalian aplikasi
o otorisasi yang tepat
o pencatatan dan dokumentasi
o pemeriksaan independen
b) Pemisahan tugas
c) Pengendalian fisik
d) Telah kinerja
·
Informasi
Dan Komunikasi
Informasi
dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran informasi
dalam suatu bentuk dan waktu yang memungkinkan orang melaksanakan tanggung
jawab mereka. Sistem informasi yang relevan dalam pelaporan keuangan yang
meliputi sistem akuntansi yang berisi metode untuk mengidentifikasikan,
menggabungkan, menganalisa, mengklasikasi, mencatat, dan melaporkan transaksi
serta menjaga akuntabilitas asset dan kewajiban. Komunikasi meliputi penyediaan
deskripsi tugas individu dan tanggung jawab berkaitan dengan struktur
pengendalian intern dalam pelaporan keuangan. Auditor harus memperoleh
pengetahuan memadai tentang sistem informasi yang relevan dengan pelaporan keuangan
untuk memahami :
a) Golongan transaksi dalam operasi entitas yang signifikan bagi laporan keuangan
b) Bagaimana transaksi tersebut dimulai
c) Catatan
akuntansi, informasi pendukung, dan akun tertentu dalam laporan keuangan yang
tercakup dalam pengolahan dan pelaporan transaksi
d) Pengolahan akuntansi yang dicakup sejak
saat transaksi dimulai sampai dengan dimasukkan ke dalam laporan keuangan,
termasuk alat elektronik yang digunakan untuk mengirim, memproses,
memelihara, dan mengakses informasi.
·
Pemantauan
/ Monitoring
Pemantauan
adalah proses yang menentukan kualitas kinerja pengendalian intern sepanjang
waktu. Pemantauan mencakup penentuan desain dan operasi pengendalian tepat
waktu dan pengambilan tindakan koreksi. Proses ini dilaksanakan melalui
kegiatan yang berlangsung secara terus menerus, evaluasi secara terpisah, atau
dengan berbagai kombinasi dari keduanya. Di berbagai entitas, auditor intern
atau personel yang melakukan pekerjaan serupa memberikan kontribusi dalam
memantau aktivitas entitas. Aktivitas pemantauan dapat mencakup penggunaan
informasi dan komunikasi dengan pihak luar seperti keluhan pelanggan dan respon
dari badan pengatur yang dapat memberikan petunjuk tentang masalah atau bidang
yang memerlukan perbaikan. Komponen pengendalian intern tersebut berlaku dalam
audit setiap entitas. Komponen tersebut harus dipertimbangkan dalam hubungannya
dengan ukuran entitas, karakteristik kepemilikan dan organisasi entitas, sifat
bisnis entitas, keberagaman dan kompleksitas operasi entitas, metode yang
digunakan oleh entitas untuk mengirimkan, mengolah, memelihara, dan mengakses
informasi, serta penerapan persyaratan hukum dan peraturan.
·
Fokus Internal Coso:
1.
Fokus Pengguna Utama adalah
manajemen.
2.
Sudut pandang atas internal control
adalah kesatuan beberapa proses secara umum.
3.
Tujuan yang ingin dicapai dari
sebuah internal control adalah pengoperasian sistem yang efektif dan
efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan
peraturan yang berlaku.
4.
Komponen/domain yang dituju adalah
pengendalian atas lingkungan, manajemen resiko, pengawasan serta
pengendalian atas aktivitas informasi dan komunikasi.
5.
Fokus pengendalian dari eSAC adalah
keseluruhan entitas.
6.
Evaluasi atas internal control
ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam poin
waktu tertentu.
7.
Pertanggungjawaban atas sistem
pengendalian dari ESAC ditujukan kepada manajemen.
Kelima
komponen IC di atas memiliki hubungan yang erat satu sama lain. Larry F Konrath
(1999) menggambarkan kelima komponen tersebut bagaikan sebuah bangunan rumah
dimana Lingkungan Pengendalian menjadi pondasinya. Penilaian risiko, aktivitas
pengendalian dan informasi dan komunkasi menjadi pilar-pilarnya. Sedangkan
Monitoring menjadi atapnya. Dengan demikian, sebuah IC akan berjalan secara
efektif jika kelima unsur tersebut terbangun dengan baik dan beroperasi sesuai
proporsinya masing-masing.
Menurut
COSO, semua orang dalam organisasi yaitu Manajemen, Dewan direksi, Komite
Audit, dan Personel lainnya bertanggung jawab terhadap pengendalian internal,
karena semua orang dalam organisasi memiliki peran dalam pengendalian internal,
sehingga pengendalian internal tidak dapat berjalan dengan baik apabila ada
salah satu anggota yang tidak menjalankan perannya dalam pengendalian
internal. Pihak-pihak luar seringkali memberikan kontribusi terhadap
pencapaian tujuan perusahaan, seperti Auditor eksternal, Badan Regulasi dan
legislatif, customer, analis keuangan, dan media massa. Namun demikian pihak
ketiga tersebut tidak bertanggung jawab terhadap pengendalian internal karena
mereka bukan bagian dari organisasi maupun bukan bagian dari sistem pengendalian
internal.
Kelebihan dan Kekurangan Internal Control menurut COSO
·
Kelebihan
1.
Pengendalian internal dapat
membantu suatu entitas mencapai kinerja dan profitabilitas target dan
mencegah hilangnya sumber daya.
2.
Dapat membantu memastikan pelaporan
keuangan yang dapat diandalkan.
3.
Dapat membantu memastikan bahwa
perusahaan sesuai dengan peraturan perundang-undangan
4.
Menghindari kerusakan reputasi dan
lainnya.
·
Kekurangan
Pengendalian intern dapat memastikan
keberhasilan entitas yaitu, ia akan memastikan tercapainya dasar tujuan bisnis
atau setidaknya menjamin kelangsungan hidup. Pengendalian yang efektif hanya
dapat membantu entitas mencapai tujuan tersebut. Hal ini memberikan manajemen
informasi tentang kemajuan entitas, atau kurang dari itu terhadap prestasi
mereka. Tapi pengendalian intern tidak dapat mengubah manajer inheren buruk
menjadi baik. Dan pergeseran kebijakan atau program pemerintah, tindakan
pesaing atau kondisi ekonomi dapat melampaui control manajemen. Control
internal tidak menjamin keberhasilan atau bahkan bertahan hidup
FRAUD TREE DAN PENJELASAANYA
Defenisi Fraud
Secara harafiah fraud didefenisikan sebagai
kecurangan, namun pengertian ini telah dikembangkan lebih lanjut sehingga
mempunyai cakupan yang luas. Black’s Law Dictionary Fraud menguraikan
pengertian fraud mencakup segala macam yang dapat dipikirkan
manusia, dan yang diupayakan oleh seseorang, untuk mendapatkan keuntungan dari
orang lain dengan saran yang salah atau pemaksaan kebenaran, dan mencakup semua
cara yang tidak terduga, penuh siasat. Licik, tersembunyi, dan setiap cara yang
tidak jujur yang menyebabkan orang lain tertipu. Secara singkat dapat dikatakan
bahwa fraud adalah perbuatan curang (cheating) yang
berkaitan dengan sejumlah uang atau properti.
Berdasarkan defenisi dari The Institute of Internal
Auditor (“IIA”), yang dimaksud dengan fraud adalah “An
array of irregularities and illegal acts characterized by intentional deception”:
sekumpulan tindakan yang tidak diizinkan dan melanggar hukum yang ditandai
dengan adanya unsur kecurangan yang disengaja.
Webster’s New World
Dictionary mendefenisikan fraud sebagai
suatu pembohongan atau penipuan (deception) yang dilakukan demi
kepentingan pribadi, sementara International Standards of Auditing seksi
240 – The Auditor’s Responsibility to Consider Fraud in an Audit of
Financial Statement paragraph 6 mendefenisikan fraud sebagai
“…tindakan yang disengaja oleh anggota manajemen perusahaan, pihak yang
berperan dalam governanceperusahaan, karyawan, atau pihak ketiga
yang melakukan pembohongan atau penipuan untuk memperoleh keuntungan yang tidak
adil atau illegal”.
Apapaun itu
defenisinya, menurutku fraud tetaplah fraud,
dimanapun itu dilakukan, baik dilingkungan swasta maupun di sektor publik.
Motifnya sama, yaitu sama-sama memperkacaya diri sendiri/golongan dan modus
operandinya sama, yaitu dengan melakukan cara-cara yang illegal.
Tipologi Fraud
Association of Certified Fraud Examiners (“ACFE”) di Amerika serikat menyusun peta
mengenai fraud. Peta ini berbentuk pohon, dengan cabang dan
ranting. Tiga cabang utama dari fraud tree ini adalah Corruption, Asset
misappropriation dan fraudulent statement. Turunannya
lebih jauh dapat dilihat dalam gambar dibawah.
Ada enam ranting yang
muncul dari cabang corruption. Bandingkan ini dengan 30 (tiga
puluh) jenis tindak pidana korupsi dalam ketentutan perundang-undangan
Indonesia. Cabang kedua adalah Asset Misappropriation yang
dapat diartikan secara bebas sebagai penjarahan kekayaan perusahaan atau
lembaga. Kita bisa membayangkan banyaknya jenis fraud dalam
cabang ini, mulai dari pencurian uang secara terbuka (larceny),
pencurian dan penyalahgunaan (misuse) harta lembaga, sampai pada larceny secara
tidak langsung (rekening bank atas nama pejabat). Cabang ketiga (Fraudulent
Statement) merupakan fraud yang dilakukan dengan
menggunakan cara-cara akuntansi seperti earning managemen dan,
windows dressing. Kausus Enron merupakan contoh nyata dari tipeFraud ini.
Sedangkan Delf (2004)
menambahkan satu lagi tipologi fraud yaitu cybercrime.
Ini jenis fraud yang paling canggih dan dilakukan oleh pihak
yang mempunyai keahlian khusus yang tidak selalu dimiliki oleh pihak
lain. Cybercrimejuga akan menjadi jenis fraud yang
paling ditakuti di masa depan dimana teknologi berkembang dengan pesat dan
canggih.
Motivasi Melakukan
Fraud
Pada umumnya fraud terjadi
karena tiga hal yang mendasarinya terjadi secara bersama, yaitu:
1.
Insentif atau tekanan
untuk melakukan fraud
2.
Peluang untuk
melakuakn fraud
3.
Sikap atau
rasionalisasi untuk membenarkan tindakan fraud.
Ketiga faktor tersebut digambarkan dalam segitiga fraud (Fraud Triangle) berikut:
Opportunity biasanya muncul sebagai akibat lemahnya
pengendalian inernal di organisasi tersebut. Terbukanya kesempatan ini juga
dapat menggoda individu atau kelompok yang sebelumnya tidak memiliki
motif untk melakukan fraud.
Pressure atau motivasi pada sesorang atau
individu akan memebuat mereka mencari kesempatan melakukan fraud, beberapa
contoh pressure dapat timbul karena masalah keuangan pribadi,
Sifat-sifat buruk seperti berjudi, narkoba, berhutang berlebihan dan tenggat
waktu dan target kerja yang tidak realistis.
Rationalization terjadi karena seseorang mencari
pembenaran atas aktifitasnya yang mengandung fraud. Pada umumnya
para pelaku fraud meyakini atau merasa bahwa tindakannya bukan
merupakan suatu kecurangan tetapi adalah suatu yang memang merupakan haknya,
bahkan kadang pelaku merasa telah berjasa karena telah berbuat banyak untuk
organisasi. Dalam beberapa kasus lainnya terdapat pula kondisi dimana pelaku
tergoda untuk melakukan fraud karena merasa rekan kerjanya
juga melakukan hal yang sama dan tidak menerima sanksi atas tindakan fraud tersebut.
Faktor Pemicu Fraud
Terdapat empat faktor
pendorong seseorang untuk melakukan kecurangan, yang disebut juga dengan
teori GONE, yaitu Greed (keserakahan), Opportunity (kesempatan), Need (kebutuhan), Exposure (pengungkapan).
Faktor Greed dan Need merupakan
faktor yang berhubungan dengan individu pelaku kecurangan (disebut juga faktor
individual). Sedangkan faktor Opportunity dan Exposure merupakan
faktor yang berhubungan dengan organisasi sebagai korban perbuatan kecurangan
(disebut juga faktor generik/umum).
1.
Faktor generic
–
Kesempatan (opportunity) untuk melakukan kecurangan tergantung pada
kedudukan pelaku terhadap objek kecurangan. Kesempatan untuk melakukan
kecurangan selalu ada pada setiap kedudukan. Namun, ada yang mempunyai
kesempatan besar dan ada yang kecil. Secara umum manajemen suatu
organisasi/perusahaan mempunyai kesempatan yang lebih besar untuk melakukan
kecurangan daripada karyawan;
–
Pengungkapan (exposure) suatu kecurangan belum menjamin tidak
terulangnya kecurangan tersebut baik oleh pelaku yang sama maupun oleh pelaku
yang lain. Oleh karena itu, setiap pelaku kecurangan seharusnya dikenakan
sanksi apabila perbuatannya terungkap.
2.
Faktor individu
–
Moral, faktor ini berhubungan dengan keserakahan (greed).
–
Motivasi, faktor ini berhubungan dengan kebutuhan (need), yang lebih
cenderung berhubungan dengan pandangan/pikiran dan keperluan pegawai/pejabat
yang terkait dengan aset yang dimiliki perusahaan/instansi/organisasi tempat ia
bekerja. Selain itu tekanan (pressure) yang dihadapi dalam bekerja dapat
menyebabkan orang yang jujur mempunyai motif untuk melakukan kecurangan.
Gejala Adanya Fraud
Fraud (Kecurangan) yang dilakukan oleh manajemen
umumnya lebih sulit ditemukan dibandingkan dengan yang dilakukan oleh karyawan.
Oleh karena itu, perlu diketahui gejala yang menunjukkan adanya kecurangan
tersebut, adapun gejala tersebut adalah:
1.
Gejala kecurangan pada manajemen
§ Ketidakcocokan diantara manajemen puncak;
§ Moral dan motivasi karyawan rendah;
§ Departemen akuntansi kekurangan staf;
§ Tingkat komplain yang tinggi terhadap
organisasi/perusahaan dari pihak konsumen, pemasok, atau badan otoritas;
§ Kekurangan kas secara tidak teratur dan tidak
terantisipasi;
§ Penjualan/laba menurun sementara itu utang dan
piutang dagang meningkat;
§ Perusahaan mengambil kredit sampai batas
maksimal untuk jangka waktu yang lama;
§ Terdapat kelebihan persediaan yang signifikan;
§ Terdapat peningkatan jumlah ayat jurnal
penyesuaian pada akhir tahun buku.
2.
Gejala kecurangan pada karyawan/pegawai
§ Pembuatan ayat jurnal penyesuaian tanpa
otorisasi manajemen dan tanpa perincian/penjelasan pendukung;
§ Pengeluaran tanpa dokumen pendukung;
§ Pencatatan yang salah/tidak akurat pada buku
jurnal/besar;
§ Penghancuran, penghilangan, pengrusakan
dokumen pendukung pembayaran;
§ Kekurangan barang yang diterima;
§ Kemahalan harga barang yang dibeli;
§ Faktur ganda;
§ Penggantian mutu barang.
Perilaku Pelaku Fraud
Berikut merupakan
beberapa perilaku seseorang yang harus menjadi perhatian karena dapat merupakan
indikasi adanya kecurangan yang dilakukan orang tersebut, yaitu:
§ Perubahan perilaku secara signifikan,
seperti: easy going, tidak seperti biasanya, gaya hidup mewah,
mobil atau pakaian mahal;
§ Gaya hidup di atas rata-rata;
§ Sedang mengalami trauma emosional di rumah
atau tempat kerja;
§ Penjudi berat;
§ Peminum berat;
§ Sedang dililit utang;
§ Temuan audit atas kekeliruan (error)
atau ketidakberesan (irregularities) dianggap tidak material ketika
ditemukan;
§ Bekerja tenang, bekerja keras, bekerja
melampaui jam kerja, sering bekerja sendiri.
Fraud dalam
Pengelolaan Keuangan Negara
Bantuan Likuiditas
Bank Indonesia dan Century Gate. Kedua kasus ini memiliki kesamaan, yaitu sama-sama menggunakan
dana talangan yang diberikan pemerintah yang seharusnya untuk menyelamatkan
kondisi modal perbankan namun dana tersebut oleh manajemen malah
diselewengkan untuk kepentingan pribadi atau bisnisnya yang lain.
Pengadaan Barang dan
Jasa. Prof. Dr.
Soemitro Djojohadikusumo pada Kongres ISEI 1993 memperkirakan kebocoran keungan
Negara sekitar 30% dari pengadaan barang dan jasa. Kerugian ini bervariasi dari
department ke department sampai ke tingkat pemerintah daerah. JIka
dilakukan penelitian untuk tahun-tahun sekarang ini kemungkinan persentasenya
akan lebih besar lagi, karena otonomi daerah membawa dampak adanya raja-raja
kecil di daerah yang menuntut bagian proyek pengadaan barang dan jasa.
Penyediaan Barang dan
Jasa Publik. Teorinya pubic
goods disediakan untuk masyarakat luas, tanpa diskriminasi. Namun,
berbagai faktor memberi peluang bagi pihak-pihak tertentu untuk menikmati public
goods seolah-olah itu merupakan private goods bagi
mereka. Contohnya saja jasa keamanan yang merupakan public goods yang
disediakan TNI/Polri dapat dinikmati oleh orang atau perusahaan yang membayar
harga yang tepat. Demikian pula dengan kendaraan, rumah dinas, dll yang diakui
sepihak menjadi hak milik pejabat sebelumnya.
Peran Multinational
Corporation (MNC). Potensi fraud yang
melibatkan perusahaan atau pengusaha asing biasanya terletak pada perizinan
usaha pertambangan dan energi yang bisanya diperoleh dengan cara-cara
penyuapan. Apalagi pemerintah menerapkan production sharing atas
lokasi-lokasi pertambangan di tanah air yang sangat rentan diselewengkan oleh
para operator pertambangan.
Fraud pada Penerimaan Negara. Sebenarnya volume fraud yang
paling besar bukan terletak pada sisi pengeluaran tetapi justru pada penerimaan
Negara, tengok saja kasus Bahasim dan Gayus Tambunan yang meraup kekayaan besar
dalam waktu singkat hanya dengna menyelewengkan prosedur perpajakan, atau
membantu mengurangi jumlah pajak kiennya. Di pemerintah daerah kasusnya lebih
bergam lagi, mulai dari pemetongan sekian persen dari pencairan anggaran,
sampai setoran penerimaan yang banyak dipotong untuk peruntukan yang tidak
jelas.
Pencegahan dan
Pendeteksian Fraud
Dalam mencegah dan
mendeteksi serta menangani fraud sebenarnya ada beberapa pihak
yang terkait: yaitu akuntan (baik sebagai auditor internal, auditor eksternal,
atau auditor forensik) dan manajemen perusahaan. Peran dan tanggung jawab
msaing-masing pihak ini dapat digambarkan sebagai suatu siklus yang dinamakan Fraud
Deterrence Cycle atau siklus pencegahan fraud seperti
gambar dibawah ini.
Corporate Governance dilakukan oleh manajemen yang dirancang
dalam rangka mengeliminasi atau setidaknya menekan kemungkinan terjadinya fraud. Corporate
governance meliputi budaya perusahaan, kebijakan-kebijakan, dan
pendelegasian wewenang.
Transaction
Level Control Process yang
dilakukan oleh auditor internal, pada dasarnya adalah proses yang lebih
bersifat preventif dan pengendalian yang bertujuan untuk memastikan bahwa hanya
transaksi yang sah, mendapat otorisasi yang memadai yang dicatat dan melindungi
perusahaan dari kerugian.
Retrospective
Examination yang dilakukan
oleh Auditor Eksternal diarahkan untuk mendeteksi fraud sebelum
menjadi besar dan membahayakan perusahaan.
Investigation
and Remediation yang dilakukan
forensik auditor. Peran auditor forensik adalah menentukan tindakan yang harus
diambil terkait dengan ukuran dan tingkat kefatalan fraud, tanpa
memandang apakah fraud itu hanya berupa pelanggaran kecil terhdaap
kebijakan perusahaan ataukah pelanggaran besar yang berbentuk kecurangna dalam
laporan keuangan atau penyalahgunaan aset.
Mengapa Pencegahan?
Keberhasilan kegiatan
memerangi fraud, setelah korupsi terjadi adalah suatu ironi
tersendiri dalam upaya penanggualan fraud karena semakin
banyak mendeteksi dan menyelesaikan kasus berindikasi fraud, bukan
merupakan kondisi umum yang dikehendaki masyarakat, sebab pada dasarnya
kejadian fraud bukanlah kejadian yang dikehendaki masyarakat.
Pencegahan fraud bisa
dianalogikan dengan penyakit, yaitu lebih baik dicegah dari pada diobati. Jika
menunggu terjadinya fraud baru ditangani itu artinya sudah ada
kerugian yang terjadi dan telah dinikmati oleh pihak terntu, bandingkan bila
kita berhasil mencegahnya, tentu kerugian belum semuanya beralih ke
pelaku fraud tersebut. Dan bila fraud sudah
terjadi maka biaya yang dikeluarkan jauh lebih besar untuk memulihkannya
daripada melakukan pencegahan sejak dini.
Untuk melakukan
pencegahan, setidaknya ada tiga upaya yang harus dilakukan yaitu (1) membangun
individu yang didalamnya terdapat trust and openness, mencegah
benturan kepentingan, confidential disclosure agreement dancorporate
security contract. (2) Membangun sistem pendukung kerja yang meliputi
sistem yang terintegrasi, standarisasi kerja, aktifitas control dan
sistem rewards and recognition. (3) membangun sistem monitoring
yang didalamnya terkandung control self sssessment, internal
auditor dan eksternal auditor
Peran Internal Auditor
Pendeteksian fraud
oleh auditor internal merupakan salah satu peran dari kegiatan internal
auditing yang dijalankan dalam organisasi. Standards No. 1210.A2
menyatakan sebagai berikut: “The internal auditor should have
sufficient knowledge to identify the indicators of fraud but is not expected to
hace the expertise of a person whose primary responsibility is detecting and
investigating fraud”.
Merujuk pada standar
profesi diatas, auditor internal diharuskan memiliki
pengetahuan yang cukup untuk mendeteksi adanya indikasi fraud dalam
organisasi. Pengetahuan yang harus harus dimiliki auditor internaltermasuk
pula pengetahuan mengenai karakteristik fraud, teknik-teknik yang
digunakan dalam melakukan fraud, dan jenis-jenis fraud yang
mungkin terjadi pada berbagai proses bisnis.
Auditor internal bertanggung jawab dalam mendeteksi fraud
yang mungkin telah terjadi sedini mungkin, sebelum memebawa dampak yang lebih
buruk pada organisasi. Pendeteksian tersebut dapat dilakukan pada
saatmenjalankan kegiatan internal auditing. Pada saat melakukan
audit, auditor internal dapat memfokuskan diri pada area-area yang memeiliki
risiko tinggi terjadinya fraud seperti transaski kas, rekonsiliasi bank, proses
pengadaan, penjualan, dll.
Jika auditor internal
menemukan suatu indikasi terjadinya fraud dalam organisasi, auditor
internal harus melaporkannya kepada pihak-pihak terkait dalam
organsiasi tersebut, seperti audit committee. Auditor internal
dapat memberikan rekomendasi dilakukannya investigasi yang diperlukan untuk
menyelidiki fraud tersebut.
Dalam sektor publik. Auditor
internal dapat dilakukan oleh inspektorat di masing-masing department
dan oleh Badan Pemeriksa Keuangan dan Pembangunan (“BPKP”) berdasarkan
permintaan dari pemerintah. Teknis dan proses auditnya tidak jauh berbeda
dengan yang dilakukan di sektor swasta.
Peran Eksternal
Auditor
Dalam melaksanakan
tanggung jawab profesionalnya seorang auditor eksternal dibatasi oleh
standar-standar auditing yang berlaku. Tanggung jawab auditor sehubungan dengan
fraud dijelaskan secara umum dalam SA seksi 110 – Tanggung jawab dan fungsi
auditor independen paragraph 02: “Auditor bertanggung jawab untuk merencanakan
dan melaksanakan audit untuk memperoleh keyakinan memadai tentang apakah
laporan keuangan bebas dari salah saji material, baik yang disebabkan oleh kekeliruan
atau kecurangan”.
Tanggung jawab auditor
dalam mendeteksi fraud tersebut dijabarkan lebih lanjut dalam
SA seksi 316 – pertimbangan atas kecurangan dalam audit laporan keuangan.
Berdasarkan SA Seksi 316 tersebut, auditor harus secara khusus menaksir risiko
salah saji material dalam laoran keuangan sebagai akibat dari kecurangan dan
harus memperhatikan taksiran risiko ini dalam mendesain prosedur audit yang
akan dilaksanakan. Prosedur audit mungkin berubah apabila terjadi fraud.
Selanjutnya dalam SA
Seksi 317 – Unsur tindakan pelanggaran hukum oleh klien, dijelaskan bahwa
apabila terjadi unsur tindakan pelanggaran hukum (termasuk fraud)
maka auditor akan mengumpulkan informasi tentang sifat pelanggaran, kondisi
terjadinya pelanggaran dan dampak potensialnya terhadap laporan keuangan.
Apabila dibutuhkan auditor dapat berkonsultasi dengan penasehat hukum dan
melakukan prosedur audit tambahan untuk memperoleh pemahaman yang lebih baik
tentang sifat pelanggaran yang terjadi. Terungkapanya fraud, yang
berrdampak pada denda dan kerugian, harus diungkapakan dalam catatan atas
laporan keungan. Lebih jauh lagi, bila fraud yang terjadi
sangat material dan bisa mempengaruhi kewajaran laporan keuangan, maka auditor
tidak dapat memberikan opini “wajar tanpa pengecualian”.
Pada sektor public,
yang menjadi auditor eksternal adalah Badan Pemerika keuangan (“BPK”)
berdasarkan UU No 15 tahun 2004 tentang pemeriksaan pengelolaan dan tanggung
jawab keuangan Negara. Dalam UU ini diatur bahwa BPK melaksanakan pemeriksaaan
atas pengelolaan dan tanggung jawab keungan Negara. Pemeriksaan tersebut
terdiri dari pemeriksaan keuangan, pemeriksaan kinerja, dan pemeriksaan dengan
tujuan tertentu.
Kebijakan Anti Fraud
Beberapa Perusahaan
besar telah menyadari bahaya besar akibat fraud, mereka telah
melakukan perencanaan sedini mungkin terhadap pencegahan fraud ini.
Tengok saja Telkom Grup dan Astra Grup, kedua Perusahaan ini telah
mengantisipasi fraud yang diwujudkan dalam kebijakan
anti fraud yang diterapkan di dalam peruashaan.
1. Telkom Group
Grup Astra memberikan
perhatian yang demikian besar dalam pengembangan praktek Good Corporate
Governance (GCG) dengan standar tinggi. Beberapa paket kebijakan telah
dibuat untuk mendukung GCG diseluruh Astra Grup yang dimonitor oleh Komite
Audit, Komite Renumerasi dan Nominasi, Komite Eksekutif, kelompok Manajemen
Resiko dan Departemen Audit Internal.
Untuk memberikan
petunjuk yang jelas dan bagaimana karyawan melaksanakan tugas-tugasnya, Grup
Astra telah membuat buku pedoman yang komprehensif, yaitu “Pedoman Etika Bisnis
dan kerja”, yang mencakup semua aspek dalam berhubungan dengan pihak ketiga dan
masyarakat luas secara bertanggung jawab dan professional. Selain itu Astra
juga mengeluarkan pedoman lainnya untuk memberikan kepastian dan assurance bahwa
seluruh aktivitas telah menerapkan pola yang sesuai dengan GCG, pedoman-pedoamn
itu yaitu: pedoman sistem audit dan manajemen risiko, pedoman benturan
kepentingan, peraturan mengenai informasi orang dalam, pedoman kewajiban sosial
perusahaan, pedoman manajemen sumber daya manausia, pedoman direksi dan
komisaris Astra, kebijakan pelaporan atas pelanggaran etika, kebijakan atas
penyampaian laporan tahunan dan kebijakan transaksi material dan perubahan
kegiatan usaha.
2. Telkom Group
Sebagai perusahan publik
yang juga melantai di bursa internasional (NYSE dan LSE) Telkom berupaya
mewujudkan tata kelola perusahaan yang bersih sebagai mana tuntutan dari
aturan Sarbanes Oxley Act (SOA) yang dianut Telkom Grup.
Telkom secara berkala terus mengeluarkan berbagai program yang memastikan
kesempatan berbuat curang (fraud) itu tertutup. Didalam program
anti fraud tersebut terdapat code of ethics,whistleblower
policy, organization structure dan Human Resource
Policy.
Program whistleblower yang
diterapkan Telkom dimaksudkan untuk menciptakan sebuah sistem yang memungkinkan
perusahaan dapat melakukan deteksi dini terhadap kemungkinan atau indikasi
adanya fraud, dengan begitu Telkom dapat secara lebih awal melakukan
langkah-langkah koreksi dan mitigasi yang diperlukan untuk mengamankan asset,
reputasi dan risiko kerugian yang mungkin timbul.
Selain itu Telkom juga
menerapkan Enterprise Risk Management (ERM) yang disusun oleh
COSO. Beberapa kebijakan yang dilakukan Telkom terkait penerapan ERM ini antara
lain: (1) peningkatan kebijakan melalui evaluasi, perbaikan, peningkatan,
distribusi dan kebijakan internal untuk mendukung pengelolaan resiko; (2)
Peningkatan pemahaman proses bisnis yang efektif melalui penyederhanaan atau
penghapusan proses bisnis yang kurang efektif; (3) pelaksanaan pengkajian
risiko dan langkah mitigasi yang meliputi inisiatif startegis, RKAP, dan
evaluasi diri atas pengendalian risiko seluruh unit; (4) perlindungan asset
melalui penyediaan informasi yang memadai dan akurat hingga menciptakan efektifitas
dan efisiensi proses bisnis serta kepatuhan terhadap peraturan.
PENGENDALIAN
UMUM DAN PENGENDALIAN APLIKASI
Audit SIA merupakan
proses pengumpulan dan evaluasi bukti-bukti untuk menentukan apakah sistem
komputer yang digunakan telah dapat melindungi aset milik organisasi, mampu
menjaga integritas data, dapat membantu pencapaian tujuan organisasi secara
efektif, serta menggunakan sumber daya yang dimiliki secara efisien (Weber,
2000).
Pada dasarnya, Audit Sistem Informasi
dibedakan menjadi dua kategori, yaitu:
1. Pengendalian Aplikasi (Application
Control)
Tujuan pengendalian aplikasi dimaksudkan untuk
memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara
benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan.
Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum
juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap
efektifitas atas pengendalian-pengendalian aplikasi.
2. Pengendalian Umum (General Control)
Tujuan pengendalian umum lebih menjamin
integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan
integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan
data.
PENGENDALIAN UMUM
Pengendalian umum pada perusahaan dilakukan
terhadap aspek fisikal maupun logikal. Aspek fisikal dilakukan terhadap aset-aset
fisik perusahaan, sedangkan aspek logikal terhadap sistem informasi di level
manajemen (misal: sistem operasi). Pengendalian umum sendiri digolongkan
menjadi beberapa, diantaranya:
a) Pengendalian organisasi
dan otorisasi.
Yang dimaksud dengan pengendalian organisasi
adalah secara umum terdapat pemisahan tugas dan jabatan antara pengguna sistem
(operasi) dan administrator sistem (operasi). Dan juga dapat dilihat bahwa
pengguna hanya dapat mengakses sistem apabila memang telah diotorisasi oleh administrator.
b) Pengendalian operasi.
Operasi sistem informasi dalam perusahaan juga
perlu pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi
dengan baik selayaknya sesuai yang diharapkan.
c) Pengendalian
perubahan.
Perubahan-perubahan yang dilakukan terhadap
sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem
informasi tersebut, catatan perubahan versi, serta manajemen perubahan atas
diimplementasikannya sebuah sistem informasi.
d) Pengendalian akses
fisikal dan logikal.
Pengendalian akses fisikal berkaitan dengan
akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu
perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap
sistem operasi sistem tersebut (misal: windows).
PENGENDALIAN APLIKASI
Pengendalian aplikasi adalah prosedur-prosedur
pengendalian yang didisain oleh manajemen organisasi untuk meminimalkan resiko
terhadap aplikasi yang diterapkan perusahaan agar proses bisnisnya dapat
berjalan dengan baik.
Macam Aplikasi
Aplikasi berwujud perangkat lunak, yang dapat
dibagi menjadi dua tipe dalam perusahaan untuk kepentingan audit PDE:
·
Perangkat
lunak berdiri sendiri
Terdapat pada organisasi yang belum menerapkan
SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada
masing-masing unitnya. Contoh: aplikasi (software) MYOB pada fungsi
akuntansi dan keuangan.
·
Perangkat
lunak di server
Tedapat pada organisasi yang telah menerapkan
SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur
sistemnya memakai sistem client-server . Client hanya
dipakai sebagai antar-muka (interface) untuk mengakses aplikasi
padaserver.
Macam Pengendalian Aplikasi
a. Pengendalian
Organisasi dan Akses Aplikasi
Pada pengendalian organisasi, hampir sama
dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang
diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna,
hingga pengembangan aplikasi tersebut.
Untuk pengendalian akses, terpusat hanya pada
pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu
juga terdapat pengendalian role based menu dibalik
pengendalian akses logika, dimana hanya pengguna tertentu saja yang mampu
mengakses menu yang telah ditunjuk oleh administrator. Hal ini berkaitan erat
dengan kebijakan TI dan prosedur perusahaan berkaitan dengan nama pengguna dan
sandi nya.
b. Pengendalian
Input
Pengendalian input memastikan data-data yang
dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
c. Pengendalian
Proses
Pengendalian proses biasanya terbagi menjadi
dua tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada
berkas-berkas transaksi baik yang sementara maupun yang permanen dan (2)
tahapan database, proses yang dilakukan pada berkas-berkas master.
d. Pengendalian
Output
Pada pengendalian ini dilakukan beberapa
pengecekan baik secara otomatis maupun manual (kasat mata) jika output yang
dihasilkan juga kasat mata.
e. Pengendalian
Berkas Master
Pada pengendalian ini harus terjadi integritas
referensial pada data, sehingga tidak akan diketemukan anomali-anomali,
seperti:
·
Anomaly penambahan
·
Anomaly penghapusan
·
Anomaly
pemuktahiran/pembaruan
Hubungan Pengendalian Umum dan Aplikasi
Hubungan antara pengendalian umum dan aplikasi
bersifat pervasif. Artinya apabila pengendalian umum terbukti jelek, maka
pengendalian aplikasinya diasumsikan jelek juga, sedangkan bila pengendalian
umum terbukti baik, maka diasumsikan pengendalian aplikasinya juga baik
