General Control dan Application Control

Pengendalian diklasifikasikan berdasarkan berbagai kriteria, dan oleh berbagai lembaga. Menurut IAI dan COSO sendiri, pengendalian terdiri atas pengendalian umum (general control) dan pengendalian aplikasi (application control).

A.     GENERAL CONTROL/PENGENDALIAN UMUM

         General Control atau Pengendalian Umum merupakan pengendalian secara menyeluruh (baik aspek fisikal ataupun logikal) yang berdampak terhadap lingkungan sistem informasi computer atau dengan kata lain berhubungan dengan lingkungan computer secara menyeluruh. Tujuan pengendalian umum yaitu untuk lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan data, maka otomatis pengendalian umum mendukung pengendalian aplikasi.

          Contoh: control atas pusat data, pengendalian database organisasi, pengembangan sistem dan pemeliharaan program.

Menurut IAI, pengendalian umum meliputi unsur-unsur sebagai berikut.

•  Pengendalian Organisasi dan Manajemen, meliputi pemisahan fungsi serta kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.

• Pengendalian terhadap Pengembangan dan Pemeliharaan Sistem Aplikasi, untuk memperoleh keyakinan bahwa sistem PDE (Pengolahan Data Elektronik) telah dikembangkan dan dipelihara secara efisien dan ada otorisasinya.

• Pengendalian terhadap Operasi Sistem, untuk poin-poin sebagai berikut:

a.       Sistem digunakan hanya untuk hal-hal yang telah ada otorisasinya

b.      Akses ke operasi komputer hanya diijinkan kepada mereka yang telah memiliki otorisasi

c.       Program yang digunakan juga hanya yang ada otorisasinya

d.      Kesalahan pengolahan dapat dideteksi dan dikoreksi.

•  Pengendalian terhadap Perangkat Lunak Sistem, untuk meyakinkan bahwa perangkat lunak sistem dimiliki dan dikembangkan secara efisien, serta diotorisasikan

• Pengendalian terhadap Entri Data dan Program, struktur otorisasi ditetapkan dengan jelas atas transaksi, serat akses ke data dan program dibatasi hanya kepada mereka yang memiliki otorisasi.

• Pengendalian terhadap Keamanan PDE, menjaga PDE lain yang berhubungan dengan PDE bersangkutan, misalnya digunakannya salinan cadangan (backups) di tempat yang terpisah, prosedur pemulihan (recovery procedures) ataupun fasilitas pengolahan di luar perusahaan dalam hal terjadi bencana.

Keenam kategori tersebut dapat diklasifikasikan menjadi tujuh jenis pengendalian umum, yakni:

-          Pengendalian organisasi dan manajemen

-          Pengendalian piranti lunak dan piranti keras

-          Pengendalian akses

-          Pengendalian data dan prosedur

-          Pengendalian pengembangan sistem baru

-          Pengendalian pemeliharaan sistem dan program

-          Pengendalian dokumentasi

         B.     APPLICATION CONTROL/PENGENDALIAN APLIKASI

Pengendalian Aplikasi (Application Control), dimaksudkan untuk memberikan kepastian bahwa pencatatan, pengklasifikasian, dan pengikhtisaran transaksi sah serta pemutakhiran file-file induk akan menghasilkan informasi yang akurat, lengkap, dan tepat waktu.

Pengendalian aplikasi ini dibagi menjadi tiga kategori pengendalian, yakni pengendalian atas masukan, pengendalian atas pengolahan dan file data komputer, serta pengendalian atas keluaran. Lebih lanjut tujuan pengendalian aplikasi ini adalah untuk memperoleh keyakinan:

1.      Bahwa setiap transaksi telah diproses dengan lengkap dan hanya diproses satu kali

2.      Bahwa setiap data transaksi berisi informasi yang lengkap dan akurat

3.      Bahwa setiap pemrosesan transaksi dilakukan dengan benar dan tepat

4.      Bahwa hasil-hasil pemrosesan digunakan sesuai dengan maksudnya

5.      Bahwa aplikasi-aplikasi yang ada dapat berfungsi terus

Tujuan pengendalian aplikasi :

1.        Input data akurat, lengkap, terotorisasi dan benar

2.      Data diproses sebagaimana mestinya dalam periode waktu yang tepat

3.      Data disimpan secara tepat dan lengkap

4.      Output yang dihasilkan akurat dan lengkap

5.      Adanya catatan mengenai pemrosesan data dari input sampai menjadi output

C.    PERBEDAAN GENERAL CONTROL DENGAN APPLICATION CONTROL

Perbedaan utama antara pengendalian umum(general control) dan pengendalian aplikasi(application control) adalah bahwa sifat pengendalian umum adalah prosedural, sedangkan pengendalian aplikasi bersifat lebih berorientasi pada data. Oleh sebab itu, bagi auditor mungkin saja menilai pengendalian umumnya secara terpisah dari penilaian terhadap pengendalian aplikasi.

Sumber:

1.      Accounting Information System_James A Hall

2.      http://euiskurniasih.blogdetik.com/2011/10/13/general-control-dan-application-control

Perubahan COSO

Seiring berjalannya waktu COSO mengalami perubahan yang semula yaitu tahun 1992 kemudian mengalami perubahan pada tahun 2013. Namun, COSO 2013 hanya mengalami perubahan pada gambar atau skemanya saja sedangkan untuk komponen didalamnya tetap mempertahankan komponen yang telah dibuat COSO pada tahun 1992.

Beberapa perubahan:

Cube COSO 2013 di atas terdiri dari 3 dimensi, yaitu : bagian atas yang merupakan tujuan, bagian depan merupakan 5 komponen dan bagian samping merupakan struktur organisasi. Dari ketiga bagian itu memiliki hubungan langsung antara tujuan, sesuatu yang akan dicapai oleh entitas, komponen/unsur-unsur, yang menunjukkan apa yang dibutuhkan untuk meraih tujuan tersebut dan struktur organisasi yang menunjukan keseluruhan entitas.

Selain ada tujuan, pengendalian internal juga memiliki 5 komponen dan masing-masing komponenya memiliki prinsip, yaitu sebagai berikut :

PENJELASAN :

1.    Control Environment / Lingkungan Pengendalian

Control environment / lingkungan pengendalian merupakan susunan dari standar, proses dan struktur yang menyediakan dasar untuk terlaksananya pengendalian internal dalam organisasi. Ada 5 prinsip yang terkait dengan komponen ini:

1.    Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika.

2.    Dewan pengawas independen terhadap manajemen dan melaksanakan pengawasan terhadap pengembangan dan kinerja pengendalian internal.

3.    Manajemen menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, kewenangan dan tanggung jawab dalam mencapai tujuan.

4.    Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan mempertahankan individu yang kompeten.

5.    Organisasi mendorong individu mengemban akuntabilitas atas tanggung jawabnya terhadap pengendalian internal.

2.    Risk Assessment / Penilaian Resiko

Penilaian resiko ini melibatkan proses yang dinamis dan berulang untuk mengidentifikasi dan menganalisis resiko untuk mencapai tujuan, serta membentuk dasar mengenai bagaimana resiko harus dikelola. Ada 4 prinsip yang berkaitan dengan komponen ini yaitu:

6.    Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk memungkinkan identifikasi dan penilaian risiko.

7.    Organisasi mengidentifikasi risiko pencapaian tujuan di seluruh entitas dan menganalisa resiko sebagai dasar untuk menentukan bagaimana risiko harus dikelola.

8.    Organisasi mempertimbangkan potensi terjadinya fraud dalam menilai risiko terhadap pencapaian tujuan.

9.    Organisasi mengidentifikasi dan mengevaluasi perubahan yang dapat mempengaruhi sistem pengendalian internal secara signifikan .

3.    Control Activities / Aktivitas Pengendalian

Aktivitas Pengendalian merupakan tindakan yang ditetapkan dengan prosedur dan kebijakan untuk meyakinkan bahwa manajemen telah mengarah untuk mengurangi resiko dalam rangka pencapaian tujuan. Ada 3 prinsip dalam komponen ini yaitu:

10.    Organisasi memilih dan mengembangkan kegiatan pengendalian yang berkontribusi mengurangi resiko sampai tingkat yang dapat diterima.

11.    Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas teknologi informasi untuk mendukung tercapainya tujuan.

12.    Organisasi menerapkan kegiatan pengendalian melalui kebijakan yang menetapkan apa yang diharapkan dan prosedur untuk menerapkan kebijakan.

4.    Information & Communication / Informasi dan Komunikasi

Informasi penting untuk entitas melaksanakan tanggungjawab pengendalian internal supaya mendukung pencapaian tujuan. Sedangkan komunikasi sifatnya berkelanjutan, berguna dalam proses pelayanan, diskusi dan menyampaikan informasi penting dalam rangka pelaksanaan pengendalian internal sehari-hari. Ada 3 prinsip dalam komponen ini yaitu:

13.    Organisasi memperoleh atau menghasilkan dan menggunakan, informasi yang ber kualitas dan relevan untuk mendukung berfungsinya seluruh komponen pengendalian internal.

14.    Organisasi mengkomunikasikan informasi secara internal, termasuk tujuan dan tanggung jawab pengendalian internal, yang diperlukan untuk mendukung fungsi pengendalian internal.

15.    Organisasi berkomunikasi dengan pihak luar mengenai hal terkait dengan berbagai hal yang dapat mempengaruhi berfungsinya seluruh komponen internal control.

5.    Monitoring Activities / Aktivitas Monitoring

Evaluasi berkelanjutan, terpisah atau beberapa kombinasi keduanya digunakan untuk mengetahui apakah kelima komponen dari pengendalian internal, apakah ada dan berfungsi. Ada 2 prinsip dalam komponen ini yaitu :

16.    Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan dan / atau terpisah untuk memastikan apakah komponen pengendalian internal eksis dan berfungsi baik.

17.    Organisasi mengevaluasi dan mengkomunikasikan kekurangan pengendalian internal secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil tindakan korektif, termasuk manajemen senior dan dewan direksi.

Fraud Tree (Skema Kecurangan)

Fraud Tree atau bisa disebut juga Skema kecurangan dapat diklasifikasikan dalam beberapa cara yang berbeda. Untuk tujuan diskusi, ACFE mengklasifikasikan tiga kategori besar dari skema kecurangan yaitu: kecurangan laporan, korupsi, dan penyalahgunaan aset.

KECURANGAN LAPORAN

Kecurangan Laporan terkait dengan kecurangan manajemen, semua kecurangan melibatkan beberapa bentuk dari penyajian laporan keuangan yang salah, kecurangan itu sendiri harus membawa manfaat keuangan langsung atau tidak langsung untuk pelaku. Misalnya, kesalahan  penyajian saldo rekening kas untuk menutupi pencurian uang tunai bukan kecurangan laporan keuangan. Atau disisi lain, mengecilkan kewajiban untuk menyajikan gambaran keuangan yang lebih menguntungkan organisasi untuk menaikkan harga saham.

    1.    Financial
            a).  Asset/Revenue Overstatements

                        Timing Differences

                        Fictitious Revenues

                        Concealed Liabilities

                        Improper Disclosures

                        Improper Asset

                  b).  Asset/Revenue Understatements

            2.    Non-Financial

                  a).  Employment Credentials

                  b).  Internal Documents

                  c).  External Documents 

      Kelompok fraud terhadap laporan keuangan, misalnya :

           Memalsukan bukti transaksi; Mengakui suatu transaksi lebih besar atau lebih kecil dari yang seharusnya; Menerapkan metode pengakuan aset sedemikian rupa sehingga aset menjadi nampak lebih besar dibandingkan yang seharusnya; Menerapkan metode akuntansi tertentu secara tidak konsisten untuk menaikan atau menurunkan laba; Menerapkan metode pengakuan liabilitas sedemikian rupa sehingga liabilitas menjadi nampak lebih kecil dibandingkan yang seharusnya

KORUPSI

      Korupsi melibatkan eksekutif, manajer, atau karyawan dari organisasi berkolusi dengan orang luar. Studi ACFE mengidentifikasi empat jenis utama korupsi: penyuapan, gratifikasi ilegal, konflik kepentingan, dan pemerasan ekonomi. Korupsi menyumbang sekitar 10 persen dalam kecurangan kerja.  

        1.  Conflicts of Interest (konflik kepentingan), konflik kepentingan muncul ketika seorang pegawai bertindak atas nama kepentingan pihak ketiga selama melakukan pekerjaannya atau atas nama kepentingan diri sendiri dalam kegiatan yang dilakukannya. Ketika konflik kepentingan pegawai tidak diketahui oleh perusahaan dan mengakibatkan kerugian keuangan, ini berarti telah terjadi fraud.

                Purchases Schemes, yaitu skema pembelian

                Sales Schemes, yaitu skema penjualan

     2. Bribery (penyuapan), Penyuapan melibatkan pemberian, penawaran, permohonan, atau penerimaan sesuatu yang berharga untuk mempengaruhi seorang petugas dalam melakukan pekerjaannya menurut hukum, misalnya:

             Invoice Kickbacks (suap faktur), merupakan salah satu bentuk penyuapan di mana si penjual "mengiklaskan" sebagian dari hasil penjualannya. Persentase yang diiklaskan itu bisa diatur di muka, atau diserahkan sepenuhnya pada "keiklasan" penjual. Kickbacks merupakan korupsi dalam hal pembelian

                 Bid Rigging merupakan korupsi dalam hal penjualan yang merupakan permainan dalam tender

        3.   Illegal Gratuities (persenan ilegal), merupakan pemberian atau hadiah yang merupakan bentuk terselubung dari penyuapan. Hal ini melibatkan pemberian, penerimaan, penawaran, atau permohonan sesuatu yang berharga karena tindakan resmi yang telah dilakukan. Ini mirip dengan suatu penyuapan, tetapi transaksinya terjadi setelah fakta pekerjaan tersebut dilakukan. Contohnya seperti hadiah perkawinan, hadiah ulang tahun, hadiah perpisahan, dll

       4.   Economic Extortion (pemerasan ekonomi), merupakan penggunaan (atau ancaman) kekuatan (termasuk sanksi ekonomi) oleh individual atau organisasi untuk mendapatkan sesuatu yang berharga. Item yang berharga itu dapat berupa aktiva keuangan atau ekonomi, informasi, atau kerjasama untuk mendapatkan suatu keputusan yang menguntungkan atas pekerjaan atau hal tertentu yang sedang ditangani.

PENYALAHGUNAAN ASET

Skema kecurangan yang paling umum melibatkan beberapa bentuk penyelewengan aset dimana aset yang baik secara langsung atau tidak langsung dialihkan untuk keuntungan pelaku. Menurut penelitian ACFE sembilan puluh persen dari kecurangan termasuk dalam kategori umum ini. Transaksi yang melibatkan uang tunai, giro, persediaan, peralatan, dan informasi adalah hal yang paling rentan terhadap penyalahgunaan.

A.   Cash 

             1. Larceny (pencurian). Kas dicuri setelah kas dicatat pada buku perusahaan. Peluang untuk terjadinya penjarahan jenis ini berkaitan erat dengan lemahnya sistem pengendalian intern, khususnya yang berkenaan dengan perlindungan keselamatan aset (safeguarding of assets)

                  a). Of Cash on Hand, yang ditandai dengan tidak adanya penjelasan terhadap selisih kas yang   

                       terjadi

                  b). From the Deposit, yang ditandai dengan slip deposito yang diubah atau disalahgunakan

                 2.  Skimming. Kas dicuri sebelum dilakukan pencatatan pada buku perusahaan

                  a). Sales dengan ciri-ciri penjualan tetap atau menurun dengan harga pokok penjualan yang   

                       meningkat, unrecorded, understated

                  b). Receivables dengan ciri meningkatnya piutang usaha dibandingkan dengan kas, write-off 

                        schemes, lapping schemes

                  c). Refunds & other

                 3.  Fraudulent Disbursements, terjadi ketika arus uang sudah terekam dalam (atau sudah masuk ke) sistem. Fraudulent Disbursements mempunyai tanda tanda awal terjadinya penyalahgunaan kas yaitu meningkatnya pengeluaran ringan (misalnya biaya konsultasi atau iklan), alamat rumah pegawai sama dengan alamat vendor, alamat vendor merupakan PO. BOX, nama vendor terdiri atas inisial huruf atau tujuan bisnis yang tidak jelas. Biasanya terjadi penipuan manajemen. 

                 a)    Billing schemes, merupakan skema permainan (schemes) dengan menggunakan proses billing atau pembebanan tagihan sebagai sarananya. Perusahaan melakukan pengeluaran uang berdasarkan faktur fiktif untuk barang atau jasa yang dibeli, faktur yang di mark up nilainya, atau faktur untuk keperluan pribadi. Hal ini dilakukan melalui :

           -            Shell company 
           -            Non-accomplice vendor 
           -            Personal purchases

       b). Payroll schemes, merupakan skema permainan melalui pembayaran gaji. Perusahaan melakukan pembayaran klaim kompensasi berdasarkan data yang tidak seharusnya. Hal ini dapat berupa : 

           -            Ghost employees

           -            Commission schemes 
           -            Workers’ compensation 
           -            Falsified wages
         c)      Check tampering, pelaku menukarkan dana perusahaan dengan mengubah dana pada salah satu bank perusahaan, atau mencuri cek yang ditujukan untuk pihak lain. Hal ini dapat berupa : 
           -            Forged maker 
           -            Forged endorsement
           -            Altered payee 
           -            Concealed check 
           -            Authorized maker
         d)      Register disbursement schemes, pelaku memasukkan input yang salah pada cash register untuk menutupi uang yang diambil. Hal ini dapat berupa : 
           -            False Voids 
           -            False Refunds

B.     Inventory and all Other Assets

\               1.  Misuse, yaitu penyalahgunaan. Merupakan penyalahgunaan aset

                2.  Larceny, yaitu pencurian. Merupakan pencurian :

                    a). Asset Req. & Transfers

                    b). False Sales & Shipping

                     c). Purchasing & Receiving

                     d). Unconcealed Larceny

 Sumber: Accounting Information System_James A Hall