1. Pendahuluan Perkembangan dunia usaha dewasa ini, khususnya di Indonesia yang sedang mengalami masa kritis, terdapat persaingan yang sangat ketat antara perusahaan yang satu dengan perusahaan yang lainnya. Dengan kondisi yang terjadi di Indonesia ini tidak jarang juga mengakibatkan kehancuran perusahaan karena kalah bersaing dengan perusahaan lain. Persaingan yang ketat tersebut membuat manajer perusahaan meningkatkan sistem pengendalian internal untuk mengontrol kegiatan yang terjadi dalam perusahaan. Istilah sistem pengendalian internal sebelumnya dikenal dengan internal check, maksudnya ialah kegiatan pemeriksaan akurasi (kecermatan) book-keeping yang pada saat ini lazimnya disebut verifikasi “independen” (pemeriksaan ulang secara independen). Istilah pengendalian internal makin popular setelah disahkannya Foreign Corrupt Practice Act of 1997 di USA yang mempengaruhi Security Exchange Act 1934 bahwa perusahaan-perusahaan harus menyelenggarakan pembukuan secara lengkap dan aman (terkontrol). Dalam perkembangannya istilah pengendalian internal digunakan dalam penelitian yang lebih luas, sebagai mekanisme untuk mendukung kebijakan perusahaan, pengamanan aset perusahaan, pendukung mutu operasi dan sebagai persyaratan dicapainya tujuan perusahaan (Gondodiyoto, 2006). Menurut Standar Profesional Akuntan Publik (SPAP) pengendalian intern adalah suatu proses-yang dijalankan oleh dewan komisaris manajemen, dan personel lain entitas yang didesain untuk memberikan keyakinan memadai tentang pencapaian tiga golongan tujuan berikut ini: (a) keandalan pelaporan keuangan, efektivitas dan efisiensi operasi, dan (c) kepatuhan terhadap hukum dan peraturan yang berlaku. Pengendalian internal berawal dari adanya kejatuhan pasar saham tahun 1929, badan legislatif AS mengesahkan dua peraturan untuk mengembalikan kepercayaan dalam pasar modal. Pertama, Undang-undang Sekuritas tahun 1933, yang memiliki dua tujuan yaitu mensyaratkan 1 para investor untuk menerima informasi keuangan dan berbagai informasi penting lainnya yang berkaitan dengan surat berharga yang ditawarkan ke publik untuk dijual, dan melarang pembohongan, penyalahsajian, dan penipuan lainnya dalam penjualan surat berharga. Peraturan yang kedua, Undang-undang Perdagangan Sekuritas tahun 1934, membentuk Securities and Exchange Commission (SEC) dan memberdayakannya dengan kewenangan luas atas semua aspek industri surat berharga, yang meliputi kewenangan berkaitan dengan standar audit. Bagian dari Undang-undang yang mengharuskan semua perusahaan yang bertanggung jawab ke SEC untuk mempertahankan sistem pengendalian internal terdapat kelonggaran sehingga berubah dengan disahkannya Undang-undang Sarbanes-Oxley pada bulan Juli 2002 (Hall, 2007). Selain itu juga ada Undang-undang Hak Cipta pada tahun 1976 yang mengalami beberapa kali revisi dengan menambahkan peranti lunak dan berbagai hak cipta intelektual lainnya ke dalam Undang-undang perlindungan hak cipta yang telah ada. Dengan ditemukannya para eksekutif bisnis AS yang menggunakan dana perusahaan untuk menyuap pejabat luar negeri, isu pengendalian internal yang dulu tidak terlalu diperhatikan oleh para pemegang saham segera menjadi sorotan publik. Dari isu inilah timbul pengesahan Undang-undang Praktik Korupsi Asing tahun 1977 (Foreign Corrupt Practices Act-FCPA). FCPA mensyaratkan perusahaan yang terdaftar di SEC untuk menyimpan catatan yang secara wajar dan logis mencerminkan berbagai transaksi perusahaan dan posisi keuangannya serta mempertahankan sistem pengendalian internal yang memberikan jaminan yang wajar bahwa tujuan perusahaan terpenuhi. (Hall, 2007) Setelah adanya serangkaian skandal saving & loan pada tahun 1980-an, sebuah komite dibentuk untuk menangani berbagai penipuan terkait. Organisasi yang disponsori dan memberikan sponsor, untuk entitas ini adalah Financial Executive International (FEI), Institute 2 of Management Accountants (IMA), American Accounting Association (AAA), AICPA, dan IIA. Komite ini memutuskan untuk berfokus pada model pengendalian internal yang efektif dari perspektif pihak manajemen. Hasilnya adalah model Committee of Sponsoring Organization (COSO). AICPA mengadopsi model ini ke dalam standar auditnya melalui adopsi ke SAS No.78—Pertimbangan Pengendalian Internal dalam Audit Laporan Keuangan (Consideration of Internal Control in a Financial Statement Audit). Terjadinya beberapa penipuan keuangan berskala besar dan kerugian yang timbul yang dialami oleh para pemegang saham, hal ini menimbulkan tekanan dari kongres AS untuk melindungi masyarakat dari peristiwa semacam itu. Tekanan tersebut mengarah pada pengesahan Undang-undang Sarbanes-Oxley pada 30 Juli 2002. Peraturan ini mendukung berbagai usaha untuk meningkatkan kepercayaan publik atas pasar model dengan mencari cara untuk memperbaiki tata kelola perusahaan, pengendalian internal, dan kualitas audit. (Hall, 2007) Dalam perkembangannya ada beberapa alat ukur pengendalian internal, diantaranya menggunakan model Committee of Sponsoring Organization (COSO), Enterprise Risk Management (ERM) dan Statement On Auditing Standards—SAS (SAS78). Masing-masing alat ukur pengendalian internal tersebut memiliki komponen pengendalian yang berbeda-beda. Pada COSO terdapat 5 komponen pengendalian internal yaitu lingkungan pengendalian, penilaian risiko, aktivitas pengendalian, informasi dan komunikasi, dan pengawasan. Sedangkan pada ERM yang merupakan pengembangan dari model COSO memiliki 8 komponen pengendalian yaitu lingkungan internal, penentuan tujuan, identifikasi kejadian, penilaian risiko, respons risiko, kegiatan pengendalian, informasi dan komunikasi dan pengawasan. Pada dasarnya COSO dengan SAS 78 memiliki komponen pengendalian yang sama, yang membedakan adalah dalam 3 SAS 78 elemen-elemen komponen pengendalian dijelaskan lebih detail dibandingkan dengan COSO. Seiring berjalannya waktu, dengan adanya kemungkinan meningkatnya risiko dalam perusahaan dan risiko orang-orang yang berkepentingan apakah pengendalian internal yang diterapkan dapat dipertahankan perusahaan secara terus-menerus. Tujuan penelitian ini adalah untuk menghasilkan dokumentasi perkembangan pengukuran pengendalian internal. Hasil tersebut diharapkan memberikan manfaat bagi peneliti dan pembaca untuk mengetahui perkembangan pengukuran pengendalian internal, selain itu bagi lembaga, hasil ini dapat menjadi bahan untuk menambah sumber pengetahuan yg lebih terstruktur. 1. Committee of Sponsoring Organization (COSO) : Internal Control Pada Oktober 1987 The Treadway Commission Report menghasilkan kajian yang disebut COSO framework/model of internal control (Gondodiyoto, 2006). COSO adalah kelompok sektor swasta yang terdiri dari American Accounting Association (AAA), AICPA, Institute of Internal Auditors, Institute of Management Accountants, dan Financial Executives Institute. COSO menyebutkan sistem pengendalian yang baik harus memenuhi lima komponen pengendalian internal yang saling terkait (Romney and Steinbart, 2006), yaitu: 1. Lingkungan pengendalian merupakan hal dasar bagi komponen COSO yang lain. Manajemen harus paham pentingnya akuntabilitas control, dan memberikan dukungan terhadap control manajemen, dan menyampaikannya kepada seluruh karyawan. Faktorfaktor lingkungan pengendalian terdiri dari: a) Komitmen atas integritas dan nilai-nilai etika merupakan hal yang penting bagi pihak manajemen untuk menciptakan struktur organisasional yang menekankan pada integritas dan nilai-nilai etika. 4 b) Filosofi pihak manajemen dan gaya beroperasi. Semakin bertanggung jawab filosofi pihak manajemen dan gaya beroperasi mereka, semakin besar kemungkinannya para pegawai akan berperilaku secara bertanggung jawab dalam usaha untuk mencapai tujuan organisasi. c) Struktur organisasional perusahaan menetapkan garis otoritas dan tanggung jawab serta menyediakan kerangka umum untuk perencanaan, pengarahan dan pengendalian operasinya. d) Komite Audit Dewan Komisaris. Komite audit bertanggung jawab untuk mengawasi struktur pengendalian internal perusahaan, proses pelaporan keuangannya dan kepatuhannya terhadap hukum, peraturan dan standar yang terkait. e) Metode memberikan otoritas dan tanggung jawab melalui deskripsi pekerjaan secara formal, pelatihan pegawai, dan rencana operasional, jadwal dan anggaran. f) Kebijakan dan praktik-praktik dalam sumber daya manusia g) Pengaruh-pengaruh eksternal 2. Aktivitas pengendalian merupakan kebijakan dan prosedur yang dibuat untuk memastikan dilaksanakannya kebijakan manajemen. Aktivitas pengendalian menurut Romney dan Steinbart, 2006 : a) Otorisasi transaksi didokumentasikan dan sebagai kegiatan yang memadai. penandatanganan, Otorisasi pemberian tanda sering kali paraf, atau memasukkan kode otorisasi atas dokumen atau catatan transaksi. Otorisasi yang diberikan pihak manajemen pada saat aktivitas atau transaksi tertentu disebut otorisasi khusus. Sedangkan otorisasi umum adalah otorisasi yang diberikan pihak manajemen pada pegawai untuk menangani transaksi rutin tanpa persetujuan khusus. 5 b) Pemisahan tugas untuk mencegah para pegawai memalsukan catatan untuk menyembunyikan pencurian aset yang dipercayakan pada mereka. Pemisahan tugas yang efektif ketika fungsi-fungsi ini dipisahkan : Otorisasi – menyetujui transaksi dan keputusan Pencatatan – mempersiapkan dokumen sumber; memelihara catatan jurnal, buku besar dan file lainnya; mempersiapkan rekonsiliasi; serta mempersiapkan laporan kinerja. Penyimpanan – menangani kas, memelihara tempat penyimpanan persediaan, menerima cek yang masuk dari pelanggan, menulis cek atas rekening bank organisasi. c) Desain dan penggunaan dokumen serta catatan yang memadai d) Penjagaan aset dan pencatatan yang memadai e) Pemeriksaan independen atas kinerja. Sub-bagian di dalamnya adalah rekonsiliasi dua rangkaian catatan yang dipelihara secara terpisah, perbandingan jumlah actual dengan yang dicatat, pembukuan berpasangan, jumlah total pengendalian, peninjauan independen. 3. Penilaian resiko merupakan proses pengidentifikasian dan analisa resiko yang berhubungan dengan pencapaian tujuan manajemen serta menentukan cara bagaimana resiko tersebut ditangani. 4. Informasi dan komunikasi. Komponen ini menjelaskan tentang kebutuhan terhadap pemerolehan informasi eksternal dan internal, potensi strategis dan sistem yang terintegras, dan kebutuhan terhadap kualitas data. a) Berhubungan dengan sasaran 6 b) Akurat dan terinci c) Mudah dipahami/ digunakan 5. Pengawasan merupakan proses yang menilai kualitas dari kinerja sistem pengendalian internal dari waktu ke waktu, yang dilakukan dengan melakukan aktivitas monitoring dan melakukan evaluasi secara terpisah. 2. Enterprise Risk Management (ERM) Sembilan tahun setelah COSO mengeluarkan kerangka kerja sebelumnya, kemudian mulai diselidiki bagaimana cara yang efektif untuk mengidentifikasi, menilai, dan mengelola risiko sehingga organisasi dapat meningkatkan proses manajemen risiko. hasilnya adalah dokumen perusahaan yang disempurnakan, disebut Enterprise Risk Management (ERM). ERM memperluas pada unsur-unsur dari kerangka pengendalian internal yang terintegrasi dan memberikan fokus yang mencakup segala pada subjek yang lebih luas dari manajemen risiko perusahaan. tujuannya adalah untuk mencapai semua sasaran dari control framework dan membantu organisasi untuk : 1. memberikan keyakinan yang memadai bahwa tujuan dan sasaran perusahaan tercapai dan meminimalkan masalah yang terjadi. 2. mencapai target keuangan dan kinerja. 3. menilai risiko secara terus menerus dan mengidentifikasi langkah-langkah yang harus diambil dan memiliki sumber daya yang dialokasikan untuk mengatasi atau mengurangi risiko. 4. menghindari publisitas yang merugikan dan merusak reputasi entitas. 7 ERM versi COSO terdiri dari 8 komponen yang saling terkait. Kedelapan komponen ini diturunkan dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen. Kedelapan komponen ini diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan terhadap ketentuan perUndang-undangan. Komponen-komponen tersebut (Romney and Steinbart, 2009) adalah: 1. Lingkungan Internal – Lingkungan internal sangat menentukan warna dari sebuah organisasi dan memberi dasar bagi cara pandang terhadap risiko dari setiap orang dalam organisasi tersebut. Di dalam lingkungan internal ini termasuk, filosofi manajemen risiko dan risk appetite, nilai-nilai etika dan integritas, dan lingkungan di mana kesemuanya tersebut berjalan. 2. Penentuan Tujuan – Tujuan perusahaan harus ada terlebih dahulu sebelum manajemen dapat mengidentifikasi kejadian-kejadian yang berpotensi mempengaruhi pencapaian tujuan tersebut. ERM memastikan bahwa manajemen memiliki sebuah proses untuk menetapkan tujuan dan bahwa tujuan yang dipilih atau ditetapkan tersebut terkait dan mendukung misi perusahaan dan konsisten dengan risk appetite-nya. 3. Identifikasi Kejadian – Kejadian internal dan eksternal yang mempengaruhi pencapaian tujuan perusahaan harus diidentifikasi, dan dibedakan antara risiko dan peluang. Peluang dikembalikan kepada proses penetapan strategi atau tujuan manajemen. 8 4. Penilaian Risiko – Risiko dianalisis dengan memperhitungkan kemungkinan terjadi dan dampaknya (impact), sebagai dasar bagi penentuan bagaimana seharusnya risiko tersebut dikelola. 5. Respons Risiko – Manajemen memilih respons risiko – menghindar, menerima, mengurangi, atau mengalihkan dan mengembangkan satu set kegiatan agar risiko tersebut sesuai dengan toleransi dan risk appetite. 6. Kegiatan Pengendalian – Kebijakan dan prosedur yang ditetapkan dan diimplementasikan untuk membantu memastikan respons risiko berjalan dengan efektif. 7. Informasi dan komunikasi – Informasi yang relevan diidentifikasi, ditangkap, dan dikomunikasikan dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya. 8. Pengawasan – Keseluruhan proses ERM dimonitor dan modifikasi dilakukan apabila perlu. Pengawasan dilakukan secara melekat pada kegiatan manajemen yang berjalan terus-menerus, melalui eveluasi secara khusus, atau dengan keduanya. 3. Control Objectives for Information Technology (COBIT) Menurut Campbell COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, dan COBIT versi 4 yang lebih mengarah kepada IT governance. Information Systems Audit and Control Foundation (ISACF) mengembangkan Control Objectives for Information Technology (COBIT). COBIT adalah sebuah kerangka praktik pengendalian untuk teknologi informasi, dan 9 keamanan sistem informasi yang pada umumnya dapat diaplikasikan. COBIT membantu para manajer untuk mempelajari bagaimana menyeimbangkan risiko dan pengendalian investasi dalam lingkungan sistem informasi (Romney and Steinbart, 2006). COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap pengendalian, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, dan COBIT versi 4 yang lebih mengarah kepada IT governance. COBIT terdiri dari 4 domain (Gondodiyoto, 2006), yaitu: 1. Planning and Organization. Dalam hal ini mencakup pembahasan strategi untuk mengindentifikasi TI sehingga dapat memberikan yang terbaik untuk pencapaian objektif bisnis. 2. Acquisition and Implementation. Untuk merealisasi strategi TI, solusi TI yang perlu diidentifikasi, dikembangkan sebagai implementasi dan diintegrasikan kedalam proses bisnis. 3. Delivery and Support. Dipusatkan pada penyerahan aktual dari syarat servis dengan jarak dari semua operasi keamanan tradisional dan aspek urutan untuk pelatihan. 4. Monitoring. Semua proses TI yang perlu dinilai secara regular agar kualitas dan kelengkapannya berdasarkan pada syarat pengendalian. 4. Statement On Auditing Standards (SAS) No. 78 Pernyataan Standar Audit (Statement On Auditing Standards—SAS) No.78 sesuai dengan berbagai rekomendasi komite organisasi pendukung dari komisi Treadway (Committee of Sponsoring Organizations of the Treadway Commission—COSO). Pengendalian internal, seperti didefinisikan dalam SAS 78, terdiri atas lima komponen: lingkungan pengendalian, penilaian risiko, informasi dan komunikasi, pengawasan, dan aktivitas pengendalian (Hall, 2007). 10 1. Lingkungan pengendalian adalah dasar untuk keempat komponen pengendalian lainnya. Lingkungan pengendalian menetapkan arah perusahaan dan pengaruh kesadaran pihak manajemen dan para karyawannya akan pengendalian. Lingkungan pengendalian memiliki beberapa elemen penting: Nilai integritas dan etika pihak manajemen Struktur perusahaan Keterlibatan dewan komisaris dan komite audit perusahaan, jika ada Filosofi pihak manajemen dan gaya beroperasi Prosedur untuk mendelegasikan tanggung jawab dan wewenang Metode pihak manajemen untuk menilai kinerja Pengaruh eksternal, seperti pemeriksaan oleh lembaga yang berwenang Kebijakan dan praktik perusahaan untuk mengelola sumber daya manusianya. 2. Penilaian Risiko Perusahaan harus melakukan penilaian risiko untuk mengidentifikasi, menganalisis, dan mengelola risiko yang berkaitan dengan pelaporan keuangan. Berbagai risiko dapat timbul dari berbagai perubahan lingkungan, seperti berikut ini: Perubahan dalam lingkungan operasional yang membebankan berbagai tekanan persaingan baru atas perusahaan. Personel baru yang memiliki pemahaman berbeda atau tidak memadai atas pengendalian internal. Sistem informasi baru yang direkayasa ulang sehingga mempengaruhi pemrosesan transaksi. 11 Pertumbuhan yang signifikan dan cepat hingga mengalahkan pengendalian internal yang ada. Implementasi teknologi baru ke dalam proses produksi atau sistem informasi yang berdampak pada pemrosesan transaksi Pengenalan lini baru produk atau aktivitas di mana perusahaan memiliki pengalaman sedikit mengenainya Restrukturisasi organisasional yang mengakibatkan pengurangan dan/atau relokasi personel hingga operasi bisnis serta pemrosesan transaksi terkena pengaruhnya Masuk ke pasar asing yang dapat berdampak pada operasi (contohnya, risiko yang berkaitan dengan transaksi mata uang asing) Adopsi prinsip akuntansi baru yang berdampak pada pembuatan laporan keuangan 3. Informasi dan Komunikasi Sistem informasi akuntansi terdiri atas berbagai record dan metode yang digunakan untuk memulai, mengidentifikasi, menganalisis, mengklasifikasi, serta mendapat berbagai transaksi perusahaan dan untuk menghitung aktiva serta kewajiban yang terkait. Kualitas dari informasi yang dihasilkan oleh SIA berdampak pada kemampuan pihak manajemen untuk melakukan tindakan dan mengambil keputusan sehubungan dengan operasi perusahaan serta untuk membuat laporan keuangan yang andal. Sistem informasi akuntansi yang efektif akan dapat melakukan berbagai hal berikut ini (Hall, 2007): Mengidentifikasi dan mencatat semua transaksi keuangan yang valid Menyediakan informasi secara tepat waktu mengenai berbagai transaksi dalam detail yang memadai untuk memungkinkan klasifikasi dan pelaporan keuangan yang benar 12 Secara akurat mengukur nilai keuangan berbagai transaksi agar pengaruhnya dapat dicatat ke dalam laporan keuangan Secara akurat mencatat berbagai transaksi dalam periode waktu terjadinya 4. Pengawasan adalah proses di mana kualitas dari desain dan operasi pengendalian internal dapat dinilai. Penilaian ini dapat dicapai dengan prosedur yang terpisah atau melalui aktivitas yang berjalan. 5. Aktivitas pengendalian adalah berbagai kebijakan dan prosedur yang digunakan untuk memastikan bahwa tindakan yang tepat telah dilakukan untuk menangani berbagai risiko yang telah diidentifikasi perusahaan. Aktivitas pengendalian dapat dikelompokkan ke dalam dua kategori: pengendalian computer dan pengendalian fisik. Tabel 5.1 Kategori Aktivitas Pengendalian Pengendalian Umum Komputer Pengendalian Aplikasi Verifikasi independen Aktivitas Pengendalian Otorisasi transaksi Pemisahan tugas Fisik Supervisi Catatan akuntansi Pengendalian akses Sumber : Audit dan Assurance Teknologi Informasi 1 (ed.2) – James A. Hall, 2007 13 Pengendalian computer membentuk bagian yang merupakan perhatian utama. Pengendalian ini, yang secara khusus berkaitan dengan lingkungan TI dan audit TI, digolongkan dalam dua kelompok umum: pengendalian umum (general control) dan pengendalian aplikasi (application control). Pengendalian umum berkaitan dengan perhatian tingkat keseluruhan perusahaan, seperti pengendalian terhadap pusat data, basis data perusahaan, akses sistem, pengembangan sistem, dan pemeliharaan program. Pengendalian aplikasi memastikan integritas sistem tertentu seperti pemrosesan pesanan penjualan, utang usaha, dan aplikasi penggajian. Pengendalian fisik terutama berhubungan dengan sistem akuntansi tradisional yang menggunakan prosedur manual. Namun, pemahaman atas konsep pengendalian ini juga memberikan pandangan atas berbagai risiko dan kekhawatiran dalam pengendalian yang berkaitan dengan lingkungan TI. Enam kategori tradisional aktivitas pengendalian: Otorisasi Transaksi. Tujuan dari otorisasi transaksi adalah untuk memastikan bahwa semua transaksi material yang diproses oleh sistem informasi valid dan sesuai dengan tujuan pihak manajemen. Otorisasi dapat bersifat umum atau khusus. Otorisasi umum diberikan pada personel operasional untuk melakukan operasi rutin. Sebaliknya, otorisasi khusus berkaitan dengan keputusan kasus per kasus yang berhubungan dengan transaksi nonrutin. Pemisahan tugas dapat berupa bermacam bentuk, tergantung pada tugas tertentu yang harus dikendalikan. Tiga tujuan pemisahan tugas : a. Pemisahan tugas seharusnya sedemikian rupa sehingga otorisasi untuk suatu transaksi terpisah dari pemrosesan transaksi tersebut. 14 b. Tanggung jawab untuk penyimpanan aktiva seharusnya terpisah dari tanggung jawab pencatatan. c. Perusahaan seharusnya distrukturisasi agar jika ada penipuan maka penipuan hanya dapat dilakukan lewat kolusi antara dua atau lebih individu dengan pekerjaan yang tidak saling bersesuain (kompatibel). Dengan kata lain, tidak ada satu orang yang memiliki akses cukup ke aktiva dan catatan pendukungnya, untuk melakukan penipuan. Supervisi. Implementasi pemisahan tugas yang memadai mengharuskan perusahaan mempekerjakan sejumlah besar karyawan. Mewujudkan pemisahan tugas yang memadai sering kali menimbulkan berbagai kesulitan bagi perusahaan kecil. Catatan Akuntansi. Catatan akuntansi tradisional suatu perusahaan terdiri atas dokumen sumber, jurnal dan buku besar. Catatan-catatan ini menangkap aspek ekonomi transaksi dan menyediakan jejak audit peristiwa ekonomi. Pengendalian Akses. Tujuan pengendalian akses adalah untuk memastikan hanya personel yang sah saja yang memiliki akses ke aktiva perusahaan. Akses tidak sah mengekspos aktiva ke penyalahgunaan, pengrusakan, dan pencurian. Jadi, pengendalian akses memainkan bagian penting dalam pengamanan aktiva (Hall, 2007). 6. Sarbanes-Oxley Act (SOA) SOX / SOA adalah kepanjangan dari Sarbanes-Oxley Act, yang merupakan gabungan dua nama Senator Sarbanes dan Anggota Dewan Oxley di USA, yang memelopori perlunya pemberlakuan sebuah Undang-undang yang mengatur pengendalian internal sebuah perusahaan yang konsentrasinya pada aktivitas- aktivitas yang mempunyai konsekuensi pada 15 financial. Sarbanes-Oxley Act (Sarbox) merupakan peraturan yang ditandatangani Presiden George W. Bush pada tanggal 30 Juli 2002 untuk mereformasi dunia pasar modal Amerika Serikat yang sempat terguncang oleh skandal akuntansi yang menimpa Enron dan WorldCom. Seperti yang dinyatakan pada bagian awalnya “To protect investors byimproving the accuracy and reliability of corporate disclosures made pursuant to thesecurities laws, and for other purposes”, Undang-undang ini diharapkan dapat memberikan kepastian atas realibilitas laporan keuangan yang dipublikasikan dan meningkatkan kepercayaan diri pasar modal Amerika Serikat dengan memaksa perusahaan terbuka untuk memperbaiki pengungkapan laporan keuangannya. Sarbanes Oxley Act diprakarsai oleh Senator Paul Sarbanes (Maryland) dan Michael Oxley (Ohio). Undang-undang ini dikeluarkan untuk merespon skandal keuangan yang terjadi di beberapa korporasi besar di Amerika yang sangat mempengaruhi perekonomian negara secara signifikan (Gondodiyoto, 2006:229). Undang-undang ini disebut-sebut sebagai perubahan terbesar dalam pengaturan pengelolaan perusahaan dan pelaporan keuangan sejak Undang-undang Keuangan pertama kali ditetapkan di tahun 1933 dan 1934. Tujuan dari SOA adalah melindungi investor lewat pengungkapan keuangan yang lebih akurat, tepat waktu, komprehensif, dapat dimengerti, tata kelola perusahaan yang lebih baik, dan pengawasan yang lebih ketat dengan pembentukan PCAOB (Publik Company Accounting Oversight Board). Peraturan ini mengikat semua perusahaan publik yang mencatatkan bursanya di pasar modal Amerika Serikat dan kantor akuntan yang memeriksanya baik kantor akuntan tersebut berada dalam yurisdiksi Amerika Serikat maupun bukan (Romney, 2009). 16 7. Pengendalian model CoCo The Canadian Institute of Chartered Accountants Criteria of Control Committee (CoCo) menyusun model pengedalian internal yang mirip dengan COSO tetapi mempunyai perbedaan. Perbedaannya terdapat pada CoCo memfokkuskan pada empat pertanyaan utama yakni: 1. Apakah perusahaan/institusi mempunyai tujuan yang benar ? 2. Apakah perusahaan tersebut mempunyai aktivitas pengendalian yang memadai? 3. Apakah perusahaan tersebut mempunyai kapabilitas, komitmen dan lingkungan yang tepat? 4. Apakah perusahaan tersebut melakukan monitoring, pembelajaran dan mengadaptasi? CoCo mempunyai empat komponen untuk menjawab keempat pertanyaan tersebut yakni purpose, commitment, capability dan monitoring dan learning. Keempat komponen tersebut merupakan siklus yang sangat mudah dipahami. CoCo membangun landasan COSO dengan mengidentifikasi komponen-komponen yang sama tetapi CoCo melebihi COSO dalam melihat apakah suatu organisasi mempunyai tujuan dan aktivitas pengendalian yang tepat. CoCo menekankan pada komitmen dan kapabilitas sebagai bagian yang penting dalam proses pembelajaran suatu organisasi untuk meyakinkan apakah lingkungan pengendalian mendukung perbaikan yang terus menerus dan pada saat yang sama mencegah risiko atas ketidaktercapaian tujuan organisasi. Seperti juga COSO, model CoCo dapat diaplikasikan pada bentuk organisasi apapun, pada setiap level tingkatan yang dapat memungkinkan adanya respon secara umum atas SPI menyeluruh (Sukma, 2011). Model CoCo dikembangkan di Kanada. Kriteria yang digunakan dalam CoCo adalah sebagai berikut : Tujuan 1. Tujuan harus dinyatakan dan dikomunikasikan kepada seluruh stakeholder 17 2. Risiko signifikan baik dari dalam maupun luar organisasi yang terkait dengan pencapaian tujuan harus diidentifikasikan dan dinilai. 3. Kebijakan yang didesain untuk mendukung pencapaian tujuan organisasi dan pengelolaan risik harus dibuat, dikomunikasikan dan dipraktekan sehingga pegawai mengerti apa yang diharapkan dan kebebasan yang diperlukan untuk bertindak. 4. Perencanaan untuk menuntun pencapaian tujuan organisasi harus disusun dan dikomunikasikan. 5. Tujuan dan perencanaan terkait harus mencantumkan target dan indicator kinerja. Komitmen 1. Nilai-nilai etika termasuk integritas harus dibuat secara formal, dikomukasikan kepada seluruh stakeholder dalam organisasi. 2. Kebijakan dan praktek managemen SDM harus konsisten dengan etika dan nilai-nilai dan pencapaian tujuan. 3. Wewenang, tanggungjawab dan tanggungjelasan harus secara jelas didefinisikan dan konsisten dengan tujuan oerganiasi sehingga keputusan-keputusan dan pelaku-pelaku diperagakan dengan benar oleh pegawai. 4. Atmosfir kepercayaan yang tinggi harus dipelihara dan didukung oleh informasi yang mengalir antara pegawai dan kinerja mereka dalam mendukung pencapaian tujuan organisasi. Kemampuan 1. Pegawai harus memiliki pengetahuan, keahlian dan peralatan yang cukup untuk mendukung pencapaian tujuan organisasi. 2. Proses komunikasikan harus mendukung nilai dan pencapaian organisasi atas tujuan yang telah ditetapkan. 18 3. Informasi yang cukup dan relevan harus diidentifikasi dan dikomunikasikan pada saat yang tepat sehingga pegawai dapat menjalankan tugasnya dengan baik. 4. Tujuan dan aktivitas dari bagian yang berbeda dalam suatu organisasi harus dikoordinasikan. 5. Aktivitas pengendalian harus didesain sebagai kesatuan yang menyeluruh dari suatu organisasi dengan mempertimbangkan tujuan, risiko dan hubungan terkait antar komponen pengendalian. Pengawasan dan Pembelajaran 1. Lingkungan internal dan eksternal harus diminitor untuk memperoleh informasi sehingga tujuan dan pengendalian organisasi tetap mutakhir. 2. Kinerja harus dimonitor dibandingkan dengan target dan indikator yang telah ditetapkan. 3. Asumsi yang digunakan dalam penentuan tujuan dan sistem harus secara periodik dikaji ulang. 4. Informasi yang dibutuhkan harus dikaji terus menerus sesuai dengan adanya perubahan tujuan atau adanya pelaporan yang menunjukan penyimpangan. 5. Prosedur tindaklanjut harus disusun dan dilakukan untuk menjamin bahwa perubahan dan kegiatan yang tepat dilakukan. 6. Manajemen secara periodik menilai mengkomunikasikan yang tepat dilakukan. 19 efektivitas pengendalian dan kemudian 8. Metode penelitian Metode penelitian yang digunakan adalah deskriptif dengan pendekatan studi kepustakaan yaitu segala usaha untuk mengumpulkan data melalui sumber-sumber tertulis maupun dari sumbersumber internalet yang dapat diakses secara online, seperti buku, artikel-artikel dalam majalah, surat kabar, buletin, jurnal, makalah, dan lain-lain. Dalam mengumpulkan data, penulis mendapatkan kesulitan karena jurnal-jurnal yang melaporkan penelitian sesuai dengan yang dibutuhkan terlalu sedikit. Sehingga penulis lebih banyak mendapatkan data-data yang diperlukan melalui buku dan juga tulisan-tulisan yang diterbitkan oleh asosiasi. Dalam penelitian ini terdapat beberapa metode atau pendekatan untuk mengukur pengendalian internal dalam perusahaan, yaitu menggunakan metode COSO, COBIT, ERM, SAS 78, Sarbanes-Oxley, dan CoCo. 9. Analisis dan Pembahasan Dengan adanya berbagai risiko yang ada dalam perusahaan diperlukan sistem pengendalian internal untuk mengurangi risiko-risiko tersebut. Tetapi sering kali sistem pengendalian internal yang ada tidak dapat bertahan untuk jangka waktu yang panjang. Sehingga perlu dikembangkan dari sistem yang telah ada sebelumnya untuk mendapatkan hasil yang lebih baik mengingat teknologi informasi juga semakin berkembang. Dari pernyataan diatas dapat digambarkan perbandingan konsep pengendalian internal dalam tabel sebagai berikut : 20 9.1 Tabel Perbandingan Konsep Pengendalian Internal Penonton COSO COBIT SAS 78 ERM SOA CoCo Manajemen Manajemen, pengguna, Auditor eksternal Manajemen Manajemen Manajemen, auditor Proses Proses Proses Elemen dari sebuah utama Sudut pandang auditor sistem informasi Proses Mengatur proses termasuk pengendalian kebijakan, prosedur, organisasi (termasuk sumber internal praktek dan struktur daya, sistem proses, budaya, organisasi struktur dan tugas) yang bila digabungkan mendukung orang dalam mencapai tujuan Tujuan Operasi yang efektif Operasi kerahasiaan yang Operasi yang efektif Operasi yang efektif dan Operasi yang Operasi keandalan organisasi dan efisien, laporan efektif dan efisien, dan efisien, laporan efisien, laporan efektif dan efisien, pelaporan internal dan keuangan yang dapat integritas dan ketersediaan keuangan yang dapat keuangan yang dapat laporan keuangan ekstrnal, kepatuhan terhadap diandalkan, informasi pelaporan diandalkan, kepatuhan diandalkan, kepatuhan yang dapat hukum dan peraturan dan kepatuhan terhadap keuangan yang dapat terhadap hukum dan terhadap hukum dan diandalkan, kebijakan internal hukum dan peraturan diandalkan, kepatuhan peraturan peraturan kepatuhan terhadap hukum dan terhadap hukum peraturan dan peraturan 21 Komponen Komponen : Domain : Komponen : Komponen : Komponen : Komponen : atau domain 1. Lingkungan 1. Perencanaan dan 1. Lingkungan 1. Lingkungan Internal 1. Lingkungan 1. Tujuan pengendalian 2. Penentuan Tujuan pengendalian 2. Komitmen 2. Penilaian resiko 3. Identifikasi Kejadian 2. Penilaian resiko 3. Kemampuan 3. Informasi dan 4. Penilaian Risiko 3. Informasi dan 4. Pengawasan dan komunikasi 5. Respons Risiko komunikasi pembelajaran 4. Pengawasan 6. Kegiatan 4. Pengawasan pengendalian 2. Penilaian resiko 3. Aktivitas pengendalian 4. Informasi dan komunikasi Organisasi 2. Perolehan dan Implementasi 3. Penyerahan dan Pendukung 4. Monitoring 5. Pengawasan 5.Aktivitas Pengendalian pengendalian: 7. Informasi dan a.Komputer Keseluruhan entitas Teknologi informasi pengendalian komunikasi b. Fisik Fokus 5. Aktivitas 8. Pengawasan Laporan keuangan Keseluruhan entitas Keseluruhan Keseluruhan entitas entitas Tanggung Manajemen Manajemen Manajemen Manajemen jawab Sumber : Audit Sistem Informasi edisi pertama – Sanyoto Gondodiyoto, 2006 22 Manajemen Manajemen Dari ketiga sumber yang di dapat yaitu Audit Sistem Informasi edisi pertama (Gondodiyoto, 2006), Hall, 2007 dan Sukma, 2011 dapat digambarkan tabel di bawah ini : Tabel Perkembangan Pengendalian Internal Pengembangan dari COSO Perkembangan IT •COSO •1992 •COBIT •1996 Skandal Saving and Loan •SAS 78 •1998 Perkembangan auditing •ERM •9 thn setelah terbentuknya COSO •SarbanesOxley Act •2002 Pengembangan dari COSO •CoCo •di Kanada Skandal Enron dan WorldCom COSO mulai berkembang saat terjadinya skandal Saving and Loan .pada tahun 1985. Kasus skandal penipuan atas penggelapan uang yang dilakukan oleh Keating. Dia menggunakan pengaruh politik juga relasi untuk dapat uang dan bebas dari tuduhan. Dia juga menjual real estate dengan tipuan yang canggih yaitu memanfaatkan kebaikan orang. Orang juga diyakinkan karena ada sistem kredit rumah, jadi orang bisa membeli rumah dengan pinjaman yang setara dengan pinjamannya. Sehingga negara mengalami kerugian besar karena banyak orang yang tidak lagi mengembalikan pinjaman (The New York Times, 7 Agustus 2012). COSO mulai diberlakukan pada tahun 1992. Model ini cocok digunakan untuk semua perusahaan karena model COSO adalah model yang umum dan mudah diterapkan dalam pengendalian internal perusahaan. Dengan adanya perkembangan teknologi informasi yang semakin maju maka akan meningkatkan 23 sistem pengendalian internal yang berbasis komputer. Oleh sebab itu IT governance Institute (ITGI) yang merupakan bagian dari Information Systems Audit and Control Association (ISACA) mengembangkan COBIT pada tahun 1996. Menurut Campbell, 2005 COBIT merupakan suatu cara untuk menerapkan IT governance. COBIT berupa kerangka kerja yang harus digunakan oleh suatu organisasi bersamaan dengan sumber daya lainnya untuk membentuk suatu standar yang umum berupa panduan pada lingkungan yang lebih spesifik. Secara terstruktur, COBIT terdiri dari seperangkat contol objectives untuk bidang teknologi informasi, dirancang untuk memungkinkan tahapan bagi audit. Dalam mengaudit laporan keuangan telah dibentuk standar audit oleh GAAS (generally accepted auditing standards). Standar audit dibagi ke dalam tiga golongan : standar kualifikasi umum, standar kegiatan lapangan, dan standar pelaporan. Selain itu GAAS membentuk kerangka kerja yang menentukan kinerja auditor, akan tetapi standar tersebut tidak cukup terperinci untuk memberikan petunjuk yang berarti dalam kondisi-kondisi tertentu. Untuk memberikan petunjuk yang terperinci, lembaga akuntan publik bersertifikat di Amerika (AICPA) menerbitkan pernyataan standar audit (Statements on Auditing Standards—SAS) sebagai interpretasi legal atas GAAS. SAS sering kali disebut sebagai standar audit, atau GAAS, walaupun SAS bukanlah sepuluh Standar Audit yang Berterima Umum. SAS yang pertama (SAS 1) diterbitkan oleh AICPA pada tahun 1972. Sejak saat itu, banyak SAS diterbitkan untuk memberikan petunjuk bagi para auditor mengenai berbagai spectrum topic, termasuk berbagai metode untuk menyelidiki klien baru, prosedur untuk mengumpulkan informasi dari para 24 pengacara mengenai klaim kewajiban kontinjensi atas klien, serta berbagai teknik terkait untuk mendapat informasi latar belakang industri klien (Hall, 2007). Salah satu penyebab yang melatarbelakangi adanya pengendalian internal adalah munculnya risiko-risiko yang berkembang dengan cepat. Di Indonesia, era perkembangan manajemen risiko khususnya risiko korporat baru dimulai sekitar tahun 2000-an dengan terbitnya Peraturan Bank Indonesia Nomor 5 tahun 2003 Tentang Pedoman Manajemen Risiko Perbankan yang mengharuskan semua bank melakukan pengelolaan risiko. Badan Pengawasan Keuangan dan Pembangunan (BPKP) melalui satuan tugasnya mengembangkan pedoman umum dan asesmen risiko di lingkungan BUMN dan sektor publik. Kementerian BUMN mengharuskan BUMN mengelola risiko bagian dari tata kelola perusahaan yang baik melalui Surat Keputusan Menteri Negara BUMN Nomor: Kep – 117/MMBU/2002 tanggal 1 Agustus 2002, tentang Penerapan GCG BUMN (2003) untuk perusahaan terbuka (Tbk) ada Keputusan Ketua Badan Pengawas Pasar Modal, Nomor : Kep- 02 /PM/2003, Tanggal : 15 Januari 2003 di mana perusahaan yang listing di pasar modal harus melakukan kajian manajemen risiko yang berkaitan dengan penerapan prinsip mengenal nasabah. Melihat perkembangan manajemen risiko seperti yang telah diuraikan di atas awalnya manajemen risiko lebih banyak digunakan untuk menentukan bagaimana menghindari atau menurunkan akibat/dampak dari peristiwa risiko dengan dilindungi asuransi. Manajemen risiko saat ini sering dipakai di bidang: keselamatan, asuransi, perbankan, investasi, obat-obatan, teknologi, matematika, analisis kebijakan publik, dan pengawasan internal. 25 Seiring dengan berkembangnya dunia bisnis, maka manajemen risiko diterapkan perusahaan, maka semakin bertambah pula peluang dan tantangan bisnis yang dihadapi. Stabilitas dan kelangsungan hidup (sustainability) perusahaan akan sangat bergantung pada kejelian para eksekutif dalam melihat peluang (opportunity) dan keseriusan dalam mengelola setiap risiko bisnis yang dihadapi. Pada era turbulensi bisnis seperti saat ini, manajemen risiko mulai diperhitungkan sebagai alat bagi manajemen dalam melindungi seluruh entitas bisnisnya. Awalnya, manajemen risiko hanya digeluti oleh industri keuangan seperti bank dan asuransi, namun saat ini, perusahaan berusaha menerapkan fungsi manajemen risiko di seluruh entitas bisnisnya. Di negara maju, ilmu ini sebetulnya sudah populer sejak 15 tahun lalu. Hasil riset Allayannis dan Watson (1995) menyimpulkan bahwa manajemen risiko akan meningkatkan nilai perusahaan sekaligus mendukung pertumbuhan ekonomi dengan menurunkan biaya modal dan mengurangi ketidakpastian aktivitas sosial. Manajemen risiko terkait dengan good corporate governance (GCG). Prinsip transparansi dalam GCG menuntut diterapkannya enterprise-wide risk management. Penerapan manajemen risiko oleh perusahaan ini bertujuan mengidentifikasi risiko perusahaan, mengukur dan mengatasi pada level toleransi tertentu. Inilah yang saat ini dikenal dengan Enterprise Risk Management (ERM), dimana framework dan implementasinya mengacu pada konsep yang dikembangkan oleh Australia dan New Zealand (AS/NZS 4360:2004), Committee of Sponsoring Organizations of the Treadway Commission (COSO) dan masih banyak standar lain (Daud , 2011) . Salah satunya adalah Sarbanes-Oxley Act 2002 (SOA) yang disebabkan 26 oleh mencuatnya skandal keuangan yang melibatkan perusahaan-perusahaan besar seperti Enron, WorldCom, Global Crossing, Adelphia, dan Tyco dan beberapa perusahaan besar lainnya telah mempengaruhi kepercayaan publik terhadap laporan keuangan, pelaksana audit dan kompetensi dewan direksi perusahaan (Hall, 2007). Sehingga akibat dari kasus-kasus tersebut menyebabkan pemerintah Amerika Serikat (Presiden George W. Bush pada tanggal 30 Juli 2002 menandatangani “The Sarbanes-Oxley Act of 2002 (SOA)”. Untuk mengamandemen beberapa peraturan pada U.S Securities dan peraturan-peraturan lainnya yang berkaitan dengan perdagangan surat-surat berharga di USA (Lander, 2004). Dampak terhadap manajemen diantaranya: mengharuskan adanya sertifikasi laporan keuangan oleh chief executive officer/chief financial officer (CEO/CFO); membuat laporan pengendalian internal yang dimasukkan dalam laporan tahunan; dan mengungkapkan informasi baru yang menyeluruh (full disclosure) meliputi pelaporan performa, pengungkapan off-balanced sheet dan kontijensi, pengungkapan secara real time (Gusnardi, 2010). Model CoCo di Kanada mencakup 4 komponen yang digunakan untuk mengklasifikasikan 20 kriteria yang bisa menjadi bagian dari program audit, yaitu tujuan, komitmen, kemampuan, dan pengawasan dan pembelajaran. Kelemahan Sistem Pengendalian Internal Tidak ada satu sistem pun yang dapat mencegah secara sempurna semua pemborosan dan penyelewengan yang terjadi pada suatu perusahaan, karena 27 pengendalian internal setiap perusahaan memiliki keterbatasan bawaan. Keterbatasan bawaan yang melekat pada pengendalian internal menurut Mulyadi, 2002 sebagai berikut: a. Kesalahan dalam pertimbangan Seringkali, manajemen dan personil lain dapat salah dalam mempertimbangkan keputusan hisnis yang diambil atau dalam melaksanakan tugas rutin karena tidak memadainya informasi, keterbatasan waktu, dan tekanan lain. b. Gangguan Gangguan dalam pengendalian yang telah ditetapkan dapat terjadi karena personil secara keliru memahami perintah atau membuat kesalahan karena kelalaian, tidak adanya perhatian, atau kelelahan. Perubahan yang bersifat sementara atau permanen dalam personil atau dalam sistem dan prosedur dapat pula mengakibatkan gangguan. c. Kolusi Tindakan bersama beberapa individu untuk tujuan kejahatan disebut kolusi. Kolusi dapat mengakibatkan bobolnya pengendalian internal yang dibangun untuk melindungi kekayaan entitas dan tidak terungkapnya ketidakberesan atau terdeteksinya kecurangan oleh struktur pengendalian internal yang dirancang. d. Pengabaian oleh manajemen Manajemen dapat mengabaikan kebijakan atau prosedur yang telah ditetapkan untuk tujuan yang tidak sah. Seperti keuntungan pribadi manajer, penyajian kondisi keuangan yang berlebihan atau kepatuhan semu. e. Biaya lawan manfaat 28 Biaya yang diperlukan untuk mengoperasikan struktur pengendalian internal tidak boleh melebihi manfaat yang diharapkan dari pengendalian internal tersebut, karena pengukuran secara tepat baik biaya maupun manfaat biasanya tidak mungkin dilakukan. Manajemen harus memperkirakan dan mempertimbangkan secara kuantitatif dan kualitatif untuk mengevaluasi biaya dan manfaat suatu strukur pengendalian internal. Berdasarkan uraian di atas, bahwa keefektivan pengendalian internal tergantung dari orang-orang yang melaksanakannya dan juga perlu diperhatikan manfaat yang dihasilkan. Pengendalian internal, terlepas bagaimanapun baiknya desain maupun pengoperasiannya, hanya dapat memberikan keyakinan memadai kepada manajemen dan dewan komisaris tentang kolusi dua orang atau lebih atau karena manajemen melanggar pengendalian yang pencapaian tujuan entitas. Kemungkinan pencapaian tujuan entitas dipengaruhi oleh keterbatasan bawaan yang terdapat dalam pengendalian internal. Hal ini mencakup kenyataan tentang pertimbangan manusia dapat salah, dan kerusakan pengendalian internal dapat terjadi karena kegagalan manusia seperti kesalahan yang sederhana. Lingkungan pengendalian yang efektif dapat juga membantu mengurangi kemungkinan dilakukannya ketidakberesan semacam itu. Sebagai contoh, faktor lingkungan pengendalian seperti dewan komisaris, komite audit, dan fungsi audit internal yang efektif dapat menghalangi perbuatan manajemen yang tidak semestinya. Di lain pihak, suatu lingkungan pengendalian yang tidak efektif dapat berakibat negatif terhadap efektivitas komponen lain pengendalian internal. Sebagai contoh, pada waktu adanya insentif manajemen yang menciptakan lingkungan yang dapat mengakibatkan salah saji material 29 dalam laporan keuangan, efektivitas aktivitas pengendalian dapat berkurang. Efektivitas pengendalian internal entitas dapat pula dipengaruhi secara negatif oleh faktor-faktor seperti perubahan dalam pemilikan perusahaan atau pengendalian, perubahan manajemen atau pegawai lain, atau perkembangan dalam pasar atau industri entitas. 10. Penutup Dari berbagai pengukuran pengendalian internal tersebut dapat disimpulkan bahwa pengukuran pengendalian internal model COSO merupakan dasar acuan dari alat ukur pengendalian internal lainnya. Sehingga dari model COSO dapat dikembangkan model COBIT yang lebih mengarah pada pengendalian IT governance, SAS 78 model pengendalian internal dalam perkembangan audit, ERM sendiri adalah pengembangan dari model COSO untuk meminimalisasi risiko-risiko yang ada dalam perusahaan. 30 Daftar Pustaka Anand, Sanjay, 2006, Sarbanes-Oxley Guide for Finance and Information Technology Professionals, second edition, Sarbanes Oxley Group, New Jersey Batemann, Thomas S dan Scott A. Snell, 2008, Manajemen Kepemimpinan dan Kolaborasi dalam Persaingan Dunia yang Kompetitif, edisi ketujuh, Salemba Empat, Jakarta. Campbell, Philip L. 2005. A COBIT Primer. USA : Sandia National. Daud, Mukhtar. 2011, Perkembangan Manajemen Risiko. Error! Hyperlink reference not valid.. diunggah pada tanggal 8 Agustus 2012. Diana, Anastasia dan Lilis Setiawati, 2010, Sistem Informasi Akuntansi, Andi,Yogyakarta. Gondodiyoto, Sanyoto dan Henny Hendarti, 2006, Audit Sistem Informasi, edisi pertama, Mitra Wacana Media, Jakarta. Gusnardi, 2010, ” Pengaruh Sarbanes-Oxley Act dan Efektivitas Internal Audit Departemen Terhadap Pelaksanaan Good Corporate Governance”, Pekbis, Vol.2, No.1. Hall, James A. dan Tommie Singleton, 2007, Audit Teknologi Informasi dan Assurance, edisi 2, Salemba Empat, Jakarta. Lander, P. Guy. 2004. What is Sarbanes Oxley?, McGraw-Hill USA. Romney, Marshall B and Paul John Steinbart, 2009, Accounting Information Systems, eleventh edition, Pearson Education, Inc., New Jersey. 31 Romney, Marshall B dan Paul John Steinbart, 2006, Sistem Informasi Akuntansi, edisi sembilan, Salemba Empat, Jakarta. Sukma, Septian, 2011, Pengendalian Internal COSO dan CoCo. Error! Hyperlink reference not valid.. diunggah pada tanggal 9 Agustus 2012. Tiolinar, Sirumapea, 2010, Analisa Pengendalian Internal pada Prosedur Pemberian Kredit Usaha di PT. BANK BTN (PERSERO) Tbk. Skripsi Program S1 Fakultas Ekonomi Universitas Sumatera Utara. http://onvalue.wordpress.com/2007/10/09/sejarah-timbulnya-corporate-governance. diunggah pada tanggal 31 Juli 2012. 32