Uncategories Audit Teknologi Sistem Informasi

Audit Teknologi Sistem Informasi

06.00
Tugas Kelompok


Nama Kelompok :
  1. Ibnu Harun
  2. Ira Apriliani
  3. Muhammad Azhar PT
  4. Muhammad Ikhlas Ladzuardi



Pengertian Audit
Audit adalah pemeriksaan laporan keuangan untuk memberikan pendapat atas kebenaran penyajian laporan keuangan perusahaan dan juga menjadi salah satu faktor dalam pengambilan keputusan. Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor. Tujuannya adalah untuk melakukan verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima dan bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh. Audit teknologi informasi ini dapat berjalan bersama-sama dengan audit finansial dan audit internal, atau dengan kegiatan pengawasan dan evaluasi lain yang sejenis. Pada mula istilah ini dikenal dengan audit pemrosesan data elektronik dan sekarang audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan system informasi dalam sebuah perusahaan. Istilah lain dari audit teknologi informasi adalah audit computer yang banyak dipakai untuk menentukan apakah asset system informasi perusahaan telah bekerja secara efektif dan integrative dalam mencapai target organisasinya.

Proses Audit
Proses audit dibagi menjadi 4 macam yaitu :
1.    Tahap perencanaan
Dalam tahap perencanaan, ada tahap-tahap yang perlu anda lalui, seperti:
– Mempertimbangkan resiko bawaan
Sejak perencanaan audit sampai dengan penerbitan laporan audit, auditor harus mempertimbangkan berbagai macam risiko. Pada tahap perencanaan audit, auditor harus mempetimbangkan risiko bawaan (inherent risk) suatu risiko salah saji yang melekat dalam saldo akunatau asersi tentang saldo akun. Sebagai contoh, perhitungan yang lebih rumit lebih mungkin mengakibatkan salah jika dibandingkan dengan perhitungan yang sederhana.
– Mengembangkan strategi audit awal terhadap asersi signifikan.
Tujuan akhir perencanaan dan pelaksanaan audit yang dilakukan auditor adalah untuk mengurangi risiko audit ke tingkat yang rendah, untuk mendukung pendapat apakah, dalam semua hal yang material, laporan keuangan disajikan secara wajar. Tujuan ini diwujudkan melalui pengumpulan dan evaluasi bukti tentang asersi yang terkandung dalam laporan keuangan yang disajikan oleh manajemen. Mengembangkan strategi audit awal terhadap asersi signifikan
– Mempertimbangkan berbagai faktor yang berpengaruh terhadap saldo awal, jika perikatan                        merupakan audit tahun pertama
Auditor harus menentukan bahwa saldo awal mencerminkan penerapan kebijakan akuntansi yang semestinya dan bahwa kebijakan tersebut diterapkan secara konsisten dalam laporan keuangan tahun berjalan. Bila terdapat perubahan dalam kebijakan akuntansi atau penerapannya, auditor harus memperoleh kepastian bahwa perubahan tersebut memang semestinya dilakukan, dan dipertanggunghjawabkan, serta diungkapkan

– Melaksanakan prosedur dan analitis
Evaluasi informasi keuangan yang dibuat dengan mempelajari hubungan yang masuk antara data keuangan yang satu dengan data keuangan lainnya, atau antara data keuangan dan data non keuangan. Prosedur analitis mencakup perbandingan yang paling sederhana hingga model yang rumit yang mematikan berbagai hubungan dan unsur data.  Mempertimbangan tingkat materialitas awal

– Mempertimbangkan tingkat materialitas awal
Materialitas awal pada tingkat laporan keuangan perlu diterapkan oleh auditor karena pendapat auditor atas kewajaran laporan keuangan diterapkan pada laporan keuangan sebagai keseluruhan. Materialitas awal pada tingkat saldo akun ditentukan oleh auditor pada tahap perencanaan audit karena untuk mencapai simpulan tentang kewajaran laporan keuangan sebagai keseluruhan, auditor perlu melakukan verifikasi saldo akun.

-       -          Financial Audit
suatu review atas kelayakan penyajian laporan keuangan yang dibuat manajemen
.
-                   Compliance Audit (Audit Kepatuhan Tata Tertib Peraturan)
Pemeriksaan terhadap tingkat kepatuhan para pelaksana opersional perusahaan dalam menjalakan setiap prosedur dan kebijaksanaan yang telah ditetapkan.

-                Operational Audit
Suatu pemeriksaan yang mencakup suatu hal atau operasi tertentu yang biasanya diluar    juridiksi controller atau treasureer dalam suatu perusahaan/operasi

-                    Special Audit
Pemeriksaan yang dilakukan apabila diketahui adanya indikasi kecurangan yang dilakukan oleh manajemen atau apabila pemeriksaan tersebut diluar dari pada golongan pemeriksaan keuangan, pemeriksaan opersional dan pemeriksaan kepatuhan.

-                     Information System Audit
       Pemeriksaan sistem yang mengatur pengembangan, pengoperasian, pemeliharaan dan keamanan sistem aplikasi dalam lingkungan tertentu.

Pengujian Informasi
Setelah melalui tahap perencanaan, auditor akan mulai menguji semua informasi dan data yang diperolehnya di lapangan, lalu menganalisisnya. Dalam melakukan proses ini, harus ada pihak perusahaan yang bertugas mengawasi kinerja seorang auditor. Sehingga kecurangan-kecurangan dapat dihindari dan hasil pengujian data dan informasi bersifat objektif dan tepat sasaran.

Dalam tahap ini, auditor juga melakukan tahap pemetaan tentang masalah yang mungkin muncul dari proses observasi tersebut, yang mana semua ini dikaitkan dengan informasi yang ia dapat sebelumnya dan juga pihak-pihak luar yang sekiranya terlibat dalam proses pendanaan perusahaan.

3.    Mendapatkan Hasil
Di langkah ini, auditor bertugas untuk memeriksa resiko material dari perusahaan. Maka akan terlihat jika ada kesalahan dari laporan keuangan perusahaan dan juga kerugian yang dialami oleh perusahaan. Setelah itu, auditor mengklarifikasikan ulang. Jika perusahaan anda besar, maka anda harus memiliki lebih dari satu auditor. Bila perlu bentuk sebuah tim khusus auditor. Sebab, semakin besar suatu perusahaan, maka resiko penyimpangan keuangan juga akan semakin besar.

Sebelum mengambil kesimpulan, seorang auditor akan mencocokkan hasilnya dengan auditor yang lain. Jika auditor lainnya juga menemukan kesalahan keuangan yang sama, maka dipastikan ada yang tidak beres dengan kondisi keuangan perusahaan. Untuk itu, tim auditor akan melakukan pemeriksaan lanjutan secara lebih mendalam.


4.    Menyusun Hasil Evaluasi
Langkah terakhir adalah menyusun hasil evaluasi berupa laporan. Nantinya, laporan ini akan diserahkan ke pihak perusahaan yang menunjuk auditor tersebut. Di dalam laporan tersebut, auditor juga harus menulis rekomendasi perkembangan yang mungkin bisa dicapai. Ini adalah langkah terakhir dari seluruh proses audit.

Teknik Audit
Teknik audit adalah cara-cara yang ditempuh auditor untuk memperoleh pembuktian dalam membandingkan keadaan yang sebenarnya dengan keadaan yang seharusnya.
Teknik audit erat hubungannya dengan prosedur audit, dimana teknik-teknik audit digunakan dalam suatu prosedur audit untuk mencapai tujuan audit.
 Ada beberapa prosedur audit terhadap pengendalian yang harus dilakukan langsung oleh auditor (secara manual), dan beberapa prosedur yang dapat menggunakan dukungan komputer seperti tabel berikut ini:
Pengendalian Internal dan Prosedur Audit
No
Bidang Pengendalian yg Diaudit
Prosedur
Audit
Bukti Audit
1
Perencanaan Organisasi, IT Plan,
dan Operasi
Manual
Dokumen planning, risalah
rapat direksi
2
Prosedur pengembangan aplikasi,
sistem dokumentasi, review, testing,
dan operating system dan
perubahan
Manual
Hasil observasi, cek dokumentasi, hasil wawancara
3
Pengendalian hardware/systems
software
Komputer
Produk pabrikan computer/software house sudah dilengkapi pengendalian
4
Pengendalian acces equipment dan
data/file
Manual/
komputer
Hasil interview mendalam
dgn teknisi atau cek dgn
software.
5
Pengendalian menyeluruh terkait
dgn data dan prosedur yg mungkin
berdampak dgn keseluruhan operasi
komputer
Manual
Observasi, bukti
dokumentasi, SOP tertulis,
wawancara, dll

Berikut ini adalah teknik-teknik audit yang umum digunakan:
- Analisis
- Observasi/pengamatan
- Permintaan informasi
- Evaluasi
- Investigasi
- Verifikasi
- Cek
- Uji/test
- Footing
- Cross footing
- Vouching
- Trasir
- Scanning
- Rekonsiliasi
- Konfirmasi
- Bandingkan
- Inventarisasi/opname
- Inspeksi
TestData
IntegratedTestFacility(ITF)
ParallelSimulation(PS)
 EmbaddedAuditModule(EAM)
GeneralizedAuditSoftware(GAS)

Observasi/Pengamatan
Observasi/pengamatan adalah peninjauan dan pengamatan atas suatu objek secara hati-hati, ilmiah, dan berkesinambungan selama kurun waktu tertentu untuk membuktikan suatu keadaan atau masalah. Teknik ini sering dilakukan dari jarak jauh dan tanpa disadari oleh pihak yang diamati. Observasi banyak mengandalkan panca indera, kecermatan dan pengetahuan auditor. Observasi umumnya dilaksanakan pada tahap survei pendahuluan dan evaluasi SPM untuk mendeteksi kondisi yang tidak memenuhi syarat/kriteria. Kemudian, terhadap hasil pengamatan akan diikuti dengan pengujian substantif. Hasil observasi harus dituangkan dalam kertas kerja audit.

Inventarisasi/Opname
Inventarisasi atau opname adalah pemeriksaan fisik dengan menghitung fisik barang, menilai kondisinya (rusak berat, rusak ringan, atau baik), dan membandingkannya dengan saldo menurut buku (administrasi), kemudian mencari sebab-sebab terjadinya perbedaan apabila ada. Hasil opname biasanya dituangkan dalam suatu berita acara (BA). Teknik audit inventarisasi dapat diterapkan misalnya untuk: barang inventaris, perabot kantor, kebun ataupun ternak, kas, persediaan barang, sejauh ada fisiknya.

Inspeksi
Inspeksi adalah meneliti secara langsung ke tempat kejadian, yang lazim pula disebut on the spot inspection, yang dilakukan secara rinci dan teliti. Inspeksi sering dilakukan mendadak dan biasanya tidak diikuti dengan pembuatan suatu berita acara (BA).

Verifikasi
Verifikasi adalah pengujian secara rinci dan teliti tentang kebenaran, ketelitian perhitungan, kesahihan, pembukuan, kepemilikan, dan eksistensi suatu dokumen.Verifikasi ini mencakup teknik-teknik audit lain untuk mengumpulkan dan mengevaluasi bukti dokumen.

Cek
Cek adalah menguji kebenaran atau keberadaan sesuatu, dengan teliti.

Uji/Test
Uji atau test adalah penelitian secara mendalam terhadap hal-hal yang esensial atau penting.

Footing
Footing adalah menguji kebenaran penjumlahan subtotal dan total dari atas ke bawah (vertikal). Footing dilakukan terhadap data yang disediakan oleh auditi. Tujuan teknik audit footing adalah untuk menentukan apakah data atau laporan yang disediakan auditi dapat diyakini ketepatan perhitungannya. Teknik audit footing tidak digunakan untuk menguji kebenaran penjumlahan dari atas ke bawah (vertikal) atas kertas kerja yang dibuat sendiri oleh auditor.

Cross Footing
Cross Footing adalah menguji kebenaran penjumlahan subtotal dan total dari kiri ke kanan (horizontal). Sama halnya dengan teknik audit footing, cross footing dilakukan terhadap perhitungan yang dibuat oleh auditit.

Vouching
Vouching adalah menelusuri suatu informasi/data dalam suatu dokumen dari pencatatan menuju kepada adanya bukti pendukung (voucher); atau menelusur mengikuti ketentuan/prosedur yang berlaku dari hasil menuju awal kegiatan. Vouching hanya mengecek adanya bukti (voucher) tetapi belum meneliti isinya (substantif).

Trasir/Telusur
Trasir atau Telusur adalah teknik audit dengan menelusuri suatu bukti transaksi/kejadian (voucher) menuju ke penyajian/informasi dalam suatu dokumen. Teknik audit trasir merupakan cara perolehan bukti dengan arah pengujian yang terbalik dari teknik audit vouching.
Scanning
Scanning adalah penelaahan secara umum dan dilakukan dengan cepat tetapi teliti, untuk menemukan hal-hal yang tidak lazim atas suatu informasi/data.

Rekonsiliasi
Rekonsiliasi adalah mencocokkan dua data yang terpisah, mengenai hal yang sama yang dikerjakan oleh instansi/unit/bagian yang berbeda. Tujuan teknik audit rekonsiliasi adalah untuk memperoleh jumlah yang seharusnya atau jumlah yang benar mengenai suatu hal tertentu. Misalnya rekonsiliasi dilakukan terhadap catatan bendahara mengenai jumlah saldo simpanan di bank yang dituangkan dalam Buku Pembantu Bank, dengan saldo simpanan di bank menurut rekening koran yang diterima dari pihak bank. Kedua data tersebut biasanya akan menunjukkan saldo yang berbeda karena perbedaan waktu pencatatan. Dengan melakukan teknik rekonsiliasi maka dapat diketahui berapa saldo simpanan di bank yang seharusnya.

Analisis
Analisis adalah memecah/mengurai data/informasi ke dalam unsur- unsur yang lebih kecil atau bagian-bagian, sehingga dapat diketahui pola hubungan antar unsur atau unsur penting yang tersembunyi.
Auditor juga dapat melakukan pengujian dengan mencari pola hubungan dan kecenderungan, baik berdasarkan data intern auditi maupun berdasarkan data dari luar. Dari hasil analisis ini diketahui adanya kekurangan, kecenderungan, dan kelemahan yang perlu diperhatikan. Analisis tersebut antara lain dalam bentuk:

- Analisis Rasio
Teknik analisis ini biasanya digunakan dalam audit atas laporan keuangan, namun dapat dikembangkan untuk kepentingan selain audit atas laporan keuangan. Bentuk-bentuk rasio tersebut misalnya rasio perputaran persediaan (inventory turnover) dan ratio keuntungan (rentability ratio).

- Analisis Statistik
Teknik analisis ini menggunakan teknik-teknik penghitungan statistik untuk melihat rata-rata, korelasi, kecenderungan maupun kesimpulan-kesimpulan lain yang dapat disimpulkan dari satu atau beberapa kelompok data.

- Perbandingan dengan instansi/unit kerja lain yang diketahui oleh auditor.
Teknik analisis ini dalam ilmu manajemen sering disebut sebagai benchmarking yaitu membandingkan kinerja suatu instansi dengan instansi lain yang sejenis, misalnya rata-rata nilai kelulusan SD A dengan SD-SD lain di kabupaten yang sama.

Evaluasi
Evaluasi adalah cara untuk memperoleh suatu simpulan atau pandangan/penilaian, dengan mencari pola hubungan atau dengan menghubungkan atau merakit berbagai informasi yang telah diperoleh, baik informasi/bukti intern maupun ekstern. Evaluasi dapat dilaksanakan dengan menyusun bagan arus (flowchart) dan melaksanakan walkthrough test.

Walkthrough test yaitu melakukan pengujian dengan mengikuti proses suatu transaksi yang disampel untuk mengevaluasi sesuai atau tidaknya proses yang dilaksanakan dengan sistem dan prosedur yang ditentukan, hingga akhir prosesnya. Sampel yang diambil dapat berupa transaksi semu. yaitu transaksi penguji yang dibuat oleh auditor ataupun dengan transaksi yang sebenarnya.

Investigasi
Investigasi adalah suatu upaya untuk mengupas secara intensif suatu permasalahan melalui penjabaran, penguraian, atau penelitian secara mendalam. Investigasi merupakan suatu proses pendalaman dari verifikasi setelah adanya indikasi. Tujuan teknik audit investigasi adalah memastikan apakah indikasi yang diperoleh dari teknik audit lainnya memang benar terjadi dan merupakan penyimpangan atau tidak. Oleh karenanya, teknik investigasi mencakup juga teknik-teknik audit yang lain.

Pembandingan
Pembandingan adalah membandingkan data dari satu unit kerja dengan unit kerja yang lain, atas hal yang sama dan periode yang sama atau hal yang sama dari periode yang berbeda, kemudian ditarik kesimpulannya. Teknik pembandingan ini umumnya digunakan sebelum teknik analisis.

Konfirmasi
Konfirmasi adalah memperoleh bukti sebagai peyakin bagi auditor, dengan caramendapatkan/meminta informasi yang sah dari pihak yang relevan, umumnya pihak di luar auditi. Dalam konfirmasi, auditor telah memiliki informasi/data yang akan dikonfirmasikan.
Konfirmasi dapat dilakukan dengan lisan yaitu dengan wawancara langsung kepadapihak yang bersangkutan, atau dapat dilakukan secara tertulis dengan mengirimkan surat konfirmasi. Dalam konfirmasi, jawaban harus diterima langsung oleh auditor. Jika konfirmasi dilakukan secara tertulis, maka harus ditegaskan bahwa jawaban agar dialamatkan kepada auditor. Surat permintaan konfirmasi kepada responden sebaiknya ditandatangani oleh auditi.
Pada konfirmasi tertulis, terdapat dua teknik konfirmasi, yakni:
- Konfirmasi positif yaitu konfirmasi yang harus dijawab secara tertulis oleh pihak luar tersebut mengenai data yang diminta.

- Konfirmasi negatif yaitu konfirmasi yang meminta jawaban tertulis bila data yang dikonfirmasikan berbeda/salah, dan tidak perlu dijawab apabila data yang dikonfirmasikan telah sama/benar dengan data yang bersangkutan.

Permintaan Informasi
Permintaan informasi (inquiry) dapat dilakukan untuk menggali informasi tertentu dari berbagai pihak yang berkompeten. Pihak yang kompeten bisa berarti pegawai atau pejabat auditi yang berkaitan dengan permasalahan atau pihak ketiga, termasuk para spesialis atau profesional suatu bidang ilmu. Teknik ini dapat dilakukan dengan mengajukannya secara tertulis maupun secara lisan.
Permintaan informasi secara tertulis dapat dilakukan dengan kuesioner (questioner),menulis surat permintaan informasi, atau nota permintaan informasi. Wawancara adalah upaya memperoleh informasi/data melalui lisan yang lebih bersifat menggali informasi/data dari pihak yang relevan.

Hal-hal yang perlu diperhatikan dalam melakukan wawancara adalah:
- Tentukan sumber informasi/objek wawancara
- Jadwalkan wawancara lebih dahulu
- Buat persiapan materi dan cara bertanya
- Mulai dengan suasana yang bersahabat/hangat
- Perhatikan dan dengarkan
- Hindari pertanyaan yang cenderung jawabannya mengiyakan
- Tutuplah wawancara dengan catatan positif
- Dokumentasikan hasil wawancara
- Mintakan penegasan/persetujuan hasil wawancara dari pihak yang diwawancarai


TestData
Metode ini menggunakan data masukan yang telah dipersiapkan auditor dan menguji data tersebut dengan salinan (copy) dari perangkat lunak aplikasi auditan. Hasil pemrosesan data tersebut akan dibandingkan dengan ekspektasi auditor. Jika ada hasil yang tidak sesuai, mungkin ini suatu indikasi penyimpangan logika atau mekanisme pengendalian.


IntegratedTestFacility(ITF)
Adalah suatu pendekatan teknik terotomatisasi yang memungkinkan auditor menguji alur logika dan kendali suatu aplikasi pada saat operasi normal berlangsung.

ParallelSimulation(PS)
Pendekatan ini mengharuskan auditor untuk membuat suatu program yang menyimulasikan fungsi utama tertentu dari aplikasi yang sedang diuji. Sedangkan untuk melakukan pengujian substantif (misalnya detail transaksi atau saldo perkiraan),maka auditor dapat memilih teknik.

EmbaddedAuditModule(EAM)Merupakan suatu teknik dimana satu atau lebih modul program tertentu dilekatkan di suatu aplikasi untuk mencatat secara tersendiri serangkaian transaksi yang telah ditentukan ke dalamfileyangakandibacaolehauditor


GeneralizedAuditSoftware(GAS)
Adalah pendekatan yang menggunakan suatu perangkat lunak tertentu yang dimanfaatkan untuk menyeleksi, mengakses, mengorganisasikan data untuk kepentingan pengujian substantif. Pendekatan ini memungkinkan auditor untuk mengakses dan mengambil berbagai file data ke dalam computer untuk kemudian melakukan berbagai pengujian yang diperlukan. Pendekatan ini merupakan teknik yang paling populer karena relatif lebih mudah karena tidak diperlukan kemampuan teknik komputasi yang cukup mendalam.
Regulasi Audit
Untuk mendukung keberhasilan penyelenggaraan organisasi sektor publik, keuangan organisasi harus dikelola secara tertib, taat pada peraturan perundang-undangan, efisien, ekonomis, efektif, transparan, dan bertanggung jawab dengan memperhatikan rasa keadilan dan kepatutan. Dengan dominannya  penggunaan komputer dalam membantu kegiatan operasional diberbagai perusahaan, maka diperlukan standar-standar kontrol sebagai alat pengendali internal untuk menjamin bahwa data elektronik yang diproses adalah benar. Beberapa jenis standar kontrol yaitu:
    a)      COSO (Comitte Of Sponsoring Organizationof the treadway commission’s)
Yaitu dibentuk pada tahun 1985 dengan tujuan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud (penggelapan).Tahun 1992, COSO menyusun dan Menerbitkan Internal Control Integrated Framework yang berisi rumusan definisi pengendalian intern, pedoman penilaian, serta perbaikan terhadap sistem pengendalian intern.Tahun 2004, COSO mengembangkan Internal Control Integrated Framework dengan menambah cakupan tentang manajemen  dan strategi resiko yang disebut ERM (Enterprise Risk Manajement).
Pencapaian tujuan pengendalian intern yang didefenisikan COSO:    
     1.      Efektifitas dan efisiensi aktivitas operasi
     2.      Kehandalan pelaporan keuangan
     3.      Ketaatan terhadap hukum dan peraturan yang berlaku
     4.      Pengamanan aset entitas.

     b)      COBIT (Control Objectives for Information and Related Technology)
Yaitu alat pengendalian untuk informasi dan tekhnology terkait dan merupakan standar terbuka yang dikembangkan oleh ISACA melalui ITGI (Information and Technology Governance Institute)pada tahun 1992. Tujuan dari COBIT yaitu untuk mengembangkan , melakukan riset dan mempublikasikan suatu standar teknologi informasi yang diterima umum dan selalu up to date untuk digunakan dalam kegiatan bisnis sehari-hari.

     c)      SARBOX (Sarbanes-Oxley Act)
Yaitu merupakan peraturan yang ditandatangani Presiden George W.Bush tanggal 30 juli 2012 untuk mereformasi dunia pasarmodal Amerika Serikat. Tujuan SARBOX yaitu:
1.  Meningkatkan akuntabilitas manajemen dengan memastikan bahwa manajemen akuntan dan  pengacara memiliki tanggung jawab atas informasi keuangan yang menjadi tanggung jawab mereka.
2. Meningkatkan pengungkapan dengan berusaha untuk menyatakan bahwa beberapa kejadian kunci dan transaksi luar biasa tidak mendapatkan pengawasan hanya karena tidak disyaratkan untuk diungkap di publik.
3. Meningkatkan pengawasan rutin yang lebih intensif oleh SEC.
4. Meningkatkan akuntabilitas akuntan.

    d)     ISO 17799
Yaitu standar untuk sistem manajemen keamanan informasi meliputi dokomen kebijakan keamanan informasi, alokasi keamanan informasi tanggung-jawab,menyediakan semua para pemakai dengan pendidikan dan pelatihan didalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti kebutuhan perlindungan data, dan menetapkan prosedure untuk mentaati kebijakan keamanan.

    e)      BASEL II
BASEL II dibentuk yaitu sebagai penerapan kerangka pengukuran bagi risiko kredit, sistem ini mensyaratkan Bank-bank  untuk memisahkan eksposurnya ke dalam kelas yang lebih luas, yang menggambarkan kesamaan tipe debitur(hutang).
Managemen Resiko
Didalam TSI, hal-hal yang perlu diperhatikan salah satunya adalah penilaian resiko. Konsep resiko dalam hal ini meliputi ancaman, kelemahan dan dampak dari penilaian resiko. Ancaman yang sering terjadi salah satunya adalah adanya kompleksitas dari TSI itu sendiri. Berbagai macam elemen dan variasi yang terdapat dalam TSI mewarnai perkembangan TSI kedepannya.


Keamanan dan pengendalian TSI dewasa ini menjadi kelemahan dalam penilaian resiko. Dalam hal ini, kedua hal tersebut menjadi suatu hal yang patut disorot dan diperhatikan agar dapat berkembang menjadi semakin baik. Memang hal ini bukan suatu hal yang mudah untuk dapat dilakukan, namun dengan melakukannya secara bersama-sama, saling menjaga, merawat dan memeliharanya, niscaya kelemahan ini dapat dikurangi bahkan dihilangkan. Adapun dampaknya adalah aset yang ada dapat terlindungi.
Tipe-tipe resiko terdiri dari:
1. Resiko pengembangan
2. Resiko Kesalahan
3. Resiko Terhentinya Bisnis
4. Resiko Pengungkapan Informasi
5. Resiko Penggelapan


Proses penilaian resiko dapat dilakukan melalui tahap-tahap berikut ini:
a. Identifikasi objek (asset) yang akan dilindungi
b. Penentuan ancaman yang dihadapi
c. Menetapkan peluang kejadian
d. Menghitung besarnya dampak dan kelemahan sistem
e. Menilai alat-alat pengamanan yang ada
f. Rekomendasi dan implementasi


Proses perencanaan audit terdiri dari:
a. Penetapan tipe resiko
b. Untuk setiap tipe resiko, ancaman, kelemahan system, dampak diberi skor/skala tinggi, cukup, rendah atau tidak ada
c. Hitung skor resiko:
Resiko = ancaman x kelemahan x dampak
d. Urutkan resiko berdasarkan skor
e. Kaji ulang dan penyesuaian jika diperlukan
f. Buat rencana audit dengan prioritas resiko
g. Kaji ulang rencana dan penyesuaiannya
h. Laksanakan audit


Proses pemeriksaan Teknologi Sistem Informasi (TSI), dilakukan melalui tahap-tahap sebagai berikut:
a. Identifikasi spesifikasi sistem
b. Penilaian kompleksitas TSI
c. Penilaian resiko pra pemeriksaan
d. Pemeriksaan around the computer
e. Pemeriksaan through the computer
f. Pemeriksaan keuangan


Standard dan Kerangka Kerja
Standar yang digunakan dalam mengaudit teknologi informasi adalah standar yang diterbitkan oleh ISACA yaitu ISACA IS Auditing Standard. Selain itu ISACA juga menerbitkan IS Auditing Guidance dan IS Auditing Procedure. Sekarang keahlian dalam mengaudit IT juga memerlukan sertifikasi sendiri, yaitu CISA (Certified Information System Audit). Standar adalah sesuatu yang harus dipenuhi oleh IS Auditor. Guidelines memberikan penjelasan bagaimana auditor dapat memenuhi standar dalam berbagai penugasan audit, dan prosedur memberikan contoh langkah-langkah yang perlu dilalui auditor dalam penugasan audit tertentu sehingga sesuai dengan standar. Bagaimanapun IS auditor harus bisa menggunakan judgement profesional ketika menggunakan guidance dan procedure. Standar yang aplicable untuk audit IT adalah terdiri dari 11 standar yaitu,  Audit charter, Audit Independent, Profesional Ethic and standard, S4.Profesional competence, Planning, Performance of Audit Work, Reporting, Follow-Up Activity, Irregularities and Irregular Act, IT Governance dan Use of Risk Assestment in Audit Planning.
IS Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang mengcover petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 9 prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk assestment, mengetes intruction detection system, menganalisis firewall dan sebagainya. Jika dibandingkan dengan audit keuangan, maka standar dari ISACA ini adalah setara dengan Standar Profesional Akuntan Publik (SPAP) yaitu menyangkut tata cara bagaimana audit dilakukan. Sedangkan bagaimana kondisi apa yang diaudit diberikan penilaian berdasarkan standar tersendiri yaitu COBIT.
Kertas kerja audit adalah catatan yang dibuat auditor tentang prosedur yang diterapkan, pelaksanaan pengujian dan bukti yang diperoleh serta kesimpulan yang diperoleh selama audit. Kertas kerja merupakan pendukung utama laporan audit, alat koordinasi dan supervisi, bukti bahwa auditor telah melakukan audit sesuai dengan standar auditing yang Berterima umum.

Tujuan Kertas Kerja:
-       Untuk mendokumentasikan semua bukti audit yang diperoleh selama pelaksanaan audit.
-       Untuk mengorganisasikan/mengkoordinasikan semua tahap atau langkah-langkah audit.
-       Untuk membantu auditor senior, partner atau pimpinan kantor akuntan dalam mereview pekerjaan yang dihasilkan oleh stafnya.
-       Untuk mempermudah atau sebagai dasar penyusunan laporan audit
-       Sebagai bukti dan penjelasan secara rinci atas pendapat auditor serta temuan-temuan yang telah dilaporkan dalam laporan audit.

Pedoman Pembuatan Kertas Kerja
-       Setiap kertas kerja harus bertujuan
-       Setiap topik dibuatkan kertas kerja sendiri
-       Indentitas (judul) yang jelas
-       Diberi indeks atau indeks silang
-       Semua langkah (prosedur audit) harus dijelaskan
-       Berisi komentar auditor yang mencerminkan kesimpulan
-       Ada paraf dan tanggal pembuatan/evaluasi
-       Penyimpanan terpisah antara yang sudah selesai dengan yang belum selesai

Jenis Kertas Kerja
-       Kertas kerja neraca saldo
-       Jadwal dan analisis
-       Memo audit dan informasi pendukung
-       Jurnal penyesuaian dan pengklasifikasian kembali

Fungsi Kertas Kerja
-       Pendukung pendapat auditor.
-       Membantu dalam pengarahan dan pengawasan pekerjaan.
-       Penyediaan catatan tentang:
-       Prosedur audit yang dilakukan.
-       Pengujian yang dilakukan
-       Informasi yang diperoleh.
-       Kesimpulan yang dicapai.
-       Menyediakan bukti bahwa audit telah diarahkan menurut Standar Profesional Audit Internal

Kelengkapan Kertas Kerja
  • ·         Kertas kerja harus akurat dan lengkap
1.    Tidak ada pertanyaan signifikan dalam lingkup atau yang berhubungan dengan tujuan audit yang tidak dapat terjawab.
2.    Kertas kerja harus berdiri sendiri, dalam hal ini harus dinyatakan secara jelas bahwa pekerjaan telah dilaksanakan, bagaimana dan dari mana sampel dipilih, tujuan kertas kerja, temuan apa saja yang telah dibuat, dan lain-lain.


Kerangka Kerja Audit Sistem Informasi
Audit sistem informasi dapat diuraikan dalam beberapa tahapan berdasarkan kerangka pikir manajemen, teknologi informasi dan pertimbangan sistem ahli yang semuanya mengacu pada kerangka kerja menghasilkan laporan audit sistem informasi.

Perencanaan Kertas Kerja
1.    Standar Kertas Kerja
Kertas kerja merupakan pertimbangan yang memuaskan sebagai sarana untuk mempersiapkan diri pada sistem informasi yang diaudit dengan sebaik-baiknya. Sampai sejauh ini, belum ada ketetapan mengenai standar kertas kerja yang diatur baik dalam audit keuangan atau audit lainnya. Yang ada hanyalah pertimbangan professional. Suatu kertas kerja yang baik setidak-tidaknya memiliki beberapa standar, antara lain:
·         Lengkap, berisi informasi,
·         Akurat, berisi ketepatan dalam penyajian perhitungan,
·         Terjamin kerahasiaannya.

Kepentingan Kertas Kerja
Berdasarkan analisis atas kebutuhan untuk menjalankan fungsi pemeriksaan sistem informasi, kedudukan kertas kerja sebagai salah satu sarana untuk mempermudah identifikasi dalam proses audit memiliki tujuan utama, yakni: membantu tugas-tugas auditor dalam fase penyelesaian yang memberikan keyakinan yang memadai bahwa setiap unsur yang diaudit telah layak sesuai dengan standar yang dikehendaki.

Prosedur Audit Berbasis Kertas Kerja
Penting untuk dipahami bahwa penggunaan kertas kerja, didasarkan atas teknik pendekatan proses yang digunakan dalam penugasan audit Program kerja audit sistem informasi berdasarkan obyek pemeriksaan, dapat diuraikan sebagai berikut:
  • ·         Pemeriksaan Atas Pengendalian Umum, meliputi:
  • ·         Pemeriksaan pada akses fisik fasilitas computer perusahaan,
  • ·         Pemeriksaan pada input program aplikasi akuntansi computer.
  • ·         Pemeriksaan atas sumber data program aplikasi.
  • ·         Pemeriksaan Atas Pengendalian Aplikasi, meliputi:
  • ·         Pemeriksaan atas prosedur menjalankan program aplikasi.
  • ·         Pemeriksaan atas proses transaksi.
  • ·         Pemeriksaan atas file data.
  • ·         Format Kertas Kerja Berkaitan dengan Pengembangan Sistem Informasi

Kertas kerja yang diuraikan disini merupakan suatu usulan yang memberikan gambaran umum atas uraian penugasan audit yang dilakukan.

Secara umum ada, tiga jenis kertas kerja sistem informasi yang dapat diterapkan untuk mendukung audit perusahaan berbasis pengolahan data elektronik, yaitu:
  • ·         Kertas kerja analisis sistem informasi: mencatat identifikasi permasalahan dan penjabaran blok          sistem informasi serta titik focus yang perlu mendapat perhatian khusus,
  • ·         Kertas kerja program pemeriksaan: mencatat kegiatan dalam objek pemeriksaan, baik                       pengendalian umum administrative maupun pengendalian aplikasi;
  • ·         Kertas Kerja Evaluasi: mencatat hasil yang diperoleh berdasarkan temuan-temuan atau fakta           mengenai kegiatan sistem informasi klien.

Managemen Resiko Audit

RISIKO AUDIT LAPORAN KEUANGAN
Persoalan auditor eksternal sebagai berikut berlaku bagi auditor internal yang mengaudit Laporan Keuangan; bahwa risiko auditor terbesar adalah tak mengetahui (gagal untuk mengetahui) hal-hal yang seharusnya mengubah opini auditor terhadap Laporan Keuangan yang mengandung salah-saji secara material. Auditor harus memertimbangkan sifat & kualitas manajemen, sifat industri, sifat operasi, dan bentuk atau sifat penugasan auditor eksternal.

Sebagai contoh, sifat dan kualitas manajemen yang mengandung risiko audit adalah
  • ·         Keputusan manajemen ditangan satu orang, misalnya CEO merangkap PS utama
  • ·         Manajemen bersikap amat agresif terhadap pelaporan LK (laporan keuangan, misalnya                      perusahaan publik dan bank butuh opini WTP dari Audit Eksternal)
  • ·         Mutasi manajemen amat tinggi
  • ·         Manajemen amat berkepentingan utk mencapai proyeksi laba
  • ·         Reputasi buruk manajemen di mata publik

Sebagai contoh, sifat Industri dan operasi yang mengandung risiko audit adalah
  • ·         Kemampulabaan entitas dibawah rerata kemampulabaan industri sejenis
  • ·         Laba tidak konsisten
  • ·         Kinerja amat dipengaruhi faktor eksternal
  • ·         Entitas berada dalam industri turun-daun
  • ·         Desentralisasi kekuasaan tidak dilengkapi penguatan pengendalian
  • ·         Entitas kelihatannya tidak akan going concern

Sebagai contoh, sifat penugasan audit yang mengandung risiko audit laporan keuangan adalah
  • ·         Banyak perkecualian, banyak isu akuntansi
  • ·         Banyak transaksi atau saldo sulit di audit
  • ·         Banyak transaksi hubungan istimewa yang tidak lazim
  • ·         Sejarah salah saji, sejarah temuan audit jenis-kesalahan-berulang.

Untuk mengurangi risiko, auditor wajib mendapatkan asersi LK berupa pernyataan (semacam pernyataan jaminan) manajemen (management representation) tentang (1) eksistensi, (2) kelengkapan, (3) hak dan kewajiban, (4) evaluasi dan alokasi, (5) penyajian dan pengungkapan berbagai akun dan pos penting Laporan Keuangan.


Sebagai misal, risiko audit pada tataran saldo akun catatan akuntansi, pos laporan keuangan dan kelompok transaksi sejenis adalah
  • ·         Salah saji akun tersebut
  • ·         Salah saji akun tersebut dalam kaitan dengan akun lain (inherent risk atau control risk)
  • ·         Risiko bahwa auditor gagal menemukan salah buku dan atau salah saji yang ada (detection              risk).

 Pada standar auditing, pertimbangan auditor dalam evaluasi risiko saldo akun dan jenis transaksi, misalnya adalah
  • ·         Dampak risiko-teridentifikasi pada laporan keuangan.
  • ·         Kerumitan isu akuntansi
  • ·         Frekuensi transaksi sulit-diaudit.
  • ·         Temuan salah-saji pada audit terdahulu.
  • ·         Kemungkinan salah apropriasi aset.
  • ·         Kualitas SDM proses-data.
  • ·         Unsur pertimbangan dalam penetapan saldo akun.
  • ·         Besar suatu pos dalam neraca.
  • ·         Kerumitan kalkulasi tertentu.

RISIKO INHERENRisiko salah saji laporan keuangan terkait risiko bawaan karena jenis bisnis, jenis industri, jenis operasi khas industri tersebut dan risiko salah saji karena pengendalian internal lemah atau tidak ada.

Sebagai contoh:
  • ·         Valuasi piutang dagang, asersi keberadaan piutang dagang oleh manajemen, terkait                          kecemasan auditor tentang going concern
  • ·         Kalkulasi beban pensiun, metode penyusutan aset tetap dan kalkulasi beban penyusutan aset          tetap
  • ·         Kas lebih rentan pencurian dibanding persediaan.
  • ·         Perubahan teknologi menyebabkan aset tetap padat teknologi harus di hapus-buku lebih cepat          lantaran ketinggaalan teknologi.
  • ·         Lapping banyak terjadi pada industri perbankan, dana pensiun, asuransi. KKN pada akun                 tabungan berjangka lebih banyak terjadi pada demand deposit.
  • ·         Berbagai perusahaan memilih tak menggunakan pedoman sistem & prosedur (tertulis & kaku)            untuk meningkatkan kreativitas dan layanan pelanggan.
  • ·         Moral, standar etika, misalnya uang tip boleh diterima, itu rezeki anda, merupakan risiko                    budaya.



RISIKO PENGENDALIAN
Risiko peengendalian mencakupi risiko salah saji laporan keuangan tak tercegah atau tak tertemukan pada bingkai waktu tertentu oleh struktur pengendalian internal, kebijakan atau prosedur. Berbagai control risk selalu ada karena keterbatasan inheren dari struktur pengendalian internal. Bila kebijakan dan prosedur tak berjalan efektif, maka auditor melakukan penilaian control risk sebanyak mungkin, dengan catatan bahwa biaya pengendalian risiko harus lebih kecil dari manfaat pengendalian risiko. Pada umumnya, pengendalian inheren tak mampu membuat risiko menjadi 0%, diperangi atau dikurangi dengan strategi-sistem-prosedur terkait control risk. Control risk dirancang utk menekan risiko-residual tersebut sedapat-dapatnya, lalu sisa risiko selanjutnya menjadi tugas strategi deteksi, sistem-prosedur deteksi penyimpangan, KKN dan salah saji material.


RISIKO DETEKSI
Risiko deteksi berbentuk risiko auditor tak mampu mendeteksi salah-saji-material yang sebetulnya ada.
Risiko deteksi muncul karena:
·         Auditor tak memeriksa 100% saldo akun-akun.
·         Ketidakpastian, kesalahan merancang prosedur audit, salah terap prosedur audit, salah tafsir terhadap hasil audit.
Ibnu Harun

Share this

Related Posts

Next
« Prev Post
Previous
Next Post »

Langganan: Posting Komentar (Atom)