Perbandingan kelebihan dan kekurangan Standar audit Sistem
Informasi
|
Kelebihan
|
Kekurangan
|
5.
pelaksanaan audit lebih sederhana.
6.
auditor yang memiliki pengetahuan minimal
di bidang komputer dapat dilatih dengan mudah untuk melaksanakan audit.
|
I.
jika lingkungan berubah, maka kemungkinan
sistem itupun akan berubah dan perlu penyesuaian sistem atau program-programnya,
bahkan mungkin struktur data/file, sehingga auditor tidak dapat
menilai/menelaah apakah sistem masih berjalan baik.
|
KONSEP
DASAR KONTROL DAN AUDIT SISTEM INFORMASI
Menurut Wishnu AP dalam
Saputri (2015), Audit adalah proses pemeriksaan yang dilakukan secara
sistematis untuk mengetahui bagaimana sesungguhnya pelaksanaan kualitas
diterapkan. Hasil audit akan di dokumentasi dan evaluasi secara berkala.
Sedangkan menurut Frans m. Royan Audit bertujuan untuk
mempermudah pemilik melakukan kontrol dan menghindari penyelewengan serta
manipulasi data. Sedangkan pengertian audit sistem informasi merupakan
suatu kegiatan pemeriksaan yang dilakukan oleh seorang audit internal perusahaan
dalam pengumpulan bukti-bukti dan pengevaluasian pengendalian perusahaan untuk
mencapai tujuan perusahaan dan sesuai dengan kriteria yang ditentukan.
Sedangkan pegertian control disebut juga
pengendalian yang berarti sebuah sistem
(a control is a system) dengan
kata lain merupakan sekumpulan komponen yang saling berelasi
yang berfungsi secara bersama-sama untuk menyelesaikan suatu maksud atau
tujuan, keabsahan / kebenaran dari suatu kegiatan (unlawful events), dan
pemeriksaan.
5 Siklus Audit Akunting Sistem Informasi
1. Revienue
Cycle (sales and cloction)
2. Expenditure
Cycle (tentang bagaimana membeli barang)
3. Production
Cycle ( Bagaimana Menghasilan Barang)
4. HRM
5. General
Regent and Reporting System
Audit
Internal
Audit internal adalah fungsi penilai
independen untuk memeriksa dan mengevaluasi kegiatan dalam dan sebagai layanan
untuk, sebuah organisasi. auditor internal melakukan berbagai kegiatan termasuk
keuangan, operasional, kepatuhan dan audit penipuan. Auditor dapat bekerja untuk
organisasi atau tugas dapat outsourcing. Kemerdekaan adalah diri dikenakan,
namun auditor mewakili kepentingan organisasi.
Eksternal vs Auditor Internal
Auditor eksternal merupakan pihak luar
sementara auditor internal mewakili kepentingan organisasi. auditor internal
sering bekerja sama dengan dan membantu auditor eksternal dalam beberapa aspek
audit keuangan. Jangkauan kerja sama tergantung pada independensi dan
kompetensi staf audit internal. auditor eksternal dapat mengandalkan sebagian
pada bukti yang dikumpulkan oleh departemen audit internal yang organisatoris
independen dan laporan kepada dewan komite audit direksi.
Peran Komite Audit
Subkomite dari dewan direksi
· Biasanya
tiga anggota yang luar.
· SOX
membutuhkan setidaknya satu anggota harus menjadi "ahli keuangan".
Berfungsi sebagai independen "check
and balance" untuk fungsi audit internal.
SOX mengamanatkan bahwa auditor eksternal
melaporkan kepada komite audit:
· karyawan
komite dan kebakaran auditor dan menyelesaikan sengketa.
Standar
auditing
pernyataan manajemen dan tujuan audit:
1. Keberadaan
atau Terjadinya; Kelengkapan; Hak dan kewajiban; Valuasi atau Alokasi;
Penyajian dan Pengungkapan.
2. Auditor
mengembangkan tujuan audit dan prosedur audit desain berdasarkan pernyataan
ini.
3. Auditor
mencari materi bukti yang menguatkan pernyataan.
4. Auditor
harus menentukan apakah kelemahan pengendalian internal dan salah saji yang
material.
5. Auditor
harus mengkomunikasikan hasil tes mereka, termasuk opini audit.
Risiko Audit
Probabilitas bahwa auditor akan membuat
tidak memenuhi syarat opini (bersih) dari laporan keuangan yang, pada
kenyataannya, salah saji material. risiko yang melekat (IR) dikaitkan dengan
karakteristik unik dari bisnis klien atau industri. pengendalian risiko (CR)
adalah kemungkinan struktur pengendalian cacat karena kontrol tidak ada atau
tidak memadai untuk mencegah atau mendeteksi kesalahan. Risiko deteksi (DR)
adalah auditor risiko bersedia untuk mengambil bahwa kesalahan tidak terdeteksi
atau dicegah oleh struktur pengendalian tidak akan terdeteksi oleh auditor.
komponen risiko audit dalam model yang digunakan untuk menentukan ruang
lingkup, sifat dan waktu pengujian substantif:
model risiko audit: AR = IR x CR x DR
Jika risiko audit yang dapat diterima
adalah 5%, risiko deteksi yang direncanakan akan tergantung pada struktur
pengendalian.
Semakin kuat struktur pengendalian
internal, semakin rendah risiko kontrol dan kurang substantif pengujian auditor
harus dilakukan.
pengujian substantif adalah biaya audit
padat karya dan memakan waktu, yang mendorong dan menyebabkan gangguan.
kepentingan manajemen dilayani oleh
struktur pengendalian internal yang kuat.
Pengendalian
internal
Manajemen diwajibkan oleh hukum untuk
membangun dan memelihara sistem yang memadai kontrol internal.
Sejarah singkat undang-undang
pengendalian internal:
1. SEC Kisah
1933 dan 1934.
2. Hukum hak
cipta dari tahun 1976.
3. Praktik
Korupsi Asing (FCPA) 1977 mengharuskan perusahaan yang terdaftar dengan SEC
untuk:
I.
· Menyimpan
catatan yang cukup dan cukup mencerminkan transaksi perusahaan dan posisi
keuangan.
II.
· Memelihara
sistem pengendalian internal yang memberikan jaminan yang wajar bahwa tujuan
organisasi terpenuhi.
Committee of Sponsoring Organizations –
1992
I.
· Sarbanes-Oxley
Act of 2002 (SOX) mengharuskan manajemen perusahaan publik untuk menerapkan
sistem pengendalian internal yang memadai atas proses pelaporan keuangan
mereka. Berdasarkan Bagian 302:
II.
· Manajer
harus menyatakan kontrol internal organisasi triwulan dan tahunan.
III.
· auditor
eksternal harus melakukan prosedur tertentu kuartalan untuk mengidentifikasi
modifikasi kontrol material yang dapat mempengaruhi pelaporan keuangan.
Pasal 404 mengharuskan manajemen perusahaan
publik untuk mengakses efektivitas pengendalian internal mereka dalam laporan
tahunan.
Sistem Pengendalian Intern
sistem pengendalian intern terdiri dari
kebijakan, praktik, dan prosedur untuk mencapai empat tujuan yang luas:
Menjaga aset perusahaan.
Memastikan akurasi dan keandalan catatan
akuntansi dan informasi.
Mempromosikan efisiensi dalam operasi
perusahaan.
Mengukur kepatuhan terhadap kebijakan dan
prosedur yang ditentukan manajemen.
Standar umum
Standar
umum adalah prinsip di mana IS audit dan jaminan profesional beroperasi. Mereka
berlaku untuk pelaksanaan semua tugas dan kesepakatan dengan audit IS dan
jaminan etika profesional, independensi, objektivitas dan hati-hati, serta
pengetahuan, kompetensi dan keterampilan.
Dalam melakukan suatu IS audit atau penugasan assurance
audit dan jaminan profesional IS akan diminta untuk menilai sejumlah keputusan
penting mengenai materi pelajaran yang akan diaudit dan kriteria yang pokok
yang akan dinilai. Dengan demikian, IS audit dan jaminan profesional akan perlu
mempertimbangkan benchmark terhadap yang tugas yang harus dilakukan (standar)
dan dikompensasi dengan materi pelajaran yang akan dinilai (kriteria).
prinsip-prinsip
:
Kerahasiaan (Confidentiality)
Audit berkewajiban untuk menjaga banyak rahasia – rahasia organisasi/perusahaan, rahasia para staff dan rahasia pribadi. Audit juga harus menjaga informasi rahasia ini tersembunyi dan mendapat kepercayaan dari user / pegawai , kolega, dan regulator setiap hari.
Integritas (Integrity)
Audit harus bertindak dengan integritas serta mampu mengembangkan kebijakan yang sehat dan menegakkan / menjaga user tanpa bias. Audit juga harus menunjukkan kesalahan dan kesalahan, dengan tenang dan objektif dalam rangka menegakkan kebaikan bersama. Audit harus mencari dan membela kebenaran dalam segala situasii untuk menemukan jati dirinya.
ketersediaan (Availability)
Bahkan ketika kita mungkin merasa terlalu lelah untuk melakukannya, kita harus tersedia untuk konsultasi ke pengusaha dan kolega kita. Terdapat terlalu sedikit profesional keamanan data dan diperlukan nasihat kita sering, terutama ketika nasihat yang dicari memiliki nilai tinggi hasil.
Menjadi tersedia berarti kita harus mengatur waktu kita dengan baik, untuk memastikan bahwa kita bekerja pada tugas-tugas yang benar-benar penting dan tidak semata-mata yang mendesak. Risiko profesional influencer dan kita harus yakin untuk mempengaruhi hasil dalam situasi yang benar-benar penting.
Etika secara umum didefinisikan sebagai perangkat moral dan nilai. Dari definisi tersebut dapat dikatakan bahwa etika berkaitan erat dengan moral dan nilai-nilai yang berlaku. Contoh Auditor sesuai dengan etika adalah
Para akuntan diharapkan oleh masyarakat untuk berlaku jujur, adil dan tidak memihak serta mengungkapkan laporan keuangan sesuai dengan kondisi sebenarnya.
Kerahasiaan (Confidentiality)
Audit berkewajiban untuk menjaga banyak rahasia – rahasia organisasi/perusahaan, rahasia para staff dan rahasia pribadi. Audit juga harus menjaga informasi rahasia ini tersembunyi dan mendapat kepercayaan dari user / pegawai , kolega, dan regulator setiap hari.
Integritas (Integrity)
Audit harus bertindak dengan integritas serta mampu mengembangkan kebijakan yang sehat dan menegakkan / menjaga user tanpa bias. Audit juga harus menunjukkan kesalahan dan kesalahan, dengan tenang dan objektif dalam rangka menegakkan kebaikan bersama. Audit harus mencari dan membela kebenaran dalam segala situasii untuk menemukan jati dirinya.
ketersediaan (Availability)
Bahkan ketika kita mungkin merasa terlalu lelah untuk melakukannya, kita harus tersedia untuk konsultasi ke pengusaha dan kolega kita. Terdapat terlalu sedikit profesional keamanan data dan diperlukan nasihat kita sering, terutama ketika nasihat yang dicari memiliki nilai tinggi hasil.
Menjadi tersedia berarti kita harus mengatur waktu kita dengan baik, untuk memastikan bahwa kita bekerja pada tugas-tugas yang benar-benar penting dan tidak semata-mata yang mendesak. Risiko profesional influencer dan kita harus yakin untuk mempengaruhi hasil dalam situasi yang benar-benar penting.
Etika secara umum didefinisikan sebagai perangkat moral dan nilai. Dari definisi tersebut dapat dikatakan bahwa etika berkaitan erat dengan moral dan nilai-nilai yang berlaku. Contoh Auditor sesuai dengan etika adalah
Para akuntan diharapkan oleh masyarakat untuk berlaku jujur, adil dan tidak memihak serta mengungkapkan laporan keuangan sesuai dengan kondisi sebenarnya.
Sistem
pengendalian intern (internal control)
Audit internal adalah fungsi penilai
independen untuk memeriksa dan mengevaluasi kegiatan dalam dan sebagai layanan
untuk, sebuah organisasi. auditor internal melakukan berbagai kegiatan termasuk
keuangan, operasional, kepatuhan dan audit penipuan. Auditor dapat bekerja
untuk organisasi atau tugas dapat outsourcing. Kemerdekaan adalah diri
dikenakan, namun auditor mewakili kepentingan organisasi.
terdiri dari beberapa komponen yaitu:
- separation of duties (pemisahan tugas/fungsi)
- delegation of authority and responsibility (pembagian wewenang dan tanggung jawab).
- competent and trustworthy personnel (pegawai yang terlatih/cakap dan dapat di percaya).
- system of authorization (otorisasi)
- adequate document and records (pencatatan dan dokumentasi yang memadai)
- physical control over assets and records (kontrol antara catatan dengan sumber daya secara fisik yang ada)
- adequate management supervision (pengawasan manajemen yang memadai)
- idenpendent checks on performance (pemeriksaan terhadap kinerja oleh pihak luar organisasi)
- comparing recorded accountability with assets (rekonsiliasi catatan dengan fisik/harta yang sesungguhnya ada).
Control Objectives
COBIT (Control Objectives for
Information and Related Technology) adalah sebuah proses model yang
dikembangkan untuk membantu perusahaan dalam pengelolaan sumber daya teknologi
informasi (IT). Proses model ini difokuskan pada pengendalian terhadap masing-masing
dari 34 proses IT, meningkatkan tingkatan kemapanan proses dalam IT dan
memenuhi ekspektasi bisnis dari IT.
COBIT
menciptakan sebuah jembatan antara manajemen TI dan para eksekutif bisnis.
COBIT mampu menyediakan bahasa yang umum sehingga dapat dipahami oleh semua
pihak. Adopsi yang cepat dari COBIT di seluruh dunia dapat dikaitkan dengan
semakin besarnya perhatian yang diberikan terhadapcorporate governance dan
kebutuhan perusahaan agar mampu berbuat lebih dengan sumber daya yang sedikit
meskipun ketika terjadi kondisi ekonomi yang sulit.
Fokus
utama dari COBIT ini adalah harapan bahwa melaui adopsi COBIT ini, perusahaan
akan mampu meningkatkan nilai tambah melalui penggunaan TI dan mengurangi
resiko-resiko inheren yang teridentifikasi didalamnya.
COBIT
dikembangkan oleh IT Governance Institute (ITGI), yang merupakan bagian
dari Information Systems Audit and Control Association (ISACA).
Saat ini pengembangan terbaru dari standar ini adalah COBIT Edisi 5.0.
COBIT
mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur
keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa
TI memungkinkan bisnis, memaksimalkan keuntungan, resiko TI dikelola secara
tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya dan
Sarno, 2010).
COBIT
merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework
IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya
profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap
negara dibangun chapter yang dapat mengelola para profesional tersebut.
Audit Risks
Audit Risk adalah Resiko bahwa
informasi / laporan keuangan mungkin berisi materi kesalahan yang mungkin tak
terdeteksi selama audit
Resiko auditor mengeluarkan pendapat wajar tanpa pengecualian padahal dalam laporan tersebut terdapat salah saji yang material
Resiko auditor mengeluarkan pendapat wajar tanpa pengecualian padahal dalam laporan tersebut terdapat salah saji yang material
Model Audit risk terdiri dari :
Inherent risk adalah Resiko dari salah saji material menganggap perusahaan tidak memiliki kontrol internal dimana resiko yang terkait dengan sifat kegiatan, Faktor yang relevan (aturan-aturan yang rumit pada formulir klaim, kurangnya bimbingan-bimbingan)
Control risk adalah Resiko bahwa salah saji material tidak terdeteksi oleh kontrol internal. Dalam pengertian luas, pengendalian risiko adalah resiko bahwa salah saji material dalam informasi tidak diaudit tidak akan terdeteksi dan dikoreksi oleh manajemen prosedur pengendalian internal secara tepat waktu.
Detection risk adalah Resiko bahwa auditor tidak akan mendeteksi salah saji material menggunakan prosedur analisis atau pengujian substantif
Overall audit risk adalah digunakan untuk menggambarkan risiko bahwa auditor akan mengeluarkan opini yang tidak pantas
Inherent risk adalah Resiko dari salah saji material menganggap perusahaan tidak memiliki kontrol internal dimana resiko yang terkait dengan sifat kegiatan, Faktor yang relevan (aturan-aturan yang rumit pada formulir klaim, kurangnya bimbingan-bimbingan)
Control risk adalah Resiko bahwa salah saji material tidak terdeteksi oleh kontrol internal. Dalam pengertian luas, pengendalian risiko adalah resiko bahwa salah saji material dalam informasi tidak diaudit tidak akan terdeteksi dan dikoreksi oleh manajemen prosedur pengendalian internal secara tepat waktu.
Detection risk adalah Resiko bahwa auditor tidak akan mendeteksi salah saji material menggunakan prosedur analisis atau pengujian substantif
Overall audit risk adalah digunakan untuk menggambarkan risiko bahwa auditor akan mengeluarkan opini yang tidak pantas
Aplication Control
Aplication control adalah sistem pengendalian intern
komputer yang berkaitan dengan pekerjaan atau kegiatan tertentu yang telah
ditentukan.
Tujuan pengendalian aplikasi :
Tujuan pengendalian aplikasi :
1. Input data akurat, lengkap,
terotorisasi dan benar
2. Data diproses sebagaimana mestinya
dalam periode waktu yang tepat
3. Data disimpan secara tepat dan
lengkap
4. Output yang dihasilkan akurat dan
lengkap
5. Adanya catatan mengenai pemrosesan
data dari input sampai menjadi output
Aplication Control berkaitan dengan ruang lingkup
proses bisnis individu atau sistem aplikasi, termasuk : suntingan data,
pemisahan fungsi bisnis ( misalnya , transc inisiasi terhadap otorisasi ) ,
menyeimbangkan total pengolahan , transc logging , dan pelaporan kesalahan .
Teknik untuk aplikasi komputer audit dibagi ke dalam
dua kelas :
1 ) teknik untuk pengendalian aplikasi pengujian
2 ) teknik untuk memeriksa rincian transaksi dan saldo
akun - substantif pengujian
Testing Aplication Control
•
Black Box Approach -
understanding flowcharts, input procedures, & output results
•
White Box Approach -
understanding the internal logic of the application : authenticity (access)
tests, accuracy tests, completeness tests, redundancy tests, audit trail tests,
rounding error tests
· Ø Metode pengujian Data : pengujian untuk
logika atau kontrol masalah - baik untuk sistem baru atau sistem yang
telah mengalami perawatan baru-baru ini
•
Base Case System Evaluation ( BCSE
) - menggunakan seperangkat transaksi uji
•
tracing - menunjukkan elektronik logika
internal aplikasi
· Ø Uji Metode Data are not fool - proof
•
snapshot - satu titik dalam pemeriksaan
kali
•
tingginya biaya pengembangan data uji
yang memadai
· White
Box Testing Techniques
•
Integrated Test Facility ( ITF ) :
sebuah otomatis , on- akan teknik yang memungkinkan auditor untuk menguji
logika aplikasi dan kontrol selama operasi normal
•
Parallel Simulation : auditor menulis
program simulasi dan menjalankan transaksi yang sebenarnya dari klien melalui
sistem
Substantive Test
Substantive Test Techniques
· Ø Menelusuri kewajiban
yang tidak tercatat
· Ø Konfirmasi piutang
untuk memastikan mereka tidak dilebih-lebihkan
· Ø Menentukan nilai yang
benar dari persediaan , dan memastikan mereka tidak dilebih-lebihkan
· Ø Menentukan ketepatan
akrual untuk biaya yang dikeluarkan , namun belum menerima ( juga pendapatan
jika sesuai )
Embedded Audit Module
· Ø Modul yang sedang
berlangsung yang menyaring transaksi non - materi
· Ø Dipilih , transaksi
material yang digunakan untuk pengambilan sampel dalam tes substantif
· Ø Membutuhkan sumber
daya tambahan komputasi oleh klien
· Ø Sulit untuk
mempertahankan sistem dengan pemeliharaan yang tinggi
Generalized Audit Software (GAS)
Ø Very
popular & widely used
Ø Can
access data files & perform operations on them:
· screen
data
· statistical
sampling methods
· foot
& balance
· format
reports
· compare
files and fields
· recalculate
data fields
Penerapan TI di perusahaan akan dapat dilakukan dengan baik apabila ditunjang dengan suatu pengelolaan TI (IT Governance) dari mulai perencanaan sampai implementasinya. Definisi IT Governance menurut ITGI adalah: “Suatu bagian terintegrasi dari kepengurusan perusahaan serta mencakup kepemimpinan dan struktur serta proses organisasi yang memastikan bahwa TI perusahaan mempertahankan dan memperluas strategi dan tujuan organisasi.”
Kegunaan IT Governance
adalah untuk mengatur penggunaan TI, dan memastikan performa TI sesuai
dengan tujuan berikut ini :
- Keselarasan TI dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan dari penerapan TI.
- Penggunaan TI agar memungkinkan perusahaan mengekploitasi kesempatan yang ada dan memaksimalkan keuntungan.
- Penggunaan sumber daya TI yang bertanggung jawab.
- Penanganan manajemen risiko yang terkait TI secara tepat.
Manajemen Framework
COBIT adalah framework untuk
informasi manajemen Risiko IT, atau merupakan "kerangka kerja dan tool set
pendukung yang memungkinkan manajer untuk menjembatani kesenjangan antara
kebutuhan pengendalian permasalahan teknis dan risiko bisnis, pertama dirilis
1996 oleh Information System Audit and Control Association (ISACA). Versi
terbarunya adalah COBIT 5.
Tujuan utama COBIT adalah menyediakan kebijakan yang
jelas dan best practice untuk IT governance, membantu manajemen senior dalam
memahami dan mengelola risiko yang berhubungan dengan IT
Sumber :
