a) KONSEP DASAR KONTROL DAN AUDIT SISTEM INFORMASI
Menurut Wishnu AP dalam
Saputri (2015), Audit adalah proses pemeriksaan yang dilakukan secara
sistematis untuk mengetahui bagaimana sesungguhnya pelaksanaan kualitas
diterapkan. Hasil audit akan di dokumentasi dan evaluasi secara berkala.
Sedangkan menurut Frans m. Royan Audit bertujuan untuk
mempermudah pemilik melakukan kontrol dan menghindari penyelewengan serta
manipulasi data. Sedangkan pengertian audit sistem informasi merupakan
suatu kegiatan pemeriksaan yang dilakukan oleh seorang audit internal perusahaan
dalam pengumpulan bukti-bukti dan pengevaluasian pengendalian perusahaan untuk
mencapai tujuan perusahaan dan sesuai dengan kriteria yang ditentukan.
Sedangkan pegertian control disebut juga
pengendalian yang berarti sebuah sistem
(a control is a system) dengan
kata lain merupakan sekumpulan komponen yang saling berelasi
yang berfungsi secara bersama-sama untuk menyelesaikan suatu maksud atau
tujuan, keabsahan / kebenaran dari suatu kegiatan (unlawful events), dan
pemeriksaan.
5 Siklus Audit Akunting Sistem Informasi
1. Revienue
Cycle (sales and cloction)
2. Expenditure
Cycle (tentang bagaimana membeli barang)
3. Production
Cycle ( Bagaimana Menghasilan Barang)
4. HRM
5. General
Regent and Reporting System
Audit
Internal
Audit internal adalah fungsi penilai
independen untuk memeriksa dan mengevaluasi kegiatan dalam dan sebagai layanan
untuk, sebuah organisasi. auditor internal melakukan berbagai kegiatan termasuk
keuangan, operasional, kepatuhan dan audit penipuan. Auditor dapat bekerja untuk
organisasi atau tugas dapat outsourcing. Kemerdekaan adalah diri dikenakan,
namun auditor mewakili kepentingan organisasi.
Eksternal vs Auditor Internal
Auditor eksternal merupakan pihak luar
sementara auditor internal mewakili kepentingan organisasi. auditor internal
sering bekerja sama dengan dan membantu auditor eksternal dalam beberapa aspek
audit keuangan. Jangkauan kerja sama tergantung pada independensi dan
kompetensi staf audit internal. auditor eksternal dapat mengandalkan sebagian
pada bukti yang dikumpulkan oleh departemen audit internal yang organisatoris
independen dan laporan kepada dewan komite audit direksi.
Peran Komite Audit
Subkomite dari dewan direksi
- Biasanya tiga anggota yang luar.
- SOX membutuhkan setidaknya satu anggota harus menjadi "ahli keuangan".
- Berfungsi sebagai independen "check and balance" untuk fungsi audit internal.
- SOX mengamanatkan bahwa auditor eksternal melaporkan kepada komite audit:
- karyawan komite dan kebakaran auditor dan menyelesaikan sengketa.
Standar
auditing
pernyataan manajemen dan tujuan audit:
1. Keberadaan
atau Terjadinya; Kelengkapan; Hak dan kewajiban; Valuasi atau Alokasi;
Penyajian dan Pengungkapan.
2. Auditor
mengembangkan tujuan audit dan prosedur audit desain berdasarkan pernyataan
ini.
3. Auditor
mencari materi bukti yang menguatkan pernyataan.
4. Auditor
harus menentukan apakah kelemahan pengendalian internal dan salah saji yang
material.
5. Auditor
harus mengkomunikasikan hasil tes mereka, termasuk opini audit.
Risiko Audit
Probabilitas bahwa auditor akan membuat
tidak memenuhi syarat opini (bersih) dari laporan keuangan yang, pada
kenyataannya, salah saji material. risiko yang melekat (IR) dikaitkan dengan
karakteristik unik dari bisnis klien atau industri. pengendalian risiko (CR)
adalah kemungkinan struktur pengendalian cacat karena kontrol tidak ada atau
tidak memadai untuk mencegah atau mendeteksi kesalahan. Risiko deteksi (DR)
adalah auditor risiko bersedia untuk mengambil bahwa kesalahan tidak terdeteksi
atau dicegah oleh struktur pengendalian tidak akan terdeteksi oleh auditor.
komponen risiko audit dalam model yang digunakan untuk menentukan ruang
lingkup, sifat dan waktu pengujian substantif:
model risiko audit: AR = IR x CR x DR
Jika risiko audit yang dapat diterima
adalah 5%, risiko deteksi yang direncanakan akan tergantung pada struktur
pengendalian.
Semakin kuat struktur pengendalian
internal, semakin rendah risiko kontrol dan kurang substantif pengujian auditor
harus dilakukan.
pengujian substantif adalah biaya audit
padat karya dan memakan waktu, yang mendorong dan menyebabkan gangguan.
kepentingan manajemen dilayani oleh
struktur pengendalian internal yang kuat.
Pengendalian
internal
Manajemen diwajibkan oleh hukum untuk
membangun dan memelihara sistem yang memadai kontrol internal.
Sejarah singkat undang-undang
pengendalian internal:
1. SEC Kisah
1933 dan 1934.
2. Hukum hak
cipta dari tahun 1976.
3. Praktik
Korupsi Asing (FCPA) 1977 mengharuskan perusahaan yang terdaftar dengan SEC
untuk:
- Menyimpan catatan yang cukup dan cukup mencerminkan transaksi perusahaan dan posisi keuangan.
- Memelihara sistem pengendalian internal yang memberikan jaminan yang wajar bahwa tujuan organisasi terpenuhi.
Committee of Sponsoring Organizations –
1992
- Sarbanes-Oxley Act of 2002 (SOX) mengharuskan manajemen perusahaan publik untuk menerapkan sistem pengendalian internal yang memadai atas proses pelaporan keuangan mereka. Berdasarkan Bagian 302
- Manajer harus menyatakan kontrol internal organisasi triwulan dan tahunan.
- auditor eksternal harus melakukan prosedur tertentu kuartalan untuk mengidentifikasi modifikasi kontrol material yang dapat mempengaruhi pelaporan keuangan.
Pasal 404 mengharuskan manajemen perusahaan
publik untuk mengakses efektivitas pengendalian internal mereka dalam laporan
tahunan.
Sistem Pengendalian Intern
sistem pengendalian intern terdiri dari
kebijakan, praktik, dan prosedur untuk mencapai empat tujuan yang luas:
- Menjaga aset perusahaan.
- Memastikan akurasi dan keandalan catatan akuntansi dan informasi.
- Mempromosikan efisiensi dalam operasi perusahaan.Mengukur kepatuhan terhadap kebijakan dan prosedur yang ditentukan manajemen.
Standar umum
Standar
umum adalah prinsip di mana IS audit dan jaminan profesional beroperasi. Mereka
berlaku untuk pelaksanaan semua tugas dan kesepakatan dengan audit IS dan
jaminan etika profesional, independensi, objektivitas dan hati-hati, serta
pengetahuan, kompetensi dan keterampilan.
Dalam melakukan suatu IS audit atau penugasan assurance
audit dan jaminan profesional IS akan diminta untuk menilai sejumlah keputusan
penting mengenai materi pelajaran yang akan diaudit dan kriteria yang pokok
yang akan dinilai. Dengan demikian, IS audit dan jaminan profesional akan perlu
mempertimbangkan benchmark terhadap yang tugas yang harus dilakukan (standar)
dan dikompensasi dengan materi pelajaran yang akan dinilai (kriteria).
b) Prinsip-prinsip dasar proses audit SI
Ada 5 prinsip audit SI, yaitu :
-Ethical conduct : Berdasar pada profesionalisme, kejujuran, integritas,
kerahasiaan, dan kebijaksanaan.
- Fair Presentation : Kewajiban melaporkan secara jujur dan akurat.
- Due professional care : Implementasi dari kesungguhan dan pertimbangan yang
diberikan.
- Independence
- Evidence-base approach.
Adapun proses-proses meng-audit, seperti :
- Perencanaan Audit(Planning The Audite)
- Pengujian Pengendalian(Test of Controls)
- Pengujian Transaksi(Test of Transaction)
- Pengujian Keseimbangan atau Keseluruhan Hasil(Tests of Balances or Overal
Result)
- Penyelesaian/ Pengakhiran Audit(Completion of The Audit)
c) Standar dan panduan audit SI
Panduan yang dipergunakan dalam Audit Sistem Informasi di
Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh
organisasi profesi akuntansi (IAI di Indonesia, AICPA di USA, atau CICA untuk
Kanada), maupun yang lebih khusus lagi, yaitu dari ISACA atau IIA. Model
referensi sistem pengendalian intern (internal controls model/framework)
lazimnya adalah COBIT. Audit objectives dalam audit terhadap IT governance
(menurut COBIT adalah: effectiveness, confidentiality, data integrity,
availability, efficiency, dan realibility). Karena yang diperiksa adalah
tata-kelola Teknologi Informasi (IT governance), maka yang diperiksa antara
lain adalah Teknologi Informasi itu sendiri. Karena itu istilah audit arround
the computer dan audit through the computer tidak relevan lagi di sini.
Dalam pelaksanaannya, jenis audit ini berkembang dalam
beberapa variannya:
- Pemeriksaan Operasional (Operational Audit) terhadap pengelolaan sistem informasinya, atau lebih tepatnya terhadap tata-kelola Teknologi Informasi (IT governance).
- General Information review, Audit terhadap Sistem Informasi secara umum pada suatu organisasi tertentu.
- Audit terhadap aplikasi tertentu yang sedang dikembangkan (Quality Assurance pada tahap system development), Quality Assurance pada systems development.
- Di dalam audit ini, auditor bukan anggota dari tim pengembangan sistem, tetapi membantu tim untuk meningkatkan kualitas dari sistem yang mereka rancang dan implementasikan. Auditor mewakili pimpinan proyek dan menejemen perusahaan untuk memonitor kegiatan tim.
·
Postimplementation audit: Audit terhadap
aplikasi tertentu yang sudah dioperasikan (postimplementation audit yang
bersifat application software review).
·
Audit e-business atau e-commerce, di USA ikatan
akuntan publiknya (AICPA) menawarkan jasa webtrust, bahkan juga systrust.
Audit juga dapat dilaksanakan untuk jenis lingkup penugasan
tertentu, misalnya:
·
telaah lingkungan Teknologi Informasi, termasuk
aspek-aspek fisik dan infrastruktur (Physical and environmental review).
·
Telaah proses bisnis dan seberapa jauh Teknologi
Informasi mendukungnya (Business continuity review).
·
Telaah kepemilikan Teknologi Informasi, apakah sewa/leasing,
dimiliki oleh perusahaan sepenuhnya, atau dimiliki perusahaan outsourcing.
·
Telaah sistem jaringan dan keamanan (Network
security review).
·
Telaah integritas data pada Sistem Informasi
(Data integrity review).
·
Telaah administrasi sistem, meliputi: keamanan
sistem operasi, manajemen database, prosedur dan ketaatan administrasi secara
keseluruhan (System administration review).
Jadi dapat disimpulkan bahwa pengertian audit Sistem
Informasi dapat dikelompokkan dalam dua tipe, yaitu: Audit Sistem Informasi
akuntansi berbasis Teknologi Informasi yang merupakan bagian dari kegiatan
audit laporan keuangan (general financial audit). Pemeriksaan dilakukan
terhadap Sistem Akuntansi berbasis komputer. Di pihak lain Audit Sistem
Informasi juga dapat dikategorikan sebagai jenis audit operasional, khususnya
kalau pemeriksaan yang dilakukan adalah dalam rangka penilaian terhadap kinerja
unit fungsional atau fungsi Sistem Informasi (pusat/instalasi komputer), atau
untuk mengevaluasi sistem-sistem aplikasi yang telah diimplementasikan pada
suatu organisasi/perusahaan (general information systems review), untuk
memeriksa keterandalan sistem-sistem aplikasi komputer tertentu yang sedang
dikembangkan (system development) maupun yang sudah dioperasikan (postimplementation
audit).
Standar Audit
Standar Audit SI tidak lepas dari standar professional
seorang auditor SI. Standar professional adalah ukuran mutu pelaksanaan
kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam
menjalankan tanggungjawab profesinya. Standar profesional adalah batasan
kemampuan (knowledge, technical skill and professional attitude) minimal yang
harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan
profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh
organisasi profesi yang bersangkutan. Beberapa standar audit SI yang biasa digunakan
adalahs ebagai berikut:
·
ISACA : IT Standards, Guidelines, and Tools and
Techniques for Audit and Assurance and Control Professionals
·
IIA : International Professional Practices Framework
/ IPPF
·
IASII : Standar Audit Sistem Informasi
·
BI : Standar Pelaksanaan Fungsi Audit Intern
Bank / SPFAIB
·
BPPT : Framework, Kode Etik & Standar,
Pedoman Umum Audit Teknologi
3.
a) Kontrol Internal
Proses yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang dirancang untuk membantu organisasi mencapai suatu tujuan tertentu atau suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.
Ruang Lingkup Kontrol Internal
Sistem Kontrol Internal
Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.
b) Control Objectives
adalah suatu panduan standar praktik manajemen teknologi informasi yang dimana menjadi sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan user untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.
Control Risk
Adalah ukuran penetapan auditor akan kemungkinan adanya kekeliruan (salah saji) dalam segmen audit yang melampaui batas toleransi yang tidak terdeteksi atau tercegah oleh struktur pengendalian intern klien. Risiko pengendalian (control risk) mengandung unsur:
a. Apakah struktur pengendalian intern klien cukup efektif untuk mendeteksi atau mencegah kekeliruan.
b. Keinginan auditor untuk membuat penetapan tersebut di bawah nilai maksimum (100%) dalam rencana audit.
Misalnya: auditor menyimpulkan bahwa struktur pengendalian intern yang ada sama sekali tidak efektif dalam mencegah atau mendeteksi kekeliruan.
c) Management Control Framework
Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.
Application Control Framework
Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi.
d) Corporate IT governance
struktur dari hubungan dan proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil menyeimbangkan risiko dibandingkan dengan hasil yang diberikan oleh teknologi informasi dan prosesnya.
IT governance merupakan satu kesatuan dengan sukses dari enterprise governance melalui pen-ingkatan dalam efektivitas dan efisiensi dalam proses perusahaan yang berhubungan. IT governance menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasi bagi strategi dan tujuan perusahaan.
IT governance menggabungkan good (best) practice dari perencanaan dan pengorganisasian TI, pembangunan dan pengimplemantasian, delivery dan support, serta memonitor kinerja TI untuk memastikan kalau informasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnis perusahaan.
4. Aspek Management Control Framework
sumber:
https://mamayukero.wordpress.com/2010/04/24/apa-itu-cobit/
https://ccaccounting.wordpress.com/2013/11/04/jenis-jenis-risiko-audit/
http://gofagofaa.blogspot.co.id/2017/10/audit-si.html
http://citrarhmdn.blogspot.co.id/2017/10/audit-sistem-informasi_24.html
http://bayutry.blogspot.co.id/2017/10/standar-dan-panduan-audit-sistem.html
a) Kontrol Internal
Proses yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang dirancang untuk membantu organisasi mencapai suatu tujuan tertentu atau suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.
Ruang Lingkup Kontrol Internal
Menurut Hery (2010:39) bahwa untuk mencapai keseluruhan tujuan tersebut,
maka auditor internal harus melakukan beberapa aktivitas (Ruang lingkup
audit internal) yaitu sebagai berikut :
- “Memeriksa dan menilai baik buruknya pengendalian atas akuntansi keuangan dan operasi lainnya.
- Memeriksa sampai sejauh mana hubungan para pelaksana terhadap kebijakan, rencana dan prosedur yang telah ditetapkan.
- Memeriksa sampai sejauh mana aktiva perusahaan dipertanggung jawabkan dan dijaga dari berbagai macam bentuk kerugian.
- Memeriksa kecermatan pembukuan dan data lainnya yang dihasilkan oleh perusahaan.
- Menilai prestasi kerja para pejabat/ pelaksana dalam menyelesaikan tanggung jawab yang telah ditugaskan.”
Suatu sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong efisiensi serta dipatuhinya kebijakan manajemen.
b) Control Objectives
adalah suatu panduan standar praktik manajemen teknologi informasi yang dimana menjadi sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan user untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.
Control Risk
Adalah ukuran penetapan auditor akan kemungkinan adanya kekeliruan (salah saji) dalam segmen audit yang melampaui batas toleransi yang tidak terdeteksi atau tercegah oleh struktur pengendalian intern klien. Risiko pengendalian (control risk) mengandung unsur:
a. Apakah struktur pengendalian intern klien cukup efektif untuk mendeteksi atau mencegah kekeliruan.
b. Keinginan auditor untuk membuat penetapan tersebut di bawah nilai maksimum (100%) dalam rencana audit.
Misalnya: auditor menyimpulkan bahwa struktur pengendalian intern yang ada sama sekali tidak efektif dalam mencegah atau mendeteksi kekeliruan.
c) Management Control Framework
Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.
Application Control Framework
Sistem pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses bisnis individu atau sistem aplikasi.
d) Corporate IT governance
struktur dari hubungan dan proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil menyeimbangkan risiko dibandingkan dengan hasil yang diberikan oleh teknologi informasi dan prosesnya.
IT governance merupakan satu kesatuan dengan sukses dari enterprise governance melalui pen-ingkatan dalam efektivitas dan efisiensi dalam proses perusahaan yang berhubungan. IT governance menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasi bagi strategi dan tujuan perusahaan.
IT governance menggabungkan good (best) practice dari perencanaan dan pengorganisasian TI, pembangunan dan pengimplemantasian, delivery dan support, serta memonitor kinerja TI untuk memastikan kalau informasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnis perusahaan.
4. Aspek Management Control Framework
- Defining, creating, redefining, retiring data (dengan wawancara, observasi)
- Membuat database tersedia untuk semua user
- Menginformasikan dan melayani user
- Memelihara integritas data
- Monitoring operations
sumber:
https://mamayukero.wordpress.com/2010/04/24/apa-itu-cobit/
https://ccaccounting.wordpress.com/2013/11/04/jenis-jenis-risiko-audit/
http://gofagofaa.blogspot.co.id/2017/10/audit-si.html
http://citrarhmdn.blogspot.co.id/2017/10/audit-sistem-informasi_24.html
http://bayutry.blogspot.co.id/2017/10/standar-dan-panduan-audit-sistem.html