1. Perbandingan kelebihan
dan kekurangan Standar audit Sistem Informasi
2. a) KONSEP DASAR KONTROL DAN
AUDIT SISTEM INFORMASI
Menurut Wishnu AP dalam
Saputri (2015), Audit adalah proses pemeriksaan yang dilakukan secara
sistematis untuk mengetahui bagaimana sesungguhnya pelaksanaan kualitas
diterapkan. Hasil audit akan di dokumentasi dan evaluasi secara berkala.
Sedangkan menurut Frans m. Royan Audit bertujuan untuk
mempermudah pemilik melakukan kontrol dan menghindari penyelewengan serta
manipulasi data. Sedangkan pengertian audit sistem informasi merupakan
suatu kegiatan pemeriksaan yang dilakukan oleh seorang audit internal
perusahaan dalam pengumpulan bukti-bukti dan pengevaluasian pengendalian
perusahaan untuk mencapai tujuan perusahaan dan sesuai dengan kriteria yang
ditentukan.
Sedangkan pegertian control disebut
juga pengendalian yang berarti sebuah sistem (a control is a
system) dengan kata lain merupakan sekumpulan komponen yang
saling berelasi yang berfungsi secara bersama-sama untuk menyelesaikan
suatu maksud atau tujuan, keabsahan / kebenaran dari suatu kegiatan (unlawful
events), dan pemeriksaan.
5 Siklus Audit Akunting Sistem Informasi :
a)
Revienue Cycle (sales and cloction)
b)
Expenditure Cycle (tentang bagaimana
membeli barang)
c)
Production Cycle ( Bagaimana
Menghasilan Barang)
d)
HRM
e)
General Regent and Reporting System
Audit Internal
Audit
internal adalah fungsi penilai independen untuk memeriksa dan mengevaluasi
kegiatan dalam dan sebagai layanan untuk, sebuah organisasi. auditor internal
melakukan berbagai kegiatan termasuk keuangan, operasional, kepatuhan dan audit
penipuan. Auditor dapat bekerja untuk organisasi atau tugas dapat outsourcing.
Kemerdekaan adalah diri dikenakan, namun auditor mewakili kepentingan
organisasi.
Eksternal vs Auditor Internal
Auditor
eksternal merupakan pihak luar sementara auditor internal mewakili kepentingan
organisasi. auditor internal sering bekerja sama dengan dan membantu auditor
eksternal dalam beberapa aspek audit keuangan. Jangkauan kerja sama tergantung
pada independensi dan kompetensi staf audit internal. auditor eksternal dapat
mengandalkan sebagian pada bukti yang dikumpulkan oleh departemen audit
internal yang organisatoris independen dan laporan kepada dewan komite audit
direksi.
Peran Komite Audit
Subkomite dari dewan direksi
·
Biasanya tiga anggota yang
luar.
·
SOX membutuhkan setidaknya satu
anggota harus menjadi "ahli keuangan".
·
Berfungsi sebagai independen
"check and balance" untuk fungsi audit internal.
·
SOX mengamanatkan bahwa auditor
eksternal melaporkan kepada komite audit:
·
karyawan komite dan kebakaran auditor
dan menyelesaikan sengketa.
Standar auditing
pernyataan manajemen dan tujuan
audit:
1. Keberadaan atau Terjadinya;
Kelengkapan; Hak dan kewajiban; Valuasi atau Alokasi; Penyajian dan
Pengungkapan.
2. Auditor mengembangkan tujuan
audit dan prosedur audit desain berdasarkan pernyataan ini.
3. Auditor
mencari materi bukti yang menguatkan pernyataan.
4. Auditor harus menentukan
apakah kelemahan pengendalian internal dan salah saji yang material.
5. Auditor
harus mengkomunikasikan hasil tes mereka, termasuk opini audit.
Risiko Audit
Probabilitas
bahwa auditor akan membuat tidak memenuhi syarat opini (bersih) dari laporan
keuangan yang, pada kenyataannya, salah saji material. risiko yang melekat (IR)
dikaitkan dengan karakteristik unik dari bisnis klien atau industri.
pengendalian risiko (CR) adalah kemungkinan struktur pengendalian cacat karena
kontrol tidak ada atau tidak memadai untuk mencegah atau mendeteksi kesalahan.
Risiko deteksi (DR) adalah auditor risiko bersedia untuk mengambil bahwa
kesalahan tidak terdeteksi atau dicegah oleh struktur pengendalian tidak akan
terdeteksi oleh auditor. komponen risiko audit dalam model yang digunakan untuk
menentukan ruang lingkup, sifat dan waktu pengujian substantif:
model risiko audit: AR = IR x CR x
DR
Jika risiko audit yang dapat
diterima adalah 5%, risiko deteksi yang direncanakan akan tergantung pada
struktur pengendalian.
Semakin kuat struktur pengendalian
internal, semakin rendah risiko kontrol dan kurang substantif pengujian auditor
harus dilakukan.
pengujian substantif adalah biaya
audit padat karya dan memakan waktu, yang mendorong dan menyebabkan gangguan.
kepentingan manajemen dilayani oleh
struktur pengendalian internal yang kuat.
Pengendalian internal
Manajemen
diwajibkan oleh hukum untuk membangun dan memelihara sistem yang memadai
kontrol internal.
Sejarah singkat undang-undang
pengendalian internal:
1. SEC
Kisah 1933 dan 1934.
2. Hukum
hak cipta dari tahun 1976.
3. Praktik
Korupsi Asing (FCPA) 1977 mengharuskan perusahaan yang terdaftar dengan SEC
untuk:
·
Menyimpan catatan yang cukup dan
cukup mencerminkan transaksi perusahaan dan posisi keuangan.
·
Memelihara sistem pengendalian
internal yang memberikan jaminan yang wajar bahwa tujuan organisasi terpenuhi.
Committee of Sponsoring
Organizations – 1992
·
Sarbanes-Oxley Act of 2002 (SOX)
mengharuskan manajemen perusahaan publik untuk menerapkan sistem pengendalian
internal yang memadai atas proses pelaporan keuangan mereka. Berdasarkan Bagian
302
·
Manajer harus menyatakan kontrol
internal organisasi triwulan dan tahunan.
·
auditor eksternal harus melakukan
prosedur tertentu kuartalan untuk mengidentifikasi modifikasi kontrol material
yang dapat mempengaruhi pelaporan keuangan.
Pasal 404 mengharuskan manajemen
perusahaan publik untuk mengakses efektivitas pengendalian internal mereka
dalam laporan tahunan.
Sistem Pengendalian Intern
sistem pengendalian intern terdiri
dari kebijakan, praktik, dan prosedur untuk mencapai empat tujuan yang luas:
·
Menjaga aset perusahaan.
·
Memastikan akurasi dan keandalan
catatan akuntansi dan informasi.
·
Mempromosikan efisiensi dalam
operasi perusahaan.Mengukur kepatuhan terhadap kebijakan dan prosedur yang
ditentukan manajemen.
Standar umum
Standar
umum adalah prinsip di mana IS audit dan jaminan profesional beroperasi. Mereka
berlaku untuk pelaksanaan semua tugas dan kesepakatan dengan audit IS dan
jaminan etika profesional, independensi, objektivitas dan hati-hati, serta
pengetahuan, kompetensi dan keterampilan.
Dalam
melakukan suatu IS audit atau penugasan assurance audit dan jaminan profesional
IS akan diminta untuk menilai sejumlah keputusan penting mengenai materi
pelajaran yang akan diaudit dan kriteria yang pokok yang akan dinilai. Dengan
demikian, IS audit dan jaminan profesional akan perlu mempertimbangkan
benchmark terhadap yang tugas yang harus dilakukan (standar) dan dikompensasi
dengan materi pelajaran yang akan dinilai (kriteria).
b) Prinsip-prinsip dasar proses
audit SI
Ada 5 prinsip audit SI, yaitu :
·
Ethical conduct
: Berdasar pada profesionalisme, kejujuran, integritas, kerahasiaan, dan kebijaksanaan.
·
Fair Presentation
: Kewajiban melaporkan secara jujur dan akurat.
·
Due professional care
: Implementasi dari kesungguhan dan pertimbangan yang
diberikan.
·
Independence
·
Evidence-base approach.
Adapun proses-proses meng-audit, seperti :
·
Perencanaan Audit(Planning The Audite)
·
Pengujian Pengendalian(Test of Controls)
·
Pengujian Transaksi(Test of Transaction)
·
Pengujian Keseimbangan atau
Keseluruhan Hasil(Tests of Balances
or Overal
Result)
·
Penyelesaian/ Pengakhiran Audit(Completion of The Audit)
c) Standar
dan panduan audit SI
Panduan
yang dipergunakan dalam Audit Sistem Informasi di Indonesia adalah Standar
Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi
(IAI di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih
khusus lagi, yaitu dari ISACA atau IIA. Model referensi sistem pengendalian
intern (internal controls model/framework) lazimnya adalah COBIT. Audit
objectives dalam audit terhadap IT governance (menurut COBIT adalah:
effectiveness, confidentiality, data integrity, availability, efficiency, dan
realibility). Karena yang diperiksa adalah tata-kelola Teknologi Informasi (IT
governance), maka yang diperiksa antara lain adalah Teknologi Informasi itu
sendiri. Karena itu istilah audit arround the computer dan audit through the
computer tidak relevan lagi di sini.
Dalam pelaksanaannya, jenis audit ini berkembang dalam
beberapa variannya:
·
Pemeriksaan Operasional (Operational
Audit) terhadap pengelolaan sistem informasinya, atau lebih tepatnya terhadap
tata-kelola Teknologi Informasi (IT governance).
·
General Information review, Audit
terhadap Sistem Informasi secara umum pada suatu organisasi tertentu.
·
Audit terhadap aplikasi tertentu
yang sedang dikembangkan (Quality Assurance pada tahap system development),
Quality Assurance pada systems development.
·
Di dalam audit ini, auditor bukan
anggota dari tim pengembangan sistem, tetapi membantu tim untuk meningkatkan
kualitas dari sistem yang mereka rancang dan implementasikan. Auditor mewakili
pimpinan proyek dan menejemen perusahaan untuk memonitor kegiatan tim.
a)
Postimplementation audit: Audit
terhadap aplikasi tertentu yang sudah dioperasikan (postimplementation audit
yang bersifat application software review).
b)
Audit e-business atau e-commerce, di
USA ikatan akuntan publiknya (AICPA) menawarkan jasa webtrust, bahkan juga
systrust.
c)
Audit juga dapat dilaksanakan untuk
jenis lingkup penugasan tertentu, misalnya: telaah lingkungan Teknologi
Informasi, termasuk aspek-aspek fisik dan infrastruktur (Physical and
environmental review).
d)
Telaah proses bisnis dan seberapa
jauh Teknologi Informasi mendukungnya (Business continuity review).
e)
Telaah kepemilikan Teknologi
Informasi, apakah sewa/leasing, dimiliki oleh perusahaan sepenuhnya, atau
dimiliki perusahaan outsourcing.
f)
Telaah sistem jaringan dan keamanan
(Network security review).
g)
Telaah integritas data pada Sistem
Informasi (Data integrity review).
h)
Telaah administrasi sistem,
meliputi: keamanan sistem operasi, manajemen database, prosedur dan ketaatan
administrasi secara keseluruhan (System administration review).
Jadi dapat disimpulkan bahwa
pengertian audit Sistem Informasi dapat dikelompokkan dalam dua tipe, yaitu:
Audit Sistem Informasi akuntansi berbasis Teknologi Informasi yang merupakan
bagian dari kegiatan audit laporan keuangan (general financial audit).
Pemeriksaan dilakukan terhadap Sistem Akuntansi berbasis komputer. Di pihak
lain Audit Sistem Informasi juga dapat dikategorikan sebagai jenis audit
operasional, khususnya kalau pemeriksaan yang dilakukan adalah dalam rangka
penilaian terhadap kinerja unit fungsional atau fungsi Sistem Informasi
(pusat/instalasi komputer), atau untuk mengevaluasi sistem-sistem aplikasi yang
telah diimplementasikan pada suatu organisasi/perusahaan (general information
systems review), untuk memeriksa keterandalan sistem-sistem aplikasi komputer
tertentu yang sedang dikembangkan (system development) maupun yang sudah
dioperasikan (postimplementation audit).
Standar
Audit
Standar Audit SI tidak lepas dari
standar professional seorang auditor SI. Standar professional adalah ukuran
mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota
profesi dalam menjalankan tanggungjawab profesinya. Standar profesional adalah
batasan kemampuan (knowledge, technical skill and professional attitude)
minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan
kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya
dibuat oleh organisasi profesi yang bersangkutan.
Beberapa
standar audit SI yang biasa digunakan adalah sebagai berikut:
Ø ISACA : IT
Standards, Guidelines, and Tools and Techniques for Audit and Assurance and
Control Professionals
Ø IIA :
International Professional Practices Framework / IPPF
Ø IASII :
Standar Audit Sistem Informasi
Ø BI : Standar Pelaksanaan Fungsi
Audit Intern Bank / SPFAIB
Ø BPPT :
Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi
3. a) Kontrol Internal
Proses yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang dirancang untuk membantu organisasi mencapai suatu tujuan tertentu atau suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.
Ruang Lingkup Kontrol Internal
Proses yang dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi yang dirancang untuk membantu organisasi mencapai suatu tujuan tertentu atau suatu cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.
Ruang Lingkup Kontrol Internal
Menurut
Hery (2010:39) bahwa untuk mencapai keseluruhan tujuan tersebut, maka auditor
internal harus melakukan beberapa aktivitas (Ruang lingkup audit internal)
yaitu sebagai berikut :
1.
Memeriksa dan menilai baik buruknya
pengendalian atas akuntansi keuangan dan operasi lainnya.
2.
Memeriksa sampai sejauh mana
hubungan para pelaksana terhadap kebijakan, rencana dan prosedur yang telah
ditetapkan.
3.
Memeriksa sampai sejauh mana aktiva
perusahaan dipertanggung jawabkan dan dijaga dari berbagai macam bentuk
kerugian.
4.
Memeriksa kecermatan pembukuan dan
data lainnya yang dihasilkan oleh perusahaan.
5.
Menilai prestasi kerja para pejabat/
pelaksana dalam menyelesaikan tanggung jawab yang telah ditugaskan.”
Sistem Kontrol Internal
Suatu
sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur
organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan
perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan mendorong
efisiensi serta dipatuhinya kebijakan manajemen.
b) Control Objectives
adalah suatu panduan standar praktik manajemen teknologi informasi yang dimana menjadi sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan user untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.
Control Risk
b) Control Objectives
adalah suatu panduan standar praktik manajemen teknologi informasi yang dimana menjadi sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan user untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.
Control Risk
Adalah
ukuran penetapan auditor akan kemungkinan adanya kekeliruan (salah saji) dalam
segmen audit yang melampaui batas toleransi yang tidak terdeteksi atau tercegah
oleh struktur pengendalian intern klien. Risiko pengendalian (control risk)
mengandung unsur:
a. Apakah struktur pengendalian intern klien cukup efektif untuk mendeteksi atau mencegah kekeliruan.
b. Keinginan auditor untuk membuat penetapan tersebut di bawah nilai maksimum (100%) dalam rencana audit.
Misalnya: auditor menyimpulkan bahwa struktur pengendalian intern yang ada sama sekali tidak efektif dalam mencegah atau mendeteksi kekeliruan.
c) Management Control Framework
Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.
Application Control Framework
a. Apakah struktur pengendalian intern klien cukup efektif untuk mendeteksi atau mencegah kekeliruan.
b. Keinginan auditor untuk membuat penetapan tersebut di bawah nilai maksimum (100%) dalam rencana audit.
Misalnya: auditor menyimpulkan bahwa struktur pengendalian intern yang ada sama sekali tidak efektif dalam mencegah atau mendeteksi kekeliruan.
c) Management Control Framework
Mengumpulkan dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya organisasi secara keseluruhan.
Application Control Framework
Sistem
pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan
tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses
bisnis individu atau sistem aplikasi.
d) Corporate IT governance
struktur dari hubungan dan proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil menyeimbangkan risiko dibandingkan dengan hasil yang diberikan oleh teknologi informasi dan prosesnya.
IT governance merupakan satu kesatuan dengan sukses dari enterprise governance melalui pen-ingkatan dalam efektivitas dan efisiensi dalam proses perusahaan yang berhubungan. IT governance menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasi bagi strategi dan tujuan perusahaan.
IT governance menggabungkan good (best) practice dari perencanaan dan pengorganisasian TI, pembangunan dan pengimplemantasian, delivery dan support, serta memonitor kinerja TI untuk memastikan kalau informasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnis perusahaan.
4. Aspek Management Control Framework
d) Corporate IT governance
struktur dari hubungan dan proses yang mengarahkan dan mengatur organisasi dalam rangka mencapai tujuannya dengan memberikan nilai tambah dari pemanfaatan teknologi informasi sambil menyeimbangkan risiko dibandingkan dengan hasil yang diberikan oleh teknologi informasi dan prosesnya.
IT governance merupakan satu kesatuan dengan sukses dari enterprise governance melalui pen-ingkatan dalam efektivitas dan efisiensi dalam proses perusahaan yang berhubungan. IT governance menyediakan struktur yang menghubungkan proses TI, sumber daya TI dan informasi bagi strategi dan tujuan perusahaan.
IT governance menggabungkan good (best) practice dari perencanaan dan pengorganisasian TI, pembangunan dan pengimplemantasian, delivery dan support, serta memonitor kinerja TI untuk memastikan kalau informasi perusahaan dan teknologi yang berhubungan mendukung tujuan bisnis perusahaan.
4. Aspek Management Control Framework
A.
Defining, creating, redefining,
retiring data (dengan wawancara, observasi)
B.
Membuat database tersedia untuk
semua user
C.
Menginformasikan dan melayani user
D.
Memelihara integritas data
E.
Monitoring operations
