Chapter 1-Audit, Assurance, dan Pengendalian Internal

BAB I Audit, Assurance, dan Pengendalian Internal Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan mengkomunikasikan hasilnya kepada pihak terkait. Jenis-Jenis Audit a) Audit Internal Definisi : Lembaga auditor internal (Institute of internal auditor) mendefinisikan audit internal sebagai fungsi penilaian independen yang dibentuk dalam perusahaan untuk mempelajari dan mengevaluasi berbagai aktivitasnya sebagai layanan bagi perusahaan. Sertifikasi : Auditor internal bersertifikat (Certified internal auditor-CIA) atau Auditor sistem informasi bersertifikat (Certified Information systems auditor-CISA). Standar, petunjuk, dan sertifikasi audit internal diatur oleh lembaga auditor internal. Untuk tingkat tertentu oleh asosiasi audit dan pengendalian sistem informasi (Information System Audit and Control Association-ISACA). b) Audit Teknologi Informasi (TI) Definisi : Merupakan audit berbasis risiko, diasosiasikan dengan para auditor yang menggunakan berbagai keahlian dan pengetahuan teknis untuk melakukan audit melalui sistem komputer, atau menyediakan layanan dalam berbagai bentuk teknologi. Audit TI menggunakan alat audit berbantuan komputer yaitu CAAT (Computer Assisted Audit Tools) atau alat dan teknik audit berbantuan komputer yaitu CAATT (Computer Assisted Audit Tools and Techniques). Standar, petunjuk, dan sertifikasi audit TI diatur oleh asosiasi audit dan pengendalian sistem informasi (Information System Audit and Control Association-ISACA). c) Audit Penipuan Definisi : yaitu area audit yang terbaru yang timbul akibat dari penipuan yang dilakukan oleh karyawan serta berbagai penipuan keuangan besar lain. Tujuan dari audit penipuan yaitu materialitas tidak memiliki arti, dan tujuannya bukan untuk kepastian tetapi investigasi atas berbagai anomali-pengumpulan bukti penipuan, dan tujuan hukum untuk tuntutan. Sertifikasi : Sertifikasi pemeriksa penipuan (Certified Fraud Examiner-CFE). Standar, petunjuk, dan sertifikasi audit penipuan diatur oleh Asosiasi pemeriksa penipuan bersertifikat (Association of Certified Fraud Examiners ACFE). d) Audit Keuangan atau Audit Eksternal Definisi : audit keuangan, tujuannya selalu berkaitan dengan penyajian laporan keuangan yang disajikan secara wajar. Sertifikasi : Auditor independen yang bersertifikasi sebagai Akuntan public yang bersertifikat (Certified Public Accountant-CPA). Standar, petunjuk, dan sertifikasi audit keuangan diatur oleh : Peraturan Federal (UU Sarbanes-Oxley Tahun 2002) Komisi sekuritas dan perdagangan (Securities and Exchange Commision-SEC) Dewan Standar Akuntansi Keuangan (Financial Accounting Standar Boards-FASB) Lembaga akuntan public bersertifikat Amerika (American Institute of Certfied Public Accountants-AICPA) Audit keuangan adalah atestasi (pembuktian) independen yang dilakukan oleh seorang ahli-auditor-yang berpendapat dalam penyajian laporan keuangan. Pernyataan publik atas pendapat auditor adalah puncak dari proses audit yang sistematis dan melibatkan 3 (tiga) tahapan konseptual, yaitu: a) Adaptasi terhadap bisnis perusahaan b) Mengevaluasi dan menguji berbagai pengendalian internal c) Menilai keandalan data keuangan

JASA ATESTASI DAN JASA ASSURANCE Jasa Atestasi (Attestation Service) yaitu perjanjian di mana seorang praktisi yang dikontrak untuk mengeluarkan, atau telah mengeluarkan sebuah komunikasi tertulis yang menyatakan suatu kesipulan mengenai keandalan sebuah penilaian tertulis yang merupakan tanggung jawab pihak lainnya. (SSAE No.1, AT Bagian 100.01) Syarat Jasa Atestasi: 1. Adanya penilaian tertulis dan laporan tertulis dari praktisi terkait 2. Kriteria pengukuran yang formal atau penjelasan dalam penyajiannya 3. Tingkatan jasa dibatasi pada pemeriksaan, pengkajian, dan penerapan berbagai prosedur yang telah disepakati sebelumnya. Jasa Assurance (Assurance Service), mencakup konsep yang lebih luas dan melintasi, tapi tidak terbatas pada atestasi. Jasa assurance merupakan layanan professional yang didesain untuk meningkatkan kualitas informasi, secara keuangan maupun nonkeuangan, yang digunakan oleh para pengambil keputusan. Unit organisasional yang bertanggung jawab untuk melakukan audit TI disebut sebagai: a. Manajemen Risiko (IT Risk Management), b. Manajemen Risiko Sistem Informasi (Information System Risk Management), atau c. Manajemen Risiko Sistem Operasional (Operational Systems Risk ManagementOSRM) yang biasanya merupakan divisi dari jasa kepastian. STANDAR AUDIT Laporan auditor menyatakan pendapat mengenai penyajian Laporan keuangan yang disajikan sesuai dengan prinsip akuntansi yang diterima umum (generally accepted accounting principals-GAAP). Melaksanakan audit adalah proses yang sistematis dan logis serta berlaku untuk semua bentuk sistem informasi. Auditor memiliki tanggung jawab professional yang diatur oleh standar audit yang diterima umum (generally accepted auditing standards-GAAS). Tiga golongan Standar Audit, yaitu : Standar Kualifikasi Umum, Standar Kegiatan Lapangan dan Standar Pelaporan Untuk memberikan petunjuk yang terperinci, lembaga akuntan public bersertifikat di Amerika (AICPA) menerbitkan pernyataan standar audit (Statements on Auditing Standards-SAS) sebagai interpretasi legal atas GAAS. PERNYATAAN MANAJEMEN DAN TUJUAN AUDIT Tujuan audit yaitu bersifat objektif, mendesain prosedur dan mengumpulkan bukti yang mendukung atau menolak penilaian manajemen. Pernyataan Manajemen terdiri dari : 1. Keberadaan atau keterjadian (Existence and Occurrence) 2. Kelengkapan (Completeness) 3. Hak dan kewajiban (Rights and Obligation) 4. Valuasi atau alokasi (Valuation or Allocation) 5. Penyajian dan pengungkapan (Presentation and Disclosure) Dalam lingkungan teknologi informasi, pengumpulan bukti berkaitan dengan keandalan pengendalian computer serta isi basis data yang diproses oleh program-program komputer. Menilai suatu materialitas dalam TI dapat dikatakan sulit karena teknologi dan struktur pengendalian internal yang canggih. Para auditor TI mengkomunikasikan temuan ke auditor internal dan eksternal, yang kemudian diintegrasikan ke berbagai aspek yang bersifat non TI dari audit yang terkait. RISIKO AUDIT Adalah probabilitas bahwa auditor akan memberikan pendapat yang wajar atas laporan keuangan. Dalam audit keuangan, tujuan auditor adalah untuk meminimalkan risiko audit dengan melakukan berbagai pengujian serta uji subtantif. Komponen risiko audit : 1. Risiko Inheren (inherent Risk), berhubungan dengan berbagai karakteristik unik dari bisnis atau industry klien. Auditor bersifat tidak bisa mengurangi risiko tersebut.

2. Risiko Pengendalian (Control Risk), kemungkinan bahwa struktur pengendalian salah karena tidak adanya atau tidak memadainya pengendalian untuk mencegah atau mendeteksi kesalahan dalam berbagai akun. Dapat dikurangi dengan melakukan berbagai pengujian pengendalian internal. 3. Risiko Deteksi (detection Risk), risiko yang bersedia diambil auditor atas berbagai kesalahan yang tidak terdeteksi atau dicegah oleh struktur pengendalian yang juga tidak terdeteksi oleh auditor. Untuk mencegahnya auditor menetapkan risiko deteksi yang direncanakan yang berpengaruh terhadap tingkat uji subtantif yang akan dilakukan. AUDIT TEKNOLOGI INFORMASI Meliputi penilaian implementasi, operasi, dan pengendalian berbagai sumber daya Komputer yang tepat. Audit TI terbagi ke dalam 3 tahapan, yang digambarkan sebagai berikut: a. Tahap Perencanaan Audit b. Tahap uji Pengendalian c. Tahap uji Subtantif

PENGENDALIAN INTERNAL Terdiri atas kebijakan, praktik, dan prosedur yang digunakan oelh perusahaan untuk mencapai empat tujuan umum: 1. Mengamankan aktiva perusahaan 2. Memastikan akurasi dan keandalan berbagai catatan dan informasi akuntansi 3. Menyebarluaskan efisiensi dalam operasi perusahaan 4. Mengukur ketaatan dengan berbagai kebijakan dan prosedur yang ditetapkan oleh pihak manajemen Sejarah Singkat Pengendalian Internal Undang-undang SEC Tahun 1933 dan 1934 Undang-undang Hak Cipta Tahun 1976 Komite Organisasi Pendukung Tahun 1992 Undang-undang Sarbanes-Oxley Tahun 2002 Asumsi penjelas dalam Pengendalian : Tanggung jawab pihak manajemen Jaminan yang wajar Metode Pemrosesan Data Keterbatasan Eksposur dan Risiko (Ketidakberadaan dan Kelemahan dalam pengendalian) Risiko yang mungkin terjadi akibat kelemahan suatu organisasi diantaranya : 1. Kehancuran aktiva (aktiva fisik dan informasi) 2. Pencurian aktiva 3. Korupsi informasi atau sistem informasi 4. Gangguan atas sistem informasi Dibutuhkan pengendalian internal yang terbagi ke dalam 3 tingkat yang disebut model Pengendalian PDC, yaitu: Pengendalian preventif yang merupakan teknik pasif untuk mengurangi frekuensi terjadinya kejadian yang tidak diinginkan. Pengendalian detektif merupakan teknik, alat dan prosedur untuk mengidentifikasi dan mengekspos peristiwa yang tidak diinginkan yang tidak bisa dicegah dalam tindakan preventif. Pengendalian korektif merupakan memperbaiki masalah yang terjadi atau membalikkan pengaruh negative dari kesalahan yang telah terdeteksi. Pengendalian prediktif bertujuan untuk memprediksi peristiwa atau kemungkinan penyimpangan yang akan terjadi.

Pernyataan Standar Audit No. 78 Pengendalian internal menurut COSO, ada 5 komponen, yaitu : 1. Lingkungan Pengendalian untuk menetapkan arah perusahaan dan kesadaran manajemen dan karyawan atas pengendalian. SAS 78 mengharuskan auditor memiliki pengtahuan yang memadai untuk menilai sikap dan kesadaran pihak manajemen perusahaan, dewan komisaris dan para pemilik atas pengendalian internal. 2. Penilaian Risiko untuk mengidentifikasi, menganalisis, dan mengelola risiko yang berkaitan dengan pelaporan keuangan. SAS 78 mengharuskan auditor mendapatkan pengetahuan yang cukup atas prosedur penilaian risiko perusahaan untuk memahami tata kelola perusahaan berkaitan dengan pelaporan keuangan. 3. Informasi dan Komunikasi berkaitan dengan pengambilan keputusan dan membuat laporan keuangan yang andal. SAS 78 mengharuskan auditor untuk mendapatkan cukup pengetahuan yang cukup mengenai sistem informasi perusahaan untuk memahami berbagai aspek terkait penyusunan laporan keuangan. 4. Pengawasan merupakan suatu proses penilaian kualitas dan operasi pengendalian internal. Dengan meringkas berbagai aktivitas, memperlihatkan berbagai tren, serta mengidentifikasi kinerja operasi, laporan manajemen yang didesain dengan baik dapat memberikan bukti atas berfungsinya atau kegagalan pengendalian internal. 5. Aktivitas Pengendalian yaitu berbagai kebijakan dan prosedur yang digunakan untuk memastikan tindakan yang telah dilakukan untuk menangani berbagai risiko telah berjalan dengan baik dan sesuai dengan identifikasi perusahaan. Dalam TI Aktivitas pengendalian terbagi 2 (dua): a. Pengendalian umum berlaku untuk berbagai jenis risiko yang secara sistematis mengancam integritas semua aplikasi yang diproses dalam lingkungan TI. b. Pengendalian aplikasi berfokus pada berbagai risiko yang berhubungan dengan sistem tertentu. Dalam lingkungan TI, para auditor TI melakukan fungsi verifikasi independen dengan mengevaluasi pengendalian atas pengembangan sistem dan aktivitas pemeliharaan serta mengkaji logika internal program.