Audit Program
Audit Program
Program Audit
Pendahuluan
Salah satu tahap audit ialah perencanaan (audit planning). Tujuan audit planning ialah untuk menentukan pada area mana, bagaimana, kapan serta oleh siapa (anggota tim yang mana) audit akan dilakukan. Langkah penting dalam audit planning mengidentifikasikan faktor risiko. Auditor harus menilai faktor risiko inheren, misalnya sistem online, network, database, dan teknologi canggih lainnya memiliki risiko lebih besar daripada batch processing system (apalagi dibandingkan sistem manual). Auditor harus meneliti resiko potensial dengan melakukan review awal general controls, menilai kelemahan pengendalian dan mengevaluasi apakah pengendalian tersebut dijalankan. Tujuan analisis resiko ini untuk membantu auditor agar lebih fokus audit pada area yang faktor risikonya besar. Untuk itu auditor menyiapkan rencana kerja audit (audit program) mengenai batas, jadwal, dan prosedur untuk mencapai sasaran audit. Setelah audit program disusun dan team auditor telah dibentuk, selanjutnya para anggota team harus melakukan pengenalan terhadap sistem yang akan diaudit.
1.
a. b. c. d. e.
Pengamatan (observasi) Wawancara atau tanya jawab (interview) Penelaahan dokumentasi Penelusuran transaksi Kuesioner
Pada akhir tahap ini auditor harus menentukan tingkat risiko pengendalian, yaitu apakah secara umum struktur pengendalian intern yang ada dapat diandalkan atau tidak. Jika keandalan tidak diyakini, maka pengujian substantif harus dilakukan secara komprehensif. Jika struktur pengendalian intern dinilai cukup baik, auditor harus melakukan pengujian apakah pengendalian tersebut betul-betul dilaksanakan dengan tertip dan berdisiplin.
2.
o Teliti apakah ada konsep organizing yang jelas, apakah unit sisfo hanya unit teknis saja atau merupakan bagian penting organisasi (ada CIO di direksi). o Cek apakah ada pemisahan tugas/fungsi bagian sistem (pengolahan data) berbasis komputer dan pemakai atau struktur organisasi unit fungsional sistem informasi itu sendiri.
Bagian Aplikasi (terdiri dari para sistem analis dan programmer) Bagian Produksi (terdiri dari para operator yang secara langsung menjalankan operasional komputer) Bagian Dukungan Teknis (terdiri dari para spesialis operating systems, ahli database, ahli komuniksi data). Unit fungsional pengguna jasa informasi (user). Di lingkungan user itupun juga perlu diperjelas yang mana merupakan fungsi otorisasi, fungsi akuntabilitas, dan fungsi pelaksanaan olperasional. o o o Teliti bagan organisasi, khususnya unit sisfo dan pemakai (users). Teliti uraikan tugas (job description) staf unit sisfo dan pemakai untuk memastikan kelayakan adanya pemisahan tugas dan fungsi. Amati pelaksanaan penanganan kesalahan yang mencakup persiapam, penelitian, dan distribusi daftar kesalahan,
Lakukan wawancara dengan pimpinan dan staf unit sisfo untuk menentukan tingkat efektivitas supervisi manajemen. o Teliti laporan manajemen, hasil studi, dan evaluasi yang ada mengenai proses penanganan kesalahaannya. o Siapkan bagan arus sistem untuk setiap siklus transaksi dan teliti pemisahan dan penggabungan fungsi. o Teliti pelaksanaan rekonsiliasi kontrol jumlah menurut pihak di luar sistem (pengolahan data) berbasis komputer dengan jumlah hasil komputer. Lakukan pengujian terhadap rekonsiliasi tersebut untuk memastikan bahwa pengendalian telah dilaksanakan secara efektif. o Teliti dan uji pengendalian: adakah persetujuan jika ada master file update, teliti status master file setelah pengolahan, teliti pengendalian terprogram, dan ujikelayakannya untuk menentukan apakah pelaksanaan sudah sesuai spesifikasi. o Dapatkan bagan organisasi sistem (pengolahan data) berbasis komputer untuk menentukan bahwa fungsi systems analyst, programmer, operator, librarian, dan control clerk dipisahkan, o Teliti dan uji jabatan dan uraian tugas dari dari personil kunci dalam sistem (pengolahan data) berbasis komputer, yang mencakup system analyst, programmer, operator, librarian, dan control clerk, untuk memastikan bahwa yang bersangkutan melaksanakan fungsinya masing-masing, o Amati operasi sistem (pengolahan data) berbasis komputer untuk meyakinkan bahwa system analysts dan programmer memiliki akses yang terbatas terhadap perangkat keras, file, maupun program komputer, o Amati pelaksanaan fungsi librarian, teliti buku harian library untuk meyakinkan bahwa catatan dipelihara secara konsisten, dan pastikan hanya personil yang berwenang yang diijinkan untuk memindahkan transaction file dan master file serta dokumentasi program, o Teliti dokumentasi rancangan sistem untuk menentukan apakah: sistem tersebut telah dibuat dalam bentuk modul, analisis sistem berbeda dengan perancang sistem untuk tiap modul akses terhadap dokumentasi tiap modul dibatasi o o Tanggungjawab pengendalian Teliti uraian tertulis (manual, job description) mengenai tanggungjawab pengendalian pada tiap tingkat struktur organisasi untuk meyakinkan apakah penugasan sesuai dengan tanggung jawab masing-masing. Teliti risalah-risalah yang ada, untuk meyakinkan bahwa tanggungjawab direksi atas pengendalian sistem berbasis komputer telah dilaksanakan. Teliti dokumentasi pengembangan dan pengoperasian sistem untuk melihat kelayakan persetujuan manajemen (user). Teliti laporan dan risalah-risalah mengenai pengendalian intern sistem (pengolahan data) berbasis komputer, Lakukan observasi ada/tidaknya kelompok pengendali di luar unit sisfo dan teliti independensinya. Hal ini dapat dilihat dengan ada/tidaknya permintaan revisi terhadap spesifikasi program, permintaan perubahan program, tanggapan tertulis dari kelompok pengendali, dan tindak lanjut sistem (pengolahan data) berbasis komputer terhadap rekomendasi tersebut.
Praktek kepegawaian Teliti prosedur penerimaan dan penilaian pegawai apakah telah dilakukan dengan baik (tidak ada KKN), dan kemampuan pegawai secara umum. Teliti jadwal kegiatan pegawai, apakah diberi tugas yang tepat dan apakah dirotasi secara berkala, Teliti apakah terdapat program pelatihan pegawai untuk peningkatan kemampuan staf sistem (pengolahan data) berbasis komputer, Teliti mutasi, promosi, dan pemberhentian untuk meyakinkan bahwa perubahan terswbut telah sesuai dengan kebijaksanaan yang berlaku dan tidak mengurangi pengendalian, Kebijakan personil pada suatu unit organisasi sistem informasi sudah tentu berbeda dengan unit yang lain. Pada suatu instalasi komputer, terdapat tipe pegawai administratif (klerk), pegawai operasional (para operator), serta knowledge worker/professional (sistem analis, programmer, dan lainnya). Teliti apakah ada perencanaan pegawai, pola karier, program pendidikan dan pelatihan teknis/manajerial perlu sungguh sungguh diperhatikan.
c. Actuating o Apakah pucuk pimpinan memberikan arahan yang kongkrit, leading dalam bentuk memberikan pelatihan, pembinaan, mendorong motivasi, dan sebagainya sehingga personil knowledge worker, pegawai profesional yang mempunyai karakeristik spesifik yang ada dapat bekerja sebaik-baiknya.
d. Controlling
apakah kinerja atau realisasi pelaksanaan kegiatan menyimpang, favourable ataukah un-favourable bila dibandingkan dengan yang telah direncanakan.
g. Teliti bagan arus, tabel keputusan, dan pengkodean yang dipilih untuk membuktikan bahwa standar pemograman dan prosedur telah diikuti. h. Lakukan wawancara dengan pemakai untuk mengetahui tingkat partisipasi mereka dalam proses pengembangan sistem. i. Teliti dokumen dan persetujuan untuk membuktikan bahwa pemakai benar-benar memahami sistem (mengerti mengenai input, prosedur pengolahan, pengendalian, dan keluaran sistem). j. Teliti kertas kerja quality assurance untuk menentukan keterlibatannya dalam proses pengembangan sistem. k. Teliti standar pengujian sistem untuk menentukan kelengkapannya. l. Lakukan wawancara dengan staf auditor intern dan pemakai untuk menentukan keterlibatan mereka dalam pengujian sistem. m. Teliti data yang diuiji dan output yang dihasilkan sistem baru, untuk meyakinkan apakah prngujian tersebut cukup lengkap. n. Teliti hasil program dan rangkaian pengujian sistem, yang mencakup bagan arus dan analisis logika, untuk meyakinkan bahwa logika program benar. o. Teliti hasil pengujian sistem terhadap data yang salah dan yang benar untuk meyakinkan bahwa sistem telah di uji secara layak. p. Teliti prosedur rekonsiliasi output menurut pilot testing dengan output menurut paralel testing. q. Teliti hasil rekonsiliasi untuk meyakinkan bahwa perbedaan yang ada telah dikoreksi oleh pengembangan sistem. r. Teliti rencana konversi data dari satu sistem ke sistem yang lain untuk menentukan apakah rencana tersebut cukup menjamin bahwa data dalam file baru tidak berubah. s. Teliti laporan ketidaksesuaian untuk pembuktian adanya koreksi yang layak dari kesalahan yang terjadi. t. Lakukan pengujian terhadap konversi file dengan cara menelusuri data yang tercatat dari file semula ke file baru dan sebaliknya. u. Teliti laporan akhir mengenai penelaahan implementasi sistem dari tim penguji. v. Lakukan wawancara dengan operator komputer dan pengembangan sistem untuk menentukan kebijaksanaan dan prosedur apa yang mengatur perubahan program. w. Teliti dokumentasi atas perubahan program yang dipilih untuk menentukan apakah kebijaksanaan dan prosedur telah diikuti. x. Teliti dokumentasi atas perubahan program untuk menentukan apakah perubahan tersebut telah disetujui. y. Teliti hasil pengujian yang dilakukan terhadap program yang dimodifikasi untuk mengetahui bahwa modifikasi program telah dibuat secarda benar. z. Bandingkan kode sumber pada program semula dengan kode sumber pada program yang telah dimodifikasi, untuk menentukan bahwa modifikasi telah disetujui, jika perubahan program tersebut menimbulkan implikasi pengendalian yang penting. aa. Pilih program aplikasi yang tidak ada dokumentasi perubahannya, bandingkan kode program yang ada sekarang dengan kode program yang sama tahun sebelunmya untuk meyakinkan bahwa memang benar-benar tidak ada perubahan program. bb. Teliti apakah dokumentasi sistem cukup lengkap.
cc. dd.
ee.
ff.
Dokumentasi sistem meliputi: proposal sistem, prosedur fungsional sistem komputerisasi (functional specification), spesifikasi sistem komputerisasi (system specification), o Dokumentasi program dan data tes (program specification), dokumentasi data (data dictionary), manual operasional sistem komputerisasi (user manual). Dokumentasi program yang sebaiknya ada: program flowchart, decision table, Copy source program, listing parameter, penjelasan naratif tentang program (narrative description). o Dokumentasi harus dapat berfungsi sebagai: dasar untuk komunikasi antar teknisi ataupun teknisi dengan user, sumber pengendalian (akuntansi), dan sebagai Roadmap bagi auditing. Teliti kebijakan peranan auditor (quality assurance) pada pengembangan sistem dan dasar pemikiran akan pentingnya keterlibatan quality assurance tersebut. Teliti apakah dalam pengendalian pengembangan sistem sudah ditetapkan prosedur standard tertulis proses pengembangan sistem, metodologi formal yang baku (tertulis), standard manajemen proyek pengembangan aplikasi (development team), peranan steering-committee, user, team, supporting unit, apakah manajer proyek aplikasi ditangani oleh teknisi komputer atau dari mpihak user. Teliti mengenai prosedur dan konvensi pemrograman: o Apakah diadakan standar dalam programming, antara lain programming structures. o Pendekatan pemrogram per tim atau individu programmer. o Terstruktur atau tidak atau object oriented programming o Kebijakan bahasa program (programming language). o Konvensi dalam naming, indentation, paragraph-number o Standard dokumentasi, testing, data generation, diagram/chart. o Software aid yang disediakan. o Fasilitas penggunaan library, function, pre-written moduls. Teliti apakah prosedur tes keandalan pengembangan sistem sudah memadai, adakah: o Pengujian Program (program testing) o String test. o System test. o Pilot test. o Parallel run/ test. o Pengesahan atau acceptance test. o Tinjauan pada post implementasi, pola monitor, pelaporan dan evaluasi (perlu maintenance team) o Pengendalian perubahan program (program change request) o
d. Teliti apakah DA dan DBA dapat berfungsi sebagai media penengah saat konflik meningkat dalam lingkungan data yang dibagi (Shared Data). e. Teliti kebijaksanaan akses database (access controls). f. Teliti kebijaksanaan/ketersediaan Data dictionary/directory, system file handling controls serta file handling controls, Audit-trail, Trigger policy. g. Teliti kebijakan tentang pola update antar lokasi, database induk, apakah pemutakhiran data dilakukan secara lokal dengan file transaksi atau langsung ke master-file di komputer induk (server) pada komputer lokal hanya ada alamat untuk proses updating saja (server address), dan lainnya. h. Teliti mengenai file handling controls i. Teliti mekanisme existence controls o Grandfather, father, son strategy o Dual recording mirroring strategy o Dumping o Logging o Resedual dumping o Differential files/shadow paging
b. c. d. e.
f. g. h. i.
i. j. k. l. m.
n.
o. p. q. r. s.
t. u. v. w.
Teliti wewenang akses ke dalam sistem untuk menentukan apakah konsistensi dengan pemisahan fungsi dan dapat menjaga kerahasiaan data, Teliti metoda pengindentifikasi pemakai untuk menentukan apakah hanya pemakai yang berwenang yang dapat menggunakan sistem, Teliti metoda pengendalian komunikasi akses data untuk meyakinkan bahwa akses oleh penyadap kecil kemungkinannya, Pelajari laporan auditor intern mengenai pengendalian pengamanan sistem dan Teliti simpulan mereka atas kecukupan pengendalian, Dapatkan informasi dari manajemen mengenai jenis dan lokasi peralatan pemadam kebakaran, dan pastikan adanya prosedur yang harus diikuti oleh staf sistem (pengolahan data) berbasis komputer jika terjadi bahaya kebakaran, Dapatkan informasi dari manajemen mengenai peralatan untuk mendeteksi akses ke ruang komputer yang dilakukan tanpa ijin, dan pastikan adanya prosedur yang harus diikuti ketika akses tanpa ijin terdeteksi, Amati fasilitas pengamanan sistem untuk memastikan keberadaan, jumlah, dan lokasi peralatan pendeteksi akses komputer, Teliti hasil pengujian pengamanan sistem untuk menentukan kecukupan peralatan deteksi akses komputer, Dapatkan informsi dari manajemen mengenai alat untuk memastikan otentik tidaknya penggunaan sistem on-line, Teliti daftar pengguna komputer dan periksa catatan mengenai pendeteksian dan tindak lanjut dari kegagalan pengamanan sistem, Teliti prosedur darurat mengenai penggunaan sistem off-line selama adanya kegagalan sistem on-line untuk memastikan bahwa pengendalian terhadap ketepatan dan kelengkapan transaksi sudah memadai, Diskusikan dengan data entry operator mengenai prosedur darurat tersebut untuk meyakini bahwa mereka telah mengerti prosedur tersebut dan pengendalian yang terkait, Periksa tata cara pemulihan untuk memastikan apakah manajemen telah mengantisipasi seluruh kemungkinan risiko pengamanan, Teliti hasil pengujian atas rencana pengamanan untuk memastikan bahwa rencana tersebut benar-benar meminimalkan kemungkinan kehilangan data dan kerigian materi, Amati library dan periksa adanya back-up master file dan back-up transaction file untuk memastikan bahwa prosedur pemulihan data telah diikuti.
x. Teliti mengenai kebijakan pengendalian akhir apabila ancaman keamanan benar-benar telah terjadi, pengendalian akhir apa yang dilaksanakan: o Teliti pedoman rencana pemulihan menjadi keadaan normal setelah terjadi bencana: Rencana Darurat (Emergency Plan) Rencana Backup (Backup Plan) Rencana Pemulihan (Recovery Plan) Rencana Pengujian (Test Plan) o Apakah ada kebijaksanaan asuransi o Pengaturan adanya peralatan komputer dan peralatan lainnya sabagai cadangan (back-up-site), jika terjadi masalah pada perlatanyang diopersikan. Dimana pun peralatan komputer cadangan berada, cadangan tersebut harus diuji coba secara berkala untuk menjalankan program komputer yang ada,
10
o o
Pengaturan dan penempatan perangkat lunak cadangan dan dokumentasinya di lokasi yang berbeda.Perngkat lunak cadangan harus selalu di mutakhirkan untuk menjamin tidak ada perbedaan dengan program yang dioperasikan, Perbaikan data yang memungkinkan recovery master file, dan transaction file, Pengaturan pegawai yang bertanggungjawab untuk menangani masalah yang terjadi.
h.
i. j.
11
k.
o Penjadwalan kerja. o Manajemen pelayanan. o Peningkatan pemanfaatan komputer. Teliti apakah sudah ada Standard operating procedures (SOP), antara lain tentang: o Penjadwalan kerja pengoperasian komputer o Sasaran kinerja komputer (computer performance, computer time, utilization,response time. dan sebagainya) o Prosedur Job Run o Console Log o Staff Time Record o File Control Standard o Prosedur pengawasan dan hal-al tak terduga Perangkat keras o Dapatkan informasi mengenai buatan, model, ukuran, dan nomor seri komputer dan perangkat keras lainnya, o Teliti brosur penjual atau dokumentasi lain untuk menentukan apakah ada pengendalian perangkat keras, o Dapatkan informasi dari manajemen dan staf unit sisfo apakah pengendalian yang ada telah dimanfaatkan, o Jika pengendalian intern tidak dimanfaatkan, diskusikan denga manajemen untuk menentukan pengaruhnya terhadap struktur pengendalian intern, o Evaluasi efektivitas pengendalian perangkat keras,jika perlu gunakan bantuan tenaga teknis, o Teliti dokumentasi operasi untuk menentukan kecukupan prosedur penaganan kesalahan operator, pengendalian, media, dan pemulihan, o Teliti kontrak pemeliharaan perangkat keras, untuk menentukan apakah pemeliharaan preventif dan perbaikan telah diatur di dalamnya. Pengendalian perangkat lunak o Dapatkan informasi dari manajemen mengenai perangkat lunak yang digunakan dan nama penjualnya termasuk sistem operasi dan pemanfaatannya, untuk mengetahui pengaruhnya terhadap struktur pengendalian intern, o Dapatkan informasi dari manajemen mengenai pengendalian perangkat lunak yang digunakan, o Jika pengendalian tidak digunakan, diskusikan dengan manajeman mengenai pengaruhnya terhadap struktur pengendalian intern, o Dapatkan informasi mengenai pengendalian atas penggunaan system modification utilities untuk mayakinkan bahwa pengoperasian sistem sudah memadai, o Teliti daftar pemakaian komputer serta laporan aktivitas pemakaian dan perubahan perangkat lunak yang tidak diotoritaskan, o Evaluasi efektivitas pengendalian perangkat lunak, jika perlu manfaatkan bantuan tenaga teknis komputer.
l.
m.
12
3.
13
e. Teliti adakah faktor-faktor yang menentukan kenyaman perekaman data dan kekurangnyamanan yang dapat meningkatkan kesalahan yang disebabkan oleh kejenuhan dan kelelahan. f. desain formulir/ dokumen yang baik, jelas dan mudah pengisiannya, dan sebagainya. g. Pengendalian lain mialnya ialah pembatasan access secara fisik (contoh ruang ATM), identifikasi terminal dan operatornya (password tertentu), proteksi dari fragmentasi. h. Teliti apakah pada tahap Batch Data Preparation (tahap persiapan-persiapan sebelum perekaman), sudah dibuat pedoman editing kode atau isian-isian nomor tertentu, dan pembundelan (batching), apakah pada waktu batching dibuat total controls untuk jumlah lembar dokumen, jumlah uang, dan sebagainya. i. Apakah pada tahap batch Data Entry (tahap pemasukan data ke komputer), sudah ada cek terprogram oleh peralatan input/terminal/mesin data entry system (mesin perekam data yang kini sudah jarang digunakan, bahkan sudah tidak ada lagi). j. Teliti prosedur tertulis mengenai pengendalian dan pengoperasian komputer untuk setiap aplikasi guna memastikan bahwa peng-input-an transaksi dapat diandalkan. k. Teliti prosedur kegiatn pencatatan dan penyesuaian kontrol jumlah batch untuk memastikan bahwa tidak ada transaksi yang dihilangkan, diduplikasi, atau diubah tanpa terdeteksi. l. Teliti pengujian validasi masukan untuk memastikan kecukupannya dalam pendeteksian kesalahan transaksi yang diterima dari penyiap data, dan kesalahan yang terjadi selama peng-input-an. m. Teliti dokumentasi dan file untuk memastikan kecukupan audit trail, 3.2.1.2. Pengendalian Bersifat Detection Objective a. Teliti apakah sudah ada validasi terprogram terhadap personal identification number (PIN), validasi kesesuaian kode/ identitas./ PIN/ Account-ID antara yang dientri dengan yang ada di file komputer b. Teliti apakah sudah ada validasi terprogram, misalnya mengenai tanggal lahir, tanggal dokumen, tanggal transaksi, , validasi atas field tertentu, misalnya tanggal (Februari tidak mengenal tanggal 30 atau 31, dan sebagainya), pengujian kelasifikasi/ validitas kode c. Apakah sudah dilakukan pengecekan terprogram (validation) terhadap data input berdasar kriteria tertentu, misalnya jumlah lembar dokumen (jumlah record yang dihitung komputer) sudah sesuai (sama) dengan yang tertulis pada record batch. d. Teliti dan dapatkan informasi mengenai prosedur untuk memastikan kelengkapan prosedur pembuatan, penginputan, dan pengendalian kesalahan batch. e. Teliti format dan distribusi dokumen sember untuk menentukan pengaruhnya terhadap pencegahan kesalahan yang mungkin terjadi, f. Lakukan rekonsiliasi antara daftar batch dengan daftar batch yang dikirimkan dan daftar batch yang salah, untuk memastikan adanya pengendalian yang memadai atas pembuatan batch. g. Teliti dokumen logika program untuk memastikan bahwa logika dan pengujian validasinya efektif.
14
h. Teliti prosedur vertifikasi data untuk memastikan bahwa error terdeteksi. i. Jenis pengujian lain misalnya cek karakter yang sahih/ misalnya uji: field (numeric test) Limit test (misalnya umur tidak boleh melebihi 35 tahun) Check digit test Data echo check/ test. 3.2.1.3. Pengendalian Bersifat Correction Objective a. Apakah sudah diatur pedoman atau prosedur pembetulan data apabila ternyata terdapat data salah yang lolos ke sistem (prosedur koreksinya). b. Bila kesalahan Keying Error, apakah cara cara pelaksanaan pembetulan dilakukan dengan merekam ulang (pembetulan data). c. Bila Source Error, artinya kesalahan bukan di pihak sistem pengolahan data, melainkan dari sumbernya, apakah cara pembetulannya dengan diklarifikasi kepada asal datanya. d. Teliti koreksi kesalahan untuk memastikan bahwa error yang terjadi dan dapat lolos ke komputer harus segera dikoreksi.
15
programmer salah menterjemahkan spesifikasi yang diberikan oleh sistem analis, program dibuat dengan tidak mengikuti standar (struktur, language, tidak dites dengan memadai). Kesalahan yang levelnya tinggi adalah sistem (dan program-programnya) dibuat tidak sesuai dengan kebutuhan pemakasi (usernya). Selama proses berlangsung di dalam suatu program atau antar program sebaiknya selalu lakukan cek untuk kontrol. Kontrol yang dilakukan misalnya batch controls untuk mengecek kesesuaian hitungan komputer terhadap record data dengan nilai yang tertulis pada batch header record, perlu audit trail berupa laporan tercetak. Bentuk pemeriksaan pengendalian lainnya misalnya adalah: a. b. c. d. e. f. Apakah sudah diatur mengenai Processing logic check Lakukan Run-to-run check Teliti keterkiatan, keterpaduan dan konsistensi Inter-sub-systems check Teliti mengenai mekanisme File and program check Teliti ketersediaan dan efektivitas Audit trail linkage Lakukan misalnya ialah pemeriksaan label file, pengujian identifikasi record, pengujian kode transaksi, sequence test, anticipation control, validasi untuk mendeteksi error pengolahan, arithmetic accuracy test, dual field input, data reasonable test, data limit test, cross footing test, pengendalian saldo subsistem ((system balancing controls,) dan inter subsystem totals, serta run to run totals. Teliti kecukupan mekanisme jejak audit. Salah satu bentuknya ialah perlunya laporan kegiatan pengolahan untuk pelacakan bila terjadi masalah, tersedia dokumentasi program untuk trace-back, adanya laporan pemakaian file yang dapat dilacak bila ada masalah, dan rancangan break points. Break points adalah mekanisme yang dirancang untuk mengantisipasi bila ada system down, maka starting point dalam recovery-nya jelas. Hal ini menjadi makin penting untuk suatu job-run yang runtime-nya panjang. Suatu proses panjang yang terhenti secara tidak normal akan mengakibatkan proses ulang dari awal atau dari suatu titik tertentu yang disiapkan. Teliti dokumentasi baik mengenai program aplikasi atas pengujian validasi maupun mengenai hasil pengujian validasi untuk memastikan bahwa data yang salah dan transaksi yang tidak sesuai terdeteksi Dapatkan daftar kesalahan dan Teliti koreksi yang telah dilakukan dan pastikan apakah koreksinya dilakukan segera Teliti processing activity output, dokumentasi program dan activity data file untuk memastikan kecukupan audit trail Dapatkan informasi mengenai pengendalian harware/software, misalnya tentang Processor controls o Error detection and correction o Multiple execution states o Timing controls o Component replication Real memory controls o Error detection and correction o Access controls Virtual memory controls Operating system integrity o Nature of reliable operating system o Operating system integrity threats
g.
h.
i. j. k.
16
o o o o
Operating system integrity flaws Reference monitors and kernels Design and implementation considerations Certification of operating systems
Deteksi kemungkinan adanya problem with programming style o Handle rounding correctly o Print run-to-run control totals o Minimize human intervention o Understand hardware/software numerical hazards o Use redundant calculations o Avoid closed routine Teliti ketersediaan dan efektivitas Accounting audit trail, misalnya apakah terdapat tipe-tipe transaksi tertentu yang men-trigger transaski lain, misalnya layanan order dapat mengenerate back-order atau purchase requisition. Auditor harus waspada. Teliti, jika program performs suatu set kalkulasi yang kompleks, maka harus segera terdapat record yang dapat dievaluasi kesesuaian antara input-proses-outputnya. Teliti ketersedaan dan efektivitas Operational audit trail 1. Teliti atau tanyakan tentang Resources consumption Hardware (used of CPU, peripheral, memory, storage, communication facilities) Software (used of compilers, subroutine library, mana-gement facilities, communication software) Data (file accessed, frequency of access to data items, ways data used, number of back-up made) Personnel (number of operators intervention required, use of offline storage). 2. Teliti Data related to security sensitive events, Data collected related to logging, password or access priviledge can be evaluate. 3. Hardware malfunctions 4. User specified events Periksa mengenai exixtence controls : checkpoint and restart controls
17
k. Destruction Controls d. Minta penjelasan dan/atau teliti pengendalian pada sistem remote/on-line processing, mengenai Source Controls, Distrinution Controls, Communication Controls, Receipt ControlsDisposition Controls, Retention Controls, Deletion Controls
3.4.2. Output
a. Teliti dokumentasi prosedur operasi tetap bagi pemakai untuk memastikan apakah penelaah dan pengujian output dapat mendeteksi kesalahannya. b. Tgeliti apakah sudah ada mekanisme Pengendalian keluaran (output controls) ialah pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orangorang yang tidak berhak. Kemungkinan resiko yang dihadapi yang terkait dengan keluaran ialah seperti telah disebutkan di atas: laporan tidak akurat, tidak lengkap, terlambat atau data tidak uptodate, banyak item data yang tidak relevan, bias, dibaca oleh pihak yang tidak berhak. Dalam sistem yang sudah lebih terbuka (menggunakan jaringan komuni-kasi publik) potensi akses oleh hacker, cracker atau orang yang tidak berwenang lainnya menjadi makin tinggi. c. Apakah sudah diterapkan metoda pengendalian bersifat preventive objective misalnya ialah perlunya disediakan tabel pelaporan: jenis laporan, periode pelaporan, dan siapa pengguna, serta check-list konfirmasi tanda terima oleh penggunanya. d. Apakah sudah ada prosedur permintaan laporan rutin/on-demand, atau permintaan laporan baru. e. Apakah sudah dilakukan pengendalian bersifat detection objective misalnya ialah cek antar program pelaporan, perlunya dibuat nilai-nilai subtotal dan total yang dapat diperbandingkan untuk mengevaluasi keakurasian laporan, judul dan kolomkolom laporan perlu didesain dengan sungguh-sungguh. f. Apakah sudah dilakukan pengendalian yang bersifat corrective objective misalnya ialah prosedur prosedur klaim ketidakpuasan pelayanan, tersedianya help-desk dan contact person, persetujuan dengan users mengenai service level yang disepakati.
18
g. Apakah jenis output, bentuk/format laporan, akurasi, pengguna (katagori/ kerahasiaan) dan ketepatan jadwal pelaporan, apakah laporan akurat dan sesuai dengan yang dibutuhkan, apakah keluaran tepat sasaran kepada yang berhak.
19
Karena laporan hasil audit akan mempunyai dampak luas, maka diperlukan pengetahuan khusus tentang penyusunan laporan hasil audit. Pelaporan hasil audit merupakan tahap akhir kegiatan audit. Selain harus sesuai dengan norma pemeriksaan, penyusunan laporan hasil audit juga harus mempertimbangkan dampak psikologis, terutama yang bersifat dampak negatif bagi auditee, pihak ketiga dan pihak lain yang menerima laporan tersebut. Dalam audit laporan keuangan maupun audit intern perusahaan badan usaha milik negara/ daerah (BUMN/BUMD di Indonesia) sudah disusun Standar Pemeriksaan yang diantaranya ialah mengatur tentang pelaporan hasil audit. Norma Pelaporan hasil Pemeriksaan pada standar standar pemeriksaan satuan pengawas intern (auditor internal BUMN/BUMD) antara lain memuat hal-hal berikut ini: a. b. c. Audit harus melaporkan hasil pemeriksaan sesuai dengan penugasan yang ditetapkan. Laporan audit harus dibuat secara tertulis dan disampaikan kepada pejabat yang berwenang tepat pada waktunya agar bermanfaat. Laporan audit harus memuat ruang lingkup dan tujuan pemeriksaan, disusun dengan baik, menyajikan informasi yang layak serta pernyataan bahwa pemeriksaan telah dilaksanakan sesuai dengan norma pemeriksaan. Setiap Laporan pemeriksa harus: o Memuat temuan dan kesimpulan pemeriksa secara objektif serta saran tindak yang konstruktif o Lebih mengutamakan usaha perbaikan atau penyempurnaan dari pada kritik. o Mengungkapkan hal-hal yang masih merupakan masalah yang belum dapat diselesaikan sampai berakhirnya pemeriksaan, bila ada. o Mengemukakan pengakuan atas suatu prestasi atau suatu tindakan perbaikan itu dapat diterapkan di bagian lain. o Mengemukakan penjelasan pejabat objek yang diperiksa mengenai hasil pemeriksaan.
d.
20
b.
c.
d.
e.
f.
g.
h.
21
i.
Nada yang konstruktif Sejalan dengan tujuan untuk memperbaiki atau meningkatkan mutu pelaksanaan kegiatan dari objek audit, maka laporan hasil audit harus disusun dengan nada konstruktif sehingga membangkitkan reaksi positif terhadap temuan dan rekomendasi yang diajukan.
Prosedur Pelaporan
Pedoman pelaporan agar sesuai dengan efektivitas komunikasi dan dampak psikologis dari suatun laporan hasil audit: o o o o Bentuk laporan agar dibuat sedemikian rupa sehingga membangkitkan minat orang untuk melihat isinya. Sajikan kesimpulan (atau executive summary) pada bagian awal laporan agar pembaca dapat segera mengetahui intisari laporan tersebut. Kesimpulan agar disajikan sedemikian rupa sehingga pembaca ingin mengetahui lebih mendalam tentang uraian dan kesimpulan. Temuan agar disajikan sedemikian rupa sehingga pembaca dapat mengetahui tentang kriteria yang digunakan, kondisi (temuan), sebab dan akibat temuan tersebut serta melaksanakan perbaikan sesuai dengan rekomendasi yang disajikan dalam laporan hasil audit.
Laporan hasil audit disusun oleh ketua tim audit (atau oleh staf auditor yang kemudian diperiksa oleh ketua tim audit), dan selanjutnya diserahkan kepada pengawas audit (supervisor) untuk direview. Proses dari konsep sampai diterima (ditandatangi oleh ketua tim) dan diterima oleh supervisor lazimnya melalui suatu proses bolak-balik yang kadang-kadang sampai beberapa kali putaran. Dalam proses tersebut seringkali digunakan suatu formulir yang disebut lembar review untuk memudahkan koreksi/tambahan dan sebagainya (dikenal dengan lembaran review, review sheet) tanpa harus mencorat-coret konsep laporan hasil audit Penggunaan lembaran review dilakukan dengan pertimbangan-pertimbangan berikut : o o Komunikasi lisan akan memerlukan waktu yang cukup lama padahal atasan maupun bawahan mungkin masih mempunyai kesibukan lain. Komunikasi tertulis tidak dapat dilakukan di dalam konsep laporan, karena konsep laporan tersebut akan dipenuhi dengan catatan-catatan review.
Bentuk Laporan
Bentuk laporan hasil audit pada dasarnya memuat sebagai berikut: o o o o o Kulit depan (cover) dan Halaman pertama (cover dalam) Daftar isi Bagian-1: Intisari hasil audit (executive summary) Bagian-2: Uraian hasil audit Lampiran-lampiran
a.
Kulit depan
Bentuk laporan dengan sampul yang menarik akan mengundang minat dan perhatian orang sehingga yang bersangkutan mempunyai keinginan untuk mengetahui apa isinya. Karena itu pada sampul laporan harus diberi judul yang dapat menarik minat tetapi tidak bertentangan dengan tujuan audit.
22
Beberapa petunjuk dalam pemberian judul laporan adalah sebagai berikut : o Judul harus singkat, usahakan agar tidak lebih dari tiga baris dengan tiga sampai empat kata untuk tiap baris. Judul yang terlalu panjang akan mengakibatkan orang sulit mengerti sehingga kurang tertarik dan akibatnya laporan tersebut tidak dibaca. o Usahakan agar judul sedapat mungkin bercorak khusus (spesifik) dan informatif. Misalnya dengan menggunakan kata-kata Laporan Hasil Audit o Pergunakan rumusan yang konstruktif, hindari kata-kata yang bernada negatif atau menciptakan rangsangan untuk menunjukkan kelemahan. Dengan penyajian bentuk laporan yang demikian diharapkan komunikasi tertulis yang dilakukan auditor dapat mempunyai efek kognitif (nalar), efek afektif (sikap) dan efek konatif atau perilaku (behavioral) o Laporan dengan warna tertentu akan menimbulkan rangsangan karena menyentuh alat indera komunikan sehingga menimbulkan efek kognitif (mengubah pikiran komunikan) bahwa auditor ingin berkomunikasi, juga menimbulkan efek afektif (komunikan mempunyai perasaan ingin mengetahui tentang apa yang akan dikomunikasikan). Efek afektif dapat juga berupa efek yang negatif, misalnya perasaan tidak ingin membacanya karena pengalaman masa lalu dan atau perasaan antipati terhadap auditor. o Dengan pemberian judul yang memadai diharapkan akan mempunyai efek konatif disamping mempertahankan efek konitif dan afektif yang telah postif, yaitu dapat mengubah perilaku komunikan.
b.
23
Tujuan penyajian intisari hasil audit adalah merupakan catatan ringkas untuk menghindari tidak efektifnya komunikasi. Untuk itu penyajian intisari hasil audit diharapkan sebagai berikut: o Gunakan kalimat-kalimat yang singkat dan jelas. o Gunakan kata-kata yang sederhana dan tidak bersifat teknis. o Gunakan sub-sub judul. o Garis bawahi kata-kata atau ungkapan-ungkapan penting. o Memberikan motivasi, karena tujuan penyajian intisari hasil audit adalah memberikan motivasi kepada komunikan untuk mencoba dan menelaah isi laporan selanjutnya. Tujuan ini merupakan efek konatif dari komunikasi karena diharapkan akan menimbulkan niat bagi pembaca untuk menelaah isi laporan selanjutnya.
c.
Uraian hasil audit disajikan pada bab tersendiri setelah bab intisari hasil audit. Uraian hasil audit biasanya terdiri dari bagian-bagian: a. Informasi Umum Informasi umum disajikan dengan tujuan untuk menyediakan informasi bagi pembacanya tentang program atau kegiatan yang diaudit dan sifat audit sehingga dapat digunakan untuk membantu pembaca agar dengan mudah dapat menanggapi informasi yang dimuat dalam laporan hasil audit. Beberapa petunjuk dalam penyajian informasi umum adalah sebagai berikut: o Harus dijaga agar relatif singkat dan harus dihindarkan adanya informasi yang lebih sesuai disajikan pada bagian lain dari laporan. o Apabila informasi umum menyajikan informasi yang bersangkutan dalam lampiran dan apabila demikian, maka petunjuk tentang lampiran tersebut agar disajikan. o Informasi umum yang disajikan biasanya dibagi menjadi beberapa sub bagian, yaitu: Informasi mengenai sifat kegiatan audit, Informasi tentang kegiatan yang diaudit, Pernyataan-pernyataan pengimbang, Informasi mengenai sifat kegiatan audit o Informasi mengenai sifat audit diperlukan untuk mengkomunikasikan temuan-temuan secara jelas atau menempatkan dalam perspektif yang benar. Bagian ini biasanya memuat yang berikut ini: Sifat audit, apakah audit keuangan, audit operasional atau audit khusus. Periode yang dicakup dalam audit atau saat terjadinya kondisi yang dilaporkan. Lokasi audit yang dilakukan apabila cukup banyak pada bagian ini diungkapkan secara umum, tetapi dijelaskan pada masing-masing temuan. Pernyataan mengenai tujuan dan latar belakang dilakukannya audit. Referensi terhadap laporan-laporan lain dengan menyebutkan judul, nomor dan tanggal laporan tersebut. Pernyataan pengimbang agar pembaca tidak menarik kesan yang lebih buruk. o Informasi mengenai kegiatan yang diaudit, pada umumnya terdiri dari: Latar belakang dan tujuan kegiatan Sifat dan ukuran kegiatan yang diaudit Organisasi dan manajemen
24
Informasi singkat mengenai latar belakang bidang yang diaudit untuk membantu pembaca laporan yang belum mengenal kegiatan atau bidang yang diaudit. Informasi ini biasanya disajikan cukup dalam satu-dua kalimat saja. Laporan hasil audit juga harus memuat penjelasan singkat mengenai sifat dan ukuran kegiatan yang diaudit sebagai latar belakang untuk temuan-temuan yang dilaporkan. Data mengenai kegiatan atau program yang diaudit akan membantu pembaca laporan untuk memperoleh perspektif yang benar. Data tersebut misalnya mengenai dana yang tersedia, biaya kegiatan atau program, investasi untuk fasilitas atau untuk sumber daya lainnya, serta kredit yang diberikan atau diterima. Data lain yang relevan dan menarik untuk bagian ini adalah data jumlah pegawai dan lokasi kegiatan. Di dalam laporan hasil audit perlu diungkapkan mengenai organisasi dan manajemen objek audit, untuk mengetengahkan bidang-bidang yang merupakan sasaran komentar atau rekomendasi yang diusulkan dalam laporan. Laporan harus menyatakan dengan singkat cara pengelolaan yang dilakukan objek audit dalam melaksanakan tanggung jawabnya. Informasi ini harus dibuat sesingkat mungkin dan konsisten dengan uraian yang mencukupi tentang setiap kelemahan penting. Untuk tujuan-tujuan khusus misalnya menjelaskan siapa saja yang bertanggung jawab, maka daftar nama pejabat yang terkait dapat dikemukakan dalam laporan hasil audit. Dalam penyajian informasi umum sebaiknya dilakukan sebagai berikut : o Gunakan kalimat-kalimat yang tidak terlalu panjang, jelas dan relevan dengan isi laporan o Usahakan agar audit dilakukan sedalam mungkin, sehingga pembaca tidak menganggap audit yang dilakukan seadanya sehingga yang bersangkutan enggan membaca lebih lanjut o Informasi tentang kegiatan atau program yang diaudit agar disajikan dengan benar, karena pembaca laporan atau pihak auditee lebih mengetahui hal tersebut. b. Temuan Audit Bagian ini memuat pesan pokok yang ingin disampaikan auditor ke pembaca laporan, dan merupakan alasan utama dibuatnya laporan tersebut. Temuan audit kerap kali menyangkut hal-hal sebagai berikut : o Ketidaktaatan terhadap ketentuan/ peraturan. o Pengeluaran uang yang tidak sepatutnya. o Ketidakhematan o Ketidakefisienan o Ketidakefektifan Temuan yang telah dikembangkan dengan baik harus disajikan sedemikian rupa sehingga masing-masing temuan dibedakan dengan jelas. Berikut ini diberikan beberapa saran yang perlu diperhatikan dalam penyajian temuan: o Gunakan sub judul dalam bagian temuan untuk membantu pihak pembaca mengikuti logika penyajian dan menilai hubungan-hubungan yang terdapat didalamnya.
25
o o o o o o o o
o o o o o
o o o o o o o o
o o
Masukkan semua informasi yang penting dan relevan, walaupun mungkin informasi itu sifatnya menunjukkan bantahan terhadap pokok temuan auditor karena auditor harus bersifat objektif. Jangan melebih-lebihkan, atau terlalu banyak memberikan tekanan. Yakinkan bahwa sikap auditor didukung oleh bukti-bukti yang kuat. Hindarkan pengungkapan desas-desus sebagai fakta. Jangan sertakan informasi yang bisa menyesatkan. Yakinkan bahwa kesimpulan-kesimpulan adalah layak dan telah mengikuti logika dan informasi yang disajikan. Jangan meniadakan kesimpulan-kesimpulan atau pernyataan sikap yang penting dengan anggapan bahwa hal-hal tersebut sudah diketahui oleh pihak pembaca. Tuliskan dengan corak konstruktif. Hindarkan nada sinis, kasar dan mengejek. Tekankan perlunya perbaikan dimasa depan. Adakan penilaian mengenai kesadaran yang sudah ada di pihak auditee untuk mengoreksi kekurangan-kekurangan yang dilaporkan, begitu pula setiap kemajuan yang dicapai dalam usaha memperbaiki kondisi-kondisi yang dijumpai dalam audit sebelumnya. Pertimbangkan dengan selayaknya pelaksanaan kerja yang baik dan juga yang buruk. Sajikan secara jujur komentar dari pihak yang terkena temuan0temuan, serta adakan evaluasi terhadap pandangan dan komentar tersebut. Berikan informasi yang cukup mengenai gambaran keseluruhan agar terdapat perspektif yang selayaknya mengenai temuan-temuan audit. Yakinkan bahwa semua permasalahan yang penting sudah ada pemecahannya sebelum laporan diajukan untuk pengolahan yang terakhir. Pertimbangkan perlunya membahas mengenai cukupnya pengendalian yang dilakukan pihak objek yang di audit terhadap bidang-bidang dimana ditemukan kekurangankekurangan yang serius atau tersebar luas. Gunakan ilustrasi untuk membantu menjelaskan pokok temuan. Terangkan dengan jelas kriteria yang dipakai untuk mengukur kondisi yang ada. Jelaskan pengaruh negatif yang ada atau yang mungkin timbul. Jangan gambarkan pengaruh negatif secara sembrono atau sambil lalu. Nyatakan semua taksiran kerugian atau penghematan dan sebagainya dengan jelas guna menghindarkan adanya kesan akan ketepatan yang sebetulnya menyesatkan. Tunjukkan penyebab / alasan yang mendasari perilaku yang merugikan atau kondisi yang tidak memuaskan. Pergunakan alat peraga untuk menambah kekuatan informasi (foto, peta, tabel dan sebagainya). Usahakan uraian ringkas, batasi laporan pada informasi yang diperlukan guna mendukung dan menjelaskan pokok temuan secara mencukupi. Hindari penggunaan kalimat yang bertele-tele serta hal-hal yang tidak termasuk persoalan. Jangan masukkan rincian tidak penting dari langkah-langkah audit yang dilakukan. Jangan terlalu banyak memakai kata-kata yang bersifat menilai terutama pada awal kalimat.
26
o o o o o c.
Perjelas ide-ide dengan jalan menyebutkan satu-satu atau dengan membuat daftar untuk setiap masalah. Pergunakan bahasa yang jelas, sederhana dan mudah dipahami. Hindarkan penggunaan singkatan-singkatan yang tidak begitu dikenal. Sajikan temuan-temuan sesuai dengan urutan prioritasnya. Jelaskan dasar-dasar dari perkiraan (estimate) dan proyeksi-proyeksi.
Rekomendasi
Laporan hasil audit yang memuat rekomendasi konstruktif besar sekali manfaatnya untuk mendorong perbaikan dalam pengelolaan program atau kegiatan. Selain itu laporan yang bercorak informatif atau pengungkapan yang mengkomunikasikan informasi yang bermanfaat dapat membantu pihak pemakai laporan dalam melaksanakan tugasnya. Hal ini berarti tujuan dari pekerjaan audit dapat tercapai. Rekomendasi dapat ditujukan kepada pemimpin objek audit atau atasan pemimpin objek audit atau pihak (pejabat) lain yang terkait. Rekomendasi harus disertakan dalam laporan hasil audit, apabila pekerjaan audit memberikan indikasi perlunya diambil tindakan atau apabila tindakan yang dimaksud belum dilaksanakan pada saat laporan disusun. Auditor wajib memberikan rekomendasi kepada atasan objek audit atau pejabat yang berwenang melakukan tindak lanjut. Laporan hasil audit harus memuat rekomendasi yang sesuai atau usul mengenai alternatif tindakan, apabila hasil audit memberikan indikasi perlunya ada ketentuan atau tindakan perbaikan. Rekomendasi juga harus diajukan dalam hal tindakan korektif telah dijanjikan atau dimulai. Dalam hal ini auditor lebih baik menyatakan rekomendasi secara positif daripada hanya mengungkapakan tindakan yang dijanjikan atau sedang ditangani objek audit. Setiap unit organisasi mempunyai tanggung jawab untuk menentukan cara pelaksanaan kegiatan-kegiatannya dengan memperhatikan pembatasan dan persyaratan yang berlaku. Auditor tidak memiliki kewenangan untuk langsung memerintahkan dilakukannya perubahan dalam kebijakan, prosedur maupun fungsi dari objek audit. Meskipun demikian apabila auditor mengamati adanya kekurangan dalam kegiatan objek audit, maka ia harus mengajukan rekomendasi yang sesuai untuk itu. Untuk beberapa masalah yang diungkapkan mungkin terdapat berbagai alternatif penyelesaian. Untuk itu auditor harus mengajukan segi-segi positif dan negatif dari masing-masing alternatif dan bukan mencoba menyalahkan terhadap salah satu penyelesaian tertentu. Pentingnya suatu temuan dan rekomendasi bagi pembaca sebagian besar tergantung dari lingkup penerapannya serta konsekuensi-konsekuensi praktis darinya (baik yang telah atau mungkin akan terjadi). Karena itu penting bagi auditor untuk mengetengahkan keuntungankeuntungan praktis dari rekomendasinya dan merancang rekomendasi itu sedemikian rupa sehingga diperoleh manfaat sebesar mungkin. Dalam kasus dimana terdapat ketidaktaatan terhadap ketentuan, auditor harus merekomendasikan tindakan khusus guna memperbaiki situasi dan bukan hanya merekomendasikan agar ketentuan yang bersangkutan ditaati. Dalam menyusun konsep rekomendasi auditor harus dengan seksama mempertimbangkan biaya untuk melaksanakan rekomendasi dibandingkan dengan manfaat/ keuntungan yang dapat diperoleh. Sejauh mungkin laporan hasil audit harus menyertakan informasi yang menunjukkan bahwa rekomendasi tersebut dapat dipertanggungjawabkan dari segi biaya. Sedapat mungkin rekomendasi ditempatkan segera setelah temuan yang bertalian dengannya.
27
Format laporan hasil audit sistem informasi menurut Badan Pengawasan Keuangan dan Pembangunan (BPKP), suatu badan auditor internal pemerintah di Indonesia, memberikan panduan bentuk laporan hasil audit sistem informasi sebagai berikut: Bab I Simpulan hasil penilaian Bab ini merupakan ikhtisar kesimpulan hasil penilaian sistem informasi, yang isinya terutama memaparkan tingkat kesehatan sistem yang bersangkutan dan rekomendasi.
Bab II Uraian hasil penilaian sistem informasi akuntansi Bab II merupakan uraian rinci mengenai hasil penilaian sistem informsi a. Dasar penilaian (landasan hukum untuk melakukan penilaian) b. Umum Penjelasan yang diuraikan dalam sub bab ini meliputi organisasi, sistem berbasis komputer dan kebijaksanaan manajemen yang berkaitan dengan pengelolaan sistem informasi berbasis komputer, fungsi auditor intern dalam sistem informasi berbasis komputer dan pengembangan aplikasi, sistem dan pemrogaman c. Ruang lingkup penilaian Dalam sub bab ini agar diuraikan mengenai tujuan dan pembatasan ruang lingkup pemeriksaan. d. Tinjauan umum sistem Dalam sub bab ini agar dikemukakan mengenai peralatan (komputer) yang digunakan, maupun mengenai sistem pemrosesan datanya/secara terpusat atau distribusi, batch atau on-line/jaringan. e. Hasil penilaian sistem Dalam sub bab ini diuraikan mengenai hasil penilaian sistem terutama mengenai tingkat kesehatan sistem informasi perusahaan tersebut. Selain itu, dalam sub bab ini agar diuraikan mengenai rekomendasi auditor guna memperbaiki sistem yang telah dioperasikan f. Penjelasan Lampiran-lampiran Laporan hasil audit yang disusun oleh instansi auditor mempunyai tujuan/ manfaat sebagai berikut : a. Sebagai bukti pelaksanaan tugas b. Sebagai sumber referensi untuk perencanaan audit berikutnya c. Sebagai alat pembuktian apabila ada sanggahan dari pihak yang terlibat
28
29
ASPEK YANG DINILAI Pengendalian organisasi dan praktek kepegawaian Apakah terhadap kegiatan sistem (pengolahan data) berbasis komputer terdapat counter check tertulis dari pemakai Apakah terdapat pemisahan fungsi library dari fungsi pengoperasian dan pengembangan sistem Apakah terdapat pemisahan fungsi pemprosesan data dari pemakai atau fungsi pengoperasian Apakah untuk setiap modul terdapat pembagian tugas antara programmer dengan system analysyst Apakah direksi bertanggung jawab terhadap pengendalian sistem (pengolahan data) berbasis komputer Apakah program pemeriksa intern mencakup Teliti atas a. Pengaturan tugas dan tanggungjawab bagian sistem (pengolahan data) berbasis komputer b. Program yang digunakan oleh bagian sistem (pengolahan data) berbasis komputer untuk menyiapkan data yang diperiksa Pengendalian aplikasi pada pemakai terhadap pemrosesan data yang dilakukan oleh bagian sistem (pengolahan data) berbasis komputer -
KETERANGAN
c.
Apakah terdapat kelompok-kelompok pengendali di luar bagian sistem (pengolahan data) berbasis komputer yang melakukan Teliti secara independen Apakah dilakukan seleksi terhadap para pegawai yang bekerja di bagian sistem (pengolahan data) berbasis komputer Apakah terdapat program pelatihan untuk peningkatan kemampuan pagawai bagian sistem (pengolahan data) berbasis komputer Apakah terdapat evaluasi secara periodik terhadap pegawai bagian sistem (pengolahan data) berbasis komputer Apakah terdapat pengaturan pemutasi, promosi, dan pemberhentian pegawai di bagian sistem (pengolahan data) berbasis komputer
30
Prosedur Operasi Tetap Apakah penyiapan data dilakukan oleh bagian diluar bagian sistem (pengolahan data) berbasis komputer Apakah wewenang mengubah master file dilakukan oleh bagian diluar bagian sistem (pengolahan data) berbasis komputer Apakah supervisi terhadap aktivitas operator dan komputer dilakukan secara periodik Apakah terdapat pembatasan akses terhadap dokumentasi sistem dan program Apakah terdapat petunjuk pengoperasian yang memadai Pengendalian Pengembangan Sistem dan Dokumentasi Apakah terdapat prosedur tetap/standard procedure untuk mengembangkan sistem Apakah terdapat standarisasi program antara lain - bagan arus - tabel keputusan - tabel kode - daftar kata-kata dan singkatan-singkatan Apakah terdapat partisipasi pemakai, bagian akuntansi, dan pemeriksa intern dalam pengembangan sistem Apakah terdapat Teliti dan persetujuan pengembangan sistem oleh staf sistem (pengolahan data) berbasis komputer Apakah terdapat Teliti dan persetujuan pengembangan sistem oleh pemakai Apakah terdapat pengujian aplikasi yang baru sebelum diimplementasikan Apakah terdapat persetujuan akhir dari manajemen, pemakai dan staf sistem (pengolahan data) berbasis komputer sebelum diimplementasikan Apakah terdapat pengendalian terhadap perubahan dari sistem lama ke sistem yang baru Apakah terdapat standar dokumentasi Apakah terdapat dokumentasi yang disiapkan sebagai bukti ketaatan terhadap prosedur tetap pengembangan sistem Apakah terdapat pemisahan dokumentasi dari pendefinisian masalah, analisis, pemrogaman, dan pengoperasian sistem -
31
Pengendalian Perangkat Keras dan Perangkat Lunak Apakah digunakan cara-cara otomatis untuk mendeteksi dan mengoreksi kesalahan perangkat keras antara lain Redundace character check Duplicate process check Echo check Equipment check Validity check -
Apakah efektivitas pengendalian perangkat keras telah didukung pengendalian operasi terhadap - Media keluaran dan penyimpanan - Dafter dan laporan kegagalan peralatan - Prosedur perawatan peralatan Apakah sistem operasi memiliki kemampuan penanganan kesalahan Apakah sistem operasi dapat mencegah pemakaian secara tidak sah Pengendalian Pengamanan Sistem Apakah terdapat pengendalian yang meliputi Pengendalian lokasi Pengendalian konstruksi Pengendalian fasilitas akses Pengendalian library Pengendalian terminal Pengendalian wewenang Pengendalian identifikasi Pengendalian komunikasi data -
Apakah terdapat pengendalian yang dapat mendeteksi kegagalan di dalam pengamanan sistem Peralatan pendeteksi kebakaran Peralatan pendeteksi pengaksesan Keabsahan Pemantauan sistem -
Apakah terdapat pengendalian yang dapat menjamin pemulihan kegagalan pengamanan sistem seperti Alat pemadam kebakaran Prosedur darurat Fasilitas dan peralatan cadangan/back up prosuder pemulihan data Petugas cadangan pengganti Supplies cadangan -
32
Data Entry Apakah ada prosedur operasi tetap untuk memasukan data ke dalam aplikasi Apakah ada pengendalian yang membolehkan jumlah input pada aplikasi untuk direkonsiliasi dengan jumlah yang terwakili terhadap data entry Apakah seluruh dokumen sumber mengindikasikan adanya otoritas Apakah ukuran pengamanan ditempatkan untuk pembatasan akses terhadap terminal input dan tanda validasi pemakai Apakah ada penggunaan metoda untuk mengesampingkan atau membypass validasi data, prosedur edit, dan analisis atas kelayakan dan ketepatan oleh supervisor Apakah terdapat prosedur yang didokumentasikan yang menjelaskan proses pengindentifikasikan, pembenaran, dan pengolahan kembali data yang ditolak oleh aplikasi Apakah seluruh data yang tidak cocok dengan permintaan ditolak pada proses selanjutnya Apakah terdapat prosedur yang digunakan untuk mengendalikan tindak lanjut, koreksi, dan reentry data yang di tolak Apakah tindakan koreksi diambil bila tingkat kesalahan terlalu tinggi Apakah perhitungan item-item yang ditolak direkonsiliasi dengan pencatatan yang dapat diterima ke perkiraan untuk seluruh input Pengolahan data Apakah terdapat prosedur operasi tetap yang didokumentasikan untuk menjelaskan metoda-metoda pemrosesan data terhadap setiap program aplikasi Apakah terdapat catatan/log selama proses pengolahan Apakah program-program aplikasi diamankan terhadap input langsung dari console operator Apakah on line system di lindungi terhadap pemuktahiran non current file Apakah terdapat penngecekan yang dilaksanakan untuk meyakinkan bahwa filefile aplikasi telah diproses secara lengkap -
33
Apakah pengendalian pemrosesan menjamin bahwa penghitungan output system, sama dengan penghitungan input ke sistem Apakah terdapat pengeditan transaksi dan master file untuk pengecekan kelayakan dan ketepatannya sebelum dimutakhirkan Distribusi Keluaran Apakah terdapat prosedur operasi tetap yang menjelaskan pendistribusian keluaran Data Capture Apakah terdapat prosedur operasi tetap yang memadai Apakah dokumen sumber diberi nomor urut tercetak dan dirancang dengan format khusus Apakah dokumen sumber telah diamankan secara memadai Apakah terdapat pemisahan tugas pada pemakai Apakah terdapat evaluasi terhadap pemakai Apakah terdapat rotasi penugasan di antara pemakai Keluaran Apakah terdapat evaluasi secara periodik mengenai kebutuan pemakai Apakah tiap produk telah diberi label untuk mengindentifikasikan nama produk, nama penerima, waktu dan tanggal dibuat Apakah prosedur yang didokumentasikan menjelaskan metoda-metoda pelaporan, pengkoreksian, pemrosesan kembali keluaran yang mengandung kesalahan Apakah penghitungan catatan input dan kontrol jumlah telah direkonsiliasi dengan penghitungan catatan output dan kontrol jumlah untuk memastikan bahwa tidak ada data yang hilang atau ditambahkan selama pengolahan Apakah sistem keluaran diTeliti kelengkapan dan keakuratannya sebelum diedarkan ke pemakai Apakah Teliti ini mencakup rekonsiliasi penghitungan catatan dan kontrol jumlah Apakah dokumen sumber ditahan dan disimpan dengan urutan logis untuk memudahkan mendapatkannya kembali -
34
Komposisi Pengendalian Pengendalian sistem (pengolahan data) berbasis komputer Pengendalian umum - Pengendalian organisasi, praktek kepegawaian, dan prosedur operasi tetap Pengembangan dokumentasi sistem dan pengendalian .15 .15 .10 .15 Pengendalian sistem pengamanan .55 Pengendalian Aplikasi di bagian (pengolahan data) berbasis komputer - Peng-input-an data - Pengolahan data - Distribusi keluaran sistem .10 .15 .05
Bobot
.30 .85
.10 .05
.15 1.00
35
Nilai yang diberikan untuk masing masing eleman pengendalian berkisar antara 0-100 dengan rincian sebagai berikut: 100-80 Sangat kuat 79-60 Kuat 59-40 Cukup 39-20 Lemah 19-0 Sangat lemah Nilai total pengendalian dengan cara sebagai berikut Jumlah [ nilai x bobot] Tingkat risiko pengendalian adalah 100-Nilai Totalpengendalian Semakin rendah tingkat risiko pengendalian menunjukan semakin dapat diandalkannya pengendalian intern dari sistem informasi akuntansi, sehingga perancangan untuk pengujian substantif semakin terbatas. Demikian pula sebaliknya, jika resiko pengendalian menunjukan angka yang tinggi menunjukan berkurangnya keandalan pengandalian intern. Contoh Perhitungan Bobot Pengendalian umum - Pengedalian organisasi, praktek kepegawaian dan prosedur standar operasi - Pengembangan sistem dan pengendalian dokementasi - Pengendalian perangkat lunak dan perangkat keraS - Pengendalian sistem keamanan Hasil pemeriksaan
Pengendalian Aplikasi di bagian sistem (pengolahan data) berbasis komputer - Data entry .10 - Pengolahan data .15 - Distribusi keluaran .05 Pengendalian Aplikasi pada pemakai - Data capture Nilai total pengendalian = [77,78 x .15] =[1000 x.15] = [100 x.10] = [94,74 x .15] = [90 x.10] = [100 x .15] = [100 x.05] = [100 x .10] = 11,67=15=10=14,21=9=15 =5=10=59 = 94,88 .10 .05
Angka tersebut menunjukan nilai kehandalan pengendalian intern yang ada pada sistem informasi akuntansi yang dinilai sangat kuat. Tingkat risiko pengendalian yang ada adalah sebesar 100 94,88 = 5,12 Dengan tingkat risiko pengendalian yang rendah tersebut, pemeriksaan dapat merancang pengujian sustantif secara terbatas.
36
1. Pengendalian organisasi, praktek kepegawaian, dan prosedur operasi tetap JP = 18 Y = 14 T =4 N/A = 0 Hasil =[ Y;[JP N/A] ] x 100= [14;18] x 100 =77,78 2. Pengendalian pengembangan sistem dan dokumentasi JP = 14 Y = 14 T =0 N/A = 0 Hasil = [Y;[JP N/A]] x 100=[14;[14-0]]x 100 = 100,00 3. Pengendalian perangkat keras dan perangkat lunak JP = 10 Y = 10 T =0 N/A = 0 Hasil = [Y;[JP N/A]] x 100= [10;[10-0]] x 100 = 100,00 4. Pengendalian pengamanan sistem JP = 19 Y = 18 T =1 N/A = 0 Hasil = [ Y; [JP-N/A]] x 100= [18;[19-0]] x 100 = 94,74 5. Data entry JP = 10 Y =9 T =1 N/A = 0 Hasil = [Y;[JP N/A]]x100= [9;[10-0]]x100 = 90,00 6. Pengolahan data JP =7 Y =7 T =0 N/A = 0 Hasil = [Y;[JP-N/A]] x100= [7; [7-0]]x100 = 100,00
37
7. Distribusi keluaran JP =1 Y =1 T =0 N/A = 0 Hasil = [Y; [JP N/A]] x100= [1; [1-0]]x100 = 100,00 8. Data capture JP =6 Y =6 T =1 N/A = 0 Hasil = [Y; [JP N/A]] x 100=[6;[6-0]] x100 =100,00 9. Keluaran JP =6 Y =6 T =0 N/A = 0 Hasil = [Y; [JP N/A]] x100= [; [6-0]] x100 = 100,00