BAB I AUDIT, ASSURANCE DAN PENGENDALIAN INTERNAL

Audit: proses sistematis -> mendapatkan dan mengevaluasi secara objektif bukti
yang berkaitan dengan penilaian mengenai berbagai kegiatan dan peristiwa
ekonomi untuk memastikan tingkat kesesuaian antara penilaian-penilaian
tersebut dan membentuk kriteria serta menyampaikan hasilnya kepada
pengguna yang berkepentingan.
Berbagai Jenis Audit
1. Audit Internal
Fungsi penilaian independen yang dibentuk dalam perusahaan untuk
mempelajari dan mengevaluasi berbagai aktivitas sebagai layanan bagi
perusahaan.
2. Audit Teknologi Informasi
Penggunaan berbagai keahlian dan pengetahuan teknis untuk melakukan
audit melalui sistem komputer, atau menyediakan layanan audit di mana
proses atau data, atau keduanya melekat dalam berbagai bentuk
teknologi.
Tujuan -> assurance mengenai TI
Menggunakan alat/teknik audit berbantuan komputer/ Computer Assisted
Audit Tools (CAAT).
a. Memungkinkan melakukan audit melalui basis data/komputer
b. Mampu melihat audit trail yang yang ada dalam bentuk elektronik
c. Menganalisis transaksi, peristiwa dan saldo melalui sistem
3. Audit Penipuan/Fraud
Menemukan penipuan yang dilakukan karyawan. Tidak memperhatikan
materialitas, tujuan -> investigasi atas berbagai anomali, pengumpulan
bukti penipuan, dan tujuan hukum untuk tuntutan
4. Audit Keuangan/Eksternal
Berkaitan dengan penyajian laporan keuangan.
Jasa Asestasi: kesimpulan mengenai keandalan sebuah penilaian tertulis yang
merupakan tanggung jawab pihak lainnya, Syarat:
1. Adanya penilaian dan laporan tertulis
2. Adanya kriteria yang formal atau penjelasan dalam penyajiannya
3. Dibatasi pada pemeriksaan, pengkajian, dan penerapan berbagai prosedur
yang telah disepakati sebelumnya
Jasa Assurance: konsep lebih luas tidak terbatas, untuk meningkatkan kualitas
informasi.
Risiko Audit: probabilitas auditor akan memberikan pendapat yang wajar, namun
pada kenyataannya terdapat salah saji material. Komponennya: risiko inhern,
risiko pengendalian, risiko deteksi.
AR = IR x CR x DR
Pengendalian Kuat -> risiko pengendalian kecil -> pengujian substantif dapat
dibatasi
Komite Audit -> membantu manajemen memastikan itegritas lapkeu dan
mencegah penipuan
AUDIT TI
Fokus -> aspek berbasis komputer
Meliputi -> penilaian implementasi, operasi dan pengendalian berbagai sumber
daya komputer yang tepat.

Lingkungan TI -> sistem informasi, koneksi akses, akses jarak jauh, hubungan ke
berbagai sistem atau komputer lain.
Tahapan Audit TI
1. Perencanaan Audit
Tujuan -> mendapatkan informasi yang cukup mengenai perusahaan agar
dapat merencanakan berbagai tahapan audit lainnya.
Pemahaman bisnis klien, analisis risiko, identifikasi eksposure, menguji
pengendalian.
2. Pengujian Pengendalian
Tujuan -> untuk menentukan apakah ada pengendalian internal yang
memadahi dan berfungsi dengan baik.
Uji pengendalian -> kualitas pengendalian internal yang mempengaruhi
sifat dan ruang lingkup pengujian substantif
3. Pengujian Substantif
Penyelidikan terperinci mengenai saldo akun dan transaksi, untuk
mengambil kesimpulan.
Auditor IT menggunakan CAAT untuk mendapatkan data terkait yang
dapat memberitahukan mengenai integritas dan keandalan data.
PENGENDALIAN INTERNAL
SPI -> kebijakan, praktik dan prosedur yang digunakan perusahaan untuk
mencapai empat tujuan umum yaitu:
1. Mengamankan aktiva perusahaan
2. Memastikan akurasi dan keandalan informasi akuntansi
3. Efisiensi operasional perusahaan
4. Mengukur ketaatan pada prosedur dan aturan
Asumsi Penjelas Bagi Designer dan Auditor Internal
1. SPI merupakan tanggung jawab Manajemen
2. SPI harus dapat memberikan jaminan wajar keempat tujuan umum bisa
terpenuhi
3. SPI harus mewujudkan keempat tujuan tsb, apapun metode pemrosesan
data yang digunakan
4. Setiap sistem memiliki keterbatasan, meliputi:
a. Kemungkinan terjadinya kesalahan, tidak ada sistem yang sempurna
b. Karyawan dapat melakukan pembelokan dengan kolusi atau cara lain
c. Manajemen dapat mengesampingkan prosedur pengendalian
d. Kondisi yang berubah-ubah mengakibatkan pengendalian bisa menjadi
tidak efektif
Risiko -> potensi ancaman yang dapat membahayakan pengguna/aktiva
perusahaan
Eksposur -> ketidakberadaan atau kelemahan dalam sistem pengendalian.
Tingkatan Pengendalian:
1. Pengendalian Preventif
Teknik pasif yang didesain untuk mengurangi frekuensi terjadinya
peristiwa yang tidak diinginkan. Ex layar input yang didesain dengan baik,
pengendalian akses.
2. Pengendalian Detective
Alat, teknik, prosedur yang didesain untuk mengidentifikasi dan
mengekspos peristiwa yang tidak diinginkan yang lolos dari pengendalian
preventif. Ex. Penghitungan kembali.
3. Pengendalian Corrective

Tindakan untuk membalikkan pengaruh negatif dari kesalahan yang telah

dideteksi
4. Pengendalian Prediktif
Memprediksi peristiwa menyimpang tertentu, dengan menggunakan
ANN/artificial neural network atau dengan Internet Storm Center/ISC. ANN
mampu mengenali pola penyimpangan dalam berbagai transaksi di masa
lalu. ANN digunakan sebagai modul audit melekat/embeded audit module,
untuk menyaring transaksi mencurigakan kemudian memberikan
peringatan. Disebut prediktif karena adanya peringatan bersamaan
dengan dilakukannya entry.
ISC menggabungkan host2 internet untuk menelusuri port-port tertentu,
menelusuri tingkat aktivitasnya, dan melihat anomali atau aktivitas tidak
biasa. Sehingga bisa memberikan peringatan dini adanya virus, worm, dan
aktivitas perusak lainnya.
Komponen Dalam Pengendalian Internal Menurut COSO
1. Lingkungan Pengendalian/ Control Environment
Dasar -> arah perusahaan dan pengaruh kesadaran manajemen dan
karyawan akan pengendalian, elemennya:
a. Nilai integritas dan etika manajemen
b. Struktur perusahaan
c. Keterlibatan dekom dan komdit
d. Filosofi dan gaya operasi manajemen
e. Prosedur pendelegasian wewenang dan tanggung jawab
f. Metode penilaian kinerja
g. Pengaruh eksternal
h. Kebijakan dan praktik pengelolaan sumber daya
2. Penilaian Risiko/ Risk Assessment
Untuk mengidentifikasi, menganalisis dan mengelola risiko.
3. Aktivitas Pengendalian/Control Activities
Berbagai kebijakan dan prosedur yang digunakan untuk memastikan
bahwa tindakan yang tepat telah dilakukan untuk menangani berbagai
risiko.
a. Pengendalian Komputer
1) Pengendalian umum/general control
Perhatian tingkat keseluruhan perusahaan, ex. Pengendalian pusat
data, basis data, akses sistem, pengembangan dan pemeliharaan
program.
2) Pengendalian aplikasi/ application control
Memastikan integritas sistem tertentu
b. Pengendalian Fisik
Berhubungan dengan sistem akuntansi tradisional yang menggunakan
prosedur manual.
1) Otorisasi transaksi
2) Pemisahan tugas
Otorisasi transaksi terpisah dengan pemrosesan transaksi
Penyimpanan terpisah dari pencatatan
Perbaikan struktur yang tidak memungkinkan untuk penipuan,
kecuali terjadi kolusi
3) Supervisi
4) Catatan akuntansi
5) Pengendalian akses

6) Verifikasi independen
4. Informasi dan Komunikasi/ Information and Communication
Terdiri dari berbagai record dan metode yang digunakan untuk memulai,
mengidentifikasi, menganalisis, mengklasifikasi serta mencatat berbagai
transaksi perusahaan dan untuk menghitung aktiva dan kewajiban terkait.
5. Pengawasan/Monitoring
Manajemen
harus
memastikan
pengendalian
internal
berfungsi
sebagaimana dimaksudkan.

BAB II OPERASI KOMPUTER

Profesional sistem -> analis sistem, desainer basis data, dan programer yang
mendesain dan membangun sistem.
Pengguna akhir -> untuk siapa sistem dibangun (manajer, dan personel operasi)
Pemegang kepentingan -> pihak yang berkepentingan atas sistem namun bukan
pengguna
(akuntan, auditor internal, auditor eksternal, pengawas
perkembangan sistem)
Pemisahan Dalam Operasi Komputer
1. Memisahkan pengembangan sistem dan operasi komputer
Programer yang meletakkan pengendalian dalam sistem
2. Memisahkan administrasi basis data dengan fungsi lainnya
DBA -> keamanan basis data, memberikan otoritas kepada user,
3. Memisahkan fungsi pengembangan dari pemeliharaan sistem
Analisi sistem -> desain terperinci sistem yang baru
Programmer -> coding
Tujuan:
a. Memperbaiki dokumentasi
Agar ada dokumentasi sistem, dan dapat memberikan jaminan
kelangsungan pekerjaan, jika programer keluar dari perusahaan.
b. Mencegah penipuan
Programer dapat memasukkan perubahan tidak sah dalam sistem
untuk melakukan kecurangan, sehingga membutuhkan akses terus
menerus atas sistem agar tidak terdeteksi programer lain, sehingga
pemeliharaan harus dilakukan oleh orang lain untuk menghindarinya.
4. Memisahkan Perpustakaan Data dari Operasional
Data disimpan dalam ruangan yang terpisah.
Pemrosesan Data Terdistribusi (Distributed Data Processing/DDP)
1. Varians dari model data terpusat, terminal didistribusikan ke user untuk
menangani input dan output
2. Semua layanan komputer didistribusikan ke user
Arsiterktur client-server -> sentralisasi basis data ke sebuah server, dan tetap
menyediakan fungsionalitas dan independensi mikrokomputer yang berdiri
sendiri.
Risiko dalam DDP ->
1. Ketidakefisienan Penggunaan Sumber Daya
a. Peningkatan anggaran operasi untuk membiayai layanan IT
b. Risiko hardware dan software tidak sesuai satu sama lain.
c. Redundansi pekerjaan terkait aktivitas dan tanggung jawab end user.
2. Kerusakan Audit Trail

Audit trail berbentuk elektronik, bisa tidak sengaja terhapus

3. Pemisahan tugas yang tidak memdahi
Distribusi layanan TI mengakibatkan banyak unit kecil yang susah
dipisahkan fungsinya
Kelebihan DDP
1. Penurunan Biaya pemrosesan data secara keseluruhan
2. Peningkatan Tanggung jawab pengendalian biaya
3. Peningkatan kepuasan pengguna sistem
Implementasi sistem sesuai kebutuhan.
4. Fleksibilitas cadangan
Kemudahan membuat back up data agar terhindar dari bencana yang
tidak diinginkan.
Pengendalian Dalam DDP
1. Analisis Kebutuhan yang Cermat
2. Implementasi Fungsi IT perusahaan
Layanan yang disediakan:
a. Pengujian terpusat atas peranti lunak komersial dan peranti keras ->
evaluasi fitur, pengendalian dan kesesuaian dengan standar industri
b. Layanan pengguna -> bantuan teknis bagi user selama instalasi dan
ketika ditemukan permasalahan
c. Lembaga pembuat standar -> membentuk dan menyebarluaskan
standar pengembangan sistem, pemrograman dan dokumentasi sistem
d. Kajian personel -> evaluasi kualifikasi calon praktisi sistem
Pengendalian Pusat Komputer
1. Lokasi Fisik
Jauh dari bahaya yang bisa ditimbulkan manusia atau alam.
2. Konstruksi
Dalam bangunan berlantai satu dengan konstruksi solid dan akses
terkendali, saluran komunikasi bawah tanah, sistem penyaring udara. Jika
dalam gedung bertingkat -> lantai tertinggi.
3. Akses
Hanya untuk operator dan karyawan yang bekerja di situ, pintu terkunci,
alarm, monitor.
4. Pengatur Suhu Udara
Suhu 70-75 derajat fahrenheit, kelembaban relatif 50%.
5. Pemadam Kebakaran
Alarm, sistem pemadam kebakaran otomatis, konstruksi dapat menahan
kerusakan
6. Pasokan Listrik
Regulator voltase, pelindung hubungan pendek,
Perencanaan Pemulihan Bencana / Disaster Recovery Plan (DRP)
Pernyataan yang komprehensif tentang semua tindakan yang harus dilakukan
sebelum, selama dan setelah adanya bencana jenis apapun.
1. Mengidentifikasi Aplikasi Yang Penting
DRP fokus untuk bertahan hidup jangka pendek, bukan pemulihan
keseluruhan fasilitas.
Prioritas -> arus kas masuk. Proritas dapat berubah seiring waktu.
2. Membentuk Tim Pemulihan Bencana
Menghindari pekerjaan yang terlewat dan duplikasi selama implementasi
rencana kontinjensi -> rencana harus ditetapkan dan dikomunikasikan.
3. Menyediakan Lokasi Cadangan

Fasilitas pemrosesan data duplikat

a. Hot site/pusat operasional pemulihan (Recovery Operation Center)
Dapat digunakan bersama dengan beberpa perusahaan -> hemat ->
antre ketika bencana nasional.
b. Cold Site/Ruang Kosong
Dua lokasi komputer
c. Bantuan yang saling menguntungkan dengan perusahaan lain jika
terjadi bencana dengan suatu perjanjian.
d. Back up yang disediakan internal
e. Cadangan Hard ware -> memberikan jaminan adanya hardware yang
tersedia ketika terjadi bencana
f. Cadangan software: OS
g. Cadangan software: aplikasi
h. File Data cadangan (Data Back up)
i. Dokumentasi Cadangan
j. Cadangan Dokumen Pasokan dan Data Sumber -> kartu persediaan,
faktur dll
k. Menguji DRP -> dilakukan berkala menilai kesiapan personel dan aspek
yang tidak seimbang
Tolerasi Kegagalan -> kemampuan sistem untuk melanjutkan operasinya ketika
sebagian dari sitem tersebut gagal karena ada kegagalan hardware, keslahan
program aplikasi, kesalahan operator.
Untuk menghindarinya:
1. Redundant Array of Inexpensive (independent) disk (RAID)
Beberapa disket paralel, jika satu disket gagal, maka data akan
direkonstruksi dari disket lain.
2. Uninterruptable Power Supplies (UPS)
Sumber listrik cadangan, agar sistem bisa di shutdown secara terkendali
ketika listrik padam
3. Multi pemrosesan
Penggunaan simultan dua atau lebih prosesor
PENGENDALIAN SISTEM OPERASI DAN PENGENDALIAN KESELURUHAN
SISTEM
Sistem Operasi -> program pengendali dalam komputer. Tugasnya:
1. Menerjemahkan bahas tingkat tinggi ke dalam bahasa mesin
2. Mengalokasikan sumber daya komputer ke pengguna, kelompok kerja dan
aplikasi
3. Mengelola berbagai pekerjaan penjadwalan pekerjaan dan multiprogram.
Tujuan Pengendalian terkait OS
1. OS harus melindungi dirinya dari pengguna, pengguna tidak boleh
merusak OS sehingga mengakibatkan kehancuran
2. OS harus melindungi penggunanya dari satu sama lain, pengguna tidak
boleh merusak atau menghancurkan data atau program pengguna lain
3. OS harus melindungi para penggunanya dari diri mereka sendiri, modul
aplikasi pengguna jangan sampai menghancurkan modul lainnya.
4. OS harus dilindungi dari dirinya sendiri, modul dalam OS jangan
menghancurkan modul lainnya
5. OS harus dilindungi dari lingkungan sekitarnya, dari bencana, pemadaman
listrik.

Keamanan OS -> Kebijakan prosedur, pengendalian yang menentukan siapa

yang dapat mengakses OS, sumber daya yang dapat diakses dan tindakan yang
dapat dilakukan.
Komponen Keamanan
1. Prosedur Log On
Pertahanan gairs depan, ID dan Password.
2. Access Token
Log on berhasil -> OS membuat access token -> informasi mengenai
pengguna -> untuk menyetujui tindakan yang dilakukan oleh pengguna
selama menggunakan sistem
3. Daftar Pengendalian Akses
Jika pengguna melakukan akses -> ID dan hak dlam access token
dibandingkan dengan daftar pengendalian akses -> OK -> bisa melakukan
akses.
4. Pengendalian Akses Mandiri/Discretionary Access Control
Sistem terdistribusi -> memungkinkan memberikan hak akses ke
pengguna lainnya.
PENGENDALIAN KESELURUHAN SISTEM
Mengendalikan Hak ases
Mengendalikan kata sandi
Mengendalikan Objek Yang Merusak Dan Risiko Email
1. Virus
2. Worm
3. Logic bomb
4. Back door
5. Trojan
6. Spoofing
Pesan seolah berasal dari orang yang memiliki otorisasi, untuk membodohi
penerima agar melakukan sesuatu.
7. Spamming
Email yang tidak diharapkan, memenuhi server.
8. Surat Berantai
9. Urban Legend
10.Hoax Virus Warning
11.Flaming
Mengendalikan Jejak Audit, daftar catatan berbagai aktivitas dalam sistem,
aplikasi, pengguna, terdiri dari
1. Pengawasan Ketikan, semacam penyadapan telponnya komputer
2. Pengawasan Peristiwa, meringkas aktivitas jtama pengguna
Tujuan Audit Trail
1. Mendeteksi Akses Tidak sah ke dalam sistem
2. Rekonstruksi peristiwa
3. Menngkatkan akuntabilitass personal