Program Audit
Pendahuluan
Salah satu tahap audit ialah perencanaan (audit planning). Tujuan audit planning ialah untuk
menentukan pada area mana, bagaimana, kapan serta oleh siapa (anggota tim yang mana) audit
akan dilakukan. Langkah penting dalam audit planning mengidentifikasikan faktor risiko.
Auditor harus menilai faktor risiko inheren, misalnya sistem online, network, database, dan
teknologi canggih lainnya memiliki risiko lebih besar daripada batch processing system (apalagi
dibandingkan sistem manual).
Auditor harus meneliti resiko potensial dengan melakukan review awal general controls, menilai
kelemahan pengendalian dan mengevaluasi apakah pengendalian tersebut dijalankan. Tujuan
analisis resiko ini untuk membantu auditor agar lebih fokus audit pada area yang faktor risikonya
besar. Untuk itu auditor menyiapkan rencana kerja audit (audit program) mengenai batas, jadwal,
dan prosedur untuk mencapai sasaran audit. Setelah audit program disusun dan team auditor telah
dibentuk, selanjutnya para anggota team harus melakukan pengenalan terhadap sistem yang akan
diaudit.
Penelaahan awal.
Tujuan penelaahan awal ini untuk memperoleh pemahaman tentang sistem yang diaudit. Pada
tahap ini auditor melakukan penelaahan terhadap ruang lingkup (scope) dan spesifikasi sistem
yang diaudit, arus dan proses data menjadi informasi, di mana data input dibuat/direkam, jenis
pengolahan yang dilakukan, fasilitas komukasi dan komputasinya, struktur pengendalian intern
yang ada, serta jenis output yang dihasilkan dan penggunaan output (arti penting output tersebut
bagi perusahaan).
Metoda yang digunakan pada tahap penelaahan awal ini adalah sebagai berikut:
2
Pengamatan (observasi)
Pada akhir tahap ini auditor harus menentukan tingkat risiko pengendalian, yaitu apakah secara
umum struktur pengendalian intern yang ada dapat diandalkan atau tidak. Jika keandalan tidak
diyakini, maka pengujian substantif harus dilakukan secara komprehensif. Jika struktur
pengendalian intern dinilai cukup baik, auditor harus melakukan pengujian apakah
pengendalian tersebut betul-betul dilaksanakan dengan tertip dan berdisiplin.
Teliti apakah ada perencanaan yang baik tentang dukungan yang akan diberikan unit sisfo ke
unit-unit lain pada perusahaan/organisasi tersebut.
Teliti apakah sudah ada panduan bagaimana unit Sisfo mengelola sumber daya informasi yang
dimiliki secara optimal, efektif, efisien, dan ekonomis.
b. Organizing
Cek bagaimana manajemen melakukan koordinasi agar dengan sumber daya yang ada dapat
memberikan jasa informasi dalam services level yang memadai.
Teliti apakah ada konsep organizing yang jelas, apakah unit sisfo hanya unit teknis saja
atau merupakan bagian penting organisasi (ada CIO di direksi).
Cek apakah ada pemisahan tugas/fungsi bagian sistem (pengolahan data) berbasis komputer dan
pemakai atau struktur organisasi unit fungsional sistem informasi itu sendiri.
Bagian Produksi (terdiri dari para operator yang secara langsung menjalankan operasional
komputer)
Bagian Dukungan Teknis (terdiri dari para spesialis operating systems, ahli database, ahli
komuniksi data).
Unit fungsional pengguna jasa informasi (user). Di lingkungan user itupun juga perlu diperjelas
yang mana merupakan fungsi otorisasi, fungsi akuntabilitas, dan fungsi pelaksanaan
olperasional.
o Teliti bagan organisasi, khususnya unit sisfo dan pemakai (users).
Teliti uraikan tugas (job description) staf unit sisfo dan pemakai untuk memastikan kelayakan
adanya pemisahan tugas dan fungsi.
Amati pelaksanaan penanganan kesalahan yang mencakup persiapam, penelitian, dan distribusi
daftar kesalahan,
3
Lakukan wawancara dengan pimpinan dan staf unit sisfo untuk menentukan tingkat
efektivitas supervisi manajemen.
Teliti laporan manajemen, hasil studi, dan evaluasi yang ada mengenai proses
penanganan kesalahaannya.
Siapkan bagan arus sistem untuk setiap siklus transaksi dan teliti pemisahan dan
penggabungan fungsi.
Teliti pelaksanaan rekonsiliasi kontrol jumlah menurut pihak di luar sistem (pengolahan
data) berbasis komputer dengan jumlah hasil komputer. Lakukan pengujian terhadap
rekonsiliasi tersebut untuk memastikan bahwa pengendalian telah dilaksanakan secara
efektif.
Teliti dan uji pengendalian: adakah persetujuan jika ada master file update, teliti status
master file setelah pengolahan, teliti pengendalian terprogram, dan uji-kelayakannya
untuk menentukan apakah pelaksanaan sudah sesuai spesifikasi.
Teliti dan uji jabatan dan uraian tugas dari dari personil kunci dalam sistem
(pengolahan data) berbasis komputer, yang mencakup system analyst, programmer,
operator, librarian, dan control clerk, untuk memastikan bahwa yang bersangkutan
melaksanakan fungsinya masing-masing,
Amati operasi sistem (pengolahan data) berbasis komputer untuk meyakinkan bahwa
system analysts dan programmer memiliki akses yang terbatas terhadap perangkat
keras, file, maupun program komputer,
Amati pelaksanaan fungsi librarian, teliti buku harian library untuk meyakinkan bahwa
catatan dipelihara secara konsisten, dan pastikan hanya personil yang berwenang yang
diijinkan untuk memindahkan transaction file dan master file serta dokumentasi
program,
analisis sistem berbeda dengan perancang sistem untuk tiap modul akses terhadap
dokumentasi tiap modul dibatasi
o Tanggungjawab pengendalian
Lakukan observasi ada/tidaknya kelompok pengendali di luar unit sisfo dan teliti
independensinya. Hal ini dapat dilihat dengan ada/tidaknya permintaan revisi terhadap
spesifikasi program, permintaan perubahan program, tanggapan tertulis dari kelompok
pengendali, dan tindak lanjut sistem (pengolahan data) berbasis komputer terhadap
rekomendasi tersebut.
4
o Praktek kepegawaian
Teliti prosedur penerimaan dan penilaian pegawai apakah telah dilakukan dengan baik (tidak
ada KKN), dan kemampuan pegawai secara umum.
Teliti jadwal kegiatan pegawai, apakah diberi tugas yang tepat dan apakah dirotasi secara
berkala,
Teliti apakah terdapat program pelatihan pegawai untuk peningkatan kemampuan staf sistem
(pengolahan data) berbasis komputer,
Teliti mutasi, promosi, dan pemberhentian untuk meyakinkan bahwa perubahan terswbut
telah sesuai dengan kebijaksanaan yang berlaku dan tidak mengurangi pengendalian,
Kebijakan personil pada suatu unit organisasi sistem informasi sudah tentu berbeda dengan
unit yang lain. Pada suatu instalasi komputer, terdapat tipe pegawai administratif (klerk),
pegawai operasional (para operator), serta knowledge worker/professional (sistem analis,
programmer, dan lainnya). Teliti apakah ada perencanaan pegawai, pola karier, program
pendidikan dan pelatihan teknis/manajerial perlu sungguh sungguh diperhatikan.
c. Actuating
Apakah pucuk pimpinan memberikan arahan yang kongkrit, leading dalam bentuk
memberikan pelatihan, pembinaan, mendorong motivasi, dan sebagainya sehingga personil
knowledge worker, pegawai profesional yang mempunyai karakeristik spesifik yang ada dapat
bekerja sebaik-baiknya.
d. Controlling
Bagaimana mekanisme pengawasan oleh pucuk pimpinan dalam arti memonitor apakah
kinerja atau realisasi pelaksanaan kegiatan menyimpang, favourable ataukah un-favourable
bila dibandingkan dengan yang telah direncanakan.
Materi yang tercakup dalam manajemen pengemangan sistem aplikasi komputer mencakup
antara lain: a). Prosedur Pengembangan (Procedures Development), b). Tes Kelayakan
(Acceptance Testing), c). Konversi (Conversion), d). Operasi dan Perawatan (Operation and
Maintenance), e). Standardisasi (Methods standards, Performance standards, Documentation
standards, Project-control standards, Post-audit standards)
Teliti buku petunjuk prosedur tetap pengembangan sistem untuk menentukan adanya
kebijaksanaan dan pedoman.
Teliti buku petunjuk prosedur untuk menentukan apakan standar secara keseluruhan cukup
lengkap.
Evaluasi kecermatan dan kelengkapan buku petunjuk tersebut, dan yakinkan bahwa petunjuk
dimutakhirkan secara kontinyu.
Teliti dokumentasi pengembangan sistem untuk menentukan apakah telah sesuai dengan
prosedur.
Lakukan wawancara dengan manajemen, pengembangan sistem, dan pemakai sehubungan
dengan kecukupan prosedur pengembangan sistem.
Teliti bagan arus, tabel keputusan, dan pengkodean yang dipilih untuk membuktikan bahwa
standar pemograman dan prosedur telah diikuti.
Lakukan wawancara dengan pemakai untuk mengetahui tingkat partisipasi mereka dalam
proses pengembangan sistem.
Teliti dokumen dan persetujuan untuk membuktikan bahwa pemakai benar-benar memahami
sistem (mengerti mengenai input, prosedur pengolahan, pengendalian, dan keluaran sistem).
Teliti kertas kerja quality assurance untuk menentukan keterlibatannya dalam proses
pengembangan sistem.
Lakukan wawancara dengan staf auditor intern dan pemakai untuk menentukan keterlibatan
mereka dalam pengujian sistem.
Teliti data yang diuiji dan output yang dihasilkan sistem baru, untuk meyakinkan apakah
prngujian tersebut cukup lengkap.
Teliti hasil program dan rangkaian pengujian sistem, yang mencakup bagan arus dan analisis
logika, untuk meyakinkan bahwa logika program benar.
Teliti hasil pengujian sistem terhadap data yang salah dan yang benar untuk meyakinkan
bahwa sistem telah di uji secara layak.
Teliti prosedur rekonsiliasi output menurut pilot testing dengan output menurut paralel
testing.
Teliti hasil rekonsiliasi untuk meyakinkan bahwa perbedaan yang ada telah dikoreksi oleh
pengembangan sistem.
Teliti rencana konversi data dari satu sistem ke sistem yang lain untuk menentukan apakah
rencana tersebut cukup menjamin bahwa data dalam file baru tidak berubah.
Teliti laporan ketidaksesuaian untuk pembuktian adanya koreksi yang layak dari kesalahan
yang terjadi.
Lakukan pengujian terhadap konversi file dengan cara menelusuri data yang tercatat dari file
semula ke file baru dan sebaliknya.
Teliti laporan akhir mengenai penelaahan implementasi sistem dari tim penguji.
Lakukan wawancara dengan operator komputer dan pengembangan sistem untuk menentukan
kebijaksanaan dan prosedur apa yang mengatur perubahan program.
Teliti dokumentasi atas perubahan program yang dipilih untuk menentukan apakah
kebijaksanaan dan prosedur telah diikuti.
Teliti dokumentasi atas perubahan program untuk menentukan apakah perubahan tersebut
telah disetujui.
Teliti hasil pengujian yang dilakukan terhadap program yang dimodifikasi untuk mengetahui
bahwa modifikasi program telah dibuat secarda benar.
Bandingkan kode sumber pada program semula dengan kode sumber pada program yang
telah dimodifikasi, untuk menentukan bahwa modifikasi telah disetujui, jika perubahan
program tersebut menimbulkan implikasi pengendalian yang penting.
Pilih program aplikasi yang tidak ada dokumentasi perubahannya, bandingkan kode program
yang ada sekarang dengan kode program yang sama tahun sebelunmya untuk meyakinkan
bahwa memang benar-benar tidak ada perubahan program.
Dokumentasi program dan data tes (program specification), dokumentasi data (data
dictionary), manual operasional sistem komputerisasi (user manual). Dokumentasi program
yang sebaiknya ada: program flowchart, decision table, Copy source program, listing
parameter, penjelasan naratif tentang program (narrative description).
Dokumentasi harus dapat berfungsi sebagai: dasar untuk komunikasi antar teknisi ataupun
teknisi dengan user, sumber pengendalian (akuntansi), dan sebagai Road-map bagi auditing.
Teliti kebijakan peranan auditor (quality assurance) pada pengembangan sistem dan dasar
pemikiran akan pentingnya keterlibatan quality assurance tersebut.
Teliti apakah dalam pengendalian pengembangan sistem sudah ditetapkan prosedur standard
tertulis proses pengembangan sistem, metodologi formal yang baku (tertulis), standard
manajemen proyek pengembangan aplikasi (development team), peranan steering-committee,
user, team, supporting unit, apakah manajer proyek aplikasi ditangani oleh teknisi komputer
atau dari mpihak user.
o Terstruktur atau tidak atau object oriented programming o Kebijakan bahasa program
(programming language).
o Konvensi dalam naming, indentation, paragraph-number
o Standard dokumentasi, testing, data generation, diagram/chart. o Software aid yang
disediakan.
Teliti apakah prosedur tes keandalan pengembangan sistem sudah memadai, adakah: o
Pengujian Program (program testing)
Teliti apakah para user dapat membagi data (data sharing among users).
Teliti apakah ada fungsi Data Administrator (DA) yang bertugas menangani adminis-trasi dan
kebijakan mengenai data design (user perspective).
Teliti apakah ada fungsi DataBase Administrator (DBA) yang bertugas menangani masalah
teknik pengelolaan sumber data.
7
Teliti apakah DA dan DBA dapat berfungsi sebagai media penengah saat konflik meningkat
dalam lingkungan data yang dibagi (Shared Data).
Teliti kebijaksanaan akses database (access controls).
Teliti kebijakan tentang pola update antar lokasi, database induk, apakah pemutakhiran data
dilakukan secara lokal dengan file transaksi atau langsung ke master-file di komputer induk
(server) pada komputer lokal hanya ada alamat untuk proses updating saja (server address), dan
lainnya.
Kebijakan tentang quality assurance ini menyangkut masalah kepedulian dan komitmen
pimpinan terhadap aspek mutu atau kualitas jasa informasi yang mereka berikan kepada para
penggunanya. Jadi sistem komputerisasi yang dibangun untuk para user harus benar-benar
sesuai dengan kebutuhan mereka. Pembangunan sistem komputerisasi yang baik, berkaitan
dengan segala hal yang mencakup kegiatan pengembangan sistem, implementasi,
pengoperasian, dan perawatan sistem aplikasi, perlu diteliti:
Teliti apakah pengguna (user) makin menuntut (demanding) bahwa jasa yang mereka terima
harus memenuhi mutu tertentu yang sesuai dengan satisfaction level tertentu.
Teliti apakah ada unit yang bertanggungjawab dan memonitor defect product.
Teliti apakah ada mekanisme untuk menemonitor apakah service agar user satisfied terhadap
produk/jasa sistem informasi telah dikelola dengan baik.
Teliti apakah para pimpinan organisasi makin menyadari untuk lebih menggalakkan fungsi
quality assurance, mengembangkan budaya mutu, khususnya membantu kesadaran mutu dan
bagaimana menetapkan sasaran kualitas ke anggota development team.
Teliti apakah pimpinan (atau unit yang ditugasi) telah menetapkan, mengelola, dan
mensosialisasikan standar, khususnya yang berkaitan dengan sistem informasi.
Teliti apakah pimpinan (atau unit yang ditugasi) memonitor apakah standar sudah dipatuhi.
Teliti apakah pimpinan atau unit yang ditugasi mengkaji bidang-bidang yang perlu perbaikan,
terutama yang berkaitan dengan masalah kualitas.
Teliti apakah pimpinan atau unit yang ditugasi memberikan pelatihan-pelatihan tentang
peningkatan mutu produk/jasa.
8
Dalam rencana kerja audit terhadap pengendalian keamanan, perlu dilakukan hal-hal sebagai
berikut:
Teliti security management controls, apakah sudah ada kebijakan pengamanan terhadap: o
Ancaman kebakaran
o Ancaman banjir
o Perubahan tegangan sumber energi
o Kerusakan struktural dan pengamanan untuk mengantisipasi kerusakan struktural
o
misalnya memilih lokasi perusahaan yang jarang terjadi gempa dan angin ribut.
Polusi
o
Penyusup
Virus, apakah ada preventif, seperti menginstall anti virus dan mengupdate secara rutin,
melakukan scan file yang akan digunakan. Atau secara detektif, melakukan scan secara rutin,
atau korektif, memastikan backup data bebas virus, pemakaian antivirus terhadap file yang
terinfeksi.
o Hacking.
o Pengendalian keamanan fisik.
o Pengendalian keamanan data dan fasilitas pengolahan.
Adanya data-log, file-protection, access restriction, back-up & recovery.
Teliti mengenai security management controls atas data communication, apakah sudah ada
kebijakan pengamanan:
Facilities security controls
o
Library controls
o
On-line access controls
o
Controls deteksi atas kegagalan sistem pengamanan
o
Recovery dari kegagalan sistem Pengamanan
o
Devices, Remote terminal, channels, multiplexor, control unit
o
Concepts, Modulasi, transmission mode, direction
o
Online real-time system
o
Distributed Data Processing
o
Networking
o
Security Protection
o Self Protection
Dapatkan informasi dari manajemen mengenai penggunaan fasilitas pengamanan, library, dan
pengendalian pengamanan sistem on-line,
Teliti master security plan untuk menentukan kecukupan dan kelengkapan pengendalian
pengamanan sistem,
Teliti hasil pengujian pengendalian pengamanan sistem dan periksa penilaian manajemen atas
hasil pengujian tersebut,
Amati fasilitas pengamanan sistem untuk memastikan cara kerja pengendaliam akses siste,
konstruksi, dan lokasi seperti yang ditetapkan oleh manajemen,
Amati library untuk menentukan apakah prosedur pembatasan akses program, dokumen, dan
file selama digunakan telah efektif,
Amati lokasi terminal komputer untuk memastikan bahwa akses ke dalam sistem telah
terlindung secara efektif,
9
Teliti wewenang akses ke dalam sistem untuk menentukan apakah konsistensi dengan
pemisahan fungsi dan dapat menjaga kerahasiaan data,
Teliti metoda pengindentifikasi pemakai untuk menentukan apakah hanya pemakai yang
berwenang yang dapat menggunakan sistem,
Teliti metoda pengendalian komunikasi akses data untuk meyakinkan bahwa akses oleh
penyadap kecil kemungkinannya,
Pelajari laporan auditor intern mengenai pengendalian pengamanan sistem dan Teliti simpulan
mereka atas kecukupan pengendalian,
Dapatkan informasi dari manajemen mengenai jenis dan lokasi peralatan pemadam kebakaran,
dan pastikan adanya prosedur yang harus diikuti oleh staf sistem (pengolahan data) berbasis
komputer jika terjadi bahaya kebakaran,
Dapatkan informasi dari manajemen mengenai peralatan untuk mendeteksi akses ke ruang
komputer yang dilakukan tanpa ijin, dan pastikan adanya prosedur yang harus diikuti ketika
akses tanpa ijin terdeteksi,
Amati fasilitas pengamanan sistem untuk memastikan keberadaan, jumlah, dan lokasi peralatan
pendeteksi akses komputer,
Teliti hasil pengujian pengamanan sistem untuk menentukan kecukupan peralatan deteksi akses
komputer,
Dapatkan informsi dari manajemen mengenai alat untuk memastikan otentik tidaknya
penggunaan sistem on-line,
Teliti daftar pengguna komputer dan periksa catatan mengenai pendeteksian dan tindak lanjut
dari kegagalan pengamanan sistem,
Teliti prosedur darurat mengenai penggunaan sistem off-line selama adanya kegagalan sistem
on-line untuk memastikan bahwa pengendalian terhadap ketepatan dan kelengkapan transaksi
sudah memadai,
Diskusikan dengan data entry operator mengenai prosedur darurat tersebut untuk meyakini
bahwa mereka telah mengerti prosedur tersebut dan pengendalian yang terkait,
Periksa tata cara pemulihan untuk memastikan apakah manajemen telah mengantisipasi seluruh
kemungkinan risiko pengamanan,
Teliti hasil pengujian atas rencana pengamanan untuk memastikan bahwa rencana tersebut
benar-benar meminimalkan kemungkinan kehilangan data dan kerigian materi,
Amati library dan periksa adanya back-up master file dan back-up transaction file untuk
memastikan bahwa prosedur pemulihan data telah diikuti.
Teliti mengenai kebijakan pengendalian akhir apabila ancaman keamanan benar-benar telah
terjadi, pengendalian akhir apa yang dilaksanakan:
o Teliti pedoman rencana pemulihan menjadi keadaan normal setelah terjadi bencana:
Rencana Darurat (Emergency Plan)
Rencana Backup (Backup Plan) Rencana Pemulihan (Recovery Plan) Rencana Pengujian (Test
Plan)
o Apakah ada kebijaksanaan asuransi
o Pengaturan adanya peralatan komputer dan peralatan lainnya sabagai cadangan (back-up-
site), jika terjadi masalah pada perlatanyang diopersikan. Dimana pun peralatan komputer
cadangan berada, cadangan tersebut harus diuji coba secara berkala untuk menjalankan program
komputer yang ada,
10
Pengaturan dan penempatan perangkat lunak cadangan dan dokumentasinya di lokasi yang
berbeda.Perngkat lunak cadangan harus selalu di mutakhirkan untuk menjamin tidak ada
perbedaan dengan program yang dioperasikan,
o Perbaikan data yang memungkinkan recovery master file, dan transaction file,
Hal-hal yang perlu diperiksa dalam kaitannya dengan audit pengendalian manajemen operasi
adalah sebagai berikut:
Teliti buku petunjuk sistem dan prosedur operasi untuk menentukan kecukupan dan
kelengkapannya,
Amati kegiatan operator komputer untuk menentukan apakah mereka menaati prosedur opersi
tetap mengenai pengoperasian peralatan yang bersangkutan,
Amati prosedur penataan dan kerapihan ruang komputer untuk menghindari kemung-kinan
kehilangan/ kerusakan perangkat keras maupun perangkat lunak.
Amati apakah sudah ada ketentuan fungsi-fungsi yang harus dilakukan operator komputer
maupun fasilitas operasi otomatis.
Amati apakah sudah ada penjadwalan kerja pada pemakaian hardware/software.
Amati apakah sudah ada pedoman perawatan hardware, apakah dapat berjalan baik.
Tanyakan apakah sudah ada pengendalian perangkat keras berupa hardware controls dari
produsen untuk deteksi hardaware malfunction :
Amati apakah sudah ada pedoman pengoperasian Jaringan (Network Operation). Pengendalian
yang dilakukan ialah seperti memonitor dan memelihara jaringan dan pencegahan terhadap
akses oleh pihak yang tidak bewenang. Pengendalian sistem komunikasi data antara lain ialah:
Jalur komunikasi (kabel coaxial, satelit, microwave)
o Hardware (ports, modem, concentrator)
Cryptology (dalam komunikasi data disebut encryption)
Software komunikasi (firewall)
Teliti apakah ada petunjuk Persiapan dan pengentrian Data (Preparation and Entry Data)
Teliti apakah sudah ada Pengendalian Produksi (Production Control), antara lain tentang:
o Penjadwalan kerja.
o Manajemen pelayanan.
Peningkatan pemanfaatan komputer.
k. Teliti apakah sudah ada Standard operating procedures (SOP), antara lain tentang:
Penjadwalan kerja pengoperasian komputer
Perangkat keras
Dapatkan informasi mengenai buatan, model, ukuran, dan nomor seri komputer dan perangkat
keras lainnya,
Teliti brosur penjual atau dokumentasi lain untuk menentukan apakah ada pengendalian
perangkat keras,
Dapatkan informasi dari manajemen dan staf unit sisfo apakah pengendalian yang ada telah
dimanfaatkan,
Jika pengendalian intern tidak dimanfaatkan, diskusikan denga manajemen untuk menentukan
pengaruhnya terhadap struktur pengendalian intern,
Evaluasi efektivitas pengendalian perangkat keras,jika perlu gunakan bantuan tenaga teknis,
o Dapatkan informasi dari manajemen mengenai perangkat lunak yang digunakan dan nama
penjualnya termasuk sistem operasi dan pemanfaatannya, untuk mengetahui pengaruhnya
terhadap struktur pengendalian intern,
o Teliti daftar pemakaian komputer serta laporan aktivitas pemakaian dan perubahan
perangkat lunak yang tidak diotoritaskan,
o Evaluasi efektivitas pengendalian perangkat lunak, jika perlu manfaatkan bantuan tenaga
teknis komputer.
12
Pengendalian batas-batas sistem aplikasi (boundary controls) ialah bahwa dalam suatu sistem
aplikasi komputer perlu jelas desainnya, mencakup hal-hal:
Apakah ruang lingkup sistem aplikasi dan hubungan antar-muka (interface) cukup jelas.
Amati apakah tiap sistem komputerisasi sudah jelas ruang-lingkupnya: apa dokumen inputnya, dari
mana sumbernya, tujuan pengolahan data, dan siapa para penggunanya (user), siapa sponsornya
(pemegang kewenangan), subsistem dan keterkaitannya.
Teliti apakah tiap sistem aplikasi telah jelas subsistem-subsistem atau modul-modulnya.
Teliti apakah sudah ada Audit Trail Controls in Boundary Environment: o Identify of the would
be user of the system
o Authentication information supplied o Resources requested
o Action priveledge requested o Terminal identifier
Teliti apakah Audit Trail Controls tersebut sudah benar-benar dijalankan dan apakah secara
periodik telah direview.
Amati apakah ada hal-hal yang mencolok, misalnya perbedaan signifikan antara current
behavior dengan pas behavior.
Teliti penggunaan komputer, misalnya apakah start-finish time dapat dianalisa mengenai
kewajaran penggunaan computer time, dan sebagainya.
Input merupakan salah satu tahap sistem komputerisasi yang paling krusial, karena itu:
Apakah sudah dibuat pedoman kerja sehingga secara preventif dapat mengurangi kemungkinan
data transaksi yang ditulis oleh pelaku transaksi salah (error).
Apakah sudah disiapkan manual (buku pedoman kerja/prosedur tertulis) untuk cara-cara
mengisi doukmen input/worksheet/memasukkan data ke file komputer.
Apakah sudah dilakukan pelatihan bagi para pengguna, para pengisi dokumen, petugas input,
atau operatornya secara memadai.
Evaluasi apakah letak/ lingkungan/ warna dan bentuk layar perekaman cukup baik sehingga
tidak melelahkan pertugas atau cenderung membuat kesalahan.
13
desain formulir/ dokumen yang baik, jelas dan mudah pengisiannya, dan sebagainya.
Pengendalian lain mialnya ialah pembatasan access secara fisik (contoh ruang ATM),
identifikasi terminal dan operatornya (password tertentu), proteksi dari fragmentasi.
Teliti apakah pada tahap Batch Data Preparation (tahap persiapan-persiapan sebelum
perekaman), sudah dibuat pedoman editing kode atau isian-isian nomor tertentu, dan
pembundelan (batching), apakah pada waktu batching dibuat total controls untuk jumlah
lembar dokumen, jumlah uang, dan sebagainya.
Apakah pada tahap batch Data Entry (tahap pemasukan data ke komputer), sudah ada cek
terprogram oleh peralatan input/terminal/mesin data entry system (mesin perekam data
yang kini sudah jarang digunakan, bahkan sudah tidak ada lagi).
Teliti prosedur tertulis mengenai pengendalian dan pengoperasian komputer untuk setiap
aplikasi guna memastikan bahwa peng-input-an transaksi dapat diandalkan.
Teliti prosedur kegiatn pencatatan dan penyesuaian kontrol jumlah batch untuk memastikan
bahwa tidak ada transaksi yang dihilangkan, diduplikasi, atau diubah tanpa terdeteksi.
Teliti apakah sudah ada validasi terprogram terhadap personal identification number (PIN),
validasi kesesuaian kode/ identitas./ PIN/ Account-ID antara yang dientri dengan yang ada
di file komputer
Teliti apakah sudah ada validasi terprogram, misalnya mengenai tanggal lahir, tanggal
dokumen, tanggal transaksi, , validasi atas field tertentu, misalnya tanggal (Februari tidak
mengenal tanggal 30 atau 31, dan sebagainya), pengujian kelasifikasi/ validitas kode
Apakah sudah dilakukan pengecekan terprogram (validation) terhadap data input berdasar
kriteria tertentu, misalnya jumlah lembar dokumen (jumlah record yang dihitung komputer)
sudah sesuai (sama) dengan yang tertulis pada record batch.
Teliti dan dapatkan informasi mengenai prosedur untuk memastikan kelengkapan prosedur
pembuatan, penginputan, dan pengendalian kesalahan batch.
Teliti format dan distribusi dokumen sember untuk menentukan pengaruhnya terhadap
pencegahan kesalahan yang mungkin terjadi,
Lakukan rekonsiliasi antara daftar batch dengan daftar batch yang dikirimkan dan daftar
batch yang salah, untuk memastikan adanya pengendalian yang memadai atas pembuatan
batch.
Teliti dokumen logika program untuk memastikan bahwa logika dan pengujian validasinya
efektif.
14
Jenis pengujian lain misalnya cek karakter yang sahih/ misalnya uji:
Apakah sudah diatur pedoman atau prosedur pembetulan data apabila ternyata terdapat data
salah yang lolos ke sistem (prosedur koreksinya).
Bila kesalahan Keying Error, apakah cara cara pelaksanaan pembetulan dilakukan dengan
merekam ulang (pembetulan data).
Bila Source Error, artinya kesalahan bukan di pihak sistem pengolahan data, melainkan dari
sumbernya, apakah cara pembetulannya dengan diklarifikasi kepada asal datanya.
Teliti koreksi kesalahan untuk memastikan bahwa error yang terjadi dan dapat lolos ke
komputer harus segera dikoreksi.
Teliti Entry Data & Validation pada sistem on-line real time karena seringkali sudah tidak
dengan dokumen lagi (paperless), data lazimnya langsung dientri ke sistem komputer, misalnya
dengan workstation, automatic teller machine, atau point of sales: apakah mesin-mesin tersebut
sudah dilengkapi dengan software yang antara lain berisi fungsi validasi terprogram.
Apakah sistem komputerisasi tersebut masalah jejak pemeriksaan (audit trail) sudah diatur
secara memadai.
Apakah Entry point, lokasi atau kode lokasi masuknya data input ke sistem komputer tersebar
sudah dikelola dengan baik.
Apakah sudah dibuat way-out procedure kalau terjadi gangguan, misalnya listrik atau saluran
komunikasi, mungkin akan ada problem recovery point, di mana starting point proses harus
diulang kembali.
Teliti prosedur tertulis mengenai peng-input-an data untuk memastikan apakah prosedur
tersebut jelas dan lengkap.
Teliti bentuk tampilan pada layar monitor dan dialog komputer untuk memastikan apakah
secara efektif dapat mengurangi kesalahan yang mungkin terjadi pada saat peng-input-an.
Teliti hasil pengujian validasi peng-input-an data untuk memastikan efektivitasnya dalam
pendeteksian kesalahan.
Pengendalian proses (processing controls) ialah pengendalian intern untuk mendeteksi jangan
sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena adanya
kesalahan proses. Kemungkinan yang paling besar untuk menimbulkan terjadinya error adalah
kesalahan logika program, salah rumus, salah urutan program, ketidakterpaduan antar subsistem
atupun kesalahan teknis lainnya. Kemungkinan terjadinya kesalahan lain ialah
15
programmer salah menterjemahkan spesifikasi yang diberikan oleh sistem analis, program
dibuat dengan tidak mengikuti standar (struktur, language, tidak dites dengan memadai).
Kesalahan yang “levelnya tinggi” adalah sistem (dan program-programnya) dibuat tidak sesuai
dengan kebutuhan pemakasi (usernya).
Selama proses berlangsung di dalam suatu program atau antar program sebaiknya selalu
lakukan cek untuk kontrol. Kontrol yang dilakukan misalnya batch controls untuk mengecek
kesesuaian hitungan komputer terhadap record data dengan nilai yang tertulis pada batch
header record, perlu audit trail berupa laporan tercetak. Bentuk pemeriksaan pengendalian
lainnya misalnya adalah:
Teliti kecukupan mekanisme jejak audit. Salah satu bentuknya ialah perlunya laporan kegiatan
pengolahan untuk pelacakan bila terjadi masalah, tersedia dokumentasi program untuk trace-
back, adanya laporan pemakaian file yang dapat dilacak bila ada masalah, dan rancangan break
points. Break points adalah mekanisme yang dirancang untuk mengantisipasi bila ada system
down, maka starting point dalam recovery-nya jelas. Hal ini menjadi makin penting untuk suatu
job-run yang run-time-nya panjang. Suatu proses panjang yang terhenti secara tidak normal
akan mengakibatkan proses ulang dari awal atau dari suatu titik tertentu yang disiapkan.
Teliti dokumentasi baik mengenai program aplikasi atas pengujian validasi maupun mengenai
hasil pengujian validasi untuk memastikan bahwa data yang salah dan transaksi yang tidak
sesuai terdeteksi
Dapatkan daftar kesalahan dan Teliti koreksi yang telah dilakukan dan pastikan apakah
koreksinya dilakukan segera
Teliti processing activity output, dokumentasi program dan activity data file untuk memastikan
kecukupan audit trail
Processor controls
Deteksi kemungkinan adanya problem with programming style o Handle rounding correctly
Hardware malfunctions
User specified events
Teliti dokumentasi prosedur operasi tetap atas penanganan output, untuk me-mastikan bahwa
pihak yang berkepentingan menerima laporan sebagaimana mestinya.
Periksa dan minta dokumentasi atau pedoman mengenai prosedur distribusi output
Destruction Controls
Data capture
Teliti buku petunjuk pemakaian untuk menentukan kelengkapan dokumentasi prosedur dan
pengendalian,
Teliti format dokumen sumber dan pengamanannya untuk menentukan pengaruhnya terhadap
pencegahan kesalahan yang mungkin terjadi,
Teliti struktur organisasi pemakai untuk menentukan bahwa tidak ada pegawai yang
melakukan pekerjaan yang seharusnya tidak boleh digabung,
Teliti dokumen sumber dan daftarnya untuk mengidentifikasikan penyiap dan penyetuju
bukti,
Teliti hasil rekonsiliasi antar batch untuk memastikan bahwa kesalahan telah terungkap
dengan benar dan telah ditindaklanjuti sebagaimana mestinya.
Output
Teliti dokumentasi prosedur operasi tetap bagi pemakai untuk memastikan apakah penelaah
dan pengujian output dapat mendeteksi kesalahannya.
Tgeliti apakah sudah ada mekanisme Pengendalian keluaran (output controls) ialah
pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak akurat,
tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orang-orang yang tidak
berhak. Kemungkinan resiko yang dihadapi yang terkait dengan keluaran ialah seperti telah
disebutkan di atas: laporan tidak akurat, tidak lengkap, terlambat atau data tidak uptodate,
banyak item data yang tidak relevan, bias, dibaca oleh pihak yang tidak berhak. Dalam sistem
yang sudah lebih terbuka (menggunakan jaringan komuni-kasi publik) potensi akses oleh
hacker, cracker atau orang yang tidak berwenang lainnya menjadi makin tinggi.
Apakah sudah diterapkan metoda pengendalian bersifat preventive objective misalnya ialah
perlunya disediakan tabel pelaporan: jenis laporan, periode pelaporan, dan siapa pengguna, serta
check-list konfirmasi tanda terima oleh penggunanya.
Apakah sudah ada prosedur permintaan laporan rutin/on-demand, atau permintaan laporan
baru.
Apakah sudah dilakukan pengendalian bersifat detection objective misalnya ialah cek antar
program pelaporan, perlunya dibuat nilai-nilai subtotal dan total yang dapat diperbandingkan
untuk mengevaluasi keakurasian laporan, judul dan kolom-kolom laporan perlu didesain
dengan sungguh-sungguh.
Apakah sudah dilakukan pengendalian yang bersifat corrective objective misalnya ialah
prosedur prosedur klaim ketidakpuasan pelayanan, tersedianya help-desk dan contact person,
persetujuan dengan users mengenai service level yang disepakati.
18
Apakah jenis output, bentuk/format laporan, akurasi, pengguna (katagori/ kerahasiaan) dan
ketepatan jadwal pelaporan, apakah laporan akurat dan sesuai dengan yang dibutuhkan, apakah
keluaran tepat sasaran kepada yang berhak.
Perlu diperhatikan bahwa pada uraian di depan telah disinggung bahwa salah satu unsur
pengendalian umum adalah manajemen sumber data (data resources management controls).
Apabila kebutuhan spesifik aplikasi memang perlu adanya tambahan pengendalian on-top dari
yang telah didesain secara umum pada pengendalian umum, tiap-tiap aplikasi bisa
menambahkan kebutuhan spesifiknya. Untuk itulah amati, pelajari dokumentasi atau minta
penjelasan teknisi mengenai hal-hal yang berkaitan dengan database tersebut.
Misalnya menyangkut:
Existence controls, dilihat dari sudut pandang atau lingkup aplikasi saja.
Audit-trail
19
Laporan hasil audit adalah merupakan salah satu tahap paling penting dan akhir dari suatu
pekerjaan audit. Dalam setiap tahap audit akan selalu terdapat dampak psikologis bagi auditor
maupun auditee. Dampak psikologis dalam tahapan persiapan audit dan pelaksanaan audit dapat
ditanggulangi pada waktu berlangsungnya audit. Tetapi dampak psikologis dari laporan hasil
audit, penanggulangannya akan lebih sulit karena:
Laporan merupakan salah satu bentuk komunikasi tertulis, formal, sehingga auditor tidak dapat
mengetahui reaksi auditee secara langsung
Laporan telah didistribusikan kepada berbagai pihak sehingga semakin banyak pihak yang
terlibat.
Karena laporan hasil audit akan mempunyai dampak luas, maka diperlukan pengetahuan khusus
tentang penyusunan laporan hasil audit. Pelaporan hasil audit merupakan tahap akhir kegiatan
audit. Selain harus sesuai dengan norma pemeriksaan, penyusunan laporan hasil audit juga
harus mempertimbangkan dampak psikologis, terutama yang bersifat dampak negatif bagi
auditee, pihak ketiga dan pihak lain yang menerima laporan tersebut.
Dalam audit laporan keuangan maupun audit intern perusahaan badan usaha milik negara/
daerah (BUMN/BUMD di Indonesia) sudah disusun Standar Pemeriksaan yang diantaranya
ialah mengatur tentang pelaporan hasil audit. Norma Pelaporan hasil Pemeriksaan pada standar
standar pemeriksaan satuan pengawas intern (auditor internal BUMN/BUMD) antara lain
memuat hal-hal berikut ini:
Audit harus melaporkan hasil pemeriksaan sesuai dengan penugasan yang ditetapkan.
Laporan audit harus dibuat secara tertulis dan disampaikan kepada pejabat yang berwenang
tepat pada waktunya agar bermanfaat.
Laporan audit harus memuat ruang lingkup dan tujuan pemeriksaan, disusun dengan baik,
menyajikan informasi yang layak serta pernyataan bahwa pemeriksaan telah dilaksanakan
sesuai dengan norma pemeriksaan.
Memuat temuan dan kesimpulan pemeriksa secara objektif serta saran tindak yang konstruktif
Karakteristik yang harus dipenuhi oleh suatu laporan hasil audit yang baik ialah:
Arti Penting
Hal – hal yang dikemukan dalam laporan hasil audit harus merupakan hal yang menurut
pertimbangan auditor cukup penting untuk dilaporkan. Hal ini perlu ditekankan agar ada
jaminan bahwa penerima laporan yang waktunya sangat terbatas akan menyempatkan diri untuk
membaca laporan tersebut.
Kegunaan laporan merupakan hal yang sangat penting. Untuk itu, laporan harus tepat waktu dan
disusun sesuai dengan minat serta kebutuhan penerimaan laporan, terlepas ari maksud apakah
laporan ditujukan untuk memberikan informasi atau guna merangsang dilakukannya tindakan
konstruktif.
Ketepatan laporan diperlukan untuk menjaga kewajaran dan sikap tidak memihak sehingga
memberikan jaminan bahwa laporan dapat diandalkan kebenarannya. Laporan harus bebas dari
kekeliruan fakta maupun penalaran. Semua fakta yang disajikan dalam laporan harus didukung
dengan bukti–bukti objektif dan cukup, guna membuktikan ketepatan dan kelayakan hal-hal
yang dilaporkan.
Sifat menyakinkan
Temuan, kesimpulan dan rekomendasi harus disajikan secara menyakinkan dan dijabarkan
secara logis dari fakta–fakta yang ditemukan. Informasi yang disertakan dalam laporan harus
mencukupi agar menyakinkan pihak penerima laporan tentang pentingnya temuan– temuan,
kelayakan kesimpulan serta perlunya menerima rekomendasi yang diusulkan.
Objektif
Laporan hasil audit harus menyajikan temuan–temuan secara objektif tanpa prasangka,
sehingga memberikan gambaran (perspektif) yang tepat.
Agar dapat melaksanakan fungsi komunikasi secara efektif, pelaporan harus disajikan sejelas
dan sesederhana mungkin. Ungkapan dan gaya bahasa yang berlebihan harus dihindari. Apabila
terpaksa menggunakan istilah–istilah teknis atau singkatan–singkatan yang tidak begitu lazim,
harus didefinisikan secara jelas.
Ringkas
Laporan hasil audit tidak boleh lebih panjang dari pada yang diperlukan, tidak boleh terlalu
banyak dibebani rincian (kata-kata, kalimat, pasal atau bagian-bagian) yang tidak secara jelas
berhubungan dengan pesan yang ingin disampaikan, karena hal ini dapat mengalihkan perhatian
pembaca, menutupi pesan yang sesungguhnya, membingungkan atau melenyapkan minat
pembaca laporan.
Lengkap
Walaupun laporan sedapat mungkin harus ringkas namun kelengkapannya harus tetap dijaga,
karena keringkasan yang tidak informative bukan suatu hal yang baik. Laporan harus
mengandung informasi yang cukup guna mendukung diperolehnya pengertian yang tepat
mengenai hal-hal yang dilaporkan. Untuk itu perlu diserahkan informasi mengenai latar
belakang dai pokok-pokok persoalan yang dikemukakan dan memberikan tanggapan positif
terhadap pandangan-pandangan pihak objek audit atau pihak lain yang terkait.
21
Sejalan dengan tujuan untuk memperbaiki atau meningkatkan mutu pelaksanaan kegiatan dari
objek audit, maka laporan hasil audit harus disusun dengan nada konstruktif sehingga
membangkitkan reaksi positif terhadap temuan dan rekomendasi yang diajukan.
Prosedur Pelaporan
Pedoman pelaporan agar sesuai dengan efektivitas komunikasi dan dampak psikologis dari
suatun laporan hasil audit:
Bentuk laporan agar dibuat sedemikian rupa sehingga membangkitkan minat orang untuk
melihat isinya.
Sajikan kesimpulan (atau executive summary) pada bagian awal laporan agar pembaca dapat
segera mengetahui intisari laporan tersebut.
Kesimpulan agar disajikan sedemikian rupa sehingga pembaca ingin mengetahui lebih
mendalam tentang uraian dan kesimpulan.
Temuan agar disajikan sedemikian rupa sehingga pembaca dapat mengetahui tentang kriteria
yang digunakan, kondisi (temuan), sebab dan akibat temuan tersebut serta melaksanakan
perbaikan sesuai dengan rekomendasi yang disajikan dalam laporan hasil audit.
Laporan hasil audit disusun oleh ketua tim audit (atau oleh staf auditor yang kemudian
diperiksa oleh ketua tim audit), dan selanjutnya diserahkan kepada pengawas audit (supervisor)
untuk direview. Proses dari konsep sampai diterima (ditandatangi oleh ketua tim) dan diterima
oleh supervisor lazimnya melalui suatu proses bolak-balik yang kadang-kadang sampai
beberapa kali putaran. Dalam proses tersebut seringkali digunakan suatu formulir yang disebut
lembar review untuk memudahkan koreksi/tambahan dan sebagainya (dikenal dengan lembaran
review, review sheet) tanpa harus mencorat-coret konsep laporan hasil audit
Komunikasi lisan akan memerlukan waktu yang cukup lama padahal atasan maupun bawahan
mungkin masih mempunyai kesibukan lain.
Komunikasi tertulis tidak dapat dilakukan di dalam konsep laporan, karena konsep laporan
tersebut akan dipenuhi dengan catatan-catatan review.
Bentuk Laporan
o Kulit depan (cover) dan Halaman pertama (cover dalam) o Daftar isi
o Bagian-1: Intisari hasil audit (executive summary) o Bagian-2: Uraian hasil audit
Lampiran-lampiran
Kulit depan
Bentuk laporan dengan sampul yang menarik akan mengundang minat dan perhatian orang
sehingga yang bersangkutan mempunyai keinginan untuk mengetahui apa isinya. Karena itu
pada sampul laporan harus diberi judul yang dapat menarik minat tetapi tidak bertentangan
dengan tujuan audit.
22
Judul harus singkat, usahakan agar tidak lebih dari tiga baris dengan tiga sampai empat kata
untuk tiap baris. Judul yang terlalu panjang akan mengakibatkan orang sulit mengerti sehingga
kurang tertarik dan akibatnya laporan tersebut tidak dibaca.
Usahakan agar judul sedapat mungkin bercorak khusus (spesifik) dan informatif. Misalnya
dengan menggunakan kata-kata “Laporan Hasil Audit………………”
Pergunakan rumusan yang konstruktif, hindari kata-kata yang bernada negatif atau menciptakan
rangsangan untuk menunjukkan kelemahan. Dengan penyajian bentuk laporan yang demikian
diharapkan komunikasi tertulis yang dilakukan auditor dapat mempunyai efek kognitif (nalar),
efek afektif (sikap) dan efek konatif atau perilaku (behavioral)
Laporan dengan warna tertentu akan menimbulkan rangsangan karena menyentuh alat indera
komunikan sehingga menimbulkan efek kognitif (mengubah pikiran komunikan) bahwa auditor
ingin berkomunikasi, juga menimbulkan efek afektif (komunikan mempunyai perasaan ingin
mengetahui tentang apa yang akan dikomunikasikan). Efek afektif dapat juga berupa efek yang
negatif, misalnya perasaan tidak ingin membacanya karena pengalaman masa lalu dan atau
perasaan antipati terhadap auditor.
Dengan pemberian judul yang memadai diharapkan akan mempunyai efek konatif disamping
mempertahankan efek konitif dan afektif yang telah postif, yaitu dapat mengubah perilaku
komunikan.
Intisari hasil audit adalah untuk mengkomunikasikan informasi yang ada dalam laporan agar
lebih efektif, menyediakan ringkasan yang beguna sehingga pembaca tidak perlu lagi menyusun
catatan singkatnya, dan memberikan motivasi kepada pembaca untuk menelaah isi laporan
selanjutnya. Penyajian intisari hasil audit dilakukan dengan pertimbangan bahwa pembaca
laporan audit adalah pejabat penting yang waktunya terbatas. Intisari Hasil Audit harus memuat
hal-hal sebagai berikut:
Intisari harus mengungkapkan temuan temuan dan kesimpulan-kesimpulan secara singkat dan
jelas. Jika dipandang perlu untuk mengungkapkan temuan dalam persepektif yang sesuai maka
intisari harus menyatakan tanggal atau periode terjadinya hal-hal yang dilaporkan. Intisari juga
harus mengungkapkan setiap pembatasan yang terjadi pada pekerjaan, yang akan mempunyai
arti penting dalam perspektif yang benar. Pembatasan tersebut dapat berupa ruang lingkup audit
atau tidak mungkinnya auditor mendapatkan informasi yang relavan.
Tujuan penyajian intisari hasil audit adalah merupakan catatan ringkas untuk menghindari tidak
efektifnya komunikasi. Untuk itu penyajian intisari hasil audit diharapkan sebagai berikut:
o Gunakan kata-kata yang sederhana dan tidak bersifat teknis. o Gunakan sub-sub judul.
o Garis bawahi kata-kata atau ungkapan-ungkapan penting.
Memberikan motivasi, karena tujuan penyajian intisari hasil audit adalah memberikan motivasi
kepada komunikan untuk mencoba dan menelaah isi laporan selanjutnya. Tujuan ini merupakan
efek konatif dari komunikasi karena diharapkan akan menimbulkan niat bagi pembaca untuk
menelaah isi laporan selanjutnya.
Uraian hasil audit disajikan pada bab tersendiri setelah bab intisari hasil audit. Uraian hasil
audit biasanya terdiri dari bagian-bagian:
Informasi Umum
Informasi umum disajikan dengan tujuan untuk menyediakan informasi bagi pembacanya
tentang program atau kegiatan yang diaudit dan sifat audit sehingga dapat digunakan untuk
membantu pembaca agar dengan mudah dapat menanggapi informasi yang dimuat dalam
laporan hasil audit.
o Harus dijaga agar relatif singkat dan harus dihindarkan adanya informasi yang lebih sesuai
disajikan pada bagian lain dari laporan.
o Apabila informasi umum menyajikan informasi yang bersangkutan dalam lampiran dan
apabila demikian, maka petunjuk tentang lampiran tersebut agar disajikan.
o Informasi umum yang disajikan biasanya dibagi menjadi beberapa sub bagian, yaitu:
Informasi mengenai sifat kegiatan audit, Informasi tentang kegiatan yang diaudit, Pernyataan-
pernyataan pengimbang, Informasi mengenai sifat kegiatan audit
Sifat audit, apakah audit keuangan, audit operasional atau audit khusus. Periode yang dicakup
dalam audit atau saat terjadinya kondisi yang dilaporkan.
Lokasi audit yang dilakukan apabila cukup banyak pada bagian ini diungkapkan secara umum, tetapi
dijelaskan pada masing-masing temuan.
Referensi terhadap laporan-laporan lain dengan menyebutkan judul, nomor dan tanggal laporan
tersebut.
Pernyataan pengimbang agar pembaca tidak menarik kesan yang lebih buruk. o Informasi
mengenai kegiatan yang diaudit, pada umumnya terdiri dari:
Latar belakang dan tujuan kegiatan Sifat dan ukuran kegiatan yang diaudit Organisasi dan
manajemen
24
Informasi singkat mengenai latar belakang bidang yang diaudit untuk membantu pembaca
laporan yang belum mengenal kegiatan atau bidang yang diaudit. Informasi ini biasanya
disajikan cukup dalam satu-dua kalimat saja.
Laporan hasil audit juga harus memuat penjelasan singkat mengenai sifat dan ukuran kegiatan
yang diaudit sebagai latar belakang untuk temuan-temuan yang dilaporkan. Data mengenai
kegiatan atau program yang diaudit akan membantu pembaca laporan untuk memperoleh
perspektif yang benar. Data tersebut misalnya mengenai dana yang tersedia, biaya kegiatan atau
program, investasi untuk fasilitas atau untuk sumber daya lainnya, serta kredit yang diberikan
atau diterima. Data lain yang relevan dan menarik untuk bagian ini adalah data jumlah pegawai
dan lokasi kegiatan.
Di dalam laporan hasil audit perlu diungkapkan mengenai organisasi dan manajemen objek
audit, untuk mengetengahkan bidang-bidang yang merupa-kan sasaran komentar atau
rekomendasi yang diusulkan dalam laporan.
Laporan harus menyatakan dengan singkat cara pengelolaan yang dilakukan objek audit dalam
melaksanakan tanggung jawabnya. Informasi ini harus dibuat sesingkat mungkin dan konsisten
dengan uraian yang mencukupi tentang setiap kelemahan penting.
Untuk tujuan- tujuan khusus misalnya menjelaskan siapa saja yang bertanggung jawab, maka
daftar nama pejabat yang terkait dapat dikemukakan dalam laporan hasil audit.
Gunakan kalimat-kalimat yang tidak terlalu panjang, jelas dan relevan dengan isi laporan
Usahakan agar audit dilakukan sedalam mungkin, sehingga pembaca tidak meng-anggap audit
yang dilakukan seadanya sehingga yang bersangkutan enggan membaca lebih lanjut
Informasi tentang kegiatan atau program yang diaudit agar disajikan dengan benar, karena
pembaca laporan atau pihak auditee lebih mengetahui hal tersebut.
Temuan Audit
Bagian ini memuat pesan pokok yang ingin disampaikan auditor ke pembaca laporan, dan
merupakan alasan utama dibuatnya laporan tersebut.
Temuan audit kerap kali menyangkut hal-hal sebagai berikut : o Ketidaktaatan terhadap
ketentuan/ peraturan.
o Pengeluaran uang yang tidak sepatutnya. o Ketidakhematan
o Ketidakefisienan
o Ketidakefektifan
Temuan yang telah dikembangkan dengan baik harus disajikan sedemikian rupa sehingga
masing-masing temuan dibedakan dengan jelas.
Berikut ini diberikan beberapa saran yang perlu diperhatikan dalam penyajian temuan:
Gunakan sub judul dalam bagian temuan untuk membantu pihak pembaca mengikuti logika
penyajian dan menilai hubungan-hubungan yang terdapat didalamnya.
25
Masukkan semua informasi yang penting dan relevan, walaupun mungkin informasi itu
sifatnya menunjukkan bantahan terhadap pokok temuan auditor karena auditor harus
bersifat objektif.
Jangan melebih-lebihkan, atau terlalu banyak memberikan tekanan. Yakinkan bahwa sikap
auditor didukung oleh bukti-bukti yang kuat.
Yakinkan bahwa kesimpulan-kesimpulan adalah layak dan telah mengikuti logika dan
informasi yang disajikan.
o Tuliskan dengan corak konstruktif. Hindarkan nada sinis, kasar dan mengejek. o
Tekankan perlunya perbaikan dimasa depan.
Adakan penilaian mengenai kesadaran yang sudah ada di pihak auditee untuk mengoreksi
kekurangan-kekurangan yang dilaporkan, begitu pula setiap kemajuan yang dicapai dalam
usaha memperbaiki kondisi-kondisi yang dijumpai dalam audit sebelumnya.
o Pertimbangkan dengan selayaknya pelaksanaan kerja yang baik dan juga yang buruk.
Sajikan secara jujur komentar dari pihak yang terkena temuan0temuan, serta adakan
evaluasi terhadap pandangan dan komentar tersebut.
Berikan informasi yang cukup mengenai gambaran keseluruhan agar terdapat perspektif
yang selayaknya mengenai temuan-temuan audit.
Yakinkan bahwa semua permasalahan yang penting sudah ada pemecahannya sebelum
laporan diajukan untuk pengolahan yang terakhir.
o Terangkan dengan jelas kriteria yang dipakai untuk mengukur kondisi yang ada. o
Jelaskan pengaruh negatif yang ada atau yang mungkin timbul.
Nyatakan semua taksiran kerugian atau penghematan dan sebagainya dengan jelas guna
menghindarkan adanya kesan akan ketepatan yang sebetulnya menyesatkan.
Tunjukkan penyebab / alasan yang mendasari perilaku yang merugikan atau kondisi yang
tidak memuaskan.
Pergunakan alat peraga untuk menambah kekuatan informasi (foto, peta, tabel dan
sebagainya).
Usahakan uraian ringkas, batasi laporan pada informasi yang diperlukan guna men-dukung
dan menjelaskan pokok temuan secara mencukupi. Hindari penggunaan kalimat yang
bertele-tele serta hal-hal yang tidak termasuk persoalan.
o Jangan masukkan rincian tidak penting dari langkah-langkah audit yang dilakukan.
Jangan terlalu banyak memakai kata-kata yang bersifat menilai terutama pada awal kalimat.
26
Perjelas ide-ide dengan jalan menyebutkan satu-satu atau dengan membuat daftar untuk setiap
masalah.
Laporan hasil audit yang memuat rekomendasi konstruktif besar sekali manfaatnya untuk
mendorong perbaikan dalam pengelolaan program atau kegiatan. Selain itu laporan yang
bercorak informatif atau pengungkapan yang mengkomunikasikan informasi yang bermanfaat
dapat membantu pihak pemakai laporan dalam melaksanakan tugasnya. Hal ini berarti tujuan
dari pekerjaan audit dapat tercapai. Rekomendasi dapat ditujukan kepada pemimpin objek audit
atau atasan pemimpin objek audit atau pihak (pejabat) lain yang terkait.
Rekomendasi harus disertakan dalam laporan hasil audit, apabila pekerjaan audit memberikan
indikasi perlunya diambil tindakan atau apabila tindakan yang dimaksud belum dilaksanakan
pada saat laporan disusun. Auditor wajib memberikan rekomendasi kepada atasan objek audit
atau pejabat yang berwenang melakukan tindak lanjut. Laporan hasil audit harus memuat
rekomendasi yang sesuai atau usul mengenai alternatif tindakan, apabila hasil audit
memberikan indikasi perlunya ada ketentuan atau tindakan perbaikan. Rekomendasi juga harus
diajukan dalam hal tindakan korektif telah dijanjikan atau dimulai. Dalam hal ini auditor lebih
baik menyatakan rekomendasi secara positif daripada hanya mengungkapakan tindakan yang
dijanjikan atau sedang ditangani objek audit.
Setiap unit organisasi mempunyai tanggung jawab untuk menentukan cara pelaksanaan
kegiatan-kegiatannya dengan memperhatikan pembatasan dan persyaratan yang berlaku.
Auditor tidak memiliki kewenangan untuk langsung memerintahkan dilakukannya perubahan
dalam kebijakan, prosedur maupun fungsi dari objek audit. Meskipun demikian apabila auditor
mengamati adanya kekurangan dalam kegiatan objek audit, maka ia harus mengajukan
rekomendasi yang sesuai untuk itu. Untuk beberapa masalah yang diungkapkan mungkin
terdapat berbagai alternatif penyelesaian. Untuk itu auditor harus mengajukan segi-segi positif
dan negatif dari masing-masing alternatif dan bukan mencoba menyalahkan terhadap salah satu
penyelesaian tertentu.
Pentingnya suatu temuan dan rekomendasi bagi pembaca sebagian besar tergantung dari
lingkup penerapannya serta konsekuensi-konsekuensi praktis darinya (baik yang telah atau
mungkin akan terjadi). Karena itu penting bagi auditor untuk mengetengahkan keuntungan-
keuntungan praktis dari rekomendasinya dan merancang rekomendasi itu sedemikian rupa
sehingga diperoleh manfaat sebesar mungkin. Dalam kasus dimana terdapat ketidaktaatan
terhadap ketentuan, auditor harus merekomendasikan tindakan khusus guna memperbaiki
situasi dan bukan hanya merekomendasikan agar ketentuan yang bersangkutan ditaati. Dalam
menyusun konsep rekomendasi auditor harus dengan seksama mempertimbangkan biaya untuk
melaksanakan rekomendasi dibandingkan dengan manfaat/ keuntungan yang dapat diperoleh.
Sejauh mungkin laporan hasil audit harus menyertakan informasi yang menunjukkan bahwa
rekomendasi tersebut dapat dipertanggungjawabkan dari segi biaya. Sedapat mungkin
rekomendasi ditempatkan segera setelah temuan yang bertalian dengannya.
27
Format laporan hasil audit sistem informasi menurut Badan Pengawasan Keuangan dan
Pembangunan (BPKP), suatu badan auditor internal pemerintah di Indonesia, memberikan
panduan bentuk laporan hasil audit sistem informasi sebagai berikut:
Bab ini merupakan ikhtisar kesimpulan hasil penilaian sistem informasi, yang isinya terutama
memaparkan tingkat kesehatan sistem yang bersangkutan dan rekomendasi.
Penjelasan
Lampiran-lampiran
Laporan hasil audit yang disusun oleh instansi auditor mempunyai tujuan/ manfaat sebagai
berikut :
Sebagai alat pembuktian apabila ada sanggahan dari pihak yang terlibat
Laporan hasil audit merupakan bentuk komunikasi tertulis yang berisi pesan agar pembaca
laporan khususnya auditee dapat mengerti dan menindaklanjuti temuan sesuai dengan
rekomendasi yang terdapat di dalam laporan tersebut. Laporan audit seharusnya merupakan alat
komunikasi yang efektif dan mempunyai dampak psikologis (positif maupun negatif) bagi
auditor maupun auditee, terutama individu yang terlibat. Jika suatu rekomendasi tidak ditindak-
lanjuti oleh auditee atau pihak lain yang terkait, maka hal tersebut berarti komunikasi tertulis
yang dilakukan oleh auditor tidak efektif.
28
Komunikasi bukan merupakan hal yang pasti, tetapi lebih banyak mengandung unsur seni,
dalam arti bahwa keberhasilan komunikasi tidak dapat dipastikan dengan menggunakan rumus-
rumus atau formula-formula tertentu. Hal itu disebabkan adanya komunikan dan komunikator
sebagai individu dengan sifat dan watak yang berbeda. Karena itu pengetahuan tentang teknik
audit, teknik penyusunan laporan, teknik komunikasi belum dapat dilaksanakan secara efektif
tanpa pengalaman petugas yang bersangkutan.
Pengalaman bukan hanya dalam hal lamanya waktu, tetapi lebih dari itu: orang yang lebih lama
bertugas belum tentu lebih berpengalaman, tetapi yang pasti ia lebih lama masa kerjanya. Selain
faktor lamanya bertugas, yang dimaksud dengan berpengalaman adalah apabila yang
bersangkutan lebih banyak menerima masukan ilmu baru dan untuk itu yang bersangkutan tidak
boleh merasa sudah mengetahui segalanya. Juga sifat ingin lebih mendalami, sifat terbuka dan
sifat ingin meningkatkan diri menambah pengalaman seseorang. Dengan pengalaman yang
memadai auditor tidak akan mudah putus asa dalam menghadapi situasi yang tidak sesuai
dengan seleranya tetapi dengan mudah mencari pemecahannya.
29
KONSTRIBUSI
KETERANGAN
PENGENDALIAN
Karena
organisasi
diperiksa
komputer
berbasis komputer
berbasis komputer
30
komputer
mengembangkan sistem
-
bagan arus
-
-
tabel keputusan
-
-
tabel kode
-
diimplementasikan
sebelum diimplementasikan
-
Apakah digunakan cara-cara otomatis untuk mendeteksi dan mengoreksi kesalahan perangkat keras
antara lain
-
Redundace character check
-
-
Duplicate process check
-
-
Echo check
-
-
Equipment check
-
-
Validity check
-
-
Prosedur perawatan peralatan
-
kesalahan
tidak sah
Pengendalian Pengamanan Sistem
-
Pengendalian lokasi
-
-
Pengendalian konstruksi
-
-
Pengendalian fasilitas akses
-
-
Pengendalian library
-
-
Pengendalian terminal
-
-
Pengendalian wewenang
-
-
Pengendalian identifikasi
-
-
Pengendalian komunikasi data
-
Apakah terdapat pengendalian yang dapat mendeteksi
-
Peralatan pendeteksi kebakaran
-
-
Peralatan pendeteksi pengaksesan
-
-
Keabsahan
-
-
Pemantauan sistem
-
Apakah terdapat pengendalian yang dapat menjamin pemulihan kegagalan pengamanan sistem seperti
-
Alat pemadam kebakaran
-
-
Prosedur darurat
-
- Fasilitas dan peralatan cadangan/back up
-
-
prosuder pemulihan data
-
-
Petugas cadangan pengganti
-
-
Supplies cadangan
-
32
Data Entry
Apakah ada prosedur operasi tetap untuk memasukan data ke dalam aplikasi
-
Apakah ada pengendalian yang membolehkan jumlah input pada aplikasi untuk
validasi data, prosedur edit, dan analisis atas kelayakan dan ketepatan oleh
supervisor
Apakah seluruh data yang tidak cocok dengan permintaan ditolak pada proses
-
selanjutnya
Pengolahan data
-
-
33
Distribusi Keluaran
-
keluaran
Data Capture
-
Apakah dokumen sumber diberi nomor urut tercetak dan dirancang dengan
-
format khusus
Apakah dokumen sumber telah diamankan secara memadai
-
Keluaran
-
Apakah tiap produk telah diberi label untuk mengindentifikasikan nama produk,
-
kesalahan
bahwa tidak ada data yang hilang atau ditambahkan selama pengolahan
Apakah sistem keluaran diTeliti kelengkapan dan keakuratannya sebelum
diedarkan ke pemakai
jumlah
Apakah dokumen sumber ditahan dan disimpan dengan urutan logis untuk
-
34
Komposisi Pengendalian
Bobot
Pengendalian umum
.15
Pengendalian sistem pengamanan
.55
-
Peng-input-an data
.15
.05
-
Pengolahan data
-
Distribusi keluaran
.30
.85
-
Data capture
.05
.15
1.00
Keluaran
35
Nilai yang diberikan untuk masing –masing eleman pengendalian berkisar antara 0-100 dengan rincian
sebagai berikut:
100-80
Sangat kuat
79-60
Kuat
59-40
Cukup
39-20
Lemah
19-0
Sangat lemah
Nilai total pengendalian dengan cara sebagai berikut Jumlah [ nilai x bobot]
Semakin rendah tingkat risiko pengendalian menunjukan semakin dapat diandalkannya pengendalian
intern dari sistem informasi akuntansi, sehingga perancangan untuk pengujian substantif semakin
terbatas. Demikian pula sebaliknya, jika resiko pengendalian menunjukan angka yang tinggi menunjukan
berkurangnya keandalan pengandalian intern.
Contoh Perhitungan
Bobot
Hasil pemeriksaan
Pengendalian umum
77,781
-
Pengendalian sistem keamanan
.15
94,744
-
Data entry
.10
-
Pengolahan data
.15
100,006
-
Distribusi keluaran
.05
100,007
-
Data capture
.05
100,009
Angka tersebut menunjukan nilai kehandalan pengendalian intern yang ada pada sistem informasi
akuntansi yang dinilai sangat kuat.
Tingkat risiko pengendalian yang ada adalah sebesar 100 – 94,88 = 5,12
Dengan tingkat risiko pengendalian yang rendah tersebut, pemeriksaan dapat merancang pengujian
sustantif secara terbatas.
36
Penjelasan
JP = Jumlah pertanyaan
Y = Ya
T = Tidak
N/A = not Applicable/Tidak diterapkan
JP
= 14
Y
=
14
T
=
0
N/A
=
0
Hasil =
[Y;[JP – N/A]] x 100=[14;[14-0]]x 100
100,00
JP
= 10
Y
= 10
T
=0
N/A
=0
Hasil = [Y;[JP – N/A]] x 100= [10;[10-0]] x 100
100,00
Data entry
JP
= 10
Y
=9
T
=1
N/A
=0
Hasil = [Y;[JP – N/A]]x100= [9;[10-0]]x100
90,00
Pengolahan data
JP
=7
Y
=7
T
=0
N/A
=0
Hasil = [Y;[JP- N/A]] x100= [7; [7-0]]x100 = 100,00
37
7. Distribusi keluaran
JP
=1
Y
=1
T
=0
N/A
=0
Hasil = [Y; [JP – N/A]] x100= [1; [1-0]]x100
100,00
Data capture
JP
=6
Y
=6
T
=1
N/A
=0
Hasil = [Y; [JP – N/A]] x 100=[6;[6-0]] x100
=100,00
9. Keluaran
JP
=6
Y
=6
T
=0
N/A
=0
Hasil = [Y; [JP – N/A]] x100= [; [6-0]] x100 = 100,00