Resume Chapter 1: Auditing and Internal Control: Randi Hermawan 8D/16
Resume Chapter 1: Auditing and Internal Control: Randi Hermawan 8D/16
8D/16
RESUME
CHAPTER 1 : AUDITING AND INTERNAL CONTROL
OVERVIEW AUDIT
Audit eksternal/audit keuangan adalah suatu atestasi independen yang dilakukan oleh
seorang ahli (auditor) yang mengungkapkan suatu opini terkait dengan penyajian
laporan keuangan. Tugas ini dinamakan jasa atestasi, yang dilakukan oleh Certified
Public Accountant (CPA) yang bekerja untuk perusahaan akuntansi publik yang
independen terhadap organisasi klien yang diaudit. Dalam melakukan auit keuangan,
auditor eksternal harus mengikuti standar-standar yang telah ditetapkan oleh SEC,
FASB, AICPA, dan Sarbanes-Oxley (SOX) Act 2002.
Audit Internal
Menurut The Institute of Internal Auditors (IIA), Audit internal adalah fungsi penilaian
independen yang dibentuk dalam suatu organisasi untuk memeriksa dan
mengevaluasi aktivitas-aktivitasnya sebagai suatu layanan dalam organisasi. Auditor
internal melakukan berbagai kegiatan untuk kepentingan organisasi, termasuk
melakukan audit keuangan, memeriksa kepatuhan operasional terhadap kebijakan
organisasi, mereviu kepatuhan organisasi terhadap kewajiban hukum, mengevaluasi
efisiensi operasional, dan mendeteksi dan memburu kecurangan dalam
perusahaan/organisasi.
Audit internal umumnya dilakukan oleh auditor yang bekerja untuk organisasi, namun
bisa juga dilakukan oleh orang luar yang dikontrak dari organisasi lain. Auditor internal
memiliki sertifikasi sebagai Certified Internal Auditor (CIA) atau Certified Information
System Auditors (CISA). Standar, panduan, dan sertifikasi audit internal dikelola oleh
IIA dan Information System Audit and Control Association (ISACA).
Audit Kecurangan (Fraud Audits)
Standar Audit
Auditor memiliki tanggung jawab professional yang diatur oleh standar audit yang
diterima umum (generally accepted auditing standards - GAAS). Tiga golongan Standar
Audit, yaitu : Standar Kualifikasi Umum, Standar Kegiatan Lapangan dan Standar
Pelaporan.
Untuk memberikan petunjuk yang terperinci, American Institute of Certified Public
Accountants (AICPA) menerbitkan pernyataan standar audit (Statements on Auditing
Standards - SAS) sebagai interpretasi legal atas GAAS.
RISIKO AUDIT
Risiko audit adalah kemungkinan bahwa auditor akan membuat pendapat wajar tanpa
pengecualian (bersih) atas laporan keuangan yang, pada kenyataannya, salah saji material.
Salah saji material dapat disebabkan oleh kesalahan atau penyimpangan atau keduanya.
Risiko yang Melekat (Inherent Risk), adalah risiko yang berhubungan dengan berbagai
karakteristik unik dari bisnis atau industri klien. Auditor tidak dapat mengurangi
tingkat risiko yang melekat. Bahkan dalam sistem yang dilindungi oleh kontrol yang
sangat baik, data keuangan dan, akibatnya, laporan keuangan, dapat salah saji
material.
Risiko Pengendalian (Control Risk), adalah kemungkinan bahwa struktur pengendalian
cacat karena kontrol tidak ada atau tidak memadai untuk mencegah atau mendeteksi
kesalahan dalam akun. Risiko ini dapat dikurangi dengan melakukan berbagai
pengujian pengendalian internal.
Risiko Deteksi (Detection Risk), adalah risiko yang bersedia diambil auditor atas
berbagai kesalahan yang tidak terdeteksi atau dicegah oleh struktur pengendalian
yang juga tidak terdeteksi oleh auditor. Untuk mencegahnya auditor menetapkan
risiko deteksi yang direncanakan yang berpengaruh terhadap tingkat uji subtantif yang
akan dilakukan.
Tahapan Audit TI
PENGENDALIAN INTERNAL
Sistem pengendalian internal organisasi terdiri dari kebijakan, praktik, dan prosedur
untuk mencapai empat tujuan utama:
1. Untuk mengamankan aset perusahaan.
2. Untuk menjamin keakuratan dan keandalan pencatatan dan informasi akuntansi.
3. Untuk mendorong efisiensi dalam operasi perusahaan.
4. Untuk mengukur kepatuhan terhadap kebijakan dan prosedur yang dianjurkan
manajemen.
Melekat dalam tujuan pengendalian ini, terdapat empat prinsip yang memandu
desainer dan auditor dari sistem pengendalian intern, yaitu:
1. Tanggung Jawab Manajemen
2. Metode Pemrosesan Data
3. Pembatasan
4. Keyakinan yang Memadai.
Model PDC
Pengendalian internal terbagi ke dalam 3 tingkat yang disebut model Pengendalian PDC,
yaitu:
Pengendalian Preventif.
Pengendalian preventif adalah teknik pasif yang dirancang untuk mengurangi
frekuensi terjadinya peristiwa yang tidak diinginkan. Pengendalian preventif memaksa
kesesuaian dengan tindakan yang ditentukan atau diinginkan dan dengan demikian
menyaring peristiwa yang menyimpang.
Pengendalian Detektif.
Pengendalian detektif adalah perangkat, teknik, dan prosedur yang dirancang untuk
mengidentifikasi dan mengungkap kejadian yang tidak diinginkan yang menghindari
pengendalian preventif. Pengendalian detektif mengungkapkan jenis kesalahan
tertentu dengan membandingkan kejadian yang sebenarnya terhadap standar yang
telah ditetapkan sebelumnya.
Pengendalian Korektif.
Tindakan korektif harus diambil untuk membalikkan efek dari kesalahan terdeteksi.
Ada perbedaan penting antara pengendalian detektif dan pengendalian korektif.
Pengendalian detektif mengidentifikasi kejadian yang tidak diinginkan dan menarik
perhatian untuk masalah ini, sedangkan pengendalian korektif benar-benar
memperbaiki masalah.
Ancaman terhadap sistem operasi dapat berasal dari tiga sumber, yaitu:
1. Pegawai berwenang yang menyalahgunakan wewenangnya.
2. Individu, baik internal maupun eksternal organisasi, yang menelusuri sistem
operasi untuk mengidentifikasi dan mengeksploitasi celah-celah
keamanannya.
3. Individual yang secara sengaja maupun tidak sengaja memasukkan virus
komputer atau program destruktif bentuk lainnya ke dalam sistem operasi.
Berbagai teknik kontrol untuk menjaga integritas sistem operasi dan pengujian terkait yang
dapat dilakukan oleh auditor, adalah sebagai berikut.
JARINGAN AUDIT
Risiko Intranet
Intranet terdiri dari jaringan LAN kecil dan WAN besar yang mungkin terdiri dari ribuan
node individu. Intranet digunakan untuk menghubungkan karyawan dalam suatu
bangunan tunggal, antar bangunan dalam kampus fisik yang sama, dan antar lokasi
yang tersebar secara geografis. Umumnya, aktivitas intranet meliputi routing e-mail,
pemrosesan transaksi antar unit bisnis, dan menghubungkan dengan internet luar.
Risiko intranet antara lain intersepsi jaringan pesan (sniffing), akses terhadap
database perusahaan, dan karyawan-karyawan dengan hak istimewa.
Risiko Internet
IP Spoofing, yaitu bentuk penyamaran untuk mendapatkan akses tidak sah ke server
Web dan/atau untuk mengabadikan perbuatan melawan hukum tanpa
mengungkapkan identitas seseorang.
Denial of Service Attack (Dos), yaitu serangan terhadap server web untuk mencegah
melayani pengguna yang sah. Jenis-jenis Dos antara lain SYN flood, smurf, dan
distributed denial of service (DDos).
Risiko dari kegagalan peralatan, seperti jaringan komunikasi (kabel coaxial,
microwaves, dan serat optik), komponen perangkat keras (modem, multiplexers,
server, dan prosesor front-end), dan software.
1. Firewalls
Firewalls merupakan sebuah sistem yang memberlakukan kontrol akses antara dua
jaringan. Hanya lalu lintas yang berwenang antara organisasi dan luar organisasi yang
diperbolehkan untuk melewati firewall.
Jenis-jenis firewall:
a) Network-level Firewall, menyaring router yang memeriksa alamat sumber dan
tujuan.
b) Application-level Firewall, menjalankan keamanan aplikasi yang disebut proxy.
2. Mengendalikan DOS Attacks.
Smurf Attacks
Organisasi dapat memprogram firewall untuk mengabaikan situs penyerang ketika
terdeteksi.
SYN Flood Attacks
a) Menggunakan firewall pada host internet yang dapat memblokir alamat IP yang
tidak valid.
b) Menggunakan software pengaman yang dapat memindai koneksi yang setengah
terbuka.
Ddos Attacks
Banyak organisasi menggunakan Intrusion Prevention Systems (IPS) yang melakukan
inspeksi paket mendalam (deep packet inspection – DPI)
3. Enkripsi
Enkripsi adalah konversi data ke dalam kode rahasia untuk penyimpanan dan
transmisi. Algoritma enkripsi menggunakan kunci (keys), yang umumnya memiliki
panjang 56 hingga 128 bit. Semakin banyak bit dalam kunci, semakin kuat metode
enkripsinya.
Pendekatan umum dalam enkripsi adalah enkripsi private key dan public key.
a) Private key encryption
Standar enkripsi lanjutan (Advance Encryption Standard – AES),
menggunakan kunci tunggal yang diketahui oleh pengirim dan
penerima pesan.
Triple Data Encryption Standard (DES), menggunakan tiga kunci. Dua
bentuk enkripsi triple-DES adalah EEE3 dan
EDE3.
b) Public Key Encription
Menggunakan dua kunci yang berbeda, satu untuk encoding pesan,
dan yang lainnya untuk decoding pesan.
Masing-masing penerima memiliki private key yang disimpan secara
rahasia dan public key yang di-published.
4. Tanda Tangan Digital
Tanda tangan digital merupakan teknik otentikasi untuk memastikan bahwa
pesan yang ditransmisikan berasal dari pengirim yang berwenang dan pesan tidak
dirusak setelah tanda tangan dimasukkan.
5. Sertifikat digital
Sertifikat digital mirip seperti kartu identifikasi elektronik dengan sistem enkripsi
public key. Berfungsi untuk memverifikasi kewenangan pengirim pesan.
6. Penomoran urutan pesan, berfungsi untuk mendeteksi adanya pesan yang hilang.
7. Log transaksi pesan, untuk mendaftar semua pesan masuk dan keluar untuk mendeteksi
adanya upaya hacker.
8. Teknik request-response, merupakan suatu pengendalian pesan dari pengirim dan respon
dari penerima yang dikirimkan dalam interval periodik dan tersinkronisasi.
9. Call-back devices, merupakan suatu alat di mana penerima memanggil kembali pengirim
pada nomor telepon yang telah diotorisasi sebelumnya, sebelum transmisi diselesaikan.
Permasalahan yang umum terjadi dalam komunikasi data adalah hilangnya data yang
disebabkan oleh kesalahan jaringan.
Pengendalian dalam kegagalan peralatan ini adalah:
a) Echo Check, penerima pesan mengembalikan pesan kepada pengirim
b) Parity Check, menambahkan bit tambahan (bit paritas) ke dalam struktur suatu
string bit ketika dibuat atau ditransmisikan.
Tujuan audit terkait pengendalian risiko kegagalan peralatan adalah untuk
memverifikasi keutuhan transaksi dengan menentukan bahwa pengendalian telah
dilakukan untuk mendeteksi dan mengkoreksi pesan yang hilang akibat kegagalan
peralatan.
Prosedur audit:
a) Memilih sampel pesan dari log transaksi dan mengujinya untuk konten yang kacau
yang disebabkan oleh gangguan jalur.
b) Memverifikasi bahwa semua pesan yang korup telah ditransmisikan ulang dengan
sukses