Audit Sistem Informasi Full PDF
Audit Sistem Informasi Full PDF
Auditor internal secara langsung bertanggung jawab untuk membantu pihak manajemen
meningkatkan efektivitas dan efisiensi organisasional, termasuk membantu mendesain dan
mengimplementasikan SIA yang memberikan kontribusi pada tujuan perusahaan. Sebaliknya,
auditor eksternal terutama bertanggung jawab pada pihak-pihak yang berkepentingan terhadap
perusahaan dan investor, dan hanya secara tidak langsung berkepentingan dalam efektivitas SIA
perusahaan. Di luar perbedaan ini, banyak konsep dan teknik audit internal yang dapat diterapkan
untuk audit eksternal.
Sifat Audit.
American Accounting Association telah merumuskan definisi umum berikut ini untuk audit. Audit
adalah sebuah proses sistematis untuk secara objektif mendapatkan dan mengevaluasi bukti
mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk
memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria
yang telah ditetapkan, serta mengkomunikasikan hasil-hasilnya pada para
pemakai yang berkepentingan.
Audit membutuhkan pendekatan langkah per langkah yang dibentuk dengan
perencanaan teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati. Dalam
membuat rekomendasi, auditor membuat kriteria-kriteria, seperti prinsip-prinsip manajemen dan
pengendalian, sebagai dasar evaluasi.
Merencanakan Audit
Mengumpulkan bukti,
Mengevaluasi bukti, dan
Mengkomunikasikan hasil audit.
Gambar DD-1 menyajikan tinjauan menyeluruh proses audit, dengan
menspesifikasikan beberapa prosedur yang biasanya dilakukan untuk setiap tahap
tersebut.
Merencanakan Audit.
Tujuan dari perencanaan audit adalah untuk menetapkan mengapa,
bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Langkah pertama
dalam perencanaan audit adalah menetapkan lingkup dan tujuan audit.
Contohnya, lingkup audit sebuah perusahaan terbuka meluas hingga ke para
pemegang saham perusahaan dengan tujuan mengevaluasi kejujuran penyajian
laporan keuangan. Sebaliknya, audit internal mungkin memeriksa seluruh divisi,
departemen tertentu, atau sebuah aplikasi komputer. Audit internal dapat
berfokus. pada pengendalian internal, informasi keuangan, kinerja operasional,
atau beberapa kombinasi dari ketiga audit tersebut.
Sebuah tim audit yang memiliki pengalaman dan keahlian yang
dibutuhkan akan dibentuk. Para anggota tim menjadi lebih dalam
mengenali pihak yang diaudit (auditee) melalui diskusi dengan
personil tingkat supervisor dan operasional, melakukan tinjauan atas
dokumentasi sistem, dan melakukan tinjauan atas penemuan-
penemuan dalam audit terdahulu.
Untuk mematangkan tahap perencanaan, sebuah program audit awal
dipersiapkan untuk menunjukkan sifat, keluasan, dan waktu prosedur-prosedur
yang dibutuhkan untuk mencapai tujuan audit dan untuk meminimalkan risiko-
risiko audit. Suatu anggaran waktu dipersiapkan, dan para anggota staf akan
ditugaskan untuk melaksanakan langkah-langkah audit tertentu.
Suatu audit informasi keuangan akan berfokus pada pemeriksaan fisik, konfirmasi,
pembuktian, tinjauan analitis, dan pelaksanaan ulang proses perhitungan saldo
rekening.
Auditor mencari keyakinan yang wajar bahwa tidak ada kesalahan yang material
dalam informasi atau proses yang diaudit. Oleh karena sangat mahal untuk
mencari kepastian yang lengkap, audit harus bersedia menerima sejumlah risiko
bahwa kesimpulan audit tidak benar. Merupakan hal yang penting untuk disadari
bahwa ketika risiko inheren atau pengendalian tinggi, auditor harus mendapatkan
keyakinan yang lebih besar untuk mengimbangi ketidakpastian dan risiko yang
lebih besar.
Pendekatan empat tahap berikut ini untuk evaluasi pengendalian internal; disebut
pula sebagai pendekatan audit berdasarkan risiko, dan memberikan kerangka
logika untuk melaksanakan audit:
Tentukan ancaman-ancaman (kesalahan dan ketidakberaturan) yang
dihadapi SIA.
Identifikasi prosedur pengendalian yang diimplementasikan untuk
meminimalkan setiap ancaman dengan mencegah afau mendeteksi
kesalahan dan ketidak¬beraturan.
Evaluasi prosedur pengendalian. Meninjau dokumentasi sistem dan
wawancara dengan personil yang tepat untuk menetapkan apakah prosedur
yang dibutuhkan ada atau tidak, disebut pula sebagai tinjauan sistem.
Kemudian, uji pengendalian dilaksanakan untuk menetapkan apakah
prosedur-prosedur tersebut telah diikuti dengan baik. Uji ini terdiri dari
berbagai kegiatan seperti mengamati operasional sistem; memeriksa
dokumen, catatan, dan laporan; memeriksa beberapa sampel input dan
output sistem; serta menelusuri transaksi di sepanjang sistem.
Evaluasi kelemahan (kesalahan dan ketidak-beraturan yang tidak
terungkap oleh prosedur pengendalian) untuk menetapkan pengaruhnya
atas sifat, atau keluasan prosedur audit dan saran pada klien. Langkah ini
berfokus pada risiko pengendalian dan apakah sistem pengendalian secara
keseluruhan menangani hal-hal tersebut atau tidak. Apabila kekurangan
pengendalian teridentifikasi, auditor menanyakan tentang pengendalian
pengimbang (compensating control), atau prosedur-prosedur yang
mengimbangi kekurangan tersebut. Kelemahan pengendalian
di sebuah area mungkin dapat diterima apabila kelemahan
tersebut diimbangi dengan kelebihan pengendalian di area
lainnya.
Pendekatan berdasarkan risiko untuk audit memberikan para
auditor pemahaman yang jelas atas kesalahan dan ketidak-beraturan yang dapat
terjadi dan risiko serta pajanan(exposure) yang terkait. Pemahaman atas hal ini
memberikan dasar yang kuat untuk mengembangkan rekomendasi pada pihak
manajemen mengenai bagaimana sistem pengendalian SIA seharusnya
ditingkatkan.
Auditor harus memeriksa spesifikasi uji, meninjau data uji, dan mengeyaluasi hasil
pengujian. Apabila hasil pengujian tidak sesuai dengan harapan, maka auditor
harus memastikan bagaimana masalah tersebut diatasi.
Apabila bukti sejenis ini tidak bisa didapatkan, mereka dapat menyimpulkan
bahwa terdapat kelemahan yang material dalam pengendalian internal, dan
bahwa risiko kesalahan atau penipuan dalam program aplikasi terlalu tinggi hingga
tidak dapat diterima.
perubahan
program
diserahkan untuk
persetujuan,
sebuah daftar hal-
hal yang akan
diperbarui harus
disusun dan
kemudian disetujui
oleh pihak
manajemen dan
pemakai program.
Semua perubahan
program harus diuji
secara keseluruhan
dan
didokumentasikan.
Selama proses
perubahan, versi
pengembangan
program harus
tetap dipisahkan
dari versi produksi
program. Setelah
program yang
dirubah telah
mendapatkan
persetujuan akhir,
perubahan tersebut diimplementasikan dengan cara mengganti versi produksi
dengan versi pengembangan.
Selama tinjauan sistem, auditor harus mendapatkan pemahaman atas proses
perubahan melalui diskusi dengan manajemen dan personil yang menggunakan
program tersebut. Kebijakan, ‘prosedur dan standar untuk memberikan
persetujuan, modifikasi, pengujian, dan dokumentasi perubahan harus diperiksa.
Bahan dokumentasi akhir yang lengkap untuk perubahan program yang terbaru,
termasuk prosedur dan hasil uji, harus ditinjau. Terakhir, auditor harus meninjau
prosedur yang digunakan untuk membatasi akses logika ke versi pengembangan
program tersebut.
Tujuan keenam meliputi akurasi, integritas, dan keamanan data yang disimpan
dalam file yang dapat dibaca oleh mesin. Risiko penyimpanan data mencakup
modifikasi tidak sah, penghancuran, atau pengungkapan data. Apabila
pengendalian file sangat lemah, terutama dalam kaitannya dengan
akses fisik atau logika atau dengan prosedur salinan cadangan dan
pemulihan file, maka auditor harus sangat merekomendasikan
perbaikan atas kelemahan-kelemahan tersebut.
Tabel DD-6 meringkas kesalahan, pengendalian, dan prosedur audit untuk tujuan
ini.
Pendekatan audit berdasarkan tujuan (auditing-by-objective approach) merupakan
alat yang komprehensif, sistematis, dan efektif untuk mengevaluasi pengendalian
internal di dalam sebuah SIA. Hal ini dapat diimplementasikan dengan
menggunakan daftar prosedur audit untuk setiap tujuan. Daftar tersebut harus
membantu auditor untuk membuat kesimpulan terpisah bagi setiap tujuan, dan
menyarankan pengendalian pengimbangnya ketika sebuah tujuan tidak dapat
dicapai secara penuh. Versi terpisah dari daftar tersebut harus dilengkapi untuk
setiap aplikasi yang signifikan.
Para auditor harus meninjau desain sistem ketika masih terdapat waktu untuk
mengimplementasikan saran-saran mereka atas pengendalian dan fitur audit.
Teknik¬teknik seperti ITF, snapshot, SCARF, audit hooks dan peringatan secara
real-time harus digabungkan ke dalam sebuah sistem selama masa proses desain,
bukan sesudahnya. Dengan pemikiran yang hampir sarna, kebanyakan teknik
pengendalian aplikasi lebih mudah untuk didesain masuk ke dalam sistem
daripada ditambahkan ketnudian setelah sistem tersebut dikembangkan.
Kasus berikut ini mengilustrasikan nilai software audit. Di dalam sebuah kota kecil
di New England, seorang penagih pajak baru saja dipilih dengan mengalahkan
orang yang sebelumnya memegang jabatan yang sarna. Penagih pajak yang baru
tersebut meminta diadakannya audit atas catatan penagihan pajak kota tersebut.
Dengan menggunakan CAS, auditor yang ditunjuk
mengakses catatan penagihan pajak untuk 4 tahun
terakhir, . menyortirnya berdasarkan tanggal penagihan,
menambahkan jumlah total pajak yang dikumpulkan
bulanan, serta mempersiapkan laporan ringkasan 4 tahun atas
penagihan pajak bulanan tersebut.
Analisis auditor mengungkapkan bahwa penagihan pajak selama bulan Januari
hingga Juli, dua bulan tersibuk dalam setahun, telah menurun sebanyak 58 persen
dan 72 persen, secara spesifik. Auditor menggunakan CAS untuk membandingkan
catatan-catatan penagihan pajak satu per satu, dengan catatan-catatan properti
kota.
Laporan selanjutnya mengidentifikasi beberapa penyimpangan, termasuk
suatu kasus yang menyebutkan penagih pajak sebelumnya menggunakan
pembayaran dari pembayar pajak lainnya untuk menutupi tunggakan tagihan
pajak dirinya sendiri. Penagih pajak yang sebelumnya ditahan dan dituntut dengan
tuduhan penggelapan.
Tujuan utama dari CAS adalah untuk membantu auditor dalam melakukan
tinjauan serta menarik informasi dari berbagai file komputer. Ketika auditor
menerima laporan dari CAS, sebagian besar kegiatan audit akan tetap harus
dilaksanakan. Hal-hal yang termasuk dalam laporan pengecualian harus diselidiki,
jumlah total file harus diverifikasi dengan sumber informasi lainnya, seperti buku
besar, dan sampel-sampel audit harus diselidiki serta dievaluasi.
Walaupun kelebihan menggunakan CAS sangat banyak dan dapat dipereaya,
CAS tidak dapat menggantikan penilaian auditor atau membebaskan auditor dari
tahap-tahap audit lainnya.