LECTURE NOTES

ISYS6334
Information System Audit Fundamental

Week ke - 04

Auditing and Internal Control

Part 3

ISYS6334 - Information Systems Audit Fundamental

 LEARNING OUTCOMES

LO1. Memahami Konsep Audit Sistem Informasi

LO2. Memahami kontrol, tindakan pencegahan dan audit sistem informasi secara
keseluruhan diterapkan

OUTLINE MATERI :

1. Resiko audit dan komponennya

2. Resiko inheren

3. Resiko deteksi

4. Model dari resiko audit

5. Hubungan antara tes kontrol dan pengujian substantif

6. Audit TI dan strukturnya

7. Kontrol internal dan sejarahnya

8. Tujuan, Prinsip, dan model kontrol internal

ISYS6334 - Information Systems Audit Fundamental

 ISI MATERI

Risiko Audit
Risiko audit adalah kemungkinan auditor membuat opini yang tidak tepat terhadap laporan
keuangan, dimana opini melaporkan kondisi yang baik tetapi pada kenyataannya terdapat
kesalahan yang material. Salah saji yang material dapat disebabkan oleh kesalahan atau
penyimpangan, ataupun keduanya. Kesalahan adalah kesalahan yang tidak disengaja.
Penyimpangan umumnya dianalogikan sebagai suatu kesalahpahaman yang umumnya
disengaja dan terkait dengan komisi penipuan seperti penyalahgunaan aset fisik atau
penipuan laporan keuangan pengguna.

Komponen Resiko Audit

Tujuan auditor adalah untuk mencapai tingkat risiko audit yang dapat diterima oleh auditor.
Risiko audit yang dapat diterima (AR) diperkirakan berdasarkan nilai ex ante dari komponen
model risiko audit. Dimana di dalamnya terdapat risiko inheren, risiko kontrol, dan risiko
deteksi.

Risiko Inheren
Risiko inheren adalah risiko bawaan dan umumnya spesifik apabila dikaitkan dengan
karakteristik unik dari bisnis atau industri. Perusahaan dalam industri yang sedang menurun
memiliki risiko inheren yang lebih besar daripada perusahaan yang stabil atau sedang
berkembang. Demikian juga, industri yang memiliki volume transaksi tunai yang besar
memiliki tingkat risiko bawaan yang lebih tinggi daripada yang tidak. Auditor tidak dapat
mengurangi tingkat risiko yang melekat atau bawaan.

Risiko kontrol
Risiko kontrol (control risk) adalah kemungkinan bahwa struktur kontrol yang memiliki
kekurangan karena kontrol tersebut tidak ada atau tidak memadai untuk mencegah atau
mendeteksi kesalahan dalam suatu proses. Auditor menilai tingkat risiko kontrol dengan
melakukan tes kontrol.

ISYS6334 - Information Systems Audit Fundamental

Risiko deteksi
Risiko deteksi (detection risk) adalah risiko yang bersedia diterima auditor yang diakibatkan
oleh tidak terdeteksi atau tidak dapat dicegahnya kesalahan karena struktur kontrol yang
sudah di implementasikan Auditor menetapkan tingkat deteksi risiko yang dapat diterima
(risiko deteksi terencana) yang mempengaruhi tingkat tes substantif yang mereka lakukan.
Sebagai contoh, pengujian yang lebih substantif akan diperlukan ketika risiko deteksi yang
direncanakan adalah 10 persen dibandingkan 20 persen.

Audit TI
Pada umumnya proses audit sistematis melibatkan tiga fase konseptual:
1. Perencanaan audit

a. Ulasan organisasi, kebijakan, praktik dan struktur

b. Review general control dan application controls

c. Perencanaan tes control dan pengujian substantif

2. Tes kontrol

a. Melakukan kontrol testing

b. Mengevaluasi hasil test

c. Menentukan besarnya kepercayaan akan kontrol

3. Pengujian substantif

a. Melakukan subtantif testing

b. Evaluasi hasil dan mengeluarkan audit report

Audit IT berfokus pada aspek-aspek berbasis komputer dari suatu sistem informasi organisasi
yang menggunakan tingkat teknologi yang signifikan. Misalnya, pemrosesan transaksi
otomatis dan dilakukan sebagian besar oleh program komputer.

ISYS6334 - Information Systems Audit Fundamental

Tes Kontrol
Tujuan dari fase tes kontrol adalah untuk menentukan apakah internal yang memadai kontrol
sudah terpasang dan berfungsi dengan baik. Untuk mencapai hal ini, auditor melakukan
berbagai tes kontrol. Teknik pengumpulan-bukti yang digunakan dalam fase ini mungkin
termasuk teknik manual dan teknik audit komputer khusus. Tingkat ketergantungan yang
auditor dapat anggap sebagai kontrol internal akan mempengaruhi tingkat pengujian
substantif yang perlu dilakukan.

Pengujian Substantif
Fase ketiga proses audit berfokus pada data transaksi. Fase ini melibatkan detail investigasi
saldo dan transaksi akun tertentu melalui apa yang disebut pengujian substantif. Sebagai
contoh, konfirmasi pelanggan adalah tes substantif kadang digunakan pula untuk
memverifikasi saldo akun. Pengujian substantif umumnya melibatkan data yang besar,
sehingga menggunakan bantuan metode komputer, yang dikenal sebagai Computer-Assisted
Audit Tools and Techniques (CAATTs).

Internal Kontrol
Manajemen organisasi diwajibkan oleh hukum untuk menetapkan dan memelihara sistem
yang memadai dan memiliki pengendalian internal. Berikut sedikit sejarah tentang
perkembangan internal kontrol:
1. SEC Acts of 1933 and 1934

2. Copyright Law–1976

3. Foreign Corrupt Practices Act (FCPA) of 1977

4. Committee of Sponsoring Organizations–1992

5. Sarbanes-Oxley Act of 2002

Sistem pengendalian internal organisasi terdiri dari kebijakan, praktik, dan prosedur untuk
mencapai empat tujuan secara garis besar:

1. Untuk menjaga aset perusahaan.

ISYS6334 - Information Systems Audit Fundamental

 2. Untuk memastikan keakuratan dan keandalan catatan dan informasi akuntansi.

3. Untuk meningkatkan efisiensi dalam operasi perusahaan.

4. Untuk mengukur kepatuhan terhadap kebijakan dan prosedur yang ditentukan oleh
manajemen.

Terdapat 4 prinsip utama yang memandu auditor yang terdiri dari:

1. Tanggung jawab manajemen

2. Metode Pengolahan Data

3. Batasan batasan

a. Kemungkinan kesalahan

b. Pengelakan

c. Permintaan manajemen

d. Kondisi yang berubah

4. Jaminan yang wajar (reasonable assurance)

Jenis dari kontrol

Kontrol secara garis besar dapat dikategorikan menjadi 3, yaitu:
a. Kontrol pencegahan (preventive control), kontrol untuk mencegah agar suatu kejadian
negative/kesalahan tidak terjadi.

b. Kontrol pendeteksian (detective control), kontrol untuk mendeteksi secara cepat atas
suatu kejadian negative/kesalahan.

c. Kontrol koreksi (corrective control), kontrol untuk memperbaiki secara cepat atas
suatu kejadian negative/kesalahan.

ISYS6334 - Information Systems Audit Fundamental

 KESIMPULAN

Dalam menjalankan fungsinya untuk membuktikan keandalan dari catatan keuangan

perusahaan dan memastikan prosedur akuntansi sesuai dengan hukum, auditor memiliki
berbagai macam metode dan juga resiko. Resiko dalam suatu audit bermacam macam, dan
terdapat juga cara cara yang dapat memitigasi resiko tersebut.

Dengan semakin berkembangnya teknologi, penggunaan system untuk mendukup proses

bisnis semakin berkembang juga. Hal ini menyebabkan beberapa dokumen fisik tidak lagi
tersedia karena semakin besarnya ketergantungan terhadap teknologi, oleh karena itu
diperlukan suatu metode untuk melakukan audit TI yang baik dan terstruktur.

ISYS6334 - Information Systems Audit Fundamental

 DAFTAR PUSTAKA

1. Information Technology Auditing and Assurance, Chapter 1

2. https://work.chron.com/importance-auditors-14771.html
3. https://www.iia.org.au/about-iia-australia/WhatIsInternalAudit.aspx

ISYS6334 - Information Systems Audit Fundamental