Pengertian
Pengauditan (auditing) adalah proses sistematik atas pemerolehan dan pengevaluasian bukti
mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan
seberapa baik kesesuaiannya dengan kriteria yang ditetapkan. Hasil dari audit kemudian
dikomunikasikan ke pihak-pihak yang berkepentingan.
Dalam mengembangangkan rekomendasi, auditor menggunakan kriteria yang ditetapkan,
seperti prinsip-prinsip pengendalian yang dijelaskan di bab-bab sebelumnya, sebagai sebuah
dasar untuk evaluasi. Perusahaan-perusahaan public mempekerjakan auditor eksternal untuk
memberikan sebuah tinjauan independen atas laporan keuangan mereka.
Pengauditan internal (internal auditing) adalah sebuah aktivitas independen, menjamin
objektivitas serta konsultasi yang didesain untuk menambah nilai serta meningkatan
efektivitas dan efesiensi organisasi, termasuk membantu dalam desain dan implementasi dari
sebuah SIA.
Jenis-jenis audit internal :
1. Audit keuangan (financial audit) memeriksa keterandalan dan integritas dari transaksi-
transaksi keuangan, catatan akuntansi, dan laporan keuangan.
2. Sistem informal (information system), atau audit pengendalian internal (internal
control audit) memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya
dengan kebijakan dan prosedur pengendalian internal serta efektivitas dalam pengamanan
aset.
3. Audit operasional (operational audit) berkaitan dengan penggunaan secara ekonomis
dan efesien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan.
4. Audit kepatuhan (compliance audit) menentukan apakah entitas mematuhi hukum,
peraturan, kebijakan, dan prosedur yang berlaku.
5. Audit investigative (investigative audit) menguji kejadian-kejadian dari penipuan (fraud)
yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan
penyalahgunaan, atau aktivitas tata kelola yang buruk.
Para auditor eksternal mungkin memerlukan kemampuan khusus untuk :
1. Menentukan bagaimana audit akan dipengaruhi oleh IT,
2. Menilai dan mengevaluasi pengendalian IT, serta
3. Mendesain dan menjalankan baik pengujian atas pengendalian IT maupun pengujian
substantif.
Sifat Pengauditan
Tinjauan Menyeluruh Proses Audit dapat dibagi ke dalam empat tahap yaitu :
1. Perencanaan audit
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan
dilaksanakan. Langkah pertama adalah untuk menetapkan lingkup dan tujuan audit.
Sebuah tim audit dengan pengalaman dan keahlian yang sesuai kemudian dibentuk. Tim
ini menjadi terbiasa dengan pihak yang diaudit (auditee) dengan berbicara kepada
personel pengawasan dan pengoperasian, memeriksa dokumentasi sistem, dan memeriksa
temuan-temuan audit sebelumnya.
Audit direncanakan, sehingga jumlah terbesar pekerjaan audit berfokus pada area
dengan faktor-faktor risiko tertinggi. Terdapat tiga jenis risiko audit :
1. Risiko bawaan (inherent risk) adalah kelemahan terhadap risiko material karena
tidak tersedianya pengendalian internal.
2. Risiko pengendalian (control risk) adalah risiko saat suatu salah saji material
akan melampaui struktur pengendalian internal ke dalam laporan keuangan.
3. Risiko deteksi (detection risk) adalah risiko saat para auditor dan prosedur
auditnya akan gagal mendeteksi sebuah kesalahan atau salah saji yang material.
2. Pengumpulan bukti audit
Banyak pengujian audit tidak dapat dilakukan pada seluruh hal yang diperiksa, pengujian-
pengujian tersebut biasanya dilakukan pada basis sampel. Berikut adalah cara-cara yang
paling umum untuk mengumpulkan bukti audit :
Observasi atas aktivitas-aktivitas yang diaudit
Pemeriksaan atas dokumentasi
Diskusi dengan para pegawai
Kuesioner untuk pengumpulan data
Pemeriksaan fisik atas kuantitas dan/atau kondisi dari asset berwujud
Konfirmasi (confirmation) atas ketepatan informasi
Melakukan ulang (reperformance) atas penghitungan
Pemeriksaan bukti pendukung (vouching) untuk validitas dari sebuah transaksi
Tinjauan analisi (analytical review) atas hubungan dan trend antar-informasi
3. Evaluasi atas bukti audit
Menentukan materialitas (materiality), apa yang penting dan tidak penting dalam audit,
adalah sebuah masalah pertimbangan profesional.
Auditor mencari penjaminan memadai (reasonable assurance) bahwa tidak ada
kesalahan material yang ada dalam informasi atau proses yang diaudit. Oleh karena untuk
mencari penjaminan penuh memerlukan biaya yang sangat mahal, auditor memiliki
beberapa risiko bahwa kesimpulan auditnya salah. Ketika risiko bawaan atau
pengendaliannya tinggi, auditor harus mendapatkan penjaminan yang lebih besar untuk
mengimbangi ketidakpastian dan risiko yang lebih besar.
4. Komunikasi hasil audit
Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan audit dan
rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak-pihak lain yang
berkepentingan.
5. Pendekatan audit berbasis-risiko
Pendekatan evaluasi pengendalian internal berikut, disebut pendekatan audit berbasis-
risiko, memberikan sebuah kerangka untuk menjalankan audit sistem informasi:
1. Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan.
Ini adalah sebuah daftar dari penyalahgunaan dan perusakan yang secara kebetulan
atau disengaja pada sistem terbuka.
2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau
memperbaiki ancaman. Hal tersebut adalah seluruh pengendalian yang harus
dipertimbangkan manajemen dan yang harus diperiksa, diuji oleh auditor, untuk
meminimalkan ancaman.
3. Mengevaluasi prosedur pengendalian. Pengendalian dievaluasi dalam dua cara:
a. Sebuah tinjauan sistem (system review) menentukan apakah prosedur
pengendalian benar-benar dilaksanakan.
b. Uji pengendalian (test of control) dilakukan untuk menentukan apakah
pengendalian yang ada berjalan seperti yang dikehendaki.
4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam
jenis, waktu, atau tingkatan prosedur pengauditan. Jika auditor menentukan bahwa
risiko pengendalian terlalu tinggi karena sistem pengendalian tidak memadai, auditor
mungkin harus mengumpulkan lebih banyak bukti, bukti yang lebih baik, atau bukti
yang lebih tepat waktu. Kelemahan pengendalian dalam satu area mungkin dapat
diterima jika terdapat pengendalian kompensasi (compensating control) dalam area
lainnya.
Audit Sistem Informasi
Tujuan dari sebuah audit sistem informasi adalah untuk meemriksa dan mengevaluasi
pengendalian internal yang melindungi sistem. Ketika melakukan sebuah audit sistem
informasi, para auditor seharusnya memastikan bahwa enam tujuan berikut telah dicapai.
1. Ketentuan keamanan untuk melindungi peralatan computer, program, komunikasi,
dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi.
2. Pengembangan dan akuisisi program dilakukan sesuai dengn otorisasi umum dan
spesifikasi manajemen.
3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
4. Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan
lengkap.
5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar diidentifikasi dan
ditangani berdasarkan kebijakan manajerial yang telah ditentukan.
6. File-file data komputer tepat, lengkap, dan rahasia.
Tujuan keenam memperhatikan tentang ketepatan, integritas, dan keamanan atas data
yang disimpan dalam file yang dapat dibaca mesin. Pendekatan pengauditan-dengan-tujuan
adalah sebuah upaya yang komprehensif, sistematik, dan efektif atas evaluasi pengendalian
internal.
CAATs akan sangat bernilai bagi peruahaan-perusahaan yang memiliki proses rumit,
operasi terdistribusi, volume transaksi tinggi, atau memiliki banyak jenis aplikasi dan sistem.
Meminta file data untuk memuat catatan yang memenuhi kriteria tertentu.
Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file.
Merangkum, menyortir, dan menyaring data.
Mengakses data dalam format yang berbeda dan mengubah data ke dalam sebuah
format umum.
Menguji catatan-catatan atas kualitas, kelengkapan, konsistensi, dan kebenaran.
Membagi catatan berdasarkan tingkatan, memilih dan menganalisis sampel
statistis.
Pengujian atas risiko tertentu dan mengidentifikasi bagaimana pengendalian atas
risiko tersebut.
Melakukan penghitungan, analisis statistis, dan operasi matematis lainnya.
Melakukan pengujian analitis, seperti analisis rasio dan tren, mencari pola data
yang tidak diduga atau tidak dijelaskan yang mungkin mengindikasikan penipuan.
Mengidentifikasi kebocoran finansial, ketidakpatuhan atas kebijakan, dan
kesalahan pengolahan data.
Merekonsiliasi perhitungan fisik dengan jumlah yang dikomputasi, menguji
ketepatan kasir atas perluasan dan saldo, menguji item-item salinan.
Memformat serta mencetak laporan dan dokumen.
Membuat kertas kerja elektronik.
Teknik dan prosedur yang digunakan dalam audit operasional serupa dengan audit
atas sistem informasi dan laporan keuangan. Sebagai tambahan, tujuan dari audit operasional
termasuk mengevaluasi efektivitas, efisiensi, dan pencapaian tujuan.
Langkah pertama dalam audit operasional adalah perencanaan audit, pada suatu waktu
saat lingkup dan tujuan audit ditetapkan, sebuah persiapan tinjauan sistem dilakukan, dan
sebuah program audit tentative disiapkan. Langkah selanjutnya, pengumpulan bukti,
termasuk aktivitas-aktivitas sebagai berikut.
Pada tahap pengevaluasian bukti auditor mengukur sistem terhadap salah satu sistem
yang mengikuti prinsip-prinsip manajemen paling terbaik. Satu pertimbangan terpenting
adalah bahwa hasil dari kebijakan dan praktik manajemen lebih signifikan dibandingkan
kebijakan dan praktik itu sendiri.
Auditor operasional yang ideal memiliki pelatihan dan pengalaman audit juga
pengalaman beberapa tahun dalam sebuah posisi manajerial. Auditor dengan latar belakang
pengauditan kuat, tetapi pengalaman manajerialnya lemah biasanya memiliki kekurangan
terkait perspektif yang diperlukan untuk memahami proses manajemen.