AKD11 – AUDIT INTERNAL

RISIKO TEKNOLOGI INFORMASI DAN

RISIKO KECURANGAN (DAMPAK
SISTEM INFORMASI TERHADAP
INTERNAL AUDIT)
Pertemuan 11-12
 Diadopsi dari sumber :

Referensi Utama:
1 2

Tuanakotta, Theodorus M., Audit Internal
Berbasis Risiko, 2019, , Salemba Empat,
Jakarta.
Andersen, U.L., Head, M.J., Rammamorti,
S., Riddle Cris., Salamasick M., Sobel, P.J.,
InternalAuditing :Assurance & Advisory
Services, 2017, 4thEdition, InternalAudit
Foundation, Canada
 Sub-CPMK

• Mahasiswa dapat menunjukkan potensi kecurangan terkait dengan

teknologi informasi (C3,A3)
Materi
1. Keahlian yang Dibutuh Audit Internal dalam Bidang Information
Teknologi (IT)
2. Key Komponents of Modern Information System
3. IT Opportunities &Risks
4. IT Control Framework
5. Dampak IT bagi Auditor Internal
6. Kecurangan (Fraud)
- Red Flags : Fraud Detection Signs for Internal Auditors
- IIA Standard for Detecting & Investigating Fraud
- Fraud Investigations for Internal Auditor
- Information technology Fraud Prevention Processes
- Fraud Detection
 1. Keahlian yang Dibutuh Audit
Internal dalam Bidang Information
Teknologi (IT)
 Keahlian yang Dibutuh Audit Internal
dalam Bidang Information
Teknologi (IT)

• Sebagian besar entitas,termasuk perusahaan keluarga

berukuran kecil,mengandalkan TI untuk mencatat dan
memproses transaksi bisnis. Akibat kemajuan TI yang luar
biasa,perusahaan yang relatif kecilpun bahkan
menggunakan komputer pribadi dengan perangkat lunak
akuntansi komersial untuk menjalankan fungsi
akuntansinya. Fungsi Akuntansi yang menggunakan
jaringan TI yang rumit,internet,dan fungsi TI terpusat
sekarang sudah merupakan hal yang umum dilakukan
dimana pun.
 Keahlian yang Dibutuh Audit Internal
dalam Bidang Information
Teknologi (IT) (Lanj.)

• Paham dan Mampu menganalisa suatu sistem teknologi

ataupun komputer
• Mengerti Teknik – Teknik Audit
• Mampu menganalisa alur dari pada sistem dari proses
input hingga output
2. Key komponents of Modern
Information System
 Key komponents of Modern
Information System

• Perangkat keras komputer

• Perangkat lunak komputer
• Telekomunikasi
• Database dan gudang data
• Sumber daya manusia dan prosedur

Notes:
Penjelasan perpoin nya bisa dilihat pada buku wajib textbook sesuai
dengan RPS Perkuliahan.
 Key komponents of Modern
Information System (Lanj.)

• Data, Informasi, Pengetahuan

• Manajemen Sumber Daya Data
• Sistem Manajemen Basis Data
• Gudang data
• Pusat Data

Notes:
Penjelasan perpoin nya bisa dilihat pada buku wajib textbook sesuai
dengan RPS Perkuliahan.
3. IT Opportunities & Risks
 IT Opportunities & Risks

• Banyak risiko dalam sistem manual dapat dikurangi dan

dalam beberapa kasus malah dihilangkan. Namun,akan
menciptakan risiko baru yang spesifik pada sistem TI yang
selanjutnya dapat menimbulkan kerugian yang besar jika
diabaikan. Jika sistem TI gagal,organisasi dapat lumpuh
karena tidak mampu mendapatkan kembali informasi
atau menggunakan informasi yang tidak andal karena
kesalahan pemrosesan.Risiko ini meningkatkan
kemungkinan salah saji yang material dalam laporan
keuangan.
 IT Opportunities & Risks (Lanj.)

Risiko khusus pada sistem TI meliputi:

• Risiko pada perangkat keras dan data
• Jejak audit yang berkurang
• Kebutuhan akan pengalaman TI dan pemisahan tugas TI
 IT Opportunities & Risks (Lanj.)

• Meskipun TI memberikan manfaat pemrosesan yang

signifikan,hal itu juga menciptakan risiko yang unik dalam
melindungi perangkat keras dan data,termasuk potensi
munculnya jenis kesalahan baru. Risiko khusus ini mencakup
hal-hal berikut:
• Ketergantungan pada kemampuan berfungsinya perangkat
keras dan lunak. Tanpa memberikan perlindunan fisik yang
tepat, perangkat kera atau lunak mungkin tidak dapat berfungsi
atau tidak berfungsi dengan benar. Sehingga, sangat penting
untuk memberikan perlindungan fisik terhadap perangkat
keras, perangkat lunak dan data terkait dari kerusakan fisik yang
disebabkan oleh penggunaan yang tidak tepat, sabotase atau
kerusakan lingkungan.
 IT Opportunities & Risks (Lanj.)

• Akses yang tidak diotorisasi. Sistem akuntansi berbasis TI

seringkali memungkinkan akses secara online terhadap data
dalam arsip utama, perangkat lunak dan catatan-catatan
lainnya. Karena akses online dapat dilakukan dari jarak jauh,
termasuk oleh pihak eksternal melalui internet, terdapat
potensi akses yang tidak sah.
• Kehilangan data. Banyak data dalam sistem TI yang disimpan
dalam arsip elektronik yang terpusat. Hal ini meningkatkan
risiko kehilangan atau kerusakan seluruh arsip data. Hal
tersebut memilki dampak yang sangat serius, dengan potensi
salah saji dalam laporan keuangan,bahkan dalam beberapa
kasus mengakibatkan gangguan yang serius terhadap
kegiatan operasional perusahaan secara keseluruhan.
4. IT Control Framework
 IT Control Framework

• Untuk mengatasi banyak risiko yang terkait dengan

keandalan TI, organisasi-organisasi sering kali
menerapkan pengendalian TI khusus. Standar audit
menjelaskan dua kategori pengendalian untuk sistem TI.
Yaitu, pengendalian umum dan pengendalian aplikasi.
 IT Control Framework (Lanj.)

• Pengendalian umum diterapkan pada semua aspek

dalam fungsi TI, termasuk pengaturan TI, pemisahan
tugas-tugas TI, pengembang sistem, pengamanan fisik
dan online terhadap akses pada perangkat lunak,
perangkat keras dan data terkait, rencana cadangan dan
kontijensi jika terjadi kondisi darurat yang tidak
diperkirakan sebelumnya; dan pengendalian perangkat
keras. Auditor mengevaluasi pengendalian umum untuk
peusahaan secara keseluruhan.
 IT Control Framework (Lanj.)

• Pengendalian aplikasi di terapkan untuk memproses

transaksi-transaksi, seperti pengendalian terhadap
pemrosesan penjualan atau penerimaan kas. Auditor
haus mengevaluasi pengendalian aplikasi untuk setiap
kelompok transaksi atau akun dimana auditor
merencanakan untuk mengurangi penilaian risiko
pengendaian karena pengendalian TI akan berbeda
disetiap kelompok transaksi dan akun . pengendalian
aplikasi hanya dapat menjadi efektif jika pengendalian
umumnya efektif.
 IT Control Framework (Lanj.)

• Keamanan fisik dan online pengendalian fisik terhadap

komputer dan pembatasan terhadap akses online dan
arsip data terkait dapat menurunkan risiko perubahan
yang tidak diotorisasi terhadap program-program dan
penggunaan yang tidak tepat terhadap program-program
dan arsip data. rencana pengaman harus dibuat secara
tertulis dan dipantau. Pengendalian keamanan mencakup
pengendalian akses secara fisik maupun online.
5. Dampak IT bagi Auditor Internal
 Dampak IT bagi Auditor Internal

• Peran audit internal yang baru erat hubungannya dengan

ERM, dimana peranan audit internal dalam ERM menurut
COSO ERM, adalah sebagai berikut :
1. Memberikan keyakinan pada design dan efektivitas
proses manajemen risiko
2. Memberikan keyakinan bahwa risiko telah dievaluasi
dengan benar
3. Mengevaluasi proses manajemen risiko
4. Mengevaluasi pelaporan mengenai status dari risiko-risiko
kunci (key risks) dan pengendaliannya.
5. Meninjau pengelolaan risiko – risiko kunci, termasuk
efektivitas dari pengendalian dan respons lain terhadap
risiko – risiko tersebut.
22
 Dampak IT bagi Auditor Internal (Lanj.)

• Melalui Statement of Auditing Standar (SAS), AICPA

mendefinisikan Internal Control sama dengan definisi COSO,
yaitu suatu proses yang dipengaruhi oleh aktivitas Dewan
Komisaris, Manajemen dan Pegawai, yang dirancang untuk
memberikan keyakinan yang wajar atas (a) keandalan
pelaporan keuangan, (b) efektivitas dan efisiensi operasi, dan
(c) ketaatan terhadap hukum dan peraturan yang berlaku.
Berbeda dengan definisi pertama yang hanya mengaitkan
pengendalian hanya dengan perencanaan, metode dan
pengukuran, pada definisi berikutnya terkait dengan “proses
yang dipengaruhi oleh aktivitas seluruh komponen organisasi”.
Definisi ini mengandung makna yang lebih luas dari definisi
sebelumnya.
 Dampak IT bagi Auditor Internal (Lanj.)

Sumber: Andersen, 2017

 Dampak IT bagi Auditor Internal (Lanj.)

Notes: Penjelasan gambar dapat dilihat pada textbook wajib sesuai RPS
Sumber: Andersen, 2017
6. Kecurangan (Fraud) – Red Flag
 6.1 Red Flags : Fraud Detection Signs for
Internal Auditors

• Red Flags merupakan suatu kondisi yang janggal atau

berbeda dengan keadaan normal. Dengan kata lain, red
flags adalah petunjuk atau indikasi akan adanya sesuatu
yang tidak biasa dan memerlukan penyidikan lebih lanjut.
Red flags tidak mutlak menunjukan apakah seseorang
bersalah atau tidak tetapi merupakan tanda-tanda
peringatan bahwa fraud terjadi.
 Kecurangan (Fraud) (Lanj.)

PEGAWAI
- Gaya hidup (mobil dan rumah mewah) yang tidak sesuai
dengan pendapatannya.
- Masalah utang pribadi yang besar
- Perubahan perilaku (judi, narkoba)
- Hubungan yang mesra dengan supplier, konsumen
- Menolak cuti atau liburan
- Kurangnya pembagian tugas di area yang riskan
 Kecurangan (Fraud) (Lanj.)

• MANAJEMEN
- Penempatan pegawai yang merupakan para kroni pada posisi-
posisi strategis
- Manajemen tidak mau menjatuhkan hukuman kepada para
pegawai kunci yang merupakan kroninya.
- Keengganan untuk menyediakan data bagi auditor
- Tidak ada kebijakan perusahaan yang tertulis dalam standard
operating procedure
- Pengendalian intern yang tidak memadai
- Sering melakukan pergantian rekening
 Kecurangan (Fraud) (Lanj.)

• MANAJEMEN
- Terdapat banyak transaksi tidak normal di akhir tahun
- Terdapat dokumen yang hilang dan tidak diketemukan
- Terdapat program kompensasi yang tidak wajar
- Hutang yang diperpanjang terus menerus
- Terdapat perbedaan terus menerus antara perhitungan fisik
inventory dengan pembukuannnya
- Penjualan aset perusahaan dibawah harga pasar
- Terdapat transfer uang ke Offshore bank
 Kecurangan (Fraud) (Lanj.)

• Para auditor wajib mengenali red flags ini karena

biasanya setelah fraud terjadi akan banyak komentar
seperti ini. “Pantas dia sering berlibur di hotel yang
mewah” atau “Itulah kalau penempatan pegawai bukan
karena kemampuan dan prestasinya, tetapi berdasarkan
kedekatan dengan top management atau pemilik.”
• Pada saat auditor menemukan red flags ini seharusnya
digali lebih dalam lagi untuk memastikan apakah telah
terjadi fraud.
 Kecurangan (Fraud) (Lanj.)

• Namun, seperti dikatakan Robert R Moeller, pengarang

buku SOX & The New Internal Auditing Roles kegagalan
auditor mendeteksi terjadi fraud disebabkan beberapa
alasan :
1. Fraud Concern Receive Inadequate Support From
Management.
• Keengganan top management untuk membantu auditor
kemungkinan karena mereka sendiri adalah pelaku fraud.
Dalam Global Economic Crime Survey 2005 pelaku fraud
51% adalah middle management ke atas.
 Kecurangan (Fraud) (Lanj.)

2. Auditor Have an unwillingness to look for Fraud

• Kemungkinan besar auditor tidak memiliki kemampuan
sebagai forensic auditor. Global Economic Crime Survey
2005 pun menunjukan bahwa sepertiga kasus fraud
ditemukan secara tidak sengaja (purely by accident).
Salah satu sebab mengapa fraud lebih sulit ditemukan
karena fraud melibatkan keahlian pelakunya dalam
mengeksplotasi sistem dan pengendalian akuntansi
 Kecurangan (Fraud) (Lanj.)

3. Too Much Trust is placed on Auditeess

• Kendala ini dialami khususnya bagi para auditor internal.
Karena sehari-hari sering bertemu dan untuk menjaga
hubungan baik maka sering para auditor internal menjadi
terlalu percaya kepada para auditeenya.

4. Not Enough Emphasis is placed on Audit Quality

• Kurangnya perencanaan audit yang matang, tidak adanya
diskusi mendalam antar anggota tim audit dengan
komite audit menjadikan kualitas audit tidak bagus.
 Kecurangan (Fraud) (Lanj.)

5. Auditor Sometime fail to Focus on high risk fraud area.

• Secara garis besar terdapat tiga faktor resiko fraud yang
berkaitan dengan fraud dalam pelaporan keuangan.
Pertama, karekteristik manajemen yang berkaitan
dengan manajemen, tekanan, sikap dan perilaku
terhadap pengendalian intern. Kedua, karekteristik
industri yang berkaitan dengan kondisi ekonomi dan
peraturan yang berlaku. Ketiga, karekteristik operasional
yang meliputi sifat dan kerumitan dari transaksi
perusahaan.
 RINGKASAN
Kemajuan TI telah mengubah cara perusahaan dalam mengumpulkan
data, memproses dan melaporkan informasi keuangan. Oleh karena itu
auditor akan menemukan suatu keadaan dimana data tersimpan lebih
banyak dalam media elektronik dibanding media kertas. Auditor harus
menentukan bagaimana perusahaan menggunakan IT system-nya dalam
mengelompokkan, mencatat, memproses, dan melaporkan transaksi
dalam laporan keuangan.
Tidak ada perbedaan konsep audit untuk IT system yang kompleks
maupun sistem pencatatan manual, yang berbeda adalah metode-
metode spesifik yang cocok dengan situasi sistem informasi akuntansi
yang ada. Pemahaman ini diperlukan untuk mendapatkan pemahaman
pengendalian internal yang baik agar dapat merencanakan audit dan
menentukan sifat, saat dan lingkup pengujian yang akan dilakukan.
THANK YOU
AND
GOD BLESS