PENGENDALIAN INTERNAL

Tujuan:
Setelah mempelajari materi ini diharapkan mahasiswa memliki kemampuan untuk:
1. Memahami tentang pengendalian internal
2. Mampu menjelaskan kembali tentang pengendalian internal

4.1 Pengertian
Pengendalian (control) adalah setiap tindakan yang dilakukan pengelola (manajemen)
untuk memperbesar peluang tujuan dan sasaran yang telah ditetapkan dapat tercapai.
Pengendalian internal memastikan bahwa program untuk memastikan tujuan manajemen
direncanakan dan dijalankan dengan baik. Misal: pengecekan rutin terhadap integritas data
pada sistem, pelatihan terhadap tim pemasaran untuk menggunakan teknik/alat data mining.
Sistem pengendalian internal adalah keseluruhan infrastruktur dimana setiap elemen
pengendalian akan berfungsi dan menciptakan suatu kondisi dimana pengendalian internal
dapat berjalan.

4.2 Tujuan Pengendalian Internal

1. Reliabitas dan Integritas Informasi;
2. Kepatuhan terhadap kebijakan,rencana,hukum dan regulasi;
3. Pengamanan Aset;
4. Efektifitas dan efisiensi operasi.

4.3 Jenis Pengendalian

1. Preventative controls, pencegahan (sebelum terjadi penyimpangan) sebagai contoh
berupa pembatasan tindakan pengguna, permintaan kata sandi, otorisasi terpisah.
2. Detective controls, mendeteksi penyimpangan setelah terjadi contoh: laporan analisa
log, pemantauan status parameter yang tidak sesuai standar.
 3. Corrective controls, memastikan koreksi terhadap masalah yang ditemukan oleh
detective controls pada umumnya membutuhkan campur tangan manusia. Contoh
proses restorasi data backup, pembatalan transaksi. Corrective Controls memiliki
potensi menimbulkan masalah baru yang bisa jadi lebih besar daripada masalah yang
dicoba untuk diperbaiki.
4. Directive controls dirancang untuk memproduksi hasil yang baik dan mendorong
perilaku yang baik. Contoh: arahan untuk para pengguna komputer melakukan
tindakan backup terhadap data masing-masing secara periodik.
5. Compensating controls dapat ditemui pada kasus dimana kelemahan pada satu
pengendalian ditutup oleh pengendalian lain.

4.4 Elemen Pengendalian Internal

1. Akuntabilitas. Setiap keputusan, transaksi dan tindakan yang dilakukan harus ada
pengendalian yang dapat menentukan siapa yang melakukan apa.
2. Kecukupan Sumber Daya. Pengendalian yang coba dilakukan dengan sumber daya
yang kurang biasanya akan gagal ketika menghadapi tekanan.
3. Pengawasan dan review. Pada banyak kasus manusia tidak melakukan apa yang
seharusnya tetapi hanya melakukan apa yang diawasi sehingga system pengawasan
diperlukan dan perlu dilakukan evaluasi secara periodik.

4.5 Pengendalian pada Aplikasi Komputer

Memiliki tujuan:
 Integritas aplikasi dan prosesnya (Integrity of programs and processing).
 Pencegahan terhadap perubahan yang tidak diinginkan (Prevention of unwanted
changes).
 Memastikan pengendalian perancangan dan pengembangan memadai (Ensuring
adequate design and development control).
 Memastikan pengujian memadai (Ensuring adequate testing).
 Mengendalikan pemindahan aplikasi (Controlled program transfer).
 Memastikan sistem terus terpelihara (Ongoing maintainability of systems).
4.6 Contoh Pengendalian Pada Pengembangan Aplikasi Komputer
 Penggunaan Systems Development Life Cycle (SDLC).
 Melibatkan pengguna (User involvement).
 Dokumentasi yang memadai.
 Rencana pengujian yang diformalkan.
 Konversi yang terencana.
 Penggunaan post-implementation reviews.
 Penetapan quality assurance (QA).
 Melibatkan Auditor Internal.
 MODUL 5

PERENCANAAN AUDIT

Tujuan:
Setelah mempelajari materi ini diharapkan mahasiswa memliki kemampuan untuk:
1. Memahami fungsi perencanaan audit
2. Mampu membuat proses perencanaan audit

5.1 Manfaat Rencana Audit

Perencanaan merupakan salahsatu teknik manajemen yang paling pokok tetapi
merupakan salahsatu yang paling buruk penerapannya. Sebuah audit disebut efektif apabila
tujuannya tercapai. Sangat penting auditor memahami tujuan tersebut sebelum menjalankan
audit. Rencana audit yang terstruktur dan terdokumentasi mengidentifikasi dan menetapkan
kriteria bagaimana menilai keberhasilan audit.

5.2 Struktur Rencana Audit

1. Survei Pendahuluan.
2. Rapat pembukaan antara tim audit dengan auditee/manajemen (entry meeting).
3. SOP yang ada saat ini seperti apa.
4. Pengumpulan bukti-bukti awal (dokumen SOP, struktur organisasi, kebijakan
manajemen, panduan operasi, dokumen teknis dsb). Apakah ada? Diamankan? Dipatuhi
sejauh apa?
5. Tur lokasi dan perkenalan dengan personil-personil yang ada serta tanggung jawabnya.

A. Deskripsi dan Analisa Pengendalian Internal.

 Apakah pengendalian internal ada?
 Apakah pengendalian internal tersebut efektif? Pengujian terbatas dapat
dilakukan untuk menilai efektifitasnya.
 Penilaian ulang resiko dapat dilakukan pada tahap ini.
B. Pengujian terhadap Pengendalian Internal.
 Untuk memastikan pengendalian internal benar efektif haruslah dilakukan
pengujian.
 Pengujian ini nantinya akan dituangkan pada laporan hasil audit.
 Contoh pengujian yang dapat dilakukan:
o Pemeriksaan berkas dan dokumen;
o Wawancara dengan pihak manajemen atau personil lain;
o Pengamatan terhadap operasional;
o Pemeriksaan aset;
o Pemeriksaan berkas komputer;
o Komparasi hasil audit dengan laporan auditee.

C. Temuan dan Rekomendasi.

Temuan audit terdiri dari 4 (empat) bagian yaitu kriteria, kondisi, akibat dan
penyebab. Rekomendasi, umumnya berbentuk:
 Tidak menyarankan perubahan pada sistem pengendalian.
 Peningkatan pengendalian untuk mengurangi resiko.
 Pemindahan resiko ke pihak luar (pada kondisi dimana resiko cukup tinggi
tetapi pengendalian sulit dilakukan atau tidak ekonomis) misal: asuransi,
alihdaya.
D. Laporan Hasil Audit.
 Laporan hasil audit hendaknya diselesaikan tepat waktu.
 Laporan hasil audit didokumentasikan dan dikomunikasikan kepada auditee.
 Auditee diminta untuk memberikan tanggapan dan tanggapan akan dimasukkan
ke laporan hasil audit final. Hal ini untuk memastikan objektifitas audit.
E. Tindak Lanjut.
Tahapan untuk memastikan apakah manajemen setelah mengetahui rekomendasi:
 Menerima resiko, tanpa perbaikan;
 Tidak menerima resiko, tanpa perbaikan;
  Melakukan langkah-langkah untuk mengendalikan kelemahan.
F. Evaluasi Audit.
Merupakan tahapan final dimana auditor menilai proses audit yang telah dilakukan.
Langkah ini sering diabaikan, sehingga mengakibatkan audit di masa berikutnya
tidak optimal.
 MODUL 6

MANAJEMEN AUDIT

Tujuan:
Setelah mempelajari materi ini diharapkan mahasiswa memliki kemampuan untuk:
1. Memahami pengertian manajemen audit.
2. Memahami fungsi manajemen Audit
3. Memahami penerapan manajemen Audit

6.1 Perencanaan
Audit sistem informasi memiliki tanggungjawab menyediakan dukungan bagi aspek
yang berhubungan dengan komputer pada audit keuangan. Hal ini dilakukan dengan cakupan
audit yang memadai pada sistem informasi yang digunakan organisasi. Perencanaan audit
sistem informasi melibatkan bagaimana mendefinisikan area yang diaudit. Hal ini dapat
dilakukan dengan review terhadap:
1. Sistem bisnis
2. Sistem yang sedang dikembangkan
3. Manajemen fasilitas sistem informasi
4. Pengendalian keamanan dan recovery
5. Efisiensi dan efektifitas sistem informasi
6. Sasaran Audit Sistem Informasi

Untuk mengulas, menilai dan melaporkan :

1. Kelayakan, kecukupan dan penerapan standar operasi sistem informasi.
2. Kelayakan, kecukupan dan penerapan standar pengembangan sistem.
 3. Tingkat kepatuhan terhadap standar organisasi.
4. Keamanan terhadap investasi sistem informasi organisasi.
5. Kecukupan pengaturan kontingensi.
6. Kelengkapan dan ketepatan informasi yang diproses oleh computer.
7. Apakah semua sumber daya komputer telah digunakan secara optimal.
8. Kelayakan sistem aplikasi yang dikembangkan.

6.2 Fungsi Audit Sistem Informasi

Fungsi audit sistem informasi dan fungsi audit umum terdapat berbagai pandangan
berbeda. Pandangan yang pertama yang biasanya diyakini oleh auditor sistem informasi sendiri
bahwa setiap audit terhadap pengendalian yang melibatkan komputer hendaknya dilakukan
oleh auditor sistem informasi professional Pandangan yang berlawanan meyakini auditor
sistem informasi dan auditor umum haruslah terintegrasi seutuhnya. Diantara kedua pandangan
tadi masih ada pandangan lain yang lebih banyak diyakini secara umum. Bahwa ada
keuntungan pada beberapa area audit yang melibatkan review terhadap sistem komputer
apabila dilakukan oleh auditor umum yang memahami sistem informasi.

6.3 Audit Sistem Informasi Sebagai Fungsi Pendukung

Audit sistem informasi dapat juga dipandang sebagai fungsi pendukung terhadap
keseluruhan fungsi audit internal dan mungkin melibatkan pengembangan alat/metode
komputasi audit, membantu auditor non sistem informasi bahkan pelatihan terhadap auditor
non sistem informasi. Auditor sistem informasi bisa juga dilibatkan dalam pengembangan
prosedur pengendalian untuk penggunaan komputer pada lingkungan internal dengan
memastikan hasil penelitian sistem informasi yang lebih modern dan teknik audit sistem
informasi diterapkan.

6.4 Sistem Informasi Bisnis

Review terhadap sistem bisnis termasuk audit terhadap aplikasi sistem, audit
kecurangan, audit kepatuhan, audit keuangan, audit operasional, recovery audits dan audit
pengembangan sistem. Dalam merancang prosedur audit, auditor harus melakukan pengujian
untuk memperoleh barang bukti. Hal ini berarti auditor harus tahu apa yang akan dicari.
 Tidak semua pengendalian diuji. Untuk menjamin audit efektif secara biaya, auditor
harus mencari pengendalian umum dimana berbagai tujuan pengendalian dicakup.

6.5 Auditee Sebagai Bagian Tim Audit

Pengendalian internal yang efektif hanya dapat dicapai apabila semua orang
menginginkan pengendalian internal yang efektif dan bekerjasama untuk mencapai hal
tersebut. Audit berbasis tim telah lama disukai dalam pendekatan audit terintegrasi.
Sebagaimana biasanya dalam kerjasama tim, kesuksesan bergantung pada tujuan bersama dan
partisipasi penuh. Pada masa sekarang, pendekatan audit berbasis tim perlu diangkat ke level
berikutnya dimana memasukkan manajemen dan staff yang sedang dievaluasi. Audit berbasis
tim yang sesungguhnya dapat menyediakan akses bagi tim terhadap kemampuan khusus
individu yang menjadi anggotanya, sekaligus mengidentifikasi area dimana kemampuan
khusus sangat dibutuhkan tetapi tidak tersedia.

6.6 Penggunaan Audit Tools

Alat yang tersedia bagi auditor sistem informasi bukan hanya berupa CAAT (Computer
Assisted Auditing Techniques), alat standar lain seperti wawancara, kuisioner dan
dokumentasi.
Alat evaluasi pengendalian seperti CAAT, test data generators dan aplikasi
flowcharting dapat dikombinasikan dengan perangkat lunak audit khusus, perangkat lunak
audit umum, aplikasi utilitas dan berbagai aplikasi non audit seperti aplikasi pelaporan dan
general query languages. Perangkat lunak analisis risiko, perencanaan audit dan otomatisasi
kertas kerja biasanya sangat berguna juga.

6.7 Jaminan Kualitas Audit Sistem Informasi

Audit manager bertanggungjawab terhadap jaminan kualitas audit sistem informasi.
Pada prakteknya hal ini akan melibatkan review pekerjaan audit oleh auditor sistem informasi
lain atau audit secara manajemen. Ketika jaminan kualitas tersebut tidak dapat diperoleh dari
dalam (in-house), maka sumber luar dapat digunakan. Sumber luar ini dapat datang dari
berbagai tempat/organisasi seperti perusahaan konsultan dan auditor eksternal independen.
 MODUL 7

BUKTI AUDIT

Tujuan:
Setelah mempelajari materi ini diharapkan mahasiswa memliki kemampuan untuk:
1. Menjelaskan Fungsi Bukti Audit
2. Menjelaskan Proses Bukti Audit Yang digunakan

7.1 Prosedur Bukti Audit Sistem Informasi

Auditor mengumpulkan bukti dengan mengikuti program audit. Program audit
adalah sekumpulan langkah yang akan diikuti oleh auditor dalam memperoleh bukti yang
sesuai, pada auditor sistem informasi hal ini berarti melibatkan penggunaan teknik komputer
tertentu, walau bisa juga tidak. Seperti rute pada peta, program audit harus memenuhi
kebutuhan penggunanya. Program audit menyatakan apa yang harus dilakukan, kapan,
bagaimana, siapa dan berapa lama. Program audit membantu auditor bekerja sesuai dengan
waktu dan anggaran yang ada. Program audit final harus disiapkan segera setelah survei
pendahuluan dilakukan, tetapi dapat dimodifikasi selama proses audit berjalan. Persiapan
program audit harus menekankan pada apa yang berbahaya bagi organisasi. Program ini harus
bijaksan, relevan, efektif dan ekonomi. Bahwa tidak setiap item perlu diperiksa selain itu
kewajaran dan relevansi harus dipertahankan.
7.2 Sampling Statistik
Pada banyak kasus auditor dapat memperoleh keyakinan yang memadai mengenai
mitigasi risiko tanpa harus memeriksa semua arsip atau transaksi. Sampling statistik adalah
proses pengujian sebagian dari kelompok item untuk mengevaluasi dan menarik kesimpulan
tentang populasi secara keseluruhan. Dengan melakukan hal tersebut, auditor bermaksud
bahwa karakteristik yang relevan dari sampel, seperti ukuran atau tingkat atau kesalahan, harus
sebanding secara matematis dengan populasi. Untuk melakukan hal tersebut maka metode
pemilihan sampel yang tepat harus digunakan seperti pemilihan acak dan ukuran sampel yang
memadai.

7.3 Sampling Non Statistik

Dikenal juga dengan istilah judgmental sampling, auditor hanya mengandalkan
pertimbangan profesionalnya untuk menilai risiko kesalahan sampling (sampling error) dan
mengevaluasi populasi. Karena sampel tidak dimaksudkan mewakili seluruh populasi, hasil
sampel tidak dapat diekstrapolasi untuk seluruh populasi. Pendekatan ini biasanya digunakan
ketika auditor bermaksud menggunakan sampel untuk tujuan tertentu.

7.4 Risiko Sampling

Ketika auditor memilih menggunakan sampling statistik maka auditor akan menghadapi
kemungkinan bahwa kesimpulan yang ditarik tentang populasi berisi beberapa kesalahan
materi. Setiap penggunaan sampling juga tunduk pada risiko kesalahan non-sampling. Jenis
kesalahan ini adalah hasil dari ketidakpastian lain yang tidak disebabkan oleh proses sampling.
Penyebab kesalahan seperti ini dapat berupa:
1. Kesalahan dalam memilih sampel.
2. Penggunaan prosedur audit yang salah.
3. Kegagalan mengenali salah saji atau penyimpangan dalam item sampel.
4. Definisi yang tidak benar dari populasi.

7.5 Perencanaan Sampling

Ketika auditor memutuskan untuk menggunakan sampling, hal berikut haruslah
dipertimbangkan:
 1. Tujuan audit (audit objectives). Seperti lazimnya audit auditor memulai dengan
mempertimbangkan tujuan pengendalian area yang sedang diperiksa. Dari hal ini
dapat ditentukan sumber bukti dan sifat dari pengujian yang dibutuhkan untuk
mengevaluasi bukti.
2. Karakteristik populasi. Tahap kedua dari perencanaan adalah menentukan populasi
dimana kesimpulan akan diambil, hal ini akan dinyatakan dalam karakteristik
populasi. Sebagai contoh: audtor dapat memilih untuk mengungkapkan pendapat
mengenai item bernilai tinggi, rendah atau semua item.

7.6 Penjadwalan Proyek

 Program Evaluation Review Technique (PERT) digunakan untuk
mengidentifikasi secara diagram aktifitas yang saling bergantung (dependen)
dan tidak (independen).
 Critical path method (CPM) adalah sebuah metode penjadwalan yang
dikembangkan secara terpisahd ari PERT tetapi menggunakan diagram yang
serupa. CPM, menggunakan dua estimasi waktu, satu untuk normal effort and
satu lagi “crash” effort. “Crash” time adalah waktu yang dibutuhkan untuk
menyelesaikan tugas apabila seluruh sumber daya digunakan pada tugas
tersebut.
 GANTT atau Diagram Batang.

7.7 Computer Assisted Audit Solutions

Computer Assisted Audit Tools (CAATs), Computer Assisted Audit Techniques
(CAATs). or more correctly, Computer Assisted Audit Tools and Techniques (CAATTs)
Merupakan metode perolehan informasi, analisis program dan prosedur termasuk aplikasi yang
mengatur, menggabungkan, mengekstrak dan menganalisis informasi. Dalam kelompok ini
termasuk perangkat lunak audit umum (generalized audit software) serta perangkat lunak
terkait industri.
Information retrieval and analysis programs and procedures termasuk ke programs that
organize, combine, extract, and analyze information. This includes generalized audit software
as well as application and industry-related software. Apabila auditor memiliki kemampuan
programming, Bahasa pemrograman konvensional dapat menjadi alternatif. Tersedianya
banyak perangkat lunak yang tidak membutuhkan kemampuan teknis di bidang programming
membuat analisa data secara langsung mudah dilakukan oleh auditor. Fokus utama adalah pada
pemahaman tentang aplikasi dan bagaimana data berhubungan.

7.8 Perangkat Lunak Audit Umum (Generalized Audit Software)

Perangkat lunak audit umum adalah perangkat lunak yang dirancang secara khusus
untuk auditor, perangkat ini menyediakan antar muka yang ramah untuk melaksanakan
berbagai tugas standar auditor seperti pemeriksaan catatan, pengujian perhitungan dan
pembuatan perhitungan. Perangkat lunak audit umum tidak dapat menyelesaikan semua
masalah auditor, tetapi sangat membantu di masalah-masalah umum. Perangkat lunak ini
dirancang secara khusus untuk penanganan data besar. Contoh perangkat lunak ini diantaranya
Audit Control Language (ACL) dan Interactive Data Extraction and Analysis (IDEA).

7.9 Teknik Pengujian Transaksi

Teknik pengujian transaksi digunakan untuk mengkonfirmasi pengendalian proses

berfungsi dan termasuk evaluasi perubahan dan validasi pengendalian, pengujian laporan
pengecualian dan evaluasi pengendalian integritas data.

Contoh teknik pengujian transaksi:

- Test data

- Integrated Test Facility (ITF)

- Source-code review

- Embedded audit modules (SCARFs [System Collection Audit Review Files])

- Parallel simulation