PERTEMUAN 10 AUDIT SISTEM INFORMASI AKUNTANSI

Transkripsi

1 PERTEMUAN 10 AUDIT SISTEM INFORMASI AKUNTANSI A. TUJUAN PEMBELAJARAN Pada pertemuan ini akan dijelaskan mengenai ruanglingkup audit sistem informasi akuntansi. Anda harus mampu : 1. Menjelaskan konsep dasar audit, standar standar audit internal serta dapat mengidentifikasi jenis jenis dari kegiatan audit. 2. Memahami tinjauan menyeluruh proses audit sistem informasi 3. Mengetahui pengaruh perkembangan teknologi terhadap penerapan tehnik audit berbantuan komputer 4. Memahami audit operasional atas sistem informasi akuntansi B. URAIAN MATERI 1. PENGERTIAN AUDIT Pada dasarnya pemeriksaan atau yang lebih dikenal dengan istilah audit bertujuan untuk menilai apakah pelaksanaan sudah selaras dengan apa yang telah digariskan, maka dapat disimpulkan bahwa audit merupakan suatu proses membandingkan antara kenyataan dengan seharusnya. Pengertian Audit menurut Arens, et al (2006:11) adalah : Auditing is the accumulation and evaluation of evidence about information to determine and report on the degree of corespondence between the information and established criteria. Auditing should be done by a competent, independent person. Bahwa audit merupakan suatu proses yang sistematis dan secara objektif mendapatkan dan menilai bukti mengenai assertion economic action dan kesesuaian dengan kriteria yang ditetapkan dan mengkomunikasikan hasilnya pada pihak-pihak yang berkepentingan. 2. STANDAR-STANDAR AUDIT INTERNAL

2 Berdasarkan institute of internal auditor (IIA), tujuan dari audit internal adalah untuk mengevaluasi kecukupan dan efektivitas sistem pengendalian intenal perusahaan serta mendapatkan keluasan dari pelaksanaan tanggungjawab yang benar-benar dilakukan. Kelima standar lingkup audit IIA memberikan garis besar atas tanggung jawab audit internal: 1. Melakukan tinjauan atas keandalan dan integritas informasi operasional dan keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan dilaporkan. 2. Menetapkan apakah sistem telah didesain untuk sesuai dengan kebijakan operasional dan pelaporan, perencanaan, prosedur, hukum, dan peraturan yang berlaku. 3. Melakukan tinjauan mengenai bagaimana aset dijaga, dan memverifikasi keberadaan aset tersebut. 4. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan efisien mereka digunakan. 5. Melakukan tinjauan atas operasional dan program perusahaan, untuk menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi tujuan-tujuan mereka. 3. JENIS-JENIS KEGIATAN AUDIT INTERNAL 1. Audit keuangan memeriksa keandalan dan integritas catatan-catatan akuntansi (baik informasi keuangan dan operasional) dan menghubungkannya dengan standar pertama dari kelima standar lingkup audit internal. 2. Audit sistem informasi melakukan tinjauan atas pengendalian SIA untuk menilai kesesuaiannya dengan kebijakan dan prosedur pengendalian serta efektivitas dalam menjaga aset perusahaan. Lingkupnya secara kasar berhubungan dengan standar kedua dan ketiga dari IIA. 3. Audit operasional atau manajemen berkaitan dengan penggunaan secara ekonomis dan efisien sumber daya, serta pencapaian sasaran dan tujuan yang telah ditetapkan. Lingkupnya berhubungan dengan standar keempat dan kelima.

3 4. TINJAUAN MENYELURUH PROSES AUDIT Seluruh audit menggunakan urutan kegiatan yang hampir sama, sehingga dapat dibagi kedalam empat langkah: merencanakan, mengumpulkan bukti, mengevaluasi bukti, dan mengkomunikasikan hasil audit. 1. Merencanakan Audit Tujuan dari perencanaan audit adalah untuk menetapkan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Langkah pertama dalam perencanaan audit adalah menetapkan lingkup dan tujuan audit. 2. Mengumpulkan Bukti Audit Sebagian besar usaha audit dihabiskan untuk mengumpulkan bukti. Berikut ini adalah metode-metode yang paling umum digunakan untuk mengumpulkan bukti audit: a) Pengamatan atas berbagai kegiatan yang diaudit (contohnya, memperhatikan bagaimana cara pegawai memasuki lokasi komputer atau bagaimana personil pengendalian data menangani kegiatan permoresan data begitu data diterima). b) Melakukan tinjauan atas dokumentasi untuk memahami bagaimana suatu SIA atau Sistem Pengendalian Internal berfungsi c) Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka melaksanakan beberapa prosedur tertentu. d) Kuesioner yang dapat mengupulkan data mengenai sistem terkait. e) Pemeriksaan fisik jumlah dan/atau kondisi aset berwujud seperti perlengkapan, persediaan, atau kas. f) Melakukan konfirmasi atas ketetapan informsi tertentu, seperti saldo rekening pelanggan, melalui komunikasi dengan pihak ketiga yang independen. g) Melakukan ulang prosedur pilihan perhitunan tertentu untuk memverifikasi informasi kuantitatif dan beberapa catatan dan laporan (contohnya, auditor dapat menghitung kembali suatu total batch atau menghitung kembali beban depresiasi bangunan).

4 h) Pembuktian untuk mendapatkan validitas sebuah transaksi dengan cara memeriksa seluruh dokumen pendukungnya, seperti pesanan pembelian, laporan penerimaan, dan faktur penjualan dari pemasok yang transaksi utang usaha. i) Tinjauan analitis atas hubungan dan tren atas informasi untuk mendeteksi hal-hal yang harus diselidiki lebih lanjut. (contohnya, seorang auditor untuk jaringan toko baju menemukan bahwa disalah satu toko, rasio piutang usaha terhadap penjualan sangat tinggi. Sebuah penyidikan mengungkap bahwa manajer toko tersebut telah mangalihkan uang dari hasil penagihan, untuk dipakai secara pribadi). 3. Mengevaluasi Bukti Audit Auditor mengevaluasi bukti yang dikumpulkan dengan dasar tujuan audit tertentu, dan memutuskan apakah bukti tersebut mendukung kesimpulan atau tidak. Apabila kurang mendukung, auditor akan merencanakan dan melaksanakan prosedur tambahan sampai bukti yang cukup dapat dikumpulkan untuk membuat kesimpulan yang kuat. Materialitas dan kepastian yang wajar merupakan hal yang penting ketika ingin memutuskan seberapa jauh kegiatan audit dibutuhkan dan kapan saat untuk mengevaluasi bukti. Oleh karena kesalahan selalu ada pada sistem manapun, para auditor berfokus untuk mendeteksi dan melaporkan kesalahan-kesalahan yang memiliki dampak signifikan pada interpretasi pihak manajemen atas penemuan-penemuan audit. Dalam seluruh tahapan audit, penemuan dan kesimpulan dengan hatihati didokumentasikan dalam lembar kerja audit. Dokumentasi sangatlah penting pada tahap evaluasi untuk mencapai dan mendukung kesimpulan akhir. 4. Mengkomunikasikan Hasil Audit Auditor mempersiapkan laporan tertulis (dan kadang-kadang lisan) yang meringkas penemuan-penemuan dan berbagai rekomendasi audit, dengan referensi bukti pendukung dalam lembar kerja. Laporan ini disajikan kepada pihak manajemen, komite audit, dewan komisaris, dan pihak-pihak lain yang terkait. Setelah hasil audit dikomunikasikan para auditor sering kali

5 mnelaksanakan penelitian lanjut untuk memastikan bahwa rekomendasi mereka telah diimplementasikan 5. AUDIT SISTEM INFORMASI Audit Sistem Informasi adalah proses pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer (Ron Weber 1999:10). Tujuan audit Sistem Informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi: 1. Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran. 2. Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen. 3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen. 4. Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap. 5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan. 6. File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.

6 6. TEKNIK DAN PROSEDUR YANG DIPERLUKAN UNTUK MELAKSANAKAN RENCANA AUDIT 1. Keamanan Keseluruhan a) Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan. Hal ini mencakup kerusakan yang disengaja dan tidak disengaja atas aset sistem; akses tidak sah, pengungkapan atau modifikasi data dan program; pencurian; serta interupsi atas kegiatan bisnis yang penting. b) Prosedur pengendalian untuk meminimalkan kesalahan dan penipuan keamanan. Hal ini mencakup mengembangkan rencana keamanan/perlindungan informasi dari virus, mengimplementasikan firewall, mengadakan pengendalian atas pengiriman data, dan mencegah serta memulihkan diri dari kegagalan sistem atau bencana lainnya. c) Prosedur audit tinjauan sistem. Hal ini mencakup memeriksa lokasi komputer; melakukan wawancara dengan para personilnya; meninjau kebijakan dan prosedur; serta memeriksa daftar akses, kebijakan asuransi, dan rencana pemulihan dari bencana d) Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian keamanan dengan cara mengamati prosedur, memverifikasi bahwa terdapat pengendalian dan pengendalian tersebut berfungsi seperti dengan yang diharapkan, menginvestigasi berbagai kesalahan atau masalah untuk memastikan mereka ditangani dengan benar serta memeriksa berbagai uji yang sebelumnya telah dilaksanakan. Contohnya, salah satu cara untuk menguji pengendalian akses logika adalah dengan mencoba melanggar masuk ke sistem. Selama audit keamanan sebuah badan pemerintah amerika serikat, para auditor menggunakan terminal-terminal badan tersebut untuk mendapatkan akses secara tidak sah ke sistem komputer mereka, mematikan prosedur permeriksaan keamanannya, dan mengendalikan sistem tersebut dari terminal yang mereka pakai. Kegagalan keamanan dapat terjadi karena kurangnya pengendalian administratif dan software keamanan yang tidak memadai. e) Pengendalian pengimbang. Apabila pengendalian keamanan sangatlah tidak cukup, maka organisasi menghadapi risiko yang besar. Kebijakan personil

7 yang baik dan pemisahan tugas secara efektif atas pekerjaan yang tidak boleh disatukan, dalam beberapa hal dapat mengimbangi keamanan komputer yang kurang tersebut. Oleh karena hampir tidak mungkin pengendalianpengendalian ini dapat mengimbangi secara keseluruhan keamanan komputer yang kurang baik, para auditor harus sangat merekomendasikan agar kelemahan keamanan tersebut diperbaiki. 2. Pengembangan Dan Perolehan Program Dua hal yang dapat salah dalam pengembangan program : a) Kesalahan yang tidak disengaja karena adanya kesalah pahaman atas spesifikasi sistem atau kecerobohan pemrograman, dan b) Perintah tidak sah yang dengan sengaja dimasukkan ke dalam program. Masalah-masalah ini dapat dikendalikan dengan cara meminta otorisasi serta persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan dokumentasi yang memadai. Peran auditor dalam pengembangan sistem harus dibatasi sampai pada peninjauan independen atas kegiatan pengambangan sistem. Untuk mempertahankan objektivitas yang dibutuhkan dalam melaksanakan evaluasi independen atas fungsi, para auditor harus tidak dilibatkan dalam pengembangan sistem. Selama peninjauan sistem, para auditor harus mendapat pemahaman mengenai prosedur pengembangan dengan mendiskusikannya bersama pihak manajemen, pemakai sistem, dan para personil sistem informasi. Mereka juga harus meninjau kebijakan, prosedur, standar dan dokumentasi. 3. Modifikasi Program Kesalahan dan penipuan yang terjadi dalam pengembangan program dapat juga terjadi selama modifikasi program. Ketika sebuah perubahan program diserahkan untuk persetujuan, sebuah daftar hal-hal yang akan diperbarui harus disusun dan kemudian disetujui oleh pihak manajemen dan pemakai program. Semua perubahan program harus diuji secara keseluruhan dan didokumentasikan. Selama proses perubahan, versi opengembangan program harus tetap dipisahkan dari versi produksi program. Setelah program

8 yang diubah telah mendapatkan persetujuan akhir, perubahan tersebut diimplementasikan dengan cara mengganti versi produksi dengan versi pengembangan. 4. Pemrosesan Komputer Fokus tujuannya adalah pemrosesan transaksi, file, dan catatan komputer untuk memperbarui file serta database, dan yang digunakan untuk menghasilkan laporan. Dalam pemrosesan komputer, sistem bisa saja gagal mendeteksi input yang salah, memperbaiki kesalahan input secara tidak tepat, memproses input yang salah, atau menyebarkan atau mengungkap output secara tidak benar. 5. Data Sumber Dalam sistem on-line, entri dan fungsi pemrosesan data sumber merupakan satu kesatuan operasi. Oleh sebab itu, pengendalian dta sumber seperti otorisasi yang memadai dan edit input data, diintergrasikan dengan pengendalian pemrosesan. Para auditor harus memastikan bahwa fungsi penendalian data independen dari fungsi lainnya, memelihara daftar pengendalian data, menangani kesalahan dan memastikan efisiensi umum operasinya. Biasanya tidak layak secara ekonomi bagi perusahaan kecil dan instalasi PC untuk memiliki fungsi pengendalian data yang independen. Untuk mengimbanginya, pengendalian departemen pemakai harus lebih kuat dalam hal persiapan data, pengendalian jumlah total batch, program edit, pembatasan atas akses secara fisik dan logika ke sistem, dan prosedur penanganan kesalahan. Prosedur-prosedur ini harus menjadi fokus tinjauan sistem dan uji pengendalian auditor, ketika tidak didapati adanya fungsi penendalian data yang independen. 6. File Data Tujuan ini meliputi akurasi, integritas, dan keamanan data yang disimpan dalam file yang dapat dibaca oleh mesin. Risiko penyimpanan data mencakup modifikasi tidak sah, penghancuran, atau pengungkapan data. Apabila pengendalian file sangat lemah, terutama dalam kaitannya dengan akses fisik atau logika atau dengan prosedur salinan cadangan dan

9 pemulihan file, maka auditor harus sangat merekomendasikan perbaikan atas kelemahan-kelemahan tersebut. 7. SOFTWARE KOMPUTER Beberapa program komputer, yang disebut computer audit software (CAS) atau generalized audit software (GAS) telah dibuat secara khusus untuk auditor. Program tersebut tersedia di pemasok software dan kantor akuntan publik besar. Pada dasarnya, CAS adalah program komputer yang, berdasarkan spesifikasi dari auditor, yang menghasilkan program yang melaksanakan fungsi-fungsi audit. CAS idealnya sesuai untuk pemeriksaan file data yang besar, untuk mengidentifikasi catatan-catatan yang membutuhkan pemeriksaan audit lebih lanjut. Tujuan utama dari CAS adalah untuk membantu auditor dalam melakukan tinjauan serta menarik informasi dari berbagai file komputer. Ketika auditor menerima laporan dari CAS, sebagian besar kegiatan audit akan tetap harus dilaksanakan. Hal-hal yang termasuk dalam pengecualian harus diselidiki, jumlah total file harus diverifikasi dengan sumber informasi lainnya, seperti buku besar, dan sampel-sampel audit harus diselidiki serta dievaluasi. Walaupun kelebihan menggunakan CAS sangat banyak dan dapat dipercaya, CAS tidak dapat menggantikan penilaian auditor atau membebaskan auditor dari tahap-tahap audit lainnya. 8. AUDIT OPERASIONAL ATAS SUATU SIA Berbagai teknik dan prosedur yang digunakan dalam audit operasional hampir sama dengan yang diterapkan dalam audit sistem informasi dan keuangan. Perbedaan utamanya adalah bahwa lingkup audit sistem informasi dibatasi pada pengendalian internal, sementara lingkup audit keuangan dibatasi pada audit sistem. Sebaliknya, lingkup audit operasional lebih luas, melintasi seluruh aspek manajemen sistem informasi. Sebagai tambahan, tujuan audit operasional mencakup faktor-faktor seperti efektivitas, efisiensi, dan pencapaian tujuan.

10 Langkah pertama dalam audit operasional adalah perencanaan audit, yaitu masa pembuatan lingkup dan tujuan audit, tinjauan awal dalam sistem dilakukan, dan program audit sementara dipersiapkan. 9. ANCAMAN-ANCAMAN ATAS SISTEM INFORMASI AKUNTANSI 1. Salah satu ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam dan politik, seperti: a) Kebakaran atau panas yang berlebihan b) Banjir, gempa bumi c) Badai angin dan perang 2. Ancaman kedua bagi perusahaan adalah kesalahan pada software dan tidak berfungsinya peralatan, seperti: a) Kegagalan software b) Kesalahan atau terdapat kerusakan pada software, kegagalan sistem operasi, gangguan dan fluktuasi listrik. c) Serta kesalahan pengiriman data yang tidak terdeteksi. 3. Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja, seperti: a) Kecelakaan yang disebabkan kecerobohan manusia b) Kesalahan tidak disengaja karena teledor c) Kehilangan atau salah meletakkan d) Kesalahan logika e) Sistem yang tidak memenuhi kebutuhan perusahaan 4. Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja, seperti: a) Sabotase b) Penipuan komputer c) Penggelapan 5. Beberapa ancaman lainnya adalah a) Merekrut karyawan yang tidak kualified hiring of unqualified. b) Pelanggaran hukum oleh karyawan ( violation of employment low)

11 c) Perubahan yang tidak diotorisasi pada file induk pembayaran (master payroll file) d) Ketidakakuratan data waktu (Inccurate time data) e) Ketidakakuratan proses pembayaran f) Pencurian atau kecurangan pendistribusian pembayaran g) Kehilangan atau tidak terotorisasi data pembayaran h) Performansi jelek. C. LATIHAN SOAL/TUGAS 1. Jelaskanlah masing-masing pengendalian input (input control) untuk memastikan bahwa berbagai transaksi valid dan akurat dan lengkap yang terdiri dari terdiri dari : a).pengendalian dokmen sumber, b).pengendalian Pengolahan data. c).pengendalian validasi. d).pengendalian kesalahan input, e).pengendalian sistem input data umum 2. jelaskan maksud dari audit sistem informasi! 3. Jelaskan empat langkah kegiatan audit! D. DAFTAR PUSTAKA Referensi buku: 1. James A hall, Accounting Information System, penerbit salemba empat 2. Dr. Mardi, M.Si, Sistem Informasi Akuntansi, Penerbit Ghalia Indonesia, Bogor, TMbooks, Sistem Informasi Akuntansi Konsep dan Penerapan, penerbit Andi, Dr. Mardi, M.Si, Sistem Informasi Akuntansi, Penerbit Ghalia Indonesia, Bogor, TMbooks, Sistem Informasi Akuntansi Konsep dan Penerapan, penerbit Andi, 2015.