TUGAS KELOMPOK SISTEM INFORMASI AKUNTANSI. BAB 11 - Pengauditan Sistem Informasi Berbasis Komputer

Transkripsi

1 TUGAS KELOMPOK SISTEM INFORMASI AKUNTANSI BAB 11 - Pengauditan Sistem Informasi Berbasis Komputer Disusun oleh : Ferry Gunawan ( ) Elisabeth ( ) Fatma Bin Syech Abubakar ( ) FAKULTAS EKONOMI DAN BISNIS UNIVERSITAS TRISAKTI 2016

2 PENDAHULUAN Pengauditan (auditing) adalah proses sistematik atas pemerolehan dan pengevaluasian bukti mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan kriteria yang ditetapkan. Pengauditan internal adalah sebuah aktivitas independen, menjamin objektivitas serta konsultasi yang didesain untuk menambah nilai serta meningkatkan efektivitas dan efisiensi organisasi, termasuk membantu dalam desain dan implementasi SIA. Berikut beberapa Jenis dari audit internal: 1. Audit keuangan Memeriksa keterandalan dan integrasi dari transaksi-transaksi keuangan, catatan akuntansi, dan laporan keuangan. 2. Sistem informasi atau audit pengendalian internal Memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektivitas dalam pengamanan aset. 3. Audit operasional Berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan. 4. Audit kepatuhan Menentukan apakah entitas mematuhi hukum, peraturan, kebijakan, dan prosedur yang berlaku. 5. Audit investigatif Menguji kejadian-kejadian dari penipuan yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk. SIFAT PENGAUDITAN Tinjauan Menyeluruh Proses Audit Audit dapat dibagi dalam empat tahap : perencanaan, pengumpulan bukti, pengevaluasian bukti, dan pengomunikasian hasil audit. Perencanaan Audit Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Langkah pertama adalah menetapkan lingkup dan tujuan audit. Tim audit dengan pengalaman dan keahlian

3 yang sesuai kemudian dibentuk. Tim menjadi lebih dalam mengenali pihak yang diaudit (auditee) melalui diskusi dengan personil tingkat supervisor dan operasional, melakukan tinjauan atas dokumentasi sistem, dan memeriksa temuan-temuan audit sebelumnya. Audit harus direncanakan sedemikian rupa agar sebagian besar kegiatan audit berfokus pada area-area yang memiliki faktor-faktor risiko tertinggi. Terdapat 3 jenis risiko audit: 1. Risiko bawaan (inherent risk) adalah kelemahan terhadap risiko material karena tidak tersedianya pengendalian internal. 2. Risiko pengendalian (control risk) adalah risiko saat suatu salah saji material akan melampaui struktur pengendalian internal ke dalam laporan keuangan. 3. Risiko deteksi (detection risk) adalah risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi sebuah kesalahan atau salah saji material. Pengumpulan Bukti Audit Berikut adalah cara-cara yang paling umum untuk mengumpulkan bukti audit: Observasi atas aktivitas-aktivitas yang diaudit. Pemeriksaan atas dokumentasi untuk memahami bagaimana sebuah proses atau sistem pengendalian internal tertentu harusnya berfungsi. Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka melakukan prosedur-prosedur tertentu. Kuisioner untuk mengumpulkan data Pemeriksaan fisik atas kuantitas dan/atau kondisi dari aset berwujud, seperti peralatan dan persediaan Konfirmasi (confirmation) atas ketepatan informasi, seperti saldo akun pelanggan, melalui konfirmasi dengan pihak ketiga yang independen Melakukan ulang (reperformance) atas perhitungan untuk memverifikasi informasi kunatitatif.

4 Pemeriksaan bukti pendukung (vouching) untuk validitas dari sebuah transaksi dengan memeriksa dokumen pendukung. Tinjauan analitis (anaytical review) atas hubungan dan trend antar-informasi untuk mendeteksi hal-hal yang seharusnya diselidiki lebih jauh. Evaluasi atas Bukti Audit Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah bukti tersebut mendukung kesimpulan atau tidak. Apabila kurang mendukung, auditor akan merencanakan dan melaksanakan prosedur tambahan sampai bukti yang cukup dapat dikumpulkan untuk membuat kesimpulan yang kuat. Komunikasi Hasil Audit Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak-pihak lain yang berkepentingan. Kemudian, para auditor melaksanakan penelitian lanjut untuk memastikan bahwa rekomendasi mereka telah diimplementasikan. Pendekatan Audit Berbasis-risiko Pendekatan evaluasi pengendalian internal berikut, disebut pendekatan audit berbasis-risiko, memberikan sebuah kerangka untuk menjalankan audit sistem informasi: 1. Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan. 2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki ancaman. 3. Mengevaluasi prosedur pengendalian. 4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis, waktu, atau tingkatan prosedur pengauditan.

5 AUDIT SISTEM INFORMASI Tujuan dari audit sistem informasi adalah untuk memeriksa dan mengevaluasi pengendalian internal yang melindungi sistem. Ketika melakukan audit sistem informasi, para auditor seharusnya memastikan bahwa enam tujuan berikut telah dicapai. 1. Ketentuan keamanan untuk melindungi peralatan komputer, program, komunikasi, dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi. 2. Pengembangan dan akuisisi program dilakukan sesuai dnegan otorisasi umum dan spesifikasi manajemen. 3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen. 4. Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan lengkap. 5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar didentifikasi dan ditagani berdasarkan kebijakan manajerial yang telah ditentukan. 6. File-file data komputer tepat, lengkap dan rahasia. Figur Komponen Komponen Sistem Informasi dan Tujuan Audit Terkait.

6 Tujuan 1: keamanan Sistem Informasi secara Keseluruhan Auditor memeriksa pengendalian keamanan dengan mengamati prosedur, memverifikasi bahwa pengendalian dilaksanakan dan bekerja sesuai yang dikehendaki, menyelidiki kesalahan atau masalah untuk memastikan mereka ditangan dengan benar, dan memeriksa segala pengujian yang dilakukan sebelumnya. Tujuan 2 : Pengembangan Program dan Akuisisi Peran auditor dalam pengembangan sistem sebatas pada pemeriksaan independen atas aktivitas-aktivitas pengembangan sistem, tidak diperbolehkan membantu pengembangan sistem. Dua hal yang dapat menjadi kesalahan dalam pengembangan program: (1) kelalaian pemrograman yang berkaitan dengan kurangnya pemahaman tentang spesifikasi sistem atau pemrograman yang teledor, dan (2) instruksi yang tidak diotorisasi dengan sengaja disisipkan dalam program.

7 Tujuan 3 : Modifikasi Program Ketika sebuah perubahan program disampaikan untuk memperoleh persetujuan, sebuah daftar atas seluruh perbaruan yang diperlukan harus dikumpulkan serta disetujui oleh manajemen dan pengguna program. Bagian penting dari pengujian pengendalian adalah memverifikasi bahwa perubahan progran telah diidentifikasi, didaftar, disetujui, diuji dan didokumentasikan. Terdapat tiga cara auditor untuk menguji perubahan program yang tidak diotorisasi: 1. Setelah menguji sebuah program baru, auditor menyimpan salinan dari kode sumbernya. Auditor menggunakan sebuah program perbandingan kode sumber (source code comparison program) untuk membandingkan versi terkini dari program dengan kode sumber. Jika tidak ada perubahan yang diotorisasi, dua versi tersebut haruslah sama. 2. Dalam teknik pemrosesan ulang (reprocessing), auditor memproses ulang data menggunakan kode sumber dan membandingkan output-nya dengan ouput perusahaan. 3. Dalam simulasi pararel (parallel simulation), auditor menuliskan sebuah program bukannya menggunakan kode sumber, membandingkan output, dan menyelidiki segala perbedaan. Tujuan 4 : Pemrosesan Komputer Selama pemrosesan komputer, sistem mungkin gagal mendeteksi input yang salah, tidak memperbaiki kesalahan input yang benar, memproses input yang salah, atau tidak mendistribusikan atau mengungkapkan output dengan tepat. Beberapa teknik khusus digunakan untuk menguji pengendalian pemrosesan, masing-masing memiliki kelebihan dan kekurangannya sendiri. Pengolahan data pengujian

8 data. Sumber daya berikut ini berguna ketika mempersiapkan pengujian Sebuah daftar atas transaksi-transaksi aktual. Transaksi-transaksi pengujian yang digunakan perusahaan untuk menguji program. Sebuah tes pembuatan data (test data generator), yang menyiapkan data pengujian berdasarkan spesifikasi program Pemrosesan transaksi pengujian memiliki dua kelemahan. Pertama, auditor harus menghabiskan waktu yang cukup banyak untuk memahami sistem dan menyiapkan transaksi-transaksi pengujian. Kedua, auditor harus memastikan bahwa data pengujian tidak memengaruhi file dan database perusahaan. Teknik-teknik audit bersamaan Para auditor menggunakan teknik audit bersamaan (concurrent audit techniquies) untuk secara terus menerus mengawasi sistem dan mengumpulkan bukti-bukti audit sementara data asli (Live data) diproses selama jam pengoperasian reguler. berikut. Para auditor biasanya menggunakan lima teknik audit bersama 1. Integrated test facility (ITF) menyisipkan catatan-catatan fiktif yang mempresentasikan divisi, departemen, pelanggan, atau pemasok fiktif dalam file induk perusahaan. 2. Teknik snapshot(snapshot technique), transaksi-transaksi yang terpilih ditandai dengan kode khusus. 3. Systemcontrol audit review file (SCARF) menggunakan modulaudit yang dilekatkan untuk terus menerus mengawasi aktivitas transaksi, mengumpulkan data dalam transaksi dengan signifikansi audit khusus, serta menyimpannya dalam sebuah file SCARF atau log audit (audit log). 4. Audit Hooks adalah rutinitas audit yang memberitahu para auditor atas transaksi-transakti yang dipertanyakan, biasanya saat transaksi-transaksi tersebut terjadi.

9 5. Continuous and integrated simulations (CIS) melekatkan sebuah modul audit dalam sebuah sistem manajemen database yang menguji seluruh transaksi yang memperbaruai database menggunakan kriteria serupa dengan SCARF. Analisis atas logika program Para auditor menganalisis pengembangan, pengoperasian, dan pendokumentasian program demikian juga pada cetakan dari kode sumber. Auditor juga menggunakan paket-paket perangkat lunak berikut: Program bagan alir otomatis mengartikan kode sumber dan menghasilkan sebuah bagan alir program. Program tabel keputusan otomatis mengartikan kode sumber dan menghasilkan tabel keputusan. Rutinitas pemindaian mencari sebuah program untuk seluruh kejadian atas komponen-komponen tertentu. Program pemetaan dapat menemukan kode program yang disisipkan oleh seorang pemogram jahat untuk menghapus seluruh file komputer. Penelusuran program membantu mendeteksi perintah program yang tidak diotorisasi, path logika yang salah, dan kode program yang tidak dilakukan. Tujuan 5 : Data Sumber Matriks pengendalian input digunakan untuk mendokumentasikan pemeriksaan pengendalian data sumber. Matriks dalam Figur 11-3 menunjukan prosedur-prosedur pengendalian yang diterapkan pada setiap field catatan input. Figur Matriks Pengendalian Input Nama Catatan : Nama Field : Komentar

10 Laporan Waktu Mingguan Pegawai Pengendalian input Total finansial Total hash Hitungan catatan Ya Saldo cross-footing Tidak Nomor pegawai Inspeksi visual Semua field Verifikasi digit cek Formulir yang diberi nomor sebelumnya Tidak Turnaround document Tidak Program edit Ya Pengecekan urutan Nama terakhir Pengecekan field Pengecekan tanda Pengecekan validitas Pengecekan batas Pengecekan ketermasukakalan Pengecekan kelengkapan Prosedur limpahan lainnya : Nomor departemen Fungsi pengendalian data harus independen (bebas) dari fungsi lainnya, melindungi sebuah log pengendalian data, menangani kesalahan, dan memastikan keseluruhan efisiensi dari operasi. Auditor menguji sistem dengan mengevaluasi sampel data sumber untuk otorisasi dengan tepat, merekonsiliasi pengendalian batch, serta mengevaluasi apakah kesalahan edit data telah diatasi dan dikirim ulang untuk pemrosesan Tujuan 6 : File Data Tujuan keenam memperhatikan tentang ketepatan, integritas, dan keamanan atas data yang disimpan dalam file yang dapat dibaca mesin. PERANGKAT LUNAK AUDIT Kode transaksi Akhir minggu (tanggal) Jam reguler Jam lembur

11 Computer-assisted audit techniques (CAATs) mengacu pada perangkat lunak audit, sering disebut sebagai generalized audit software (GAS), menggunakan spesifikasi yang disediakan auditor untuk menghasilkan program untuk menjalankan fungsi audit, sehingga akan mengotomatiskan atau menyederhanakan proses audit. Dua perangkat lunak yang paling populer adalah Audit Control Languange (ACL) dan Interactive Data Extraction and Analysis (IDEA). CAATs. CATTS sesuai untuk memeriksa file data yang besar untuk mengidentifikasi catatancatatan yang memerlukan pemeriksaan audit lebih lanjut. Untuk menggunakan CAATs, para auditor memutuskannya berdasarkan tujuan audit, mempelajari tentang file dan database yang diaudit, mendesain laporan audit, dan menentukan bagaimana menghasilkannya. CAATs akan sangat bernilai bagi perusahaan-perusahaan yang memiliki proses rumit, operasi terdistribusi, volume transaksi tinggi, atau memiliki banyak jenis aplikasi dan sistem Berikut adalah beberapa penggunaan yang lebih penting atas CAATs. Meminta file data untuk memuat catatan yang memenuhi kriteria tertentu. Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file. Merangkum, menyortir, dan menyaring data. Mengakses data dalam format yang berbeda dan mengubah data ke dalam sebuah format umum. Menguji catatan-catatan atas kualitas, kelengkapan, konsistensi, dan kebenaran. Membagi catatan berdasarkan tingkatan, memilih dan menganalisis sampel statistik. Pengujian atas risiko tertentu dan mengidentifikasi bagaimana pengendalian ata risiko tersebut. Melakukan penghitungan, analisis statistis, dan operasi matematis lainnya.

12 Melakukan pengujian analitis, seperti analisis rasio dan tren, mencari pola data yang tidak diduga atau tidak dijelaskan yang mungkin mengindikasi penipuan. Mengidentifikasi kebocoran finansial, ketidakpatuhan atas kebijakan, dan kesalahan pengolahan data. Merekonsiliasi perhitungan fisik dengan jumlah yang dikomputasi, menguji ketepatan kasir atas perluasan dan saldo, menguji itemitem salinan. Memformat serta mencetak laporan dan dokumen. Membuat kertas kerja elektronik. AUDIT OPERASIONAL SIA Teknik dan prosedur yang digunakan dalam audit operasional SIA sama dengan audit atas sistem informasi dan laporan keuangan. Perbedaan dasarnya adalah pada lingkup audit. Audit operasional meliputi seluruh aspek atas manajemen sistem. Tujuan dari audit operasional termasuk mengevaluasi efektivitas, efisiensi, dan pencapaian tujuan. Langkah pertama dalam audit operasional adalah perencanaan audit, pada suatu waktu saat lingkup dan tujuan audit ditetapkan, sebuah persiapan tinjauan sistem dilakukan, dan sebuah program audit tentatif disiapkan. Langkah selanjutnya, pengumpulan bukti, termasuk aktivitas-aktivitas sebagai berikut. Memeriksa kebijakan dan dokumentasi pengoperasian. Mengonfirmasi prosedur-prosedur dengan manajemen dan personel pengoperasian. Mengobservasi fungsi-fungsi dan aktivitas-aktivitas pengoperasian. Memeriksa rencana serta laporan finansial dan pengoperasian. Menguji ketepatan atas informasi pengoperasian. Menguji pengendalian. Pada tahap pengevaluasian bukti, auditor mengukur sistem terhadap salah satu sistem yang mengikuti prinsip-prinsip manajemen yang paling terbaik. Auditor mendokumentasikan

13 temuan-temuan dan kesimpulanya serta mengkomunikasikannya pada manajemen. Auditor operasional yang ideal memiliki pelatihan dan pengalaman audit juga pengalaman beberapa tahun dalam sebuah posisi manajerial.