Pengauditan Sistem Informasi Berbasis Komputer

I. PENDAHULUAN
Bab ini akan membahas tentang pengauditan sistem informasi akuntansi (SIA). Pengauditan adalah proses sistematik atas pemerolehan dan pengevaluasian bukti mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan kriteria yang ditetapkan. Hasil audit ini dikomunikasikan ke pihak-pihak yang berkepentingan. Pada bab ini ditulis dari perspektif seorang auditor internal. Pengauditan internal (internal auditing) adalah sebuah aktivitas independen, menjamin objektivitas serta konsultasi yang didesain untuk menambah nilai serta meningkatkan efektivitas dan efisiensi organisasi, termasuk membantu dalam desain dan implementasi dari sebuah SIA. Ada beberapa jenis berbeda dari audit internal:
  1. Sebuah audit keuangan (financial audit) memeriksa keterandalan dan integritas dari transaksi-transaksi keuangan, catatan akuntansi, dan laporan keuangan
  2. Sebuah sistem informasi (information system) atau audit pengendalian internal (internal control audit) memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektivitas dalam pengamanan aset. 
  3. Sebuah audit operasional (operational audit) berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan.
  4. Sebuah audit kepatuhan (compliance audit) menentukan apakah entitas mematuhi hukum, peraturan, kebijakan, dan prosedur yang berlaku.
  5. Sebuah audit investigatif (investigative audit) menguji kejadian-kejadian dari penipuan (fraud) yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk. 
Auditor eksternal bertanggung jawab pada para pemegang saham perusahaan dan biasanya berkaitan dengan pengumpulan bukti yang diperlukan untuk menyatakan sebuah opini pada laporan keuangan.

II. SIFAT PENGAUDITAN
1) Tinjauan menyeluruh proses audit
Seluruh audit mengikuti urutan aktivitas yang serupa. Audit dapat dibagi ke dalam empat tahap, yaitu: perencanaan, pengumpulan bukti, pengevaluasian bukti, dan pengomunikasian hasil audit. 
  • Perencanaan audit dengan menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Langkah pertama adalah menetapkan lingkup dan tujuan audit. Audit direncanakan sehingga jumlah terbesar pekerjaan audit berfokus pada area dengan faktor-faktor risiko tertinggi. Terdapat tiga jenis risiko audit: risiko bawaan (inherent risk) adalah kelemahan terhadap risiko material karena tidak tersedianya pengendalian internal, risiko pengendalian (control risk) adalah risiko saat suatu salah saji material akan melampaui struktur pengendalian internal ke dalam laporan keuangan, risiko deteksi (detection risk) adalah risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi sebuah kesalahan atau salah saji yang material.
  • Pengumpulan bukti audit dengan cara-cara berikut ini: 
    • Observasi atas aktivitas-aktivitas yang diaudit
    • Pemeriksaan atas dokumentasi untuk memahami bagaimana sebuah proses atau sistem pengendalian internal tertentu harusnya berfungsi
    • Diskusi dengan para pegawai mengenai pekerjaan mereka
    • Kuesioner untuk mengumpulkan data
    • Pemeriksaan fisik atas kuantitas dan/atau kondisi dari aset berujud
    • Konfirmasi atas ketepatan informasi
    • Melakukan ulang (reperformance) atas penghitungan untuk memverifikasi informasi kuantitatif
    • Pemeriksaan bukti pendukung (vouching) untuk validitas dari sebuah transaksi dengan memeriksa dokumen pendukung
    • Tinjauan analitis (analytical review) atas hubungan dan trend antar informasi untuk mendeteksi hal-hal yang seharusnya diselidiki lebih jauh. 
  • Evaluasi atas bukti audit. Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah bukti tersebut mendukung kesimpulan yang menguntungkan atau tidak. Jika tidak meyakinkan, auditor menjalankan prosedur-prosedur tambahan untuk mencapai sebuah kesimpulan pasti. Materialitas adalah jumlah kesalahan, penipuan, atau pengabaian yang akan memengaruhi keputusan dari seorang pengguna informasi keuangan yang hati-hati. Auditor mencari penjaminan memadai (reasonable assurance) bahwa tidak ada kesalahan material yang ada dalam informasi atau proses yang diaudit. Oleh karena untuk mencari penjaminan penuh memerlukan biaya yang sangat mahal, auditor memiliki beberapa risiko bahwa kesimpulan auditnya salah. Ketika risiko bawaan atau pengendalian tinggi, auditor harus mendapatkan penjaminan yang lebih besar untuk mengimbangi ketidakpastian dan risiko yang lebih besar. 
  • Komunikasi hasil audit kepada manajemen, komite audit, dewan direksi, dan pihak-pihak lain yang berkepentingan. 
2) Pendekatan Audit Berbasis-Risiko 
  1. Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan dengan adanya daftar dari penyalahgunaan dan perusakan yang secara kebetulan atau disengaja pada sistem terbuka. 
  2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki ancaman yang dilakukan oleh manajemen untuk dipertimbangkan dan harus diperiksa, diuji oleh auditor, untuk meminimalkan ancaman.
  3. Mengevaluasi prosedur pengendalian dengan cara : sebuah tinjauan sistem (sebuah langkah evaluasi pengendalian internal yang menentukan apakah prosedur pengendalian yang layak benar-benar dilaksanakan) dan uji pengendalian (uji untuk menentukan apakah pengendalian yang ada bekerja seperti yang dikehendaki).
  4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis, waktu, atau tingkatan prosedur pengaditan. Kelemahan pengendalian dalam satu area mungkin dapat diterima jika terdapat pengendalian kompensasi (compensating control) dalam area lainnya. 
Pendekatan berbasis risiko memberikan para auditor sebuah pemahaman yang lebih jelas atas penipuan dan kesalahan yang dapat terjadi serta risiko dan pengungkapan yang terkait. Pendekatan ini juga membantu mereka merencanakan bagaimana menguji dan mengevaluasi pengendalian internal serta bagaimana merencanakan prosedur-prosedur audit lanjutan. Hasilnya adalah sebuah dasar yang kuat untuk mengembangkan rekomendasi bagi maajemen untuk bagaimana sistem pengendalian SIA yang harus ditingkatkan.  

 III. AUDIT SISTEM INFORMASI
Tujuan dari sebuah audit sistem informasi adalah untuk memeriksa dan mengevaluasi pengendalian internal yang melindungi sistem. Ketika melakukan sebuah audit sitem informasi, para auditor seharusnya memastikan bahwa enam tujuan berikut telah tercapai.
  1. Keamanan secara menyeluruh. Prosedur pengendalian untuk meminimalkan ancaman-ancaman tersebut termasuk pengembangan sebuah rencana keamanan/perlindungan informasi, pembatasan akses fisik dan logis, pengenkripsian data, perlindungan terhadap virus, penerapan firewall, pembentukan pengendalian pengiriman data, serta pencegahan dan pemulihan dari kegagalan sistem atau bencana. Prosedur tinjauan sistem meliputi memeriksa dengan saksama pada situs komputer; mewawancari personel; meninjau kebijakan dan prosedur; serta memeriksa log akses, kebijakan asuransi, dan rencana pemulihan bencana. 
  2. Pengembangan program dan akuisisi. Peran auditor dalam pengembangan sistem sebaiknya sabatas pada pemeriksaan independen atas aktivitas-aktivitas pengembangan sistem. Untuk menjaga objektivitas, auditor tidak diperbolehkan membantu pengembangan sistem. Dua hal yang dapat menjadi kesalahan dalam pengembangan program adalah kelalaian pemrograman yang berkaitan dengan kurangnya pemahaman tentang spesifikasi sistem atau pemrograman yang teledor dan instruksi yang tidak diotorisasi dengan sengaja disisipkan ke dalam program. 
  3. Modifikasi program. Ketika sebuah perubahan program disampaikan untuk memperoleh persetujuan, sebuah daftar atas seluruh perbaruan yang diperlukan harus dikumpulkan serta disetujui oleh manajemen dan pengguna program. Seluruh perubahan program harus diuji dan didokumentasikan. Selama proses perubahan, program pengembangan harus dipisahkan dari versi produknya. Setelah program yang dimodifikasi disetujui, versi produksi menggantikan versi pengembangan. Para auditor harus menguji program secara mendadak untuk menjaganya dari seorang pegawai yang menyisipkan perubahan-perubahan program yang tidak diotorisasi setelah audit diselesaikan dan menghapuskan perubahan tersebut sebelum ke audit selanjutnya. Terdapat tiga cara auditor untuk menguji perubahan program yang tidak diotorisasi, yaitu: 
    1. Program perbandingan kode sumber (source code comparison program) adalah perangkat lunak yang membandingkan versi terkini atas sebuah program dengan kode sumbernya; perbedaan-perbedaan harus diotorisasi dengan layak dan digabungkan dengan benar. 
    2. Pemrosesan ulang (reprocessing) dengan menggunakan kode sumber untuk memproses ulang data dan membandingkan output dengan output perusahaan; perbedaan diselidiki untuk melihat apakah terdapat perubahan program tidak diotorisasi yang dibuat.
    3. Simulasi paralel (parallel simulation) dengan menggunakan perangkat lunak yang ditulis auditor untuk mengolah data dan membandingkan output dengan output perusahaan; perbedaan diselidiki untuk melihat apakah terdapat perubahan program tidak diotorisasi yang dibuat. 
  4. Pemrosesan komputer. Selama pemrosesan komputer, sistem mungkin gagal mendeteksi input yang salah, tidak memperbaiki kesalahan input dengan benar, memproses input yang salah, atau tidak mendistribusikan atau mengungkapkan output dengan tepat sehingga diperlukan teknik khusus untuk menguji pengendalian pemrosesan, yaitu: 
    1. Pengolahan data pengujian dengan memproses satu set hipotetis atas transaksi yang valid dan tidak valid. Pemrosesan transaksi pengujian memiliki dua kelemahan. Pertama, auditor harus menghabiskan waktu yang cukup banyak untuk memahami sistem dan menyiapkan transaksi-transaksi pengujian. Kedua, auditor harus memastikan bahwa data pengujian tidak memengaruhi file dan database perusahaan. Sumber daya yang berguna ketika mempersiapkan pengujian data, yaitu: 
      • Sebuah daftar atas transaksi-transaksi aktual
      • Transaksi-transaksi pengujian yang digunakan perusahaan untuk menguji program
      • Sebuah tes pembuatan data (test data generatoryang menyiapkan data pengujian berdasarkan spesifikasi program
    2. Teknik-teknik audit bersamaan. Oleh karena transaksi-transaksi dapat diproses dalam sistem online tanpa meninggalkan jejak audit, maka bukti yang dikumpulkan setelah data diproses tidaklah cukup untuk tujuan audit. Selain itu, karena kebanyakan sistem online memproses transaksi secara terus-menerus, maka akan sulit untuk menghentikan sistem guna melakukan pengujian-pengujian audit. Oleh karena itu, para auditor menggunakan teknik audit bersamaan (concurrent audit techniques) untuk secara terus-menerus mengawasi sistem dan mengumpulkan bukti-bukti audit sementara data asli (live data) diproses selama jam pengoperasian reguler. Teknik-teknik audit bersama menggunakan modul audit yang dilekatkan (embedded audit modules) yang merupakan segmen kode program yang menjalankan fungsi audit, melaporkan hasil pengujian, dan menyimpan bukti yang dikumpulkan untuk tinjauan auditor. Teknik-teknik audit bersamaan merupakan teknik yang memakan waktu dan sulit digunakan tetapi tidak akan demikian bila digabungkan saat program dikembangkan. Para auditor biasanya menggunakan lima teknik audit bersama sebagai berikut:
      1. Sebuah integrated test facility (ITF) dengan menyisipkan catatan-catatan fiktif yang merepresentasikan divisi, departemen, pelanggan, atau pemasok fiktif dalam file induk perusahaan. Memproses transaksi-transaksi pengujian untuk memperbaruinya tidak akan memengaruhi catatan aktual. Karena catatan fiktif dan aktual diproses bersamaan, para pegawai perusahaan tidak menyadari pengujian tersebut. 
      2. Dalam teknik snapshot (snapshot technique), menandai transaksi-transaksi dengan kode khusus, mencatatnya beserta catatan file induknya sebelum dan sesudah pemrosesan, dan menyimpan data untuk kemudian memverifikasi bahwa seluruh langkah pemrosesan dilakukan dengan benar. 
      3. System control audit review file (SCARF) menggunakan modul audit yang dilekatkan untuk terus-menerus mengawasi aktivitas transaksi, mengumpulkan data dalam transaksi dengan signifikansi audit khusus, serta menyimpannya dalam sebuah dile SCARF atau log audit (sebuah file yang memuat transaksi-transaksi yang memiliki signifikansi audit) untuk kemudian mengidentifikasi dan menyelidiki transaksi-transaksi yang dipertanyakan.
      4. Audit hooks adalah rutinitas audit yang memberitahu para auditor atas transaksi-transaksi yang dipertanyakan, biasanya saat transaksi-transaksi tersebut terjadi. 
      5. Continuous and intermittent simulation (CIS) melekatkan sebuah modul audit dalam sebuah sistem manajemen database (DBMS) yang menggunakan kriteria khusus untuk memeriksa seluruh transaksi yang memperbarui database. 
    3. Analisis atas logika program. Jika para auditor mencurigai bahwa sebuah program memuat kode yang tidak diotorisasi atau kesalahan serius, sebuah analisis mendetail atas logika program mungkin diperlukan. Para auditor menganalisis pengembangan, pengoperasian, dan pendokumentasian program demikian juga pada cetakan dari kode sumber. Auditor juga menggunakan paket-paket perangkat lunak berikut: 
      1. Program bagan alir otomatis (automated flowcharting program) mengartikan kode sumber dan menghasilkan sebuah bagan alir program. 
      2. Program tabel keputusan otomatis (automated decision table program) mengartikan kode sumber dan menghasilkan sebuah tabel keputusan. 
      3. Rutinitas pemindaian (scanning routines) mencari sebuah program untuk seluruh kejadian atas komponen-komponen tertentu. 
      4. Program pemetaan (mapping program) mengidentifikasi kode program yang tidak dilaksanakan. 
      5. Penelusuran program (program tracing) secara berurutan mencetak seluruh langkah-langkah program yang dilakukan ketika sebuah program berjalan, bercampur dengan output reguler, sehingga urutan kejadian yang dijalankan program dapat diamati. 
  5. Data sumber. Sebuah matriks yang menunjukkan prosedur-prosedur pengendalian yang diterapkan pada setiap field catatan input; digunakan untuk mendokumentasikan pemeriksaan atas pengendalian data sumber disebut matriks pengendalian input. Fungsi pengendalian data harus independen (bebas) dari fungsi lainnya, melindungi sebuah log pengendalian data, menangani kesalahan, dan memastikan keseluruhan efisiensi dari operasi. 
  6. File data. Memperhatikan tentang ketepatan, integritas, dan keamanan atas data yang disimpan dalam file yang dapat dibaca mesin. 
IV. PERANGKAT LUNAK AUDIT
Computer-assisted audit techniques (CAATs) mengacu pada perangkat lunak audit, sering disebut sebagai generalized audit software (GAS) yang menggunakan spesifikasi yang disediakan auditor untuk menghasilkan sebuah program untuk menjalankan fungsi audit, sehingga akan mengotomatiskan atau menyederhanakan proses audit. Dua dari perangkat lunak yang paling populer adalah Audit Control Language (ACL) dan Interactive Data Extraction and Analysis (IDEA). 
CAATs sangat sesuai untuk memeriksa file data yang besar dalam mengidentifikasi catatan yang memerlukan pengawasan audit lebih jauh. Untuk menggunakan CAATs, para auditor memutuskannya berdasarkan tujuan audit, mempelajari tentang file dan database yang diaudit, mendesain laporan audit, dan menentukan bagaimana menghasilkannya. Informasi ini dicatat dalam lembar spesifikasi dan dimasukkan ke sistem. Program CAATs menggunakan spesifikasi untuk menghasilkan sebuah program pengauditan. CAATs akan sangat bernilai bagi perusahaan-perusahaan yang memiliki proses rumit, operasi terdistribusi, volume transaksi tinggi, atau memiliki banyak jenis aplikasi dan sistem. Berikut adalah beberapa penggunaan yang lebih penting atas CAATs: 
  • Meminta file data untuk memuat catatan yang memenuhi kriteria tertentu.
  • Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file.
  • Merangkum, menyortir, dan menyaring data.
  • Mengakses data dalam format yang berbeda dan mengubah data ke dalam sebuah format umum.
  • Menguji catatan-catatan atas kualitas, kelengkapan, konsistensi, dan kebenaran. 
V. AUDIT OPERASIONAL SIA 
Teknik dan prosedur yang digunakan dalam audit opersional serupa dengan audit atas sistem informasi dan laporan keuangan. Perbedaan dasarnya adalah lingkup audit. Sebuah audit sistem informasi ditujukan pada pengendalian internal dan audit keuangan atas output sistem, sedangkan audit operasional meliputi seluruh aspek atas manajemen sistem. Tujuan dari audit operasional adalah mengevaluasi efektivitas, efisiensi, dan pencapaian tujuan. 
Langkah pertama dalam audit operasional adalah perencanaan audit, pada suatu waktu saat lingkup dan tujuan audit ditetapkan, sebuah persiapan tinjauan sistem dilakukan, dan sebuah program audit tentatif disiapkan. 
Langkah selanjutnya adalah pengumpulan bukti, termasuk aktivitas-aktivitas sebagai berikut: 
  • Memeriksa kebijakan dan dokumentasi pengoperasian
  • Mengonfirmasi prosedur-prosedur dengan manajemen dan personel pengoperasian
  • Mengobservasi fungsi-fungsi da aktivitas-aktivitas pengoperasian
  • Memeriksa rencana serta laporan finansial dan pengoperasian
  • Menguji ketepatan atas informasi pengoperasian
  • Menguji pengendalian
Pada tahap pengevaluasian bukti, auditor mengukur sistem terhadap salah satu sistem yang mengikuti prinsip-prinsip manajemen terbaik. Satu pertimbangan terpenting adalah bahwa hasil dari kebijakan dan praktik manajemen lebih signifikan dibandingkan kebijakan dan praktik itu sendiri. 
Auditor operasional yang ideal memiliki pelatihan dan pengalaman audit juga pengalaman beberapa tahun dalam sebuah posisi manajerial. 

Nama: Beta Jati Rahayu
NIM  : 29478


Komentar

Posting Komentar

Postingan populer dari blog ini

Siklus Manajemen Sumber Daya Manusia dan Penggajian

Gambar
I. PENDAHULUAN Siklus manajemen sumber daya manusia (MSDM) atau penggajian- human resources management (HRM) atau payroll cycle adalah serangkaian aktivitas bisnis dan operasi pengolahan data terkait yang terus menerus berhubungan dengan mengelola kemampuan pegawai secara efektif. Tugas-tugas yang lebih penting meliputi sebagai berikut: Merekrut dan mempekerjakan para pegawai baru Pelatihan Penugasan pekerjaan Kompensasi (penggajian) Evaluasi kinerja Mengeluarkan pegawai karena penghentian yang sukarela maupun tidak Tugas 1 dan 6 dilakukan hanya sekali pada setiap pegawai, sementara tugas 2 sampai 5 dijalankan berulang-ulang selama seorang pegawai bekerja untuk perusahaan tersebut. Pada kebanyakan perusahaan, keenam aktivitas ini dibagi ke dalam dua sistem terpisah. Tugas 4, kompensasi pegawai, merupakan fungsi utama sistem penggajian. Kelima tugas yang lain merupakan sistem MSDM. Pada banyak perusahaan, kedua sistem tersebut dikelola secara terpisah. Sistem MSDM biasanya
Baca selengkapnya

Siklus Produksi

Gambar
I. PENDAHULUAN Siklus produksi (production cycle) adalah serangkaian aktivitas bisnis dan operasi pemrosesan informasi terkait yang terus-menerus berhubungan dengan pembuatan produk. Figur 14-1 Diagram Konteks Siklus Produksi Figur ini menunjukkan bagaimana siklus produksi dihubungkan dengan subsistem lain dalam sistem informasi sebuah perusahaan. Sistem informasi siklus pendapatan menyediakan informasi (pesanan pelanggan dan perkiraan penjualan) yang digunakan untuk merencanakan tingkat produksi dan persediaan. Sebagai balasannya, sisem informasi siklus produksi mengirimkan informasi ke siklus pendapatan mengenai barang jadi yang telah diproduksi dan tersedia untuk dijual. Informasi mengenai kebutuhan bahan baku dikirim ke sistem informasi siklus pengeluaran dalam bentuk permintaan pembelian. Sebagai gantinya, sistem siklus pengeluaran menyediakan informasi mengenai perolehan bahan baku dan juga mengenai pengeluaran lain yang dimasukkan ke dalam overhead pabrik. Informasi menge
Baca selengkapnya

Sistem Buku Besar dan Pelaporan

Gambar
I. PENDAHULUAN Sistem buku besar dan pelaporan memainkan sebuah peran penting dalam sistem informasi akuntansi sebuah perusahaan. Fungsi utamanya adalah untuk mengumpulkan dan mengatur data dari sumber-sumber sebagai berikut: Setiap subsistem siklus akuntansi menyediakan informasi mengenai transaksi reguler Bendahara menyediakan informasi mengenai aktivitas pendanaan dan investasi, seperti penerbitan atau penyelesaian instrumen utang dan ekuitas dan pembelian serta penjualan sekuritas investasi Departemen anggaran menyediakan nomor anggaran Kontrolir menyediakan jurnal penyesuaian II. SISTEM BUKU BESAR DAN PELAPORAN Proses Database terpusat harus diatur menggunakan cara yang memungkinkan tercapainya berbagai kebutuhan informasi, baik pengguna internal maupun eksternal. Para manajer membutuhkan informasi yang detail dan tepat waktu mengenai hasil operasi pada area tanggung jawab tertentunya. Para investor dan kreditur mengharapkan laporan keuangan periodik dan pemb
Baca selengkapnya