PENGAUDITAN SISTEM INFORMASI BERBASIS KOMPUTER

pada tanggal

PENDAHULUAN


Pengauditan internal (internal auditing) adalah sebuah aktivitas independen, menjamin objektivitas serta konsultasi yang didesain untuk menambah nilai serta meningkatkan efektivitas dan efisiensi organisasi, termasuk membantu dalam desain dan implementasi dari sebuah SIA. Pengauditan internal membantu sebuah organisasi mencapai tujuannya dengan mengadakan sebuah pendekatan yang sutematis dan disiplin untuk mengevaluasi serta meningkatkan efketivitas dari proses manajemen, pengendalian dan tata kelola risiko. ada beberapa jenis audit internal:

  1. Audit keuangan (financial audit) memeriksa keterandalan dan integritas dari transaksi-transaksi keuangan, catatan akuntansi, dan laporan keuangan.
  2. Sitem informasi (informaion system), atau audit pengendalian inernal (internal control audit) memeriksa pengendalian dari sebuah SIA untuk menilai kepauhannya dengan kebijakan dan prosedur pengendalian internal serta efektivitas dalam pengamanan aset.
  3. Audit operasional (operational audit) berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber daya den pencapaian tujuan serta sasaran yang ditetapkan.
  4. Audit kepatuhan (compliance audit) menentukan apakah entitas mematuhi hukum, peraturan, dan prosedur yang berlaku.
  5. Audit investigatif (investgative audit) menguji kejadian-kejadian dari penipuan (fraud) yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk.

SIFAT PENGAUDITAN


TINJAUAN MENYELURUH PROSES AUDIT

seluruh audit mengikuti urutan aktivitas yang serupa. Audit dapat dibagi ke dalam empat tahap: perencanaan, pengumpulan, pengevaluasian bukti, dan pengomunikasikan hasil audit. Figur 11-1 adalah sebuah tinjauan menyeluruh dari proses pengauditan dan mendaftarkan banyak prosedur yang dijalankan dalam tiap tahap.

Perencanaan Audit. Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan. Langkah pertama adalah untuk menetapkan lingkup dan tujuan audit. Sebagian besar pekerjaan audit berfokus pada area dengan faktor-faktor risiko tertinggi. terdapat tiga jenis risiko audit:

  1. Risiko bawaan (inherent risk) adalah kelemahan terhadap risiko material karena tidak tersedianya pengendalian innternal.
  2. Risiko pengendalian (control risk) adalah risiko saat suatu salah saji material akan melampaui struktur pengendalaian internal ke dalam laporan keuangan. Sebuah perusahaan dengan pengendalian internal yang lemah memiliki risiko pengendalaian yang lebih tinggi dibandingkan perusahaan dengan pengendalian yang kuat. 
  3. Risiko deteksi (detection risk) adalah risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi sebuah kesalahan atau salah saji yang material.
Pengumpulan Bukti Audit. sebagian besar upaya audit untuk mengumpulkan bukti, kerena audit tidak dapat dilakukan pada seluruh hal yang diperiksa, pengujian-pengujian tersebut biasanya dilakukan pada basis sampel. Berikut adalah cara-cara yang paling umum untuk mengumpulkan bukti audit:
  • Observasi atas aktivitas-aktivitas yang diaudit
  • Pemeriksaan atas dokumentasi untuk memehami bagaimana sebuah proses atau sistem pengendalian internal tertentu harusnya berfungsi
  • Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaiman mereka melakukan prosedur-prosedur tertenu
  • Kuesioner untuk mengmpulkan data
  • Pemeriksaan fisik atas kuanitas dan/atau kondisi dari aset berwujud
  • Konfirmasi (confirmation) atas ketepatan informasi
  • Melakukan ulang (reperformance) atas penghitungan untuk memverifikasi informasi kuantitatif
  • Pemeriksaan bukti pendukung (vouching) untuk validitas dari sebuah transaksi dengan memeriksa dokumen pendukung
  • Tinjauan analitis (analytical review) atas hubungan dan trend antar-informasi untuk mendeteksi hal0hal uang seharusnya diselidiki lebih jauh.
Evaluasi Atas Bukti Audit. Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah bukti tersebut mendukung kesimpulan yang menguntungakan atau tidak. Jika tidak meyakinkan, auditor menjalankan prosedur-prosedur tambahan untuk mencapai sebuah kesimpulan pasti. 

Menentukan materialitas (materiality), apa yang penting dan tidak penting dalam audit, adalah sebuah masalah pertimbangan profeisonal. Materialitas yang menekankan kewajaran atas laporan keuangan lebih penting bagi audit eksternal, dibandingkan bagi audit internal, ketika fokus audit internal adalah kepatuhan terhadap kebijakan manajemen.

Auditor mencari jaminan memadai (reasonable assurance) bahwa tidak ada kesalah material yang ada dalam informasi atau proses yang diaudit. oleh karena untuk mencari jaminan penuh memerlukan biaya yang sangat mahal, auditor memeiliki beberapa risisko bahwa kesimpulan auditnya salah.

Dalam seluruh tahapan audit, temuan dan kesimpulan didokumentasikan dalam kertas kerja audit. Dokumentasi utamanya penting dalam tahapan evaluasi, ketika kesimpulan harus dicapai dan didukung.

Komunikasi Hasil Audit. Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak-pihak lain yang berkepentingan. Kemudian, auditor biasanya melakukan studi tindakan lanjut untuk memastikan apakah rekomendasi-rekomendasi dilaksanakan.

PENDEKATAN AUDIT BERBASIS-RISIKO



Pendekatan evaluasi pengendalian internal berikut, disebut pendekatan audit berbasi-risiko, memberikan sebuah kerangka untuk menjalankan audit sistem informasi:
  1. Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan. Ini adalah sebuah dafter dari penyalahgunaan dan perusakan yang secra kebutulan atau disengaja pada sistem terbuka.
  2. Mengidentifikasikan prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki ancaman. Hal tersebut adalah seluruh pengendalian yang harus dipertimbangkan manajmen dan yang harus diperiksa, diuji oleh auditor, untuk meminimalkan ancaman.
  3. Mengevaluasi prosedur pengendalain. pengendalian dievaluasi dalam dua cara, yaitu: Tinjauan sistem (system review) dan Uji pengendalian (test of control)
  4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis, waktu, atau tingkaan prosedur pengauditan. Jika auditor menetukan bahwa risiko pengendalian terlalu tinggi karena sistem pengendalian tidak memadai, auditor mungkin harus mengumpulkan lebih banyak bukti, bukti yang lebih baik, atau bukti yang lebih tepat waktu.

AUDIT SISTEM INFORMASI

Tujuan dari sebuah audit sistem informasi adalah memriksa dan mengevaluasi pengendalian internal yang melindungi sistem. Ketika melakukan ebuah audit sitem informasi, para auditor seharusnya memastikan bahwa enam tujuan berikut telah dicapai.
  1. Ketentuan keamanan untuk melindungi peralatan komputer, program, komunikasi, dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi.
  2. Pengembangan dan akuisis program dilakukan sesuai dengan otorisasi umum dan spesifikasi manajemen.
  3. Modifikasi  program mendapatkan otorisasi dan persetujuan manajemen.
  4. Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer  lainnya tepat dan lengkap.
  5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar diidentifikasi dan ditandatangani berdasrkan kebijakan manajerial yang telah dientukan.
  6. File-file data komputer tepat, lengkap, dan rahasia.
Tujuan Keamanan Secara Menyeluruh

Tabel 11-1 menggunakan pendekatan berbasis-basis untuk menyajikan sebuah kerangka kerja pengauditan keamanan komputer secara menyeluruh. Hal ini menunjukkan bahwa ancaman terhadap keamanan sistem secara keseluruhan termasuk dari perusakan secara kebetulan atau disengaja atas aset sistem; akses, pengungkapan, atau modifikasi data dan program yang tidak diotorisasi; pencuri; serta gangguan atas aktivitas bisnis yang krusial.

Prosedur pengendalian untuk meminimalkan ancaman-ancaman tersebut termasuk pengembangan sebuah rencana keamanan/perlindungan informasi, pembatasan akses fisik dan logis, pengenkripsian data, perlindungan terhadap virus, penerapan firewell, pembentukan pengendalian pengiriman data, serta pencegahan dan pemulihan dari kegagalan sistem atau bencana

Prosedur tinjauan sistem meliputi memeriksa dengan seksama pada situs kompuer; mewawancarai personel; meninjau kebijakan dan prosedur; serta memriksa log akses, kebijakan asuransi, dan rencana pemulihan bencana.

Para auditor memeriksa pengendalian keamanan dengan mengamati prosedur, memverifikasi bahwa pengendalian dilaksanakan dan bekerja sesuai yang dikehendaki, meyelidiki kesalahan atau masalah untuk memastikan mereka ditangani dengan benar, dan memriksa segala pengujian yang dilakukan sebelumnya.






Referensi :
ACCOUNTING INFORMATION SYSTEM, MARSHALL B. ROMNEY & PAUL JOHN STEINBART  edisi 13

  

Komentar

Posting Komentar