BAB IV
KESIMPULAN
1.1
Latar Belakang
Audit TI merupakan proses pengumpulan
dan evaluasi bukti-bukti untuk menentukan apakah sistem komputer yang digunakan
telah dapat melindungi aset milik organisasi, mampu menjaga integritas data,
dapat membantu pencapaian tujuan organisasi secara efektif, serta menggunakan
sumber daya yang dimiliki secara efisien (Weber, 2000). Audit TI sendiri
merupakan gabungan dari berbagai macam ilmu, antara lain: Traditional Audit,
Manajemen Sistem Informasi, Sistem Informasi Akuntansi, Ilmu Komputer, dan
Behavioral Science.
Pada dasarnya, Audit TI dapat dibedakan
menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan
Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin
integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan
integritas program atau aplikasi yang digunakan untuk melakukan pemrosesan
data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan
bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan
terdapat pengendalian yang memadai atas output yang dihasilkan.
Dalam audit terhadap aplikasi, biasanya,
pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum
memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian
aplikasi.
Dalam praktiknya, tahapan-tahapan dalam
audit TI tidak berbeda dengan audit pada umumnya. Tahapan perencanaan, sebagai
suatu pendahuluan, mutlak perlu dilakukan agar auditor mengenal benar objek
yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan
bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM
yang berpengalaman dan juga referensi praktik-praktik terbaik ( best
practices ). Tahapan perencanaan ini akan menghasilkan suatu program audit
yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif
dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat
diselesaikan dalam waktu sesuai yang disepakati.
Dalam pelaksanaannya, auditor TI
mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei,
interview, observasi dan review dokumentasi (termasuk
review source-code bila diperlukan).
Satu hal yang unik, bukti-bukti audit
yang diambil oleh auditor biasanya mencakup pula bukti elektronis (data dalam
bentuk file softcopy). Biasanya, auditor TI menerapkan teknik audit berbantuan
komputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik
ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan,
pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
Sesuai dengan standar auditing ISACA
(Information Systems Audit and Control Association), selain melakukan pekerjaan
lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan,
sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus
menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan
batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan,
kesimpulan, rekomendasi sebagaimana layaknya laporan audit pada umumnya.
1.2 Rumusan
Masalah
BI Akui Banyak Bank
Dibobol Karena Pengawasan Internal Memble
Herdaru
Purnomo - detikfinance
Rabu,
22/06/2011 11:16 WIB
Jakarta - Bank
Indonesia (BI) mengakui banyaknya kasus fraud atau pembobolan bank akhir-akhir
ini disebabkan karena lemahnya pengawasan internal. Bank sentral meminta bank
untuk introspeksi serta membenahi pengendalian internal dengan mengoptimalkan
manajemen risiko.
"Kasus-kasus yang terjadi merupakan kesempatan perbankan Indonesia untuk introspeksi untuk menyempurnakan pengawasan ke arah yang lebih berbasis risiko. Juga fokus pada aspek kepatuhan dan fungsional terutama risiko operasional untuk memitigasi risiko termasuk internal auditor," ujar Deputi Gubernur Bank Indonesia Halim Alamsyah disela diskusi mengenai banking efficiency award 2011 di Hotel Nikko, Jakarta, Rabu (22/6/2011).
Dicontohkan Halim, beberapa kasus besar industri perbankan global misalnya saja di Singapura beberapa waktu lalu juga dikarenakan lemahnya pengawasan internal dan level top manajemen. Kasus di Indonesia, sambung Halim tidak jauh dari hal tersebut dimana terdapat beberapa kelemahan.
"Antara lain level top manajemen dalam melakukan review secara berkala terhadap kebijakan sistem prosedur SOP dan pengendalian internal, kemudian pengawasan internal yang kurang optimal serta adanya kelemahan implementasi kebijakan sistem dan prosedur serta SDM yang kurang menjalankan prinsip Know Your Employee," paparnya.
"Ditambah ada beberapa pejabat yang kelewat batas dengan dapat mudahnya memodifikasi data nasabah yang tidak diketahui pimpinan bank sehingga terjadi penarikan tanpa diketahui," imbuh Deputi Bidang Pengawasan BI ini.
Maka dari itu, Halim menyampaikan BI akan menyempurnakan sejumlah aturan untuk memperkuat good corporate governance dalam melindungi kepentingan nasabah dan industri perbankan. Aturan yang digodok antara lain menyempurnakan kontrol internal yang efektif, ketersediaan standard operational procedure yang memadai dan mendorong pengawasan aktif dari direksi dan komisaris.
Selain itu, bank sentral juga akan menyempurnakan pengawasan dengan penguatan fungsi Direksi Kepatuhan yang lebih optimal dan satuan kerja audit internal dan manajemen risiko yang dapat beroperasi secara independen.
"Semuanya itu antara lain lapisan pertahanan pertama pada bank kalau semuanya dilakukan dapat mengurangi risiko operasional," ujarnya.
Disamping pengguatan GCG di internal bank, menurut Halim, bank sentral juga akan mendorong pengawasan masyarakat dan kantor akuntan publik yang mengaudit bank. "Ini merupakan lapisan kedua sehingga ada jaminan yang baik terhadap perlindungan dana nasabah dan bank itu sendiri sebagai industri," ujarnya.
"Kasus-kasus yang terjadi merupakan kesempatan perbankan Indonesia untuk introspeksi untuk menyempurnakan pengawasan ke arah yang lebih berbasis risiko. Juga fokus pada aspek kepatuhan dan fungsional terutama risiko operasional untuk memitigasi risiko termasuk internal auditor," ujar Deputi Gubernur Bank Indonesia Halim Alamsyah disela diskusi mengenai banking efficiency award 2011 di Hotel Nikko, Jakarta, Rabu (22/6/2011).
Dicontohkan Halim, beberapa kasus besar industri perbankan global misalnya saja di Singapura beberapa waktu lalu juga dikarenakan lemahnya pengawasan internal dan level top manajemen. Kasus di Indonesia, sambung Halim tidak jauh dari hal tersebut dimana terdapat beberapa kelemahan.
"Antara lain level top manajemen dalam melakukan review secara berkala terhadap kebijakan sistem prosedur SOP dan pengendalian internal, kemudian pengawasan internal yang kurang optimal serta adanya kelemahan implementasi kebijakan sistem dan prosedur serta SDM yang kurang menjalankan prinsip Know Your Employee," paparnya.
"Ditambah ada beberapa pejabat yang kelewat batas dengan dapat mudahnya memodifikasi data nasabah yang tidak diketahui pimpinan bank sehingga terjadi penarikan tanpa diketahui," imbuh Deputi Bidang Pengawasan BI ini.
Maka dari itu, Halim menyampaikan BI akan menyempurnakan sejumlah aturan untuk memperkuat good corporate governance dalam melindungi kepentingan nasabah dan industri perbankan. Aturan yang digodok antara lain menyempurnakan kontrol internal yang efektif, ketersediaan standard operational procedure yang memadai dan mendorong pengawasan aktif dari direksi dan komisaris.
Selain itu, bank sentral juga akan menyempurnakan pengawasan dengan penguatan fungsi Direksi Kepatuhan yang lebih optimal dan satuan kerja audit internal dan manajemen risiko yang dapat beroperasi secara independen.
"Semuanya itu antara lain lapisan pertahanan pertama pada bank kalau semuanya dilakukan dapat mengurangi risiko operasional," ujarnya.
Disamping pengguatan GCG di internal bank, menurut Halim, bank sentral juga akan mendorong pengawasan masyarakat dan kantor akuntan publik yang mengaudit bank. "Ini merupakan lapisan kedua sehingga ada jaminan yang baik terhadap perlindungan dana nasabah dan bank itu sendiri sebagai industri," ujarnya.
2.1 Teori dan
Penelitian
AUDIT SISTEM INFORMASI
Audit merupakan sebuah
kegiatan yang melakukan pemerikasaan untuk menilai dan mengevaluasi sebuah
aktivitas atau objek seperti implementasi pengendalian internal pada sistem
informasi akuntansi yang pekerjaannya ditentukan oleh manajemen atau proses
fungsi akuntansi yang membutuhkan improvement. Proses auditing telah menjadi
sangat rapi di Amerika Serikat, khususnya pada bidang profesional accounting
association. Akan tetapi, baik profesi audit internal maupun eksternal harus
secara terus menerus bekerja keras untuk meningkatkan dan memperluas teknik,
karena profesi tersebut akan menjadi tidak mampu untuk mengatasi perkembangan
dalam teknologi informasi dan adanya tuntutan yang semakin meningkat oleh para
pemakai informasi akuntansi.
Meskipun berbagai macam tipe
audit dilaksanakan, sebagian besar audit menekankan pada sistem informasi
akuntansi dalam suatu organisasi dan pencatatan keuangan dan pelaksanaan
operasi organisasi yang efektif dan efisien. Secara garis besar perlunya pelaksanaan audit dalam
sebuah perusahaan yang telah mempunyai keahlian dalam bidang teknologi
informasi yaitu antara lain:
A. Kerugian akibat kehilangan data.
Data yang diolah menjadi
sebuah informasi, merupakan aset penting dalam organisasi bisnis saat ini.
Banyak aktivitas operasi mengandalkan beberapa informasi yang penting.
Informasi sebuah organisasi bisnis akan menjadi sebuah potret atau gambaran
dari kondisi organisasi tersebut di masa lalu, kini dan masa mendatang. Jika
informasi ini hilang akan berakibat cukup fatal bagi organisasi dalam
menjalankan aktivitasnya.
Sebagai contoh adalah
jika data nasabah sebuah bank hilang akibat rusak, maka informasi yang terkait
akan hilang, misalkan siapa saja nasabah yang mempunyai tagihan pembayaran
kredit yang telah jatuh tempo. Atau juga misalkan kapan bank harus
mempersiapkan pembayaran simpanan deposito nasabah yang akan jatuh tempo
beserta jumlahnya. Sehingga organisasi bisnis seperti bank akan benar-benar
memperhatikan bagaimana menjaga keamanan datanya. Kehilangan data juga dapat
terjadi karena tiadanya pengendalian yang memadai, seperti tidak adanya
prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem
operasi pemrosesan data, sabotase, atau gangguan karena alam seperti gempa
bumi, kebakaran atau banjir.
B. Kerugian akibat kesalahan pemrosesan komputer.
Pemrosesan komputer
menjadi pusat perhatian utama dalam sebuah sistem informasi berbasis komputer.
Banyak organisasi telah menggunakan komputer sebagai sarana untuk meningkatkan
kualitas pekerjaan mereka. Mulai dari pekerjaan yang sederhana, seperti
perhitungan bunga berbunga sampai penggunaan komputer sebagai bantuan dalam
navigasi pesawat terbang atau peluru kendali. Dan banyak pula di antara
organisasi tersebut sudah saling terhubung dan terintegrasi. Akan sangat
mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer.
Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada
ketergantungan kehidupan manusia.
C. Pengambilan keputusan yang salah akibat informasi
yang salah.
Kualitas sebuah keputusan
sangat tergantung kepada kualitas informasi yang disajikan untuk pengambilan
keputusan tersebut. Tingkat akurasi dan pentingnya sebuah data atau informasi
tergantung kepada jenis keputusan yang akan diambil. Jika top manajer akan mengambil
keputusan yang bersifat strategik, mungkin akan dapat ditoleransi berkaitan
dengan sifat keputusan yang berjangka panjang. Tetapi kadangkala informasi yang
menyesatkan akan berdampak kepada pengambilan keputusan yang menyesatkan pula.
D. Kerugian karena penyalahgunaan komputer (Computer
Abused)
Tema utama yang mendorong
perkembangan dalam audit sistem informasi dalam sebuah organisasi bisnis adalah
karena sering terjadinya kejahatan penyalahgunaan komputer. Beberapa jenis
tindak kejahatan dan penyalah-gunaan komputer antara lain adalah virus,
hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer tanpa
ijin atau menggunakan sebuah terminal komputer dan dapat berakibat kerusakan
fisik atau mengambil data atau program komputer tanpa ijin) dan atau
penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai
kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak semestinya).
-
Hacking
- seseorang yang dengan tanpa ijin mengakses sistem komputer sehingga dapatmelihat,
memodifikasi, atau menghapus program komputer atau data atau mengacaukan
sistem.
-
Virus - virus adalah sebuah program komputer yang
menempelkan diri dan menjalankan sendiri sebuah program komputer atau sistem
komputer di sebuah disket, data atau program yang bertujuan mengganggu atau
merusak jalannya sebuah program atau data komputer yang ada di dalamnya. Virus
dirancang dengan dua tujuan, yaitu pertama mereplikasi dirinya sendiri secara
aktif dan kedua mengganggu atau merusak sistem operasi, program atau data.
Dampak dari kejahatan dan penyalahgunaan komputer
tersebut antara lain:
·
Hardware,
software, data, fasilitas, dokumentasi dan pendukung lainnya rusak atau hilang
dicuri atau dimodifikasi dan disalahgunakan.
·
Kerahasiaan data atau informasi penting dari orang
atau organisasi rusak atau hilang dicuri atau dimodifikasi.
·
Aktivitas
operasional rutin akan terganggu
·
Kejahatan
dan penyalahgunaan komputer dari waktu ke waktu semakin meningkat, dan hampir
80% pelaku kejahatan komputer adalah orang dalam.
E. Nilai hardware, software dan personil sistem
informasi.
Dalam sebuah sistem
informasi, hardware, software, data dan personil adalah merupakan sumberdaya
organisasi. Beberapa organisasi bisnis mengeluarkan dana yang cukup besar untuk
investasi dalam penyusunan sebuah sistem informasi, termasuk dalam pengembangan
sumberdaya manusianya. Sehingga diperlukan sebuah pengendalian untuk menjaga
investasi di bidang ini.
F. Pemeliharaan kerahasiaan informasi
Informasi di dalam sebuah
organisasi bisnis sangat beragam, mulai data karyawan, pelanggan, transaksi dan
lainya adalah amat riskan bila tidak dijaga dengan benar. Seseorang dapat saja
memanfaatkan informasi untuk disalahgunakan. Sebagai contoh bila data pelanggan
yang rahasia, dapat digunakan oleh pesaing untuk memperoleh manfaat dalam
persaingan.
Pada saat komputer
pertama kali digunakan, banyak auditor mempunyai pemikiran bahwa proses audit
akan harus banyak mengalami perubahan untuk menyesuaikan dengan penggunaan
teknologi komputer. Ada dua utama yang harus diperhatikan dalam audit atas
pemrosesan data elektronik, yaitu pengumpulan bukti (evidence collection) dan
evaluasi bukti (evidence evaluation)
TUJUAN dan LINGKUP AUDIT SISTEM INFORMASI
Tujuan Audit Sistem Informasi dapat dikelompokkan ke
dalam dua aspek utama, yaitu:
·
Conformance
(Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality
(Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan
Compliance (Kepatuhan).
·
Performance (Kinerja) - Pada kelompok tujuan ini audit
sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja,
yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability
(Kehandalan).
PERAN AUDITOR dan AKUNTAN
Sebagian besar jurusan
akuntansi mengisi posisi internal maupun eksternal auditor dan akan sangat
dilibatkan dalam program dan proses audit. Para akuntan pemerintah atau
industri akan membantu auditor untuk mengevaluasi informasi yang dihasilkan dan
mengendalikan kelemahan pada system. Mereka yang dilibatkan dalam sistem
analisis dan desain diharapkan dapat mengembangkan sebuah sistem yang menyediakan
informasi yang handal.
Pemakaian auditor terus
meningkat sebagai penasehat selama merancang pengembangan sistem. Auditor
mungkin membantu dalam pemilihan ukuran keamanan dan kendali, menaksir cost,
dan pengendalian keuntungan dan penentuan prosedur audit yang paling efektif.
DEFINISI AUDIT SISTEM INFORMASI
Merupakan suatu proses
pengumpulan dan pengevaluasian bukti-bukti yang dilakukan oleh pihak yang
independen dan kompeten untuk mengetahui apakah suatu sistem informasi dan
sumber daya terkait, secara memadai telah dapat digunakan untuk:
• melindungi aset,
• menjaga integritas dan ketersediaan sistem dan data,
• menyediakan informasi yang relevan dan handal,
• mencapai tujuan organisasi dengan efektif,
• menggunakan sumber daya dengan efisien,
TIPE AUDIT
Audit yang dilaksanakan
sesuai tipe perusahaan yaitu operasional, compliance, pengembangan system,
internal control, financial dan kecurangan audit. Empat jenis auditor yang
dilibatkan dalam menyelenggarakan audit yang di list adalah:
1. Internal auditor adalah karyawan perusahaan, yang pada
umumnya melaksanakan compliance, operasional, pengembangan sistem, pengawasan
intern dan kecurangan audit.
2. Ekstenal auditor adalah akuntan publik independen yang
ditugaskan oleh perusahaan, secara khusus melaksanakan audit keuangan. Dalam
berbagai macam audit keuangan, eksternal auditor dibantu oleh internal auditor.
Akan tetapi auditor eksternal yang bertanggung jawab untuk
menegaskan kewajaran laporan keuangan.Goverment auditor, melaksanakan pemenuhan
audit atau menguji laporan perusahaan atas pengawasan yang menyangkut para pegawai
pemerintahan. sebagai contoh, pemeriksa bank pemerintahan melaksanakan audit
bank, auditor yang dtugaskan oleh auditor negara yang umumnya melaksanakan
audit daerah dan para pegawai pemerintah
3. Fraud auditor, mengkhususkan dalam menyelidiki
kecurangan dan bekerja secara tertutup dengan internal auditor dan pengacara.
fraud examminer misalnya: kesatuan FBI penyelidikan kecurangan, perusahan besar
akuntan publis,IRS,perusahaan asuransi.
Jenis-jenis audit:
1. Operational
audit, terkonsen pada efisiensi dan efectifitas dengan semua sumberdaya yang
digunakan untuk melaksanakan tugas, cakupanya meliputi kesesuaian praktik dan
prosedur dengan peraturan yang ditetapkan
2. Compliance
audit terkonsentrasi pada cakupan undang-undang, peraturan pemerintah,
pengendalian dan kewajiban badan eksternal lain yang telah diikut.
3. Project
manajement and change control audit,(dulu dikenal sebagai suatu pengembangan
sistem audit) terkonsentrasi oleh efesiensi dan efektifitas pada berbagai tahap
pengembangan sistem siklus kehidupan yang sedang diselenggarakan.
4. Internal
control audit terkonsentrasi pada evaluasi struktur pengendalian internal
5. Financial
audit terkonsentrasi pada kewajaran laporan keuangan yang menunjukan posisi
keuangan, aliran kas dan hasil kinerja perusahaan.
6. Fraud
audit adalah nonrecurring audit yang dilaksanakan untuk mengumpulkan bukti
untuk menentukan apakah sedang terjadi, telah terjadi atau akan terjadi
kecurangan. Dan penyelesaian hal sesuai dengan pemberian tanggungjawab.
BASIC AUDITING CONSIDERATIONS
-
Etika
dan standar audit
Kebutuhan akan etika.
Setiap profesi mempunyai standar professional dalam bertingkah laku dan
prakteknya. Statement ini ditulis dalam bentuk yang dapat dimengerti dan dapat
dilaksanakan berdasarkan aturan yang ada. Kode etik auditor menunjukkan sikap
dan prinsip yang harus ada pada auditor sehingga dapat memberikan kontribusi
pada audit yang efektif, melindungi kepentingan pemilik perusahaan yang
diaudit, dan menjaga hubungan yang baik dengan klien.
Dalam lingkup auditing, kode etik disebut codes of professional
conduct. Internal auditor mengikuti standar-standar praktik professional
internal auditing. Sedangkan auditor eksternal mengikuti pernyataan standar
auditing. kedua standar ini mempunyai banyak persamaan.
Consultant independent yang berkecimpung dibidang manajemen dan system informasi juga mempunyai kode etik. Kode etik ini dikembangkan oleh AICPA yang serupa dengan standar auditor.
Consultant independent yang berkecimpung dibidang manajemen dan system informasi juga mempunyai kode etik. Kode etik ini dikembangkan oleh AICPA yang serupa dengan standar auditor.
-
Isi
dari standar
Standar audit menentukan kualitas dan tingkah laku
yang professional. Standar ini dibagi menjadi dua kelompok. Kelompok yang
pertama membicarakan mengenai standar umum audit yaitu berhubungan dengan
profesionalitas, dan independensi. Sedangkan standar yang kedua membicarakan
mengenai lingkup audit seperti halnya :
1.eveluasi struktur pengendalian internal untuk menilai risiko pengendalian.
2. review terhadap semua dokumen dan catatan yang bersangkutan.
-
Efek
dari otomatisasi standar
Ketika
perusahaan menggunakan system informasi akuntansi berbasis computer, pasti akan
berakibat pada prosedur audit yang ditetapkan. Di lain pihak, dengan penggunaan
system teknologi tidak memberikan pengaruh yang signifikan. Dengan kata lain,
otomatisasi sangat tidak berpengaruh pada standar auditing professional yang
berterima umum. Auditor dituntut untuk dapat menunjukkan profesionalismenya,
termasuk pelatihan dan kecakapan yang memadai. Auditor diminta untuk mengikuti
proses audit yang sama. Proses ini terdiri dari evaluasi terhadap internal
control yang ada, termasuk saat menggunakan computer-oriented.
Impact of computerization on audit procedures
Seperti yang telah
diterangkan, audit yang melibatkan SIA akan dipengaruhi oleh metode processing
yang diterapkan. Luas/cakupan
dari computer processing yang digunakan dalam aplikasi akuntansi, seperti
halnya tingkat kompleksitas processing, mungkin juga berpengaruh terhadap sifat, timing, dan luas dari
prosedur audit. Sebagai contoh,
computer based system tidak
menyediakan audit trail (jejak audit) yang nampak. Audit dalam sistem ini
memerlukan hasil printout dari jurnal dan buku besar dan file record yang lain.
Dengan penggunaan real-time processing system akan menambah tingkat kesulitan,
dikarenakan sistem ini beroperasi tanpa membutuhkan dokumen sumber. Selain itu,
sistem ini juga melakukan record secara update. Microcomputer hardware dapat
dicuri dengan mudah dan dapat pila diakses oleh pihak-pihak yang tidak
berwewenang. Sedangkan paket microcomputer software sering diproses tanpa
pengecekan yang cukup. Network komputer memancarkan data ke berbagai wilayah
terutama ke wilayah yang peka terhadap akses tanpa otorisasi dan gangguan. Jika
keadaan ini mempengaruhi struktur internal control mak juga akan mempengaruhi
proses audit.
Dikarenakan tingginya
tingkat kompleksitas dari computer based processing, maka dibutuhkan tipe
auditor khusus yaitu auditor sistem informasi komputer atau the computer
information system auditor (CISA). CISA menguasai skill khusus, misalnya
pengetahuan mengenai hardware dan software komputer, database technology, data
communications technology, and computer oriented control and audit technique.
Idealnya, auditor seharusnya mengusai berbagai skill yang dimiliki CISA.
Bagaimanapun, keberadaan CISA yang berpengetahuan yang lebih mengenai teknologi
informasi akan selalu dibutuhkan untuk membantu proses audit dalam sistem
komputer yang kompleks.
Transaction cycle approach to auditing
Beberapa survei mengenai
proses transaksi telah berorientasi pada cycle approach (pendekatan siklus).
Pendekatan ini, sangat berguna bagi proses audit karena auditor dapat
memperoleh pemahaman yang mendalam tentang struktur internal control.
Pendekatan ini juga dapat menyederhanakan audit review. Contohnya, penerapan
control yang identik antara siklus revenue dengan siklus expenditure yang
dikarenakan kedua siklus ini berhubungan, maka model proses yang diberikan juga
sama.
AUDITING PROCESS
Terdapat lima tahap dalam audit keuangan, yaitu:
1. Perencanaa audit pendahuluan
2. Review pendahuluan dan assesment terhadap struktur pengendalian internal
3. Pengujian pengendalian dalam audit
4. Pengujian substantif
5. Pelaporan audit
1. Perencanaa audit pendahuluan
2. Review pendahuluan dan assesment terhadap struktur pengendalian internal
3. Pengujian pengendalian dalam audit
4. Pengujian substantif
5. Pelaporan audit
1. Perencanaa audit pendahuluan
Tahap pertama ini untuk
menentukan kebutuhan audit serta menetapkan cakupan dan tujuan audit. Langkah
selanjutnya mencari informasi mengenai industri perusahaan, meneliti kertas
kerja tahun sebelumnya, mempersiapkan program audit, memperoleh pemahaman
mengenai bisnis perusahaan dan mempersiapkan prosedur analitis. Prosedur
analitis adalah tes untuk menguji hubungan antara data keuangan dan non
keuangan dan untuk menyelidiki ketidakkonsistenan yang material.
2. Review pendahuluan dan assesment terhadap struktur
pengendalian internal
Kegiatan yang dilakukan adalah:
• Pemeriksaan, Dokumentasi, dan Penilaian Sistem Pengendalian Internal. Auditor harus memahami terlebih dahulu mengenai sistem pengendalian internal perusahaan. Dengan pemahaman tersebut, auditor dapat menilai kekuatan dan kelemahan sistem pengendalian internal. Auditor sebaiknya menggunakan berbagai teknik untuk mengumpulkan fakta, seperti memeriksa kembali catatan dan dokumen, mengamati kegiatan, interview dengan personel inti dan memberikan kuisioner.
• Menilai dan Mengelompokkan Tingkat Resiko Pengendalian. Terdapat beberapa langkah :
1. Auditor melakukan penilaian pendahuluan berkaitan dengan keefektifan operasi dalam struktur pengendalian internal dan pengendalian khusus yang diterapkan dalam SAI harus diidentifikasi.
2. Auditor harus membuat judgement (penilaian) agar pengendalian internal yang diimplementasikan adalah pengendalian yang kritis dan mereka dapat bekerja sesuai yang ditentukan oleh manajemen.
3. Auditor harus menilai setiap kekuatan pengendalian internal, sehingga risiko pengendalian dapat diperkirakan. Pada tingkat di mana risiko itu berada dalam suatu kisaran yang dapat diterima, auditor mempersiapkan program audit yang menunjukkan langkah pengujian kekuatan pengendalian yang terkait. Resiko pengendalian diartikan sebagai risiko yang menunjukkan pernyataan salah secara material dalam asersi-asersi yang mengarah pada kesalahan yang signifikan dalam laporan keuangan.
• Keefektifan Biaya dalam Pengujian Pengendalian. Pengujian terhadap risiko pengendalian pendahuluan harus mempertimbangkan faktor biaya. Oleh karena itu alternatif yang mungkin bisa dilakukan oleh seseorang dengan adanya audit lebih memperluas prosedur pengujian substanstif.
3. PENGUJIAN PENGENDALIAN DALAM AUDIT
Kegiatan yang dilakukan dalam tahap ini adalah :
• Melakukan Pengujian Pengendalian. Pengujian pengendalian adalah pengumpulan bukti-bukti yang berfungsi secara efektif dan konsisten.
• Mengevaluasi Pengujian Pengendalian yang diperoleh. Setelah memperoleh hasil-hasil pengujian, auditor dapat mengevaluasi efektifitas operasional dari sistem pengendalian internal. Bukti tersebut mendukung penemuan audit untuk tiap-tiap siklus transaksi yang dievaluasi. Evaluasi yang dihasilkan ini menunjukkan judgement auditor yang terbaik berkaitan dengan (a) memadainya pengendalian yang diamati dan (b) kemampuan menemukan ketidakcukupan hasil pengujian.
• Penilaian Akhir terhadap Risiko Pengendalian. Berdasarkan evaluasi di atas auditor menilai tingkat risiko pengendalian tertentu untuk tiap-tiap kelompok transaksi yang utama. Tingkat risiko pengendalian akhir memberikan dasar untuk memperkirakan tingkat risiko yang terdeteksi yang akan datang, sifat, waktu, serta luasnya prosedur pengujian substantif.
• Mengembangkan Program Audit Final. Program audit meliputi prosedur-prosedur khusus yang dibutuhkan untuk mencapai tujuan audit. Auditor menyatakan sifat dan prosedur pengujian yang menunjukkan luas dan waktu dibutuhkan
4. PENGUJIAN SUBSTANTIF
Langkah-langkahnya adalah:
1. Memilih dan Melaksanakan Pengujian Substanstif.
Pengujian substantiv merupakan bagian terbesar dari program audit.Tujuan dari
pengujian substantiv dalam audit keuangan adalah untuk memberikan asersi
laporan keuangan yang valid yang dibuat oleh manajemen. Tiga pengujian
substantiv tersebut adalah: (1) melakukan prosedur analitis final, (2) menguji
rekening neraca, (3) menguji secara rinci kelompok-kelompok transaksi. Jumlah
pengujian substantiv didasarkan pada risiko terdeteksi final untuk tiap-tiap
golongan transaksi utama.
2. Mengevaluasi Pengujian Substantif. Dalam evaluasi ini,
hasil pengujian yang dapat diterima, untuk meminimalisasi kemungkinan
kesalahan-kesalahan yang material dan pernyataan yang salah dalam asersi
laporan keuangan. Hasil pengujian yang tidak dapat diterima memerlukan
penambahan sample dalam transaksi sebelum audit dapat diselesaikan.
5. PELAPORAN AUDIT
Tahap final audit ini adalah untuk memberikan laporan
audit berkaitan dengan permasalahan yang ada di perusahaan.Langkah-langkahnya
adalah:
• Mencatat Laporan Audit.
• Mencatat Kondisi-kondisi yang dapat dilaporkan. Auditor harus membuat catatan atas kondisi-kondisi yang dilaporkan kepada dewan audit, mencakup kecurangan-kecurangan yang signifikan dalam perancangan atau operasi dari sistem pengendalian internal perusahaan.
PENGENDALIAN MENGGUNAKAN IT
TEKNIK DAN PENDEKATAN PENGAUDITAN
BERBASIS KOMPUTER
Teknik yang spesifik
hanya diaplikasikan untuk sistem informasi pemrosesan transaksi secara
otomatis. Teknik ini dapat digunakan untuk pengujian pengendalian atau
pengujian substantif. Namun begitu, sistem ini tidak bisa menggunakan sistem
flowchart, data flow diagram dan kuisioner dalam mereview struktur pengendalian
intern. Tiga teknik pengujian yang berbasis komputer (Computer Assisted Audit
Techniques/CAAT) yaitu pengauditan sekitar komputer, pengauditan melalui
komputer, pengauditan dengan menggunakan komputer. Auditor intern dan ekstern
dapat menggunakan tiga teknik pendekatan ini secara efektif.
Pengauditan Sekitar Komputer
Pendekatan pengauditan
sekitar komputer (auditing around the computer) memperlakukan komputer sebagai
“kotak hitam”. Pendekatan ini difokuskan pada input dan outputnya. Asumsi yang
mendasari pendekatan ini yaitu jika auditor dapat menunjukkan output yang aktual
adalah hasil yang benar yang diharapkan dari sekumpulan input untuk sistem
pemrosesan, maka pemrosesan komputer harus difungsikan menggunakan cara yang handal. Teknik yang penting dalam pendekatan ini
meliputi penelusuran dan pemilihan transaksi dari dokuman sumber untuk
meringkas transaksi dan catatan serta sebaliknya. Pendekatan pengauditan sekitar komputer adalah non processing
data method. Auditor tidak menyiapkan simulated data transaction atau
menggunakan file-file auditee yang aktual untuk memprosesnya dengan program
komputer auditee. Pendekatan sekitar komputer akan tepat, jika kondisi berikut
ini terpenuhi :
1. Audit trail lengkap dan visible. Oleh karena itu dokumen sumber digunakan untuk semua transaksi, jurnal-jurnal terinci dicetak dan referensi transaksi dipindahkan dari jurnal ke buku besar dan laporan ringkas.
2. Pemrosesan operasi yang secara relatif tidak rumit dan volumenya rendah.
3. Dokumennya lengkap, seperti data flow diagram dan sistem flowchart, yang tersedia bagi auditor.
Pengauditan Melalui Komputer
Karena pendekatan sekitar
komputer tidak mencukupi, pendekatan alternatif dibutuhkan untuk pengauditan
berbasis komputer (auditing through the computer), yang secara langsung
difokuskan pada tahap pemrosesan dan edit check, serta programmed check.
Pendekatan ini disebut dengan pengauditan melalui komputer. Asumsi dari
pendekatan ini adalah jika program dikembangkan dengan menambah programmed
check, kesalahan (error) dan ketidakberesan akan dapat terdeteksi, sehingga
dapat dikatakan dapat dipercaya.
Pendekatan pengauditan melalui komputer dapat
diaplikasikan untuk semua sistem otomatisasi pemrosesan yang kompleks. Bahkan
jika biayanya efektif dan memungkinkan, pendekatan sekitar komputer dan
pengauditan melalui komputer dapat dikerjakan untuk pekerjaan audit yang sama.
Dengan mengerjakan secara bersamaan, keuntungannya menjadi lebih besar dan
tujuan audit dapat tercapai.
Pengauditan Dengan Menggunakan Komputer
Pendekatan ini
menggunakan komputer (auditing with the computer) untuk tujuan pengerjaan
tahap-tahap program audit yang terinci. Pendekatan ini juga digunakan untuk
mengotomatisasi aspek tertentu dalam proses pengauditan. Komputer
ditransformasikan pada audit scene selama mereka dapat mengerjakan jumlah
fungsi audit, seperti pengujian pengendalian dan pengujian substantive. Auditor
dapat menggunakan paket-paket spreadsheet excel, untuk menciptakan spreadsheet
yang berisi laporan keuangan dari perusahaan yang diaudit. Pengembangan yang
lain adalah template, efek program dan format on screen dengan menggunakan
paket software spreadsheet. Template ini memungkinkan auditor untuk mengerjakan
tugas yang sebelumnya dikerjakan secara manual. Template didesain untuk
membantu menyiapkan neraca, memelihara pengulangan pemasukan jurnal, mengevaluasi
hasil sampel, penjadwalan dan mengelola waktu auditor dalam audit lapangan,
melaksanakan pengujian yang masuk akal terhadap pengeluaran serta mengestimasi
pengeluaran.
Pendekatan pengauditan
dengan komputer yang populer menggunakan software audit selama pengujian
substantif terhadap catatan dan file perusahaan. Software audit secara umum
terdiri dari kumpulan program rutin. Tipe software yang digunakan yaitu
generalized audit software (GAS) yang terdiri dari satu atau lebih program
rutin yang dapat diterapkan pada berbagai situasi dan berbagai tipe organisasi.
GAS sering dipakai untuk melakukan substantive test dan digunakan test of
control yang terbatas. Sebagai contoh GAS sering dipakai untuk mengetes fungsi
algoritma yang komplek dalam program computer. Tetapi ini memerlukan pengalaman
yang luas dalam penggunaan software ini.
Audit Software,
penggunaan software dalam melaksanakan audit dengan komputer dapat membantu dalam pengujian substantive
catatan dan file perusahaan.
Tipe software audit yang uama adalah GAS (Generalized Audi Software), yang terdiri dari satu atau lebih program yang applicable pada bernagai situasi audit pada suatu perusahaan. ACL (Audit Comand Language) merupakan interaktif, yang menghubungkan user dengan computer. ACL membantu auditor untuk untuk menganalisis data klien dengan beberapa fungsi, misalnya attribute sampling, histogram generation, record aging, file comparation, duplicate checking, dan file printing. Yang relative powerful, fleksibel dan mudah dipelajari.sehingga auditor dapat memodifikasi program untuk situasi khusus.
Tipe software audit yang uama adalah GAS (Generalized Audi Software), yang terdiri dari satu atau lebih program yang applicable pada bernagai situasi audit pada suatu perusahaan. ACL (Audit Comand Language) merupakan interaktif, yang menghubungkan user dengan computer. ACL membantu auditor untuk untuk menganalisis data klien dengan beberapa fungsi, misalnya attribute sampling, histogram generation, record aging, file comparation, duplicate checking, dan file printing. Yang relative powerful, fleksibel dan mudah dipelajari.sehingga auditor dapat memodifikasi program untuk situasi khusus.
Fungsi audit yang khas yang tersedia pada paket GAS:
1. Extracting data from files, GAS harus mempunyai
kemampuan untuk menyuling dan retrieve data dari berbagai struktur, media, dan
bentuk catatan file pada saat digunakan untuk mengaudit perusahaan yang
bervariasi. Setelah di suling, data diedit dan kemdian ditransfer pada audit
work file, penyimpanan data tersedia untuk digunakan dengan program lain yang
ada pada GAS
2. Calculating With data,beberapa step dalam audit
terdiri dai addition, subtraction, multiplication dan division operation.
Contohnya koreksi jurnal dilakuka dengan menjural ulang.
3. Performing
comparisons with data, perbandingan mungkin dilakukan untuk menyeleksi data
elemen untuk di tes untuk memastikan adanya konsistensi diantara data elemen
dan untuk memverifikasi apakah kondisi tertentu telah didapat. GAS seharusnya
menyediakan logical operator seperti equal, less than, dan greater than.
4. Sumarizing
data, data elements harus sering di ringkas untuk memberikan dasar untuk
perbandingan. Contoh: list detail gaji harus diringkas untuk dibandingkan
dengan laporan penggajian.
5. Analyzing data, berbagai data harus dianalisis untuk
memberikan dasar review atas trend perusahaan. Contohnya, piutang harus
ditaksir umurnya utuk menentukan kemungkinan piutang tersebut dapat ditagih.
6. Reorganizing data, data elemen perlu untuk di sortir
atau digabungkan. Contohnya: berbaga produk yang dijual perusahaan boleh
mungkin di re-sorted secara ascending berdasar jumlah total penjualan untuk
membantu analisis penjualan.
7. Select sample for testing. Dalam audit, tidak semua
data dapat di uji. Sample harus diambil secara random. Contohnya sample
customer dapat dipilih secara random dari catatan piutang dagang.
8. Gathering statistical data, seorang auditor sering
membutuhkan data-data statistik. Contohnya: mean dan median dari penjualan
produk.
9. Printing Confirmation Request, analyses, and other
output
Manfaat GAS:
1. Memungkinkan auditor untuk mengakses catatan computer yang dapat dibaca untuk berbagai macam aplikasi dan organisasi.
2. Memungkinkan auditor untuk memeriksa lebih banyak data daripada jika auditor masih menggunakan proses manual.
3. Dapat melakukan berbagai macam fungsi audit secara cepat dan akurat, termasuk pemilihan sample secara statistic.
4. Mengurangi ketergantungan pada nonauditing personel untuk melakukan peringkasan data, dengan demikian auditor dapat mengelola pengendalian audit yang lebih baik.
5. Auditor hanya memerlukan pengetahuan yang cukup (tidak begitu dalam) tentang computer.
Manfaat GAS:
1. Memungkinkan auditor untuk mengakses catatan computer yang dapat dibaca untuk berbagai macam aplikasi dan organisasi.
2. Memungkinkan auditor untuk memeriksa lebih banyak data daripada jika auditor masih menggunakan proses manual.
3. Dapat melakukan berbagai macam fungsi audit secara cepat dan akurat, termasuk pemilihan sample secara statistic.
4. Mengurangi ketergantungan pada nonauditing personel untuk melakukan peringkasan data, dengan demikian auditor dapat mengelola pengendalian audit yang lebih baik.
5. Auditor hanya memerlukan pengetahuan yang cukup (tidak begitu dalam) tentang computer.
Keterbatasan GAS:
GAS tidak memeriksa application programe dan programmed check secara langsung sehingga tidak dapat menggantikan audit –through-the-computer-techniques.
AUDIT OPERASIONAL DALAM DEPARTEMEN PEMROSESAN
INFORMASI
Sifat Audit Operasional
Pemrosesan Data. Satu
tipe utama audit operasional meliputi pengauditan fungsi pemrosesan informasi.
Audit operasional pemrosesan data secara sistematis memperkirakan keefektifan
unit-unit dalam mencapai tujuan dan mengidentifikasikan kondisi yang dibutuhkan
untuk perbaikan. Pemrosesan data audit operasional mempunyai sifat yang luas
meliputi semua kegiatan departemen pemrosesan atau mungkin dihubungkan dengan
segmen khusus dalam kegiatan tersebut, tergantung pada tujuan manajemen.Situasi Yang Muncul Dalam Audit Operasional Pemrosesan
Data
Dalam hal pemrosesan data yang umumnya terjadi adalah:
1. Biayanya tinggi untuk penyediaan jasa komputer.
2. Bagian utama dari rencana perusahaan.
3. Usulan perolehan hardware yang utama atau meng-upgrade software.
4. Ketidakmampuan menerima pemrosesan data komputer secara eksekutif.
5. Kebutuhan pemrosesan data eksekutif yang baru untuk penilaian secara intensif.
6. Ketidakteraturan perputaran personil dalam departemen pemrosesan data.
7. Usulan untuk mengkonsolidasi atau mendistribusikan sumberdaya pemrosesan data.
8. Merupakan sistem utama yang tidak responsif terhadap kebutuhan atau sulit dalam pemeliharaan.
9. Meningkatnya jumlah komplain user.
Proses Audit Operasional Pemrosesan Data
• Audit planning phase
Audit operasional pada
fungsi data processing tidak mempunyai starting place, tetapi berpedoman pada
tujuan audit. Masing-masing audit mempunyai ciri khas dan memerlukan individual
treatment karenanya lingkup audit berbeda sesuai dengan tujuannya.
Dengan mengabaikan lingkup audit, tugas pertama dalam audit operasional yaitu untuk memperkenalkan diri pada organisasi dan DP departemen untuk diaudit. Hal ini adalah sebuah tahap penting bagi auditor untuk memperoleh dan meninjau ulang latar belakang informasi pada unit, aktivitas, dan fungsi yang akan diaudit.Tahap ini penting dan sebaiknya diikuti dengan mengabaikan audit operasional yang dilakukan secara internal. auditor sebaiknya mengumpulkan informasi dari klien untuk memperoleh pemahaman tentang DP departemen dan tujuannya. Banyak latar belakang informasi yang sebaiknya digunakan auditor pada tahap ini mencakup lokasi departemen DP, nama manajer pada DP, no SDM pada DP berdasar level dan tipe,metode evaluasi SDM, tingkat pertukaran SDM, tugas dan tanggung jawab karyawan, identifikasi peralatan komputer yang digunakan dan identifikasi sistem operasi yang digunakan. phisical layout chart pusat komputer sebaiknya diperoleh dari DP manajer ( atau, jika tak tersedia, disiapkan oleh auditor). kerjasama DP manajemen menjadi hal yang penting selama tahap perencanaan.
Dengan mengabaikan lingkup audit, tugas pertama dalam audit operasional yaitu untuk memperkenalkan diri pada organisasi dan DP departemen untuk diaudit. Hal ini adalah sebuah tahap penting bagi auditor untuk memperoleh dan meninjau ulang latar belakang informasi pada unit, aktivitas, dan fungsi yang akan diaudit.Tahap ini penting dan sebaiknya diikuti dengan mengabaikan audit operasional yang dilakukan secara internal. auditor sebaiknya mengumpulkan informasi dari klien untuk memperoleh pemahaman tentang DP departemen dan tujuannya. Banyak latar belakang informasi yang sebaiknya digunakan auditor pada tahap ini mencakup lokasi departemen DP, nama manajer pada DP, no SDM pada DP berdasar level dan tipe,metode evaluasi SDM, tingkat pertukaran SDM, tugas dan tanggung jawab karyawan, identifikasi peralatan komputer yang digunakan dan identifikasi sistem operasi yang digunakan. phisical layout chart pusat komputer sebaiknya diperoleh dari DP manajer ( atau, jika tak tersedia, disiapkan oleh auditor). kerjasama DP manajemen menjadi hal yang penting selama tahap perencanaan.
• Preliminary survey phase
setelah tujuan audit
tealah ditetapkan, dan lingkup audit telah ditentukan serta manajemen
cooperation diperoleh, maka auditor siap untuk preliminary survey. survei
membantu auditor untuk mengidentifikasi lingkup masalah, sensitive area, dan
operasi yang rumit tentang audit DP departement. Setelah preliminary survey,
auditor harus bisa menentukan tingkat kompleksitas audit operasional.selama
preliminnary survey, auditor akan mempelajari permasalahan operasional
manajemen DP. Auditor perlu mendalami mengenai DP center sehingga familiar
dengan pengoperasiannya. Auditor sebaiknya membuat rencana dalam mengusulkan
petunjuk DP centernya dan bertindak sebagai penghubung bagi semua data
collection dan dokumentasi syang diperoleh. Auditor akan membentuk rencana
tahapan dalam operasi actual yang disesuaikan dengan diskripsi tertulis maupun
lisan dan pemahaman yang telah diberikan oleh DP personil kepada auditor.
Proses verifikasi ini memerlukan contoh transaksi atau lingkup kerja yang diuji
secara detail.
Prelimanary phase pada operational audit merupakan
basis pada tahap pengujian audit yang terperinci. DP manajemen sebaiknya
diberitahu pengungkapan penyimpangan dan membantu dalam petunjuk pada lingkup
permasalahan. Auditor mendisain program audit untuk maenemukan pertimbangan
atau penyebab ketidakcocokan.
• Detailed audit phase
Aktivitas untuk menguji dan mengevaluasi tahap audit ini meliputi:
1. fungsi pengolahan informasi pada organisasi
2. praktek dan kebijakan sumber daya manusia
3. operasi komputer
4. pengembangan sistem dan implementasinya
5. aplication system operation
lima area terdaftar ini diharapkan dapat menyajikan beberapa faktor-faktor penting yang harus dipertimbangkan. ketika mereka memberi auditor suatu pandangan umum tentang komponen penting DP functioni dan dapat bertindak sebagai starting point yang baik.
• Reporting
pada tahap penyelesaian opersional audit laporan
diberikan kepada manajemen dan komite audit perusahaan.Isi dari laporan ini
bervariasi sesuai pada harapan manajemen.contohnya : laporan mungkin terdiri
dari pendapat yang mengacu pada fungsi pengelolaan informasi yang efektif dan
efisien, dan saran-saran yang membangun.Internal auditor diwajibkan untuk
melakukan follow up pada report audit findings dan memberikan rekomendasi untuk
memastikan bahwa komite audit mengambil langkah yang tepat.
3.1
Metodologi dan Solusi
Standar (COBIT)
Control Objectives for Information and related
Technology (COBIT, saat ini edisi ke-3) adalah sekumpulan
dokumentasi best practices untuk IT governance yang dapat
membantu auditor, manajemen and pengguna ( user ) untuk menjembatani
gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan
teknis.
COBIT dikembangkan oleh IT Governance
Institute, yang merupakan bagian dari Information Systems Audit and
Control Association (ISACA). COBIT memberikan arahan
( guidelines ) yang berorientasi pada bisnis, dan karena
itu business process owners dan manajer, termasuk juga auditor dan
user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.
Kerangka kerja COBIT ini terdiri atas
beberapa arahan ( guidelines ), yakni : Control
Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi
( high-level control objectives ) yang tercermin dalam 4 domain,
yaitu: planning & organization , acquisition &
implementation ,delivery & support , dan monitoring .
Audit Guidelines: Berisi sebanyak
318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control
objectives ) untuk membantu para auditor dalam memberikan management
assurance dan/atau saran perbaikan.
Management
Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa
saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan
berikut:
-
Sejauh mana Anda (TI)
harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang
dihasilkannya.
-
Apa saja indikator
untuk suatu kinerja yang bagus?
-
Apa saja faktor atau
kondisi yang harus diciptakan agar dapat mencapai sukses ( critical
success factors )?
-
Apa saja risiko-risiko
yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
-
Bagaimana dengan
perusahaan lainnya – apa yang mereka lakukan?
-
Bagaimana Anda mengukur
keberhasilan dan bagaimana pula membandingkannya.
The COBIT
Framework memasukkan juga hal-hal berikut ini:
Maturity Models – Untuk memetakan
status maturity proses-proses TI (dalam skala 0 - 5) dibandingkan dengan
“the best in the class in the Industry” dan juga International best
practices Critical
Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat
melakukan kontrol atas proses TI.
Key Goal Indicators (KGIs) –
Kinerja proses-proses TI sehubungan dengan business requirements Key Performance Indicators (KPIs)
– Kinerja proses-proses TI sehubungan dengan process goals COBIT dikembangkan
sebagai suatu generally applicable and accepted standard for good
Information Technology (IT) security and control practices . Istilah
“ generally applicable and accepted ” digunakan secara eksplisit
dalam pengertian yang sama seperti Generally Accepted Accounting
Principles (GAAP).
Sedang, COBIT's “good practices”
mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan
sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan
investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai
acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan
teknologi.
Suatu perencanaan Audit Sistem Informasi
berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan
menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa
atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu,
misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan
dari proses-proses tersebut.
Lebih lanjut, auditor dapat menggunakan
Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit.
Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai
dengan industri, kondisi TI di Perusahaan atau organisasi Anda, atau objek
khusus di lingkungan TI.
Selain dapat digunakan oleh Auditor,
COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko
TI dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi
utama yang sangat membantu dalam penerapan IT Governance di perusahaan.
Audit TI: Sebelum atau
Sesudah
Seiring dengan makin banyaknya
institusi, baik pemerintahan maupun swasta, yang mengandalkan TI untuk
mendukung jalannya operasional sehari-hari, maka kesadaran akan perlunya
dilakukan review atas pengembangan suatu sistem informasi semakin meningkat.
Risiko-risiko
yang mungkin ditimbulkan sebagai akibat dari gagalnya pengembangan suatu sistem
informasi, antara lain:
-
Biaya pengembangan
sistem melampaui anggaran yang ditetapkan.
-
Sistem tidak dapat
diimplementasikan sesuai dengan jadwal yang ditetapkan.
-
Sistem yang telah
dibangun tidak memenuhi kebutuhan pengguna.
-
Sistem yang dibangun
tidak memberikan dampak effisiensi dan nilai ekonomis terhadap jalannya operasi
institusi, baik pada masa sekarang maupun masa datang.
-
Sistem yang berjalan
tidak menaati perjanjian dengan pihak ketiga atau memenuhi aturan yang berlaku.
Untuk mengantisipasi hal itu, perusahaan
menginginkan adanya assurance dari pihak yang berkompeten dan independen
mengenai kondisi sistem TI yang akan atau sedang mereka gunakan. Pihak yang
paling berkompeten dan memiliki keahlian untuk melakukan review tersebut adalah
Auditor Sistem Informasi (Auditor TI).
Pekerjaan auditor TI ini belum banyak
dikenal di Indonesia . Di samping itu, jumlah tenaga auditor TI yang menyandang
sertifikasi Internasional ( CISA, Certified Information System
Auditor ) juga masih sangat terbatas.
Best Practice menyarankan agar dalam
proses pengembangan suatu sistem informasi yang signifikan, perlu dilakukan
review, baik itu sebelum atau pada saat implementasi ( pre-implementation
system ), maupun setelah sistem “live” ( post-implementation
system ).
Manfaat
Pre-Implementation Review:
-
Institusi dapat
mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun
memenuhi acceptance criteria.
-
Mengetahui apakah
pemakai telah siap menggunakan sistem tersebut.
-
Mengetahui apakah
outcome sesuai dengan harapan manajemen.
Manfaat
Post-Implementation Review:
-
Institusi mendapat
masukan atas risiko-risiko yang masih ada dan saran untuk penanganannya.
-
Masukan-masukan
tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis
dan anggaran pada periode berikutnya.
-
Bahan untuk perencanaan
strategis dan rencana anggaran di masa datang.
-
Memberikan reasonable
assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur
yang telah ditetapkan.
-
Membantu memastikan
bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat digunakan oleh
manajemen, auditor maupun pihak lain yang berwenang untuk melakukan
pemeriksaan.
-
Membantu dalam
penilaian apakah initial proposed values telah terealisasi dan saran tindak
lanjutnya.
(Source : www.ebizzasia.com Volume
II, tahun 2004)
Pembaharuan Utama
Standar Inernasional
Dapat Menolong Bisnis Meningkatkan Nilai IT, Menurunkan Resiko Rolling Meadows, Ill, USA, 14 Desember -- Lembaga Pengaturan IT (IT Governance Institute, ITGI) pada 16 Desember 2005, akan memperbaharui tujuan pengontrolan informasi dan teknologi yang terkait (COBIT), suatu kerangka kerja pengaturan IT yang dapat diterima secara internasional. COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko. "Para eksekutif menyadari bahwa dampak informasi dapat menjadikan jalan perusahaan mereka ke arah keberhasilan dan tanggungjawab pengaturan yang meningkat yang mereka miliki untuk menjamin adanya keberhasilan," ujar Erik Guldentops, CISA, CISM, seorang konsultan manajemen di Brussels, Belgia dan juga anggota tim pengembangan COBIT sejak berdirinya.
Dapat Menolong Bisnis Meningkatkan Nilai IT, Menurunkan Resiko Rolling Meadows, Ill, USA, 14 Desember -- Lembaga Pengaturan IT (IT Governance Institute, ITGI) pada 16 Desember 2005, akan memperbaharui tujuan pengontrolan informasi dan teknologi yang terkait (COBIT), suatu kerangka kerja pengaturan IT yang dapat diterima secara internasional. COBIT dapat menyediakan seperangkat praktek yang dapat diterima pada umumnya karena dapat membantu para direktur, eksekutif dan manager meningkatkan nilai IT dan mengecilkan resiko. "Para eksekutif menyadari bahwa dampak informasi dapat menjadikan jalan perusahaan mereka ke arah keberhasilan dan tanggungjawab pengaturan yang meningkat yang mereka miliki untuk menjamin adanya keberhasilan," ujar Erik Guldentops, CISA, CISM, seorang konsultan manajemen di Brussels, Belgia dan juga anggota tim pengembangan COBIT sejak berdirinya.
Edisi
COBIT terbaru memberikan praktek dan hubungan ke atas terbaik untuk menunjang
persyaratan pengelolaan IT bagi para eksekutif dan direktur dan yang berkaitan
dengan hubungan ke bawah digunakan untuk mengatasi persyaratan yang lebih rinci
bagi mereka yang bertanggungjawab terhadap solusi dan jasa pengiriman. Ini
semua juga memberikan dukungan agar dapat mengoptimalkan investasi IT, menjamin
nilai pengiriman dan meringankan resiko IT dengan cara yang lebih transparan.
Walaupun
COBIT juga digunakan secara luas sebagai alat untuk keperluan Sarbanes-Oxley
(SOX), edisi awalnya mencakup banyak masalahpengendalian aturan termasuk juga
SOX. Ia merupakan produk yang diperoleh melalui penelitian dan kerjasama selama
10 tahun antara ahli IT global dan bisnis dan juga sudah tersedia sebagai
standar terbuka www.isaca.org/cobit.
Edisi
terbaru -- COBIT 4.0 memberikan fokus bisnis yang cukup kuat untuk mengatasi
tanggungjawab para direktur dan pegawai. COBIT 4.0 menandai pembaharuan pertama
dari isi COBIT sejak dirilisnya edisi COBIT ketiga di tahun 2000. Edisi pertama
diterbitkan di tahun 1994. Studi kasus pelaksanaan COBIT di organisasi
internasional utama misalnya Unisys, Sun Microsystems dan DPR Amerika juga
terdapat di http://www.isaca.org/cobitcasestudies.
"COBIT
4.0 tidak kelihatan seperti sebuah buku akademik. Ada materi yang cukup berguna
pada setiap halaman," ujar Christopher Fox, ACA. "COBIT 4.0 mampu
menjadi sebuah dokumen yang sangat bermanfaat."
COBIT
4.0 ini juga mencakup bimbingan bagi para direktur dan semua level manajemen
dan terdiri atas empat seksi:
Gambaran
luas mengenai eksekutif
Kerangka
kerja
Isi
utama (tujuan pengendalian, petunjuk manajemen dan model kedewasaan)
Appendiks
(pemetaan, ajuan silang dan daftar kata-kata)
Isi
utama dibagi lagi menurut proses 34 IT dan memberikan gambaran yang sempurna
mengenai cara mengendalikan, mengelola dan mengukur masing-masing proses.
Selain
itu, COBIT 4.0:
Menganalisa
bagaimana tujuan pengendalian dapat dipetakan ke dalam lima wilayah penentuan
IT agar dapat mengidentifikasi gap potensial.
Menyesuaikan
dan memetakan COBIT ke standar yang lain (ITIL, CMM, COSO, PMBOK, ISF and ISO
17799)
Mengklarifikasikan
indikator tujuan utama (KGI) dan indikator hubungan kinerja utama (KPI), dengan
mengenal bagaimana KPI dapat bergerak mencapai KGI.
Menghubungkan
tujuan bisnis, IT and proses IT (penelitian mendalam di delapan industri dengan
pandangan yang lebih jelas tentang bagaimana proses COBIT mendukung tercapainya
tujuan IT spesifik dan dengan perluasan, tujuan bisnis).
COBIT
4.0 bisa menggantikan komponen edisi ketiga yang menyangkut Ringkasan
Eksekutif, Kerangka kerja, Tujuan Pengontrolan dan Petunjuk Manajemen.
Pekerjaan sedang dilakukan agar bisa mengatasi petunjuk Audit.
Perkenalan
COBIT 4.0 tetap akan melakukan pekerjaan yang dilakukan oleh COBIT edisi
ketiga, tetapi hanya memberikan kesempatan untuk membangun pekerjaan itu dan
selanjutkan meningkatkan penentuan IT dan pengendaliannya bila cocok.
Banyak
COBIT tersedia untuk dapat melakukan download di http://www.isaca.org/cobit.
Salinan cetak dapat dibeli di toko buku ISACA (http://www.isaca.org/bookstore)
sebesar US $190. Situs pelengkap yang menawarkan pandangan mendalam mengenai
COBIT 4.0 sudah tersedia di http://www.livemeeting.com/cc/isaca/view. Tentang COBIT
COBIT® (Tujuan pengendalian bagi informasi dan teknologi terkait®)) dikeluarkan oleh ITGI dapat diterima secara internasional sebagai praktek pengendalian atas informasi, IT dan resiko terkait. COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan model kedewasaan. Tentang ITGI
Lembaga Pengaturan IT® (IT Governance Institute, ITGI) (http://www.itgi.org) didirikan pada tahun 1998 untuk memajukan pemikiran dan standar internasional dalam mengarahkan dan mengendalikan teknologi informasi sebuah perusahaan. Pengaturan IT yang efektif dapat membantu meyakinkan bahwa IT sangat mendukung tujuan bisnis dan mengelola resiko yang berkaitan dengan IT dan kesempatan. Lembaga Pengaturan IT mengembangkan tujuan pengendalian bagi informasi dan teknologi terkait (COBIT) serta menawarkan penelitian dan studi kasus untuk membantu pengelola perusahaan dan para direktur dalam tanggungjawab pengaturan IT.
COBIT® (Tujuan pengendalian bagi informasi dan teknologi terkait®)) dikeluarkan oleh ITGI dapat diterima secara internasional sebagai praktek pengendalian atas informasi, IT dan resiko terkait. COBIT digunakan untuk menjalankan penentuan atas IT dan meningkatkan pengontrolan IT. COBIT juga berisi tujuan pengendalian, petunjuk audit, kinerja dan hasil metrik, faktor kesuksesan dan model kedewasaan. Tentang ITGI
Lembaga Pengaturan IT® (IT Governance Institute, ITGI) (http://www.itgi.org) didirikan pada tahun 1998 untuk memajukan pemikiran dan standar internasional dalam mengarahkan dan mengendalikan teknologi informasi sebuah perusahaan. Pengaturan IT yang efektif dapat membantu meyakinkan bahwa IT sangat mendukung tujuan bisnis dan mengelola resiko yang berkaitan dengan IT dan kesempatan. Lembaga Pengaturan IT mengembangkan tujuan pengendalian bagi informasi dan teknologi terkait (COBIT) serta menawarkan penelitian dan studi kasus untuk membantu pengelola perusahaan dan para direktur dalam tanggungjawab pengaturan IT.
(Source
: www.isaca.org)
IT
Audit Guideline Based on COBIT 4.1
November
15th, 2007 in SBSA, Agenda (detail)
COBIT
dikenal sebagai best practice dalam membangun framework kontrol dan IT audit
baik diadopsi sebagian maupun seluruhnya. Workshop STEP BY STEP APPROACH kali
ini mengajak para top executive dan manager perusahaan-perusahaan di Indonesia
untuk mendiskusikan bagaimana melakukan langkah-langkah audit dengan berdasar
pada COBIT 4.1.
Pertama,
memahami framework COBIT 4.1 secara umum. Kedua, memahami framework audit
dengan menggunakan COBIT 4.1. Ketiga, mendiskusikan langkah-langkah
konkrit audit secara step-by-step dalam kajian studi kasus : mengidentifikasi
tujuan dan ruang lingkup, pemetaan tujuan, identifikasi risiko, menentukan
kriteria informasi, mengidentifikasi/memilih proses IT, mengidentifikasi
benchmark, assessment, analisis gap, penyusunan program implementasi, dan
pelaporan.
Diskusi antara para top executive dan
nara sumber dalam WORKSHOP STEP BY STEP APPROACH ini diharapkan memberikan
gambaran langkah-langkah nyata bagi perusahaan-perusahaan di Indonesia untuk
melakukan self assessment tentang IT Governance-nya. Dan semoga melalui
langkah-langkah ini membuat pencapaian Good Corporate IT Governance makin
nyata!
Lingkup
kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
* Effectiveness
* Effectiveness
Menitikberatkan
pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses
oleh sistem informasi yang dibangun.
* Efficiency
Menitikberatkan
pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.
* Confidentiality
Menitikberatkan
pada pengelolaan kerahasiaan informasi secara hierarkis.
* Integrity
Menitikberatkan pada integritas data/informasi dalam sistem.
Menitikberatkan pada integritas data/informasi dalam sistem.
* Availability
Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.
* Compliance
Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.
* Reliability
Menitikberatkan
pada kemampuan/ketangguhan sistem informasi dalam pengelolaan
data/informasi.
Sedangkan
fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah
pada:
* Applications
* Information
* Infrastructure
* People
Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil- menengah (UKM) yang disebut COBIT Quickstart.
* Applications
* Information
* Infrastructure
* People
Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil- menengah (UKM) yang disebut COBIT Quickstart.
4.1 KESIMPULAN
Audit merupakan sebuah kegiatan yang melakukan
pemerikasaan untuk menilai dan mengevaluasi sebuah aktivitas atau objek seperti
implementasi pengendalian internal pada sistem informasi akuntansi yang
pekerjaannya ditentukan oleh manajemen atau proses fungsi akuntansi yang
membutuhkan improvement.
Tujuan Audit Sistem Informasi dapat dikelompokkan ke
dalam dua aspek utama, yaitu:
·
Conformance
(Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk
memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality
(Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan
Compliance (Kepatuhan).
·
Performance (Kinerja) - Pada kelompok tujuan ini audit
sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja,
yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability
(Kehandalan).
Jenis-jenis
audit:
1. Operational
audit, terkonsen pada efisiensi dan efectifitas dengan semua sumberdaya yang
digunakan untuk melaksanakan tugas, cakupanya meliputi kesesuaian praktik dan
prosedur dengan peraturan yang ditetapkan
2. Compliance
audit terkonsentrasi pada cakupan undang-undang, peraturan pemerintah,
pengendalian dan kewajiban badan eksternal lain yang telah diikut.
3. Project
manajement and change control audit,(dulu dikenal sebagai suatu pengembangan
sistem audit) terkonsentrasi oleh efesiensi dan efektifitas pada berbagai tahap
pengembangan sistem siklus kehidupan yang sedang diselenggarakan.
4. Internal
control audit terkonsentrasi pada evaluasi struktur pengendalian internal
5. Financial
audit terkonsentrasi pada kewajaran laporan keuangan yang menunjukan posisi
keuangan, aliran kas dan hasil kinerja perusahaan.
6. Fraud
audit adalah nonrecurring audit yang dilaksanakan untuk mengumpulkan bukti
untuk menentukan apakah sedang terjadi, telah terjadi atau akan terjadi
kecurangan. Dan penyelesaian hal sesuai dengan pemberian tanggungjawab.
Pengendalian Mengguanakan IT
Teknik
dan Pendekatan Pengauditan Berbasis Komputer
Pengauditan Sekitar Komputer
Pengauditan Melalui Komputer
Pengauditan Dengan
Menggunakan Komputer
COBIT (Control
Objectives for Information and related Technology) adalah sekumpulan dokumentasi best
practices untuk IT governance yang dapat membantu auditor,
manajemen and pengguna ( user ) untuk menjembatani gap antara risiko
bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.
COBIT dikembangkan oleh IT Governance
Institute, yang merupakan bagian dari Information Systems Audit and
Control Association (ISACA). COBIT memberikan arahan
( guidelines ) yang berorientasi pada bisnis, dan karena
itu business process owners dan manajer, termasuk juga auditor dan
user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya. COBIT
dikenal sebagai best practice dalam membangun framework kontrol dan IT audit
baik diadopsi sebagian maupun seluruhnya.
Lingkup
kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:
* Effectiveness
* Effectiveness
* Efficiency
* Confidentiality
* Integrity
* Availability
* Compliance
* Reliability
Sedangkan
fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah
pada:
* Applications
* Information
* Infrastructure
* People
* Applications
* Information
* Infrastructure
* People
Referensi :
www.ebizzasia.com Volume
II, tahun 2004
http://itjen.kemhan.go.id
No comments:
Post a Comment