TUGAS KELOMPOK SISTEM INFORMASI AKUNTANSI BAB 11 - Pengauditan Sistem Informasi Berbasis Komputer
Disusun oleh :
Ferry Gunawan (123160053)
Elisabeth (123160046)
Fatma Bin Syech Abubakar (123160052)
FAKULTAS EKONOMI DAN BISNIS UNIVERSITAS TRISAKTI
2016
PENDAHULUAN
Pengauditan (auditing) adalah proses sistematik atas pemerolehan dan pengevaluasian bukti mengenai asersi-asersi tentang tindakan dan kejadian ekonomi dalam rangka menentukan seberapa baik kesesuaiannya dengan kriteria yang ditetapkan.
Pengauditan internal adalah sebuah aktivitas independen, menjamin objektivitas serta konsultasi yang didesain untuk menambah nilai serta meningkatkan efektivitas dan efisiensi organisasi, termasuk membantu dalam desain dan implementasi SIA.
Berikut beberapa Jenis dari audit internal:
1. Audit keuangan
Memeriksa keterandalan dan integrasi dari transaksi-transaksi keuangan, catatan akuntansi, dan laporan keuangan.
2. Sistem informasi atau audit pengendalian internal
Memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektivitas dalam pengamanan aset.
3. Audit operasional
Berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan.
4. Audit kepatuhan
Menentukan apakah entitas mematuhi hukum, peraturan, kebijakan, dan prosedur yang berlaku.
5. Audit investigatif
Menguji kejadian-kejadian dari penipuan yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk.
SIFAT PENGAUDITAN
Tinjauan Menyeluruh Proses Audit
Audit dapat dibagi dalam empat tahap : perencanaan, pengumpulan bukti, pengevaluasian bukti, dan pengomunikasian hasil audit.
Perencanaan Audit
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan
oleh siapa audit akan dilaksanakan. Langkah pertama adalah menetapkan
lingkup dan tujuan audit. Tim audit dengan pengalaman dan keahlian
yang sesuai kemudian dibentuk. Tim menjadi lebih dalam mengenali pihak yang diaudit (auditee) melalui diskusi dengan personil tingkat supervisor dan operasional, melakukan tinjauan atas dokumentasi sistem, dan memeriksa temuan-temuan audit sebelumnya.
Audit harus direncanakan sedemikian rupa agar sebagian besar kegiatan audit berfokus pada area-area yang memiliki faktor-faktor risiko tertinggi. Terdapat 3 jenis risiko audit:
1. Risiko bawaan (inherent risk) adalah kelemahan terhadap risiko material karena tidak tersedianya pengendalian internal.
2. Risiko pengendalian (control risk) adalah risiko saat suatu salah saji material akan melampaui struktur pengendalian internal ke dalam laporan keuangan.
3. Risiko deteksi (detection risk) adalah risiko saat para auditor dan prosedur auditnya akan gagal mendeteksi sebuah kesalahan atau salah saji material.
Pengumpulan Bukti Audit
Berikut adalah cara-cara yang paling umum untuk mengumpulkan bukti audit:
Observasi atas aktivitas-aktivitas yang diaudit.
Pemeriksaan atas dokumentasi untuk memahami bagaimana sebuah proses atau sistem pengendalian internal tertentu harusnya berfungsi.
Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka melakukan prosedur-prosedur tertentu.
Kuisioner untuk mengumpulkan data
Pemeriksaan fisik atas kuantitas dan/atau kondisi dari aset berwujud, seperti peralatan dan persediaan
Konfirmasi (confirmation) atas ketepatan informasi, seperti saldo akun pelanggan, melalui konfirmasi dengan pihak ketiga yang independen
Melakukan ulang (reperformance) atas perhitungan untuk
memverifikasi informasi kunatitatif.
Pemeriksaan bukti pendukung (vouching) untuk validitas dari sebuah transaksi dengan memeriksa dokumen pendukung.
Tinjauan analitis (anaytical review) atas hubungan dan trend antar-informasi untuk mendeteksi hal-hal yang seharusnya diselidiki lebih jauh.
Evaluasi atas Bukti Audit
Auditor mengevaluasi bukti yang dikumpulkan dan memutuskan apakah bukti tersebut mendukung kesimpulan atau tidak. Apabila kurang mendukung, auditor akan merencanakan dan melaksanakan prosedur tambahan sampai bukti yang cukup dapat dikumpulkan untuk membuat kesimpulan yang kuat.
Komunikasi Hasil Audit
Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak-pihak lain yang berkepentingan. Kemudian, para auditor melaksanakan penelitian lanjut untuk memastikan bahwa rekomendasi mereka telah diimplementasikan.
Pendekatan Audit Berbasis-risiko
Pendekatan evaluasi pengendalian internal berikut, disebut pendekatan audit berbasis-risiko, memberikan sebuah kerangka untuk menjalankan audit sistem informasi:
1. Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan.
2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki ancaman.
3. Mengevaluasi prosedur pengendalian.
4. Mengevaluasi kelemahan pengendalian untuk menentukan
dampaknya dalam jenis, waktu, atau tingkatan prosedur
pengauditan.
AUDIT SISTEM INFORMASI
Tujuan dari audit sistem informasi adalah untuk memeriksa dan mengevaluasi pengendalian internal yang melindungi sistem. Ketika melakukan audit sistem informasi, para auditor seharusnya memastikan bahwa enam tujuan berikut telah dicapai.
1. Ketentuan keamanan untuk melindungi peralatan komputer, program, komunikasi, dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi.
2. Pengembangan dan akuisisi program dilakukan sesuai dnegan otorisasi umum dan spesifikasi manajemen.
3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
4. Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan lengkap.
5. Data sumber yang tidak tepat atau tidak diotorisasi dengan benar didentifikasi dan ditagani berdasarkan kebijakan manajerial yang telah ditentukan.
6. File-file data komputer tepat, lengkap dan rahasia.
Figur 11-2. Komponen – Komponen Sistem Informasi dan Tujuan
Audit Terkait.
Tujuan 1: keamanan Sistem Informasi secara Keseluruhan
Auditor memeriksa pengendalian keamanan dengan mengamati prosedur, memverifikasi bahwa pengendalian dilaksanakan dan bekerja sesuai yang dikehendaki, menyelidiki kesalahan atau masalah untuk memastikan mereka ditangan dengan benar, dan memeriksa segala pengujian yang dilakukan sebelumnya.
Tujuan 2 : Pengembangan Program dan Akuisisi
Peran auditor dalam pengembangan sistem sebatas pada pemeriksaan independen atas aktivitas-aktivitas pengembangan sistem, tidak diperbolehkan membantu pengembangan sistem.
Dua hal yang dapat menjadi kesalahan dalam pengembangan
program: (1) kelalaian pemrograman yang berkaitan dengan kurangnya
pemahaman tentang spesifikasi sistem atau pemrograman yang teledor,
dan (2) instruksi yang tidak diotorisasi dengan sengaja disisipkan dalam
program.
Tujuan 3 : Modifikasi Program
Ketika sebuah perubahan program disampaikan untuk memperoleh persetujuan, sebuah daftar atas seluruh perbaruan yang diperlukan harus dikumpulkan serta disetujui oleh manajemen dan pengguna program.
Bagian penting dari pengujian pengendalian adalah memverifikasi bahwa perubahan progran telah diidentifikasi, didaftar, disetujui, diuji dan didokumentasikan.
Terdapat tiga cara auditor untuk menguji perubahan program yang tidak diotorisasi:
1. Setelah menguji sebuah program baru, auditor menyimpan salinan dari kode sumbernya. Auditor menggunakan sebuah program perbandingan kode sumber (source code comparison program) untuk membandingkan versi terkini dari program dengan kode sumber. Jika tidak ada perubahan yang diotorisasi, dua versi tersebut haruslah sama.
2. Dalam teknik pemrosesan ulang (reprocessing), auditor memproses ulang data menggunakan kode sumber dan membandingkan output-nya dengan ouput perusahaan.
3. Dalam simulasi pararel (parallel simulation), auditor menuliskan sebuah program bukannya menggunakan kode sumber, membandingkan output, dan menyelidiki segala perbedaan.
Tujuan 4 : Pemrosesan Komputer
Selama pemrosesan komputer, sistem mungkin gagal mendeteksi input yang salah, tidak memperbaiki kesalahan input yang benar, memproses input yang salah, atau tidak mendistribusikan atau mengungkapkan output dengan tepat.
Beberapa teknik khusus digunakan untuk menguji pengendalian pemrosesan, masing-masing memiliki kelebihan dan kekurangannya sendiri.
Pengolahan data pengujian
Sumber daya berikut ini berguna ketika mempersiapkan pengujian data.
Sebuah daftar atas transaksi-transaksi aktual.
Transaksi-transaksi pengujian yang digunakan perusahaan untuk menguji program.
Sebuah tes pembuatan data (test data generator), yang menyiapkan data pengujian berdasarkan spesifikasi program
Pemrosesan transaksi pengujian memiliki dua kelemahan. Pertama, auditor harus menghabiskan waktu yang cukup banyak untuk memahami sistem dan menyiapkan transaksi-transaksi pengujian. Kedua, auditor harus memastikan bahwa data pengujian tidak memengaruhi file dan database perusahaan.
Teknik-teknik audit bersamaan
Para auditor menggunakan teknik audit bersamaan (concurrent audit techniquies) untuk secara terus menerus mengawasi sistem dan mengumpulkan bukti-bukti audit sementara data asli (Live data) diproses selama jam pengoperasian reguler.
Para auditor biasanya menggunakan lima teknik audit bersama berikut.
1. Integrated test facility (ITF) menyisipkan catatan-catatan fiktif yang mempresentasikan divisi, departemen, pelanggan, atau pemasok fiktif dalam file induk perusahaan.
2. Teknik snapshot(snapshot technique), transaksi-transaksi yang terpilih ditandai dengan kode khusus.
3. Systemcontrol audit review file (SCARF) menggunakan modulaudit yang dilekatkan untuk terus menerus mengawasi aktivitas transaksi, mengumpulkan data dalam transaksi dengan signifikansi audit khusus, serta menyimpannya dalam sebuah file SCARF atau log audit (audit log).
4. Audit Hooks adalah rutinitas audit yang memberitahu para auditor
atas transaksi-transakti yang dipertanyakan, biasanya saat
transaksi-transaksi tersebut terjadi.
5. Continuous and integrated simulations (CIS) melekatkan sebuah modul audit dalam sebuah sistem manajemen database yang menguji seluruh transaksi yang memperbaruai database menggunakan kriteria serupa dengan SCARF.
Analisis atas logika program
Para auditor menganalisis pengembangan, pengoperasian, dan pendokumentasian program demikian juga pada cetakan dari kode sumber. Auditor juga menggunakan paket-paket perangkat lunak berikut:
Program bagan alir otomatis mengartikan kode sumber dan menghasilkan sebuah bagan alir program.
Program tabel keputusan otomatis mengartikan kode sumber dan menghasilkan tabel keputusan.
Rutinitas pemindaian mencari sebuah program untuk seluruh kejadian atas komponen-komponen tertentu.
Program pemetaan dapat menemukan kode program yang disisipkan oleh seorang pemogram jahat untuk menghapus seluruh file komputer.
Penelusuran program membantu mendeteksi perintah program yang tidak diotorisasi, path logika yang salah, dan kode program yang tidak dilakukan.
Tujuan 5 : Data Sumber
Matriks pengendalian input digunakan untuk mendokumentasikan pemeriksaan pengendalian data sumber. Matriks dalam Figur 11-3 menunjukan prosedur-prosedur pengendalian yang diterapkan pada setiap field catatan input.
Figur 11-3. Matriks Pengendalian Input
Nama Catatan : Nama Field : Komentar
Laporan Waktu Mingguan Pegawai
Nomor pegawai Nama terakhir Nomor departemen Kode transaksi Akhir minggu (tanggal) Jam reguler Jam lembur
Pengendalian input Total finansial
Total hash √ √ √
Hitungan catatan Ya
Saldo cross-footing Tidak
Inspeksi visual Semua field
Verifikasi digit cek √
Formulir yang diberi nomor sebelumnya Tidak
Turnaround document Tidak
Program edit Ya
Pengecekan urutan √
Pengecekan field √ √
Pengecekan tanda
Pengecekan validitas √ √ √ √
Pengecekan batas √ √
Pengecekan ketermasukakalan √ √
Pengecekan kelengkapan √ √ √ √
Prosedur limpahan lainnya :
Fungsi pengendalian data harus independen (bebas) dari fungsi lainnya, melindungi sebuah log pengendalian data, menangani kesalahan, dan memastikan keseluruhan efisiensi dari operasi.
Auditor menguji sistem dengan mengevaluasi sampel data sumber untuk otorisasi dengan tepat, merekonsiliasi pengendalian batch, serta mengevaluasi apakah kesalahan edit data telah diatasi dan dikirim ulang untuk pemrosesan
Tujuan 6 : File Data
Tujuan keenam memperhatikan tentang ketepatan, integritas, dan keamanan atas data yang disimpan dalam file yang dapat dibaca mesin.
PERANGKAT LUNAK AUDIT
Computer-assisted audit techniques (CAATs) mengacu pada
perangkat lunak audit, sering disebut sebagai generalized audit
software (GAS), menggunakan spesifikasi yang disediakan auditor untukmenghasilkan program untuk menjalankan fungsi audit, sehingga akan mengotomatiskan atau menyederhanakan proses audit. Dua perangkat lunak yang paling populer adalah Audit Control Languange (ACL) dan Interactive Data Extraction and Analysis (IDEA). CAATs . CATTS sesuai untuk memeriksa file data yang besar untuk mengidentifikasi catatan- catatan yang memerlukan pemeriksaan audit lebih lanjut.
Untuk menggunakan CAATs, para auditor memutuskannya berdasarkan tujuan audit, mempelajari tentang file dan database yang diaudit, mendesain laporan audit, dan menentukan bagaimana menghasilkannya.
CAATs akan sangat bernilai bagi perusahaan-perusahaan yang memiliki proses rumit, operasi terdistribusi, volume transaksi tinggi, atau memiliki banyak jenis aplikasi dan sistem
Berikut adalah beberapa penggunaan yang lebih penting atas CAATs.
Meminta file data untuk memuat catatan yang memenuhi kriteria tertentu.
Membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file.
Merangkum, menyortir, dan menyaring data.
Mengakses data dalam format yang berbeda dan mengubah data ke dalam sebuah format umum.
Menguji catatan-catatan atas kualitas, kelengkapan, konsistensi, dan kebenaran.
Membagi catatan berdasarkan tingkatan, memilih dan menganalisis sampel statistik.
Pengujian atas risiko tertentu dan mengidentifikasi bagaimana pengendalian ata risiko tersebut.
Melakukan penghitungan, analisis statistis, dan operasi matematis
lainnya.
Melakukan pengujian analitis, seperti analisis rasio dan tren, mencari pola data yang tidak diduga atau tidak dijelaskan yang mungkin mengindikasi penipuan.
Mengidentifikasi kebocoran finansial, ketidakpatuhan atas kebijakan, dan kesalahan pengolahan data.
Merekonsiliasi perhitungan fisik dengan jumlah yang dikomputasi, menguji ketepatan kasir atas perluasan dan saldo, menguji item- item salinan.
Memformat serta mencetak laporan dan dokumen.
Membuat kertas kerja elektronik.
AUDIT OPERASIONAL SIA
Teknik dan prosedur yang digunakan dalam audit operasional SIA sama dengan audit atas sistem informasi dan laporan keuangan.
Perbedaan dasarnya adalah pada lingkup audit. Audit operasional meliputi seluruh aspek atas manajemen sistem. Tujuan dari audit operasional termasuk mengevaluasi efektivitas, efisiensi, dan pencapaian tujuan.
Langkah pertama dalam audit operasional adalah perencanaan audit, pada suatu waktu saat lingkup dan tujuan audit ditetapkan, sebuah persiapan tinjauan sistem dilakukan, dan sebuah program audit tentatif disiapkan. Langkah selanjutnya, pengumpulan bukti, termasuk aktivitas-aktivitas sebagai berikut.
Memeriksa kebijakan dan dokumentasi pengoperasian.
Mengonfirmasi prosedur-prosedur dengan manajemen dan personel pengoperasian.
Mengobservasi fungsi-fungsi dan aktivitas-aktivitas pengoperasian.
Memeriksa rencana serta laporan finansial dan pengoperasian.
Menguji ketepatan atas informasi pengoperasian.