Bab 11: Pengauditan Sistem Informasi Berbasis Komputer

Bab ini fokus membahas pengauditan sebuah sistem informasi akuntansi (SIA).Pengauditam (auditing): secara objektif memperoleh dan mengevaluasi bukti mengenai asersi-asersi tentang tindakan-tindakan dan kejadian ekonomi untuk memastikan derajat kesesuaian antara asersi-asersi tersebut dengan kriteria yang ditetapkan. Pengauditan internal (internal auditing): aktivitas penjaminan dan konsultasi yang didesain untuk menambah nilai dan meningkatkan efektivitas dan efisiensi organisasi, serta mencapai tujuan organisasi. 
Ada beberapa jenis berbeda dari audit internal:
  1. Sebuah audit keuangan (financial audit) memeriksa keterandalan dan integritas dari transaksi-transaksi keuangan, catatan akuntansi, dan laporan keuangan.
  2. Sebuah sistem informasi (information system)atau audit pengendalian internal (internal control audit) memeriksa pengendalian dari sebuah SIA untuk menilai kepatuhannya dengan kebijakan dan prosedur pengendalian internal serta efektivitas dalam pengamanan aset.
  3. Sebuah audit operasional (operational audit) berkaitan dengan penggunaan secara ekonomis dan efisien atas sumber daya dan pencapaian tujuan serta sasaran yang ditetapkan.
  4. Sebuah audit kepatuhan (compliance audit) menentukan apakah entitas mematuhi hukum, peraturan, kebijakan, dan prosedur yang berlaku.
  5. Sebuah audit investigatif (investigative audit) menguji kejadian-kejadian dari penipuan (fraud)yang mungkin terjadi, penggunaan aset yang tidak tepat, pemborosan dan penyalahgunaan, atau aktivitas tata kelola yang buruk.
SIFAT PENGAUDITAN
TINJAUAN MENYELURUH PROSES AUDIT

Berikut merupakan tahapan tinjauan menyeluruh proses audit:
PERENCANAAN AUDIT
Perencanaan audit menentukan mengapa, bagaimana, kapan, dan oleh siapa audit akan dilaksanakan.
Audit direncanakan, sehingga jumlah terbesar pekerjaan audit berfokus pada area dengan faktor-faktor risiko tertinggi. Terdapat tiga jenis risiko audit:
  1. Risiko bawaan (inherent risk): kelemahan terhadap risiko material karena tidak tersedianya pengendalian internal.
  2. Risiko pengendalian (control risk): risikp saat suatu salah saji material akan melampaui struktur pengendalian internal ke dalam laporan keuangan.
  3. Risiko deteksi (detection risk): risiko ketika para auditor dan prosedur auditnya akan gagal mendeteksi sebuah kesalahan atau salah saji yang material.
PENGUMPULAN BUKTI AUDIT
Berikut cara-cara yang paling umum untuk mengumpulkan bukti audit:
  • observasi atas aktivitas-aktivitas yang diaudit (misalnya, menyaksikan bagaimana personel pengendalian data menangani pekerjaan pengolahan data saat diterima).
  • pemeriksaan atas dokumentasi untuk memahami bagaimana sebuah proses atau sistem pengendalian internal tertentu harusnya berfungsi.
  • diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka melakukan prosedur-prosedur tertentu.
  • kuesioner untuk mengumpulkan data
  • pemeriksaan fisik atas kuantitas dan/atau kondisi dari aset berwujud, seperti peralatan dan persediaan.
  • konfirmasi (confirmation): komunikasi tertulis dengan pihak ketiga yang independen untuk mengonfirmasi ketepatan informasi, seperti saldo akun pelanggan.
  • melakukan ulang (reperformance): melakukan perhitungan lagi untuk memverifikasi informasi kuantitatif.
  • pemeriksaan bukti pendukung (vouching): membandingkan entri jurnal dan buku besar akuntansi dengan bukti dokumentasi untuk memverifikasi bahwa sebuah transaksi valid, tepat, diotorisasi dengan layak, dan dicatat dengan benar.
  • tinjauan analitis (analytical review): pemeriksaan atas hubungan antara set-set data yang berbeda; hubungan dan trend yang tidak normal atau tidak biasa diselidiki.
EVALUASI ATAS BUKTI AUDIT
Materialitas (materiality): jumlah kesalahan, penipuan, atau pengabaian yang akan memengaruhi keputusan dari seorang pengguna informasi keuangan yang hati-hati.
Penjaminan memadai (reasonable assurance): mendapatkan jaminan penuh bahwa informasi yang benar adalah mahal, maka auditor menerima tingkatan yang masuk akal atas risiko bahwa kesimpulan audit salah.

KOMUNIKASI HASIL AUDIT
Auditor mengirimkan sebuah laporan tertulis yang merangkum temuan-temuan audit dan rekomendasi kepada manajemen, komite audit, dewan direksi, dan pihak-pihak lain yang berkepentingan.

PENDEKARAN AUDIT BERBASIS-RISIKO
Pendekatan evaluasi pengendalian internal berikut, disebut pendekatan audit berbasis-risiko, memberikan sebuah kerangka untuk menjalankan audit sistem informasi:
  1. Menentukan ancaman (penipuan dan kesalahan) yang akan dihadapi perusahaan.
  2. Mengidentifikasi prosedur pengendalian yang mencegah, mendeteksi, atau memperbaiki ancaman.
  3. Mengevaluasi prosedur pengendalian. Pengendalian dievaluasi dalam dua cara yaitu: 1)Tinjauan sistem (system review): sebuah langkah evaluasi pengendalian internal yang menentukan apakah prosedur pengendalian yang layak benar-benar dilaksanakan, 2) Uji pengendalian (test of control): uji untuk menentukan apakah pengendalian yang ada bekerja seperti yang dikehendaki.
  4. Mengevaluasi kelemahan pengendalian untuk menentukan dampaknya dalam jenis, waktu, atau tingkatan prosedur pengauditan. Pengendalian kompensasi (compensating control): prosedur pengendalian yang mengompensasi kelemahan dalam pengendalian data.
AUDIT SISTEM INFORMASI
Tujuan dari sebuah audit sistem informasi adalah untuk memeriksa dan mengevaluasi pengendalian internal yang melindungi sistem. Ketika melakukan sebuah audit sistem informasi, para auditor seharusnya memastikan bahwa enam tujaun berikut telah dicapai:
  1. Ketentuan keamanan untuk melindungi peralatan komputer, program, komunikasi, dan data-data dari akses, modifikasi, atau penghancuran yang tidak diotorisasi.
  2. Pengembangan dan akuisisi program dilakukan sesuai dengan otorisasi umum dan spesifikasi manajemen.
  3. Modifikasi program mendapatkan otorisasi dan persetujuan manajemen.
  4. Pemrosesan transaksi, file, laporan, catatan, dan catatan komputer lainnya tepat dan lengkap.
  5. Data sumber yang tidak diotorisasi dengan benar diidentifikasi dan ditangani berdasaekan kebijakan manajerial yang telah ditentukan.
  6. File-file data komputer tepat, lengkap, dan rahasia. 
Berikut komponen-komponen sistem informasi dan tujuan audit terkait:
TUJUAN 1: KEAMANAN SECARA MENYELURUH
Berikut kerangka kerja untuk audit keamanan komputer secara menyeluruh:
TUJUAN 2: PENGEMBANGAN PROGRAM DAN AKUISISI
Berikut kerangka kerja untuk audit pengembangan program:
TUJUAN 3: MODIFIKASI PROGRAM
Berikut kerangka kerja untuk audit modifikasi program:
Terdapat tugas cara untuk menguji perubahan program yang tidak diotorisasi:
  1. Program perbandingan kode sumber (source code comparison program): perangkat lunak yang membandingkan versi terkini atas sebuah program dengan kode sumbernya; perbedaan-perbedaam harus diotorisasi dengan layak dan digabungkan dengan benar.
  2. Pemrosesan ulang (reprocessing): menggunakan kode sumber untuk memproses ulang data dan membandingkan output dengan output perusahaan; perbedaan diselidiki untuk melihat apakah terdapat perubahan program tidak diotorisasi yang dibuat.
  3. Simulasi paralel (parallel simulation): menggunakan perangkat lunak yang ditulis auditor untuk mengolah data data dan membandingkan output dengan output perusahaan; perbedaan diselidiki untuk melihat apakah terdapat perubahan program tidak diotorisasi yang dibuat.
TUJUAN 4: PEMROSESAN KOMPUTER
Berikut kerangkat kerja untuk audit atas pengendalian pemrosesan komputer:
PENGOLAHAN DATA PENGUJIAN
Sumber daya berikut ini berguna ketika mempersiapkan pengujian data:
  • sebuah daftar atas transaksi-transaksi aktual.
  • transaksi-transaksi pengujian yang digunakan perusahaan untuk menguji program.
  • tes pembuatan data (test data generator): perangkat lunak yang berdasarkan spesifikasi program menghasilkan satu set data yang digunakan untuk menguji logika program.
TEKNIK-TEKNIK AUDIT BERSAMAAN
Teknik audit bersamaan (concurrent audit techniques): perangkat lunak yang terus menerus mengawasi sebuah sistem sementara ia mengolah data asli (live data) serta mengumpulkan, mengevaluasi, dan melaporkan informasi mengenai keterandalan sistem.
Modul audit yang dilekatan (embedded audit modules): segmen-segmen kode program yang menjalankan fungsi audit, melaporkan hasil pengujian, dan menyimpan bukti yang disimpan untuk diperiksa auditor.
Para auditor biasnya menggunakan lima teknik audit bersama sebagai berikut:
  1. Integrated test facility (ITF): menyisipkan sebuah entitas pelasu dalam sistem sebuah perusahaan; memproses transaksi-transaksi pengujian untuk memperbaharuinya tidak akan memengaruhi catatan aktual.
  2. Teknik snapshot (snapshot technique): menandai transaksi-transaksi dengan kode khusus, mencatatnya beserta catatan file induknya sebelum dan sesudah pemrosesan, dan menyimpan data untuk kemudian memverifikasi bahwa seluruh langkah pemrosesan dilakukan dengan benar.
  3. System control audit review file (SCARF): menggunakan modul audit yang dilekatkan untuk terus-menerus mengawasi aktivitas transaksi-transaksi, mengumpulkan data dalam transaksi dengan signifikansi audit khusus, serta menyimpannya untuk kemudian mengidentifikasi dan menyelidiki transaksi-transaksi yang dipertanyakan. Log audit (audit log): sebuah file yang memuat transaksi-transaksi yang memiliki signifikansi audit.
  4. Audit hooks: rutinitas audit yang memberitahu para auditor atas transaksi-transaksi yang dipertanyakan, biasanya saat transaksi-transaksi tersebut terjadi.
  5. Continous and intermittent simulation (CIS): melekatkan modul audit dalam sebuah DBMS yang menggunakan kriteria khusus untuk memeriksa seluruh transaksi yang memperbaruidatabase.
ANALISIS ATAS LOGIKA PROGRAM
Auditor menggunakan paket-paket perangkat lunak berikut:
  • Program bagan alir otomatis (automated flowcharting program): perangkat lunak yang mengartikan kode sumber sebuah program dan menghasilkan sebuah bagan alir atas logika program.
  • Program tabel keputusan otomastis (automated decision table program): perangkat lunak yang mengartikan kode sumber sebuah program dan menghasilkan sebuah tabel keputusan atas logika program.
  • Rutinitas pemindaian (scanning routines): perangkat lunak yang mencari sebuah program untuk seluruh kejadian atas komponen-komponen tertentu. 
  • Program pemetaan (mappping program): perangkat lunak yang mengidentifikasi kode program yang tidak dilakukan.
  • Penulusuran program (program tracing): secara berurutan mencetak seluruh langkah-langkah program yang dilakukan ketika sebuah program berjalan, bercampur dengan output reguler sehingga urutan kejadian yang dijalankan program dapat diamati.
TUJUAN 5: DATA SUMBER
Matriks pengendalian input: sebuah matriks yang menunjukkan prosedur-prosedur pengendalian yang diterapkan pada setiap field catatan input; digunakan untuk mendokumentasikan pemeriksaan atas pengendalian data sumber.
Berikut matriks pengendalian input:
Berikut kerangka kerja untuk audit atas pengendalian data sumber:
TUJUAN 6: FILE DATA
Berikut kerangka kerja untuk audit atas pengendalian file data:
PERANGKAT LUNAK AUDIT
Computer-assisted audit techniques (CAATs): perangkat lunak audit yang menggunakan spesifikasi yang disediakan oleh auditor untuk menghasilkan sebuah program untuk menjalankan fungsi audit.
Generalized audit software (GAs): perangkat lunak audit yang menggunakan spesifikasi yang disediakan oleh auditor untuk menghasilkan sebuah program untuk menjalankan fungsi audit.
Berikut beberapa pengunaan yang lebih penting atas CAATs:
  • meminta file data untuk memuat catatan yang memenuhi kriteria tertentu.
  • membuat, memperbarui, membandingkan, mengunduh, dan menggabungkan file.
  • merangkum, menyortir, dan menyaring data.
  • mengakses data dalam format yang berbeda dan mengubah data ke dalam sebuah format umum.
  • menguji catatan-catatan atas kualitas, kelengkapan, konsistensi, dan kebenaran.
  • membagi catatan berdasarkan tingkatan, memilih dan menganalisis samper statistis.
  • pengujian atas risiko tertentu dan mengidentifikasi bagaimana pengendalian atas risiko tersebut.
  • melakukan perhitungan, analisis statistis, dan operasi matematis lainnya.
  • melakukan pengujian analitis, seperti analisis rasio dan trean, mencari pola data yang tidak diduga atau tidak dijelaskan yang mungkin mengindikasikan penipuan.
  • mengidentifikasi kebocoran finansial, ketidakpatuhan atas kebijakan, dan kesalahan pengolah data.
  • merekonsiliasi perhitungan fisik dengan jumlah yang dikomputasi, menguji ketepatan kasir atas perluasan dan saldo, menguji item-item salinan.
  • memformat serta mencetak laporan dan dokumen.
  • membuat kertas kerja elektronik.
AUDIT OPERASIONAL SIA
Langkah pertama yaitu perencanaan audit. 
Langkah selanjutnya adlaah pengumpulan bukti, termasuk aktivitas-aktivitas sebagai berikut:
  • memeriksa kebijakan dan dokumentasi pengoperasian.
  • mengonfirmasi prosedur-prosedur dengan manajemen dan personel pengoperasian.
  • mengobservasi fungsi-fungsi dan aktivitas-aktivitas pengoperasian.
  • memeriksa rencana serta laporan finansial dan pengoperasian.
  • menguji ketepatam atas informasi pengoperasian.
  • menguji pengendalian

Komentar

Postingan populer dari blog ini

Bab 19: Topik Khusus Dalam Pemodelan Rea

Bab 16: Sistem Buku Besar Dan Pelaporan

Bab 12: Siklus Pendapatan: Penjualan Dan Penerimaan Kas