PAPER AUDIT
DAN ANALISIS SIA
DISUSUN OLEH:
Nelly Fela Sobalely (682010011)
Barbara B C Seroan (682010070)
Ray Veronica H (682010080)
Ega Yolanda Kawulusan (682010057)
Christy Susanti (68201027)
FAKULTAS TEKNOLOGI INFORMASI
UNIVERSITAS KRISTEN SATYA WACANA
FEBRUARI 2013
PENDAHULUAN
a.
Latar
belakang
Proses
audit SI adalah prosedur terstruktur yang digunakan oleh auditor untuk menilai
dan mengevaluasi efektivitas dari organisasi TI dan seberapa baik dukungannya
terhadap tujuan organisasi.
Proses
audit ini didukung oleh kerangka kerja (framework) yang tertuang dalam kode
etik, standar, pedoman, dan prosedur audit ISACA.
b.
Tujuan
Tujuan pengendalian intern adalah menjamin manajemen
perusahaan agar:
·
Tujuan perusahaan yang
ditetapkan akan dapat dicapai.
·
Laporan keuangan yang
dihasilkan perusahaan dapat dipercaya.
·
Kegiatan perusahaan sejalan
dengan hukum dan peraturan yang berlaku.
Pengendalian intern dapat mencegah kerugian atau pemborosan
pengolahan sumber daya perusahaan. Pengendalian intern dapat menyediakan
informasi tentang bagaimana menilai kinerja perusahaan dan manajemen perusahaan
serta menyediakan informasi yang akan digunakan sebagai pedoman dalam
perencanaan.
c.
Manfaat
Penulisan
paper ini bermanfaat agar
memberikan informasi
tentang manajemen audit,
Kebijakan, Standar, Prosedur, dan Pedoman menurut ISACA, Analisis Resiko and
pengendalian internal.
TINJAUAN
PUSTAKA
Definisi
Information System Audit Manajemen
Manajemen
audit adalah sebuah proses perencanaan, pengorganisasian, pengkordinasian, dan
pengontrolan dalam proses audit atau pemeriksaan atau evaluasi terhadap suatu
organisasi, sistem, proses atau produk yang akan diaudit.
PEMBAHASAN
Audit harus dikelola
karena:
Audit harus dikelola agar hasil audit yang
didapatkan sesuai dengna perencanaan dan proses audit yang ada berjalan sesuai
dengan standar yang telah disetujui dan dilaksanakan secara benar,
terorganisir, dan sesuai dengan jadwal.
kebijakan,
standar, prosedur dan pedoman audit menurut ISACA
Standar
audit ISACA mengharuskan auditor terus belajar tentang teknologi baru,
bagaimana teknologi mendukung proses bisnis, dan bagaimana teknologi harus
dikendalikan.
·
Pelatihan dan seminar ISACA,
·
Pelatihan materi-materi ISACA,
·
Pelatihan webminars, dll untuk meningkatkan pengetahuan
auditor
Standar
adalah
pernyataan bahwa semua auditor SI diharapkan untuk mengikuti dan dapat dianggap
sebagai aturan hukum untuk para auditor.
Index of IT Audit and Assurance Standards
|
Effective Date
|
S1 Audit charter
|
1 January 2005
|
S2 Independence
|
1 January 2005
|
S3 Professional
Ethics and Standards
|
1 January 2005
|
S4 Competence
|
1 January 2005
|
S5 Planning
|
1 January 2005
|
S6 Performance of
Audit Work
|
1 January 2005
|
S7 Reporting
|
1 January 2005
|
S8 Follow-up
Activities
|
1 January 2005
|
S9 Irregularities
and Illegal Acts
|
1 September 2005
|
S10 IT Governance
|
1 September 2005
|
S11 Use of Risk
Assessment in Audit Planning
|
1 November 2005
|
S12 Audit
Materiality
|
1 July 2006
|
S13 Using the Work
of Other Experts
|
1 July 2006
|
S14 Audit Evidence
|
1 July 2006
|
S15 IT Controls
|
1 February 2008
|
S16 E-commerce
|
1 Februari 2008
|
S1 Audit Charter
Tujuan dari IS Standar Audit adalah untuk membangun
dan memberikan bimbingan mengenai Piagam Audit yang digunakan selama proses
audit. Standar ini ISACA efektif untuk semua sistem
informasi audit yang dimulai pada atau setelah tanggal 1 Januari 2005
S2 Independence
Tujuan dari IS Standar Audit adalah untuk menetapkan
standar dan pedoman mengenai kemerdekaan selama proses audit. Standar ini ISACA efektif untuk semua audit sistem informasi mulai 1
Januari 2005.
S3 Professional Ethics and Standards
Tujuan dari IS Standar Audit adalah untuk menetapkan
standar dan memberikan panduan bagi auditor IS untuk mematuhi Kode Etik
Profesional ISACA dan berhati-hati dalam melakukan profesional karena tugas
audit. IS Standar Auditing yang efektif untuk semua audit
sistem informasi dimulai pada 1 Januari 2005.
S4 Professional Competence
Tujuan dari IS Standar Audit adalah untuk membangun
dan memberikan bimbingan sehingga IS auditor diperlukan untuk mencapai dan
mempertahankan kompetensi profesional. IS Standar Auditing
yang efektif untuk semua audit sistem informasi mulai 1 Januari 2005.
S5 Planning
Tujuan dari IS Standar Audit adalah untuk menetapkan
standar dan memberikan panduan tentang perencanaan audit. IS
Standar Auditing yang efektif untuk semua audit sistem informasi mulai 1
Januari 2005.
S6 Performance of Audit Work
Tujuan dari IS Standar Audit adalah untuk menetapkan
standar dan memberikan bimbingan mengenai pelaksanaan pekerjaan audit. IS Standar Auditing yang efektif untuk semua audit sistem informasi
mulai 1 Januari 2005.
S7 Reporting
Tujuan dari IS Standar Audit adalah untuk membangun
dan memberikan bimbingan mengenai pelaporan sehingga auditor IS dapat memenuhi
tanggung jawab ini. IS Standar Auditing yang efektif untuk
semua audit sistem informasi mulai 1 Januari 2005
S8 Follow-Up Activities
Tujuan dari IS Standar Audit adalah untuk menetapkan
standar dan memberikan panduan tentang tindak lanjut kegiatan yang dilakukan
selama proses audit IS. IS Standar Auditing yang efektif
untuk audit sistem informasi mulai 1 Januari 2005
S9 Irregularities and Illegal Acts
Tujuan dari Standar ISACA adalah untuk membangun dan
memberikan bimbingan pada penyimpangan dan tindakan ilegal yang auditor IS
harus mempertimbangkan selama proses audit. Standar ini
ISACA efektif untuk semua sistem informasi audit yang dimulai pada atau setelah
1 September 2005.
S10 IT Governance
Tujuan standar ini ISACA adalah untuk membangun dan
memberikan bimbingan pada bidang TI pemerintahan yang IS kebutuhan auditor
untuk mempertimbangkan selama proses audit. Standar ini ISACA efektif untuk
semua audit sistem informasi 1 September 2005.
S11 Use of Risk Assessment in Audit Planning
Tujuan dari standar ini adalah untuk menetapkan
standar dan memberikan bimbingan mengenai penggunaan penilaian risiko dalam
perencanaan audit. Standar ini berlaku efektif untuk IS audit dimulai pada atau
setelah tanggal 1 November 2005.
S12 Audit Materiality
Tujuan dari IS standar audit adalah untuk membangun
dan memberikan bimbingan pada konsep materialitas audit dan hubungannya dengan
risiko audit. Standar ini ISACA efektif untuk semua IS audit yang dimulai pada
atau setelah 1 Juli 2006.
S13 Using the Work of Other Experts
Tujuan dari IS Standar Audit adalah untuk membangun
dan memberikan bimbingan kepada auditor IS yang menggunakan karya ahli lain
pada audit. Standar ini ISACA efektif untuk semua IS audit mulai 1 Juli 2006.
S14 Audit Evidence
Tujuan dari standar ini adalah untuk menetapkan
standar dan memberikan bimbingan tentang apa yang merupakan bukti audit, dan
kualitas dan kuantitas bukti audit yang diperoleh oleh auditor IS. Standar ini
berlaku efektif untuk audit sistem informasi mulai 1 Juli 2006.
S15 IT Controls
Tujuan standar ini ISACA adalah untuk menetapkan
standar dan memberikan panduan tentang IT kontrol. Standar ini berlaku efektif
untuk ISACA IS audit mulai 1 Februari 2008.
S16 E-Commerce
Tujuan standar ini ISACA adalah untuk menetapkan
standar dan memberikan bimbingan mengenai review e-commerce lingkungan. Standar
ini berlaku efektif untuk ISACA IS audit mulai 1 Februari 2008.
Pedoman
adalah pernyataan yang membantu auditor SI lebih
memahami bagaimana standar ISACA dapat diterapkan.
Index
of IT Audit and Assurance Guidelines
|
Effective Date
|
G1 Using the Work of Other Auditors
|
1 June 1998 Revised 1 March 2008
|
G2 Audit Evidence Requirement
|
1 December 1998 Revised 1 May 2008
|
G3 Use of Computer Assisted Audit Techniques
(CAATs)
|
1 December 1998 Revised 1 May 2008
|
G4 Outsourching of IS Activities to Other
Organisations
|
1 September 1999 Revised 1 May 2008
|
G5 Audit Charter
|
1 September 1999 Revised 1 February 2008
|
G6 Materiality Concepts for Auditing
Information System
|
1 September 1999 Revised 1 May 2008
|
G7 Due Professional Care
|
1 September 1999 Revised 1 March2008
|
G8 Audit Documentation
|
1 September 1999 Revised 1 March2008
|
G9 Audit Considerations for Irregularities
and Illegal Acts
|
1 March 2000 Revised 1 September 2008
|
G10 Audit Sampling
|
1 March 2000 Revised 1 August 2008
|
G11 Effect of Pervasive IS Controls
|
1 March 2000 Revised 1 August 2008
|
G12 Organisational Relationship and
Independence
|
1 September 2000 Revised 1 August 2008
|
G13 Use of Risk Assessment in Audit Planning
|
1 September 2000 Revised 1 August 2008
|
G14 See Generic Application Audit/Assurance
Program
|
Withdrawn 14 January 2013
|
G15 Audit Planning Revised
|
1 May 2010
|
G16 See Outsourced IT Enviroments
Audit/Assurance Program
|
Withdrawn 14 January 2013
|
G17 Effect Of Nonaudit Role on the IT Audit
and Assurance Profesional’s Independence
|
1 May 2010
|
G18 IT Governance
|
1 July 2002
|
G19 Irregularities and Illegal Acts
|
1 July 2002
|
G20 Reporting
|
1 January 2003 Revised 16 August 2010
|
G21 See Security Audit and Control Features
SAP ERP 3rd Edition
|
Withdrawn 14 January 2013
|
G22 See E-commerce and PKI Audit/Assurance
Program
|
Withdrawn 14 January 2013
|
G23 See Systems Development and Project
Management Audit/Assurance Program
|
Withdrawn 14 January 2013
|
G24 Internet Banking
|
Withdrawn 14 January 2013
|
G25 See VPN Security Audit/Assurance Program
|
Withdrawn 14 January 2013
|
G26 Business Process Reengineering (BPR)
Project Reviews
|
Withdrawn 14 January 2013
|
G27 See Mobile Computing
|
Withdrawn 14 January 2013
|
G28 Computer Forensies
|
Withdrawn 14 January 2013
|
G29 See Systems Development and Project
Management Audit/Assurance Program
|
Withdrawn 14 January 2013
|
G30 Competence
|
1 June 2005
|
G31 Privace
|
1 June 2005
Withdrawn 14 January 2013
|
G32 Bussiness Continuity Plan (BCP) Review
From IT Perspective
|
1 September 2005 Withdrawn 14 January 2013
|
G33 General Consideration on the Use of the
Internet
|
1 March 2006
Withdrawn 14 January 2013
|
G34 Responsibility, Authority and
Accountability
|
1 March 2006
|
G35 Follow-up Activities
|
1 March 2006
|
Prosedur
adalah contoh langkah-langkah yang dapat diikuti
ketika audit perusahaan yang spesifik atau teknologi yang digunakan dalam SI.
Analisis resiko
adalah sebuah
prosedur untuk mengenali satu ancaman dan kerentanan, kemudian menganalisanya
untuk memastikan hasil pembongkaran, dan menyoroti bagaimana dampak-dampak yang
ditimbulkan dapat dihilangkan atau dikurangi.
Analisis Resiko dapat
dilakukan dengan cara:
§
Evaluasi Proses Bisnis
Tujuan
evaluasi proses bisnis adalah untuk menentukan tujuan dan pentingnya kegiatan
bisnis.
Dokumentasi
proses bisnis yang tersedia harus diperoleh sebelum melakukan audit, antara
lain:
§
Dokumen pernyataan visi
dan misi organisasi
§
Arsitektur proses
bisnis
§
Prosedur proses bisnis
§
Arsip dokumen-dokumen
perusahaan
§
Sistem informasi
pendukung (contoh: diagram arsitektur, prosedur komputer, diagram jaringan,
skema database dan sebagainya)
§
Identifikasi Resiko
Bisnis
Proses
mengidentifikasi risiko bisnis adalah menggunakan sebagian analitis dan
sebagian berdasarkan pengalaman dari auditor. Auditor biasanya akan
melakukan analisis ancaman untuk mengidentifikasi resiko. Sebuah analisis resiko
adalah kegiatan dimana auditor mempertimbangkan resiko yang mungkin terjadi dan
memilih resiko-resiko tersebut yang masuk akal untuk dilakukan audit.
Bisa juga dengan cara :
a.
Menentukan ruang
lingkup (scope statement).
Hal ini harus dipercayai oleh semua kalangan
pihak yang menaruh perhatian pada masalah. Dalam menentukan ruang lingkup ini,
ada tiga hal yang harus diperhatikan, yaitu menentukan secara tepat apa yang
harus dievaluasi, mengemukakan apa jenis analisis resiko yang akan digunakan,
dan mengajukan hasil yang diharapkan.
b.
Menetapkan aset (asset
pricing).
Pada
langkah kedua ini, semua sistem informasi ditentukan secara spesifik ke dalam
ruang lingkup yang telah dirancang, kemudian ditaksir ‘harga’ (price)-nya.
c.
Menentukan koefisien
dampak.
Semua
aset memiliki kerentanan yang tidak sama terhadap suatu resiko. Oleh sebab itu
perlu dicermati dan diteliti sejauh mana sebuah aset dikenali sebagai hal yang
rentan terhadap sesuatu, serta perbandingannya dengan aset yang justru kebal
sama sekali.
d.
Single loss expectancy
atau ekspetasi kerugian tunggal.
Pada
poin ini, aset-aset yang berbeda akan menanggapi secara berbedap pula
ancaman-ancaman yang diketahui.
e.
Group evaluation atau
evaluasi kelompok,
yaitu
langkah lanjutan yang melibatkan sebuah kelompok pertemuan yang terdiri dari
para pemangku kepentingan terhadap sistem yang dianalisis (diteliti). Pertemuan
ini harus terdiri dari individu yang memiliki pengetahuan tentang
komponen-komponen yang beragam tersebut, tentang ancaman dan kerentanan dari
sistem serta pengelolaan dan tanggung jawab operasi untuk memberikan bantuan
dalam penentuan secara keseluruhan. Pada langkah ini lah biasanya metode
hibrida dalam analisis resiko dilakukan.
f.
Melakukan kalkulasi
(penghitungan) dan analisis.
Terdapat dua macam analisis. Pertama, across
asset, yaitu analisis yang bertujuan untuk menunjukkan aset-aset tertentu yang
perlu mendapat perlindungan paling utama. Kedua, across risk, yaitu analisis
yang bertujuan untuk menunjukkan ancaman apa dan bagaimana yang paling harus
dijaga.
g.
Controls atau
pengendalian,
yaitu
segala hal yang kemudian diterapkan untuk mencegah, mendeteksi, dan meredakan
ancaman serta memperbaiki sistem.
h.
Melakukan analisis
terhadai control atau pengendalian.
Ada
dua metode yang dapat dilakukan dalam menganalisis aksi kontrol ini, yaitu cost
and benefit ratio dan risk or control.
Faktor-faktor yang mempengaruhi analisis resiko:
§ Probabilitas terjadinya
§ Dampak/kerugian yang
ditimbulkan
§ Kemungkinan mengurangi
pengendalian
§ Pengaruh terhadap biaya
dan usaha
Pengendalian Internal
pengendalian
internal merupakan rencana, metoda, prosedur, dan kebijakan yang didesain oleh
manajemen untuk memberi jaminan yang memadai atas tercapainya efisiensi dan
efektivitas operasional, kehandalan pelaporan keuangan, pengamanan terhadap
aset, ketaatan/kepatuhan terhadap undang-undang, kebijakan dan peraturan lain.
Dapat juga berarti kebijakan,
prosedur, mekanisme, sistem, dan tindakan lain yang dirancang untuk mengurangi
risiko yang dikenal sebagai pengendalian internal. Pengendalian diciptakan
karena memiliki dua fungsi dalam organisasi yaitu:
- Diciptakan untuk mencapai tujuan
yang diinginkan.
- Diciptakan untuk menghindari
kejadian/resiko yang tidak diinginkan.
Pengendalian interal
dilakukan karena:
a.
Menjaga kekayaan organisasi.
·
Penggunaan kekayaan
perusahaan hanya melalui sistem otorisasi yang telah ditetapkan
·
Pertanggung jawaban
kekayaan perusahaan yang dicatat
dibandingkan dengan kekayaan yang sesungguhnya.
b.
Memeriksa ketelitian dan kebenaran data akuntansi.
·
Pelaksanaan transaksi
melalui sistem otorisasi yang telah ditetapkan.
·
Pencatatan transaksi
yang terjadi tercatat dengan benar di dalam catatan akuntansi perusahaan.
c.
Memberikan jaminan yang wajar bahwa setiap perusahaan melakukan suatu control
yang dapat meminimalisasi
Bagaimana memulai
kegiatan audit?
a. Pemahaman
auditor terhadap objek audit.
Objek
audit meliputi keseluruhan perusahaan dan/atau kegiatan yang dikelola oleh
perusahaan tersebut dalam rangka mencapai tujuannya. Untuk mencapai tujuannya,
objek audit menetapkan berbagai program yang pelaksanaannya dijabarkan ke dalam
berbagai bentuk kegiatan. Auditor harus mengkomunikasikan dengan atasan
pengelola objek atau pemberi tugas audit tentang pemahamannya terhadap berbagai
program/aktivitas objek audit untuk menghindari terjadinya kesalahpahaman.
Komunikasi ini lebih efektif jika dilakukan secara tertulis, dengan meminta
tanggapan pemberi tugas audit tentang hal-hal berikut :
·
Informasi yang
mendukung tujuan audit.
·
Informasi yang
mengarahkan ruang lingkup audit
·
Informasi yang mengarah
pada tujuan audit
b. Penentuan
tujuan audit.
Tujuan
audit harus mengacu pada alasan mengapa audit harus dilakukan pada objek audit
dan didasarkan pada penugasan audit. Dalam merumuskan tujuannya, auditor dapat
melakukannya dengan cara sebagai berikut:
·
Mengidentifikasi tujuan
yang ada, yang mungkin mempunyai arti penting pada pemberi tugas.
·
Mempertimbangkan tujuan
audit yang telah ditetapkan pada masa sebelumnya.
·
Membahas dengan pemberi
tugas dan pengelola objek audit.
c. Penentuan
ruang lingkup dan tujuan audit.
Ruang
lingkup audit menunjukkan luas(area) dari tujuan audit. Penentuan ruang lingkup
audit harus mengacu pada tujuan audit yang telah ditetapkan. Secara garis besar
ruang lingkup audit manajemen terdiri atas:
·
Bidang keuangan
·
Ketaatan kepada
peraturan dan kebijakan perusahaan
·
Ekonomisasi
·
Efisiensi
·
Efektivitas
d. Review
terhadap peraturan dan perundang-undangan yang berkaitan dengan objek audit.
Review(penelaahan)
ini bertujuan untuk memperoleh informasi tentang peraturan-peraturan yang
berhubungan dengan objek audit baik bersifat umum maupun yang berhubungan
khusus dengan berbagai program/aktivitas yang diselenggarakan pada objek audit.
Dengan penelaahan ini auditor dapat memahami batas-batas wewenang objek audit
dan berbagai program yang dilaksanakan dalam mencapai tujuannya
PUSTAKA
----------------------------------------------------------------------------------------------------------
TUGAS 2&3
AUDIT DAN ANALISIS SIA
Information Systems Security
Policies, Standars, Procedures, and/or Guidelines
Audit Based on Risk Analysis
Kelompok
4 :
Fieka Amadea H 682010001
Yohanna Amelia 682010007
Juwita Artanti K 682010008
Sie, Monica Elvira 682010009
Artantia Krisnadevi 682010054
FAKULTAS
TEKNOLOGI INFORMASI
UNIVERSITAS
KRISTEN SATYA WACANA
2013
1. Manajemen
Audit
-
pengevaluasian terhadap
efisiensi dan efektivitas operasional perusahaan.
-
investigasi dari suatu
organisasi dalam semua aspek kegiatan manajemen dari yang paling tinggi sampai
dengan ke bawah bawah dimulai dari perencanaan, kegiatan operasional,
pengawasan, dan dan pembuatan laporan audit mengenai efektifitasnya atau dari
segi profitabilitas dan efisiensi kegiatan bisnisnya.
-
bentuk
pemeriksaan untuk menilai, menganalisis, meninjau ulang hasil perusahaan,
apakah telah berjalan secara efektif dan efisien serta mengidentifikasi
kekurangan-kekurangan dan kemudian melaksanakan pengujian penelahaan atas ketidakhematan, ketidakefisienan maupun ketidakefektifan untuk selanjutnya
memberikan rekomendasi rekomendasi perbaikan demi tercapainya tujuan
perusahaan.
2. Mengelola
Audit
·
Untuk memperbaiki dan
mengingkatkan kegiatan, aktivitas dan program pada perusahaan baik segi
ekonomisasi, efisiensi maupun efektivitasnya.
·
Untuk menilai
kinerja dari manajemen
dan berbagai fungsi dalam perusahaan.
·
Untuk menilai
apakah berbagai sumber daya yg dimiliki perusahaan telah digunakan secara efisien dan ekonomis.
·
Untuk menilai
efektifitas perusahaan dalam mencapai tujuan yg telah ditetapkan oleh top management.
·
Untuk dapat
memberikan rekomendasi kepada top management dalam memperbaiki kelemahan-kelemahan yg terdapat dalam penerapan struktur
pengendalian intern sistem pengendalian manajemen dan prosedur operasional
perusahaan dalam rangka meningkatkan efisiensi keekonomisan dan efektifitas
dari kegiatan operasi perusahaan.
3. Kebijakan,
Standar, Prosedur, dan Pedoman Audit menurut ISACA
ISACA standars, guidelines, and procedures yang secara
teknis diatur dalam CObIT (Control Objectives for Information and Related
Technology), meliputi :
·
CObIT
executive summary
·
CObIT
framework
·
CObIT
Control Objectives
·
CObIT
Control Practices
·
CObIT
Management Guidelines
·
CObIT
Security Baseline
Menurut Information
Systems Audit and Control Association (ISACA) standar untuk audit system
informasi adalah :
010
|
Audit Chapter
|
010.010
|
Responsibility, Authority and
Accountability (definisi dari tanggung jawab, otoritas, dan accountibility
dari fungsi audit SI lebih tepat bila didokumentasikan dalam suatu surat
perjanjian)
|
020
|
Independence
|
020.010
|
Professional Independence (auditor
harus bersikap independen dalam tingkah laku dan tindakannya)
|
020.020
|
Organizational Relationship (fungsi
audit SI harus berada independen dari area yang diaudit untuk mencapai tujuan
objektivitas dari suatu proses audit)
|
030
|
Professional Ethics and Standard
|
030.010
|
Code of Professional Ethics (auditor
SI harus menghormati dan menaati etika profesional dari ISACA)
|
030.020
|
Due Professional Care (standar
auditing profesional harus diterapkan dalam segala aspek pekerjaan yang
dilakukan oleh auditor SI)
|
040
|
Competence
|
040.010
|
Continuing Professional Education
(auditor harus memaintain kompetensi teknikal melalui pendidikan lanjut
profesional)
|
050
|
Planning
|
050.010
|
Audit Planning (auditor SI harus
merencanakan perencanaan audit system untuk menempatkan tujuan audit dan
untuk melengkapi standar professional audit)
|
060
|
Performance of Audit Work
|
060.010
|
Supervision (staf dari audit SI harus
tepat untuk dapat menjamin tujuan dari audit dijalankan dan standar
professional auditing dapat terpenuhi)
|
060.020
|
Evidence (selama masa pekerjaan audit,
auditor SI harus mendapatkan bukti yang tepat, dapat dipercaya, relevan dan
berguna untuk mencapai tujuan objektif dari suatu audit)
|
070
|
Reporting
|
070.010
|
Report Content and Form (auditor SI
harus menyediakan report dalam bentuk yang tepat pada saat penyelesaian tugas
audit. Laporan audit berupa lingkup, tujuan, periode audit, dan lingkungan
dimana audit dijalankan. Laporan audit harus mengidentifikasikan permasalahan
yang terjadi dalam jangka waktu audit. Laporan audit juga untuk memberikan
rekomendasi dari layanan atau kualifikasi yang diberikan auditor terhadap
tugas audit yang dijalankan)
|
080
|
Follow Up Activities
|
080.010
|
Follow Up (auditor SI harus meminta
dan mengevaluasi informasi yang sesuai dari penemuan yang terdahulu untuk
mendefinisikan tindakan yang tepat yang harus diimplementasikan dalam satu
periode waktu)
|
4. Analisis
Resiko
Merupakan suatu usaha
untuk memahami faktor penilaian, karakterisasi, komunikasi, manajemen dan
kebijakan yang berkaitan dengan resiko. Hasil analisis resiko akan menjadi
masukan untuk evaluasi resiko dan proses pengambilan keputusan mengenai tindakan
yang tepat untuk menyelesaikan resiko tersebut. Selain itu, analisis resiko merupakan sebuah tindakan untuk mengenali suatu ancaman kemudian
menganalisanya untuk memastikan tindakan penyelesaiannya.
5. Melakukan
Analisis Resiko
Menurut
J. W. Meritt, terdapat beberapa hal atau langkah yang perlu diperhatikan dalam
menerapkan metode analisis resiko secara umum, yaitu sebagai berikut:
1. Pertama,
menentukan ruang lingkup (scope statement). Hal ini harus dipercayai
oleh semua kalangan pihak yang menaruh perhatian pada masalah. Dalam menentukan
ruang lingkup ini, ada tiga hal yang harus diperhatikan, yaitu menentukan
secara tepat apa yang harus dievaluasi, mengemukakan apa jenis analisis resiko
yang akan digunakan, dan mengajukan hasil yang diharapkan.
2. Menetapkan
aset (asset pricing). Pada langkah kedua ini, semua sistem informasi
ditentukan secara spesifik ke dalam ruang lingkup yang telah dirancang,
kemudian ditaksir ‘harga’ (price)-nya.
3. Risks
and Threats. Resiko (risk) adalah
sesuatu yang dapat menyebabkan kerugian atau mengurangi nilai kegunaan
operasional sistem. Sedangkan ancaman (threats) adalah segala sesuatu
yang harus dipertimbangkan karena kemungkinannya yang dapat terjadi secara
bebas di luar sistem sehingga memunculkan satu resiko.
4. Menentukan
koefisien dampak. Semua aset memiliki kerentanan yang tidak sama terhadap suatu
resiko. Oleh sebab itu perlu dicermati dan diteliti sejauh mana sebuah aset
dikenali sebagai hal yang rentan terhadap sesuatu, serta perbandingannya dengan
aset yang justru kebal sama sekali.
5. Single
loss expectancy atau ekspetasi kerugian
tunggal. Pada poin ini, Meritt menjelaskan bahwa aset-aset yang berbeda akan
menanggapi secara berbedap pula ancaman-ancaman yang diketahui.
6. Group
evaluation atau evaluasi kelompok, yaitu
langkah lanjutan yang melibatkan sebuah kelompok pertemuan yang terdiri dari
para pemangku kepentingan terhadap sistem yang dianalisis (diteliti). Pertemuan
ini harus terdiri dari individu yang memiliki pengetahuan tentang
komponen-komponen yang beragam tersebut, tentang ancaman dan kerentanan dari
sistem serta pengelolaan dan tanggung jawab operasi untuk memberikan bantuan
dalam penentuan secara keseluruhan. Pada langkah ini lah biasanya metode
hibrida dalam analisis resiko dilakukan.
7. Melakukan
kalkulasi (penghitungan) dan analisis. Terdapat dua macam analisis.
Pertama, across asset, yaitu analisis yang bertujuan untuk
menunjukkan aset-aset tertentu yang perlu mendapat perlindungan paling utama.
Kedua, across risk, yaitu analisis yang bertujuan untuk menunjukkan
ancaman apa dan bagaimana yang paling harus dijaga.
8. Controls atau
pengendalian, yaitu segala hal yang kemudian diterapkan untuk mencegah,
mendeteksi, dan meredakan ancaman serta memperbaiki sistem.
9. Melakukan
analisis terhadai control atau pengendalian. Ada dua metode
yang dapat dilakukan dalam menganalisis aksi kontrol ini, yaitu cost
and benefit ratio dan risk or control.
6. Pengendalian
Internal
-
suatu
proses, yang dipengaruhi oleh sumber daya manusia dan sistem teknologi
informasi, yang dirancang untuk membantu organisasi mencapai suatu tujuan
tertentu.
-
suatu
cara untuk mengarahkan, mengawasi, dan mengukur sumber daya suatu organisasi.
Ia berperan penting untuk mencegah dan mendeteksi penggelapan (fraud) dan
melindungi sumber daya organisasi baik yang berwujud (seperti mesin dan lahan)
maupun tidak (seperti reputasi atau hak kekayaan intelektual seperti merek
dagang).
7. Perlunya
Pengendalian Internal
-
Untuk memastikan bahwa risiko
yang relevan teridentifikasi, proses identifikasi risiko harus dilakukan secara
sistematis dan didokumentasikan dengan jelas. Dokumentasi dapat
bervariasi, dari cukup dilakukan dengan spreadsheet untuk organisasi
yang kecil hingga penggunaan perangkat lunak yang canggih untuk organisasi yang
kompleks. Prinsipnya adalah bahwa kerangka kerja manajemen risiko
didokumentasikan secara keseluruhannya.
-
Sebagai
umpan balik yang tepat waktu terhadap pencapaian tujuan-tujuan operasional dan
strategis, serta kepatuhan pada hukum dan regulasi.
8. Kegiatan
Audit
·
Merencanakan audit
·
Mengidentifikasi resiko
dan kendali
·
Mengevaluasi kendali
dan mengumpulkan bukti
·
Mendokumentasikan
temuan-temuan dan mendiskusikan dengan auditor
·
Laporan akhir dan
mempresentasikan hasil-hasil yang diperoleh
-------------------------------------------------------------------------------------------------------
Paper Audit dan Analisis
Sistem Informasi Akuntansi
“Information Systems Security Policies, Standars, Procedures, and/or Guidelines
& Audit Based on Risk
Analysis“
Disusun
oleh :
682010023
- Stella Lie
682010010
- Adriana Wenno
682010031 - Kevin Noya
682010053 – Feby Djoko
682007005 – Radithya Pattipeilohy
682010031 - Kevin Noya
682010053 – Feby Djoko
682007005 – Radithya Pattipeilohy
Fakultas
Teknologi Informasi
Universitas Kristen Satya Wacana
Universitas Kristen Satya Wacana
Salatiga,
2013
I.
PENDAHULUAN
Informasi merupakan salah satu sumber
daya strategis suatu organisasi, oleh karena itu, untuk mendukung tercapainya
visi dan misi suatu organisasi, pengelolaan informasi menjadi salah satu kunci
sukses. Sistem informasi
merupakan salah satu sub sistem organisasi untuk mengelola informasi. Saat ini
sistem informasi dioperasikan oleh hampir seluruh sumber daya manusia suatu
organisasi sehingga tidak dapat dipisahkan dengan operasi dan kehidupan
organisasi. Teknologi informasi merupakan komponen penting dari sistem
informasi, selain data/informasi, sumber daya manusia dan organisasi. Teknologi
informasi yang dimaksud adalah teknologi telematika, telekomunikasi dan
informatika, yang mencakup teknologi komputer (perangkat keras, perangkat
lunak) dan didukung dengan teknologi telekomunikasi, khususnya komunikasi data
digital sebagai infrastruktur dari jaringan komputer. Perlu teknik untuk
mengendalikan dan memastikan bahwa sistem informasi sudah sesuai dengan tujuan
organisasi. Audit sitem informasi merupakan suatu cara untuk menilai sejauh
mana suatu sistem informasi telah mencapai tujuan organisasi.
II.
PEMBAHASAN
1. Apa yang dimaksud dengan manajemen audit?
Manajemen audit adalah pengevaluasian terhadap efisiensi dan efektifitas perusahaan.
2. Mengapa audit harus dikelola?
a. Untuk Memberi
informasi operasi yang relevan dan tepat waktu untuk pengambilan keputusan.
b. Untuk membantu
manajemen dalam mengevaluasi catatan laporan-laporan dan pengendalian.
c. Memastikan
ketaatan terhadap kebijakan manajerial yang ditetapkan rencana-rencana prosedur
serta persyaratan peraturan pemerintah.
3.
Sebutkan dan jelaskan kebijakan,
standar, prosedur, dan pedoman audit menurut ISACA!
Information Systems Audit and Control Association
(ISACA), didirikan tahun 1969, merupakan organisasi profesional auditor TI
terbesar yang memiliki lebih dari dua puluh lima ribu anggota di lebih dari
seratus negara dan memiliki sertifikasi lebih dari 29.000 IT auditor. ISACA
memiliki bagian penelitian, Sistem Informasi Audit dan Control Foundation, yang
melakukan penelitian dan publikasi isu-isu yang membimbing IT audit
profesional.
ISACA mulai menawarkan sertifikasi CISA tahun 1978.
Sebuah CISA harus berhasil menyelesaikan ujian yang diselenggarakan setiap
tahun, memenuhi persyaratan pengalaman profesional, mematuhi kelompok
Profesional Kode Etik, dan memenuhi persyaratan pendidikan berkelanjutan.
Sertifikasi secara umum membutuhkan pengalaman
minimal lima tahun dalam IT audit, kontrol, atau keamanan, meskipun ada
beberapa pilihan tersedia yang akan mengesampingkan bagian dari persyaratan
ini. Sebagai contoh, profesional dapat mengganti satu tahun pengalaman audit
keuangan untuk satu tahun praktik audit TI. Pengalaman ini harus berada dalam
sepuluh tahun sebelum tanggal permohonan sertifikasi atau dalam lima tahun
kelulusan.
CISA professional juga harus setuju dengan kode etik
profesional yang dirancang untuk membimbing mereka dalam perilaku mereka dan
untuk menaati Sistem Informasi Standar ISACA. Karena karir IT audit membutuhkan
pembelajaran lebih lanjut, sebuah CISA harus menyelesaikan dua puluh jam kontak
melanjutkan pendidikan setiap tahun dan 120 jam kontak dalam jangka waktu tiga
tahun untuk mempertahankan sertifikasi.
Menyadari
kompleksitas audit TI, Dewan Standar ISACA menerbitkan standar, pedoman, dan prosedurAudit TI. Standar ini menetapkan
tingkat kinerja minimum yang diperlukan untuk mematuhi Kode Etik Profesional
ISACA, dan mereka juga memberitahukan kepada manajemen dan yang lainnya
mengenai jenis pekerjaan yang harus dicakup oleh audit TI. Sebuah CISA yang
berlisensi harus memenuhi standar ISACA atau penyelidikan reputasi dan tindak
kedisiplinan. Pedoman ini memberikan bantuan dalam menerapkan standar, dan
prosedur langkah-langkah auditor IT dalam mengambil kebijakan sepanjang
perjanjian audit.
Sifat
khusus dari sistem informasi (IS) audit dan keterampilan yang diperlukan untuk
melaksanakan audit tersebut memerlukan standar yang berlaku khusus untuk IS
audit. Salah satu tujuan dari ISACA ® adalah untuk memajukan standar global
yang berlaku untuk memenuhi visinya. Pengembangan dan penyebaran Standar Audit
IS adalah batu penjuru dari kontribusi ISACA profesional untuk komunitas audit.
Itu kerangka untuk Standar Audit IS menyediakan berbagai tingkat bimbingan:
Standar menetapkan
persyaratan wajib untuk IS audit dan pelaporan. Mereka menginformasikan:
·
IS auditor dari tingkat minimum
kinerja yang dapat diterima yang diperlukan untuk memenuhi tanggung jawab
profesional yang ditetapkan dalam ISACA Kode Etik Profesional
·
Manajemen dan pihak
berkepentingan lainnya dari harapan profesi tentang pekerjaan praktisi
·
Pemegang Auditor Sistem
Informasi Certified ™ (CISA ®) penetapan persyaratan. Kegagalan untuk mematuhi standar
dapat mengakibatkan investigasi perilaku pemegang CISA oleh Dewan Direksi atau ISACA,
sesuai komite dan, akhirnya, tindakan disipliner.
Pedoman
memberikan panduan dalam menerapkan IS Standar Audit. Auditor IS harus
mempertimbangkan mereka dalam menentukan bagaimana mencapai pelaksanaan
standar, menggunakan penilaian profesional dalam aplikasi mereka dan bersiaplah
untuk membenarkan keberangkatan apapun. Tujuan dari Pedoman Audit IS adalah
untuk memberikan informasi lebih lanjut tentang cara untuk mematuhi Standar
Audit IS.
Prosedur
memberikan contoh-contoh prosedur IS auditor mungkin mengikuti dalam
pengauditan. Dokumen prosedur memberikan informasi tentang bagaimana untuk
memenuhi standar saat melakukan pekerjaan IS audit, tetapi tidak menetapkan
persyaratan. Tujuan dari IS Prosedur audit adalah untuk memberikan informasi
lebih lanjut tentang cara untuk mematuhi Standar Audit IS.
Control
Tujuan informasi dan teknologi terkait (COBIT ®) adalah teknologi informasi
(TI) kerangka tata kelola dan mendukung seperangkat alat yang memungkinkan
manajer untuk menjembatani kesenjangan antara persyaratan kontrol, masalah
teknis dan risiko usaha. COBIT memungkinkan pengembangan kebijakan yang jelas
dan praktik yang baik untuk IT mengontrol seluruh organisasi. Ini menekankan
kepatuhan terhadap peraturan, membantu organisasi meningkatkan nilai diperoleh
dari TI, memungkinkan keselarasan dan menyederhanakan pelaksanaan konsep
kerangka COBIT itu. COBIT dimaksudkan untuk digunakan oleh bisnis dan manajemen
TI serta IS auditor, sehingga penggunaannya memungkinkan pemahaman tujuan
bisnis dan komunikasi praktek yang baik dan rekomendasi yang akan dibuat di
sekitar umum dipahami dan kerangka wellrespected.
4.
Apa yang dimaksud dengan analisis resiko?
Secara sederhana, analisis resiko atau risk analysis dapat diartikan sebagai sebuah prosedur untuk mengenali satu ancaman dan kerentanan, kemudian menganalisanya untuk memastikan hasil pembongkaran, dan menyoroti bagaimana dampak-dampak yang ditimbulkan dapat dihilangkan atau dikurangi.
Analisis resiko juga dipahami sebagai sebuah
proses untuk menentukan pengamanan macam apa yang cocok atau layak untuk sebuah
sistem atau lingkungan. (ISO 1799, “An Introduction To Risk Analysis”, 2012).
Analisis resiko juga diartikan sebagai sebuah
sistematika yang menggunakan informasi yang didapat untuk menentukan seberapa
sering kejadian tertentu dapat terjadi dan besarnya konsekuensi tersebut
5.
Bagaimana melakukan analisis resiko?
Proses
melakukan analisis risiko sangat mirip dengan mengidentifikasi tingkat risiko
yang dapat diterima.Pada dasarnya, Anda melakukan analisis risiko pada
organisasi secara keseluruhan untuk menentukan tingkat risiko yang dapat
diterima. Hal ini kemudian dasar Anda untuk membandingkan semua risiko
yang teridentifikasi lainnya untuk menentukan apakah risiko yang terlalu tinggi
atau jika berada di bawah tingkat risiko mapan diterima.
Langkah pertama: Identifikasi aset dan nilai-nilai
mereka
Analisis
risiko memberikan perbandingan biaya / manfaat, yang membandingkan biaya
tahunan pengamanan untuk melindungi terhadap ancaman dengan biaya potensi
kerugian. Sebuah perlindungan, dalam banyak kasus, tidak harus
dilaksanakan kecuali biaya tahunan kerugian melebihi biaya tahunan dari
perlindungan itu sendiri. Ini berarti bahwa jika fasilitas bernilai $
100.000, itu tidak masuk akal untuk menghabiskan $ 150.000 berusaha untuk
melindunginya.
Nilai
ditempatkan pada aset (termasuk informasi) relatif terhadap pihak yang
terlibat, pekerjaan apa yang diperlukan untuk mengembangkan itu, berapa biaya
untuk mempertahankan, apa kerusakan akan timbul jika hilang atau rusak, dan apa
manfaat pihak lain akan mendapatkan jika hal itu untuk mendapatkannya.Jika
perusahaan tidak tahu nilai dari informasi dan aset lain mereka berusaha
melindungi, tidak tahu berapa banyak uang dan waktu harus keluarkan untuk
melindungi mereka.
Nilai
aset harus mencerminkan semua biaya yang dapat diidentifikasi yang akan timbul
jika ada penurunan nilai sebenarnya dari aset. Jika server biaya $ 4.000
untuk pembelian, nilai ini tidak boleh masukan sebagai nilai dari aset tersebut
ke dalam penilaian risiko
bisnis . Sebaliknya, biaya penggantian atau perbaikan itu,
hilangnya produktivitas dan nilai data yang mungkin rusak atau hilang, perlu
diperhitungkan untuk benar menangkap jumlah perusahaan akan kehilangan jika
server yang gagal untuk satu alasan atau yang lain.
Isu-isu
berikut harus dipertimbangkan ketika menetapkan nilai aset:
·
Biaya untuk memperoleh atau mengembangkan aset
·
Biaya untuk menjaga dan melindungi aset
·
Nilai aset bagi pemilik dan pengguna
·
Nilai aset kepada musuh
·
Nilai kekayaan intelektual yang masuk ke pengembangan
informasi
·
Harga lain bersedia membayar untuk aset
·
Biaya untuk mengganti aset jika hilang
·
Operasional dan produksi kegiatan yang
terpengaruh jika aset tersebut tidak tersedia
·
Kewajiban masalah jika aset tersebut
dikompromikan
·
Kegunaan dan peran aset dalam organisasi
Memahami
nilai aset adalah langkah pertama untuk memahami apa mekanisme keamanan harus
diletakkan pada tempatnya dan apa dana harus pergi ke arah melindunginya. Sebuah
pertanyaan yang sangat penting adalah berapa banyak bisa biaya perusahaan untuk
tidak melindungi aset.
Langkah kedua: Identifikasi kerentanan dan ancaman
Setelah
aset telah diidentifikasi dan ditugaskan nilai, semua kerentanan dan ancaman
yang terkait perlu diidentifikasi untuk masing-masing aset atau kelompok aset. Tim
IRM perlu mengidentifikasi kerentanan yang dapat mempengaruhi integritas,
ketersediaan atau kerahasiaan masing-masing aset persyaratan.Semua kerentanan
yang relevan perlu diidentifikasi dan didokumentasikan sehingga diperlukan
penanggulangan dapat diimplementasikan.
Karena
ada sejumlah besar kerentanan dan ancaman yang dapat mempengaruhi aset yang
berbeda, penting untuk dapat benar mengkategorikan mereka. Tujuannya
adalah untuk menentukan ancaman dan kerentanan dapat menyebabkan kerusakan yang
paling sehingga item yang paling penting dapat diurus pertama.
Langkah tiga: Menghitung dampak probabilitas dan
bisnis dari potensi ancaman tersebut
Tim
melaksanakan penilaian risiko perlu mengetahui dampak bisnis untuk ancaman
diidentifikasi.
Untuk
memperkirakan potensi kerugian yang ditimbulkan oleh ancaman, menjawab
pertanyaan-pertanyaan berikut:
·
Apa kerusakan fisik yang bisa menyebabkan
ancaman, dan berapa biayanya?
·
Berapa banyak kehilangan produktivitas bisa
penyebab ancaman, dan berapa banyak yang akan bahwa biaya?
·
Apa nilai yang hilang jika informasi rahasia
diungkapkan?
·
Apa biaya pulih dari serangan virus?
·
Apa biaya pulih dari serangan hacker?
·
Apa nilai hilang jika perangkat penting adalah
untuk gagal?
·
Apa harapan hilangnya tunggal (SLE) untuk setiap
aset dan ancaman masing-masing?
Ini
hanyalah sebuah daftar kecil pertanyaan yang harus dijawab. Pertanyaan-pertanyaan
spesifik akan tergantung pada jenis ancaman tim mengungkapkan.
Tim
kemudian perlu untuk menghitung probabilitas dan frekuensi kerentanan
diidentifikasi dieksploitasi.Tim akan perlu untuk mengumpulkan informasi
tentang kemungkinan setiap ancaman yang terjadi dari orang-orang di setiap
departemen, catatan masa lalu dan sumber daya keamanan resmi. Jika tim ini
menggunakan pendekatan kuantitatif, maka mereka akan menghitung tingkat tahunan
kejadian (ARO), yaitu berapa kali ancaman dapat berlangsung dalam jangka waktu
12 bulan.
Langkah empat: Identifikasi penanggulangan dan
menentukan biaya / manfaat
Tim
kemudian harus mengidentifikasi penanggulangan dan solusi untuk mengurangi
kerusakan potensial dari ancaman diidentifikasi.
6.
Apa yang dimaksud dengan pengendalian internal?
Pengendalian internal merupakan bagian integral dari sistem
informasi akuntansi. Pengendalian internal itu sendiri adalah suatu proses yang
dijalankan untuk dewan komisaris, manajemen, dan personil lain dalam
perusahaan. Adapun kriteria dari pengendalian internal yaitu :
a. Keandalan pelaporan keuangan
b. Efektivitas dan efisiensi operasi
c. Keputusan terhadap hukum dan peraturan yang berlaku
Dengan menetapkan serta menerapkan pengendalian internal maka perusahaan mampu mencapai tujuan dan meminimalkan resiko. Sebagai hasil dari ditetapkannnya pengendalaian internal dalam sisten informasi akuntansi adalah dihasilkannya informasi akuntansi yang berkualitas dan dapat di audit.
a. Keandalan pelaporan keuangan
b. Efektivitas dan efisiensi operasi
c. Keputusan terhadap hukum dan peraturan yang berlaku
Dengan menetapkan serta menerapkan pengendalian internal maka perusahaan mampu mencapai tujuan dan meminimalkan resiko. Sebagai hasil dari ditetapkannnya pengendalaian internal dalam sisten informasi akuntansi adalah dihasilkannya informasi akuntansi yang berkualitas dan dapat di audit.
Sistem Pengendalian Internal adalah Suatu perencanaan yang meliputi
struktur organisasi dan semua metode dan alat-alat yang dikoordinasikan yang
digunakan di dalam perusahaan dengan tujuan untuk menjaga keamanan harta milik
perusahaan, memeriksa ketelitian dan kebenaran data akuntansi, mendorong
efisiensi, dan membantu mendorong dipatuhinya kebijakan manajemen yang telah
ditetapkan.
7. Mengapa perlu adanya pengendalian internal?
Tujuan adanya pengendalian internal
:
1. Menjaga kekayaan organisasi.
2. Memeriksa ketelitian dan kebenaran data akuntansi.
3. Mendorong efisiensi.
4. Mendorong dipatuhinya kebijakan manajemen.
1. Menjaga kekayaan organisasi.
2. Memeriksa ketelitian dan kebenaran data akuntansi.
3. Mendorong efisiensi.
4. Mendorong dipatuhinya kebijakan manajemen.
8. Bagaimana memulai kegiatan audit?
Dalam melaksanakan audit
faktor-faktor berikut harus diperhatikan:
- Dibutuhkan informasi yang
dapat diukur dan sejumlah kriteria (standar) yang dapat digunakan sebagai
panduan untuk mengevaluasi informasi tersebut,
- Penetapan entitas ekonomi dan periode waktu yang diaudit harus jelas
untuk menentukan lingkup tanggungjawab auditor,
- Bahan bukti harus diperoleh dalam jumlah dan kualitas yang cukup
untuk memenuhi tujuan audit,
- Kemampuan auditor memahami kriteria yang digunakan serta sikap
independen dalam mengumpulkan bahan bukti yang diperlukan untuk mendukung
kesimpulan yang akan diambilnya.
Dalam
pelaksanaanya, auditor TI mengumpulkan bukti-bukti yang memadai melalui
berbagai teknik termasuk survey, wawancara, observasi dan review dokumentasi.
Satu
hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup
pula bukti elektronis. Biasanya, auditor TI menerapkan teknik audit berbantuan
computer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik
ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas
persediaan, aktivitas nasabah, dan lain-lain.
Audit dalam konteks teknologi informasi adalah memeriksa
apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:
- Implementasikan sebuah strategi audit berbasis
manajemen risiko serta control practice yang dapat disepakati
semua pihak.
- Tetapkan langkah-langkah audit yang rinci.
- Gunakan fakta/bahan bukti yang cukup, handal, relevan,
serta bermanfaat.
- Buatlah laporan beserta kesimpulannya berdasarkan
fakta yang dikumpulkan.
- Telaah apakah tujuan audit tercapai.
- Sampaikan
laporan kepada pihak yang berkepentingan.
- Pastikan
bahwa organisasi mengimplementasikan managemen risiko serta control
practice.
Sebelum
menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih
dahulu. Audit planning (perencanaan audit) harus secara jelas
menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen
tinggi, dan metode audit. Metodologi audit:
1.
Audit subject. Menentukan apa
yang akan diaudit.
2.
Audit objective. Menentukan
tujuan dari audit.
3.
Audit Scope. Menentukan
sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan
diaudit.
4.
Preaudit Planning.
Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan
dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi
audit.
5.
Audit procedures and steps for data gathering.
Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan
siapa yang akan diwawancara.
6.
Evaluasi hasil
pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
7.
Prosedur
komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.
8.
Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit,
yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari
organisasi yang diaudit. Struktur dan isi laporan audit tidak baku, tapi
umumnya terdiri atas:
o Pendahuluan. Tujuan, ruang lingkup, lamanya audit,
prosedur audit.
o
Kesimpulan umum dari
auditor.
o
Hasil
audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau
tidak
o
Rekomendasi. Tanggapan
dari manajemen (bila perlu).
o
Exit interview. Interview terakhir antara auditor dengan pihak manajemen untuk
membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus
meyakinkan tim manajemen bahwa hasil audit sahih
III.
PENUTUP
Kesimpulan
Melakukan kegiatan pengauditan merupakan hal yang
memerlukan persiapan yang matang. Oleh karena itu memanage segala sesuatu yang
dilakukan terlebih dahulu sangatlah penting. Management audit dilakukan oleh
auditor dengan partisipasi perusahaan atau clientnya. Kegiatan ini bertujuan
memudahkan auditor agar kedepannya lebih mudah menjalankan proses pegauditan.
Semakin baik management audit yang dilakukan, semakin baik pula proses audit
dijalankan.
----------------------------------------------------------------------------------------------------------
TUGAS REVIEW
AUDIT & ANALISIS SIA
OLEH
:
Rimang
Aldino Sandy (682010003)
Jerry
Wicaksono (682010004)
Immanuel
Bagus Prasetya (682010017)
Robert
Budiman (682010048)
Heru
Setiawan (682010088)
FAKULTAS TEKNOLOGI INFORMASI
UNIVERSITAS KRISTEN SATYA WACANA
FEBRUARI 2010
I.
PENDAHULUAN
·
Latar Belakang
Dalam
sebuah organisasi maupun perusahaan yang scope-nya
lebih luas, terdapat berbagai macam aktivitas – aktivitas yang terjadi di
dalamnya. Aktivitas – aktivitas tersebut terjadi berdasarkan proses bisnis yang
sebelumnya sudah ditentukan oleh perusahaan. Setiap aktivitas yang dilakukan
oleh perusahaan tidak selalu berjalan sesuai rencana, dan tidak selalu nampak
maupun terdeteksi oleh perusahaan. Oleh sebab itu, diperlukan sebuah audit
untuk mengevaluasi kinerja perusahaan apakah sesuai dengan tujuan perusahaan
atau belum. Selain itu, audit perlu dikelola untuk membantu manajemen
perusahaan mengidentifikasikan kegiatan
operasional dalam perusahaan yang tidak memberikan kontribusi dalam perolehan
keuntungan. Dari hasil audit tersebut akan ditemukan resiko – resiko yang
mungkin muncul dalam kegiatan perusahaan, yang harus diatasi agar tidak
merugikan perusahaan.
·
Tujuan
Manajemen Audit dilakukan untuk
membantu manajemen perusahaan mengidentifikasikan kegiatan operasional dalam
perusahaan yang tidak memberikan kontribusi dalam perolehan keuntungan. Membantu
manajemen dalam peningkatan produktifitas kerja dari berbagai komponen
organisasi. Memungkinkan manajemen mengidentifikasi hambatan dan kendala yang
dihadapi dalam mengkoordinasikan berbagai kegiatan dan mengambil langkah
strategis untuk mengatasi dan menghilangkannya.
Analisis
resiko perlu dilakukan oleh auditor, agar auditor bisa mengetahui hal – hal apa
saja, termasuk resiko yang bisa terjadi dalam perusahaan dan seberapa besar
pengaruh resiko itu bisa terjadi serta cara penanganannya. Selain itu, analisis
resiko juga dilakukan untuk menentukan jenis pengendalian apa yang harus
dilakukan terhadap resiko tersebut.
·
Manfaat
-
Membantu manajemen dalam peningkatan produktifitas kerja
dari berbagai komponen organisasi.
-
Memungkinkan manajemen mengidentifikasi hambatan dan kendala
yang dihadapi dalam mengkoordinasikan berbagai kegiatan dan mengambil langkah
strategis untuk mengatasi dan menghilangkannya.
II.
Tinjauan Pustaka
Manajemen audit merupakan sebuah
proses penilaian efektivitas, efisiensi dan ekonomisasi dari operasi organisasi
perusahaan, departemen, atau setiap entitas dan sub-entitas yang dapat diaudit.
Analisis
risiko adalah proses mengidentifikasi aset dan ancaman, memprioritaskan ancaman
kerentanan dan identifikasi tindakan yang tepat untuk dilakukan. Selain itu
analisis risiko juga dapat diartikan sebagai tindakan untuk menganalisis proyek
berdasarkan hasil dari penilaian risiko dan menyediakan dasar untuk membuat
keputusan dan mengembangkan rencana untuk mengurangi dampak risiko.
III.
Pembahasan
·
Manajemen Audit
Manajemen
audit merupakan sebuah proses penilaian efektivitas, efisiensi dan ekonomisasi
dari operasi organisasi perusahaan, departemen, atau setiap entitas dan
sub-entitas yang dapat diaudit. Management audit berkaitan dengan audit
efisiensi dimana tujuan utama dari audit efisiensi ini adalah untuk memastikan
bahwa tiap unit mata uang diinvestasikan dalam modal atau tempat lain yg
memberikan pengembalian yg optimum dan bahwa perencanaan investasi antara
berbagai fungsi dan aspek yg berbeda dirancang utk memberikan hasil yg optimum.
Selain
itu, audit perlu dikelola karena :
-
Untuk mengetahui apakah kegiatan yang dilakukan di dalam
sebuah perusahaan berjalan secara efektif, efisien dan berada pada jalur yang
sesuai dengan tujuan perusahaan.
-
Untuk memberikan informasi kepada manajemen mengenai
efektifitas suatu unit atau fungsi.
-
Untuk mengetahui tindakan yang bersifat preventif, artinya
untuk menilai apakah ada situasi dalam perusahaan yang potensial dapat menjadi
masalah di masa depan meskipun pengamatan sepintas mungkin menunjukkan bahwa
situasi demikian tidak dihadapi perusahaan.
-
Untuk membandingkan hasil kerja perusahaan secara
keseluruhan atau berbagai komponen di dalamnya dengan standar yang mencakup
berbagi bidang kegiatan dan berbagai sasaran perusahaan yang ditetapkan
sebelumnya.
-
Untuk dijadikan sebagai upaya investigasi. Bagi manajemen
untuk memutuskan melaksanakan audit manajemen ialah karena ada sinyal elemen
bahwa dalam perusahaan terdapat masalah tertentu yang harus segera diketahui
penyebabnya dan dengan demikian dapat diambil langkah-langkah untuk
mengatasinya.
-
Memungkinkan manajemen mengidentifikasikan kegiatan
operasional dalam perusahaan yang tidak memberikan kontribusi dalam perolehan
keuntungan.
-
Membantu manajemen dalam peningkatan produktifitas kerja
dari berbagai komponen organisasi.
-
Memungkinkan manajemen mengidentifikasi hambatan dan kendala
yang dihadapi dalam mengkoordinasikan berbagai kegiatan dan mengambil langkah
strategis untuk mengatasi dan menghilangkannya.
-
Memantapkan penerapan pendekatan kesisteman dalam
menjalankan roda organisasi.
-
Memungkinkan manajemen pada berbagai tingkat menentukan
strategi yang tepat.
-
Membantu manajemen merumuskan pedoman teknis operasional
bagi para pelaksana berbagai kegiatan dalam perusahaan yang akan membantu para
tenaga kerja operasional melakukan kegiatan masing-masing dengan tingkat
efisiensi dan efektifitas yang lebih tinggi.
-
Mengidentifikasikan dengan tepat berbagai masalah dan
tantangan yang dihadapi dalam manajemen sumber daya manusia.
-
Membantu manajemen menilai perilaku bawahan dalam
menyediakan informasi bagi pimpinan sesuai dengan kebutuhan pimpinan pada
berbagai hierarki perusahaan.
-
Untuk dapat memberikan rekomendasi kepada top management
dalam memperbaiki kelemahan-kelemahan yg terdapat dalam penerapan struktur
pengendalian intern sistem pengendalian manajemen dan prosedur operasional
perusahaan dalam rangka meningkatkan efisiensi keekonomisan dan efektifitas
dari kegiatan operasi perusahaan.
-
Memungkinkan manajemen mengidentifikasikan hambatan dan
kendala yg dihadapi dalam mengkoordinasikan berbagai kegiatan dan mengambil
langkah strategik untuk mengatasi dan menghilangkannya.
-
Membantu manajemen merumuskan pedoman teknis operasional
bagi para pelaksana berbagai kegiatan dalam perusahaan yg akan membantu para
tenaga kerja operasional melakukan kegiatan masing-masing dgn tingkat efisiensi
dan efektifitas yang lebih tinggi.
Dalam
melakukan audit, terdapat kebijakan, standar, prosedur, dan pedoman audit yang
ditetapkan oleh ISACA, yaitu :
-
Audit Chapter
o Responsibility, Authority and Accountability
Definisi dari tanggung jawab, otoritas dan accountability
dari fungsi audit SI lebih tepat bila didokumentasikan dalam suatu surat
perjanjian.
-
Independence
o Professional Independence
Auditor harus bersikap independen dalam tingkah laku dan
tindakannya.
o Organizational Relationship
Fungsi audit SI harus berada independen dari area yang
diaudit untuk mencapai tujuan objektivitas dari suatu proses audit.
-
Professional Ethics and Standard
o Code of Professional Ethics
Auditor SI harus menghormati dan menaati etika profesional
dari ISACA.
o Due Professional Care
Standar auditing profesional harus diterapkan dalam segala
aspek pekerjaan yang dilakukan oleh auditor SI.
-
Competence
o Continuing professional education
Auditor SI haris memantain kompetensi teknilkal melalui
pendidikan lanjut profesional
-
Planning
o Audit planning
Auditor SI harus merencanakan perencanaan audit sistem untuk
menempatkan tujuan audit dan untuk melengkapi standar profesional audit
-
Performance of Audit Work
o Supervision
Staf dari audit SI harus tepat untuk dapat menjamin tujuan
dari audit dijalankan dan standar profesional auditing dapat terpenuhi
o Evidence
Selama masa pekerjaan audit auditor SI harus mendapatkan
bukti yang tepat, dapat dipercaya, relevan dan berguna untuk mencapai tujuan
objektif dari suatu audit
-
Reporting
o Report Content and Form
Auditor SI harus menyediakan report dalam bentuk yang tepat
pada saat penyelesaian tugas audit. Laporan audit berupa lingkup, tujuan,
periode audit, dan lingkungan dimana audit dijalankan. Laporan audit harus
mengidentifikasikan permasalahan yang terjadi dalam jangka waktu audit. Laporan
audit juga untuk memberikan rekomendasi dari layanan atau kualifikasi yang
diberikan auditor terhadap tugas audit yang dijalankan.
-
Follows Up Activities
o Follow Up
Auditor SI harus meminta dan mengevaluasi informasi yang
sesuai dari penemuan yang terdahulu untuk mendefinisikan tindakan yang tepat
yang harus diimplementasikan dalam satu periode waktu.
·
Analisis Resiko
Analisis
risiko adalah proses mengidentifikasi aset dan ancaman, memprioritaskan ancaman
kerentanan dan identifikasi tindakan yang tepat untuk dilakukan. Selain itu
analisis risiko juga dapat diartikan sebagai tindakan untuk menganalisis proyek
berdasarkan hasil dari penilaian risiko dan menyediakan dasar untuk membuat
keputusan dan mengembangkan rencana untuk mengurangi dampak risiko. Analisis
risiko juga dapat diartikan proses mengkaji setiap persoalan risiko yang
teridentifikasi atau proses menguraikan deskripsi dari risiko, mengisolasi
sumbernya dan meramalkan efeknya.
Sebelum melakukan
analisis resiko, perlu dilakukan 2 tahapan, yaitu :
-
Evaluasi Proses Bisinis
Evaluasi proses bisnis bertujuan
untuk menentukan tujuan dan pentingnya kegiatan bisnis yang berjalan dalam
perusahaan. Auditor dapat melakukan evaluasi proses bisnis dengan cara melihat
dokumen pernyataan visi dan misi organisasi, arsitektur dan prosedur proses bisnis,
arsip dokumen perusahaan, skema jaringan sistem yang dibangun dalam perusahaan serta
sistem dan dokumen pendukung lainnya. Dengan melakukan evaluasi proses bisnis,
auditor dapat mengetahui pencapaian kinerja perusahaan.
-
Identifikasi Resiko
Bisnis
Saat melakukan evaluasi
proses bisnis, auditor juga melakukan identifikasi terhadap ancaman maupun resiko
– resiko bisnis yang ada di dalam perusahaan.
Setelah
melakukan kegiatan di atas, maka tahap analisis resiko bisa dilakukan. Tahapan
– tahapan analisis resiko, yaitu :
-
Tahap identifikasi
risiko
Menentukan
dimensi-dimensi proyek yang berpengaruh pada risiko.
-
Tahap penilaian risiko
Melakukan penilaian
pada risiko, apakah resiko tersebut bisa terjadi dalam perusahaan atau tidak.
-
Tahap analisis risiko.
Menganalisis risiko
untuk mengetahui tingkat risiko.
-
Tahap melakukan
tindakan terhadap hasil analisis risiko
Menetapkan
tindakan-tindakan yang perlu dilakukan untuk meminimalisir risiko dan menjamin
suksesnya implementasi.
Selain
itu, analisis resiko juga dilakukan untuk menentukan jenis pengendalian apa
yang harus dilakukan terhadap resiko tersebut. Beberapa jenis pengendalian yang
biasa dilakukan dalam analisis resiko :
-
Preventive Control
Preventive Control
dilakukan untuk mencegah masalah maupun resiko yang terjadi di dalam sebuah
perusahaan atau organisasi agar tidak semakin berkembang dan membahayakan. Contoh
pengendalian preventive: merekrut staff pegawai bagian akuntansi yang memenuhi
kualifikasi perusahaan, agar pencatatan data transaksi tidak terjadi kesalahan.
Selain itu, masing – masing departemen dalam perusahaan harus ada pemisahan
tugas yang jelas, agar tidak terjadi penyalahgunaan wewenang. Misalnya dalam
sistem komputer perusahaan, hanya orang – orang akuntansi saja yang bisa
mengubah data akuntansi. Tidak semua masalah dapat di kendalikan dengan
pengendalian preventive, oleh karena itu perlu dilengkapi dengan detective
control
-
Detective Control
Detective Control
dilakukan untuk mencari dan menemukan masalah yang sudah terjadi dalam
perusahaan. Contoh pengendalian detective : berulang kali memeriksa perhitungan
dan pencatatan data transaksi perusahaan untuk menemukan apakah terjadi
kesalahan atau tidak.
-
Corrective Control
Corrective Control
dilakukan untuk memperbaiki kesalahan yang ditemukan saat melakukan detective
control.
Pengendalian
– pengendalian di atas merupakan pengendalian internal yang dapat dilakukan
oleh perusahaan. Pengendalian internal merupakan bagian dari masing-masing
sistem yang dipergunakan sebagai prosedur dan pedoman operasional perusahaan
atau organisasi tertentu. Pengendalian Internal digunakan untuk mengarahkan
operasi perusahaan dan mencegah terjadinya penyalahgunaan sistem.
Tujuan dari
pengendalian internal yaitu:
1. Menjaga
kekayaan perusahaan
a. Penggunaan
kekayaan perusahaan hanya melalui sistem otorisasi yang telah ditetapkan,
b. Pertanggungjawaban
kekayaan perusahaan yang dicatat
dibandingkan dengan kekayaan yang sesungguhnya.
2. Mengecek
ketelitian dan keandalan data akuntansi
a.
Pelaksanaan transaksi melalui sistem
otorisasi yang telah ditetapkan,
b.
Pencatatan transaksi yang terjadi tercatat dengan benar di dalam catatan
akuntansi perusahaan.
·
Bagaimana melakukan
audit?
-
Audit
Pendahuluan
Mencari
latar belakang objek audit (auditee), menelaah peraturan dan kebijakan yang
berlaku dalam perusahaan / organisasi yang diaudit, menemukan objek yang
memiliki kelemahan yang cukup potensial, kemudian menentukan audit sementara
(semacam hipotesis).
-
Review
dan pengujian pengendalian manajemen
Menilai
efektivitas pengendalian manajemen, apakah sesuai dengan tujuan atau tidak,
memahami pengendalian yang berlaku, mencari potensi kelemahan aktivitas yang
terjadi dalam perusahaan, apabila hasil review ini sesuai dengan audit
sementara, maka audit sementara tersebut bisa menjadi audit yang sebenarnya.
-
Audit
terinci
Setelah
melakukan reveiew dan pengendalian terhadap manajemen, auditor melakukan
pengumpulan bukti yang cukup, relevan dan dapat dipercaya. Kemudian auditoe
mengembangkan temuan tersebut hingga menjadi kertas kerja audit yang dapat
mendukung pengambilan keputusan manajemen.
-
Pelaporan
Setelah
melakukan audit terperinci, auditor perlu mengkomunikasikan hasil audit
termasuk rekomendasi kepada pihak yang berkepentingan (auditee) yang berupa
laporan komprehensif. Laporan ini berisi kesimpulan dari hasil audit yang telah
dilakukan beserta rekomendasinya.
-
Tindak
lanjut
Mendorong
pihak yang berwenang untuk melaksanakan tindak lanjut sesuai dengan rekomendasi
yang diberikan.
IV.
Pustaka
-
kk.mercubuana.ac.id/.../32030-2-920656256239....
-
xa.yimg.com/kq/groups/.../audit_manajemen.ppt
-
staf.cs.ui.ac.id/.../Transparan%20Digisec-10%20A...
-
http://www.isaca.org/Knowledge-Center/Standards/Pages/Standard-for-IS-Auditing-S1-Audit-Charter.aspx
LAPORAN
Manajemen Audit
AUDIT
DAN ANALISIS SIA - SK 353
Diajukan
Sebagai Syarat untuk Menyelesaikan Tugas Matakuliah
Oleh:
MARIA
DAISIHARA 682010005
FARISA
OETARI 682010006
VIRGIANO
NUGRANTA PUTRA 682010042
NENCY
NERISA 682010065
FAKULTAS
TEKNOLOGI INFORMASI
UNIVERSITAS
KRISTEN SATYA WACANA
JANUARI 2013
PENDAHULUAN
A. LATAR
BELAKANG
Suatu organisasi atau perusahaan memiliki sebuah sistem
informasi yang menggambarkan proses bisnis yang terjadi dalam perusaahn
tersebut. Kinerja suatu perusahaan perlu dievaluasi agar didalam pelaksanaannya
dapat berjalan dengan baik, sehingga audit diperlukan dalam organisasi atau perusahaan.
Dalam melakukan audit di suatu perusahaan, auditor
membutuhkan manajemen audit. Manajemen audit sangat membantu kinerja audior
dalam menentukan langkah-langkah yang harus dilakukan oleh auditor. Dengan
menggunakan manajemen audit, auditor dapat menganalisis resiko-resiko yang ada
dalam perusahaan yang akan diaudit. Dimana pengendalian internal perusahaan
sangat berguna untuk kinerja perusahaan.
B. TUJUAN
Management audit
berkaitan dengan audit efisiensi dimana tujuan utama dari audit efisiensi ini
adalah untuk memastikan bahwa tiap unit mata uang diinvestasikan dalam modal
atau tempat lain yang memberikan pengembalian yang optimum dan bahwa
perencanaan investasi antara berbagai fungsi dan aspek yang berbeda dirancang
untuk memberikan hasil yang optimum.
C. MANFAAT
1.
Untuk
menilai kinerja (performance) dari manajemen dan berbagai fungsi dalam
perusahaan.
2.
Untuk
menilai apakah berbagai sumber daya (manusia, mesin, dana, harta lainnya) yang
dimiliki perusaan telah digunakan secara efisien dan ekonomis.
3.
Untuk
menilai efektifitas perusahaan dalam mencapai tujuan (objective) yang telah
ditetapkan oleh top management.
4.
Analisis
resiko berguna untuk auditor didalam melakukan pengendalian internal terhadap
objective nya sehingga dapat melakukan tiga pengendalian (preventive,
detective, corrective)
D. TINJAUAN
PUSTAKA
Menurut
Sukrisno Agoes (1996)
Manajemen
audit adalah suatu pemeriksaan terhadap kegiatan operasi suatu perusahaan,
termasuk kebijakan akuntansi dan kebijakan operasional yang telah ditentukan
manajemen, untuk mengetahui apakah kegiatan operasi tersebut sudah dilakukan
secara efektif, efisien dan ekonomis.
Management
Audit adalah pemeriksaan terhadap efektivitas dan efisiensi pelaksanaan
kegiatan manajemen, yang meliputi semua aspek manajemen mulai dari perencanaan,
kegiatan operasional, pengawasan dan pelaporan.
Menurut
Pelter analisis risiko adalah proses mengidentifikasi aset dan ancaman,
memprioritaskan ancaman kerentanan dan mengidentifikasi tindakan yang tepat
untuk dilakukan. Menurut knutson analisis risiko adalah tindakan untuk
menganalisis proyek berdasarkan hasil dari penilaian risiko dan menyediakan
dasar untuk membuat keputusan dan mengembangkan rencana untuk mengurangi dampak
dari risiko.
pengendalian
internal diartikan sebagai bagian dari masing-masing sistem yang dipergunakan
sebagai prosedur dan pedoman operasional perusahaan atau organisasi tertentu.
Perusahaan pada umumnya menggunakan Sistem Pengendalian Internal untuk
mengarahkan operasi perusahaan dan mencegah terjadinya penyalahgunaan system
sehingga tercipta kefisiensi dan efektifitas kinerja perusahaan
A.
Pengertian
Manajemen Audit
1. Menurut
Holmes dan Overmyer (1975), definisi manajemen audit adalah
“The management audit
means the examination and evaluation of all information gathering function and
all phases of management functions and activities, in order to ascertain if
operating re conducted in a effective and efficient manner.”
Definisi
diatas jika diterjemahkan, manajemen audit mencakup penelitian dan evaluasi
atas semua fungsi dari Manajemen, untuk memastikan bahwa pelaksanaan operasi
perusahaan telah dijalankan dengan cara yang efektif dan efisien.
2. Pengertian
lain ditulis oleh American Institute of Certified Public Accountant (AICPA),
yaitu
“Management audit is a systematic review on a
organization’s activities or of a stipulated segmen of them, in relation to
specified objectives for the purposes of assessing performance, identifying
oppurtinities for improvement, and developing recommendations for improvement
or further actions”
Definisi
diatas menjelaskan bahwa manajemen audit suatu penelaahan yang sistematis
terhadap aktivitas suatu organisasi, atau suatu segmen tertentu daripadanya,
dalam hubungannya dengan tujuan tertentu, seperti menilai kegiatan,
mengindentifikasi berbagai kesempatan untuk perbaikan, dan mengembangkan
rekomendasi bagi perbaikan atau tindakan lebih lanjut.
3. Menurut
Sukrisno Agoes (1996)
Manajemen
audit adalah suatu pemeriksaan terhadap kegiatan operasi suatu perusahaan,
termasuk kebijakan akuntansi dan kebijakan operasional yang telah ditentukan
manajemen, untuk mengetahui apakah kegiatan operasi tersebut sudah dilakukan
secara efektif, efisien dan ekonomis.
Dari
beberapa pengertian diatas, kelompok kami menyimpulakan bahwa Management Audit
adalah pemeriksaan terhadap efektivitas dan efisiensi pelaksanaan kegiatan
manajemen, yang meliputi semua aspek manajemen mulai dari perencanaan, kegiatan
operasional, pengawasan dan pelaporan.
B.
Tujuan
Pengelolaan Audit
Ramanathan
(1993:300) mengatakan bahwa management audit berkaitan dengan audit efisiensi
dimana tujuan utama dari audit efisiensi ini adalah untuk memastikan bahwa tiap
unit mata uang diinvestasikan dalam modal atau tempat lain yang memberikan
pengembalian yang optimum dan bahwa perencanaan investasi antara berbagai
fungsi dan aspek yang berbeda dirancang untuk memberikan hasil yang optimum.
Tujuan
management audit menurut Agoes (1996:173) adalah sebagai berikut :
1. Untuk
menilai kinerja (performance) dari manajemen dan berbagai fungsi dalam
perusahaan.
2. Untuk
menilai apakah berbagai sumber daya (manusia, mesin, dana, harta lainnya) yang
dimiliki perusaan telah digunakan secara efisien dan ekonomis.
3. Untuk
menilai efektifitas perusahaan dalam mencapai tujuan (objective) yang telah
ditetapkan oleh top management.
4. Untuk
dapat memeberikan rekomendasi kepada top management dalam memperbaiki
kelemahan-kelemahan yang terdapat dalam penerapan struktur pengendalian intern
sistem pengendalian manajemen dan prosedur operasional perusahaan dalam rangka
meningkatkan efisiensi keekonomisan dan efektivitas dari kegiatan operasi
perusahaan.
C.
Kebijakan,
Standar, Prosedur, dan Pedoman Audit menurut ISACA
ISACA
standards, guidelines, and procedures yang secara teknis diatur dalam CObIT
(Control Objectives for Information and Related Technology), meliputi:
·
CObIT Executive summary
·
CObIT Framework
·
CObIT Control
Objectives
·
CObIT Control Practices
·
CObIT Management
Guidelines
·
CObIT Security
Baseline.
IS
Auditing Guideline terdiri dari 32 guidance dalam mengaudit TI yang mengcover
petunjuk mengaudit area-area penting. IS Audit Procedure terdiri dari 9
prosedur yang menunjukan langkah-langkah yang dilakukan auditor dalam penugasan
audit yang spesifik seperti prosedur melakukan bagaimana melakukan risk
assestment, mengetes intruction detection system, menganalisis firewall dan
sebagainya
Menurut
Information Systems Audit and Control Association (ISACA) standar untuk audit
sistem informasi adalah:
010
|
Audit Chapter
|
010.010
|
Responsibility,
Authority and Accountability (definisi dari tanggung jawab, otoritas, dan
accountability dari fungsi audit SI lebih tepat bila didokumentasikan dalam
suatu surat perjanjian)
|
020
|
Independence
|
020.010
|
Professional
Independence (auditor harus bersikap independen dalam tingkah laku dan
tindakannya)
|
020.020
|
Organizational
Relationship (fungsi audit SI harus berada independen dari area yg diaudit
untuk mencapai tujuan objektivitas dari suatu proses audit)
|
030
|
Professional Ethics
and Standard
|
030.010
|
Code of Professional
Ethics (auditor SI harus menghormati dan menaati etika profesional dari
ISACA)
|
030.020
|
Due Professional Care
(standar auditing professional harus diterapkan dalam segala aspek pekerjaan
yang dilakukan oleh auditor SI)
|
040
|
Competence
|
040.010
|
Continuing
Professional Education (auditor SI harus memaintain kompeteni teknikal
melalui pendidikan lanjut profesional)
|
050
|
Planning
|
050.010
|
Audit Planning
(auditor SI harus merencanakan perencanaan audit sistem utk menempatkan
tujuan audit dan utk melengkapi standar profesional audit).
|
060
|
Performance of Audit
Work
|
060.010
|
Supervision (staf
dari audit SI harus tepat utk dapat menjamin tujuan dari audit dijalankan dan
standar profesional auditing dapat terpenuhi).
|
060.020
|
Evidence (selama masa
pekerjaan audit auditor SI harus mendapatkan bukti yang tepat, dapat
dipercaya, relevan dan berguna untuk mencapai \ tujuan objektif dari suatu
audit)
|
070
|
Reporting
|
070.010
|
Report Content and
Form (auditor SI harus menyediakan report dalam bentuk yg tepat pada saat
penyelesaian tugas audit. Laporan audit berupa lingkup, tujuan, periode
audit, dan lingkungan dimana audit dijalankan. Laporan audit harus
mengidentifikasikan
permasalahan yang terjadi dalam jangka waktu audit. Laporan audit juga untuk
memberikan rekomendasi dari layanan atau kualifikasi yang diberikan auditor
terhadap tugas audit yang dijalankan)
|
080
|
Follow Up Activities
|
080.010
|
Follow Up (auditor SI
harus meminta dan mengevaluasi informasi yang sesuai dari penemuan yang
terdahulu untuk mendefinisikan tindakan yang tepat yang harus diimplementasikan
dalam satu periode waktu).
|
D.
Pengertian
Analisis Resiko
Menurut Pelter analisis risiko adalah proses
mengidentifikasi aset dan ancaman, memprioritaskan ancaman kerentanan dan
mengidentifikasi tindakan yang tepat untuk dilakukan. Menurut knutson analisis
risiko adalah tindakan untuk menganalisis proyek berdasarkan hasil dari
penilaian risiko dan menyediakan dasar untuk membuat keputusan dan
mengembangkan rencana untuk mengurangi dampak dari risiko.
Sedangkan menurut kerzner analisis risiko adalah proses
mengkaji setiap persoalan risiko yang teridentifikas atau proses meguraikan
deskripsi dari risiko, mengisolasi sumbernya, dan meramalkan efeknya.
E.
Cara
Melakukan Analisis Resiko
Menurut
J. W. Meritt, terdapat beberapa hal atau langkah yang perlu diperhatikan dalam
menerapkan metode analisis resiko secara umum, yaitu sebagai berikut :
- Pertama, menentukan ruang
lingkup (scope statement). Hal ini harus dipercayai oleh semua
kalangan pihak yang menaruh perhatian pada masalah. Dalam menentukan ruang
lingkup ini, ada tiga hal yang harus diperhatikan, yaitu menentukan secara
tepat apa yang harus dievaluasi, mengemukakan apa jenis analisis resiko
yang akan digunakan, dan mengajukan hasil yang diharapkan.
- Menetapkan aset (asset
pricing). Pada langkah kedua ini, semua sistem informasi ditentukan
secara spesifik ke dalam ruang lingkup yang telah dirancang, kemudian
ditaksir ‘harga’ (price)-nya.
- Risks and Threats. Resiko (risk)
adalah sesuatu yang dapat menyebabkan kerugian atau mengurangi nilai
kegunaan operasional sistem. Sedangkan ancaman (threats) adalah
segala sesuatu yang harus dipertimbangkan karena kemungkinannya yang dapat
terjadi secara bebas di luar sistem sehingga memunculkan satu resiko.
- Menentukan koefisien dampak.
Semua aset memiliki kerentanan yang tidak sama terhadap suatu resiko. Oleh
sebab itu perlu dicermati dan diteliti sejauh mana sebuah aset dikenali
sebagai hal yang rentan terhadap sesuatu, serta perbandingannya dengan
aset yang justru kebal sama sekali.
- Single loss expectancy atau ekspetasi kerugian
tunggal. Pada poin ini, Meritt menjelaskan bahwa aset-aset yang berbeda
akan menanggapi secara berbedap pula ancaman-ancaman yang diketahui.
- Group evaluation atau evaluasi kelompok, yaitu
langkah lanjutan yang melibatkan sebuah kelompok pertemuan yang terdiri
dari para pemangku kepentingan terhadap sistem yang dianalisis (diteliti).
Pertemuan ini harus terdiri dari individu yang memiliki pengetahuan
tentang komponen-komponen yang beragam tersebut, tentang ancaman dan
kerentanan dari sistem serta pengelolaan dan tanggung jawab operasi untuk
memberikan bantuan dalam penentuan secara keseluruhan. Pada langkah ini
lah biasanya metode hibrida dalam analisis resiko dilakukan.
- Melakukan kalkulasi
(penghitungan) dan analisis. Terdapat dua macam analisis. Pertama, across
asset, yaitu analisis yang bertujuan untuk menunjukkan aset-aset
tertentu yang perlu mendapat perlindungan paling utama. Kedua, across
risk, yaitu analisis yang bertujuan untuk menunjukkan ancaman apa dan
bagaimana yang paling harus dijaga.
- Controls atau pengendalian, yaitu segala
hal yang kemudian diterapkan untuk mencegah, mendeteksi, dan meredakan
ancaman serta memperbaiki sistem.
- Melakukan analisis terhadai control
atau pengendalian. Ada dua metode yang dapat dilakukan dalam menganalisis
aksi kontrol ini, yaitu cost and benefit ratio dan risk or
control.
F.
Pengertian
Pengendalian Internal
Secara umum, pengendalian internal diartikan sebagai
bagian dari masing-masing sistem yang dipergunakan sebagai prosedur dan pedoman
operasional perusahaan atau organisasi tertentu. Perusahaan pada umumnya
menggunakan Sistem Pengendalian Internal untuk mengarahkan operasi perusahaan
dan mencegah terjadinya penyalahgunaan system sehingga tercipta kefisiensi dan
efektifitas kinerja perusahaan
Adapung pengertian pengendalian
internal menurut beberapa ahli, antara lain :
a.
Menurut Mulyadi (2002 : 181), menyatakan bahwa, “Sistem Pengendalian Internal
adalah suatu proses yang dijalankan oleh dewan komisaris, manajemen, dan
personel lain, yang didesain untuk memberikan keyakinan memadai tentang
pencapaian tiga golongan tujuan yakni kendala pelaporan keuangan, kepatuhan
terhadap hukum dan peraturan yang berlaku, efektivitas dan efisiensi operasi”
d.
Menurut AICPA (Baidaie, 2005 : 44), ”Pengendalian Internal adalah suatu proses
yang dipengaruhi (affected by) board of directors, manajemen dan pegawai
lainnya, yang dirancang untuk memberikan keyakinan yang layak (reasonable
insurance) dapat dicapainya tujuan-tujuan yang berkaitan dengan :
1. dapat
dipercayainya laporan keuangan,
2. efektivitas
san efisiensi operasi, dan
3. ketaatan
terhadap peraturan perundang-undangan yang berlaku.
G.
Perlunya
Pengendalian Internal
Pengendalian internal sangatlah dibutuhkan disetiap
perusahaan ataupun organisasi. Karena dengan adanya pengendalian internal ini,
semua system yang ada dapa saling terhubung dan terintegrasi.
Menurut Niswonger Warren Reeve Fees (2000 : 184), perlunya
pengendalian internal yaitu memberikan jaminan yang wajar bahwa setiap bank
melakukan suatu control yang dapat meminimalisasi penyimpangan-penyimpangan
yang akan terjadi.
Sedangkan menurut Mulyadi (2002 : 178) manfaat
pengendalian internal terbagi menjadi dua bagian yaitu:
1)
Menjaga kekayaan perusahaan
a. Penggunaan kekayaan perusahaan hanya
melalui sistem otorisasi yang telah ditetapkan,
b. Pertanggungjawaban kekayaan perusahaan
yang dicatat dibandingkan dengan kekayaan yang sesungguhnya.
2)
Mengecek ketelitian dan keandalan data akuntansi
a. Pelaksanaan transaksi melalui sistem
otorisasi yang telah ditetapkan,
b. Pencatatan transaksi yang terjadi
tercatat dengan benar di dalam catatan akuntansi perusahaan.
Sumber
·
http://library.binus.ac.id/eColls/eThesis/Bab2/LHM2006-92-bab%202.pdf
0 comments:
Posting Komentar