Jasa pembuktian versus kepastian
Salah satu titik awal yang penting
dari materi ini menjelaskan perbedaan antara fungsi pembuktian tradisional dari
seorang auditor dan bidang jasa auditor yang saat ini sedang berkembang, yaitu
jasa kepastian. Jasa pembuktian didefenisikan sebagai berikut :
Sebuah perjanjian, di mana seorang
praktisi terlibat untuk menerbitkan, atau melakukan sebuah komunikasi tertulis
yang menyatakan kesimpulan tentang realibilitas sebuah pernyataan tertulis yang
menjadi tanggung jawab pihak lain.
Berikut syarat-syarat yang berkaitan dengan jasa pembuktian :
·
Jasa pembuktian memerlukan pernyataan dan laporan tertulis dari
seorang praktisi,
·
Jasa pembuktian memerlukan penetapan kriteria ukuran resmi atau
keterangannya dalam perjanjian
·
Tingkat pelayanan dalam perjanjian pembuktian terbatas pada
pemeriksaan, ulasan, dan aplikasi yang prosedur-prosedurnya telah disetujui
bersama.
Jasa kepastian (assurance service)
merupakan jasa profesional yang didesain untuk memperbaiki kualitas informasi,
baik keuangan maupun nonkeuangan, yang digunakan oleh para penganbil keputusan.
Apakah
audit keuangan itu?
audit keuangan merupakan pembuktian independen
yang dilakukan oleh seorang ahli, yaitu auditor, yang menunjukkan opininya
tentang penyajian laporan keuangan.
Ekspresi publik terhadap opini
auditor merupakan puncak dari sebuah proses audit yang sistematis, yang
melibatkan tiga tahap konseptual, yaitu :
1.
Mengenal baik bisnis perusahaan
2.
Mengevaluasi dan menguji pengendalian internal, dan
3.
Menilai reliabilitasdata keuangan.
Standar
audit
Standar audit dibagi dalam tiga
kelas, yaitu standar kualifikasi umum, standar kerja lapangan, dan standar
pelaporan. Gaas menetapkan kerja kerja bagi kinerja uditor, tetapi kurang
terperinci untuk menyediakan petunjuk dalam situasi-situasi tertentu. Untuk
menyediakan acuan tertentu, american institute of certified public accountants
(aicpa) menerbitkan pernyataan standar audit (statements on auditing
standars-sas) sebagai interpretasi otoritatif dari gaas. Sas sering kali diacu
sebagai standar audit, atau gaas, walaupun bukan merupakan sepuluh standar
audit yang berlaku umum.
Pernyataan
standar audit
Sas yang pertama (sas 1) dikeluarkan
oleh aicpa pada tahun 1972. Sejak itu, banyak sas yang diterbitkan untuk
mengarahkan auditor pada berbagai topic, termasuk diantaranya metode dalam
menginvestigasi klien baru, prosedur untuk mengumpulkan informasi dari para
pengguna berkaitan dengan kewajiban kontijensi yang di klaim oleh para klien,
dan tehnik uuntuk mendapatkan informasi latar belakang tentang industry klien.
sas dianggap
sebagai pernyataan yang otoritatif karena setiap anggota profesi harus
mengikuti rekomendasinya, atau harus mampu menjelaskan alas an mengapa sas tidak diterapkan pada situasi tertentu.
Beban justifikasi ini bergantung pada auditor individual.
Audit
eksternal versus internal
audit eksternal (external
auditing) sering kali disebut sebagai audit independen karena dilakukan
oleh para akuntan pihak bersertifikat yang independen terhadap perusahaan yang
sedang diaudit. Para auditor eksternal ini mewakili pemegang kepentingan pihak
ketiga perusahaan, seperti pemegang saham, kreditor, dan lembaga pemerintah.
Karena focus eksternal terletak pada laporan keuangan, jenis audit ini disebut
sebagai audit keuangan.
karakteristik yang
secara konseptual membedakan auditor internal adan auditor eksternal adalah
pihak yang memilih mereka : auditor eksternal mewakili pihak luar, dan auditor
internal mewakili kepentingan perusahaan. Namun demikian dalam kapasitas ini,
para auditor internal sering kali bekerja sama dan membantu para auditor
eksternal dalam melakukan audit keuangna. Hal ini dilakukan agar tercapai
efisiensi dan mengurangi biaya audit
Apakah
audit teknologi informasi (ti) itu?
Audit ti berfokus pada aspek-aspek
sistem informasi yang berbasis computer, temasuk dalam hal ini adalah penilaian
terhadap implementasi, kegiatan operasi, dan pengendalian sumber daya computer
yang tepat. Karena kebanyakan sistem informasi modern menggunakan teknologi
informasi, audit teknologi informasi biasanya merupakan salah satu komponen
yang penting dari semua audit eksternal
(keuangan) dan internal.
Elemen audit
defenisi audit
dapat diterapkan pada eksternal, internal dan teknologi informasi. Audit
merupakan sebuah proses sistematis yang secara objektif mendapatkan dan
mengevaluasi bukti-bukti yang berkaitan dengan pernyataan tentang berbagai
tindakan dan peristiwa ekonomi untuk memastikan tingkat korespondensi di antara
pernyataan-pernyataan tersebut serta criteria-kriteria yang sudah diterapkan.
Selain itu audit juga mengomunikasikan hasilnya kepada para pengguna yang
berkepentingan
defenisi ini
berisi bebrapa hal penting, seperti :
-
Proses sistematis
-
Pernyataan manajemen dan tujuan audit
-
Mendapatkan bukti
-
Memastikan tingkat korespondensi dengan criteria yang sudah
ditetapkan
-
Mengomunikasikan hasil pemeriksaan
Struktur
audit teknologi informasi
·
Perencanaan audit
·
Uji pengendalian
·
Pengujian substantif
v Menilai risiko audit dan mendesain uji pengendalian
Risiko audit (audit risk) adalah
probabilitas bahwa seorang auditor akan memberikan opininya yang sesungguhnya
(bersih) tentang laporan keuangan yang, pada kenyataannya, keliru secara
material.
Komponen risiko audit
Tiga komponen risiko audit terdiri atas risiko inheren,
pengendalian, dan deteksi
Risiko inheren
Risiko pengendalian
Risiko deteksi
Hubungan
antara uji pengendalian dan uji substantif
Uji penegndalian dan uji substantive
merupan teknik-teknik audit yang digunakan untuk mengurangi total risiko audit.
Hubungan antara uji pengendalian dan substantive bervariasi, bergantung pada
penilaian risiko auditor terhadap organisasi.
Uji
pengendalian umum
Bagian ini akan membahas prosedur
audit yang digunakan untuk memverifikasi kecukupan pengendalian-pengendalian
umum. Tujuan utama kita adalah untuk memahami (1) tujuan audit dalam setap
wilayah pengendalian umum, dan (2) sifat pengujian yang dilakukan oleh auditor
untuk mencapai tujuan tersebut. Diskusi tersebut diatur disekitar wilayah audit
berikut ini :
1)
Pengendalian sistem operasi
2)
Pengendalian manajemen data
3)
Pengendalian struktur organisasi
4)
Pengendalian pengembangan sistem
5)
Pengendalian pemeliharaan sistem
6)
Pengendalian dan keamanan pusat computer
7)
Pengendalian internet dan intranet
8)
Pengendalian pertukaran data elektronik
9)
Pengendalian computer pribadi.
Mengembangkan
tujuan audit
Tujuan audit berasal dari 2 jenis pengetahuan yang dibutuhkan dalam
tahap analisis risiko audit:
1)
Pemahaman akan eksposur yang mengancam aktivitas organisasi
2)
Pemahaman akan struktur pengendalian internal yang sudah ada.
Menguji
pengendalian sistem operasi
Wilayah-wilayah pengendalian sistem operasi yang dipelajari dalam
bagian ini adalah:
·
Tujuan audit yang berkaitan dengan hak istimewa akses
·
Prosedur audit yang berkaitan dengan hak istimewa akses
·
Tujuan audit yang berkaitan dengan kata sandi
·
Prosedur audit yang berkaitan dengan kata sandi
·
Tujuan audit yang berkaitan denag virus dan program destruktuf
lainnya
·
Prosedur audit yang berkaitan dengan virus dan program destruktuf
lainnya
·
Tujuan audit yang berkaitan dengan jejak audit otomatis
·
Prosedur audit yang berkaitan dengan jejak audit otomatis
·
Tujuan audit yang berkaitan dengan toleransi kesalahan
·
Prosedur audit yang berkaitan dengan toleransi kesalahan
Pengujian
pengendalian manajemen data
Tanggung jawab auditor untuk memeriksa pengendalian manajemen data
meliputi pengendalian pada lingkungan file datar dan basis data.
Ø
Tujuan audit yang berkaitan dengan manajemen data
Tiga tujuan tersebut adalah (1)
cadangan file data yang sudah memadai untuk memfasilitasi pemulihan ketika
terjadi kehilangan, kehancuran, atau korpsi data (2) individu yang diberi
otorisasi telah menggunakan basisi data secara terbatas, hanya untuk mengakses
data yang diperlukan untuk melakukan pekerjaannya dan (3) individu yang tidak
memiliki otoritas ditolak aksesnya ke basis data.
Ø
Prosedur audit untuk menguji pengendalian cadangan,yaitu :
·
Cadangan file berurutan (gpc)
·
Cadangan file akses lansung
·
Cadangan basis data
Ø
Prosedur audit untuk menguji pengendalian akses yaitu :
·
Tanggung jawab untuk tabel otoritas dan subskema
·
Otoritasi akses yang tepat
·
Pengendalian biometric
·
Penegndalian inferensi
·
Pengendalian enkripsi
Pengujian
pengendalian struktur organisasi
Organisasi dari fungsi tekhnologi informasi
(ti) memiliki pengaruh terhadap struktur pengendalian internal, yang nantinya
akan berpengaruh pada audit.
Ø
Tujuan audit yang berkaitan dengan struktur organisasi
Tujuan auditor adalah memverifikasi
bahwa individu-individu dalam bidang kerja yang berbeda dipisahkan sesuai
dengan tingkat potensi risikonya dan dengan cara yang mendukung lingkungan
kerja. Ini adalah lingkungan, dimana relasi yang bersifat formal dan bukan
kaswal berada diantara tugas-tugas yang tidak saling besesuaian.
Ø
Prosedur audit yang berkaitan denagn struktur organisasi
Berikut ini adalah pengujian
pengendalian yang memungkinkan auditor mewujudkan tujuan-tujuan pengendalian:
·
Mendapatkan dan memeriksa kebijakan perusahaan perihal keamanan
computer. Memverifikasi bahwa kebijakan keamanan tersebut dikomunikasikan
kepada para karyawan dan supervisor.
·
Memeriksa dokumentasi yang relevan, termasuk struktur organisasi
saat ini, pernyataan misi dan diskripsi pekerjaan fungsi utama, untuk
memastikan bahwa individu atau kelompok tersebut melakukan fungsi yang berbeda.
·
Memeriksa dokumentasi sistem dan pemeliharaan catatan untuk sebuah
sampel aplikasi. Memverifikasi bahwa pemprograman pemeliharaan sistem yang
ditugaskan untuk proyek tertentu bukan merupakan pemprograman desain awal
sistem
·
Melalui observasi, memastikan bahwa kebijakan pemisahan tugas
benar-benar diperhatikan. Memeriksa catatan harian akses keruang operasi untuk
melihat apakah para pemprograman memasukkan fasilitas untuk alas an-alasan lain
karena kegagalan sistem
·
Memeriksa hak-hak pengguna untuk memverifikasi bahwa para
pemprograman memiliki hak istimewa akses yang konsistem denagn desripsi
pekerjaan mereka.
Pengujian
pengendalian pengembangan sistem
Ø Tujuan audit yang berkaitan dengan pengembangan sistem
Tujuan auditor adalah memastikan bahwa
1.
Aktivitas sdlc diterapkan secara konsisten dan sesuai dengan
kebijakan manajemen pada semua proyek pengembangan sistem
2.
Sistem tersebut sejak awalnya bersih dari kecurangan dan kesalahan
yang sifatnya material
3.
Sistem tersebut dinilai memeng perlu dan dijustifikasi pada
berbagai titik pemeriksaan dalam seluruh sdlc, dan
4.
Dokumentasi sistem akurat dan lengkap untuk memfasilitasi audit dan aktifitas pemeliharaan.
Ø Pengujian pengendalian pengembangan sistem
Berikut ini adalah pengujian terhadap pengendalian pengembangan
sistem yaitu :
·
Keterlibatan staf audit internal secara terus-menerus
·
Memeriksa sdlc
Pengujian
pengendalian pemeliharaan sistem
jika sebuah
aplikasi sedang menjalani pemeliharaan ( dan bahkan jika tidak ) integritas
terancam sejak saat aplikasi tersebut di implimentasikan. Oleh karena itu,
investigasi auditor harus di perluas sampai pada tahap pemeliharaan untuk
menentukan bahwa integritas aplikasi tersebut tetap terjaga.
Ø Tujuan auditor yang berkaitan dengan pemeliharaan sistem
tujuan auditor
adalah mendeteksi pemeliharaan program yang tidak memiliki otorisasi( yang
dapat menimbulkan kesalahan pemrosesan signifikan atau penipuan ) menentukan bahwa :
1 .prosedur pemeliharaan melindungi aplikasi dari perubahan yang
tidak sah
2. Aplikasi bebas dari kesalahan yang sifatnya material,dan
3. Perpustakaan program melindungi dari akses yang tidak sah
Ø Prosedur audit untuk mengidentifikasi perubahan program yang tidak sah
Untuk memastikan bahwa setiap
perubahan program yang terjadi adalah sah,auditor harus memeriksa jejak audit
dari perubahan program sebuah sampel aplikasi yang telah menjalani
pemeliharaan. Auditor kemudian dapat mengiformasikan bahwa prosedur ototrisasi
telah di ikuti dengan melakukan uji pengendalian berikut ini :
·
Rekonsiliasi jumlah versi program
·
Konfirmasi otorisasi pemeliharaan
Ø Prosedur audit untuk mengidentifikasi kesalahan aplikasi
auditor dapat menentukan
bahwa program-program bebas dari kesalahan yang sifatnya material dengan
melakukan tiga jenis uji pengendalian yaitu
1.
Merekonsiliasi kode sumber
2.
Memeriksa hasil pengujian
3.
Menguji ulang program
Ø Prosedur audit untuk menguji audit keperpustakaan
Adanya perpustakaan program yang
aman merupakan hal penting untuk mencegah terjadinya kesalahan dan kecurangan
program.salah satu metodenya adalah dengan menetapkan hak akses keperpustakaan
secara ekslusif keindividu-individu yang bertindak sebagai petugas
keperpustakaan.auditor harus menetapkan bahwa perpustakaan program dan
perpustakaan pribadi dilindungi dari akses yang tidak sah dengan melakukan
pengujian pengendalian berikut yaitu : memeriksa tabel otoritas programmer dan
menguji tabel otoritas.
Pengujian
keamanaan pusat computer
auditor secara
rutin mempelajari lingkungan fisik pusat computer sebagai bagian dari audit.
Ø
Tujuan audit yang berkaitan dengan keamanan pusat computer
Tujuan auditor adalah mengevaluasi
pengendalian yang mengukur keamanan pusat computer. Secara khusus auditor harus
memverifikasi bahwa (1) pengandalian pengamanan fisik memadai untuk melindungi
organisasi dari berbagai eksposur fisik, (2) jaminan asuransi pada peralatan
cukup untuk memberikan kompensasi pada perusahaan ketika terjadi kerusakan,
atau bencana, pada pusat computer (3) dokumentasi operator tersebut memadai
untuk kegiatan operasi rutin dan ketika terjadi kegagalan sistem dan (4)
rencana pemulihan kerusakan organisasi itu memadai dan layak.
Ø
Prosedur audit untuk menilai pengendalian keamanan fisik
ü Pengujian
kontruksi
ü Pengujian
sistem deteksi kebakaran
ü Pengujian pengendalian
akses
ü Pengujian pasokan
listrik cadangan
Ø
Prosedur untuk memverifikasi jaminan asuransi
Setiap tahun auditor harus memeriksa jaminan asuransi perusahaan
untuk peranti keras, peranti lunak, dan fasilitas fisik komputernya. Auditor
harus memverifikasi bahwa semua akuisisi baru sudah tercantum dalam polis serta
peralatan dan peranti lunak yang usang sudah dihapus.
Ø
Prosedur audit untuk memverifikasi kecukupan dokumentasi operator
Operator computer menggunakan
dokumentasi yang disebut petunjuk operasi
(run manual) untuk menjalankan aspek-aspek tertentu dari sistem. Untuk
mewujudkan operasi pemrosesan data yang efektif manual operasi harus terperinci
secara memadai untuk mengarahkan operator dalammenjalankan tugasnya. Auditor
hatus memeriksa manual operasi tersebut untuk kelengkapan dan akurasinya.
Manual operasi biasanya berisi :
Nama sistem, misalnya “sistem pembelian”
Jadwal operasional
Peralatan peranti keras yang dibutuhkan
Persyaratan file yang
menyebuktkan semua file transaksi (input), file master dan file output yang
digunakan dalam sistem tersebut
Petunjuk waktu operasional yang menjelaskan pesan kesalahan yang
mungkin terjadi, tibdakan yang harus dilakukan, serta nama dan nomor telpon
programmer yang bisa dihubungi, jika sitem mengalami kegagalan.
Sebuah data pengguna yang menerim output dari operasi computer
tersebut.
Ø
Prosedur audit untuk menilai rencana pemulihan dari bencana
Pengujian berikut ini berkaitan
dengan wilayah-wilayah yang paling diperhatikan untuk :
·
Cadangan lokasi ke dua
·
Daftar aplikasi penting
·
Cadangan untuk aplikasi penting
·
Cadangan file data penting
·
Cadangan pusokan, dokumentasi sumber, dan dokumentasi
·
Tim pemulihan dari bencana.
Pengujian
pengendalian internet dan intranet
Ø
Tujuan audit yang berkaitan dengan pengendalian internet dan intranet
Ø
Pengujian pengendalian komunikasi data
Pengujian
pengendalian pertukaran data elektronik
Pertukaran
data elektronik (elekronic data interchange- edi) adalah pertukaran antar perusahaan mengenai informasi bisnis yang
dapat diproses menggunakan computer dengan format standar.
Ø
Tujuan audit yang berkaitan dengan edi
Tujuan auditor dalam melakukan audit
yang berkaitan dengan edi adalah untuk memastikan bahwa (1) semua transaksi edi
disahkan, divalidasi, dan sesuuai dengan perjanjian mitra usaha (2) tidak ada
perusahaan yang tidak memiliki otorisasi dalam mendapatkan akses record basis
data, (3) mitra uasaha yang sah memiliki akses hanya ke data yang disetujui dan
(4) pengendalian yang memadai digunakan untuk memastikan jejak audit yang
lengkap untuk semua transaksi edi.
Ø
Prosedur audit yang berkaitan dengan edi
·
Uji pengendalian otorisasi dan validasi
·
Uji pengendalian akses
·
Uji pengendalian jejak audit
Pengujian
pengendalian komputer pribadi
·
Tujuan audit yang berkaitan dengan akses
·
Prosedur audit yang berkaitan dengan akses
·
Tujuan audit yang berkaitan dengan pemisahan tugas
·
Prosedur audit yang berkaitan dengan pemisahan tugas
·
Tujuan audit yang berkaitan dengan pembuatan cadangan
·
Prosesdur audit yang berkaitan dengan pembuatan cadangan
·
Tujuan audit yang berkaitan dengan pengembangan dan pemeliharaan
sistem
·
Prosedur audit yang berkaitan dengan pengembangan dan pemeliharaan
sistem
v Pengujian terhadap pengendalian aplikasi komputer
Bagian ini dan berikutnya membahas tentang beberapa teknik popular
untuk mengaudit aplikasi computer. Teknik ini digolongkan dalam 2 kelas: (1)
teknik untuk menguji pengendalian aplikasi serta (2) teknik untuk memeriksa
perincian transaksi dan saldo akun- pengujian
substantive.
Ø Pendekatan kotak hitam
Auditor yang melakukan pengujian kotak hitam tidak bergantung pada
pengetahuan terperinci tentang logika internal aplikasi.
Ø Pendekatan kotak putih
Pendekatan kotak putih bergantung
pada pemahaman yang mendalam tentang logika internal aplikasi yang sedang
diuji.
Ø Teknik pengujian kotak putih
ü Metode data uji
ü Evaluasi sistem
kasus dasar
ü Penelusuran
jejak
ü Keunggulan
teknik data uji
ü Kelemahan
teknik data uji
Ø Fasilitas uji terpadu
·
Keunggulan itf: mendukung pengawasan yang berkelanjutan terhadap
aktivitas pengendalian , aplikasi dengan itf dapat di uji secara ekonomis tanpa
mengganggu kegiatan operasional pengguna tanpa intervensipersonel layanan
computer.
·
Kelemahan itf: adanya potensi terhadap pengorupsian file data
perusahaan dengan data uji.
Ø Simulasi paralel
·
Menciptakan program simulasi
Program-program
simulasi biasanya tidak terlalu rumit jika dibandingkan dengan aplikasi
produksi produksi yang mereka wakili.
v Teknik pengujian substantif
Modul audit yang dilekatkan
Teknik modul
audit yang dilekatkan (embedded audit module-eam) menggunakan suatu atau lebih
modul program khusus yang dilekatkan dalam aplikasi klien untuk memilih dan
mencatat jenis-jenis transaksi yang sebelumnya sudah ditetapkan untuk
dianalisis lebih lanjut.
Peranti
lunak audit yang digeneralisasikan
Ø Menggunakan gas
untuk mengakses struktur sederhana
Ø Menggunakan gas
untuk mengakses sruktur kompleks
Ø Masalah audit
yang berkaitan dengan pembuatan file datar
Tidak ada komentar:
Posting Komentar