PENGENALAN AUDIT DAN AUDIT SI/TI
Tinjauan Umum dan Perkembangannya Audit – dari bahasa latin – audiere (hear) Memiliki makna hearing about the accounts’ balance oleh pihak ke tiga Disebutkan sebagai salah satu the old profession in the world Berkembang menjadi bidang audit yang lain: Audit internal Audit teknologi informasi
DEFINISI AUDIT Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor. Tujuannya adalah untuk melakukan verifikasi bahwa subjek dari audit telah diselesaikan atau berjalan sesuai dengan standar, regulasi, dan praktik yang telah disetujui dan diterima. (http://id.wikipedia.org/wiki/Audit)
WISHNU AP: Audit adalah proses pemeriksaan yang dilakukan secara sistematis untuk mengetahui bagaimana sesungguhnya pelaksanaan kualitas diterapkan. hasil audit akan didokumentasi dan evaluasi secara berkala FRANS M. ROYAN: Audit bertujuan untuk mempermudah pemilik melakukan kontrol dan menghindari penyelewengan serta manipulasi data AGUNG DARONO: Audit merupakan tindakan pengujian yang bertujuan untuk menyatakan apakah suatu laporan keuangan telah disajikan berdasarkan prinsip akuntansi yang berlaku umum JEFFREY LIKER: Audit merupakan praktek manajemen yang bersifat memaksa, yang menekankan anggapan bahwa pekerjaan terstandarisasi merupakan kerangka kerja dari suatu birokrasi yang kaku
ISO 9000: Audit adalah suatu proses sistematis, mandiri, dan terdokumentasi untuk memperoleh bukti audit dan mengevaluasinya secara objektif untuk menentukan sejauh mana kriteria audit telah dipenuhi HACCP: Audit merupakan kegiatan pokok verifikasi yang harus mencakup inspeksi terhadap laporan produksi, penyimpangan, tindakan yang dilakukan serta pengkajian terhadap pelaksanaan dan prosedur yang digunakan untuk mengendalikan J.B SUHARJO & B. CAHYONO: Audit merupakan penilaian terhadap kinerja melalui perbandingan apa yang dilakukan dengan standar yang seharusnya dilakukan JAMES A. HALL (THOMSON): Audit adalah pembuktian independen yang dilakukan oleh auditor, yang menyatakan opini mengenai kewajaran laporan keuangan perusahaan
Jenis-Jenis Audit – berdasar bidang Audit keuangan Audit operasional (management audit) Audit ketaatan (complience audit) Audit sistem informasi Audit E-Commerce Audit Forensic
Jenis-Jenis Audit – berdasar Auditor Auditor Ekstern Independen Auditor Internal Auditor di lingkungan pemerintahan Auditor Perpajakan
Jenis-Jenis Audit Berdasarkan Bidang Jenis Audit Berdasarkan Auditor Keuangan Ketaatan Jenis Audit Operasional (A.A. Arens, R.J.Elder, M.Sbeasley (2003))
Jenis-Jenis Audit Berdasarkan Bidang yang diaudit Audit Keuangan (Financial audit) General financial statement Audit Special Financial Audit Audit Operasional/Manajemen (Operational/Management Audit) Audit Ketaatan (Compliance Audit) Audit Sistem Informasi (Information System Audit) Audit e-commerce Investigation Audit/Fraud Audit/Audit Forensic Berdasarkan Auditornya Auditor eksternal independen (akuntan publik) Auditor internal (perusahaan) Auditor (di lingkungan instansi-instansi) pemerintah) Auditor perpajakan
Tipe-tipe Audit Audit pada umumnya dibagi menjadi tiga golongan, yaitu : audit laporan keuangan, audit kepatuhan, dan audit operasional. (A.A. Arens, R.J.Elder, M.Sbeasley (2003)) Audit laporan keuangan (financial statement audit). Audit laporan keuangan adalah audit yang dilakukan oleh auditor eksternal maupun internal terhadap laporan keuangan auditee untuk memberikan pendapat apakah laporan keuangan tersebut disajikan sesuai dengan kriteria-kriteria yang telah ditetapkan. Hasil audit lalu dibagikan kepada pihak luar perusahaan seperti kreditor, pemegang saham, dan kantor pelayanan pajak.
Tipe-tipe Audit Audit kepatuhan (compliance audit). Audit ini bertujuan untuk menentukan apakah yang diperiksa sesuai dengan kondisi, peraturan, dan undang-undang tertentu. Kriteria-kriteria yang ditetapkan dalam audit kepatuhan berasal dari sumber-sumber yang berbeda. Contohnya ia mungkin bersumber dari manajemen dalam bentuk prosedur-prosedur pengendalian internal. Audit kepatuhan dapat dilakukan oleh auditor internal maupun eksternal. Audit operasional (operational audit). Audit operasional merupakan penelaahan secara sistematik aktivitas operasi organisasi dalam hubungannya dengan tujuan tertentu. Dalam audit operasional, auditor diharapkan melakukan pengamatan yang obyektif dan analisis yang komprehensif terhadap operasional-operasional tertentu.
Audit Operasional Tujuan audit operasional adalah untuk : Menilai kinerja, kinerja dibandingkan dengan kebijakan-kebijakan, standar-standar, dan sasaran-sasaran yang ditetapkan oleh manajemen Mengidentifikasikan peluang dan Memberikan rekomendasi untuk perbaikan atau tindakan lebih lanjut. Pihak-pihak yang mungkin meminta dilakukannya audit operasional adalah manajemen dan pihak ketiga. Hasil audit operasional diserahkan kepada pihak yang meminta dilaksanakannya audit tersebut
Hal-Hal Penting Dalam Audit Dalam melaksanakan audit faktor-faktor berikut harus diperhatikan: Dibutuhkan informasi yang dapat diukur dan sejumlah kriteria (standar) yang dapat digunakan sebagai panduan untuk mengevaluasi informasi tersebut, Penetapan entitas ekonomi dan periode waktu yang diaudit harus jelas untuk menentukan lingkup tanggungjawab auditor, Bahan bukti harus diperoleh dalam jumlah dan kualitas yang cukup untuk memenuhi tujuan audit, Kemampuan auditor memahami kriteria yang digunakan serta sikap independen dalam mengumpulkan bahan bukti yang diperlukan untuk mendukung kesimpulan yang akan diambilnya.
Audit Sistem Informasi EDP Audit (electronic data processing audit) atau komputer audit, kini disebut audit sistem informasi. Merupakan proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputer telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, semua aktivitas dilindungi dengan baik/tidak disalahgunakan secara terjaminnya integritas data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis kmputer tersebut EDP Audit atau audit komputer sudah tidak tepat untuk digunakan
Pada mulanya EDP Audit hanya dilakukan dalam rangka audit laporan keuangan Karena makin pentingnya dan makin besarnya investasi dalam TI, organisasi/perusahaan makin merasakan perlunya audit operasional terhadap fungsi TI-nya. ISACA memperkenalkan konsep CobIT yang memperjelas peta area audit teknologi informasi. Secara umum audit sistem informasi dimaksudkan untuk mengevaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis perusahaan, untuk mengetahui apakah suatu sistem informasi telah didesain dan diimplementasikan secara efektif, efisien, dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai.
Klasifikasi Audit Sistem Informasi Audit laporan keuangan (general audit on financial statemens) Merupakan audit terhadap aspek-aspek teknologi informasi suatu sistem informasi akuntansi berbasis teknologi informasi adalah dilaksanakan dalam rangka audit keuangan (general financial audit) yang sistem informasinya berbasis komputr (sering disebut audit teknologi informasi) Audit Sistem informasi (SI) sebagai kegiatan tersendiri, terpisah dari audit keuangan. Merupakan salah satu dari audit operasional. Tetapi kini audit SI sudah dikenal sebagai satu jenis audit tersendiri yang tujuan utamanya adalah ntuk meingkatkan IT governance.
Audit Laporan Keuangan Berbasis Teknologi Informasi Tujuannya yaitu memeriksa kesesuaian financial statements dengan standar akuntansi keuangan dan ada tidaknya salah saji material pada laporan keuangan. Audit dilakukan sebagai bagian dari kewajiban legal. Audit TI dilakukan dalam rangka test of controls serta subtantive test. Kualifikasi auditornya adalah akuntan (registered, dan certified public accountant). Panduan yang digunakan di Indonesia adalah Standar Profesional Akuntan Publik (SPAP), dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (IAI di Indonesia, AICPA Di USA, atau CICA untuk Kanada). Referensi model sistem pengendalian intern yang dipakai lazimnya adalah COSO (Committee of Sponsoring Organization). Tujuan utama auditor adalah untuk mendapatkan keyakinan laporan keuangan perusahaan. Metode/pendekatan auditnya, akuntan dapat melakukan pemeriksaan terhadap sistem komputerisasinya atau degan pemeriksaan input dengan output
Audit Sistem informasi (SI) Sebagai suatu audit operasional terhadap manajemen sumberdaya informasi, yaitu efektivitas, efisiensi, dan ekonomis tidaknya unit funsional sistem informasi pada suatu organisasi atau pengelolaan sistem informasi pada suatu organisasi. Dengan diperkenalkan CobIT , kini tujuan audit bukan hanya terbatas pada konsep klasik 3E saja, melainkan kini menjadi efektivitas, efisiensi, kerahasiaan, keterpaduan ketersediaan, kepatuhan pada kebijakan atau aturan dan keandalan sistem informasi. Pelaksanaan audit ini biasanya dilakukan oleh auditor intern (tetapi tidak menutup kemungkinan oleh auditor ekstern-independen), dengan menerapkan pengetahuan teknis audit dan sistem informasi maupun pengalamannya, untuk mengevaluasi unit/departemen sistem informasi, pengelolaan sumber daya informasi, pengembangan sistem aplikasi, serta mengevaluasi sistem yang sudah diimplementasikan (apakah sistem tersebut perlu dimutakhirkan atau diperbaiki, atau bahkan dihentikan karena sudah tidak sesuai atau mengandung kesalahan)
Audit Sistem informasi (SI) Panduan yang dipergunakan dalam audit SI ini untuk di Indonesia adalah Standar Atestasi, dan aturan-aturan yang dikeluarkan oleh organisasi profesi akuntansi (AIA di Indonesia, AICPA di USA, atau CICA untuk Kanada), maupun yang lebih khusus lagi, yaitu: dari ISACA atau IIA. Model referensi sistem pengendalian intern lazimnya adalah CobIT. Audit objectives dalam audit terhadap IT governance. Karena yang diperikasa adalah tata-kelola TI, maka yang diperiksa antara lain adalah teknologi informasi itu sendiri.
Audit Sistem informasi (SI) Dalam pelaksanaannya, jenis audit ini berkembang dalam beberapa varian, yaitu: Pemeriksaan operasional terhadap pengelolaan sistem informasinya, atau lebih tepatnya/tegasnya terhadap tata-kelola teknologi informasi. General information review, audit terhadap sistem informasi secara umum pada suatu organisasi. Audit terhadap aplikasi tertentu yang sedang dikembangkan, quality assurance pada system development. Auditor bukan anggota dari tim pengembang sistem, tetap membantu tim untuk meningkatkan kualitas dari sistem yang mereka rencanakan dan implementasikan. Post Implementation Audit, audit terhadap aplikasi tertentu yang sudah dioperasikan. Audit e-busienss atau e-commerce, di USA ikatan akuntan publiknya (AICPA) menawarkan jasa webtrust, bahkan juga systrust.
Audit Sistem informasi (SI) Dalam pelaksanaannya, jenis audit ini berkembang dalam beberapa varian, yaitu: Audit juga dapat dilakukan untuk jenis lingkup penugasan tertentu, misalnya Telaah lingkungan TI, Telaah proses bisnis dan seberapa jauh TI mendukungnya Telaah Kepemilikan TI, apakah sewa/leasing, dimiliki oleh perusahaan sepenuhnya, atau dimiliki perusahaan outsourcing. Telaah sistem jaringan dan keamanan Telaah integritas data pada sistem informasi Telaah administrasi sistem, meliputi: keamanan sistem operasi, manajemen database, prosedur dan ketaatan administrasi secara keseluruhan.
Tujuan Audit Effectiveness “Deals with information being relevant and pertinent to the business process as well as being delivered in a timely, correct, consistent, and usable manner.” Berhubungan dengan informasi yang relevan dan berhubungan dengan proses bisnis, yang disampaikan dalam waktu yang tepat bener, konsisten, dan dapat digunakan. Efficiency “Concerns the provision of information through the optimal (most productive and economical) use of resources.” Berhubungan dengan penyediaan informasi melalui penggunaan sumber daya yang optimal (paling produktif dan ekonomis). Confidentiality “Concerns the protection of sensitive information from unauthorized disclosure.” Berhubungan dengan perlindungan informasi yang bersifat sensitif dari pembeberan rahasia tanpa disertai otoritas.
Tujuan Audit Integrity “Relates to the accuracy and completeness of information as well as to its validity in accordance with business value and expectations.” Berhubungan dengan ketepatan dan kelengkapan dari suatu informasi serta keabsahan informasi tersebut dalam hubungannya dengan nilai-nilai bisnis dan harapan-harapannya. Availability “Relates to information being available when required by the business process now and in the future. It also concerns the safeguarding of necessary resources and associated capabilities.” Berhubungan dengan ketersediaan informasi ketika dibutuhkan oleh proses bisnis sekarang dan di masa yang akan datang. Hal ini juga mencakup pengamanan terhadap sumber daya dan kemampuan yang terkait.
Tujuan Audit Compliance “Deals with complying with the laws, regulations, and contractual arrangements to which the business process is subject-that is, externally imposed business criteria, as well as internal policies” Berhubungan dengan mematuhi hukum, peraturan, dan pengaturan kontrak dimana proses bisnis merupakan subjeknya, dikenakan secara eksternal terhadap kriteria bisnis, dan kebijakan-kebijakan internal. Reliability “Relates to the provision of appropriate information for management to operate the entity and exercise its fiduciary and governance responsibilities.” Berhubungan dengan penyediaan informasi-informasi yang sesuai dengan pihak manajemen untuk menjalankan entitasnya dan mempraktekan tanggung jawab pemerintahannya.
Pemetaan audit SI pada konstruksi pertanyaan Who, siapa auditornya, kualifikasi, auditor intern atau ekstern What, teknik audit yang akan dilakukan: arround, through the computer How, bagaimana metodologinya with the computer atau manual saja dalam audit evidence collection and evaluation juga dalam approach atau pendekatan: transactional base, system base, ataukah risk base audit? Why, mengapa perlu dilakukan audit When, kapan masing-masing sebaiknya dilakukan Where, pada fungsi yang mana dilakukan pemeriksaan Which, apa audit objective nya, area apa saja yang perlu diperiksa dan bahan bukti apa yang perlu dikumpulkan
Perlunya Audit TI Audit TI makin diperlukan sehubungan dengan resiko yang semakin tinggi dibidang sistem berbasis teknologi informasi, yaitu: Resiko penggunaan teknologi informasi secara tidak langsung (tidak tepat) Kesalahan berantai atau pengulangan kesalahan secara cepat/konsisten pada sistem berbasis komputer Ketidakmampuan menterjemahkan kebutuhan (sistem tidak sesuai) Konsentrasi tanggungjawab, antara lain konsentrasi data pada satu lokasi atau orang-orang TI Kerusakan sistem kompunikasi yang dapat berakibat pada proses atau data. Data input atau informasi bisa saja tidak akurat, kurang mutakhir, palsu Ketidakmampuan mengendalikan teknologi Akses sistem yang tidak terkendali