Sejarah singkat Audit IT
Audit IT yang pada awalnya lebih dikenal sebagai EDP Audit
(Electronic Data Processing) telah mengalami perkembangan yang pesat.
Perkembangan Audit IT ini didorong oleh kemajuan teknologi dalam sistem
keuangan, meningkatnya kebutuhan akan kontrol IT, dan pengaruh dari
komputer itu sendiri untuk menyelesaikan tugas penting. Pemanfaatan
teknologi komputer ke dalam sistem keuangan telah mengubah cara kerja
sistem keuangan, yaitu dalam penyimpanan data, pengambilan kembali
data, dan pengendalian. Sistem keuangan pertama yang menggunakan
teknologi komputer muncul pertama kali tahun 1954. Selama periode 1954
sampai dengan 1960-an profesi audit masih menggunakan komputer. Pada
pertengahan 1960-an terjadi perubahan pada mesin komputer, dari
mainframe menjadi komputer yang lebih kecil dan murah. Pada tahun 1968,
American Institute of Certified Public Accountants (AICPA) ikut
mendukung pengembangan EDP auditing. Sekitar periode ini pula para
auditor bersama-sama mendirikan Electronic Data Processing Auditors
Association (EDPAA). Tujuan lembaga ini adalah untuk membuat suatu
tuntunan, prosedur, dan standar bagi audit EDP. Pada tahun 1977, edisi
pertama Control Objectives diluncurkan. Publikasi ini kemudian dikenal
sebagai Control Objectives for Information and Related Technology
(CobiT). Tahun 1994, EDPAA mengubah namanya menjadi Information System
Audit (ISACA). Selama periode akhir 1960-an sampai saat ini teknologi
TI telah berubah dengan cepat dari mikrokomputer dan jaringan ke
internet. Pada akhirnya perubahan-perubahan tersebut ikut pula
menentukan perubahan pada audit IT.
Jenis Audit IT1. Sistem dan aplikasi.
Audit
yang berfungsi untuk memeriksa apakah sistem dan aplikasi sesuai dengan
kebutuhan organisasi, berdayaguna, dan memiliki kontrol yang cukup
baik untuk menjamin keabsahan, kehandalan, tepat waktu, dan keamanan
pada input, proses, output pada semua tingkat kegiatan sistem.
2. Fasilitas pemrosesan informasi.
Audit
yang berfungsi untuk memeriksa apakah fasilitas pemrosesan terkendali
untuk menjamin ketepatan waktu, ketelitian, dan pemrosesan aplikasi
yang efisien dalam keadaan normal dan buruk.
3. Pengembangan sistem.
Audit yang berfungsi untuk memeriksa apakah sistem yang dikembangkan mencakup kebutuhan obyektif organisasi.
4. Arsitektur perusahaan dan manajemen TI.
Audit
yang berfungsi untuk memeriksa apakah manajemen TI dapat
mengembangkan struktur organisasi dan prosedur yang menjamin kontrol
dan lingkungan yang berdaya guna untuk pemrosesan informasi.
5. Client/Server, telekomunikasi, intranet, dan ekstranet.
Suatu audit yang berfungsi untuk memeriksa apakah kontrol-kontrol
berfungsi pada client, server, dan jaringan yang menghubungkan client
dan server.
Alasan dilakukannya Audit IT Ron Webber,
Dekan Fakultas Teknologi Informasi, monash University, dalam salah satu
bukunya Information System Controls and Audit (Prentice-Hall, 2000)
menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan,
antara lain:
1.Kerugian akibat kehilangan data.
2.Kesalahan dalam pengambilan keputusan.
3.Resiko kebocoran data.
4.Penyalahgunaan komputer.
5.Kerugian akibat kesalahan proses perhitungan.
6.Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Manfaat Audit IT
A. Manfaat pada saat Implementasi (Pre-Implementation Review)
1. Institusi dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan ataupun memenuhi acceptance criteria.
2. Mengetahui apakah pemakai telah siap menggunakan sistem tersebut.
3. Mengetahui apakah outcome sesuai dengan harapan manajemen.
B. Manfaat setelah sistem live (Post-Implementation Review)
1. Institusi mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk penanganannya.
2.
Masukan-masukan tersebut dimasukkan dalam agenda penyempurnaan
sistem, perencanaan strategis, dan anggaran pada periode berikutnya.
3. Bahan untuk perencanaan strategis dan rencana anggaran di masa mendatang.
4. Memberikan reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah ditetapkan.
5.
Membantu memastikan bahwa jejak pemeriksaan (audit trail) telah
diaktifkan dan dapat digunakan oleh manajemen, auditor maupun pihak lain
yang berwewenang melakukan pemeriksaan.
6. Membantu dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Metodologi Audit IT. Dalam praktiknya, tahapan-tahapan dalam audit IT tidak berbeda dengan audit pada umumnya, sebagai berikut :
Tahapan Perencanaan.
Sebagai suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal
benar obyek yang akan diperiksa sehingga menghasilkan suatu program
audit yang didesain sedemikian rupa agar pelaksanaannya akan berjalan
efektif dan efisien.
Mengidentifikasikan reiko dan kendali.
Untuk memastikan bahwa qualified resource sudah dimiliki, dalam hal ini
aspek SDM yang berpengalaman dan juga referensi praktik-praktik
terbaik.
Mengevaluasi kendali dan mengumpulkan bukti-bukti.
Melalui berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
Mendokumentasikan.
Mengumpulkan temuan-temuan dan mengidentifikasikan dengan auditee.
Menyusun laporan.
Mencakup tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
Alasan dilakukannya Audit IT. Ron Webber, Dekan
Fakultas Teknologi Informasi, monash University, dalam salah satu
bukunya Information System Controls and Audit (Prentice-Hall, 2000)
menyatakan beberapa alasan penting mengapa Audit IT perlu dilakukan,
antara lain:
Kerugian akibat kehilangan data.
Kesalahan dalam pengambilan keputusan.
Resiko kebocoran data.
Penyalahgunaan komputer.
Kerugian akibat kesalahan proses perhitungan.
Tingginya nilai investasi perangkat keras dan perangkat lunak komputer.
Resiko kecurangan
auditing yang diterima umum mengharuskan auditor
untuk menilai resiko kesalahan pernyataan material sampai kecurangan.
Ketika auditor mempertimbangkan resiko bawaan dan resiko
pengendalian, auditor juga harus mempertimbangkan resiko kecurangan.
Auditor biasanya mempertimbangkan resiko kesalahan pernyataan material
dengan membagi dua tipe kecurangan: kecurangan laporan keuangan dan
penyalahgunaan asset. Segitiga kecurangan yang menggambarkan aspek
umum dari seluruh kecurangan, yaitu:
1. Kesempatan untuk melakukan kecurangan.
2. Insentive atau tekanan
3. Kemampuan untuk merasionalisasi kecurangan menjadi konsisten dengan nilai kepantasan internal.
Pada
tahap awal audit, tim audit menyewa dalam sesi brainstorming untuk
memastikan setiap orang dalam tim audit menyadari faktor-faktor potensi
resiko yang dapat meningkatkan resiko kecurangan.
Contoh umum
kecurangan laporan keuangan mengakibatkan penadapatan yang lebih besar
dari sebenarnya. Pertama, kecurangan laporan keuangan biasanya
mengakibatkan beberapa level manajemen mengesampingkan pengendalian
internal (pengendalian resiko) yang memperbolehkan kesempatan untuk
manajer akuntansi salah menyatakan pendapatan. Kedua, hal itu biasanya
mengakibatkan dorongan dalam bonus atau tekanan yang signifikan dari
menajer senior untuk terget pendapatan (resiko bawaan).
Sama halnya,
penyalahgunakan asset menyebabkan faktor kecurangan umum yang sama.
Biasanya penyahgunaan asset berhubungan dengan kesempatan yang
diciptakan oleh pemisahan kemiskinan dari kewajiban dan kemiskinan atau
pengendalian internal yang tidak efektif (resiko pengendalian tinggi).
Mengembangkan strategi audit pendahuluan
Auditor kadang membuat
keputusan pendahuluan tentang komponen model resiko audit dan
mengembangkan strategi pendahhuluan untuk mengumpulkan bukti-bukti.
Audit sekarang ini, auditor mengawali audit dengan pengalaman
sebelumnya pada suatu entitas. Setelah memperbaharui pengetahuan
perubahan dalam entitas dan lingkungan, dan menjalankan sedikit
prosedur rencana audit awal, auditor mungkin harus memulai untuk
mengembangkan harapan apakah pengendalian internal melanjutkan untuk
berfungsi sesuai diharapkan, dan apakah faktor lain tetap yang mengkun
mengindikasikan potensi kesalahan pelaporan. Auditor kadang
mengembangkan strategi audit awal untuk mengaudit asersi.
Memahami pengendalian internal
Auditor diharuskan mendapatkan
pemahaman sistem entitas dari pengendalian internal di setiap audit.
Auditor menggunakan pemahaman ini untuk:
1. Mengidentifikasi jenis-jenis potensi kesalahan pelaporan.
2. Mempertimbangan faktor-faktor efek resiko meterialitas kesalahan pelaporan.
3. Mendesain bawaan, pemilihan waktu dan luasnya prosedur audit lanjutan.
Pertama,
auditor menggunakan pemahaman pengendalian internal untuk
mengidentifikasi tipe potensi kesalahan pelaporan yang mungkin terjadi.
Contohnya, meninjau sistem pendapatan gereja yang memberikan
kontribusi kas yang signifikan. Bawaan penerimaan entitas menciptakan
urusan diatas kelengkapan penerimaan.
Kedua, auditor biasanya
paham bagaimana sistem pengendalian internal akan mencegah, atau
mendeteksi dan mengoreksi, potensi kesalahan pelaporan untuk asersi
tiap laporan keuangan. Sistem yang kuat dari pengendalian internal
mengurangi potensial kesalahan pelaporan laporan keuangan.
Terakhir, auditor menggunakan pemanaman sistem pengendalian internal
untuk mendesain prosedur audit lanjutan untuk mengumpulkan bukti.
Contohnya, dokumentasi atau jejak audit elektronik adalah bagian
pengendalian internal. Ini penting untuk memahami sitem ini guna
mengidentifikasi bukti yang tepat untuk menguji asersi laporan
keuangan.
Hubungan faktor resiko dengan potensi kesalahan pelaporan laporan keuangan
Awalnya,
auditor harus menghubungkan faktor resiko yang teridentifikasi selama
menalankan prosedur penaksiran resiko yang berpotensi pada kesalahan
pelaporan pada laporan keuangan. Contohnya, auditor harus memahami
apakah kesalahan pelaporan seperti pada penualan dan penerimaan, atau
inventori, atau pada akuntasi untuk harta tetap. Auditor juga harus
memahami apakah faktor, seperti kelemahan sistem pengendalian internal,
apakah masa sekarang akan memberikan efek pada laporan keuangan.
Menentukan Besarnya Potensi Kesalahan
Ketika menaksi resiko
bawaan dan pengendalian pada suatu audit klien, auditor harus
menentukan besarnya potensi kesalahan yang dihubungkan pada
faktor-faktor resiko. Contohnya dalam bisnis untuk mengimplementasi
sistem pengendalian internal digunakan pertimbangan biaya dan manfaat
dan dalam dunia bisnis beranggapan biaya yang dikeluarkan untuk
pengendalian kesalahan kecil lebih besar dari manfaatnya.
Auditor
perlu membedakan antara faktor resiko yang dihubugkan dengan kesalahan
yang berpotensi dapat di agregasi kepada jumlah yang material.
Contohnya sama seperti persoalan pengakuan pendapatan akan mempunyai
pengaruh potensi yang besar kepada laporan keuangan daripada biaya
dibayar dimuka. Selanjutnya, penilaian inventori lebih signifikan
perusahaan kertas daripada hotel/bank.
Menentukan Kemungkinan Kesalahan Material
Disamping memeriksa
besarnya resiko potensial, auditor juga butuh menentukan kemungkinan
resiko itu akan menghasilkan kesalahan material pada laporan keuangan.
Adalah tugas auditor untuk mengidentifikasi faktor-faktor resiko yang
dihubungkan dengan resiko bawaan yang tinggi dimana kemungkinan
kesalahan material dapat dikurangi oleh system pengendalian internal
klien. Dalam membuat penaksiran ini auditor terdiri dari resiko bawaan
dan resiko pengendalian. Contohnya perusahaan konstruksi mungkin
memiliki resiko bawaan yang tinggi sampai kompleksitas estimasi kontrak
konstruksi jangka panjang. Beberapa perusahaan konsturksi ukuran
sedang juga memiliki pengendalian internal yang lemah. Hasilnya
auditor membutuhkan untuk mendesain kecukupan dan kemampuan prosedur
audit untuk mrndeteksi kesalahan material.
Menentukan Tingkat Signifikansi Resiko Bawaan
Dalam GAAS auditor
harus menentukan mana yang diidentifikasi sebagai resiko dalam
pernyataan auditor, signifikan resiko bawaan yang membutuhkan
pertimbangan pemeriksaan special. Dalam fase audit selanjutnya,
tanggapan dalam penaksiran audit, auditor mengharuskan untuk memberikan
perhatian kepada fakta yang beresiko diidentifikasi ebagai resiko
bawaaan yang signifikan.
Dalam megidentifikasi resiko bawaan signifikan auditor mempertimbangkan masalah-masalah seperti:
•
Apakah resiko itu adalah resiko kecurangan. Contohnya: resiko bawaan
signifikan mugkin diindikasi jika auditor merasakan 3 elemen triangle
fraud terjadi.
• Apakah resiko itu berhubungan dengan kejadian
ekonomi di masa sekarang, akuntansi atau perkembangan lain yang
membutuhkan perhatian spesial.
• Kompleksitas transaksi yang dapat memberikan kenaikan resiko.
• Apakah resiko meliputi transaksi signifikan dihubungkan dengan bagian-bagian.
• Tingkat subjektifitas dalam pengukuran informasi keuangan dihubungkan dengan resiko.
•
Apakah resiko meliputi transaksi non rutin yang signifikan transaksi
non rutin adalah transaksi yang tidak biasa, dapat dilihat dari
ukuran/besarnya dan kebiasaan dan jarang terjadi.
• Apakah resiko meliputi masalah keputusan.
• Resiko bisnis signifikan seringkali adalah resiko bawaan signifikan.
Waktu Pengujian Audit
Auditor kadang memilih memodifikasi waktu
pengujian audit dengan memilih tes performa pengendalian atau
substantif tes saat tanggal sementara. Jika pengedalian internal
ditemukan menjadi efektif untuk merespon masalah hanya jika tes relean
dengan resiko yang tidak dapat diterima pada kesimpulan auditor dari
sampel yang mungkin berbeda dari konklusi yang didapat jika seluruh
populasi menjadi subjek pada prosedur audit yang sama.
Tanggapan Pada Resiko Bawaan Yang Signifikan
Resiko bawaan yang
signifikan timbul dalam kebayakan audit dan berkisar dari beresiko
hasil kesalahan material dari resiko bisnis klien sampai transaksi non
rutin atau transaksi komplek sampai resiko penilaian tinggi dari
audit. Pertama, auditor harus mengevaluasi efektifitas dari desain
pengendalian internal dihubungkan kepada seluruh resiko bawaan
signifikan. Kedua, jika banana audit pada pengumpulan bukti dari tes
pengendalian sampai mengurangi resiko bawaan signifikan, auditor harus
menguji efektifitas operasi dari pengendalian relevan di periode audit
sekarang. Ketiga, auditor harus melakukan pengujian substantif yang
dapat merespon resiko bawaan signifikan.
Tujuan audit SIA adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut.
- Perlengkapan keamanan melindungi perlengkapan komputer,
program, komunikasi, dan data dari akses yang tidak sah, modifikasi,
atau penghancuran.
- Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
- Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
- Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap
- Data sumber yang tidak akurat atau yang tidak memiliki otorisasi
yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan
manajerial yang telah ditetapkan.
- File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.
Sumber : http://ganigani.tumblr.com/