FORMAT PELAPORAN AUDIT

 \

Nama Kelompok :

• Muhammad Furqon Rosyid
• Titan Pramudya Ikko Sudiana
• Syahnaz Nur Afifah A P
• Vira Deswika

Laporan audit adalah media komunikasi yang digunakan oleh auditor, bersifat formal untuk mengomunikasikan kepada pihak-pihak yang berkepentingan tentang kesimpulan dari pelaksanaan audit yang telah dilaksanakan. Umumnya laporan audit ini terbagi menjadi dua yakni laporan audit standar dan tidak standar. Untuk pembahasan di bawah ini akan di uraikan penjelasan mengenai laporan audit yang sifatnya standar.

Laporan audit standar

Laporan standar merupakan bentuk laporan yang lazim diterbitkan. Laporan standar merupakan laporan yang memuat pendapat wajar tanpa pengecualian (unqualified opinion) yang menyatakan bahwa suatu laporan keuangan (pen-bila yang diaudit adalah laporan keuangan) menyajikan secara wajar, dalam semua hal yang bersifat material, diantaranya adalah arus kas dari entitas yang ada, posisi keuangan perusahaan, hasil usaha yang diperoleh, yang dinilai berdasarkan tingkat kesesuaian nya dengan prinsip akuntansi yang berlaku umum.

Dalam laporan audit dengan opini “wajar tanpa pengecualian” baru dapat diterbitkan oleh Auditor ketika semua syarat dan kondisi terpenuhi sesuai kriteria yang ditetapkan. Selain itu, juga tidak terdapat adanya kesalahan dalam penyajian informasi dalam laporan keuangan yang berpengaruh secara signifikan. Laporan keuangan ini dinilai oleh akuntan publik berdasarkan prinsip-prinsip akuntansi yang berlaku umum.

Sebagai contoh, sebuah perusahaan mengakui bahwa mereka mendapatkan untung pada tahun 2020 ini. Setelah dilakukan Audit, ternyata akuntan publik menemukan bahwa keuntungan tersebut didasarkan pada piutang yang belum dibayar. Temuan tersebut, merupakan bentuk salah saji dalam laporan keuangan yang bersifat signifikan, karena alasan tersebut maka Auditor tidak bisa menerbitkan pendapat “wajar tanpa pengecualian”.

Cara Membuat Laporan Audit Standar

Proses membuat laporan audit standar di bawah ini juga berlaku untuk laporan audit yang sifatnya menyimpang dari standar. Isinya tidak jauh berbeda dengan laporan audit lainnya. Hanya saja akan ada perbedaan pada bagian pendapat Auditor dan paragraf ruang lingkup yakni bagian kesimpulannya.  Laporan audit wajar tanpa pengecualian ini berisi:

1. Judul laporan

Dalam laporan audit, baik laporan yang bersifat standar atau tidak harus dicantumkan kata “Independen” pada bagian judulnya. Contohnya adalah kalimat berupa “laporan audit independen” atau kalimat berupa “pendapat akuntan independen”. Kata independen ini menunjukkan bahwa audit telah dilakukan secara netral, transparan, dan akuntabel atau sederhananya tidak memihak. Kata ini juga mengandung konsekuensi bahwa jika di kemudian hari ditemukan adanya keberpihakan Auditor terhadap perusahaan yang di audit, maka Auditor bersangkutan wajib bertanggungjawab.

2. Alamat Laporan Audit

Maksud dari alamat audit ini bukanlah alamat dari kantor akuntan publik. Alamat yang dimaksud adalah alamat dari kantor/institusi/perusahaan yang diaudit. Alamat ini harus mencerminkan secara spesifik entitas yang terhadapnya dilakukan audit.

3. Paragraf Pendahuluan

Paragraf pendahuluan harus memuat tiga pernyataan faktual. Tujuan dari adanya penyataan ini adalah agar pembaca laporan dapat membedakan mana tanggung jawab pihak manajemen dan tanggung jawab pihak akuntan publik sebagai auditor. Ada tiga hal yang wajib dimuat dalam paragraf pendahuluan ini, yakni:

• Suatu pernyataan bahwa auditor telah melaksanakan audit. Pernyataan ini dapat membedakan mana proses audit, mana proses monitoring dan mana proses evaluasi saja.
• Menyatakan jenis laporan keuangan yang diaudit, termasuk tanggal neraca serta periode akuntansi untuk laporan laba rugi dan laporan arus kas.
• Menyatakan bahwa penyiapan serta isi laporan keuangan merupakan tanggung jawab manajemen, sedangkan tanggung jawab auditor hanyalah sebatas pada pemberian opini atas laporan keuangan tersebut.

4. Paragraf Ruang Lingkup

Dalam paragraf ruang lingkup ini harus dimuat beberapa paragraf yang menyatakan bahwa Auditor secara faktual telah melakukan hal-hal yang disebut dalam proses audit. Standarnya pernyataan faktual dalam paragraf ruang lingkup di harus dimuat beberapa hal sebagai berikut:

• Kalimat yang menyatakan bahwa audit telah dilakukan berdasarkan prinsip akuntansi yang berlaku secara umum.
• Kalimat yang menyatakan bahwa program audit telah dirancang untuk mengidentifikasi hal-hal yang berkaitan dengan salah saji informasi dalam LPJ keuangan yang disediakan perusahaan.
• Pernyataan bahwa auditor telah memperoleh “keyakinan yang sifatnya memadai”, istilah ini digunakan karena auditor hanya bisa mengidentifikasi data-data yang disajikan oleh klien saja, adapun data yang oleh klien sengaja ditutupi bukan termasuk tanggungjawab auditor. Namun, pernyataan ini juga menunjukkan konsekuensi bahwa audit yang dilaksanakan telah memiliki tingkat kepastian yang tinggi.
• Paragraf ruang lingkup juga menyatakan bahwa atas dasar pengujian, audit meliputi pemeriksaan bukti-bukti yang mendukung jumlah dan pengungkapan laporan keuangan. Berikut adalah contoh dari paragraf ruang lingkup:

5. Paragraf Pendapat

Paragraf pendapat adalah paragraf yang berisi kesimpulan dan pernyataan pendapat akuntan publik terhadap perusahaan yang didasarkan atas hasil audit-nya. Perlu diketahui bahwa, pernyataan dalam paragraf pendapat ini tidaklah bersifat mutlak, akan tetapi pendapat yang muncul atas profesionalisme seorang auditor. Dalam paragraf terakhir ini, auditor wajib menyatakan pendapatnya mengenai hasil dari proses audit secara keseluruhan, dan juga kesimpulan berdasarkan prinsip akuntasi yang secara umum berlaku. Contoh dari paragraf pendapat adalah sebagai berikut:

6. Nama Kantor Auditor

Pada bagian ini disebut dengan jelas nama kantor auditor yang telah melaksanakan audit atas suatu perusahaan/instansi tertentu.

7. Tanda Tangan

Sebagai bentuk perkembangan teknologi, tanda tangan ini bisa dalam bentuk elektronik dan atau tanda tangan manual dengan tinta biasa.

8. Tanggal Pelaporan

Tanggal pelaporan audit adalah hari terakhir laporan dibuat.

Demikianlah format dari laporan audit yang sifatnya standar, berikutnya kita akan membahas laporan yang menyimpang serta jenis-jenisnya.

Sumber : https://hukumline.com/laporan-audit-standar-format-dan-cara-membuatnya/

Read More

JENIS STANDAR PANDUAN AUDIT SI

 

Nama Kelompok :

• Muhammad Furqon Rosyid
• Titan Pramudya Ikko Sudiana
• Syahnaz Nur Afifah A P
• Vira Deswika

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi.

ISACA didirikan oleh individu yang mengenali kebutuhan untuk sumber informasi terpusat dan bimbingan dalam bidang tumbuh kontrol audit untuk sistem komputer. Hari ini, ISACA memiliki lebih dari 115.000 konstituen di seluruh dunia dan telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

ISACA mulai pada tahun 1967, ketika sekelompok kecil orang dengan kontrol pekerjaan-audit serupa di sistem komputer yang menjadi semakin penting untuk operasi mereka organisasi-duduk untuk membahas perlunya sumber informasi terpusat dan bimbingan dalam bidang. Pada tahun 1969, kelompok formal, menggabungkan sebagai Asosiasi EDP Auditor. Pada tahun 1976 asosiasi membentuk yayasan pendidikan untuk melakukan upaya penelitian besar-besaran untuk memperluas pengetahuan dan nilai tata kelola TI dan bidang kontrol. Sebelumnya dikenal sebagai Audit Sistem Informasi dan Control Association, ISACA sekarang berjalan dengan singkatan saja, untuk mencerminkan berbagai profesional TI pemerintahan yang dilayaninya.

Menurut ISACA, pemegang gelar CISA mempunyai competitive advantage dengan memastikan bahwa:

1. Audit sistem informasi dilakukan sesuai dengan standar, panduan, dan best practises terkait
2. Suatu perusahaan melaksanakan tata-kelola teknologi informasi (corporate governance of IT)
3. Manajemen atas sistem dan infrastruktur IT (systems and infrastructure life cycle management) dilakukan sesuai dengan tujuan perusahaan
4. Arsitektur keamanan didesain untuk menjaga prinsip kerahasiaan (confidentiality),integritas (integrity),dan ketersediaan (availability) atas information assets
5. Program disaster recovery dan business continuity direncanakan dengan baik dan dampak resikonya diminimalisir

Berikut beberapa pengakuan atas sertifikasi CISA dari beberapa lembaga:

1. Departemen Pertahanan Amerika (US Department of Defence) mengharuskan staff information assurance-nya memiliki sertifikat tertentu, di antaranya gelar CISA
2. Undang-undang Keamanan Informasi di Korea mensyaratkan audit sistem informasi dilakukan oleh pemegang sertifikasi tertentu, misalnya CISA
3. Bursa Efek India mengakui sertifikasi profesional CISA sebagai salah satu prasyarat untuk melakukan systems audit
4. Menurut Undang-undang di Rumania, bank yang akan menerapkan sistem pembayaran elektronik (misalnya melalui internet) diharuskan melewati proses sertifikasi dahulu oleh auditor yang memiliki gelar CISA

Ujian CISA ini dilakukan 2 kali setahun, sekitar bulan juni dan desember. Jumlah soal ujiannya ada 200, multiple-choice dan minimal harus bener 75% supaya lulus.

Ada 6 area/topik dalam ujian CISA

1. Information systems audit process (sekitar 10% dari total jumlah soal)
2. Information systems governance (15%)
3. Systems and infrastructure life cycle management (16%)
4. Information technology service delivery and support (14%)
5. Protection of information assets (31%)
6. Business continuity and disaster recovery (14%)

Supaya bisa dapat gelar CISA, gak cuma harus lulus ujian saja. Ada juga beberapa persyaratan lainnya:

1. Harus punya pengalaman 5 tahun dalam information systems audit, control, or security (bisa disubstitusi dengan persyaratan tertentu)
2. Mematuhi ISACA Code of Professional Ethics
3. Menjalankan IS Auditing Standards yang dikeluarkan ISACA
4. Ikut program CPE (Continuing Professional Education)

Syarat Kelulusan

ISACA menggunakan dan laporan nilai pada skala umum 200-800. Sebagai contoh, skor skala dari 800 mewakili nilai sempurna dengan semua pertanyaan dijawab dengan benar; skor skala dari 200 adalah skor terendah mungkin dan menandakan bahwa hanya sejumlah kecil pertanyaan yang dijawab dengan benar. Calon harus menerima skor 450 atau lebih tinggi untuk lulus ujian.Sebuah skor 450 merupakan standar yang konsisten minimal pengetahuan sebagaimana ditetapkan oleh ISACA CISA Komite Sertifikasi itu. Seorang kandidat menerima nilai kelulusan kemudian dapat mengajukan permohonan sertifikasi jika semua persyaratan lain terpenuhi.

Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) dan The Institute of Management Accountants (IMA).

pengendalian intern, yang penggunaannya mencakup penentuan tujuan pengendalian pelaporan keuangan dan proses operasional dalam konteks organisasional, sehingga perbaikan dan kontrol dapat dilakukan secara menyeluruh.

ISO 1799 :

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut :

• pengorganisasian keamanan informasi;
• manajemen aset;
• keamanan sumber daya manusia;
• keamanan fisik dan lingkungan;
• komunikasi dan manajemen operasi;
• kontrol akses;
•  akuisisi sistem informasi, pengembangan dan pemeliharaan;
• manajemen insiden keamanan informasi;
• manajemen kontinuitas bisnis;
• pemenuhan.

Sumber : https://rizkypermanap.blogspot.com/2019/10/standar-dan-panduan-audit-sistem.html

Read More

ANALISIS RISIKO

 

Nama Kelompok :

• Muhammad Furqon Rosyid
• Titan Pramudya Ikko Sudiana
• Syahnaz Nur Afifah A P
• Vira Deswika

Bagi COSO, pengukuran-penetapan risiko adalah kegiatan penting bagi manajemen dan auditor internal korporasi, sehingga auditor internal harus paham proses dan sarana untuk identifikasi, penilaian, pengukuran dan penetapan tingkat risiko (risk assessment) sebagai dasar menyusun prosedur audit internal. COSO menyatakan bahwa setiap entitas menghadapi risiko internal dari luar, bahwa risiko-risiko tersebut harus didentifikasi dan dinilai-diukur terfokus pada pengamanan sasaran strategis korporasi.

Perubahan sosial-politik-ekonomi-industri-hukum dan perubahan kondisi operasional perusahaan teraudit mengandung risiko, manajemen perusahaan harus membentuk mekanisme untuk mengenali & menghadapi perubahan tersebut. Basis utama manajemen risiko adalah asesmen risiko. Untuk keberlangsungan usaha, asesmen risiko merupakan tanggungjawab manajemen yang bersifat integral dan terus menerus, karena manajemen tak dapat memformulasikan sasaran dengan asumsi sasaran akan tercapai tanpa risiko atau hambatan.

Contoh risiko, bahaya, ancaman, atau hambatan mencapai sasaran korporasi adalah :

• Pesaing meluncurkan produk baru
• Perubahan teknologi menyebabkan jasa atau produk tidak laku
• Manajer andalan tiba-tiba mengundurkan diri sebagai karyawan
• Formula rahasia dicuri dan dijual oleh karyawan kepada pesaing
• KKN menggerus laba dan membuat perusahaan keropos

PENGGUNA HASIL PENILAIAN-PENETAPAN RISIKO
Analisis risiko digunakan untuk mengurangi risiko, makin kecil risiko maka makin besar kemungkinan meraih sasaran korporasi. Berbagai yurisdiksi hukum meminta setiap bank melakukan penilaian-risiko dan mengumumkan kondisi pengendalian internal kepada publik, auditor eksternal diwajibkan membuat atestasi tentang pernyataan bank tersebut & kondisi pengendalian internal bank, untuk melindungi deposito publik. Otoritas Pasar Modal AS (SEC) meminta semua emiten membuat Laporan Penilaian Risiko sejak 1979 untuk melindungi kepentingan  investor. SAS 55 AICPA menyatakan bahwa auditor eksternal bertanggungjawab untuk memperoleh & memahami sistem pengendalian audit laporan keuangan. Akuntan publik juga membuat asessmen risiko terkait perencanaan audit LK, untuk mendeteksi risiko kegagalan auditor mencapai sasaran audit, untuk menentukan metode pengujian yang tepat menuju sasaran audit, antara lain perencanaan sampling dan penggunaan teknik audit secara tepat. Auditor internal harus selalu bertanya “Hal-hal apa saja yang mungkin tidak berjalan sesuai rencana?”, mengidentifikasi potensi kesalahan, menengarai gejala ketidakwajaran segala sesuatu yang memberi tanda-tanda bahaya atau tanda-tanda risiko. Auditor internal melakukan asesmen risiko untuk meyakini bahwa sarana-pengendalian tertentu masih berfungsi efektif.

PERENCANAAN ASESMEN RISIKO

Perencanaan audit internal harus berbasis pengetahuan akan risiko kegagalan organisasi dalam mencapai tujuan. Perencanaan strategis perusahaan mencakupi pertimbangan risiko kegagalan organisasi. Manajemen risiko berpengaruh pada perencanaan audit. Auditor melakukan evaluasi kendali internal sebagai sarana penghindaran risiko.

PERLUASAN AUDIT BERBASIS RISIKO

Pada awalnya, kegiatan audit dimulai dengan observasi terhadap control (pengendalian), analisis pengendalian, disusul kegiatan analisis risiko tiap jenis operasi korporasi tersebut dan analisis keselarasan aktivitas dengan sasaran korporasi.

Perluasan Audit Berbasis Risiko mencakupi kegiatan identifikasi, pengukuran dan analisis risiko, lalu memilih aktivitas strategis terkait manajemen risiko sbb:

1. Mengendalikan risiko, aktivitas pengurangan risiko, besar risiko, jumlah  risiko atau frekuensi terjadinya risiko
2. Menerima risiko dan/atau risiko residual (setelah segala upaya mitigasi risiko dilakukan)
3. Menghindari risiko, merancang ulang proses bisnis yang tak berkonsekuensi risiko tertentu
4. Pembagian risiko, pembelahan risiko, memikul risiko beramai-ramai (risk sharing) atau transfer risiko ke unit organisasi lain (bagian lain) atau pihak ketiga (di luar korporasi) yang lebih mampu mengelola-mengendalikan risiko tersebut

AUDIT INTERNAL DAN MANAJEMEN RISIKO
Tugas auditor internal antara lain adalah meng-audit risiko; melakukan evaluasi risiko, mengusulkan pendirian manajemen risiko sambil menjelaskan manfaat manajemen risiko, atau menyatakan dukungan atas program manajemen risiko. Auditor internal menerima instruksi & bagian peran audit internal dalam manajemen risiko dari Dewan Audit atau Komite Audit, agar secara independen auditor mengevaluasi manajemen risiko dan program memerangi risiko. Auditor internal pada umumnya bersikap abstain untuk manajemen risiko departemen auditor internal sendiri, kecuali diminta Dewan Audit untuk melakukan self-assessment.

RISIKO AUDIT LAPORAN KEUANGAN

Persoalan auditor eksternal sebagai berikut berlaku bagi auditor internal yang mengaudit Laporan Keuangan; bahwa risiko auditor terbesar adalah tak mengetahui (gagal untuk mengetahui) hal-hal yang seharusnya mengubah opini auditor terhadap Laporan Keuangan yang mengandung salah-saji secara material. Auditor harus memertimbangkan sifat & kualitas manajemen, sifat industri, sifat operasi, dan bentuk atau sifat penugasan auditor eksternal.

Sebagai contoh, sifat dan kualitas manajemen yang mengandung risiko audit adalah

• Keputusan manajemen ditangan satu orang, misalnya CEO merangkap PS utama
• Manajemen bersikap amat agresif terhadap pelaporan LK (laporan keuangan, misalnya perusahaan publik dan bank butuh opini WTP dari Audit Eksternal)
• Mutasi manajemen amat tinggi
• Manajemen amat berkepentingan utk mencapai proyeksi laba
• Reputasi buruk manajemen di mata publik

Sebagai contoh, sifat Industri dan operasi yang mengandung risiko audit adalah

• Kemampulabaan entitas dibawah rerata kemampulabaan industri sejenis
• Laba tidak konsisten
• Kinerja amat dipengaruhi faktor eksternal
• Entitas berada dalam industri turun-daun
• Desentralisasi kekuasaan tidak dilengkapi penguatan pengendalian
• Entitas kelihatannya tidak akan going concern

Sebagai contoh, sifat penugasan audit yang mengandung risiko audit laporan keuangan adalah

• Banyak perkecualian, banyak isu akuntansi
• Banyak transaksi atau saldo sulit di audit
• Banyak transaksi hubungan istimewa yang tidak lazim
• Sejarah salah saji, sejarah temuan audit jenis-kesalahan-berulang.

Untuk mengurangi risiko, auditor wajib mendapatkan asersi LK berupa pernyataan (semacam pernyataan jaminan) manajemen (management representation) tentang (1) eksistensi, (2) kelengkapan, (3) hak dan kewajiban, (4) evaluasi dan alokasi, (5) penyajian dan pengungkapan berbagai akun dan pos penting Laporan Keuangan.

Sebagai misal, risiko audit pada tataran saldo akun catatan akuntansi, pos laporan keuangan dan kelompok transaksi sejenis adalah

• Salah saji akun tersebut
• Salah saji akun tersebut dalam kaitan dengan akun lain (inherent risk atau control risk)
• Risiko bahwa auditor gagal menemukan salah buku dan atau salah saji yang ada (detection risk).

 Pada standar auditing, pertimbangan auditor dalam evaluasi risiko saldo akun dan jenis transaksi, misalnya adalah

• Dampak risiko-teridentifikasi pada laporan keuangan.
• Kerumitan isu akuntansi
• Frekuensi transaksi sulit-diaudit.
• Temuan salah-saji pada audit terdahulu.
• Kemungkinan salah apropriasi aset.
• Kualitas SDM proses-data.
• Unsur pertimbangan dalam penetapan saldo akun.
• Besar suatu pos dalam neraca.
• Kerumitan kalkulasi tertentu.

RISIKO INHEREN
Risiko salah saji laporan keuangan terkait risiko bawaan karena jenis bisnis, jenis industri, jenis operasi khas industri tersebut dan risiko salah saji karena pengendalian internal lemah atau tidak ada.

Sebagai contoh:

1. Valuasi piutang dagang, asersi keberadaan piutang dagang oleh manajemen, terkait kecemasan auditor tentang going concern.
2. Kalkulasi beban pensiun, metode penyusutan aset tetap dan kalkulasi beban penyusutan aset tetap
3. Kas lebih rentan pencurian dibanding persediaan.
4. Perubahan teknologi menyebabkan aset tetap padat teknologi harus di hapus-buku lebih cepat lantaran ketinggaalan teknologi.
5. Lapping banyak terjadi pada industri perbankan, dana pensiun, asuransi. KKN pada akun tabungan berjangka lebih banyak terjadi pada demand deposit.
6. Berbagai perusahaan memilih tak menggunakan pedoman sistem & prosedur (tertulis & kaku) untuk meningkatkan kreativitas dan layanan pelanggan.
7. Moral, standar etika, misalnya uang tip boleh diterima, itu rezeki anda, merupakan risiko budaya.

RISIKO PENGENDALIAN
Risiko peengendalian mencakupi risiko salah saji laporan keuangan tak tercegah atau tak tertemukan pada bingkai waktu tertentu oleh struktur pengendalian internal, kebijakan atau prosedur. Berbagai control risk selalu ada karena keterbatasan inheren dari struktur pengendalian internal. Bila kebijakan dan prosedur tak berjalan efektif, maka auditor melakukan penilaian control risk sebanyak mungkin, dengan catatan bahwa biaya pengendalian risiko harus lebih kecil dari manfaat pengendalian risiko. Pada umumnya, pengendalian inheren tak mampu membuat risiko menjadi 0%, diperangi atau dikurangi dengan strategi-sistem-prosedur terkait control risk. Control risk dirancang utk menekan risiko-residual tersebut sedapat-dapatnya, lalu sisa risiko selanjutnya menjadi tugas strategi deteksi, sistem-prosedur deteksi penyimpangan, KKN dan salah saji material.

RISIKO DETEKSI
Risiko deteksi berbentuk risiko auditor tak mampu mendeteksi salah-saji-material yang sebetulnya ada.
Risiko deteksi muncul karena

1. Auditor tak memeriksa 100% saldo akun-akun.
2. Ketidakpastian, kesalahan merancang prosedur audit, salah terap prosedur audit, salah tafsir terhadap hasil audit.

HUBUNGAN ANTAR RISIKO
Hubungan risiko terformula standar audit adalah bahwa audit risk = inherent risk X control risk X detection risk, dimana Detection Risk = Audit Risk/(Inherent Risk X Control Risk), dan Inherent risk dan control risk terjadi di luar kekuasaan auditor.

Auditor hanya dapat mengurangi detection risk, makin besar inherent risk dan control risk, makin besar bukti audit (audit sampling, observasi dll) harus dikumpulkan. Sebagai catatan pemakalah, program audit untuk deteksi salah saji material mirip dengan fraud auditing, prosedur dirancang berbasis kecurigaan salah saji, jumlah sample diperbanyak (sampai 100% atau full audit) pada wilayah kecurigaan tersebut.

Inherent risk terkait pada

• Jenis bisnis, jenis industri
• Jenis aktivitas, rantai nilai
• Gaya manajemen
• Iklim / atmosfer manajemen

Sebagai misal, bagi BPKP sebagai internal auditor NKRI :

• Dua Pemda pada dasarnya mempunyai inherent risk serupa, karena keduanya adalah daerah otonom sederajat.
• Inherent risk menjadi berbeda karena : Pemda A mempunyai Kepala Pemda yang kuat, bersih dan professional, mempunyai DPRD yang lemah, rakyat yang antusias memberi kritik dan membantu Pemda. Pemda B mempunyai Kepala Pemda yang lemah, DPRD yang kuat, dan rakyat yang apatis.

 RISK INVENTORY
Daftar risiko paripurna diperoleh dari konsolidasi pengorganisasian manajemen risiko sebagai kerangka dasar risiko bagi seluruh korporasi.

Sebagai contoh, external risk inventory mencakupi antara lain

• Risiko lingkungan
• Kemungkinan bencana alam
• Pasar uang
• Rating

Sebagai contoh, internal risk inventory antara lain adalah

• SDM
• Integritas
• IT
• Akuntansi dan pelaporan
• Keuangan

Auditor wajib membuat top minds of risks melalui rating risiko, pembuatan daftar risiko terbesar, ancaman terbesar yang harus dipertimbangkan pada penyusunan rencana strategis, diikuti pemutahiran risk inventory secara berkala. Auditor wajib membuat daftar pemicu risiko menjadi kenyataan-bencana. Direksi korporasi wajib memberi  fasilitas diskusi risiko bisnis, membangun infrastruktur pemantau risiko bisnis, membangun sistem identifikasi jenis baru risiko. Auditor internal harus bersikap proaktif terhadap risiko, jangan mengandalkan deteksi risiko telah (terlanjur) menjadi kenyataan, menjamin bahwa jumlah SDM pakar risiko harus seimbang dengan besar & kerumitan korporasi.

Sumber : https://crmsindonesia.org/publications/manajemen-risiko-bagi-auditor-part-1/

Read More

PENTINGNYA AUDIT SI BAGI SUATU ORGANISASI

 

    Nama Kelompok :

• Muhammad Furqon Rosyid
• Titan Pramudya Ikko Sudiana
• Syahnaz Nur Afifah A P
• Vira Deswika

Perkembangan teknologi telah mengakibatkan perubahan pengolahan data yang dilakukan perusahaan dari sistem manual menjadi secara mekanis, elektromekanis, dan selanjutnya ke sistem elektronik atau komputerisasi. Peralihan ke sistem yang terkomputerisasi memungkinkan data yang kompleks dapat diproses dengan cepat dan teliti, guna menghasilkan suatu informasi. Dalam mendukung aktivitas sebuah organisasi, informasi menjadi bagian yang sangat penting baik untuk perkembangan organisasi maupun membaca persaingan pasar. Dalam hal proses data menjadi suatu informasi merupakan sebuah kegiatan dalam organisasi yang bersifat repetitif sehingga harus dilaksanakan secara sistematis dan otomatis.

Saat ini perusahaan dan organisasi banyak menghabiskan dana untuk investasi dibidang IT. Manfaat IT dalam peningkatan layanan dan proses kerja sebuah organisasi sangat terasa.
Dengan investasi yang cukup besar organisasi perlu memastikan kehandalan dan keamanan dari sistem IT yang akan digunakan. Sistem IT juga harus mampu memenui kebutuhan proses kerja, mampu mengurangi resiko data di sabotasi, kehilangan data, gangguan layanan dan manajemen yang buruk dari sistem IT.

Dengan demikian, dapat simpulkan bahwa audit sistem informasi adalah suatu proses pengumpulan dan pengevaluasian bahan bukti audit untuk menentukan apakah sistem komputer perusahaan telah menggunakan asset sistem informasi secara tepat dan mampu mendukung pengamanan asset tersebut memelihara kebenaran dan integritas data dalam mencapai tujuan perusahaan yang efektif dan efisien.

Menurut Weber (1999) terdapat empat tujuan utama mengapa perlu dilakukannya audit sistem informasi yaitu:

1. Mengamankan asset

Asset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras, perangkat lunak, fasilitas, manusia, file data, dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dngan aktiva – aktiva lainnya, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras bisa rusak karena unsur kejahatan ataupun sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat dihancurkan atau digunakan untuk tujuan yang tidak diotorisasi. Karena konsentrasi aktiva tersebut berada pada lokasi pusat sistem informasi, maka pengamanannya pun menjadi perhatian dan tujuan yang sangat penting.

2. Menjaga integritas data

Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan (completeness), sehat dan jujur (soundness), kemurnian (purity), ketelitian (veracity). Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.

3. Menjaga efektivitas sistem

Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, auditor sistem informasi harus tahu mengenai kebutuhan pengguna sistem atau pihak-pihak pembuat keputusan yang terkait dengan layanan sistem tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan / informasi yang bermanfaat bagi penggunanya, auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.

4. Mencapai efisiensi sumber daya

Suatu sistem sebagai fasilitas pemrosesan informasi dikatakan efisien jika ia menggunakan sumber daya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Efisiensi sistem pengolahan data menjadi penting apabila tidak ada lagi kapasitas sistem yang menganggur.

Dari alasan dan tujuan tersebut sangat jelas bahwa penting bagi sebuah organisasi untuk melakukan audit sistem informasi guna melihat kembali apakah sistem yang berjalansudah tepat dan terpenting sistem mampu untuk mendukung tercapainya tujuan organisasi.

Sedari dini, mulailah untuk dengan seksama melakukan penilaian terhadap sistem yang digunakan agar tujuan awal investasi tidak menjadi sia – sia.

Sumber: https://itgid.org/audit-sistem/

Read More

KASUS KARENA TIDAK DILAKUKANNYA AUDIT SI

    Nama Kelompok :

• Muhammad Furqon Rosyid
• Titan Pramudya Ikko Sudiana
• Syahnaz Nur Afifah A P
• Vira Deswika

Kerugian akibat kehilangan data.

Sebagai contoh adalah jika data nasabah sebuah bank hilang akibat rusak, maka informasi yang terkait akan hilang, misalkan siapa saja nasabah yang mempunyai tagihan pembayaran kredit yang telah jatuh tempo. Atau juga misalkan kapan bank harus mempersiapkan pembayaran simpanan deposito nasabah yang akan jatuh tempo beserta jumlahnya. Sehingga organisasi bisnis seperti bank akan benar-benar memperhatikan bagaimana menjaga keamanan datanya. Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir.

2.     Menjaga efektivitas system.

Sebagai contoh pada suatu perusahaan sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, auditor sistem informasi harus tahu mengenai kebutuhan pengguna sistem atau pihak-pihak pembuat keputusan yang terkait dengan layanan sistem tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan / informasi yang bermanfaat bagi penggunanya, auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.

 

3.     Mengamankan asset

Asset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras, perangkat lunak, fasilitas, manusia, file data, dokumentasi sistem, dan peralatan pendukung lainnya. Sama halnya dngan aktiva – aktiva lainnya, maka aktiva ini juga perlu dilindungi dengan memasang pengendalian internal. Perangkat keras bisa rusak karena unsur kejahatan ataupun sebab-sebab lain. Perangkat lunak dan isi file data dapat dicuri. Peralatan pendukung dapat dihancurkan atau digunakan untuk tujuan yang tidak diotorisasi. Karena konsentrasi aktiva tersebut berada pada lokasi pusat sistem informasi, maka pengamanannya pun menjadi perhatian dan tujuan yang sangat penting.

 

4.     Menjaga Integritas data.

Integritas data merupakan konsep dasar audit sistem informasi. Integritas data berarti data memiliki atribut: kelengkapan (completeness), sehat dan jujur (soundness), kemurnian (purity), ketelitian (veracity). Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar akibatnya, keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.

 

5.     Menjaga efektivitas data.

Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. Untuk menilai efektivitas sistem, auditor sistem informasi harus tahu mengenai kebutuhan pengguna sistem atau pihak-pihak pembuat keputusan yang terkait dengan layanan sistem tersebut. Selanjutnya, untuk menilai apakah sistem menghasilkan laporan / informasi yang bermanfaat bagi penggunanya, auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya.

 

CONTOH KASUS AUDIT SISTEM INFORMASI

 

Studi Kasus: Pencurian Dana dengan Kartu ATM Palsu

Jakarta (ANTARA News) – Sekitar 400 juta yen (Rp.44 miliar) deposito di enam bank di Jepang telah ditarik oleh kartu-kartu ATM palsu setelah informasi pribadi nasabah dibocorkan oleh sebuah perusahaan sejak Desember 2006, demikian harian Yomiuri Shimbun dalam edisi onlinenya, Rabu.

Bank-bank yang kini sedang disidik polisi adalah Bank Chugoku yang berbasis di Okayama, North Pasific Bank, Bank Chiba Kogyo, Bank Yachiyo, Bank Oita, dan Bank Kiyo. Polisi menduga para tersangka kriminal itu menggunakan teknik pemalsuan baru untuk membuat kartu ATM tiruan yang dipakai dalam tindak kriminal itu. Pihak Kepolisian Metropolitan Tokyo meyakini kasus pemalsuan ATM ini sebagai ulah komplotan pemalsu ATM yang besar sehingga pihaknya berencana membentuk gugus tugas penyelidikan bersama dengan satuan polisi lainnya.

 

Berdasarkan sumber kepolisian dan bank-bank yang dibobol, sekitar 141 juta yen tabungan para nasabah telah ditarik dari 186 nomor rekening di North Pasific Bank antara 17–23 Oktober 2007

. 

.Para nasabah bank-bank itu sempat mengeluhkan adanya penarikan-penarikan dana dari rekening mereka tanpa sepengetahuan mereka. Kejadian serupa ditemukan di bank Chugoku dan Bank Chiba. Dalam semua perkara itu, dana tunai telah ditarik dari gerai-gerai ATM di Tokyo dan Daerah Administratif Khusus Osaka, yang letaknya jauh dari tempat para pemilik rekening yang dibobol. Polisi yakin peristiwa serupa menimpa bank-bank lainnya.

 

Uniknya, tidak satu pun dari para pemilik rekening itu kehilangan kartu ATM-nya. Dalam kasus Bank Oita misalnya, salah satu kartu ATM telah digunakan untuk menarik dana meskipun pemilik rekening tidak memiliki kartu ATM. Para pemilik rekening juga diketahui tinggal di tempat yang berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama. Hal ini menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak digunakan untuk mengakses informasi dalam ATM.

Sampai berita ini diturunkan, polisi masih menyelidiki teknik dan metode yang pelaku gunakan dalam melakukan serangkaian pembobolan ATM tersebut. Namun, polisi telah berhasil menemukan satu benang merah, yaitu dimana sebagian besar pemilik rekening yang dibobol itu adalah anggota satu program yang dijalankan olah sebuah perusahaan penjual produk makanan kesehatan yang berbasis di Tokyo.

 

Analisa Kasus:

Dari rangkuman berita diatas, dapat ditarik beberapa kesimpulan, antara lain :

·   Pembobolan dana rekening tersebut kemungkinan besar dilakukan oleh orang dalam perusahaan atau orang dalam perbankan dan dilakukan lebih dari satu orang.

·  Karena tidak semua pemilik rekening memiliki hubungan dengan perusahaan tersebut, ada kemungkinan pembocoran informasi itu tidak dilakukan oleh satu perusahaan saja, mengingat jumlah dana yang dibobol sangat besar.

·      Modusnya mungkin penipuan berkedok program yang menawarkan keanggotaan. Korban, yang tergoda mendaftar menjadi anggota, secara tidak sadar mungkin telah mencantumkan informasi-informasi yang seharusnya bersifat rahasia.

·      Pelaku kemungkinan memanfaatkan kelemahan sistem keamanan kartu ATM yang hanya dilindungi oleh PIN.

·    Pelaku juga kemungkinan besar menguasai pengetahuan tentang sistem jaringan perbankan. Hal ini ditunjukkan dengan penggunaan teknik yang masih belum diketahui dan hampir bisa dapat dipastikan belum pernah digunakan sebelumnya.

·   Dari rangkuman berita diatas, disebutkan bahwa para pemilik yang uangnya hilang telah melakukan keluhan sebelumnya terhadap pihak bank. Hal ini dapat diartikan bahwa lamanya bank dalam merespon keluhan-keluhan tersebut juga dapat menjadi salah satu sebab mengapa kasus ini menjadi begitu besar.

Dari segi sistem keamanan kartu ATM itu sendiri, terdapat 2 kelemahan, yaitu:

1.      Kelemahan pada mekanisme pengamanan fisik kartu ATM.

 Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis pita magnet. Kelemahan utama kartu jenis ini terdapat pada pita magnetnya. Kartu jenis ini sangat mudah terbaca pada perangkat pembaca pita magnet (skimmer).

2.      Kelemahan pada mekanisme pengamanan data di dalam sistem.

 Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan prosedur yang membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari brute force. Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini akan tidak berfungsi jika pelaku telah mengetahui PIN korbannya.

 

Saran:

·    Melakukan perbaikan atau perubahan sistem keamanan untuk kartu ATM. Dengan penggunaan kartu ATM berbasis chip misalnya, yang dirasa lebih aman dari skimming. Atau dengan penggunaan sistem keamanan lainnya yang tidak bersifat PIN, seperti pengamanan dengan sidik jari, scan retina, atau dengan penerapan tanda tangan digital misalnya.

 

·     Karena pembobolan ini sebagiannya juga disebabkan oleh kelengahan pemilik rekening, ada baiknya jika setiap bank yang mengeluarkan kartu ATM memberikan edukasi kepada para nasabahnya tentang tata cara penggunaan kartu ATM dan bagaimana cara untuk menjaga keamanannya.

 

Sumber : http://irarochimah.blogspot.com/2017/10/audit-sistem-informasi-beserta-contoh.html

 

Read More