Tahapan Analisis Risiko Audit SI

Penulis ingin memberitahukan kepada pembaca Tahapan Analisis Audit Sistem Informasi dengan menggunakan tabel akan lebih mudah untuk membacanya.

• Tahap Pengujian Kebenaran Bukti.
  Tujuan pada tahap pengujian kebenaran bukti adalah untuk mendapatkan bukti yang cukup kompeten,. Pada tahap ini, pengujian yang dilakukan adalah (Davis at.all. 1981) :

1. Mengidentifikasi kesalahan dalam pemrosesan data
2. Menilai kualitas data
3. Mengidentifikasi ketidakkonsistenan data
4. Membandingkan data dengan perhitungan fisik
5. Konfirmasi data dengan sumber-sumber dari luar perusahaan.

Sumber :

• https://docplayer.info/docs-images/87/95397824/images/54-0.jpg
• https://student-activity.binus.ac.id/isgbinus/2017/09/tahap-tahap-audit-sistem-informasi/

Read More

Format Pelaporan Audit SI

Isinya tidak jauh berbeda dengan laporan audit lainnya. Hanya saja akan ada perbedaan pada bagian pendapat Auditor dan paragraf ruang lingkup yakni bagian kesimpulannya.  Laporan audit wajar tanpa pengecualian ini berisi:

1. Judul laporan

Dalam laporan audit yang baik laporan harus dicantumkan kata “Independen” pada bagian judulnya. Contohnya adalah kalimat berupa “laporan audit independen” atau kalimat berupa “pendapat akuntan independen”. Kata independen ini menunjukkan bahwa audit telah dilakukan secara netral, transparan, dan akuntabel atau sederhananya tidak memihak. Kata ini juga mengandung konsekuensi bahwa jika di kemudian hari ditemukan adanya keberpihakan Auditor terhadap perusahaan yang di audit, maka Auditor bersangkutan wajib bertanggungjawab.

2. Alamat Laporan Audit

Maksud dari alamat audit ini bukanlah alamat dari kantor akuntan publik. Alamat yang dimaksud adalah alamat dari kantor/institusi/perusahaan yang diaudit. Alamat ini harus mencerminkan secara spesifik entitas yang terhadapnya dilakukan audit.

3. Paragraf Pendahuluan

Paragraf pendahuluan harus memuat tiga pernyataan faktual. Tujuan dari adanya penyataan ini adalah agar pembaca laporan dapat membedakan mana tanggung jawab pihak manajemen dan tanggung jawab pihak akuntan publik sebagai auditor. Ada tiga hal yang wajib dimuat dalam paragraf pendahuluan ini, yakni:

• Suatu pernyataan bahwa auditor telah melaksanakan audit. Pernyataan ini dapat membedakan mana proses audit, mana proses monitoring dan mana proses evaluasi saja.
• Menyatakan jenis laporan keuangan yang diaudit, termasuk tanggal neraca serta periode akuntansi untuk laporan laba rugi dan laporan arus kas.
• Menyatakan bahwa penyiapan serta isi laporan keuangan merupakan tanggung jawab manajemen, sedangkan tanggung jawab auditor hanyalah sebatas pada pemberian opini atas laporan keuangan tersebut.

4. Paragraf Ruang Lingkup

Dalam paragraf ruang lingkup ini harus dimuat beberapa paragraf yang menyatakan bahwa Auditor secara faktual telah melakukan hal-hal yang disebut dalam proses audit. Standarnya pernyataan faktual dalam paragraf ruang lingkup di harus dimuat beberapa hal sebagai berikut:

• Kalimat yang menyatakan bahwa audit telah dilakukan berdasarkan prinsip akuntansi yang berlaku secara umum.
• Kalimat yang menyatakan bahwa program audit telah dirancang untuk mengidentifikasi hal-hal yang berkaitan dengan salah saji informasi dalam LPJ keuangan yang disediakan perusahaan.
• Pernyataan bahwa auditor telah memperoleh “keyakinan yang sifatnya memadai”, istilah ini digunakan karena auditor hanya bisa mengidentifikasi data-data yang disajikan oleh klien saja, adapun data yang oleh klien sengaja ditutupi bukan termasuk tanggungjawab auditor. Namun, pernyataan ini juga menunjukkan konsekuensi bahwa audit yang dilaksanakan telah memiliki tingkat kepastian yang tinggi.
• Paragraf ruang lingkup juga menyatakan bahwa atas dasar pengujian, audit meliputi pemeriksaan bukti-bukti yang mendukung jumlah dan pengungkapan laporan keuangan. Berikut adalah contoh dari paragraf ruang lingkup:

5. Paragraf Pendapat

Paragraf pendapat adalah paragraf yang berisi kesimpulan dan pernyataan pendapat akuntan publik terhadap perusahaan yang didasarkan atas hasil audit-nya. Perlu diketahui bahwa, pernyataan dalam paragraf pendapat ini tidaklah bersifat mutlak, akan tetapi pendapat yang muncul atas profesionalisme seorang auditor. Dalam paragraf terakhir ini, auditor wajib menyatakan pendapatnya mengenai hasil dari proses audit secara keseluruhan, dan juga kesimpulan berdasarkan prinsip akuntasi yang secara umum berlaku. Contoh dari paragraf pendapat adalah sebagai berikut:

6. Nama Kantor Auditor

Pada bagian ini disebut dengan jelas nama kantor auditor yang telah melaksanakan audit atas suatu perusahaan/instansi tertentu.

7. Tanda Tangan

Sebagai bentuk perkembangan teknologi, tanda tangan ini bisa dalam bentuk elektronik dan atau tanda tangan manual dengan tinta biasa.

8. Tanggal Pelaporan

Tanggal pelaporan audit adalah hari terakhir laporan dibuat.

Demikianlah format dari laporan audit.

Sumber :

• https://hukumline.com/laporan-audit-standar-format-dan-cara-membuatnya/

Read More

Kasus Karena Tidak Dilakukannya Audit SI

Pengertian Audit Sistem Informasi

Audit Sistem Informasi (Informatin System Audit) atau EDP Audit (Electronic Data Processing Audit) atau computer audit  adalah proses pengumpulan data dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian internal yang memadai, semua aktiva dilindungi dengan baik atau disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efesiensi penyelenggaraan sistem informasi berbasis komputer (Ron Weber 1999:10).

Jenis-jenis Audit Sistem Informasi

A.    Audit Laporan Keuangan (Financial Statement Audit)

Adalah audit yang dilakukan untuk mengetahui tingkat kewajaran laporan keuangan yang disajikan oleh perusahaan (apakah sesuai dengan standar akuntansi keuangan serta tidak menyalahi uji materialitas). Apabila sistem akuntansi organisasi yang diaudit merupakan sistem akuntansi berbasis komputer, maka dilakukan audit terhadap sistem informasi akuntansi apakah proses/mekanisme sistem dan program komputer telah sesuai, pengendalian umum sistem memadai dan data telah substantif.

B.     Audit Operasional (Operational Audit)

Audit terhadap aplikasi komputer terbagi menjadi tiga jenis, antara lain:

• Post implementation Audit (Audit setelah implementasi)

Auditor memeriksa apakah sistem-sistem aplikasi komputer yang telah diimplementasikan pada suatu organisasi/perusahaan telah sesuai dengan kebutuhan penggunanya (efektif) dan telah dijalankan dengan sumber daya optimal (efisien). Auditor mengevaluasi apakah sistem aplikasi tertentu dapat terus dilanjutkan karena sudah berjalan baik dan sesuai dengan kebutuhan usernya atau perlu dimodifikasi dan bahkan perlu dihentikan.

• Concurrent audit (audit secara bersama)

Auditor menjadi anggota dalam tim pengembangan sistem (system development team). Mereka membantu tim untuk meningkatkan kualitas pengembangan sistem yang dibangun oleh para sistem analis, designer dan programmer dan akan diimplementasikan. Dalam hal ini auditor mewakili pimpinan proyek dan manajemen sebagai quality assurance.

• Concurrent Audits (audit secara bersama-sama)

Auditor mengevaluasi kinerja unit fngsional atau fungsi sistem informasi (pusat/instalasi komputer) apakah telah dikelola dengan baik, apakah kontrol dalam pengembangan sistem secara keseluruhan sudah dilakukan dengan baik, apakah sistem komputer telah dikelola dan dioperasikan dengan baik.

Dalam mengaudit sistem komputerisasi yang ada, audit ini dilakukan dengan mengevaluasi pengendalian umum dari sistem-sistem komputerisasi yang sudah diimplementasikan pada perusahaan tersebut secara keseluruhan. Saat melakuan pengujian-pengujian digunakan bukti untuk menarik kesimpulan dan memberikan rekomendasi kepada manajemen tentang hal-hal yang berhubungan dengan efektifitas, efisiensi, dan ekonomisnya sistem.

Tujuan Audit Sistem Informasi

Tujuan audit sistem informasi menurut Ron Weber (1999:11-13) secara garis besar terbagi menjadi lima tahap, yaitu:

A.    Pengamanan Aset

Aset informasi suatu perusahaan seperti perangkat keras (hardware), perangkat lunak (software), sumber daya manusia, file data harus dijaga oleh suatu sistem pengendalian intern yang baik agar tidak terjadi penyalahgunaan aset perusahaan. Dengan demikian sistem pengamanan aset merupakan suatu hal yang sangat penting yang harus dipenuhi oleh perusahaan.

B.     Menjaga integritas data

Integritas data (data integrity) adalah salah satu konsep dasar sistem inforamasi. Data memeiliki atribut-atribut tertentu seperti: kelengkapan, keberanaran, dan keakuratan. Jika integritas data tidak terpalihara, maka suatu perusahaan tidak akan lagi memilki hasil atau laporan yang beanr bahkan perusahaan dapat menderita kerugian

C.     Efektifitas Sistem

Efektifitas sistem informasi perusahaan melikiki peranan pentigndalam proses pemgambilan keputusan. Suatu sistem informasi dapat dikatakan efektif bila sistem informasi tersebut telah sesuai dengan kebutuhan user

D.    Efisiensi Sistem

Efisiensi menjadi hal yang sangat penting ketika suatu komputer tidak lagi memilki kapasitas yang memadai atau harus mengevaluasi apakah efisiensi sistem masih memadai atau harus menambah sumber daya, karena suatu sistem dapat dikatakan efisien jika sistem informasi dapat memenuhi kebutuhan user dengan sumber daya informasi yang minimal.

E.     Ekonomis

Ekonomis mencerminkan kalkulasi untuk rugi ekonomi (cost/benefit) yang lebih bersifat kuantifikasi nilai moneter (uang). Efisiensi berarti sumber daya minimum untuk mencapai hasil maksimal. Sedangkan ekonomis lebih bersifat pertimbangan ekonomi.

CONTOH KASUS AUDIT SISTEM INFORMASI

Studi Kasus: Pencurian Dana dengan Kartu ATM Palsu

Jakarta (ANTARA News) – Sekitar 400 juta yen (Rp.44 miliar) deposito di enam bank di Jepang telah ditarik oleh kartu-kartu ATM palsu setelah informasi pribadi nasabah dibocorkan oleh sebuah perusahaan sejak Desember 2006, demikian harian Yomiuri Shimbun dalam edisi onlinenya, Rabu.

Bank-bank yang kini sedang disidik polisi adalah Bank Chugoku yang berbasis di Okayama, North Pasific Bank, Bank Chiba Kogyo, Bank Yachiyo, Bank Oita, dan Bank Kiyo. Polisi menduga para tersangka kriminal itu menggunakan teknik pemalsuan baru untuk membuat kartu ATM tiruan yang dipakai dalam tindak kriminal itu. Pihak Kepolisian Metropolitan Tokyo meyakini kasus pemalsuan ATM ini sebagai ulah komplotan pemalsu ATM yang besar sehingga pihaknya berencana membentuk gugus tugas penyelidikan bersama dengan satuan polisi lainnya.

Berdasarkan sumber kepolisian dan bank-bank yang dibobol, sekitar 141 juta yen tabungan para nasabah telah ditarik dari 186 nomor rekening di North Pasific Bank antara 17–23 Oktober 2007. Para nasabah bank-bank itu sempat mengeluhkan adanya penarikan-penarikan dana dari rekening mereka tanpa sepengetahuan mereka. Kejadian serupa ditemukan di bank Chugoku dan Bank Chiba. Dalam semua perkara itu, dana tunai telah ditarik dari gerai-gerai ATM di Tokyo dan Daerah Administratif Khusus Osaka, yang letaknya jauh dari tempat para pemilik rekening yang dibobol. Polisi yakin peristiwa serupa menimpa bank-bank lainnya.

Uniknya, tidak satu pun dari para pemilik rekening itu kehilangan kartu ATM-nya. Dalam kasus Bank Oita misalnya, salah satu kartu ATM telah digunakan untuk menarik dana meskipun pemilik rekening tidak memiliki kartu ATM. Para pemilik rekening juga diketahui tinggal di tempat yang berbeda-beda dan tidak menggunakan kartu-kartu ATM yang sama. Hal ini menunjukkan bahwa teknik “skimming” atau “pembacaan sepintas” tidak digunakan untuk mengakses informasi dalam ATM.

Sampai berita ini diturunkan, polisi masih menyelidiki teknik dan metode yang pelaku gunakan dalam melakukan serangkaian pembobolan ATM tersebut. Namun, polisi telah berhasil menemukan satu benang merah, yaitu dimana sebagian besar pemilik rekening yang dibobol itu adalah anggota satu program yang dijalankan olah sebuah perusahaan penjual produk makanan kesehatan yang berbasis di Tokyo.

Analisa Kasus:

Dari rangkuman berita diatas, dapat ditarik beberapa kesimpulan, antara lain :

• Pembobolan dana rekening tersebut kemungkinan besar dilakukan oleh orang dalam perusahaan atau orang dalam perbankan dan dilakukan lebih dari satu orang.
• Karena tidak semua pemilik rekening memiliki hubungan dengan perusahaan tersebut, ada kemungkinan pembocoran informasi itu tidak dilakukan oleh satu perusahaan saja, mengingat jumlah dana yang dibobol sangat besar.
• Modusnya mungkin penipuan berkedok program yang menawarkan keanggotaan. Korban, yang tergoda mendaftar menjadi anggota, secara tidak sadar mungkin telah mencantumkan informasi-informasi yang seharusnya bersifat rahasia.
• Pelaku kemungkinan memanfaatkan kelemahan sistem keamanan kartu ATM yang hanya dilindungi oleh PIN.
• Pelaku juga kemungkinan besar menguasai pengetahuan tentang sistem jaringan perbankan. Hal ini ditunjukkan dengan penggunaan teknik yang masih belum diketahui dan hampir bisa dapat dipastikan belum pernah digunakan sebelumnya.
• Dari rangkuman berita diatas, disebutkan bahwa para pemilik yang uangnya hilang telah melakukan keluhan sebelumnya terhadap pihak bank. Hal ini dapat diartikan bahwa lamanya bank dalam merespon keluhan-keluhan tersebut juga dapat menjadi salah satu sebab mengapa kasus ini menjadi begitu besar.

Dari segi sistem keamanan kartu ATM itu sendiri, terdapat 2 kelemahan, yaitu:

1. Kelemahan pada mekanisme pengamanan fisik kartu ATM. Kartu ATM yang banyak digunakan selama ini adalah model kartu ATM berbasis pita magnet. Kelemahan utama kartu jenis ini terdapat pada pita magnetnya. Kartu jenis ini sangat mudah terbaca pada perangkat pembaca pita magnet (skimmer).
2. Kelemahan pada mekanisme pengamanan data di dalam sistem.Sistem pengamanan pada kartu ATM yang banyak digunakan saat ini adalah dengan penggunaan PIN (Personal Identification Number) dan telah dilengkapi dengan prosedur yang membatasi kesalahan dalam memasukkan PIN sebanyak 3 kali yang dimaksudkan untuk menghindari brute force. Meskipun dapat dikatakan cukup aman dari brute force, mekanisme pengaman ini akan tidak berfungsi jika pelaku telah mengetahui PIN korbannya.

Saran:

• Melakukan perbaikan atau perubahan sistem keamanan untuk kartu ATM. Dengan penggunaan kartu ATM berbasis chip misalnya, yang dirasa lebih aman dari skimming. Atau dengan penggunaan sistem keamanan lainnya yang tidak bersifat PIN, seperti pengamanan dengan sidik jari, scan retina, atau dengan penerapan tanda tangan digital misalnya.

• Karena pembobolan ini sebagiannya juga disebabkan oleh kelengahan pemilik rekening, ada baiknya jika setiap bank yang mengeluarkan kartu ATM memberikan edukasi kepada para nasabahnya tentang tata cara penggunaan kartu ATM dan bagaimana cara untuk menjaga keamanannya.

Sumber :

• http://irarochimah.blogspot.com/2017/10/audit-sistem-informasi-beserta-contoh.html

Read More

Contoh Laporan AUDIT

 Laporan Audit Independen

Kepada Yth,

Pemegang Saham, Dewan Komisaris dan Direksi

PT KIMIA FARMA ( PERSERO ) Tbk

Kami telah mengaudit neraca konsolidasi PT KIMIA FARMA ( PERSERO ) Tbk dan Anak Perusahaan tanggal 31 Desember 2014, laporan laba rugi konsolidasi, laporan perubahan equitas konsolidasi dan laporan arus kas konsolidasi untuk tahun yang berakhir pada tanggal tersebut. Laporan keuangan konsolidasi adalah tanggung jawab manajemen perusahaan. Tanggung jawab kami terletak pada pernyataan pendapat atas laporan keuangan konsolidasi berdasarkan audit kami. Laporan keuangn konsolidasi PT KIMIA FARMA ( PERSERO ) Tbk dan Anak Perusahaan untuk tahun yang berakhir pada tanggal 31 Desember 2013 di audit oleh auditor independen lain yang dalam laporannya bernomor : 010/AK-LAP/0306 tanggal 21 Maret 2014 menyatakan pendapat wajar tanpa pengecualian.

Kami melaksanakan audit berdasarkan standart auditing yang di tetapkan Ikatan Akuntan Indonesia. Standar tersebut mengharuskan kami merencanakan dan melaksankan audit agar kmi memperoleh keyakinan memadai bahwa laporan keuangan bebas dari salah saji material. Suatu audit meliputi pemeriksaan, atas dasar pengujian, bukti-bukti yang mendukung jumlah-jumlah dan pengungkapan dalam laporan keuangan. Audit juga meliputi penilaian atas prinsip Akuntansi yang di gunakan dan estimasi signifikan yang di buat oleh manajemen, serta penilaian terhadap penyajian laporan keuangan secara keseluruhan. Kami yakin bahwa audit kami memberikan dasar memadai untuk menyatakan pendapat.

Menurut pendapat kami, laporan keuangan konsolidasi, yang kami sebut di atas menyajikan secara wajar, dalam semua hal yang material, posisi keuangan PT KIMIA FARMA ( PERSERO ) Tbk dan Anak Perusahaan tanggal 31 Desember 2014, serta hasil usaha, perubahan ekuitas dan arus kas untuk tahun yang berakhir pada tanggal tersebut sesuai dengan Prinsip Akuntansi yang berlaku umum di Indonesia.

Acep Kusmayadi, Ak. BAP

Surat Izin Praktek Akuntan Publik No : 98.1.0479

Jakarta, 13 Maret 2015

KETERANGAN

1. Judul Laporann :

Standar auditing mewajibkan setiap laporan diberi judul laporan, dan dalam judul tersebut tercantum pula kata independen. Laporan audit perusahaan yang kami gunakan sudah sesuai dengan standar auditing yaitu “Laporan Audit Independen”.

2. Alamat Laporan Audit :

Laporan ini umumnya ditunjukkan kepada Perusahaan, para Pemegang Saham atau Dewan Direksi Perusahaan PT KIMIA FARAMA (PERSERO) Tbk.

3. Paragraph Pendahuluan :

Paragraph pendahuluan menunjukkan tiga hal standar umum GAAS/SPAP:

• Pertama, membuat pernyataan sederhana bahwa kantor akuntan public telah melaksanakan audit, misalnya pada laporan audit diatas “ Kami telah mengaudit neraca konsolidasi PT KIMIA FARMA (Persero) Tbk dan Anak Perusahaan”.
• Kedua, paragraph ini menyatakan laporan keuangan yang telah di audit termasuk pencatuman tanggal neraca serta periode akuntansi dari laporan laba rugi dan laporan aruskas, misalnya pada laporan audit diatas “tanggal 31 Desember 2014, laporan laba rugi konsolidasi, laporan perubahan ekuitas konsolidasi, dan laporan arus kas konsolidasi untuk tahun yang berakhir pada tanggal tersebut”.
• Ketiga, paragraph pendahuluan menyatakan bahwa laporan keuangan merupakan tanggung jawab manajemen dan tanggung jawab auditor terletak pada pernyataan pendapat atas laporan keuangan berdasarkan pelaksanaan audit, misalnya pada laporan audit diatas “laporan keuangan konsolidasi adalah tanggung jawab perusahaan. Tanggung jawab kami terletak pada pernyataan pendapat atas laporan keuangan konsolidasi berdasarkan audit kami”.
• Pada Laporan Audit PT KIMIA FARMA (PERSERO) Tbk ini terdapat kalimat pejelasan “ laporan keuangan konsolidasi PT KIMIA FARMA (Persero) Tbk dan Anak Perusahaan untuk tahun yang berakhir pada tanggal 31 desember 2013 diaudit oleh auditor independen lain yang dalam laporannya bernomer : 0101/AK-LAP/ 0306 tanggal 21 maret 2014 menyatakan pendapat wajar tanpa pengecualian. Berarti pada laporan laporan keuangan yang sebelumnya atau setahun yang lalu diberi keterangan tentang pendapat auditor yaitu menyatakan pendapat wajar tanpa pengecualian. Laporan tersebut telah disajikan dengan wajar, tetapi lingkup audit dibatasi secara material atau terjadi penyimpangan dari perinsip akuntansi yang berlaku umum pada saat penyiapan laporan keuangan.

4. Paragraph Scope :

Paragraph scope ini berisi pernyataan factual tentang apa yang dilakukan auditor selama proses audit PT KIMIA FARMA (Persero) Tbk. Paragraph scope menyatakan bahwa audit PT KIMIA FARMA (Persero) Tbk dirancang untuk memperoleh keyakinan yang memadai bahwa laporan keuangan bebas dari salah saji yang material. Berikutnya paragraf scope membahas tentang pengumpulan bukti audit serta menyatakan bahwa auditor yakin bahwa bukti audit yang dikumpulkan telah memberikan dasar yang memadai bagi pernyataan pendapat. Dari pernyataan diatas kami menganalisis bahwa laporan audit PT KIMIA FARMA (Persero) Tbk talah memenuhi criteria dari paragraf scope.

5. Paragraf Pendapat :

Paragraf terakhir dalam laporan audit bentuk baku menyajikan kesimpulan auditor berdasarkan hasil dari proses audit yang telah dilakukan seperti “menurut pendapat kami, laporan keuangan konsolidasi, yang kami sebut diatas menyajikan secara wajar, dalam semua hal yang material, posisi keuangan PT KIMIA FARMA (Persero) Tbk dan Anak Perusahaan tanggal 31 Desember 2014, serta hasil usaha, perubahan ekuitas dan arus kas untuk tahun yang berakhir pada tanggal tersebut sesuai dengan prinsip akuntansi yang berlaku umum di Indonesia”

6. Nama KAP :

Untuk Nama KAP yang mengidentifikasi PT KIMIA FARMA (Persero) Tbk adalah Acep Kusumayadi, Ak. BAP.

7. Tanggal Laporan Audit :

Tanggal yang tepat untuk dicantumkan dalam laporan audit adalah tanggal pada saat auditormenyelesaikan prosedur audit terpenting dilokasi pemeriksaan. Dalam laporan audit PT KIMIA FARAM (Persero) Tbk tanggal neraca adalah 31 Desember 2014, dan tanggal laporan audit adalah 13 Maret 2015. Maka tanggal yang dipakai adalah tanggal dimana audit itu telah selesai dikerjakan 13 Maret 2015.

Sumber:

https://evalarasati10.wordpress.com/2015/04/08/contoh-laporan-audit/

Read More

Contoh Kasus AUDIT

Menerapkan proses GCG (Good Corporate Governance) dalam suatu perusahaan Pembedahan kasus-kasus yang telah terjadi di perusahaan atas proses pengawasan yang efektif akan menjadi pembelajaran yang menarik dan kiranya dapat kita hindari apabila kita dihadapkan pada situasi yang sama.

bukan suatu proses yang mudah. Diperlukan konsistensi, komitmen, dan pemahaman yang jelas dari seluruh stakeholders perusahaan mengenai bagaimana seharusnya proses tersebut dijalankan. Namun, dari kasus-kasus yang terjadi di BUMN ataupun Perusahaan Publik dapat ditarik kesimpulan sementara bahwa penerapan proses GCG belum dipahami dan diterapkan sepenuhnya.

Salah satu contohnya adalah kasus audit umum yang dialami oleh PT. Kereta Api Indonesia (PT. KAI). Kasus ini menunjukkan bagaimana proses tata kelola yang dijalankan dalam suatu perusahaan dan bagaimana peran dari tiap-tiap organ pengawas dalam memastikan penyajian laporan keuangan tidak salah saji dan mampu menggambarkan keadaan keuangan perusahaan yang sebenarnya.

Kasus PT. KAI berawal dari perbedaan pandangan antara Manajemen dan Komisaris, khususnya Ketua Komite Audit dimana Komisaris menolak menyetujui dan menandatangani laporan keuangan yang telah diaudit oleh Auditor Eksternal. Komisaris meminta untuk dilakukan audit ulang agar laporan keuangan dapat disajikan secara transparan dan sesuai dengan fakta yang ada. Salah satu faktor yang menyebabkan terjadinya kasus PT. KAI adalah rumitnya laporan keuangan PT. KAI. Perbedaan pandangan antara manajemen dan komisaris tersebut bersumber pada perbedaan mengenai:

1. Masalah piutang PPN.

Piutang PPN per 31 Desember 2005 senilai Rp. 95,2 milyar, menurut Komite Audit harus dicadangkan penghapusannya pada tahun 2005 karena diragukan kolektibilitasnya, tetapi tidak dilakukan oleh manajemen dan tidak dikoreksi oleh auditor.

2. Masalah Beban Ditangguhkan yang berasal dari penurunan nilai persediaan.

Saldo beban yang ditangguhkan per 31 Desember 2005 sebesar Rp. 6 milyar yang merupakan penurunan nilai persediaan tahun 2002 yang belum diamortisasi, menurut Komite Audit harus dibebankan sekaligus pada tahun 2005 sebagai beban usaha.

3. Masalah persediaan dalam perjalanan.

Berkaitan dengan pengalihan persediaan suku cadang Rp. 1,4 milyar yang dialihkan dari satu unit kerja ke unit kerja lainnya di lingkungan PT. KAI yang belum selesai proses akuntansinya per 31 Desember 2005, menurut Komite Audit seharusnya telah menjadi beban tahun 2005.

4. Masalah uang muka gaji.

Biaya dibayar dimuka sebesar Rp. 28 milyar yang merupakan gaji Januari 2006 dan seharusnya dibayar tanggal 1 Januari 2006 tetapi telah dibayar per 31 Desember 2005 diperlakukan sebagai uang muka biaya gaji, yang menurut Komite Audit harus dibebankan pada tahun 2005.

5. Masalah Bantuan Pemerintah Yang Belum Ditentukan Statusnya (BPYDBS) dan Penyertaan Modal Negara (PMN).

BPYDBS sebesar Rp. 674,5 milyar dan PMN sebesar Rp. 70 milyar yang dalam laporan audit digolongkan sebagai pos tersendiri di bawah hutang jangka panjang, menurut Komite Audit harus direklasifikasi menjadi kelompok ekuitas dalam neraca tahun buku 2005.

Beberapa hal yang direfentifikasi turut berperan dalam masalah pada laporan keuangan PT. KAI Indonesia:

1. Auditor internal tidak berperan aktif dalam proses audit, yang berperan hanya auditor Eksternal.

2. Komite audit tidak ikut serta dalam proses penunjukkan auditor sehingga tidak terlibat proses audit.

3. Manajemen (tidak termasuk auditor eksternal) tidak melaporkan kepada komite audit dan komite audit tidak menanyakannya.

4. Adanya ketidakyakinan manajemen akan laporan keuangan yang telah disusun, sehingga ketika komite audit mempertanyakan manajemen merasa tidak yakin.

Terlepas dari pihak mana yang benar, permasalahan ini tentunya didasari oleh tidak berjalannya fungsi check and balances yang merupakan fungsi substantif dalam perusahaan. Yang terpenting adalah mengidentifikasi kelemahan yang ada sehingga dapat dilakukan penyempurnaan untuk menghindari munculnya permasalahan yang sama di masa yang akan datang.

Berikut ini beberapa solusi dan rekomendasi yang disarankan kepada PT KAI untuk memperbaiki kondisi yang telah terjadi:

1. Apabila Dewan Komisaris ini merasa direksi tidak capable (mampu) memimpin perusahaan, Dewan Komisaris dapat mengusulkan kepada pemegang saham untuk mengganti direksi.

2. Diperlukannya kebijaksanaan (wisdom) dari Anggota Dewan Komisaris untuk memilah-milah informasi apa saja yang merupakan private domain.

3. Komunikasi yang intens sangat diperlukan antara Auditor Eksternal dengan Komite Audit.

4. Komite Audit sangat mengandalkan Internal Auditor dalam menjalankan tugasnya untuk mengetahui berbagai hal yang terjadi dalam operasional perusahaan.

5. Komite Audit tidak memberikan second judge atas opini Auditor Eksternal, karena opini sepenuhnya merupakan tanggung jawab Auditor Eksternal.

6. Harus ada upaya untuk membenarkan kesalahan tahun-tahun lalu, karena konsistensi yang salah tidak boleh dipertahankan.

7. Komite Audit tidak berbicara kepada publik karena esensinya Komite Audit adalah organ Dewan Komisaris sehingga pendapat dan masukan Komite Audit harus disampaikan kepada Dewan Komisaris. Apabila Dewan Komisaris tidak setuju dengan Komite Audit, tetapi Komite Audit tetap pada pendiriannya, Komite Audit dapat mencantumkan pendapatnya pada Laporan Komite Audit yang terdapat dalam laporan tahunan perusahaan.

8. Manajemen menyusun laporan keuangan secara tepat waktu, akurat dan full disclosure.

9. Komite Audit dan Dewan Komisaris sebaiknya melakukan inisiatif untuk membangun budaya pengawasan dalam perusahaan melalui proses internalisasi, sehingga pengawasan merupakan bagian tidak terpisahkan dari setiap organ dan individu dalam organisasi.

Sumber:

• http://garaptugaskampus.blogspot.com/2019/11/contoh-kasus-audit.html

Read More

Jenis Standar Panduan Audit Sitem Informasi

1. Standar Audit ISACA (Information Systems Audit and Control Association)

Panduan ISACA: IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals.

ISACA berperan untuk memberikan informasi untuk mendukung kebutuhan pengetahuan. Dalam framework ISACA terkait, audit SI terdapat Standards, Guidelines dan Procedure. 

• Standards yang ditetapkan oleh ISACA harus diikuti oleh auditor.
• Guidelines memberikan bantuan tentang bagaimana auditor dapat menerapkan standar dalam berbagai penugasan audit.
• Procedure memberikan contoh langkah-langkah auditor dapat mengikuti penugasan audit tertentu sehingga dapat menerapkan standar.

Standar audit SI menurut ISACA, antara lain:

S1 Audit Charter

• Tujuan, tanggung jawab, kewenangan dan akuntabilitas dari fungsi audit SI atau penilaian audit SI harus didokumentasikan dengan pantas dalam sebuah audit charter atau perjanjian tertulis.
• Audit charter atau perjanjian tertulis harus mendapat persetujuan dan pengabsahan pada tingkatan yang tepat dalam organisasi.

S2 Independence

• Professional Independence
• Dalam semua permasalahn yang berhubungan dengan audit, auditor SI harus independen terhadap auditee baik dalam sikap maupun penampilan.
• Organisational Independence
• Fungsi audit SI harus independen terhadap area atau aktivitas yang sedang diperiksa agar tujuan penilaian audit terselesaikan

S3 Professional Ethics and Standards

• Auditor SI harus tunduk pada kode etika profesi dari ISACA dalam melakukan tugas audit.
• Auditor SI harus patuh pada penyelenggarakan profesi, termasuk observasi terhadap standar audit profesional yang dipakan dalam melakukan tugas audit.

S4 Professional Competence

• Auditor SI harus seorang profesional yang kompeten, memiliki keterampilan dan pengetahuan untuk melakukan tugas audit.
• Auditor SI harus mempertahankan kompetensi profesionalnya secara terus menerus dengan melanjutkan edukasi dan training.

S5 Planning

• Auditor sistem informasi harus merencanakan peliputan audit sistem informasi sampai pada tujuan audit dan tunduk pada standar audit profesional dan hukum yang berlaku.
• Audit sistem informasi harus membangun dan mendokumentasikan resiko yang didasarkan pada pendekatan audit.

S6 Performance of Audit Work

• Pengawasan-staff audit sistem informasi harus diawasi untuk memberikan keyakinan yang masuk akal bahwa tujuan audit telah sesuai dan standar audit profesional yang ada.
• Bukti-Selama berjalannya audit, auditor sistem informasi harus mendapatkan bukti yang cukup, layak dan relevan untuk mencapai tujuan audit. Temuan audit dan kesimpulan didukung oleh analisis yang tepat dan interprestasi terhadap bukti-bukti yang ada.
• Dokumentasi-Proses audit harus didokumentasikan, mencakup pelaksanaan kerja audit dan bukti audit untuk mendukung temuan dan kesimpulan auditor sistem informasi. 

S7 Reporting

• Auditor sistem informasi harus menyajikan laporan, dalam pola yang tepat, atas penyelesaian audit.
• Laporan audit harus berisikan ruang lingkup, tujuan, periode peliputan, waktu dan tingkatan kerja audit yang dilaksanakan.
• Laporan audit harus berisikan temuan, kesimpulan dan rekomendasikan serta berbagai pesan, kualifikasi atau batasan dalam ruang lingkup bahwa auditor sistem informasi bertanggung jawab terhadap audit.
• Auditor sistem informasi harus memiliki bukti yang cukup dan tepat untuk mendukung hasil pelaporan.

2. IIA COSO

The Comitte of Sponsoring Organizations of the treadway commission’s (COSO) dibentuk pada tahun 1985 sebagai alinasi dari 5 (lima) organisasi professional. Organisasi tersebut terdiri dari American Accounting Association, American Instititue of Certified Public Accountants, Financial Executives International, Instititute of Management Accountants, dan The Institute of Internal Auditors. Koalisi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu seputar pelaporan keuangan yang mengandung fraud.

              

Secara garis besar, COSO menghadirkan suatu kerangka kerja yang integral terkait dengan definisi pengendalian intern, komponen-komponennya, dan kriteria pengendalian intern yang dapat dievaluasi. Pengendalian internal terdiri dari 5 komponen yang saling berhubungan. Komponen-komponen tersebut memberikan kerangka kerja yang efektif untuk menjelaskan dan menganalisa sistem pengendalian internal yang diimplementasikan dalam suatu organisasi. Komponen-komponen tersebut, adalah sebagai berikut:

1)       Lingkungan pengendalian

                Lingkungan pengendalian menetapkan nada organisasi, mempengaruhi kesadaran kontrol dari orang-orangnya. Ini adalah fondasi untuk semua komponen kontrol internal lainnya, menyediakan disiplin dan struktur. Faktor lingkungan pengendalian termasuk integritas, nilai-nilai etika, gaya operasi manajemen, pendelegasian sistem otoritas, serta proses untuk mengelola dan mengembangkan orang dalam organisasi.

2)      Penilaian resiko

                Setiap entitas menghadapi berbagai risiko dari sumber eksternal dan internal yang harus dinilai. Prasyarat untuk penilaian risiko adalah pembentukan tujuan dan dengan demikian penilaian risiko adalah identifikasi dan analisis risiko yang relevan dengan pencapaian tujuan yang ditetapkan. Penilaian risiko merupakan prasyarat untuk menentukan bagaimana risiko harus dikelola.

3)      Aktifitas pengendalian

                Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan arahan manajemen dilaksanakan. Mereka membantu memastikan bahwa tindakan yang diperlukan diambil untuk mengatasi risiko yang dapat menghambat pencapaian tujuan entitas. Aktivitas kontrol terjadi di seluruh organisasi, di semua level dan di semua fungsi. Mereka termasuk berbagai kegiatan yang beragam seperti persetujuan, otorisasi, verifikasi, rekonsiliasi, tinjauan kinerja operasi, keamanan aset dan pemisahan tugas.

4)       Informasi dan komunikasi

                Sistem informasi memainkan peran kunci dalam sistem pengendalian internal karena mereka menghasilkan laporan, termasuk informasi operasional, keuangan dan kepatuhan, yang memungkinkan untuk menjalankan dan mengendalikan bisnis. Dalam arti yang lebih luas, komunikasi yang efektif harus memastikan arus informasi turun, melintasi, dan naik ke organisasi. Misalnya, prosedur formal ada bagi orang untuk melaporkan dugaan penipuan. Komunikasi yang efektif juga harus dipastikan dengan pihak eksternal, seperti pelanggan, pemasok, regulator dan pemegang saham tentang posisi kebijakan terkait.

5)      Pemantauan

                Sistem kontrol internal perlu dipantau — suatu proses yang menilai kualitas kinerja sistem dari waktu ke waktu. Ini dicapai melalui kegiatan pemantauan yang sedang berlangsung atau evaluasi terpisah. Kekurangan kontrol internal yang dideteksi melalui kegiatan pemantauan ini harus dilaporkan di bagian hulu dan tindakan korektif harus diambil untuk memastikan perbaikan berkelanjutan dari sistem.

3. ISO 1799 

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut :

• pengorganisasian keamanan informasi;
• manajemen aset;
• keamanan sumber daya manusia;
• keamanan fisik dan lingkungan;
• komunikasi dan manajemen operasi;
• kontrol akses;
•  akuisisi sistem informasi, pengembangan dan pemeliharaan;
• manajemen insiden keamanan informasi;
• manajemen kontinuitas bisnis;
• pemenuhan.

Sumber:

• http://arshave24.blogspot.com/2019/10/standar-dan-panduan-audit-sistem.html (diakses 10 Januari 2020).
• https://edwintrihudaya.blogspot.com/2018/10/standard-dan-panduan-audit-sistem.html (diakses 10 Januari 2020).
• https://rizkypermanap.blogspot.com/2019/10/standar-dan-panduan-audit-sistem.html (diakses 10 Januari 2020).

Read More

Analisis Risiko

Analisis risiko adalah sebuah teknik untuk mengidentifikasi dan menilai faktor-faktor yang dapat membahayakan keberhasilan sebuah bisnis, program, proyek, atau individu untuk mencapai tujuan. Teknik ini juga membantu menentukan tindakan pencegahan untuk mengurangi kemungkinan faktor itu terjadi dan mengidentifikasi tindakan yang berhasil menangani kendala-kendala yang berkembang.

Analisis risiko merupakan bagian dari manajemen risiko, yang terdiri dari langkah-langkah sebagai berikut

• Identifikasi kemungkinan kondisi, peristiwa, atau situasi negatif eksternal dan internal
• Penentuan hubungan sebab-akibat antara peluang kejadian, skalanya, dan kemungkinan dampaknya
• Evaluasi berbagai dampak di bawah asumsi dan probabilitas yang berbeda
• Penerapan teknik kualitatif dan kuantitatif untuk mengurangi ketidakpastian dari dampak dan biaya, kewajiban, atau kerugian.

Risiko Audit Sistem Informasi

1. Risiko Inherent – Atau ‘Inherent Risk’ (IR) adalah risiko yang mungkin timbul akibat karakter bawaan dari suatu transaksi, bisa juga karena : kompleksitas transaksi dan klas transaksi, atau kompleksitas perhitungan, aset yg mudah tercuri/digelapkan, ketiadaan informasi yang sifatnya obyektif. Sudah menjadi pemahaman publik bahwa inherent risk adalah diluar jangkauan auditor dalam melakukan pencegahan. Bahkan, juga diluar kendali pihak auditee sendiri. Jadi dengan kata lain, auditor hanya bisa menemukan tetapi tidak bisa melakukan apa-apa. 
2. Risiko Pengendalian – Atau ‘Control Risk’ (CR) adalah risiko yang bisa timbul akibat kelemahan sistim pengendalian intern (SPI) auditee, tak tahu karena desainnya yang lemah atau pelaksanaanya yang tidak sesuai desain—thus tidak mampu mencegah potensi salahsaji bersifat material dan/atau penggelapan (fraud). Jadi CR tidak bisa dikendalikan oleh auditor akan tetapi bisa dikendalikan oleh auditee jika mereka mau. 
3. Risiko Deteksi – Atau ‘Detection Risk’ (DR), adalah risiko yang bisa timbul akibat kegagalan auditor dalam menedeteksi adanya salahsaji bersifat material dan/atau penggelapan (fraud). Jadi DR ada dalam kendali auditor. Itu karena DR sepenuhnya ada pada kendali auditor, maka sudah pasti mereka harus berupaya untuk menekan risiko ini hingga ke tingkatakan yang paling minimal (tidak mungkin menghilangkan risiko ini sepenuhnya). 

Sumber:

• http://angganart.blogspot.com/2018/11/proses-audit-sistem-informasi.html
• http://kamusbisnis.com/arti/analisis-risiko/

Read More