Minggu, 17 Oktober 2010

STANDAR DAN METODE AUDITING PADA SISTEM PENGOLAHAN DATA ELEKTRONIK (PDE)

  1. PENERAPAN STANDAR AUDITING PADA SISTEM PDE

A.1.    Pengertian Standar Auditing

    Standar auditing merupakan pedoman audit atas laporan keuangan historis. Standar auditing terdiri atas 10 standar dan dirinci dalam bentuk Pernyataan Standar Auditing (PSA). Kepatuhan terhadap Pernyataan Standar Auditing yang dikeluarkan IAI bersifat wajib (mandatory) bagi anggota Ikatan Akuntan Indonesia yang berpraktik sebagai akuntan publik. Sepuluh standar auditing terbagi menjadi tiga kelompok, yaitu: standar umum, standar pekerjaan lapangan, dan standar pelaporan.


 

Standar Audit yang Berterima Umum 

  

  

 

  

Standar Umum 

Standar Kegiatan Lapangan 

Standar Pelaporan 

1. Auditor harus memiliki pelatihan dan penguasaan teknis yang memadai.

1. Kegiatan audit harus cukup terencana 

1. Auditor harus menyebutkan dalam laporannya apakah laporan keuangan dibuat sesuai dengan prinsip-prinsip akuntansi yang berterima umum atau tidak. 

  

  

  

2. Auditor harus memiliki Independensi dalam sikap mentalnya.

2. Auditor harus mendapatkan pemahaman yang cukup mengenai struktur pengendalian internal. 

2. Laporan tersebut harus menjelaskan berbagai kondisi dimana prinsip akuntansi yang berterima umum tidak diterapkan. 

  

  

  

  

  

  

3. Auditor harus melakukan kehati-hatian profesional dalam melaksanakan audit dan membuat laporan. 

3. Auditor harus mendapat bukti yang cukup dan kompeten 

3. laporan tersebut harus mengidentifikasi berbagai hal yang tidak memiliki pengungkapan informasi yang memadai.

  

  

  

  

  

  

  

  

4. Laporan tersebut harus berisi pernyataan pendapat auditor atas laporan keuangan secara umum. 

  

  

  

  

  

  

  

  

  


 


 


 


 

A.2.    Penerapan Standar Auditing

    Standar auditing berlaku sama pada setiap audit yang dilakukan oleh akuntan public, tanpa memandang besar kecilnya perusahaan klien, bentuk organisasi bisnis, jenis industri, ataupun perusahaan bertujuan mencari laba atau tidak. Konsep materialitas dan risiko berpengaruh terhadap penerapan seluruh standar, terutama standar pekerjaan lapangan dan standar pelaporan. Materialitas terkait dengan relatif pentingnya suatu hal atau suatu pos. Risiko berkaitan dengan kemungkinan suatu pos atau suatu hal disajikan secara tidak benar.

    Sebuah kerangka kerja logis untuk melakukan audit dalam lingkungan TI sangat penting untuk membantu auditor mengidentifikasi semua proses serta arsip data yang penting. Karena kurangnya prosedur fisik yang dapat secara visual diverifikasi dan dievaluasi, menambah tingginya kerumitan dalam audit TI (contohnya, jejak audit yang mungkin murni secara elektronik, berbentuk digital, sehingga tidak dapat dilihat oleh mereka yang mencoba memverifikasinya).


 

A.3.    Hubungan Antara Standar Auditing Dengan Prosedur Auditing

    Prosedur menyangkut langkah yang harus dilaksanakan selama audit berlangsung, sedangkan standar berkaitan dengan kriteria atau ukuran mutu pelaksanaan serta dikaitkan dengan tujuan yang hendak dicapai dengan menggunakan prosedur yang bersangkutan. Standar auditing mencakup mutu professional (professional qualities) akuntan public dan pertimbangan (judgement) yang digunakan dalam pelaksanaan audit dan penyusunan laporan keuangan.


 

  1. PENGHIMPUNAN PEMAHAMAN SPI

B.1.    Pernyataan Standar Audit No.78

    Pengendalian internal, seperti didefinisikan dalam SAS 78, terdiri atas lima komponen, yaitu:

  • Lingkungan Pengendalian

        Lingkungan pengendalian menetapkan arah perusahaan dan pengaruh kesadaran pihak manajemen dan para karyawannya akan pengendalian.


 

  • Penilaian Risiko

        Para auditor harus mendapatkan pengetahuan yang cukup atas prosedur penilaian risiko perusahaan untuk memahami bagaimana cara pihak manajemen mengidentifikasi, membuat prioritas, serta mengelola berbagai risiko yang berkaitan dengan pelaporan keuangan.


     

  • Informasi dan Komunikasi

    Auditor harus mendapatkan cukup pengetahuan mengenai sistem informasi perusahaan untuk memahami berbagai aspek berikut ini:

    • Penggolongan transaksi yang material bagi laporan keuangan dan bagaimana transaksi-transaksi tersebut dilakukan.
    • Berbagai catatan akuntansi beserta akunnya yang digunakan dalam pemrosesan transaksi yang material.
    • Langkah-langkah pemrosesan transaksi yang dilibatkan dari awal suatu peristiwa ekonomi hingga perhitungan masuknya ke dalam laporan keuangan.
    • Proses pelaporan keuangan yang digunakan untuk membuat laporan keuangan, pengungkapan, dan berbagai prediksi akuntansi.


     

  • Pengawasan

    Pemonitoran aktivitas entitas terkait dalam berbagai prosedur yang terpisah dapat dilakukan dengan mengumpulkan bukti atas kecukupan pengendalian dengan menguji berbagai pengendalian, kemudian mengkomunikasikan kekuatan serta kelemahan pengendalian ke pihak manajemen. Dalam lingkungan TI, proses ini melibatkan pengumpulan bukti yang berkaitan dengan keandalan pengendalian komputer serta isi basis data yang telah diproses oleh program-program computer.


 

  • Aktivitas Pengendalian

    Aktivitas pengendalian (control activity) adalah berbagai kebijakan dan prosedur yang digunakan untuk memastikan bahwa tindakan yang tepat telah dilakukan untuk menangani berbagai risiko yang telah diidentifikasi perusahaan. Aktivitas pengendalian dapat dikelompokkan ke dalam dua kategori: pengendalian computer dan pengendalian fisik. Pengendalian komputer secara khusus berkaitan dengan lingkungan TI dan audit TI, digolongkan dalam dua kelompok umum: pengendalian umum (general control) dan pengendalian aplikasi (application control).

    Pengendalian umum berkaitan dengan perhatian tingkat keseluruhan perusahaan, seperti pengendalian terhadap pusat data, basis data perusahaan, akses sistem, pengembangan sistem, dan pemeliharaan program. Pengendalian aplikasi memastikan integritas sistem tertentu seperti pemrosesan pesanan penjualan, utang usaha, dan aplikasi penggajian.

    Pengendalian fisik terutama berhubungan dengan sistem akuntansi tradisonal yang menggunakan prosedur manual. Diskusi ini membahas berbagai isu yang berkaitan dengan enam kategori tradisional aktivitas pengendalian:

Otorisasi Transaksi

    Dalam suatu lingkungan TI, otorisasi dapat terdiri atas aturan berkode yang melekat dalam program komputer. Contohnya, modul program dalam sistem pembelian yang akan menentukan kapan, seberapa banyak, dan dari mana pemasok untuk persediaan akan dipesan. Otorisasi dapat bersifat umum dan khusus. Otorisasi umum diberikan pada personel operasional untuk melakukan operasi rutin. Sebaliknya otorisasi khusus berkaitan dengan keputusan kasus per kasus yang berhubungan dengan transaksi non-rutin, biasanya merupakan tanggung jawab pihak manajemen.

    Dalam suatu lingkungan TI, tanggung jawab untuk mewujudkan tujuan pengendalian otorisasi transaksi terletak langsung pada akurasi dan konsistensi (integritas) program komputer yang melakukan berbagai pekerjaan ini.


 

Pemisahan Tugas

    Pemisahan tugas karyawan untuk meminimalkan fungsi-fungsi yang tidak sesuai. Dalam lingkungan TI, pemisahan tugas tidak sama dengan yang terdapat dalam lingkungan manual. Program komputer biasanya melakukan berbagai pekerjaan yang dianggap tidak kompatibel dalam sistem manual. Alasan mengapa beberapa tugas yang dipisahkan dalam sistem manual tidak perlu dipisahkan dalam lingkungan TI, yaitu: pemisahan itu tidak akan efisien, berlawanan dengan tujuan otomatisasi, dan secara operasional tidak berguna untuk memisahkan pekerjaan yang tidak kompatibel ke beberapa program yang berbeda hanya untuk meniru prosedur manual yang tradisional.

    Alasan pemisahan tugas dalam lingkungan yang manual adalah untuk mengendalikan beberapa aspek negatif perilaku manusia. Komputer tidak melakukan kesalahan dan tidak melakukan penipuan. Kebanyakan dari hal yang disebut sebagai kesalahan komputer sebenarnya adalah kesalahan pemrograman, yang pada kenyataannya merupakan kesalahan manusia. Karena komputer memiliki integritas yang tidak dapat diragukan, tidak ada komputer yang pernah melakukan penipuan kecuali jika diprogram demikian oleh seseorang. Perhatian auditor TI harus diarahkan pada berbagai aktivitas yang mengancam integritas aplikasi, seperti ketika program telah berfungsi baik dalam implementasi sistem, integritasnya harus dipertahankan sepanjang siklus hidup program tersebut.


 

Supervisi

    Supervisi sering kali disebut sebagai pengendalian penyeimbangan (compensating control). Supervisi tersebut dapat berbentuk supervisi fisik, laporan, atau cara lainnya. Asumsi yang mendasari pengendalian supervisi adalah perusahaan mempekerjakan karyawan yang kompeten dan dapat dipercaya. Perusahaan karenanya dapat membentuk perluasan pengendalian manajerial dimana seorang manajer mengawasi beberapa karyawan.

    Dalam lingkungan TI, pengendalian supervisi harus lebih luas dari pada dalam sistem manual untuk tiga alasan:

  • Berhubungan dengan masalah menarik karyawan yang kompeten.
  • Mencerminkan kekhawatiran pihak manajemen atas tingkat dapat dipercayanya personel pemrosesan dalam area yang berisiko tinggi.
  • Ketidakmampuan pihak manajemen untuk secara memadai mengamati para karyawan dalam suatu lingkungan.


 

Catatan Akuntansi

    Kewajiban untuk mempertahankan jejak audit juga ada dalam lingkungan TI. Akan tetapi, catatan akuntansi otomatis dan jejak auditnya sangat berbeda dari yang berada dalam lingkungan manual. Beberapa sistem komputer tidak menyimpan dokumen sumber fisik. Jurnal dan buku besar sering kali tidak ada dalam artian tradisional. Sebagai gantinya, berbagai record transaksi dan peristiwa ekonomi lainnya terfragmentasi melintasi beberapa tabel basis data yang dinormalisasi. Jejak audit dapat berbentuk pointer, teknik hashing, indeks, atau kunci melekat yang menghubungkan berbagai fragmen record antara dan antar tabel basis data.

    Para auditor harus memahami berbagai prinsip operasional sistem manajemen basis data yang digunakan dan pengaruhnya atas berbagai catatan akuntansi serta jejak audit struktur file lainnya. Dalam lingkungan TI, sebagian atau semua jejak audit berbentuk digital karena jejak audit terletak dalam komputer di berbagai file, maka jejak audit pada dasarnya tidak dapat dilihat oleh para auditor. Oleh karenanya, sudah merupakan keharusan dalam lingkungan TI agar para programmer dan analis memahami peran penting daftar (log), dan bagaimana cara menangkap data dalam jumlah mencukup untuk tujuan jejak audit.

Pengendalian Akses

    Tujuan dari pengendalian akses (access control) adalah untuk memastikan hanya personel yang sah saja memiliki akses ke aktiva perusahaan. Akses ke aktiva dapat bersifat langsung atau tidak langsung. Peralatan keamanan fisik, seperti kunci, lemari besi, pagar, dan sistem alarm elektronik serta infra merah, dapat mengendalikan akses langsung. Akses tidak langsung ke aktiva dapat dicapai dengan mendapatkan akses ke berbagai catatan dan dokumen yang mengendalikan penggunanya, kepemilikannya, dan disposisinya. Pengendalian akses yang dibutuhkan untuk melindungi berbagai catatan akuntansi akan tergantung pada karakteristik teknologi sistem akuntansinya.

    Dalam lingkungan IT, catatan akuntansi sering kali terkonsentrasi dalam pusat pemrosesan data pada perangkat penyimpanan data yang besar. Konsolidasi data mengekspos perusahaan ke dua bentuk ancaman: (1) penipuan komputer, dan (2) kerugian akibat bencana. Masalah lain yang hanya ada dalam lingkungan TI adalah mengendalikan akses ke program komputer. Kekhawatiran atas integritas aplikasi tetap ada ketika setelah implementasi dalam periode operasional siklus hidup sistem, yang disebut juga sebagai tahap pemeliharaan. Selama periode ini, yang mungkin memakan waktu bertahun-tahun, aplikasi biasa dapat dimodifikasi lusinan kali. Berbagai modifikasi ini menimbulkan peluang adanya kesalahan yang masuk tanpa sengaja dalam aplikasi dan peluang bagi pelaku kejahatan komputer untuk melakukan penipuan dengan membuat perubahan program yang ilegal.

Verifikasi Independen

    Prosedur verifikasi (verification procedure) adalah pemeriksaan independen terhadap sistem akuntansi untuk mendeteksi kesalahan dan kesalahan penyajian. Verifikasi dilakukan setelah kejadian, oleh seseorang yang bukan secara langsung terlibat dalam transaksi terkait atau pekerjaan laing yang diverifikasi. Melalui prosedur verifikasi independen, manajemen dapat menilai (1) kinerja perorangan, (2) integritas sistem pemrosesan transaksi, dan (3) kebenaran data yang berada dalam catatan akuntansi.

    Dalam lingkungan TI, program komputer melakukan banyak pekerjaan rutin. Sering kali, kebanyakan dari hal yang harus diperhatikan terletak pada integritas aplikasi. Para auditor TI melakukan fungsi verifikasi independen dengan mengevaluasi pengendalian atas pengembangan sistem dan aktivitas pemeliharaan serta kadang-kadang dengan mengkaji logika internal program.

B.2.    Mendapatkan Pemahaman Tentang SPI

    Apabila PDE digunakan dalam aplikasi akuntansi secara signifikan, auditor harus mendapatkan pemahaman tentang struktur pengendalian PDE yang memadai untuk merencanakan audit. Sifat dan luas prosedur yang harus dilakukan untuk mendapatkan pemahaman pengendalian PDE bervariasi sesuai dengan besar dan kompleksitas sistem PDE, dan sesuai pula dengan strategi audit awal yang digunakan untuk asersi-asersi spesifik yang dipengaruhi oleh aplikasi PDE.

    Dalam aplikasi-aplikasi yang menggunakan komputer mikro, auditor bisa memperoleh pemahaman dengan cara mengajukan pertanyaan kepada personil-personil klien,observasi atas pengoperasian komputer, dan inspeksi atas output yang dihasilkan komputer. Dalam aplikasi untuk mainframe, auditor biasanya perlu juga melakukan review atas dokumentasi, termasuk bagan alir dan manual. Dalam sistem PDE yang lebih maju, auditor mungkin memerlukan bantuan dari ahli PDE. Inspeksi atas laporan penyimpangan (exception reports) bisa membantu auditor dalam menentukan apakah pengendalian telah berjalan sebagaimana mestinya.

    Auditor harus mendapatkan pengetahuan yang memadai mengenai sistem PDE untuk memahami:

  • Kelompok-kelompok transaksi dalam operasi perusahaan klien yang diproses dengan sistem PDE yang signifikan pada laporan keuangan.
  • Catatan-catatan akuntansi, dokumen-dokumen pendukung, informasi yang bisa dibaca oleh mesin, dan rekening-rekening tertentu dalam laporan keuangan yang terlibat dalam proses PDE, serta pelaporan kelompok-kelompok transaksi yang signifikan tersebut.
  • Bagaimana komputer digunakan untuk mengolah data, mulai dari terjadinya transaksi sampai akhirnya masuk ke dalam laporan keuangan.
  • Jenis-jenis salah saji potensial yang dapat terjadi.

    Pemahaman auditor tentang struktur pengendalian PDE harus didokumentasikan dalam kertas kerja. Luasnya pendokumentasian tergantung pada besar serta kompleksitas struktur pengendalian. Dokumentasi dapat dibuat dalam bentuk daftar pertanyaan.

DAFTAR PUSTAKA


 

Hall Singleton, "Apa yang dimaksud dengan Audit Keuangan :Standar Audit," Information Technology Auditing and Assurance, (salemba empat, 2007), h. 8-10.

Hall Singleton, "Pernyataan Standar Audit No. 78," Information Technology Auditing and Assurance, (salemba empat, 2007), h. 28-40.

Jusup, Haryono, "Standar Profesional Akuntan Publik: Standar Auditing", Pengauditan Buku 1, (STIE YKPN, 2001), h. 25.

Jusup, Haryono, "Audit Laporan Keuangan dan Tanggung Jawab Auditor: Penerapan Standar Auditing dan Hubungan Antara Standar Auditing Dengan Prosedur Auditing", Pengauditan Buku 1, (STIE YKPN, 2001), h. 56-57.

Jusup, Haryono, "Pengauditan Sistem Pengolahan Data Elektronik: Mendapatkan Pemahaman Tentang SPI", Pengauditan Buku 1, (STIE YKPN, 2001), h. 525-528..


 


 


 

0 komentar:

Poskan Komentar