TEKNOLOGI INFORMASI AUDITING
Pada dasarnya, Audit TI dapat dibedakan menjadi dua kategori, yaitu Pengendalian Aplikasi (Application Control) dan Pengendalian Umum (General Control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang diguna-kan untuk melakukan pemrosesan data. Sementara, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data di-input secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Dalam audit terhadap aplikasi, biasanya, pemeriksaan atas pengendalian umum juga dilakukan mengingat pengendalian umum memiliki kontribusi terhadap efektifitas atas pengendalian-pengendalian aplikasi.
Dalam praktiknya, tahapan-tahapan dalam audit system informasi tidak berbeda dengan audit pada umumnya. Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu dilaku-kan agar auditor mengenal benar objek yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik ( best practices ). Tahapan perencanaan ini akan menghasilkan suatu pro-gram audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat dise-lesaikan dalam waktu sesuai yang disepakati.
Dalam pelaksanaannya, auditor system informasi mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan). Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis (data dalam bentuk file softcopy). Biasanya, auditor system informasi menerapkan teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
Sesuai dengan standar auditing ISACA (Information Systems Audit and Control Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan, rekomendasi sebagaimana layaknya lapor-an audit pada umumnya.
Dalam praktiknya, tahapan-tahapan dalam audit system informasi tidak berbeda dengan audit pada umumnya. Tahapan perencanaan, sebagai suatu pendahuluan, mutlak perlu dilaku-kan agar auditor mengenal benar objek yang akan diperiksa. Di samping, tentunya, auditor dapat memastikan bahwa qualified resources sudah dimiliki, dalam hal ini aspek SDM yang berpengalaman dan juga referensi praktik-praktik terbaik ( best practices ). Tahapan perencanaan ini akan menghasilkan suatu pro-gram audit yang didesain sedemikian rupa, sehingga pelaksanaannya akan berjalan efektif dan efisien, dan dilakukan oleh orang-orang yang kompeten, serta dapat dise-lesaikan dalam waktu sesuai yang disepakati.
Dalam pelaksanaannya, auditor system informasi mengumpulkan bukti-bukti yang memadai melalui berbagai teknik termasuk survei, interview, observasi dan review dokumentasi (termasuk review source-code bila diperlukan). Satu hal yang unik, bukti-bukti audit yang diambil oleh auditor biasanya mencakup pula bukti elektronis (data dalam bentuk file softcopy). Biasanya, auditor system informasi menerapkan teknik audit berbantuan komputer, disebut juga dengan CAAT (Computer Aided Auditing Technique). Teknik ini digunakan untuk menganalisa data, misalnya saja data transaksi penjualan, pembelian, transaksi aktivitas persediaan, aktivitas nasabah, dan lain-lain.
Sesuai dengan standar auditing ISACA (Information Systems Audit and Control Association), selain melakukan pekerjaan lapangan, auditor juga harus menyusun laporan yang mencakup tujuan pemeriksaan, sifat dan kedalaman pemeriksaan yang dilakukan. Laporan ini juga harus menyebutkan organisasi yang diperiksa, pihak pengguna laporan yang dituju dan batasan-batasan distribusi laporan. Laporan juga harus memasukkan temuan, kesimpulan, rekomendasi sebagaimana layaknya lapor-an audit pada umumnya.
Konsep-Konsep Audit
Konsep audit menggambarkan mengenai pedoman yang menyeluruh dalam melaksanakan proses audit. Sedangkan proses audit merupakan Proses yang sistematis, berkaitan dengan verifikasi dan atestasi yang bertujuan untuk membuktikan validitas dan kesesuaian antara informasi yang di audit dengan kriteria yang telah ditetapkan, serta menguji temuan-temuan tersebut dengan menerbitkan laporan yang sesuai dengan jenis dan tujuan audit. Lebih lanjut proses audit mengandung beberapa konsep sebagai berikut:
• Proses yang Sistematis, adalah proses terstruktur sebagai suatu aktivitas yang dinamis yang dilakukan secara logis
• Memperoleh dan menilai bukti, bukti bagi auditor merupakan informasi yang digunakan untuk menentukan aktivitas bisnis yang diaudit sesuai dengan kondisi yang sebenarnya
• Menentukan tingkat kesesuaian informasi dengan ketentuan yang berlaku, membandingkan antara kondisi sebenarnya dengan seharusnya atau menentukan tingkat kesesuaian kondisi dimaksud
• Melaporkan hasil audit, melaporkan hasil audit kepada pihak-pihak yang terkait
• Proses yang Sistematis, adalah proses terstruktur sebagai suatu aktivitas yang dinamis yang dilakukan secara logis
• Memperoleh dan menilai bukti, bukti bagi auditor merupakan informasi yang digunakan untuk menentukan aktivitas bisnis yang diaudit sesuai dengan kondisi yang sebenarnya
• Menentukan tingkat kesesuaian informasi dengan ketentuan yang berlaku, membandingkan antara kondisi sebenarnya dengan seharusnya atau menentukan tingkat kesesuaian kondisi dimaksud
• Melaporkan hasil audit, melaporkan hasil audit kepada pihak-pihak yang terkait
Langkah-langkah audit PDE :
1. Merencanakan pemeriksaan
Perencanaan audit memungkinkan bagi auditor :
1. Memperoleh bukti yang kompeten & cukup
2. Dapat melaksanakan audit secara effisien dengan biaya yang memadai
3. Menghindari kesalahpahaman yang bisa timbul dengan pihak yang diperiksa
Dalam audit PDE selain manfaat perencanaan audit, aditor juga dapat memanfaatkan sumber daya komputer dalam audit yang hendak dilaksanakannya. Dengan kata lain, apabila ia bermaksud melaksanakan audit dengan komputer maka ia dapat menggunakan komputer milik auditan maupun menggunakan komputer miliknya sendiri.
2. Memahami lingkungan komputer (computer environment)
Audit sekitar komputer dianggap riskan karena perubahan teknologi PDE yang semakin kompleks dan teritegrasi. Tahapan kedua ini harus dimengerti oleh salah satu atau seluruh auditor dalam suatu tim audit PDE. Pengetahuan & kompetensi auditor tentang komputer atau konsep PDE diperlukan sebagai alat bagi auditor untuk memilih dan menerapkan prosedur audit secara memadai. Selain itu, dalam memahami lingkungan komputer auditor dituntut pula memahami struktur pengendalian obyek yang diperiksa.
1. Merencanakan pemeriksaan
Perencanaan audit memungkinkan bagi auditor :
1. Memperoleh bukti yang kompeten & cukup
2. Dapat melaksanakan audit secara effisien dengan biaya yang memadai
3. Menghindari kesalahpahaman yang bisa timbul dengan pihak yang diperiksa
Dalam audit PDE selain manfaat perencanaan audit, aditor juga dapat memanfaatkan sumber daya komputer dalam audit yang hendak dilaksanakannya. Dengan kata lain, apabila ia bermaksud melaksanakan audit dengan komputer maka ia dapat menggunakan komputer milik auditan maupun menggunakan komputer miliknya sendiri.
2. Memahami lingkungan komputer (computer environment)
Audit sekitar komputer dianggap riskan karena perubahan teknologi PDE yang semakin kompleks dan teritegrasi. Tahapan kedua ini harus dimengerti oleh salah satu atau seluruh auditor dalam suatu tim audit PDE. Pengetahuan & kompetensi auditor tentang komputer atau konsep PDE diperlukan sebagai alat bagi auditor untuk memilih dan menerapkan prosedur audit secara memadai. Selain itu, dalam memahami lingkungan komputer auditor dituntut pula memahami struktur pengendalian obyek yang diperiksa.
3. Mengevaluasi pengendalian interen
Mengevaluasi pengendalian intern sering pula dikatakan mengakses risiko pengendalian yaitu : menilai effektivitas kebijakan dan prosedur struktur pengendalian intern dalam mencegah atau mendeteksi salah saji (misstatement). Tujuan dari memahami struktur pengendalian interen adalah:
1. Mengidentifikasi jenis-jenis kesalahan yang mungkin timbul
2. Mempertimbangkan faktor-faktor yang mempengaruhi risiko penyajian laporan keuangan yang secara material salah
3. Merancang pengujian-pengujian substantif
4. Dapat mengurangi prosedur audit lainnya
Mengetahui faktor-faktor yang mempengaruhi risiko karena kesalahan pengungkapan dalam informasi yang diaudit
Mengevaluasi pengendalian intern sering pula dikatakan mengakses risiko pengendalian yaitu : menilai effektivitas kebijakan dan prosedur struktur pengendalian intern dalam mencegah atau mendeteksi salah saji (misstatement). Tujuan dari memahami struktur pengendalian interen adalah:
1. Mengidentifikasi jenis-jenis kesalahan yang mungkin timbul
2. Mempertimbangkan faktor-faktor yang mempengaruhi risiko penyajian laporan keuangan yang secara material salah
3. Merancang pengujian-pengujian substantif
4. Dapat mengurangi prosedur audit lainnya
Mengetahui faktor-faktor yang mempengaruhi risiko karena kesalahan pengungkapan dalam informasi yang diaudit
4. Melakukan pengujian ketaatan dan pengujian substantif
Tujuan pengujian ketaatan adalah untuk menentukan apakah sistem pengendalian intern berjalan sebagaimana yang dikehendaki.
Tujuan pengujian substantif adalah untuk memvalidasi bahwa suatu transaksi ter-tentu yang telah diotorisasikan secara memadai, disertai bukti pendukung dan dicatat.
Tujuan pengujian ketaatan adalah untuk menentukan apakah sistem pengendalian intern berjalan sebagaimana yang dikehendaki.
Tujuan pengujian substantif adalah untuk memvalidasi bahwa suatu transaksi ter-tentu yang telah diotorisasikan secara memadai, disertai bukti pendukung dan dicatat.
5. Menyelesaikan pemeriksaan
Tahap akhir adalah penyampaian laoporan audit (audit report) sesuai dengan penugasan dan tujuan audit yang dilakukan. Penyelesaian audit berupa opini atas penyampaian laporan auditor sesuai penugasannya yaitu :
1. Pendapat wajar tanpa pengecualian (unqualified opinion)
2. Pendapat wajar tanpa pengecualian dengan pen-jelasan tambahan (unqualified opinion with notice)
3. Pendapat wajar dengan pengecualian (qualified opinion)
4. Pendapat tidak wajar (adverse opinion)
5. Pernyataan tidak memberikan pendapat (disclaimer)
Tahap akhir adalah penyampaian laoporan audit (audit report) sesuai dengan penugasan dan tujuan audit yang dilakukan. Penyelesaian audit berupa opini atas penyampaian laporan auditor sesuai penugasannya yaitu :
1. Pendapat wajar tanpa pengecualian (unqualified opinion)
2. Pendapat wajar tanpa pengecualian dengan pen-jelasan tambahan (unqualified opinion with notice)
3. Pendapat wajar dengan pengecualian (qualified opinion)
4. Pendapat tidak wajar (adverse opinion)
5. Pernyataan tidak memberikan pendapat (disclaimer)
Proses Audit
Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem komputer berjalan semestinya. Tujuh langkah proses audit:
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:
1. Audit subject. Menentukan apa yang akan diaudit.
2. Audit objective. Menentukan tujuan dari audit.
3. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit.
4. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
5. Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaa Spesifik pada tiap organisasi.
7. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.
8. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit.
Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
• Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit.
• Kesimpulan umum dari auditor.
• Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak
• Rekomendasi. Tanggapan dari manajemen (bila perlu).
• Exit interview. Interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih
1. Implementasikan sebuah strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak.
2. Tetapkan langkah-langkah audit yang rinci.
3. Gunakan fakta/bahan bukti yang cukup, handal, relevan, serta bermanfaat.
4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan.
5. Telaah apakah tujuan audit tercapai.
6. Sampaikan laporan kepada pihak yang berkepentingan.
7. Pastikan bahwa organisasi mengimplementasikan managemen risiko serta control practice.
Sebelum menjalankan proses audit, tentu saja proses audit harus direncanakan terlebih dahulu. Audit planning (perencanaan audit) harus secara jelas menerangkan tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit. Metodologi audit:
1. Audit subject. Menentukan apa yang akan diaudit.
2. Audit objective. Menentukan tujuan dari audit.
3. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit.
4. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit.
5. Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara.
6. Evaluasi hasil pengujian dan pemeriksaa Spesifik pada tiap organisasi.
7. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi.
8. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit.
Struktur dan isi laporan audit tidak baku, tapi umumnya terdiri atas:
• Pendahuluan. Tujuan, ruang lingkup, lamanya audit, prosedur audit.
• Kesimpulan umum dari auditor.
• Hasil audit. Apa yang ditemukan dalam audit, apakah prosedur dan kontrol layak atau tidak
• Rekomendasi. Tanggapan dari manajemen (bila perlu).
• Exit interview. Interview terakhir antara auditor dengan pihak manajemen untuk membicarakan temuan-temuan dan rekomendasi tindak lanjut. Sekaligus meyakinkan tim manajemen bahwa hasil audit sahih
Proses perencanaan audit terdiri dari:
1. Penetapan tipe resiko
2. Untuk setiap tipe resiko, ancaman, kelemahan system, dampak diberi skor/skala tinggi, cukup, rendah atau tidak ada
3. Hitung skor resiko:Resiko = ancaman x kelemahan x dampak
4. Urutkan resiko berdasarkan skor
5. Kaji ulang dan penyesuaian jika diperlukan
6. Buat rencana audit dengan prioritas resiko
7. Kaji ulang rencana dan penyesuaiannya
8. Laksanakan audit
Proses pemeriksaan Teknologi Sistem Informasi (TSI), dilakukan melalui tahap-tahap sebagai berikut:
1. Identifikasi spesifikasi system
2. Penilaian kompleksitas TSI
3. Penilaian resiko pra pemeriksaan
4. Pemeriksaan around the computer
5. Pemeriksaan through the computer
6. Pemeriksaan keuangan.
1. Penetapan tipe resiko
2. Untuk setiap tipe resiko, ancaman, kelemahan system, dampak diberi skor/skala tinggi, cukup, rendah atau tidak ada
3. Hitung skor resiko:Resiko = ancaman x kelemahan x dampak
4. Urutkan resiko berdasarkan skor
5. Kaji ulang dan penyesuaian jika diperlukan
6. Buat rencana audit dengan prioritas resiko
7. Kaji ulang rencana dan penyesuaiannya
8. Laksanakan audit
Proses pemeriksaan Teknologi Sistem Informasi (TSI), dilakukan melalui tahap-tahap sebagai berikut:
1. Identifikasi spesifikasi system
2. Penilaian kompleksitas TSI
3. Penilaian resiko pra pemeriksaan
4. Pemeriksaan around the computer
5. Pemeriksaan through the computer
6. Pemeriksaan keuangan.
Teknik Audit
Dengan semakin berkembangnya system informasi, maka auditor dituntut untuk menguasai proses sistem informasi yang dipakai klien dan Teknik Audit Berbantuan Komputer dengan menyesuaikan proses audit dan prosedur yang digunakan pada saat melaksanakan pekerjaan lapangan. Selain itu, auditor juga sudah seharusnya menyesuaikan teknik-teknik auditnya dengan sistem informasi klien, agar pelaksanaan auditing dapat berjalan dengan efektif dan efisien.
Perkembangan Pendekatan Audit Sistem Informasi
Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan terhadap pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh auditor dalam memeriksa laporan keuangan klien yang telah mempergunakan Sistem Informasi Akuntansi yaitu (Watne, 1990) :
1. Auditing Around The Computer
Pendekatan ini merupakan pendekatan yang mula-mula ditempuh oleh auditor. Dengan pendekatan ini komputer yang digunakan oleh perusahaan diperlakukan sebagai Black Box. Asumsi yang digunakan dalam pendekatan ini adalah bila sampel output dari suatu sistem ternyata benar berdasarkan masukan sistem tadi, maka pemrosesannya tentunya dapat diandalkan. Dalam pemeriksaan dengan pendekatan ini, auditor melakukan pemeriksaan di sekitar komputer saja.
2. Auditing With The Computer
Pendekatan ini digunakan untuk mengotomatisasi banyak kegiatan audit. Auditor memanfaatkan komputer sebagai alat bantu dalam melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini menggunakan perangkat lunak Generalized Audit Software, yaitu program audit yang berlaku umum untuk berbagai klien.
3. Auditing Through The Computer
Pendekatan ini lebih menekankan pada langkah pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang dengan baik dan memiliki aspek pengendalian yang memadai, maka kesalahan dan penyimpangan kemungkinan besar tidak terjadi.pendekatan ini biasanya diterapkan pada sistem pengolahan data on-line yang tidak memberikan jejak audit yang memadai
Regulasi Audit
Perkembangan Pendekatan Audit Sistem Informasi
Perkembangan teknologi informasi, perangkat lunak, sistem jaringan dan komunikasi dan otomatisasi dalam pengolahan data berdampak perkembangan terhadap pendekatan audit yang dilakukan, tiga pendekatan yang dilakukan oleh auditor dalam memeriksa laporan keuangan klien yang telah mempergunakan Sistem Informasi Akuntansi yaitu (Watne, 1990) :
1. Auditing Around The Computer
Pendekatan ini merupakan pendekatan yang mula-mula ditempuh oleh auditor. Dengan pendekatan ini komputer yang digunakan oleh perusahaan diperlakukan sebagai Black Box. Asumsi yang digunakan dalam pendekatan ini adalah bila sampel output dari suatu sistem ternyata benar berdasarkan masukan sistem tadi, maka pemrosesannya tentunya dapat diandalkan. Dalam pemeriksaan dengan pendekatan ini, auditor melakukan pemeriksaan di sekitar komputer saja.
2. Auditing With The Computer
Pendekatan ini digunakan untuk mengotomatisasi banyak kegiatan audit. Auditor memanfaatkan komputer sebagai alat bantu dalam melakukan penulisan, perhitungan, pembandingan dan sebagainya. Pendekatan ini menggunakan perangkat lunak Generalized Audit Software, yaitu program audit yang berlaku umum untuk berbagai klien.
3. Auditing Through The Computer
Pendekatan ini lebih menekankan pada langkah pemrosesan serta pengendalian program yang dilakukan oleh sistem komputer. Pendekatan ini mengasumsikan bahwa jika program pemrosesan dirancang dengan baik dan memiliki aspek pengendalian yang memadai, maka kesalahan dan penyimpangan kemungkinan besar tidak terjadi.pendekatan ini biasanya diterapkan pada sistem pengolahan data on-line yang tidak memberikan jejak audit yang memadai
Regulasi Audit
Aplikasi komputer dan telekomunikasi teknologi di bidang perbankan ( Banking TSI ) baru-baru ini berkembang pesat seiring dengan kemajuan teknologi informasi. Bank seakan berlomba-lomba menerapkan teknologi informasi ke dalam sistem. Karena pengelolaan teknologi informasi di bank dapat melakukan dengan sekelompok lebih efisien dan tentu saja dapat berdampak pada masyarakat semakin mudah dalam bertransaksi. Istilah ini mengacu pada ketentuan tentang penggunaan Sistem Informasi Teknologi ( TSI ) oleh bank yang dikeluarkan oleh Bank Indonesia. Keberhasilan bank akan sangat ditentukan kualitas kinerja TSI, yang akan terus dikembangkan secara luas untuk memenuhi kepentingan bisnis bank dan nasabahnya . Kecenderungan proses otomatisasi ini akan terus berlanjut di tahun-tahun mendatang, seiring dengan perkembangan perbankan nasional sebagai lembaga kepercayaan masyarakat dalam menjalankan fungsi sebagai perantara keuangan ( financial intermediary ) .
Bank Indonesia sebagai otoritas moneter telah mengeluarkan peraturan tentang penggunaan Sistem Informasi Teknologi ( TSI ) oleh bank. Melalui Keputusan Indonesia No . 27/164/KEP/DIR dan Surat Edaran Bank Indonesia Bank. 27/9/UPPB masing-masing tanggal 31 Maret 1995, menetapkan prinsip-prinsip yang perlu diperhatikan dalam pengelolaan bank yang baik TSI yang dilakukan oleh bank itu sendiri atau oleh pihak lain.
Memahami Sistem Teknologi Informasi :
Sistem Informasi Teknologi ( TSI ) adalah sistem pengolahan data keuangan dan layanan perbankan elektronik melalui komputer, telekomunikasi, dan sarana elektronik lainnya. Penggunaan TSI adalah untuk meningkatkan efektivitas dan efisiensi dalam pelaksanaan tugas dan pelayanan kepada masyarakat.
Penerapan teknologi informasi dilakukan pada saat itu :
1. Penggunaan Teknologi Informasi dalam Sistem Informasi Akuntansi
2. Penggunaan Teknologi dan Sistem Informasi Untuk Usaha Kecil
Bank Indonesia sebagai otoritas moneter telah mengeluarkan peraturan tentang penggunaan Sistem Informasi Teknologi ( TSI ) oleh bank. Melalui Keputusan Indonesia No . 27/164/KEP/DIR dan Surat Edaran Bank Indonesia Bank. 27/9/UPPB masing-masing tanggal 31 Maret 1995, menetapkan prinsip-prinsip yang perlu diperhatikan dalam pengelolaan bank yang baik TSI yang dilakukan oleh bank itu sendiri atau oleh pihak lain.
Memahami Sistem Teknologi Informasi :
Sistem Informasi Teknologi ( TSI ) adalah sistem pengolahan data keuangan dan layanan perbankan elektronik melalui komputer, telekomunikasi, dan sarana elektronik lainnya. Penggunaan TSI adalah untuk meningkatkan efektivitas dan efisiensi dalam pelaksanaan tugas dan pelayanan kepada masyarakat.
Penerapan teknologi informasi dilakukan pada saat itu :
1. Penggunaan Teknologi Informasi dalam Sistem Informasi Akuntansi
2. Penggunaan Teknologi dan Sistem Informasi Untuk Usaha Kecil
Sistem Informasi Teknologi ( TSI ) Perbankan
Siapapun Melayani Menggunakan Sistem Informasi Teknologi ?
1. TSI Dalam Masalah Panduan Penerapan Oleh Bank Sendiri
2. Melaksanakan TSI Manajemen Pengendalian
3. Melaksanakan fungsi INTERNAL AUDIT TSI
4. Apakah alat monitor
5. Melaksanakan pengawasan dan keamanan sistem
6. Memiliki Disaster Recovery Plan ( DRP )
TSI Dalam Masalah Pelaksanaan Pihak Ketiga Dilakukan Oleh :
1. Memastikan semua hal di titik III dipenuhi oleh penyedia layanan TSI
2. Untuk berkala mengevaluasi keandalan penyedia layanan TSI
3. Membuat perjanjian tertulis
4. Memberikan laporan ke BI
Siapapun Melayani Menggunakan Sistem Informasi Teknologi ?
1. TSI Dalam Masalah Panduan Penerapan Oleh Bank Sendiri
2. Melaksanakan TSI Manajemen Pengendalian
3. Melaksanakan fungsi INTERNAL AUDIT TSI
4. Apakah alat monitor
5. Melaksanakan pengawasan dan keamanan sistem
6. Memiliki Disaster Recovery Plan ( DRP )
TSI Dalam Masalah Pelaksanaan Pihak Ketiga Dilakukan Oleh :
1. Memastikan semua hal di titik III dipenuhi oleh penyedia layanan TSI
2. Untuk berkala mengevaluasi keandalan penyedia layanan TSI
3. Membuat perjanjian tertulis
4. Memberikan laporan ke BI
Fungsi TSI yang tepat tidak terlepas dari criteria pemilihan jenis teknologi yang akan digunakan oleh bank. Sistem aplikasi computer yang digunakan di bidang perbankan harus bisa mengakomodasikan semua kebutuhan bank dan sesuai dengan ketentuan otoritas moneter (salam hal ini adalah Bank Indonesia). Hal ini memerlukan pemilihan software computer mengingat jenis software yang ada dan ditawarkan di pasar relative banyak. Secara umum pemilihan ini berdasarkan kesesuaian antara kapasita bank dengan fasilitas atau kemampuan software yang akan dipilih sehingga investasi yang telah dikeluarkan benar-benar efektif dan memberikan nilai tambah terhadap bank.
Sebagai contoh, Bank yang kapasitasnya relative kecil, misalnya Bank Perkreditan Rakyat atau BPR kurang relevan bila menggunakan system aplikasi computer yang menyediakan fasilitas transaksi dalam valuta asing atau pengelolaan giro. Hal ini menginbgat bahwa BPR tidak boleh melakukan transaksi dalam valuta asing dan tidak ikut dalam lalu lintas pembayaran giral. Penggunaan software tersebut menjadi tidak efisien dan biaya investasinya lebih besar dibandingkan dengan nilai tambah yang dihasilkannya.
Manajemen Resiko
Sebagai contoh, Bank yang kapasitasnya relative kecil, misalnya Bank Perkreditan Rakyat atau BPR kurang relevan bila menggunakan system aplikasi computer yang menyediakan fasilitas transaksi dalam valuta asing atau pengelolaan giro. Hal ini menginbgat bahwa BPR tidak boleh melakukan transaksi dalam valuta asing dan tidak ikut dalam lalu lintas pembayaran giral. Penggunaan software tersebut menjadi tidak efisien dan biaya investasinya lebih besar dibandingkan dengan nilai tambah yang dihasilkannya.
Manajemen Resiko
FALSAFAH COSO
Makalah ini terfokus pada risiko auditor internal dan eksternal umumnya, audit laporan keuangan (LK) khususnya, dan lebih khususnya lagi pada risiko akuntan publik.
Bagi COSO, pengukuran-penetapan risiko adalah kegiatan penting bagi manajemen dan auditor internal korporasi, sehingga auditor internal harus paham proses dan sarana untuk identifikasi, penilaian, pengukuran dan penetapan tingkat risiko (risk assessment) sebagai dasar menyusun prosedur audit internal. COSO menyatakan bahwa setiap entitas menghadapi risiko internal dari luar, bahwa risiko-risiko tersebut harus didentifikasi dan dinilai-diukur terfokus pada pengamanan sasaran strategis korporasi.
Perubahan sosial-politik-ekonomi-industri-hukum dan perubahan kondisi operasional perusahaan teraudit mengandung risiko, manajemen perusahaan harus membentuk mekanisme untuk mengenali & menghadapi perubahan tersebut. Basis utama manajemen risiko adalah asesmen risiko. Untuk keberlangsungan usaha, asesmen risiko merupakan tanggungjawab manajemen yang bersifat integral dan terus menerus, karena manajemen tak dapat memformulasikan sasaran dengan asumsi sasaran akan tercapai tanpa risiko atau hambatan.
Contoh risiko, bahaya, ancaman, atau hambatan mencapai sasaran korporasi adalah :
• Pesaing meluncurkan produk baru
• Perubahan teknologi menyebabkan jasa atau produk tidak laku
• Manajer andalan tiba-tiba mengundurkan diri sebagai karyawan
• Formula rahasia dicuri dan dijual oleh karyawan kepada pesaing
• KKN menggerus laba dan membuat perusahaan keropos
Makalah ini terfokus pada risiko auditor internal dan eksternal umumnya, audit laporan keuangan (LK) khususnya, dan lebih khususnya lagi pada risiko akuntan publik.
Bagi COSO, pengukuran-penetapan risiko adalah kegiatan penting bagi manajemen dan auditor internal korporasi, sehingga auditor internal harus paham proses dan sarana untuk identifikasi, penilaian, pengukuran dan penetapan tingkat risiko (risk assessment) sebagai dasar menyusun prosedur audit internal. COSO menyatakan bahwa setiap entitas menghadapi risiko internal dari luar, bahwa risiko-risiko tersebut harus didentifikasi dan dinilai-diukur terfokus pada pengamanan sasaran strategis korporasi.
Perubahan sosial-politik-ekonomi-industri-hukum dan perubahan kondisi operasional perusahaan teraudit mengandung risiko, manajemen perusahaan harus membentuk mekanisme untuk mengenali & menghadapi perubahan tersebut. Basis utama manajemen risiko adalah asesmen risiko. Untuk keberlangsungan usaha, asesmen risiko merupakan tanggungjawab manajemen yang bersifat integral dan terus menerus, karena manajemen tak dapat memformulasikan sasaran dengan asumsi sasaran akan tercapai tanpa risiko atau hambatan.
Contoh risiko, bahaya, ancaman, atau hambatan mencapai sasaran korporasi adalah :
• Pesaing meluncurkan produk baru
• Perubahan teknologi menyebabkan jasa atau produk tidak laku
• Manajer andalan tiba-tiba mengundurkan diri sebagai karyawan
• Formula rahasia dicuri dan dijual oleh karyawan kepada pesaing
• KKN menggerus laba dan membuat perusahaan keropos
PENGGUNA HASIL PENILAIAN-PENETAPAN RISIKO
Analisis risiko digunakan untuk mengurangi risiko, makin kecil risiko maka makin besar kemungkinan meraih sasaran korporasi. Berbagai yurisdiksi hukum meminta setiap bank melakukan penilaian-risiko dan mengumumkan kondisi pengendalian internal kepada publik, auditor eksternal diwajibkan membuat atestasi tentang pernyataan bank tersebut & kondisi pengendalian internal bank, untuk melindungi deposito publik. Otoritas Pasar Modal AS (SEC) meminta semua emiten membuat Laporan Penilaian Risiko sejak 1979 untuk melindungi kepentingan investor. SAS 55 AICPA menyatakan bahwa auditor eksternal bertanggungjawab untuk memperoleh & memahami sistem pengendalian audit laporan keuangan. Akuntan publik juga membuat asessmen risiko terkait perencanaan audit LK, untuk mendeteksi risiko kegagalan auditor mencapai sasaran audit, untuk menentukan metode pengujian yang tepat menuju sasaran audit, antara lain perencanaan sampling dan penggunaan teknik audit secara tepat. Auditor internal harus selalu bertanya “Hal-hal apa saja yang mungkin tidak berjalan sesuai rencana?”, mengidentifikasi potensi kesalahan, menengarai gejala ketidakwajaran segala sesuatu yang memberi tanda-tanda bahaya atau tanda-tanda risiko. Auditor internal melakukan asesmen risiko untuk meyakini bahwa sarana-pengendalian tertentu masih berfungsi efektif.
Analisis risiko digunakan untuk mengurangi risiko, makin kecil risiko maka makin besar kemungkinan meraih sasaran korporasi. Berbagai yurisdiksi hukum meminta setiap bank melakukan penilaian-risiko dan mengumumkan kondisi pengendalian internal kepada publik, auditor eksternal diwajibkan membuat atestasi tentang pernyataan bank tersebut & kondisi pengendalian internal bank, untuk melindungi deposito publik. Otoritas Pasar Modal AS (SEC) meminta semua emiten membuat Laporan Penilaian Risiko sejak 1979 untuk melindungi kepentingan investor. SAS 55 AICPA menyatakan bahwa auditor eksternal bertanggungjawab untuk memperoleh & memahami sistem pengendalian audit laporan keuangan. Akuntan publik juga membuat asessmen risiko terkait perencanaan audit LK, untuk mendeteksi risiko kegagalan auditor mencapai sasaran audit, untuk menentukan metode pengujian yang tepat menuju sasaran audit, antara lain perencanaan sampling dan penggunaan teknik audit secara tepat. Auditor internal harus selalu bertanya “Hal-hal apa saja yang mungkin tidak berjalan sesuai rencana?”, mengidentifikasi potensi kesalahan, menengarai gejala ketidakwajaran segala sesuatu yang memberi tanda-tanda bahaya atau tanda-tanda risiko. Auditor internal melakukan asesmen risiko untuk meyakini bahwa sarana-pengendalian tertentu masih berfungsi efektif.
PERENCANAAN ASESMEN RISIKO
Perencanaan audit internal harus berbasis pengetahuan akan risiko kegagalan organisasi dalam mencapai tujuan. Perencanaan strategis perusahaan mencakupi pertimbangan risiko kegagalan organisasi. Manajemen risiko berpengaruh pada perencanaan audit. Auditor melakukan evaluasi kendali internal sebagai sarana penghindaran risiko.
Perencanaan audit internal harus berbasis pengetahuan akan risiko kegagalan organisasi dalam mencapai tujuan. Perencanaan strategis perusahaan mencakupi pertimbangan risiko kegagalan organisasi. Manajemen risiko berpengaruh pada perencanaan audit. Auditor melakukan evaluasi kendali internal sebagai sarana penghindaran risiko.
PERLUASAN AUDIT BERBASIS RISIKO
Pada awalnya, kegiatan audit dimulai dengan observasi terhadap control (pengendalian), analisis pengendalian, disusul kegiatan analisis risiko tiap jenis operasi korporasi tersebut dan analisis keselarasan aktivitas dengan sasaran korporasi.
Perluasan Audit Berbasis Risiko mencakupi kegiatan identifikasi, pengukuran dan analisis risiko, lalu memilih aktivitas strategis terkait manajemen risiko sbb:
Pada awalnya, kegiatan audit dimulai dengan observasi terhadap control (pengendalian), analisis pengendalian, disusul kegiatan analisis risiko tiap jenis operasi korporasi tersebut dan analisis keselarasan aktivitas dengan sasaran korporasi.
Perluasan Audit Berbasis Risiko mencakupi kegiatan identifikasi, pengukuran dan analisis risiko, lalu memilih aktivitas strategis terkait manajemen risiko sbb:
1. Mengendalikan risiko, aktivitas pengurangan risiko, besar risiko, jumlah risiko atau frekuensi terjadinya risiko
2. Menerima risiko dan/atau risiko residual (setelah segala upaya mitigasi risiko dilakukan)
3. Menghindari risiko, merancang ulang proses bisnis yang tak berkonsekuensi risiko tertentu
4. Pembagian risiko, pembelahan risiko, memikul risiko beramai-ramai (risk sharing) atau transfer risiko ke unit organisasi lain (bagian lain) atau pihak ketiga (di luar korporasi) yang lebih mampu mengelola-mengendalikan risiko tersebut
2. Menerima risiko dan/atau risiko residual (setelah segala upaya mitigasi risiko dilakukan)
3. Menghindari risiko, merancang ulang proses bisnis yang tak berkonsekuensi risiko tertentu
4. Pembagian risiko, pembelahan risiko, memikul risiko beramai-ramai (risk sharing) atau transfer risiko ke unit organisasi lain (bagian lain) atau pihak ketiga (di luar korporasi) yang lebih mampu mengelola-mengendalikan risiko tersebut
AUDIT INTERNAL DAN MANAJEMEN RISIKO
Tugas auditor internal antara lain adalah meng-audit risiko; melakukan evaluasi risiko, mengusulkan pendirian manajemen risiko sambil menjelaskan manfaat manajemen risiko, atau menyatakan dukungan atas program manajemen risiko. Auditor internal menerima instruksi & bagian peran audit internal dalam manajemen risiko dari Dewan Audit atau Komite Audit, agar secara independen auditor mengevaluasi manajemen risiko dan program memerangi risiko. Auditor internal pada umumnya bersikap abstain untuk manajemen risiko departemen auditor internal sendiri, kecuali diminta Dewan Audit untuk melakukan self-assessment.
Tugas auditor internal antara lain adalah meng-audit risiko; melakukan evaluasi risiko, mengusulkan pendirian manajemen risiko sambil menjelaskan manfaat manajemen risiko, atau menyatakan dukungan atas program manajemen risiko. Auditor internal menerima instruksi & bagian peran audit internal dalam manajemen risiko dari Dewan Audit atau Komite Audit, agar secara independen auditor mengevaluasi manajemen risiko dan program memerangi risiko. Auditor internal pada umumnya bersikap abstain untuk manajemen risiko departemen auditor internal sendiri, kecuali diminta Dewan Audit untuk melakukan self-assessment.
RISIKO AUDIT LAPORAN KEUANGAN
Persoalan auditor eksternal sebagai berikut berlaku bagi auditor internal yang mengaudit Laporan Keuangan; bahwa risiko auditor terbesar adalah tak mengetahui (gagal untuk mengetahui) hal-hal yang seharusnya mengubah opini auditor terhadap Laporan Keuangan yang mengandung salah-saji secara material. Auditor harus memertimbangkan sifat & kualitas manajemen, sifat industri, sifat operasi, dan bentuk atau sifat penugasan auditor eksternal.
Sebagai contoh, sifat dan kualitas manajemen yang mengandung risiko audit adalah
• Keputusan manajemen ditangan satu orang, misalnya CEO merangkap PS utama
• Manajemen bersikap amat agresif terhadap pelaporan LK (laporan keuangan, misalnya perusahaan publik dan bank butuh opini WTP dari Audit Eksternal)
• Mutasi manajemen amat tinggi
• Manajemen amat berkepentingan utk mencapai proyeksi laba
• Reputasi buruk manajemen di mata publik
Persoalan auditor eksternal sebagai berikut berlaku bagi auditor internal yang mengaudit Laporan Keuangan; bahwa risiko auditor terbesar adalah tak mengetahui (gagal untuk mengetahui) hal-hal yang seharusnya mengubah opini auditor terhadap Laporan Keuangan yang mengandung salah-saji secara material. Auditor harus memertimbangkan sifat & kualitas manajemen, sifat industri, sifat operasi, dan bentuk atau sifat penugasan auditor eksternal.
Sebagai contoh, sifat dan kualitas manajemen yang mengandung risiko audit adalah
• Keputusan manajemen ditangan satu orang, misalnya CEO merangkap PS utama
• Manajemen bersikap amat agresif terhadap pelaporan LK (laporan keuangan, misalnya perusahaan publik dan bank butuh opini WTP dari Audit Eksternal)
• Mutasi manajemen amat tinggi
• Manajemen amat berkepentingan utk mencapai proyeksi laba
• Reputasi buruk manajemen di mata publik
Sebagai contoh, sifat Industri dan operasi yang mengandung risiko audit adalah
• Kemampulabaan entitas dibawah rerata kemampulabaan industri sejenis
• Laba tidak konsisten
• Kinerja amat dipengaruhi faktor eksternal
• Entitas berada dalam industri turun-daun
• Desentralisasi kekuasaan tidak dilengkapi penguatan pengendalian
• Entitas kelihatannya tidak akan going concern
• Kemampulabaan entitas dibawah rerata kemampulabaan industri sejenis
• Laba tidak konsisten
• Kinerja amat dipengaruhi faktor eksternal
• Entitas berada dalam industri turun-daun
• Desentralisasi kekuasaan tidak dilengkapi penguatan pengendalian
• Entitas kelihatannya tidak akan going concern
Sebagai contoh, sifat penugasan audit yang mengandung risiko audit laporan keuangan adalah
• Banyak perkecualian, banyak isu akuntansi
• Banyak transaksi atau saldo sulit di audit
• Banyak transaksi hubungan istimewa yang tidak lazim
• Sejarah salah saji, sejarah temuan audit jenis-kesalahan-berulang.
• Banyak perkecualian, banyak isu akuntansi
• Banyak transaksi atau saldo sulit di audit
• Banyak transaksi hubungan istimewa yang tidak lazim
• Sejarah salah saji, sejarah temuan audit jenis-kesalahan-berulang.
Untuk mengurangi risiko, auditor wajib mendapatkan asersi LK berupa pernyataan (semacam pernyataan jaminan) manajemen (management representation) tentang (1) eksistensi, (2) kelengkapan, (3) hak dan kewajiban, (4) evaluasi dan alokasi, (5) penyajian dan pengungkapan berbagai akun dan pos penting Laporan Keuangan.
Sebagai misal, risiko audit pada tataran saldo akun catatan akuntansi, pos laporan keuangan dan kelompok transaksi sejenis adalah
• Salah saji akun tersebut
• Salah saji akun tersebut dalam kaitan dengan akun lain (inherent risk atau control risk)
• Risiko bahwa auditor gagal menemukan salah buku dan atau salah saji yang ada (detection risk).
Sebagai misal, risiko audit pada tataran saldo akun catatan akuntansi, pos laporan keuangan dan kelompok transaksi sejenis adalah
• Salah saji akun tersebut
• Salah saji akun tersebut dalam kaitan dengan akun lain (inherent risk atau control risk)
• Risiko bahwa auditor gagal menemukan salah buku dan atau salah saji yang ada (detection risk).
Pada standar auditing, pertimbangan auditor dalam evaluasi risiko saldo akun dan jenis transaksi, misalnya adalah
• Dampak risiko-teridentifikasi pada laporan keuangan.
• Kerumitan isu akuntansi
• Frekuensi transaksi sulit-diaudit.
• Temuan salah-saji pada audit terdahulu.
• Kemungkinan salah apropriasi aset.
• Kualitas SDM proses-data.
• Unsur pertimbangan dalam penetapan saldo akun.
• Besar suatu pos dalam neraca.
• Kerumitan kalkulasi tertentu.
RISIKO INHEREN
Risiko salah saji laporan keuangan terkait risiko bawaan karena jenis bisnis, jenis industri, jenis operasi khas industri tersebut dan risiko salah saji karena pengendalian internal lemah atau tidak ada.
Sebagai contoh:
1. Valuasi piutang dagang, asersi keberadaan piutang dagang oleh manajemen, terkait kecemasan auditor tentang going concern.
2. Kalkulasi beban pensiun, metode penyusutan aset tetap dan kalkulasi beban penyusutan aset tetap
3. Kas lebih rentan pencurian dibanding persediaan.
4. Perubahan teknologi menyebabkan aset tetap padat teknologi harus di hapus-buku lebih cepat lantaran ketinggaalan teknologi.
5. Lapping banyak terjadi pada industri perbankan, dana pensiun, asuransi. KKN pada akun tabungan berjangka lebih banyak terjadi pada demand deposit.
6. Berbagai perusahaan memilih tak menggunakan pedoman sistem & prosedur (tertulis & kaku) untuk meningkatkan kreativitas dan layanan pelanggan.
7. Moral, standar etika, misalnya uang tip boleh diterima, itu rezeki anda, merupakan risiko budaya.
• Dampak risiko-teridentifikasi pada laporan keuangan.
• Kerumitan isu akuntansi
• Frekuensi transaksi sulit-diaudit.
• Temuan salah-saji pada audit terdahulu.
• Kemungkinan salah apropriasi aset.
• Kualitas SDM proses-data.
• Unsur pertimbangan dalam penetapan saldo akun.
• Besar suatu pos dalam neraca.
• Kerumitan kalkulasi tertentu.
RISIKO INHEREN
Risiko salah saji laporan keuangan terkait risiko bawaan karena jenis bisnis, jenis industri, jenis operasi khas industri tersebut dan risiko salah saji karena pengendalian internal lemah atau tidak ada.
Sebagai contoh:
1. Valuasi piutang dagang, asersi keberadaan piutang dagang oleh manajemen, terkait kecemasan auditor tentang going concern.
2. Kalkulasi beban pensiun, metode penyusutan aset tetap dan kalkulasi beban penyusutan aset tetap
3. Kas lebih rentan pencurian dibanding persediaan.
4. Perubahan teknologi menyebabkan aset tetap padat teknologi harus di hapus-buku lebih cepat lantaran ketinggaalan teknologi.
5. Lapping banyak terjadi pada industri perbankan, dana pensiun, asuransi. KKN pada akun tabungan berjangka lebih banyak terjadi pada demand deposit.
6. Berbagai perusahaan memilih tak menggunakan pedoman sistem & prosedur (tertulis & kaku) untuk meningkatkan kreativitas dan layanan pelanggan.
7. Moral, standar etika, misalnya uang tip boleh diterima, itu rezeki anda, merupakan risiko budaya.
RISIKO PENGENDALIAN
Risiko peengendalian mencakupi risiko salah saji laporan keuangan tak tercegah atau tak tertemukan pada bingkai waktu tertentu oleh struktur pengendalian internal, kebijakan atau prosedur. Berbagai control risk selalu ada karena keterbatasan inheren dari struktur pengendalian internal. Bila kebijakan dan prosedur tak berjalan efektif, maka auditor melakukan penilaian control risk sebanyak mungkin, dengan catatan bahwa biaya pengendalian risiko harus lebih kecil dari manfaat pengendalian risiko. Pada umumnya, pengendalian inheren tak mampu membuat risiko menjadi 0%, diperangi atau dikurangi dengan strategi-sistem-prosedur terkait control risk. Control risk dirancang utk menekan risiko-residual tersebut sedapat-dapatnya, lalu sisa risiko selanjutnya menjadi tugas strategi deteksi, sistem-prosedur deteksi penyimpangan, KKN dan salah saji material.
Risiko peengendalian mencakupi risiko salah saji laporan keuangan tak tercegah atau tak tertemukan pada bingkai waktu tertentu oleh struktur pengendalian internal, kebijakan atau prosedur. Berbagai control risk selalu ada karena keterbatasan inheren dari struktur pengendalian internal. Bila kebijakan dan prosedur tak berjalan efektif, maka auditor melakukan penilaian control risk sebanyak mungkin, dengan catatan bahwa biaya pengendalian risiko harus lebih kecil dari manfaat pengendalian risiko. Pada umumnya, pengendalian inheren tak mampu membuat risiko menjadi 0%, diperangi atau dikurangi dengan strategi-sistem-prosedur terkait control risk. Control risk dirancang utk menekan risiko-residual tersebut sedapat-dapatnya, lalu sisa risiko selanjutnya menjadi tugas strategi deteksi, sistem-prosedur deteksi penyimpangan, KKN dan salah saji material.
RISIKO DETEKSI
Risiko deteksi berbentuk risiko auditor tak mampu mendeteksi salah-saji-material yang sebetulnya ada.
Risiko deteksi muncul karena
1. Auditor tak memeriksa 100% saldo akun-akun.
2. Ketidakpastian, kesalahan merancang prosedur audit, salah terap prosedur audit, salah tafsir terhadap hasil audit.
Risiko deteksi berbentuk risiko auditor tak mampu mendeteksi salah-saji-material yang sebetulnya ada.
Risiko deteksi muncul karena
1. Auditor tak memeriksa 100% saldo akun-akun.
2. Ketidakpastian, kesalahan merancang prosedur audit, salah terap prosedur audit, salah tafsir terhadap hasil audit.
Hubungan risiko terformula standar audit adalah bahwa audit risk = inherent risk X control risk X detection risk, dimana Detection Risk = Audit Risk/(Inherent Risk X Control Risk), dan Inherent risk dan control risk terjadi di luar kekuasaan auditor.
Auditor hanya dapat mengurangi detection risk, makin besar inherent risk dan control risk, makin besar bukti audit (audit sampling, observasi dll) harus dikumpulkan. Sebagai catatan pemakalah, program audit untuk deteksi salah saji material mirip dengan fraud auditing, prosedur dirancang berbasis kecurigaan salah saji, jumlah sample diperbanyak (sampai 100% atau full audit) pada wilayah kecurigaan tersebut.
Inherent risk terkait pada
• Jenis bisnis, jenis industri
• Jenis aktivitas, rantai nilai
• Gaya manajemen
• Iklim / atmosfer manajemen
Sebagai misal, bagi BPKP sebagai internal auditor NKRI :
• Dua Pemda pada dasarnya mempunyai inherent risk serupa, karena keduanya adalah daerah otonom sederajat.
• Inherent risk menjadi berbeda karena : Pemda A mempunyai Kepala Pemda yang kuat, bersih dan professional, mempunyai DPRD yang lemah, rakyat yang antusias memberi kritik dan membantu Pemda. Pemda B mempunyai Kepala Pemda yang lemah, DPRD yang kuat, dan rakyat yang apatis.
Auditor hanya dapat mengurangi detection risk, makin besar inherent risk dan control risk, makin besar bukti audit (audit sampling, observasi dll) harus dikumpulkan. Sebagai catatan pemakalah, program audit untuk deteksi salah saji material mirip dengan fraud auditing, prosedur dirancang berbasis kecurigaan salah saji, jumlah sample diperbanyak (sampai 100% atau full audit) pada wilayah kecurigaan tersebut.
Inherent risk terkait pada
• Jenis bisnis, jenis industri
• Jenis aktivitas, rantai nilai
• Gaya manajemen
• Iklim / atmosfer manajemen
Sebagai misal, bagi BPKP sebagai internal auditor NKRI :
• Dua Pemda pada dasarnya mempunyai inherent risk serupa, karena keduanya adalah daerah otonom sederajat.
• Inherent risk menjadi berbeda karena : Pemda A mempunyai Kepala Pemda yang kuat, bersih dan professional, mempunyai DPRD yang lemah, rakyat yang antusias memberi kritik dan membantu Pemda. Pemda B mempunyai Kepala Pemda yang lemah, DPRD yang kuat, dan rakyat yang apatis.
RISK INVENTORY
Daftar risiko paripurna diperoleh dari konsolidasi pengorganisasian manajemen risiko sebagai kerangka dasar risiko bagi seluruh korporasi.
Sebagai contoh, external risk inventory mencakupi antara lain
• Risiko lingkungan
• Kemungkinan bencana alam
• Pasar uang
• Rating
Sebagai contoh, internal risk inventory antara lain adalah
• SDM
• Integritas
• IT
• Akuntansi dan pelaporan
• Keuangan
Auditor wajib membuat top minds of risks melalui rating risiko, pembuatan daftar risiko terbesar, ancaman terbesar yang harus dipertimbangkan pada penyusunan rencana strategis, diikuti pemutahiran risk inventory secara berkala. Auditor wajib membuat daftar pemicu risiko menjadi kenyataan-bencana. Direksi korporasi wajib memberi fasilitas diskusi risiko bisnis, membangun infrastruktur pemantau risiko bisnis, membangun sistem identifikasi jenis baru risiko. Auditor internal harus bersikap proaktif terhadap risiko, jangan mengandalkan deteksi risiko telah (terlanjur) menjadi kenyataan, menjamin bahwa jumlah SDM pakar risiko harus seimbang dengan besar & kerumitan korporasi.
Daftar risiko paripurna diperoleh dari konsolidasi pengorganisasian manajemen risiko sebagai kerangka dasar risiko bagi seluruh korporasi.
Sebagai contoh, external risk inventory mencakupi antara lain
• Risiko lingkungan
• Kemungkinan bencana alam
• Pasar uang
• Rating
Sebagai contoh, internal risk inventory antara lain adalah
• SDM
• Integritas
• IT
• Akuntansi dan pelaporan
• Keuangan
Auditor wajib membuat top minds of risks melalui rating risiko, pembuatan daftar risiko terbesar, ancaman terbesar yang harus dipertimbangkan pada penyusunan rencana strategis, diikuti pemutahiran risk inventory secara berkala. Auditor wajib membuat daftar pemicu risiko menjadi kenyataan-bencana. Direksi korporasi wajib memberi fasilitas diskusi risiko bisnis, membangun infrastruktur pemantau risiko bisnis, membangun sistem identifikasi jenis baru risiko. Auditor internal harus bersikap proaktif terhadap risiko, jangan mengandalkan deteksi risiko telah (terlanjur) menjadi kenyataan, menjamin bahwa jumlah SDM pakar risiko harus seimbang dengan besar & kerumitan korporasi.
PERTANYAAN DASAR AUDITOR TENTANG RISIKO
• Apa temuan audit terdahulu?
• Berapa lama audit terdahulu terakhir dilakukan?
• Berapa sering audit terdahulu dilakukan?
• Perubahan mendasar apa saja yang terjadi pada sistem tata cara kerja?
• Perubahan mendasar apa saja terjadi pada manajemen SDM dan kualitas SDM korporasi?
• Perubahan mendasar produk/jasa utama yang mengubah risiko korporasi?
• Bagaimana perbandingan nilai rupiah biaya & sarana pengendalian internal dengan nilai rupiah aset yang dikendalikan?
• Berapa besar volume transaksi, frekuensi transaksi utama?
• Berapa likuid dan/atau luwes (fleksibel) seluruh aset korporasi?
• Bagaimana kesehatan pemisahan pekerjaan, tugas, dan tanggungjawab departemental dan individu?
• Berapa besar pengaruh manajemen informasi terhadap sukses kegagalan korporasi?
• Berapa besar tekanan pencapaian target penjualan, laba, dividen dan kewajiban pertumbuhan semua itu?
• Bagaimana ketat-longgar peraturan per UU berdampak pada korporasi?
• Berapa sering terjadi kasus pelanggaran etika?
• Berapa tinggi tingkat pengetahuan, keterampilan, pengalaman untuk setiap tugas strategis dalam korporasi, yang menyulitkan manajemen SDM?
• Siapa saja bertugas sebagai wakil perusahaan menghadapi pelanggan, pemasok, pemerintah & pengawas perusahaan?
• Berapa rumit dan canggih kegiatan operasional perusahaan?
• Berapa besar pengaruh LK Auditan terhadap sentimen harga saham, citra perusahaan dan pemangku kepentingan kepada perusahaan.
CONTOH PRAKTIK STRATEGI MANAJEMEN RISIKO
Evaluasi risiko adalah tugas integral dari auditor internal, risiko menurut kelompok probabilitas terjadinya. Auditor menentukan jenis risiko, tingkat risiko, audit program berbasis risiko dan melakukan audit sub-proses kunci, fungsi kunci, aktivitas kunci. Risiko bisnis-bisnis universal terkait auditing adalah sbb :
• Apa temuan audit terdahulu?
• Berapa lama audit terdahulu terakhir dilakukan?
• Berapa sering audit terdahulu dilakukan?
• Perubahan mendasar apa saja yang terjadi pada sistem tata cara kerja?
• Perubahan mendasar apa saja terjadi pada manajemen SDM dan kualitas SDM korporasi?
• Perubahan mendasar produk/jasa utama yang mengubah risiko korporasi?
• Bagaimana perbandingan nilai rupiah biaya & sarana pengendalian internal dengan nilai rupiah aset yang dikendalikan?
• Berapa besar volume transaksi, frekuensi transaksi utama?
• Berapa likuid dan/atau luwes (fleksibel) seluruh aset korporasi?
• Bagaimana kesehatan pemisahan pekerjaan, tugas, dan tanggungjawab departemental dan individu?
• Berapa besar pengaruh manajemen informasi terhadap sukses kegagalan korporasi?
• Berapa besar tekanan pencapaian target penjualan, laba, dividen dan kewajiban pertumbuhan semua itu?
• Bagaimana ketat-longgar peraturan per UU berdampak pada korporasi?
• Berapa sering terjadi kasus pelanggaran etika?
• Berapa tinggi tingkat pengetahuan, keterampilan, pengalaman untuk setiap tugas strategis dalam korporasi, yang menyulitkan manajemen SDM?
• Siapa saja bertugas sebagai wakil perusahaan menghadapi pelanggan, pemasok, pemerintah & pengawas perusahaan?
• Berapa rumit dan canggih kegiatan operasional perusahaan?
• Berapa besar pengaruh LK Auditan terhadap sentimen harga saham, citra perusahaan dan pemangku kepentingan kepada perusahaan.
CONTOH PRAKTIK STRATEGI MANAJEMEN RISIKO
Evaluasi risiko adalah tugas integral dari auditor internal, risiko menurut kelompok probabilitas terjadinya. Auditor menentukan jenis risiko, tingkat risiko, audit program berbasis risiko dan melakukan audit sub-proses kunci, fungsi kunci, aktivitas kunci. Risiko bisnis-bisnis universal terkait auditing adalah sbb :
The business risks are : Impact
1. Erroneous Financial Records Financial statements and financial management records, recording, classification value, or time.
2. Unacceptable Accounting Principles Procedures inconsistent with accounting standards or inappropriate to the circumstances.
3. Business Interruption Significant impairment to ability to provide service or to function.
4. Government Criticism or Legal Action Penalties brought by judicial, regulatory, or government authorities.
5. Excessive Costs Any expenditures, capital or expense, that could have been avoided or lessened.
6. Deficient Revenues Loss of income or compensation to which entitled. Market share.
7. Destruction or Loss of Assets Reduction in value or loss of facilities, equipment, material, cash, or claims to monies or data.
8. Competitive Disadvantage and Public / Customer Dissatisfaction Inability to remain abreast of demands of the marketplace or to respond effectively to competitive challenge.
9. Fraud and Conflict or interest Intentional abuse of policies, rules or ethics, or erosion of basic honesty. Monetary aspects or misleading information.
10. Erroneous Management Policies or Decisions Integrity of information for management decision-making causing inappropriate planning, organizing, directing, etc.
1. Erroneous Financial Records Financial statements and financial management records, recording, classification value, or time.
2. Unacceptable Accounting Principles Procedures inconsistent with accounting standards or inappropriate to the circumstances.
3. Business Interruption Significant impairment to ability to provide service or to function.
4. Government Criticism or Legal Action Penalties brought by judicial, regulatory, or government authorities.
5. Excessive Costs Any expenditures, capital or expense, that could have been avoided or lessened.
6. Deficient Revenues Loss of income or compensation to which entitled. Market share.
7. Destruction or Loss of Assets Reduction in value or loss of facilities, equipment, material, cash, or claims to monies or data.
8. Competitive Disadvantage and Public / Customer Dissatisfaction Inability to remain abreast of demands of the marketplace or to respond effectively to competitive challenge.
9. Fraud and Conflict or interest Intentional abuse of policies, rules or ethics, or erosion of basic honesty. Monetary aspects or misleading information.
10. Erroneous Management Policies or Decisions Integrity of information for management decision-making causing inappropriate planning, organizing, directing, etc.
SUMBER
https://www.academia.edu/19603509/fungsi_manajemen_resiko_dan_internal_audit
http://crmsindonesia.org/publications/manajemen-risiko-bagi-auditor-part-1/
https://www.slideshare.net/mariasofiii/kertas-kerja-audit-57561310
http://feryvalentinoblogspot.blogspot.co.id/2015/04/prosedur-dan-lembar-kerja-it-audit.html
http://billymerkava.blogspot.co.id/2013/01/apa-saja-yang-perlu-diperhatikan-untuk.html
https://id.wikipedia.org/wiki/Audit_teknologi_informasi
http://untag-maulana.blogspot.co.id/2015/03/audit-sistem-aplikasi-4.html
http://keuanganlsm.com/kertas-kerja-pemeriksaan-audit-working-paper/
https://rizki1350.wordpress.com/category/etika-profesialisme-tsi/
http://sis.binus.ac.id/2017/01/23/perbankan-sistem-informasi-teknologi-tsi/
http://blog.pasca.gunadarma.ac.id/2012/06/07/audit-sistem-informasi-akuntansi-teknologi-sistem-informasi/
http://wartawarga.gunadarma.ac.id/2013/01/hal-hal-yang-perlu-diperhatikan-untuk-melakukan-audit-teknologi-sistem-informasi-tsi-pretest/
http://ftp.gunadarma.ac.id/linux/docs/v06/Kuliah/SistemOperasi/BUKU/SistemOperasi-4.X-2/ch22s10.html
http://blog.pasca.gunadarma.ac.id/2012/07/25/teknologi-sistem-informasi-tsi/
http://ftp.gunadarma.ac.id/linux/docs/v06/Kuliah/SistemOperasi/BUKU/SistemOperasi-4.X-2/ch22s10.html
http://zetzu.blogspot.co.id/2010/09/tugas-audit-pde.html
http://blog.pasca.gunadarma.ac.id/2012/06/07/audit-sistem-informasi-akuntansi-teknologi-sistem-informasi/
https://anjaruntoro.wordpress.com/2013/01/24/tahap-tahap-dalam-audit-teknologi-sistem-informasi/
http://crmsindonesia.org/publications/manajemen-risiko-bagi-auditor-part-1/
https://www.slideshare.net/mariasofiii/kertas-kerja-audit-57561310
http://feryvalentinoblogspot.blogspot.co.id/2015/04/prosedur-dan-lembar-kerja-it-audit.html
http://billymerkava.blogspot.co.id/2013/01/apa-saja-yang-perlu-diperhatikan-untuk.html
https://id.wikipedia.org/wiki/Audit_teknologi_informasi
http://untag-maulana.blogspot.co.id/2015/03/audit-sistem-aplikasi-4.html
http://keuanganlsm.com/kertas-kerja-pemeriksaan-audit-working-paper/
https://rizki1350.wordpress.com/category/etika-profesialisme-tsi/
http://sis.binus.ac.id/2017/01/23/perbankan-sistem-informasi-teknologi-tsi/
http://blog.pasca.gunadarma.ac.id/2012/06/07/audit-sistem-informasi-akuntansi-teknologi-sistem-informasi/
http://wartawarga.gunadarma.ac.id/2013/01/hal-hal-yang-perlu-diperhatikan-untuk-melakukan-audit-teknologi-sistem-informasi-tsi-pretest/
http://ftp.gunadarma.ac.id/linux/docs/v06/Kuliah/SistemOperasi/BUKU/SistemOperasi-4.X-2/ch22s10.html
http://blog.pasca.gunadarma.ac.id/2012/07/25/teknologi-sistem-informasi-tsi/
http://ftp.gunadarma.ac.id/linux/docs/v06/Kuliah/SistemOperasi/BUKU/SistemOperasi-4.X-2/ch22s10.html
http://zetzu.blogspot.co.id/2010/09/tugas-audit-pde.html
http://blog.pasca.gunadarma.ac.id/2012/06/07/audit-sistem-informasi-akuntansi-teknologi-sistem-informasi/
https://anjaruntoro.wordpress.com/2013/01/24/tahap-tahap-dalam-audit-teknologi-sistem-informasi/
Tidak ada komentar:
Posting Komentar