download

1
PROGRAM KERJA & LAPORAN AUDIT
Program Audit
Pendahuluan
Salah satu tahap audit ialah perencanaan (audit planning). Tujuan audit planning ialah
untuk menentukan pada area mana, bagaimana, kapan serta oleh siapa (anggota tim yang mana)
audit akan dilakukan. Langkah penting dalam audit planning mengidentifikasikan faktor risiko.
Auditor harus menilai faktor risiko inheren, misalnya sistem online, network, database, dan
teknologi canggih lainnya memiliki risiko lebih besar daripada batch processing system
(apalagi dibandingkan sistem manual).
Auditor harus meneliti resiko potensial dengan melakukan review awal general
controls, menilai kelemahan pengendalian dan mengevaluasi apakah pengendalian tersebut
dijalankan. Tujuan analisis resiko ini untuk membantu auditor agar lebih fokus audit pada area
yang faktor risikonya besar. Untuk itu auditor menyiapkan rencana kerja audit (audit program)
mengenai batas, jadwal, dan prosedur untuk mencapai sasaran audit. Setelah audit program
disusun dan team auditor telah dibentuk, selanjutnya para anggota team harus melakukan
pengenalan terhadap sistem yang akan diaudit.
Program kerja Audit
Tahap penilaian yang dilakukan oleh auditor dalam audit ialah:
a.
b.
c.
d.
e.
f.
1.
Penelaahan awal.
Penelaahan/pengujian ketaatan/pengendalian (test of controls) terhadap general controls,
serta penelaahan/pengujian ketaatan pengendalian aplikasi (application controls) pada
unit pengembang sistem (developer)
Penelaahan/pengujian ketaatan pengendalian aplikasi pada pemakai (user).
Tahap evaluasi hasil penelaahan dan pengujian ketaatan pengendalian.
Tahap perancangan pengujian subtantif (subtantive test).
Tahap pelaporan hasil audit.
Tahap penelaahan awal
Tujuan penelaahan awal ini untuk memperoleh pemahaman tentang sistem yang diaudit.
Pada tahap ini auditor melakukan penelaahan terhadap ruang lingkup (scope) dan
spesifikasi sistem yang diaudit, arus dan proses data menjadi informasi, di mana data input
dibuat/direkam, jenis pengolahan yang dilakukan, fasilitas komukasi dan komputasinya,
struktur pengendalian intern yang ada, serta jenis output yang dihasilkan dan penggunaan
output (arti penting output tersebut bagi perusahaan).
Metoda yang digunakan pada tahap penelaahan awal ini adalah sebagai berikut:
2
a.
b.
c.
d.
e.
Pengamatan (observasi)
Wawancara atau tanya jawab (interview)
Penelaahan dokumentasi
Penelusuran transaksi
Kuesioner
Pada akhir tahap ini auditor harus menentukan tingkat risiko pengendalian, yaitu apakah
secara umum struktur pengendalian intern yang ada dapat diandalkan atau tidak. Jika
keandalan tidak diyakini, maka pengujian substantif harus dilakukan secara komprehensif.
Jika struktur pengendalian intern dinilai cukup baik, auditor harus melakukan pengujian
apakah pengendalian tersebut betul-betul dilaksanakan dengan tertip dan berdisiplin.
2.
Program Kerja audit Pengendalian umum
2.1. Audit Pengendalian Pucuk Pimpinan
a. Planning
o Teliti apakah ada perencanaan yang baik tentang dukungan yang akan diberikan
unit sisfo ke unit-unit lain pada perusahaan/organisasi tersebut.
o Teliti apakah sudah ada panduan bagaimana unit Sisfo mengelola sumber daya
informasi yang dimiliki secara optimal, efektif, efisien, dan ekonomis.
o Teliti bagaimana manajemen akan mengalokasikan sumber daya informasi
(computer hardware, software, facilities, network, dan information systems
brainware, data/database) seoptimal mungkin.
b. Organizing
o
Cek bagaimana manajemen melakukan koordinasi agar dengan sumber daya yang
ada dapat memberikan jasa informasi dalam services level yang memadai.
o Teliti apakah ada konsep organizing yang jelas, apakah unit sisfo hanya unit
teknis saja atau merupakan bagian penting organisasi (ada CIO di direksi).
o Cek apakah ada pemisahan tugas/fungsi bagian sistem (pengolahan data) berbasis
komputer dan pemakai atau struktur organisasi unit fungsional sistem
informasi itu sendiri.
Bagian Aplikasi (terdiri dari para sistem analis dan programmer)
Bagian Produksi (terdiri dari para operator yang secara langsung
menjalankan operasional komputer)
Bagian Dukungan Teknis (terdiri dari para spesialis operating systems, ahli
database, ahli komuniksi data).
Unit fungsional pengguna jasa informasi (user). Di lingkungan user itupun
juga perlu diperjelas yang mana merupakan fungsi otorisasi, fungsi
akuntabilitas, dan fungsi pelaksanaan olperasional.
o
o
o
Teliti bagan organisasi, khususnya unit sisfo dan pemakai (users).
Teliti uraikan tugas (job description) staf unit sisfo dan pemakai untuk memastikan
kelayakan adanya pemisahan tugas dan fungsi.
Amati pelaksanaan penanganan kesalahan yang mencakup persiapam, penelitian,
dan distribusi daftar kesalahan,
3
Lakukan wawancara dengan pimpinan dan staf unit sisfo untuk menentukan tingkat
efektivitas supervisi manajemen.
o Teliti laporan manajemen, hasil studi, dan evaluasi yang ada mengenai proses
penanganan kesalahaannya.
o Siapkan bagan arus sistem untuk setiap siklus transaksi dan teliti pemisahan dan
penggabungan fungsi.
o Teliti pelaksanaan rekonsiliasi kontrol jumlah menurut pihak di luar sistem
(pengolahan data) berbasis komputer dengan jumlah hasil komputer. Lakukan
pengujian terhadap rekonsiliasi tersebut untuk memastikan bahwa pengendalian
telah dilaksanakan secara efektif.
o Teliti dan uji pengendalian: adakah persetujuan jika ada master file update, teliti
status master file setelah pengolahan, teliti pengendalian terprogram, dan ujikelayakannya untuk menentukan apakah pelaksanaan sudah sesuai spesifikasi.
o Dapatkan bagan organisasi sistem (pengolahan data) berbasis komputer untuk
menentukan bahwa fungsi systems analyst, programmer, operator, librarian, dan
control clerk dipisahkan,
o Teliti dan uji jabatan dan uraian tugas dari dari personil kunci dalam sistem
(pengolahan data) berbasis komputer, yang mencakup system analyst, programmer,
operator, librarian, dan control clerk, untuk memastikan bahwa yang bersangkutan
melaksanakan fungsinya masing-masing,
o Amati operasi sistem (pengolahan data) berbasis komputer untuk meyakinkan
bahwa system analysts dan programmer memiliki akses yang terbatas terhadap
perangkat keras, file, maupun program komputer,
o Amati pelaksanaan fungsi librarian, teliti buku harian library untuk meyakinkan
bahwa catatan dipelihara secara konsisten, dan pastikan hanya personil yang
berwenang yang diijinkan untuk memindahkan transaction file dan master file serta
dokumentasi program,
o Teliti dokumentasi rancangan sistem untuk menentukan apakah:
sistem tersebut telah dibuat dalam bentuk modul,
analisis sistem berbeda dengan perancang sistem untuk tiap modul
akses terhadap dokumentasi tiap modul dibatasi
o
o
Tanggungjawab pengendalian
Teliti uraian tertulis (manual, job description) mengenai tanggungjawab
pengendalian pada tiap tingkat struktur organisasi untuk meyakinkan apakah
penugasan sesuai dengan tanggung jawab masing-masing.
Teliti risalah-risalah yang ada, untuk meyakinkan bahwa tanggungjawab
direksi atas pengendalian sistem berbasis komputer telah dilaksanakan.
Teliti dokumentasi pengembangan dan pengoperasian sistem untuk melihat
kelayakan persetujuan manajemen (user).
Teliti laporan dan risalah-risalah mengenai pengendalian intern sistem
(pengolahan data) berbasis komputer,
Lakukan observasi ada/tidaknya kelompok pengendali di luar unit sisfo dan
teliti independensinya. Hal ini dapat dilihat dengan ada/tidaknya permintaan
revisi terhadap spesifikasi program, permintaan perubahan program,
tanggapan tertulis dari kelompok pengendali, dan tindak lanjut sistem
(pengolahan data) berbasis komputer terhadap rekomendasi tersebut.
4
o
Praktek kepegawaian
Teliti prosedur penerimaan dan penilaian pegawai apakah telah dilakukan
dengan baik (tidak ada KKN), dan kemampuan pegawai secara umum.
Teliti jadwal kegiatan pegawai, apakah diberi tugas yang tepat dan apakah
dirotasi secara berkala,
Teliti apakah terdapat program pelatihan pegawai untuk peningkatan
kemampuan staf sistem (pengolahan data) berbasis komputer,
Teliti mutasi, promosi, dan pemberhentian untuk meyakinkan bahwa
perubahan terswbut telah sesuai dengan kebijaksanaan yang berlaku dan
tidak mengurangi pengendalian,
Kebijakan personil pada suatu unit organisasi sistem informasi sudah tentu
berbeda dengan unit yang lain. Pada suatu instalasi komputer, terdapat tipe
pegawai administratif (klerk), pegawai operasional (para operator), serta
knowledge worker/professional (sistem analis, programmer, dan lainnya).
Teliti apakah ada perencanaan pegawai, pola karier, program pendidikan dan
pelatihan teknis/manajerial perlu sungguh sungguh diperhatikan.
c. Actuating
o
Apakah pucuk pimpinan memberikan arahan yang kongkrit, leading dalam bentuk
memberikan pelatihan, pembinaan, mendorong motivasi, dan sebagainya sehingga
personil knowledge worker, pegawai profesional yang mempunyai karakeristik
spesifik yang ada dapat bekerja sebaik-baiknya.
d. Controlling
o Bagaimana mekanisme pengawasan oleh pucuk pimpinan dalam arti memonitor
apakah kinerja atau realisasi pelaksanaan kegiatan menyimpang, favourable
ataukah un-favourable bila dibandingkan dengan yang telah direncanakan.
2.2. Audit Manajemen Pengembangan Sistem
Materi yang tercakup dalam manajemen pengemangan sistem aplikasi komputer
mencakup antara lain: a). Prosedur Pengembangan (Procedures Development), b). Tes
Kelayakan (Acceptance Testing), c). Konversi (Conversion), d). Operasi dan Perawatan
(Operation and Maintenance), e). Standardisasi (Methods standards, Performance standards,
Documentation standards, Project-control standards, Post-audit standards)
a. Teliti buku petunjuk prosedur tetap pengembangan sistem untuk menentukan adanya
kebijaksanaan dan pedoman.
b. Teliti buku petunjuk prosedur untuk menentukan apakan standar secara keseluruhan
cukup lengkap.
c. Evaluasi kecermatan dan kelengkapan buku petunjuk tersebut, dan yakinkan bahwa
petunjuk dimutakhirkan secara kontinyu.
d. Teliti dokumentasi pengembangan sistem untuk menentukan apakah telah sesuai dengan
prosedur.
e. Lakukan wawancara dengan manajemen, pengembangan sistem, dan pemakai
sehubungan dengan kecukupan prosedur pengembangan sistem.
f. Teliti standarisasi pemograman.
5
g. Teliti bagan arus, tabel keputusan, dan pengkodean yang dipilih untuk membuktikan
bahwa standar pemograman dan prosedur telah diikuti.
h. Lakukan wawancara dengan pemakai untuk mengetahui tingkat partisipasi mereka dalam
proses pengembangan sistem.
i. Teliti dokumen dan persetujuan untuk membuktikan bahwa pemakai benar-benar
memahami sistem (mengerti mengenai input, prosedur pengolahan, pengendalian, dan
keluaran sistem).
j. Teliti kertas kerja quality assurance untuk menentukan keterlibatannya dalam proses
pengembangan sistem.
k. Teliti standar pengujian sistem untuk menentukan kelengkapannya.
l. Lakukan wawancara dengan staf auditor intern dan pemakai untuk menentukan
keterlibatan mereka dalam pengujian sistem.
m. Teliti data yang diuiji dan output yang dihasilkan sistem baru, untuk meyakinkan apakah
prngujian tersebut cukup lengkap.
n. Teliti hasil program dan rangkaian pengujian sistem, yang mencakup bagan arus dan
analisis logika, untuk meyakinkan bahwa logika program benar.
o. Teliti hasil pengujian sistem terhadap data yang salah dan yang benar untuk meyakinkan
bahwa sistem telah di uji secara layak.
p. Teliti prosedur rekonsiliasi output menurut pilot testing dengan output menurut paralel
testing.
q. Teliti hasil rekonsiliasi untuk meyakinkan bahwa perbedaan yang ada telah dikoreksi oleh
pengembangan sistem.
r. Teliti rencana konversi data dari satu sistem ke sistem yang lain untuk menentukan
apakah rencana tersebut cukup menjamin bahwa data dalam file baru tidak berubah.
s. Teliti laporan ketidaksesuaian untuk pembuktian adanya koreksi yang layak dari
kesalahan yang terjadi.
t. Lakukan pengujian terhadap konversi file dengan cara menelusuri data yang tercatat dari
file semula ke file baru dan sebaliknya.
u. Teliti laporan akhir mengenai penelaahan implementasi sistem dari tim penguji.
v. Lakukan wawancara dengan operator komputer dan pengembangan sistem untuk
menentukan kebijaksanaan dan prosedur apa yang mengatur perubahan program.
w. Teliti dokumentasi atas perubahan program yang dipilih untuk menentukan apakah
kebijaksanaan dan prosedur telah diikuti.
x. Teliti dokumentasi atas perubahan program untuk menentukan apakah perubahan tersebut
telah disetujui.
y. Teliti hasil pengujian yang dilakukan terhadap program yang dimodifikasi untuk
mengetahui bahwa modifikasi program telah dibuat secarda benar.
z. Bandingkan kode sumber pada program semula dengan kode sumber pada program yang
telah dimodifikasi, untuk menentukan bahwa modifikasi telah disetujui, jika perubahan
program tersebut menimbulkan implikasi pengendalian yang penting.
aa. Pilih program aplikasi yang tidak ada dokumentasi perubahannya, bandingkan kode
program yang ada sekarang dengan kode program yang sama tahun sebelunmya untuk
meyakinkan bahwa memang benar-benar tidak ada perubahan program.
bb. Teliti apakah dokumentasi sistem cukup lengkap.
6
Dokumentasi sistem meliputi: proposal sistem, prosedur fungsional sistem
komputerisasi (functional specification), spesifikasi sistem komputerisasi (system
specification),
o Dokumentasi program dan data tes (program specification), dokumentasi data (data
dictionary), manual operasional sistem komputerisasi (user manual). Dokumentasi
program yang sebaiknya ada: program flowchart, decision table, Copy source
program, listing parameter, penjelasan naratif tentang program (narrative
description).
o Dokumentasi harus dapat berfungsi sebagai: dasar untuk komunikasi antar teknisi
ataupun teknisi dengan user, sumber pengendalian (akuntansi), dan sebagai Roadmap bagi auditing.
Teliti kebijakan peranan auditor (quality assurance) pada pengembangan sistem dan
dasar pemikiran akan pentingnya keterlibatan quality assurance tersebut.
Teliti apakah dalam pengendalian pengembangan sistem sudah ditetapkan prosedur
standard tertulis proses pengembangan sistem, metodologi formal yang baku (tertulis),
standard manajemen proyek pengembangan aplikasi (development team), peranan
steering-committee, user, team, supporting unit, apakah manajer proyek aplikasi
ditangani oleh teknisi komputer atau dari mpihak user.
Teliti mengenai prosedur dan konvensi pemrograman:
o Apakah diadakan standar dalam programming, antara lain programming structures.
o Pendekatan pemrogram per tim atau individu programmer.
o Terstruktur atau tidak atau object oriented programming
o Kebijakan bahasa program (programming language).
o Konvensi dalam naming, indentation, paragraph-number
o Standard dokumentasi, testing, data generation, diagram/chart.
o Software aid yang disediakan.
o Fasilitas penggunaan library, function, pre-written moduls.
Teliti apakah prosedur tes keandalan pengembangan sistem sudah memadai, adakah:
o Pengujian Program (program testing)
o String test.
o System test.
o Pilot test.
o Parallel run/ test.
o Pengesahan atau acceptance test.
o Tinjauan pada post implementasi, pola monitor, pelaporan dan evaluasi (perlu
maintenance team)
o Pengendalian perubahan program (program change request)
o
cc.
dd.
ee.
ff.
2.3. Audit Pengendalian Manajemen Sumber Data
Hal-hal yang perlu diaudit dalam kaitannya dengan manajemen sumber data ini
ialah antara lain:
a. Teliti apakah para user dapat membagi data (data sharing among users).
b. Teliti apakah ada fungsi Data Administrator (DA) yang bertugas menangani administrasi dan kebijakan mengenai data design (user perspective).
c. Teliti apakah ada fungsi DataBase Administrator (DBA) yang bertugas menangani
masalah teknik pengelolaan sumber data.
7
d. Teliti apakah DA dan DBA dapat berfungsi sebagai media penengah saat konflik
meningkat dalam lingkungan data yang dibagi (Shared Data).
e. Teliti kebijaksanaan akses database (access controls).
f. Teliti kebijaksanaan/ketersediaan Data dictionary/directory, system file handling controls
serta file handling controls, Audit-trail, Trigger policy.
g. Teliti kebijakan tentang pola update antar lokasi, database induk, apakah pemutakhiran
data dilakukan secara lokal dengan file transaksi atau langsung ke master-file di komputer
induk (server) pada komputer lokal hanya ada alamat untuk proses updating saja (server
address), dan lainnya.
h. Teliti mengenai file handling controls
i. Teliti mekanisme existence controls
o
Grandfather, father, son strategy
o
Dual recording mirroring strategy
o
Dumping
o
Logging
o
Resedual dumping
o
Differential files/shadow paging
2.4. Audit Pengendalian Manajemen Mutu
Kebijakan tentang quality assurance ini menyangkut masalah kepedulian dan
komitmen pimpinan terhadap aspek mutu atau kualitas jasa informasi yang mereka berikan
kepada para penggunanya. Jadi sistem komputerisasi yang dibangun untuk para user harus
benar-benar sesuai dengan kebutuhan mereka. Pembangunan sistem komputerisasi yang baik,
berkaitan dengan segala hal yang mencakup kegiatan pengembangan sistem, implementasi,
pengoperasian, dan perawatan sistem aplikasi, perlu diteliti:
a.
b.
c.
d.
e.
f.
g.
h.
i.
apakah kegiatan-kegiatan tersebut sungguh-sungguh telah dilakukan sesuai dengan kaidah
standar yang telah ditetapkan, dan apakah (sistem) informasi yang akan dihasilkan dapat
mencapai tujuan serta sasaran hasil dan mutu yang dikehendaki.
Teliti apakah pengguna (user) makin menuntut (demanding) bahwa jasa yang mereka
terima harus memenuhi mutu tertentu yang sesuai dengan satisfaction level tertentu.
Teliti apakah ada unit yang bertanggungjawab dan memonitor defect product.
Teliti apakah ada mekanisme untuk menemonitor apakah service agar user satisfied
terhadap produk/jasa sistem informasi telah dikelola dengan baik.
Teliti apakah para pimpinan organisasi makin menyadari untuk lebih menggalakkan fungsi
quality assurance, mengembangkan budaya mutu, khususnya membantu kesadaran mutu
dan bagaimana menetapkan sasaran kualitas ke anggota development team.
Teliti apakah pimpinan (atau unit yang ditugasi) telah menetapkan, mengelola, dan
mensosialisasikan standar, khususnya yang berkaitan dengan sistem informasi.
Teliti apakah pimpinan (atau unit yang ditugasi) memonitor apakah standar sudah dipatuhi.
Teliti apakah pimpinan atau unit yang ditugasi mengkaji bidang-bidang yang perlu
perbaikan, terutama yang berkaitan dengan masalah kualitas.
Teliti apakah pimpinan atau unit yang ditugasi memberikan pelatihan-pelatihan tentang
peningkatan mutu produk/jasa.
8
2.5. Audit Pengendalian Manajemen Keamanan
Dalam rencana kerja audit terhadap pengendalian keamanan, perlu dilakukan hal-hal
sebagai berikut:
a. Teliti security management controls, apakah sudah ada kebijakan pengamanan terhadap:
o
Ancaman kebakaran
o
Ancaman banjir
o
Perubahan tegangan sumber energi
o
Kerusakan struktural dan pengamanan untuk mengantisipasi kerusakan struktural
misalnya memilih lokasi perusahaan yang jarang terjadi gempa dan angin ribut.
o
Polusi
o
Penyusup
o
Virus, apakah ada preventif, seperti menginstall anti virus dan mengupdate secara
rutin, melakukan scan file yang akan digunakan. Atau secara detektif, melakukan
scan secara rutin, atau korektif, memastikan backup data bebas virus, pemakaian
antivirus terhadap file yang terinfeksi.
o
Hacking.
o
Pengendalian keamanan fisik.
o
Pengendalian keamanan data dan fasilitas pengolahan.
o
Adanya data-log, file-protection, access restriction, back-up & recovery.
b. Teliti mengenai security management controls atas data communication, apakah sudah ada
kebijakan pengamanan:
o
Facilities security controls
o
Library controls
o
On-line access controls
o
Controls deteksi atas kegagalan sistem pengamanan
o
Recovery dari kegagalan sistem Pengamanan
o
Devices, Remote terminal, channels, multiplexor, control unit
o
Concepts, Modulasi, transmission mode, direction
o
Online real-time system
o
Distributed Data Processing
o
Networking
o
Security Protection
o
Self Protection
c. Dapatkan informasi dari manajemen mengenai penggunaan fasilitas pengamanan, library,
dan pengendalian pengamanan sistem on-line,
d. Teliti master security plan untuk menentukan kecukupan dan kelengkapan pengendalian
pengamanan sistem,
e. Teliti hasil pengujian pengendalian pengamanan sistem dan periksa penilaian manajemen
atas hasil pengujian tersebut,
f. Amati fasilitas pengamanan sistem untuk memastikan cara kerja pengendaliam akses siste,
konstruksi, dan lokasi seperti yang ditetapkan oleh manajemen,
g. Amati library untuk menentukan apakah prosedur pembatasan akses program, dokumen,
dan file selama digunakan telah efektif,
h. Amati lokasi terminal komputer untuk memastikan bahwa akses ke dalam sistem telah
terlindung secara efektif,
9
i.
j.
k.
l.
m.
n.
o.
p.
q.
r.
s.
t.
u.
v.
w.
Teliti wewenang akses ke dalam sistem untuk menentukan apakah konsistensi dengan
pemisahan fungsi dan dapat menjaga kerahasiaan data,
Teliti metoda pengindentifikasi pemakai untuk menentukan apakah hanya pemakai yang
berwenang yang dapat menggunakan sistem,
Teliti metoda pengendalian komunikasi akses data untuk meyakinkan bahwa akses oleh
penyadap kecil kemungkinannya,
Pelajari laporan auditor intern mengenai pengendalian pengamanan sistem dan Teliti
simpulan mereka atas kecukupan pengendalian,
Dapatkan informasi dari manajemen mengenai jenis dan lokasi peralatan pemadam
kebakaran, dan pastikan adanya prosedur yang harus diikuti oleh staf sistem (pengolahan
data) berbasis komputer jika terjadi bahaya kebakaran,
Dapatkan informasi dari manajemen mengenai peralatan untuk mendeteksi akses ke ruang
komputer yang dilakukan tanpa ijin, dan pastikan adanya prosedur yang harus diikuti ketika
akses tanpa ijin terdeteksi,
Amati fasilitas pengamanan sistem untuk memastikan keberadaan, jumlah, dan lokasi
peralatan pendeteksi akses komputer,
Teliti hasil pengujian pengamanan sistem untuk menentukan kecukupan peralatan deteksi
akses komputer,
Dapatkan informsi dari manajemen mengenai alat untuk memastikan otentik tidaknya
penggunaan sistem on-line,
Teliti daftar pengguna komputer dan periksa catatan mengenai pendeteksian dan tindak
lanjut dari kegagalan pengamanan sistem,
Teliti prosedur darurat mengenai penggunaan sistem off-line selama adanya kegagalan
sistem on-line untuk memastikan bahwa pengendalian terhadap ketepatan dan kelengkapan
transaksi sudah memadai,
Diskusikan dengan data entry operator mengenai prosedur darurat tersebut untuk meyakini
bahwa mereka telah mengerti prosedur tersebut dan pengendalian yang terkait,
Periksa tata cara pemulihan untuk memastikan apakah manajemen telah mengantisipasi
seluruh kemungkinan risiko pengamanan,
Teliti hasil pengujian atas rencana pengamanan untuk memastikan bahwa rencana tersebut
benar-benar meminimalkan kemungkinan kehilangan data dan kerigian materi,
Amati library dan periksa adanya back-up master file dan back-up transaction file untuk
memastikan bahwa prosedur pemulihan data telah diikuti.
x. Teliti mengenai kebijakan pengendalian akhir apabila ancaman keamanan benar-benar telah
terjadi, pengendalian akhir apa yang dilaksanakan:
o
Teliti pedoman rencana pemulihan menjadi keadaan normal setelah terjadi bencana:
Rencana Darurat (Emergency Plan)
Rencana Backup (Backup Plan)
Rencana Pemulihan (Recovery Plan)
Rencana Pengujian (Test Plan)
o
Apakah ada kebijaksanaan asuransi
o
Pengaturan adanya peralatan komputer dan peralatan lainnya sabagai cadangan
(back-up-site), jika terjadi masalah pada perlatanyang diopersikan. Dimana pun
peralatan komputer cadangan berada, cadangan tersebut harus diuji coba secara
berkala untuk menjalankan program komputer yang ada,
10
o
o
o
Pengaturan dan penempatan perangkat lunak cadangan dan dokumentasinya di lokasi
yang berbeda.Perngkat lunak cadangan harus selalu di mutakhirkan untuk menjamin
tidak ada perbedaan dengan program yang dioperasikan,
Perbaikan data yang memungkinkan recovery master file, dan transaction file,
Pengaturan pegawai yang bertanggungjawab untuk menangani masalah yang terjadi.
2.6. Audit Pengendalian Manajemen Operasi
Hal-hal yang perlu diperiksa dalam kaitannya dengan audit pengendalian manajemen
operasi adalah sebagai berikut:
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
Teliti buku petunjuk sistem dan prosedur operasi untuk menentukan kecukupan dan
kelengkapannya,
Amati kegiatan operator komputer untuk menentukan apakah mereka menaati prosedur
opersi tetap mengenai pengoperasian peralatan yang bersangkutan,
Amati prosedur penataan dan kerapihan ruang komputer untuk menghindari kemungkinan kehilangan/ kerusakan perangkat keras maupun perangkat lunak.
Amati apakah sudah ada ketentuan fungsi-fungsi yang harus dilakukan operator
komputer maupun fasilitas operasi otomatis.
Amati apakah sudah ada penjadwalan kerja pada pemakaian hardware/software.
Amati apakah sudah ada pedoman perawatan hardware, apakah dapat berjalan baik.
Tanyakan apakah sudah ada pengendalian perangkat keras berupa hardware controls
dari produsen untuk deteksi hardaware malfunction :
o Redundant Character Check
o Duplicate Process Check
o Echo Check
o Equipment Check
o Validity Check
o Operational Controls
o Controls dan Equipment Cross Reference
o Pengendalian Software
o Handling Errors
o Program Protection
o File Protection
o Controls and System Complexity Cross Reference
Amati apakah sudah ada pedoman pengoperasian Jaringan (Network Operation).
Pengendalian yang dilakukan ialah seperti memonitor dan memelihara jaringan dan
pencegahan terhadap akses oleh pihak yang tidak bewenang. Pengendalian sistem
komunikasi data antara lain ialah:
o Jalur komunikasi (kabel coaxial, satelit, microwave)
o Hardware (ports, modem, concentrator)
o Cryptology (dalam komunikasi data disebut encryption)
o Software komunikasi (firewall)
Teliti apakah ada petunjuk Persiapan dan pengentrian Data (Preparation and Entry Data)
Teliti apakah sudah ada Pengendalian Produksi (Production Control), antara lain tentang:
o Penerimaan dan pengiriman input dan output.
11
k.
o Penjadwalan kerja.
o Manajemen pelayanan.
o Peningkatan pemanfaatan komputer.
Teliti apakah sudah ada Standard operating procedures (SOP), antara lain tentang:
o Penjadwalan kerja pengoperasian komputer
o Sasaran kinerja komputer (computer performance, computer time,
utilization,response time. dan sebagainya)
o Prosedur Job Run
o Console Log
o Staff Time Record
o File Control Standard
o Prosedur pengawasan dan hal-al tak terduga
l.
Perangkat keras
o Dapatkan informasi mengenai buatan, model, ukuran, dan nomor seri komputer dan
perangkat keras lainnya,
o Teliti brosur penjual atau dokumentasi lain untuk menentukan apakah ada
pengendalian perangkat keras,
o Dapatkan informasi dari manajemen dan staf unit sisfo apakah pengendalian yang
ada telah dimanfaatkan,
o Jika pengendalian intern tidak dimanfaatkan, diskusikan denga manajemen untuk
menentukan pengaruhnya terhadap struktur pengendalian intern,
o Evaluasi efektivitas pengendalian perangkat keras,jika perlu gunakan bantuan
tenaga teknis,
o Teliti dokumentasi operasi untuk menentukan kecukupan prosedur penaganan
kesalahan operator, pengendalian, media, dan pemulihan,
o Teliti kontrak pemeliharaan perangkat keras, untuk menentukan apakah
pemeliharaan preventif dan perbaikan telah diatur di dalamnya.
m.
Pengendalian perangkat lunak
o Dapatkan informasi dari manajemen mengenai perangkat lunak yang digunakan dan
nama penjualnya termasuk sistem operasi dan pemanfaatannya, untuk mengetahui
pengaruhnya terhadap struktur pengendalian intern,
o Dapatkan informasi dari manajemen mengenai pengendalian perangkat lunak yang
digunakan,
o Jika pengendalian tidak digunakan, diskusikan dengan manajeman mengenai
pengaruhnya terhadap struktur pengendalian intern,
o Dapatkan informasi mengenai pengendalian atas penggunaan system modification
utilities untuk mayakinkan bahwa pengoperasian sistem sudah memadai,
o Teliti daftar pemakaian komputer serta laporan aktivitas pemakaian dan perubahan
perangkat lunak yang tidak diotoritaskan,
o Evaluasi efektivitas pengendalian perangkat lunak, jika perlu manfaatkan bantuan
tenaga teknis komputer.
12
3.
Program Kerja audit Pengendalian Aplikasi
3.1. Boundary Controls
Pengendalian batas-batas sistem aplikasi (boundary controls) ialah bahwa dalam suatu
sistem aplikasi komputer perlu jelas desainnya, mencakup hal-hal:
a. Apakah ruang lingkup sistem aplikasi dan hubungan antar-muka (interface) cukup jelas.
b. Amati apakah tiap sistem komputerisasi sudah jelas ruang-lingkupnya: apa dokumen
inputnya, dari mana sumbernya, tujuan pengolahan data, dan siapa para penggunanya
(user), siapa sponsornya (pemegang kewenangan), subsistem dan keterkaitannya.
c. Teliti apakah tiap sistem aplikasi telah jelas subsistem-subsistem atau modul-modulnya.
d. Teliti apakah sudah ada Audit Trail Controls in Boundary Environment:
o Identify of the would be user of the system
o Authentication information supplied
o Resources requested
o Action priveledge requested
o Terminal identifier
o Start anfd finish time
o Number of sign-on attempts
o Resources provide/denied
o Action priviledge allowed/denie.
e. Teliti apakah Audit Trail Controls tersebut sudah benar-benar dijalankan dan apakah secara
periodik telah direview.
f. Dibuat laporan series mengnai nasabah/pelanggan tertentu
g. Dikaji apakah ada transaksi yang ada indikasi ubnormal
h. Amati apakah ada hal-hal yang mencolok, misalnya perbedaan signifikan antara current
behavior dengan pas behavior.
i. Teliti penggunaan komputer, misalnya apakah start-finish time dapat dianalisa mengenai
kewajaran penggunaan computer time, dan sebagainya.
3.2. Audit Pengendalian Input
3.2.1. Batch data entry
Input merupakan salah satu tahap sistem komputerisasi yang paling krusial, karena itu:
3.2.1.1. Bersifat Prevention Objective
a. Apakah sudah dibuat pedoman kerja sehingga secara preventif dapat mengurangi
kemungkinan data transaksi yang ditulis oleh pelaku transaksi salah (error).
b. Apakah sudah disiapkan manual (buku pedoman kerja/prosedur tertulis) untuk
cara-cara mengisi doukmen input/worksheet/memasukkan data ke file komputer.
c. Apakah sudah dilakukan pelatihan bagi para pengguna, para pengisi dokumen,
petugas input, atau operatornya secara memadai.
d. Evaluasi apakah letak/ lingkungan/ warna dan bentuk layar perekaman cukup
baik sehingga tidak melelahkan pertugas atau cenderung membuat kesalahan.
13
e. Teliti adakah faktor-faktor yang menentukan kenyaman perekaman data dan
kekurangnyamanan yang dapat meningkatkan kesalahan yang disebabkan oleh
kejenuhan dan kelelahan.
f. desain formulir/ dokumen yang baik, jelas dan mudah pengisiannya, dan
sebagainya.
g. Pengendalian lain mialnya ialah pembatasan access secara fisik (contoh ruang
ATM), identifikasi terminal dan operatornya (password tertentu), proteksi dari
fragmentasi.
h. Teliti apakah pada tahap Batch Data Preparation (tahap persiapan-persiapan
sebelum perekaman), sudah dibuat pedoman editing kode atau isian-isian nomor
tertentu, dan pembundelan (batching), apakah pada waktu batching dibuat total
controls untuk jumlah lembar dokumen, jumlah uang, dan sebagainya.
i. Apakah pada tahap batch Data Entry (tahap pemasukan data ke komputer), sudah
ada cek terprogram oleh peralatan input/terminal/mesin data entry system (mesin
perekam data yang kini sudah jarang digunakan, bahkan sudah tidak ada lagi).
j. Teliti prosedur tertulis mengenai pengendalian dan pengoperasian komputer
untuk setiap aplikasi guna memastikan bahwa peng-input-an transaksi dapat
diandalkan.
k. Teliti prosedur kegiatn pencatatan dan penyesuaian kontrol jumlah batch untuk
memastikan bahwa tidak ada transaksi yang dihilangkan, diduplikasi, atau diubah
tanpa terdeteksi.
l. Teliti pengujian validasi masukan untuk memastikan kecukupannya dalam
pendeteksian kesalahan transaksi yang diterima dari penyiap data, dan kesalahan
yang terjadi selama peng-input-an.
m. Teliti dokumentasi dan file untuk memastikan kecukupan audit trail,
3.2.1.2. Pengendalian Bersifat Detection Objective
a. Teliti apakah sudah ada validasi terprogram terhadap personal identification
number (PIN), validasi kesesuaian kode/ identitas./ PIN/ Account-ID antara yang
dientri dengan yang ada di file komputer
b. Teliti apakah sudah ada validasi terprogram, misalnya mengenai tanggal lahir,
tanggal dokumen, tanggal transaksi, , validasi atas field tertentu, misalnya tanggal
(Februari tidak mengenal tanggal 30 atau 31, dan sebagainya), pengujian
kelasifikasi/ validitas kode
c. Apakah sudah dilakukan pengecekan terprogram (validation) terhadap data input
berdasar kriteria tertentu, misalnya jumlah lembar dokumen (jumlah record yang
dihitung komputer) sudah sesuai (sama) dengan yang tertulis pada record batch.
d. Teliti dan dapatkan informasi mengenai prosedur untuk memastikan kelengkapan
prosedur pembuatan, penginputan, dan pengendalian kesalahan batch.
e. Teliti format dan distribusi dokumen sember untuk menentukan pengaruhnya
terhadap pencegahan kesalahan yang mungkin terjadi,
f. Lakukan rekonsiliasi antara daftar batch dengan daftar batch yang dikirimkan dan
daftar batch yang salah, untuk memastikan adanya pengendalian yang memadai
atas pembuatan batch.
g. Teliti dokumen logika program untuk memastikan bahwa logika dan pengujian
validasinya efektif.
14
h. Teliti prosedur vertifikasi data untuk memastikan bahwa error terdeteksi.
i. Jenis pengujian lain misalnya cek karakter yang sahih/ misalnya uji:
•
field (numeric test)
•
Limit test (misalnya umur tidak boleh melebihi 35 tahun)
•
Check digit test
•
Data echo check/ test.
3.2.1.3. Pengendalian Bersifat Correction Objective
a. Apakah sudah diatur pedoman atau prosedur pembetulan data apabila ternyata
terdapat data salah yang lolos ke sistem (prosedur koreksinya).
b. Bila kesalahan Keying Error, apakah cara cara pelaksanaan pembetulan
dilakukan dengan merekam ulang (pembetulan data).
c. Bila Source Error, artinya kesalahan bukan di pihak sistem pengolahan data,
melainkan dari sumbernya, apakah cara pembetulannya dengan diklarifikasi
kepada asal datanya.
d. Teliti koreksi kesalahan untuk memastikan bahwa error yang terjadi dan dapat
lolos ke komputer harus segera dikoreksi.
3.2.2. On-line data entry
a. Teliti Entry Data & Validation pada sistem on-line real time karena seringkali
sudah tidak dengan dokumen lagi (paperless), data lazimnya langsung dientri ke
sistem komputer, misalnya dengan workstation, automatic teller machine, atau
point of sales: apakah mesin-mesin tersebut sudah dilengkapi dengan software
yang antara lain berisi fungsi validasi terprogram.
b. Apakah sistem komputerisasi tersebut masalah jejak pemeriksaan (audit trail)
sudah diatur secara memadai.
c. Apakah Entry point, lokasi atau kode lokasi masuknya data input ke sistem
komputer tersebar sudah dikelola dengan baik.
d. Apakah sudah dibuat way-out procedure kalau terjadi gangguan, misalnya listrik
atau saluran komunikasi, mungkin akan ada problem recovery point, di mana
starting point proses harus diulang kembali.
e. Teliti prosedur tertulis mengenai peng-input-an data untuk memastikan apakah
prosedur tersebut jelas dan lengkap.
f. Teliti bentuk tampilan pada layar monitor dan dialog komputer untuk memastikan
apakah secara efektif dapat mengurangi kesalahan yang mungkin terjadi pada saat
peng-input-an.
g. Teliti hasil pengujian validasi peng-input-an data untuk memastikan
efektivitasnya dalam pendeteksian kesalahan.
h. Teliti dokumentasi dan file untuk memastikan kecukupan audit trail,
3.3. Pengendalian proses
Pengendalian proses (processing controls) ialah pengendalian intern untuk mendeteksi
jangan sampai data (khususnya data yang sesungguhnya sudah valid) menjadi error karena
adanya kesalahan proses. Kemungkinan yang paling besar untuk menimbulkan terjadinya error
adalah kesalahan logika program, salah rumus, salah urutan program, ketidakterpaduan antar
subsistem atupun kesalahan teknis lainnya. Kemungkinan terjadinya kesalahan lain ialah
15
programmer salah menterjemahkan spesifikasi yang diberikan oleh sistem analis, program
dibuat dengan tidak mengikuti standar (struktur, language, tidak dites dengan memadai).
Kesalahan yang “levelnya tinggi” adalah sistem (dan program-programnya) dibuat tidak sesuai
dengan kebutuhan pemakasi (usernya).
Selama proses berlangsung di dalam suatu program atau antar program sebaiknya
selalu lakukan cek untuk kontrol. Kontrol yang dilakukan misalnya batch controls untuk
mengecek kesesuaian hitungan komputer terhadap record data dengan nilai yang tertulis pada
batch header record, perlu audit trail berupa laporan tercetak. Bentuk pemeriksaan
pengendalian lainnya misalnya adalah:
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
k.
Apakah sudah diatur mengenai Processing logic check
Lakukan Run-to-run check
Teliti keterkiatan, keterpaduan dan konsistensi Inter-sub-systems check
Teliti mengenai mekanisme File and program check
Teliti ketersediaan dan efektivitas Audit trail linkage
Lakukan misalnya ialah pemeriksaan label file, pengujian identifikasi record,
pengujian kode transaksi, sequence test, anticipation control, validasi untuk
mendeteksi error pengolahan, arithmetic accuracy test, dual field input, data
reasonable test, data limit test, cross footing test, pengendalian saldo subsistem
((system balancing controls,) dan inter subsystem totals, serta run to run totals.
Teliti kecukupan mekanisme jejak audit. Salah satu bentuknya ialah perlunya laporan
kegiatan pengolahan untuk pelacakan bila terjadi masalah, tersedia dokumentasi
program untuk trace-back, adanya laporan pemakaian file yang dapat dilacak bila ada
masalah, dan rancangan break points. Break points adalah mekanisme yang
dirancang untuk mengantisipasi bila ada system down, maka starting point dalam
recovery-nya jelas. Hal ini menjadi makin penting untuk suatu job-run yang runtime-nya panjang. Suatu proses panjang yang terhenti secara tidak normal akan
mengakibatkan proses ulang dari awal atau dari suatu titik tertentu yang disiapkan.
Teliti dokumentasi baik mengenai program aplikasi atas pengujian validasi maupun
mengenai hasil pengujian validasi untuk memastikan bahwa data yang salah dan
transaksi yang tidak sesuai terdeteksi
Dapatkan daftar kesalahan dan Teliti koreksi yang telah dilakukan dan pastikan
apakah koreksinya dilakukan segera
Teliti processing activity output, dokumentasi program dan activity data file untuk
memastikan kecukupan audit trail
Dapatkan informasi mengenai pengendalian harware/software, misalnya tentang
• Processor controls
o
Error detection and correction
o
Multiple execution states
o
Timing controls
o
Component replication
• Real memory controls
o Error detection and correction
o Access controls
• Virtual memory controls
• Operating system integrity
o Nature of reliable operating system
o Operating system integrity threats
16
o
o
o
o
•
•
•
•
Operating system integrity flaws
Reference monitors and kernels
Design and implementation considerations
Certification of operating systems
Deteksi kemungkinan adanya problem with programming style
o
Handle rounding correctly
o
Print run-to-run control totals
o
Minimize human intervention
o
Understand hardware/software numerical hazards
o
Use redundant calculations
o
Avoid closed routine
Teliti ketersediaan dan efektivitas Accounting audit trail, misalnya apakah terdapat
tipe-tipe transaksi tertentu yang men-trigger transaski lain, misalnya layanan order
dapat mengenerate back-order atau purchase requisition. Auditor harus waspada.
Teliti, jika program performs suatu set kalkulasi yang kompleks, maka harus segera
terdapat record yang dapat dievaluasi kesesuaian antara input-proses-outputnya.
Teliti ketersedaan dan efektivitas Operational audit trail
1. Teliti atau tanyakan tentang Resources consumption
Hardware (used of CPU, peripheral, memory, storage,
communication facilities)
Software (used of compilers, subroutine library, mana-gement
facilities, communication software)
Data (file accessed, frequency of access to data items, ways data
used, number of back-up made)
Personnel (number of operators intervention required, use of offline storage).
2. Teliti Data related to security sensitive events, Data collected related to
logging, password or access priviledge can be evaluate.
3. Hardware malfunctions
4. User specified events
Periksa mengenai exixtence controls : checkpoint and restart controls
3.4. Audit Pengendalian output
a. Teliti dokumentasi prosedur operasi tetap atas penanganan output, untuk memastikan bahwa pihak yang berkepentingan menerima laporan sebagaimana
mestinya.
b. Periksa dan minta dokumentasi atau pedoman mengenai prosedur distribusi output
c. Minta penjelasan mengenai Batch Output Production and Distribution controls
a. Stationary Supplies Storage Controls
b. Report Program Execution Controls
c. Queuing/Spooling/Printer0file Controls
d. Printing Controls
e. Report Collection Controls
f.
User/Client Services Review Controls
g. Report Distribution Controls
h. User Output Controls
i.
Storage Controls
j.
Retention Controls
17
k. Destruction Controls
d. Minta penjelasan dan/atau teliti pengendalian pada sistem remote/on-line
processing, mengenai Source Controls, Distrinution Controls, Communication
Controls, Receipt ControlsDisposition Controls, Retention Controls, Deletion
Controls
3.5. Pengendalian aplikasi pada pemakai
3.4.1. Data capture
a. Teliti buku petunjuk pemakaian untuk menentukan kelengkapan dokumentasi
prosedur dan pengendalian,
b. Teliti format dokumen sumber dan pengamanannya untuk menentukan
pengaruhnya terhadap pencegahan kesalahan yang mungkin terjadi,
c. Teliti struktur organisasi pemakai untuk menentukan bahwa tidak ada pegawai
yang melakukan pekerjaan yang seharusnya tidak boleh digabung,
d. Teliti dokumen sumber dan daftarnya untuk mengidentifikasikan penyiap dan
penyetuju bukti,
e. Teliti hasil rekonsiliasi antar batch untuk memastikan bahwa kesalahan telah
terungkap dengan benar dan telah ditindaklanjuti sebagaimana mestinya.
3.4.2. Output
a. Teliti dokumentasi prosedur operasi tetap bagi pemakai untuk memastikan apakah
penelaah dan pengujian output dapat mendeteksi kesalahannya.
b. Tgeliti apakah sudah ada mekanisme Pengendalian keluaran (output controls) ialah
pengendalian intern untuk mendeteksi jangan sampai informasi yang disajikan tidak
akurat, tidak lengkap, tidak mutakhir datanya, atau didistribusikan kepada orangorang yang tidak berhak. Kemungkinan resiko yang dihadapi yang terkait dengan
keluaran ialah seperti telah disebutkan di atas: laporan tidak akurat, tidak lengkap,
terlambat atau data tidak uptodate, banyak item data yang tidak relevan, bias, dibaca
oleh pihak yang tidak berhak. Dalam sistem yang sudah lebih terbuka
(menggunakan jaringan komuni-kasi publik) potensi akses oleh hacker, cracker atau
orang yang tidak berwenang lainnya menjadi makin tinggi.
c. Apakah sudah diterapkan metoda pengendalian bersifat preventive objective misalnya
ialah perlunya disediakan tabel pelaporan: jenis laporan, periode pelaporan, dan
siapa pengguna, serta check-list konfirmasi tanda terima oleh penggunanya.
d. Apakah sudah ada prosedur permintaan laporan rutin/on-demand, atau permintaan
laporan baru.
e. Apakah sudah dilakukan pengendalian bersifat detection objective misalnya ialah
cek antar program pelaporan, perlunya dibuat nilai-nilai subtotal dan total yang
dapat diperbandingkan untuk mengevaluasi keakurasian laporan, judul dan kolomkolom laporan perlu didesain dengan sungguh-sungguh.
f. Apakah sudah dilakukan pengendalian yang bersifat corrective objective misalnya
ialah prosedur prosedur klaim ketidakpuasan pelayanan, tersedianya help-desk dan
contact person, persetujuan dengan users mengenai service level yang disepakati.
18
g. Apakah jenis output, bentuk/format laporan, akurasi, pengguna (katagori/
kerahasiaan) dan ketepatan jadwal pelaporan, apakah laporan akurat dan sesuai
dengan yang dibutuhkan, apakah keluaran tepat sasaran kepada yang berhak.
3.6. Pengendalian Data/ File/ Database
Perlu diperhatikan bahwa pada uraian di depan telah disinggung bahwa salah satu unsur
pengendalian umum adalah manajemen sumber data (data resources management controls).
Apabila kebutuhan spesifik aplikasi memang perlu adanya tambahan pengendalian on-top dari
yang telah didesain secara umum pada pengendalian umum, tiap-tiap aplikasi bisa
menambahkan kebutuhan spesifiknya. Untuk itulah amati, pelajari dokumentasi atau minta
penjelasan teknisi mengenai hal-hal yang berkaitan dengan database tersebut.
Misalnya menyangkut:
a. Akses database (access controls) yang spesifik pada file aplikasi.
b. Existence controls, dilihat dari sudut pandang atau lingkup aplikasi saja.
c. Audit-trail
19
Laporan Hasil Audit
Pendahuluan
Laporan hasil audit adalah merupakan salah satu tahap paling penting dan akhir dari
suatu pekerjaan audit. Dalam setiap tahap audit akan selalu terdapat dampak psikologis bagi
auditor maupun auditee. Dampak psikologis dalam tahapan persiapan audit dan pelaksanaan
audit dapat ditanggulangi pada waktu berlangsungnya audit. Tetapi dampak psikologis dari
laporan hasil audit, penanggulangannya akan lebih sulit karena:
a.
Waktu audit sudah selesai
b.
Laporan merupakan salah satu bentuk komunikasi tertulis, formal, sehingga auditor tidak
dapat mengetahui reaksi auditee secara langsung
c.
Laporan telah didistribusikan kepada berbagai pihak sehingga semakin banyak pihak yang
terlibat.
Karena laporan hasil audit akan mempunyai dampak luas, maka diperlukan pengetahuan
khusus tentang penyusunan laporan hasil audit. Pelaporan hasil audit merupakan tahap akhir
kegiatan audit. Selain harus sesuai dengan norma pemeriksaan, penyusunan laporan hasil audit
juga harus mempertimbangkan dampak psikologis, terutama yang bersifat dampak negatif bagi
auditee, pihak ketiga dan pihak lain yang menerima laporan tersebut.
Dalam audit laporan keuangan maupun audit intern perusahaan badan usaha milik negara/
daerah (BUMN/BUMD di Indonesia) sudah disusun Standar Pemeriksaan yang diantaranya
ialah mengatur tentang pelaporan hasil audit. Norma Pelaporan hasil Pemeriksaan pada standar
standar pemeriksaan satuan pengawas intern (auditor internal BUMN/BUMD) antara lain
memuat hal-hal berikut ini:
a.
b.
c.
d.
Audit harus melaporkan hasil pemeriksaan sesuai dengan penugasan yang ditetapkan.
Laporan audit harus dibuat secara tertulis dan disampaikan kepada pejabat yang
berwenang tepat pada waktunya agar bermanfaat.
Laporan audit harus memuat ruang lingkup dan tujuan pemeriksaan, disusun dengan baik,
menyajikan informasi yang layak serta pernyataan bahwa pemeriksaan telah dilaksanakan
sesuai dengan norma pemeriksaan.
Setiap Laporan pemeriksa harus:
o
Memuat temuan dan kesimpulan pemeriksa secara objektif serta saran tindak yang
konstruktif
o
Lebih mengutamakan usaha perbaikan atau penyempurnaan dari pada kritik.
o
Mengungkapkan hal-hal yang masih merupakan masalah yang belum dapat
diselesaikan sampai berakhirnya pemeriksaan, bila ada.
o
Mengemukakan pengakuan atas suatu prestasi atau suatu tindakan perbaikan itu
dapat diterapkan di bagian lain.
o
Mengemukakan penjelasan pejabat objek yang diperiksa mengenai hasil
pemeriksaan.
20
Karakteristik Laporan Hasil Audit
Karakteristik yang harus dipenuhi oleh suatu laporan hasil audit yang baik ialah:
a.
Arti Penting
Hal – hal yang dikemukan dalam laporan hasil audit harus merupakan hal yang menurut
pertimbangan auditor cukup penting untuk dilaporkan. Hal ini perlu ditekankan agar ada
jaminan bahwa penerima laporan yang waktunya sangat terbatas akan menyempatkan diri
untuk membaca laporan tersebut.
b.
Tepat-waktu dan kegunaan laporan
Kegunaan laporan merupakan hal yang sangat penting. Untuk itu, laporan harus tepat
waktu dan disusun sesuai dengan minat serta kebutuhan penerimaan laporan, terlepas ari
maksud apakah laporan ditujukan untuk memberikan informasi atau guna merangsang
dilakukannya tindakan konstruktif.
c.
Ketepatan dan kecukupan bukti pendukung
Ketepatan laporan diperlukan untuk menjaga kewajaran dan sikap tidak memihak sehingga
memberikan jaminan bahwa laporan dapat diandalkan kebenarannya. Laporan harus bebas
dari kekeliruan fakta maupun penalaran. Semua fakta yang disajikan dalam laporan harus
didukung dengan bukti–bukti objektif dan cukup, guna membuktikan ketepatan dan
kelayakan hal-hal yang dilaporkan.
d.
Sifat menyakinkan
Temuan, kesimpulan dan rekomendasi harus disajikan secara menyakinkan dan dijabarkan
secara logis dari fakta–fakta yang ditemukan. Informasi yang disertakan dalam laporan
harus mencukupi agar menyakinkan pihak penerima laporan tentang pentingnya temuan–
temuan, kelayakan kesimpulan serta perlunya menerima rekomendasi yang diusulkan.
e.
Objektif
Laporan hasil audit harus menyajikan temuan–temuan secara objektif tanpa prasangka,
sehingga memberikan gambaran (perspektif) yang tepat.
f.
Jelas dan sederhana
Agar dapat melaksanakan fungsi komunikasi secara efektif, pelaporan harus disajikan
sejelas dan sesederhana mungkin. Ungkapan dan gaya bahasa yang berlebihan harus
dihindari. Apabila terpaksa menggunakan istilah–istilah teknis atau singkatan–singkatan
yang tidak begitu lazim, harus didefinisikan secara jelas.
g.
Ringkas
Laporan hasil audit tidak boleh lebih panjang dari pada yang diperlukan, tidak boleh
terlalu banyak dibebani rincian (kata-kata, kalimat, pasal atau bagian-bagian) yang tidak
secara jelas berhubungan dengan pesan yang ingin disampaikan, karena hal ini dapat
mengalihkan perhatian pembaca, menutupi pesan yang sesungguhnya, membingungkan
atau melenyapkan minat pembaca laporan.
h.
Lengkap
Walaupun laporan sedapat mungkin harus ringkas namun kelengkapannya harus tetap
dijaga, karena keringkasan yang tidak informative bukan suatu hal yang baik. Laporan
harus mengandung informasi yang cukup guna mendukung diperolehnya pengertian yang
tepat mengenai hal-hal yang dilaporkan. Untuk itu perlu diserahkan informasi mengenai
latar belakang dai pokok-pokok persoalan yang dikemukakan dan memberikan tanggapan
positif terhadap pandangan-pandangan pihak objek audit atau pihak lain yang terkait.
21
i.
Nada yang konstruktif
Sejalan dengan tujuan untuk memperbaiki atau meningkatkan mutu pelaksanaan kegiatan
dari objek audit, maka laporan hasil audit harus disusun dengan nada konstruktif sehingga
membangkitkan reaksi positif terhadap temuan dan rekomendasi yang diajukan.
Prosedur Pelaporan
Pedoman pelaporan agar sesuai dengan efektivitas komunikasi dan dampak psikologis
dari suatun laporan hasil audit:
o
Bentuk laporan agar dibuat sedemikian rupa sehingga membangkitkan minat orang
untuk melihat isinya.
o
Sajikan kesimpulan (atau executive summary) pada bagian awal laporan agar
pembaca dapat segera mengetahui intisari laporan tersebut.
o
Kesimpulan agar disajikan sedemikian rupa sehingga pembaca ingin mengetahui
lebih mendalam tentang uraian dan kesimpulan.
o
Temuan agar disajikan sedemikian rupa sehingga pembaca dapat mengetahui
tentang kriteria yang digunakan, kondisi (temuan), sebab dan akibat temuan tersebut
serta melaksanakan perbaikan sesuai dengan rekomendasi yang disajikan dalam
laporan hasil audit.
Laporan hasil audit disusun oleh ketua tim audit (atau oleh staf auditor yang kemudian
diperiksa oleh ketua tim audit), dan selanjutnya diserahkan kepada pengawas audit (supervisor)
untuk direview. Proses dari konsep sampai diterima (ditandatangi oleh ketua tim) dan diterima
oleh supervisor lazimnya melalui suatu proses bolak-balik yang kadang-kadang sampai
beberapa kali putaran. Dalam proses tersebut seringkali digunakan suatu formulir yang disebut
lembar review untuk memudahkan koreksi/tambahan dan sebagainya (dikenal dengan lembaran
review, review sheet) tanpa harus mencorat-coret konsep laporan hasil audit
Penggunaan lembaran review dilakukan dengan pertimbangan-pertimbangan berikut :
o
Komunikasi lisan akan memerlukan waktu yang cukup lama padahal atasan maupun
bawahan mungkin masih mempunyai kesibukan lain.
o
Komunikasi tertulis tidak dapat dilakukan di dalam konsep laporan, karena konsep
laporan tersebut akan dipenuhi dengan catatan-catatan review.
Bentuk Laporan
Bentuk laporan hasil audit pada dasarnya memuat sebagai berikut:
o
o
o
o
o
a.
Kulit depan (cover) dan Halaman pertama (cover dalam)
Daftar isi
Bagian-1: Intisari hasil audit (executive summary)
Bagian-2: Uraian hasil audit
Lampiran-lampiran
Kulit depan
Bentuk laporan dengan sampul yang menarik akan mengundang minat dan perhatian orang
sehingga yang bersangkutan mempunyai keinginan untuk mengetahui apa isinya. Karena
itu pada sampul laporan harus diberi judul yang dapat menarik minat tetapi tidak
bertentangan dengan tujuan audit.
22
Beberapa petunjuk dalam pemberian judul laporan adalah sebagai berikut :
o
Judul harus singkat, usahakan agar tidak lebih dari tiga baris dengan tiga sampai
empat kata untuk tiap baris. Judul yang terlalu panjang akan mengakibatkan orang
sulit mengerti sehingga kurang tertarik dan akibatnya laporan tersebut tidak dibaca.
o
Usahakan agar judul sedapat mungkin bercorak khusus (spesifik) dan informatif.
Misalnya dengan menggunakan kata-kata “Laporan Hasil Audit………………”
o
Pergunakan rumusan yang konstruktif, hindari kata-kata yang bernada negatif atau
menciptakan rangsangan untuk menunjukkan kelemahan. Dengan penyajian bentuk
laporan yang demikian diharapkan komunikasi tertulis yang dilakukan auditor
dapat mempunyai efek kognitif (nalar), efek afektif (sikap) dan efek konatif atau
perilaku (behavioral)
o
Laporan dengan warna tertentu akan menimbulkan rangsangan karena menyentuh
alat indera komunikan sehingga menimbulkan efek kognitif (mengubah pikiran
komunikan) bahwa auditor ingin berkomunikasi, juga menimbulkan efek afektif
(komunikan mempunyai perasaan ingin mengetahui tentang apa yang akan
dikomunikasikan). Efek afektif dapat juga berupa efek yang negatif, misalnya
perasaan tidak ingin membacanya karena pengalaman masa lalu dan atau perasaan
antipati terhadap auditor.
o
Dengan pemberian judul yang memadai diharapkan akan mempunyai efek konatif
disamping mempertahankan efek konitif dan afektif yang telah postif, yaitu dapat
mengubah perilaku komunikan.
b.
Penyajian intisari hasil audit
Intisari hasil audit adalah untuk mengkomunikasikan informasi yang ada dalam laporan
agar lebih efektif, menyediakan ringkasan yang beguna sehingga pembaca tidak perlu lagi
menyusun catatan singkatnya, dan memberikan motivasi kepada pembaca untuk menelaah
isi laporan selanjutnya. Penyajian intisari hasil audit dilakukan dengan pertimbangan
bahwa pembaca laporan audit adalah pejabat penting yang waktunya terbatas. Intisari
Hasil Audit harus memuat hal-hal sebagai berikut:
o Temuan dan kesimpulan
o Saran dan rekomendasi
o Pandangan para pejabat yang bertanggung jawab
o Temuan dan Kesimpulan
Intisari harus mengungkapkan temuan temuan dan kesimpulan-kesimpulan secara
singkat dan jelas. Jika dipandang perlu untuk mengungkapkan temuan dalam
persepektif yang sesuai maka intisari harus menyatakan tanggal atau periode terjadinya
hal-hal yang dilaporkan. Intisari juga harus mengungkapkan setiap pembatasan yang
terjadi pada pekerjaan, yang akan mempunyai arti penting dalam perspektif yang benar.
Pembatasan tersebut dapat berupa ruang lingkup audit atau tidak mungkinnya auditor
mendapatkan informasi yang relavan.
o
Saran atau Rekomendasi
Saran atau rekomendasi harus dinyatakan secara jelas dan ringkas agar diperhatikan
atau dapat merangsang tindakan pihak yang bersangkutan. Di pihak lain pandangan/
tanggapan/ komentar dari pejabat objek audit yang berhubungan dengan temuan dan
kesimpulan auditor tersebut juga harus atau perlu dinyatakan dengan jelas di intisari,
terutama pandangan yang sifatnya berlawanan dengan pandangan auditor. Apabila
auditor tidak puas terhadap tanggapan tersebut, hal itu juga harus dijelaskan di intisari.
23
Tujuan penyajian intisari hasil audit adalah merupakan catatan ringkas untuk menghindari tidak
efektifnya komunikasi. Untuk itu penyajian intisari hasil audit diharapkan sebagai berikut:
o
Gunakan kalimat-kalimat yang singkat dan jelas.
o
Gunakan kata-kata yang sederhana dan tidak bersifat teknis.
o
Gunakan sub-sub judul.
o
Garis bawahi kata-kata atau ungkapan-ungkapan penting.
o
Memberikan motivasi, karena tujuan penyajian intisari hasil audit adalah memberikan
motivasi kepada komunikan untuk mencoba dan menelaah isi laporan selanjutnya. Tujuan
ini merupakan efek konatif dari komunikasi karena diharapkan akan menimbulkan niat
bagi pembaca untuk menelaah isi laporan selanjutnya.
c.
Penyajian uraian hasil audit
Uraian hasil audit disajikan pada bab tersendiri setelah bab intisari hasil audit. Uraian
hasil audit biasanya terdiri dari bagian-bagian:
a.
Informasi Umum
Informasi umum disajikan dengan tujuan untuk menyediakan informasi bagi pembacanya
tentang program atau kegiatan yang diaudit dan sifat audit sehingga dapat digunakan untuk
membantu pembaca agar dengan mudah dapat menanggapi informasi yang dimuat dalam
laporan hasil audit.
Beberapa petunjuk dalam penyajian informasi umum adalah sebagai berikut:
o Harus dijaga agar relatif singkat dan harus dihindarkan adanya informasi yang lebih
sesuai disajikan pada bagian lain dari laporan.
o Apabila informasi umum menyajikan informasi yang bersangkutan dalam lampiran
dan apabila demikian, maka petunjuk tentang lampiran tersebut agar disajikan.
o Informasi umum yang disajikan biasanya dibagi menjadi beberapa sub bagian, yaitu:
Informasi mengenai sifat kegiatan audit, Informasi tentang kegiatan yang diaudit,
Pernyataan-pernyataan pengimbang, Informasi mengenai sifat kegiatan audit
o Informasi mengenai sifat audit diperlukan untuk mengkomunikasikan temuan-temuan
secara jelas atau menempatkan dalam perspektif yang benar. Bagian ini biasanya
memuat yang berikut ini:
Sifat audit, apakah audit keuangan, audit operasional atau audit khusus.
Periode yang dicakup dalam audit atau saat terjadinya kondisi yang dilaporkan.
Lokasi audit yang dilakukan apabila cukup banyak pada bagian ini
diungkapkan secara umum, tetapi dijelaskan pada masing-masing temuan.
Pernyataan mengenai tujuan dan latar belakang dilakukannya audit.
Referensi terhadap laporan-laporan lain dengan menyebutkan judul, nomor dan
tanggal laporan tersebut.
Pernyataan pengimbang agar pembaca tidak menarik kesan yang lebih buruk.
o Informasi mengenai kegiatan yang diaudit, pada umumnya terdiri dari:
Latar belakang dan tujuan kegiatan
Sifat dan ukuran kegiatan yang diaudit
Organisasi dan manajemen
24
Informasi singkat mengenai latar belakang bidang yang diaudit untuk
membantu pembaca laporan yang belum mengenal kegiatan atau bidang yang
diaudit. Informasi ini biasanya disajikan cukup dalam satu-dua kalimat saja.
Laporan hasil audit juga harus memuat penjelasan singkat mengenai sifat dan
ukuran kegiatan yang diaudit sebagai latar belakang untuk temuan-temuan
yang dilaporkan. Data mengenai kegiatan atau program yang diaudit akan
membantu pembaca laporan untuk memperoleh perspektif yang benar. Data
tersebut misalnya mengenai dana yang tersedia, biaya kegiatan atau program,
investasi untuk fasilitas atau untuk sumber daya lainnya, serta kredit yang
diberikan atau diterima. Data lain yang relevan dan menarik untuk bagian ini
adalah data jumlah pegawai dan lokasi kegiatan.
Di dalam laporan hasil audit perlu diungkapkan mengenai organisasi dan
manajemen objek audit, untuk mengetengahkan bidang-bidang yang merupakan sasaran komentar atau rekomendasi yang diusulkan dalam laporan.
Laporan harus menyatakan dengan singkat cara pengelolaan yang dilakukan
objek audit dalam melaksanakan tanggung jawabnya. Informasi ini harus
dibuat sesingkat mungkin dan konsisten dengan uraian yang mencukupi
tentang setiap kelemahan penting.
Untuk tujuan-tujuan khusus misalnya menjelaskan siapa saja yang bertanggung
jawab, maka daftar nama pejabat yang terkait dapat dikemukakan dalam
laporan hasil audit.
Dalam penyajian informasi umum sebaiknya dilakukan sebagai berikut :
o
Gunakan kalimat-kalimat yang tidak terlalu panjang, jelas dan relevan dengan isi
laporan
o
Usahakan agar audit dilakukan sedalam mungkin, sehingga pembaca tidak menganggap audit yang dilakukan seadanya sehingga yang bersangkutan enggan
membaca lebih lanjut
o
Informasi tentang kegiatan atau program yang diaudit agar disajikan dengan
benar, karena pembaca laporan atau pihak auditee lebih mengetahui hal tersebut.
b.
Temuan Audit
Bagian ini memuat pesan pokok yang ingin disampaikan auditor ke pembaca laporan, dan
merupakan alasan utama dibuatnya laporan tersebut.
Temuan audit kerap kali menyangkut hal-hal sebagai berikut :
o Ketidaktaatan terhadap ketentuan/ peraturan.
o Pengeluaran uang yang tidak sepatutnya.
o Ketidakhematan
o Ketidakefisienan
o Ketidakefektifan
Temuan yang telah dikembangkan dengan baik harus disajikan sedemikian rupa sehingga
masing-masing temuan dibedakan dengan jelas.
Berikut ini diberikan beberapa saran yang perlu diperhatikan dalam penyajian temuan:
o Gunakan sub judul dalam bagian temuan untuk membantu pihak pembaca mengikuti
logika penyajian dan menilai hubungan-hubungan yang terdapat didalamnya.
25
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
o
Masukkan semua informasi yang penting dan relevan, walaupun mungkin informasi itu
sifatnya menunjukkan bantahan terhadap pokok temuan auditor karena auditor harus
bersifat objektif.
Jangan melebih-lebihkan, atau terlalu banyak memberikan tekanan. Yakinkan bahwa
sikap auditor didukung oleh bukti-bukti yang kuat.
Hindarkan pengungkapan desas-desus sebagai fakta.
Jangan sertakan informasi yang bisa menyesatkan.
Yakinkan bahwa kesimpulan-kesimpulan adalah layak dan telah mengikuti logika dan
informasi yang disajikan.
Jangan meniadakan kesimpulan-kesimpulan atau pernyataan sikap yang penting dengan
anggapan bahwa hal-hal tersebut sudah diketahui oleh pihak pembaca.
Tuliskan dengan corak konstruktif. Hindarkan nada sinis, kasar dan mengejek.
Tekankan perlunya perbaikan dimasa depan.
Adakan penilaian mengenai kesadaran yang sudah ada di pihak auditee untuk
mengoreksi kekurangan-kekurangan yang dilaporkan, begitu pula setiap kemajuan yang
dicapai dalam usaha memperbaiki kondisi-kondisi yang dijumpai dalam audit
sebelumnya.
Pertimbangkan dengan selayaknya pelaksanaan kerja yang baik dan juga yang buruk.
Sajikan secara jujur komentar dari pihak yang terkena temuan0temuan, serta adakan
evaluasi terhadap pandangan dan komentar tersebut.
Berikan informasi yang cukup mengenai gambaran keseluruhan agar terdapat
perspektif yang selayaknya mengenai temuan-temuan audit.
Yakinkan bahwa semua permasalahan yang penting sudah ada pemecahannya sebelum
laporan diajukan untuk pengolahan yang terakhir.
Pertimbangkan perlunya membahas mengenai cukupnya pengendalian yang dilakukan
pihak objek yang di audit terhadap bidang-bidang dimana ditemukan kekurangankekurangan yang serius atau tersebar luas.
Gunakan ilustrasi untuk membantu menjelaskan pokok temuan.
Terangkan dengan jelas kriteria yang dipakai untuk mengukur kondisi yang ada.
Jelaskan pengaruh negatif yang ada atau yang mungkin timbul.
Jangan gambarkan pengaruh negatif secara sembrono atau sambil lalu.
Nyatakan semua taksiran kerugian atau penghematan dan sebagainya dengan jelas guna
menghindarkan adanya kesan akan ketepatan yang sebetulnya menyesatkan.
Tunjukkan penyebab / alasan yang mendasari perilaku yang merugikan atau kondisi
yang tidak memuaskan.
Pergunakan alat peraga untuk menambah kekuatan informasi (foto, peta, tabel dan
sebagainya).
Usahakan uraian ringkas, batasi laporan pada informasi yang diperlukan guna mendukung dan menjelaskan pokok temuan secara mencukupi. Hindari penggunaan kalimat
yang bertele-tele serta hal-hal yang tidak termasuk persoalan.
Jangan masukkan rincian tidak penting dari langkah-langkah audit yang dilakukan.
Jangan terlalu banyak memakai kata-kata yang bersifat menilai terutama pada awal
kalimat.
26
o
o
o
o
o
c.
Perjelas ide-ide dengan jalan menyebutkan satu-satu atau dengan membuat daftar untuk
setiap masalah.
Pergunakan bahasa yang jelas, sederhana dan mudah dipahami.
Hindarkan penggunaan singkatan-singkatan yang tidak begitu dikenal.
Sajikan temuan-temuan sesuai dengan urutan prioritasnya.
Jelaskan dasar-dasar dari perkiraan (estimate) dan proyeksi-proyeksi.
Rekomendasi
Laporan hasil audit yang memuat rekomendasi konstruktif besar sekali manfaatnya
untuk mendorong perbaikan dalam pengelolaan program atau kegiatan. Selain itu laporan yang
bercorak informatif atau pengungkapan yang mengkomunikasikan informasi yang bermanfaat
dapat membantu pihak pemakai laporan dalam melaksanakan tugasnya. Hal ini berarti tujuan
dari pekerjaan audit dapat tercapai. Rekomendasi dapat ditujukan kepada pemimpin objek audit
atau atasan pemimpin objek audit atau pihak (pejabat) lain yang terkait.
Rekomendasi harus disertakan dalam laporan hasil audit, apabila pekerjaan audit
memberikan indikasi perlunya diambil tindakan atau apabila tindakan yang dimaksud belum
dilaksanakan pada saat laporan disusun. Auditor wajib memberikan rekomendasi kepada atasan
objek audit atau pejabat yang berwenang melakukan tindak lanjut. Laporan hasil audit harus
memuat rekomendasi yang sesuai atau usul mengenai alternatif tindakan, apabila hasil audit
memberikan indikasi perlunya ada ketentuan atau tindakan perbaikan. Rekomendasi juga harus
diajukan dalam hal tindakan korektif telah dijanjikan atau dimulai. Dalam hal ini auditor lebih
baik menyatakan rekomendasi secara positif daripada hanya mengungkapakan tindakan yang
dijanjikan atau sedang ditangani objek audit.
Setiap unit organisasi mempunyai tanggung jawab untuk menentukan cara pelaksanaan
kegiatan-kegiatannya dengan memperhatikan pembatasan dan persyaratan yang berlaku.
Auditor tidak memiliki kewenangan untuk langsung memerintahkan dilakukannya perubahan
dalam kebijakan, prosedur maupun fungsi dari objek audit. Meskipun demikian apabila auditor
mengamati adanya kekurangan dalam kegiatan objek audit, maka ia harus mengajukan
rekomendasi yang sesuai untuk itu. Untuk beberapa masalah yang diungkapkan mungkin
terdapat berbagai alternatif penyelesaian. Untuk itu auditor harus mengajukan segi-segi positif
dan negatif dari masing-masing alternatif dan bukan mencoba menyalahkan terhadap salah satu
penyelesaian tertentu.
Pentingnya suatu temuan dan rekomendasi bagi pembaca sebagian besar tergantung
dari lingkup penerapannya serta konsekuensi-konsekuensi praktis darinya (baik yang telah atau
mungkin akan terjadi). Karena itu penting bagi auditor untuk mengetengahkan keuntungankeuntungan praktis dari rekomendasinya dan merancang rekomendasi itu sedemikian rupa
sehingga diperoleh manfaat sebesar mungkin. Dalam kasus dimana terdapat ketidaktaatan
terhadap ketentuan, auditor harus merekomendasikan tindakan khusus guna memperbaiki
situasi dan bukan hanya merekomendasikan agar ketentuan yang bersangkutan ditaati. Dalam
menyusun konsep rekomendasi auditor harus dengan seksama mempertimbangkan biaya untuk
melaksanakan rekomendasi dibandingkan dengan manfaat/ keuntungan yang dapat diperoleh.
Sejauh mungkin laporan hasil audit harus menyertakan informasi yang menunjukkan bahwa
rekomendasi tersebut dapat dipertanggungjawabkan dari segi biaya. Sedapat mungkin
rekomendasi ditempatkan segera setelah temuan yang bertalian dengannya.
27
Format laporan hasil audit sistem informasi menurut Badan Pengawasan Keuangan dan
Pembangunan (BPKP), suatu badan auditor internal pemerintah di Indonesia, memberikan
panduan bentuk laporan hasil audit sistem informasi sebagai berikut:
Bab I
Simpulan hasil penilaian
Bab ini merupakan ikhtisar kesimpulan hasil penilaian sistem informasi, yang
isinya terutama memaparkan tingkat kesehatan sistem yang bersangkutan dan
rekomendasi.
Bab II Uraian hasil penilaian sistem informasi akuntansi
Bab II merupakan uraian rinci mengenai hasil penilaian sistem informsi
a.
Dasar penilaian (landasan hukum untuk melakukan penilaian)
b.
Umum
Penjelasan yang diuraikan dalam sub bab ini meliputi organisasi, sistem
berbasis komputer dan kebijaksanaan manajemen yang berkaitan dengan
pengelolaan sistem informasi berbasis komputer, fungsi auditor intern
dalam sistem informasi berbasis komputer dan pengembangan aplikasi,
sistem dan pemrogaman
c.
Ruang lingkup penilaian
Dalam sub bab ini agar diuraikan mengenai tujuan dan pembatasan
ruang lingkup pemeriksaan.
d.
Tinjauan umum sistem
Dalam sub bab ini agar dikemukakan mengenai peralatan (komputer)
yang digunakan, maupun mengenai sistem pemrosesan datanya/secara
terpusat atau distribusi, batch atau on-line/jaringan.
e.
Hasil penilaian sistem
Dalam sub bab ini diuraikan mengenai hasil penilaian sistem terutama
mengenai tingkat kesehatan sistem informasi perusahaan tersebut. Selain
itu, dalam sub bab ini agar diuraikan mengenai rekomendasi auditor guna
memperbaiki sistem yang telah dioperasikan
f.
Penjelasan
Lampiran-lampiran
Laporan hasil audit yang disusun oleh instansi auditor mempunyai tujuan/ manfaat
sebagai berikut :
a. Sebagai bukti pelaksanaan tugas
b. Sebagai sumber referensi untuk perencanaan audit berikutnya
c. Sebagai alat pembuktian apabila ada sanggahan dari pihak yang terlibat
d. Sebagai media untuk mengkomunikasikan informasi–informasi penting yang diperoleh
selama pelaksanaan audit.
Laporan hasil audit merupakan bentuk komunikasi tertulis yang berisi pesan agar
pembaca laporan khususnya auditee dapat mengerti dan menindaklanjuti temuan sesuai dengan
rekomendasi yang terdapat di dalam laporan tersebut. Laporan audit seharusnya merupakan alat
komunikasi yang efektif dan mempunyai dampak psikologis (positif maupun negatif) bagi
auditor maupun auditee, terutama individu yang terlibat. Jika suatu rekomendasi tidak ditindaklanjuti oleh auditee atau pihak lain yang terkait, maka hal tersebut berarti komunikasi tertulis
yang dilakukan oleh auditor tidak efektif.
28
Pentingnya Pengalaman Auditor
Komunikasi bukan merupakan hal yang pasti, tetapi lebih banyak mengandung unsur
seni, dalam arti bahwa keberhasilan komunikasi tidak dapat dipastikan dengan menggunakan
rumus-rumus atau formula-formula tertentu. Hal itu disebabkan adanya komunikan dan
komunikator sebagai individu dengan sifat dan watak yang berbeda. Karena itu pengetahuan
tentang teknik audit, teknik penyusunan laporan, teknik komunikasi belum dapat dilaksanakan
secara efektif tanpa pengalaman petugas yang bersangkutan.
Pengalaman bukan hanya dalam hal lamanya waktu, tetapi lebih dari itu: orang yang
lebih lama bertugas belum tentu lebih berpengalaman, tetapi yang pasti ia lebih lama masa
kerjanya. Selain faktor lamanya bertugas, yang dimaksud dengan berpengalaman adalah apabila
yang bersangkutan lebih banyak menerima masukan ilmu baru dan untuk itu yang bersangkutan
tidak boleh merasa sudah mengetahui segalanya. Juga sifat ingin lebih mendalami, sifat terbuka
dan sifat ingin meningkatkan diri menambah pengalaman seseorang. Dengan pengalaman yang
memadai auditor tidak akan mudah putus asa dalam menghadapi situasi yang tidak sesuai
dengan seleranya tetapi dengan mudah mencari pemecahannya.
29
KONSTRIBUSI
TERHADAP RESIKO
PENGENDALIAN
ASPEK YANG DINILAI
KETERANGAN
Pengendalian organisasi dan praktek kepegawaian
Apakah terhadap kegiatan sistem (pengolahan data) berbasis
komputer terdapat ‘counter check’ tertulis dari pemakai
Apakah terdapat pemisahan fungsi library dari fungsi
pengoperasian dan pengembangan sistem
-
Apakah terdapat pemisahan fungsi pemprosesan data dari
pemakai atau fungsi pengoperasian
-
Apakah untuk setiap modul terdapat pembagian tugas
antara programmer dengan system analysyst
-
Apakah direksi bertanggung jawab terhadap pengendalian
sistem (pengolahan data) berbasis komputer
-
Apakah program pemeriksa intern mencakup Teliti atas
a. Pengaturan tugas dan tanggungjawab bagian sistem
(pengolahan data) berbasis komputer
b.
c.
Program yang digunakan oleh bagian sistem
(pengolahan data) berbasis komputer untuk
menyiapkan data yang diperiksa
Pengendalian aplikasi pada pemakai terhadap
pemrosesan data yang dilakukan oleh bagian sistem
(pengolahan data) berbasis komputer
Apakah terdapat kelompok-kelompok pengendali di luar
bagian sistem (pengolahan data) berbasis komputer yang
melakukan Teliti secara independen
Apakah dilakukan seleksi terhadap para pegawai yang
bekerja di bagian sistem (pengolahan data) berbasis
komputer
-
Apakah terdapat program pelatihan untuk peningkatan
kemampuan pagawai bagian sistem (pengolahan data)
berbasis komputer
Apakah terdapat evaluasi secara periodik terhadap pegawai
bagian sistem (pengolahan data) berbasis komputer
Apakah terdapat pengaturan pemutasi, promosi, dan
pemberhentian pegawai di bagian sistem (pengolahan data)
berbasis komputer
-
Karena
organisasi
kecil
-
Karena belum
diperiksa
-
Idem
-
Idem
30
Prosedur Operasi Tetap
Apakah penyiapan data dilakukan oleh bagian diluar bagian
sistem (pengolahan data) berbasis komputer
Apakah wewenang mengubah master file dilakukan oleh
bagian diluar bagian sistem (pengolahan data) berbasis
komputer
-
Apakah supervisi terhadap aktivitas operator dan komputer
dilakukan secara periodik
-
Apakah terdapat pembatasan akses terhadap dokumentasi
sistem dan program
-
Apakah terdapat petunjuk pengoperasian yang memadai
Pengendalian Pengembangan Sistem dan Dokumentasi
Apakah terdapat prosedur tetap/standard procedure untuk
mengembangkan sistem
-
Apakah terdapat standarisasi program antara lain
- bagan arus
- tabel keputusan
- tabel kode
- daftar kata-kata dan singkatan-singkatan
-
Apakah terdapat partisipasi pemakai, bagian akuntansi, dan
pemeriksa intern dalam pengembangan sistem
-
Apakah terdapat Teliti dan persetujuan pengembangan
sistem oleh staf sistem (pengolahan data) berbasis komputer
-
Apakah terdapat Teliti dan persetujuan pengembangan
sistem oleh pemakai
-
Apakah terdapat pengujian aplikasi yang baru sebelum
diimplementasikan
-
Apakah terdapat persetujuan akhir dari manajemen, pemakai
dan staf sistem (pengolahan data) berbasis komputer
sebelum diimplementasikan
-
Apakah terdapat pengendalian terhadap perubahan dari
sistem lama ke sistem yang baru
-
Apakah terdapat standar dokumentasi
Apakah terdapat dokumentasi yang disiapkan sebagai bukti
ketaatan terhadap prosedur tetap pengembangan sistem
Apakah terdapat pemisahan dokumentasi dari pendefinisian
masalah, analisis, pemrogaman, dan pengoperasian sistem
31
Pengendalian Perangkat Keras dan Perangkat Lunak
Apakah digunakan cara-cara otomatis untuk mendeteksi dan
mengoreksi kesalahan perangkat keras antara lain
-
Redundace character check
Duplicate process check
Echo check
Equipment check
Validity check
-
Apakah efektivitas pengendalian perangkat keras telah
didukung pengendalian operasi terhadap
- Media keluaran dan penyimpanan
- Dafter dan laporan kegagalan peralatan
- Prosedur perawatan peralatan
-
Apakah sistem operasi memiliki kemampuan penanganan
kesalahan
-
Apakah sistem operasi dapat mencegah pemakaian secara
tidak sah
-
Pengendalian Pengamanan Sistem
Apakah terdapat pengendalian yang meliputi
-
Pengendalian lokasi
Pengendalian konstruksi
Pengendalian fasilitas akses
Pengendalian library
Pengendalian terminal
Pengendalian wewenang
Pengendalian identifikasi
Pengendalian komunikasi data
-
Apakah terdapat pengendalian yang dapat mendeteksi
kegagalan di dalam pengamanan sistem
-
Peralatan pendeteksi kebakaran
Peralatan pendeteksi pengaksesan
Keabsahan
Pemantauan sistem
-
Apakah terdapat pengendalian yang dapat menjamin
pemulihan kegagalan pengamanan sistem seperti
-
Alat pemadam kebakaran
Prosedur darurat
Fasilitas dan peralatan cadangan/back up
prosuder pemulihan data
Petugas cadangan pengganti
Supplies cadangan
-
32
Data Entry
Apakah ada prosedur operasi tetap untuk memasukan data ke dalam aplikasi
Apakah ada pengendalian yang membolehkan jumlah input pada aplikasi untuk
direkonsiliasi dengan jumlah yang terwakili terhadap data entry
Apakah seluruh dokumen sumber mengindikasikan adanya otoritas
-
Apakah ukuran pengamanan ditempatkan untuk pembatasan akses terhadap
terminal input dan tanda validasi pemakai
-
Apakah ada penggunaan metoda untuk mengesampingkan atau membypass
validasi data, prosedur edit, dan analisis atas kelayakan dan ketepatan oleh
supervisor
-
Apakah terdapat prosedur yang didokumentasikan yang menjelaskan proses
pengindentifikasikan, pembenaran, dan pengolahan kembali data yang ditolak
oleh aplikasi
-
Apakah seluruh data yang tidak cocok dengan permintaan ditolak pada proses
selanjutnya
-
Apakah terdapat prosedur yang digunakan untuk mengendalikan tindak lanjut,
koreksi, dan reentry data yang di tolak
-
Apakah tindakan koreksi diambil bila tingkat kesalahan terlalu tinggi
Apakah perhitungan item-item yang ditolak direkonsiliasi dengan pencatatan
yang dapat diterima ke perkiraan untuk seluruh input
-
Pengolahan data
-
Apakah terdapat prosedur operasi tetap yang didokumentasikan untuk
menjelaskan metoda-metoda pemrosesan data terhadap setiap program aplikasi
Apakah terdapat catatan/log selama proses pengolahan
Apakah program-program aplikasi diamankan terhadap input langsung dari
console operator
Apakah on line system di lindungi terhadap pemuktahiran non current file
-
Apakah terdapat penngecekan yang dilaksanakan untuk meyakinkan bahwa filefile aplikasi telah diproses secara lengkap
-
-
33
Apakah pengendalian pemrosesan menjamin bahwa penghitungan output
system, sama dengan penghitungan input ke sistem
Apakah terdapat pengeditan transaksi dan master file untuk pengecekan
kelayakan dan ketepatannya sebelum dimutakhirkan
Distribusi Keluaran
-
Apakah terdapat prosedur operasi tetap yang menjelaskan pendistribusian
keluaran
Data Capture
-
Apakah terdapat prosedur operasi tetap yang memadai
Apakah dokumen sumber diberi nomor urut tercetak dan dirancang dengan
format khusus
-
Apakah dokumen sumber telah diamankan secara memadai
-
Apakah terdapat pemisahan tugas pada pemakai
-
Apakah terdapat evaluasi terhadap pemakai
-
Apakah terdapat rotasi penugasan di antara pemakai
-
Keluaran
-
Apakah terdapat evaluasi secara periodik mengenai kebutuan pemakai
Apakah tiap produk telah diberi label untuk mengindentifikasikan nama produk,
nama penerima, waktu dan tanggal dibuat
-
Apakah prosedur yang didokumentasikan menjelaskan metoda-metoda
pelaporan, pengkoreksian, pemrosesan kembali keluaran yang mengandung
kesalahan
-
Apakah penghitungan catatan input dan kontrol jumlah telah direkonsiliasi
dengan penghitungan catatan output dan kontrol jumlah untuk memastikan
bahwa tidak ada data yang hilang atau ditambahkan selama pengolahan
-
Apakah sistem keluaran diTeliti kelengkapan dan keakuratannya sebelum
diedarkan ke pemakai
Apakah Teliti ini mencakup rekonsiliasi penghitungan catatan dan kontrol
jumlah
-
Apakah dokumen sumber ditahan dan disimpan dengan urutan logis untuk
memudahkan mendapatkannya kembali
-
34
Komposisi Pengendalian
Bobot
Pengendalian sistem (pengolahan data) berbasis
komputer
Pengendalian umum
- Pengendalian organisasi, praktek kepegawaian,
dan prosedur operasi tetap
.15
-
Pengembangan
dokumentasi
pengendalian
.15
-
Pengendalian perangkat keras dan perangkat
lunak
.10
-
Pengendalian sistem pengamanan
sistem
dan
.15
.55
Pengendalian Aplikasi di bagian
(pengolahan data) berbasis komputer
- Peng-input-an data
- Pengolahan data
- Distribusi keluaran
sistem
.10
.15
.05
.30
.85
Pengenalan Aplikasi Pada Pemakai
-
Data capture
Keluaran
.10
.05
.15
1.00
35
Nilai yang diberikan untuk masing –masing eleman pengendalian berkisar antara 0-100 dengan rincian
sebagai berikut:
100-80
Sangat kuat
79-60
Kuat
59-40
Cukup
39-20
Lemah
19-0
Sangat lemah
Nilai total pengendalian dengan cara sebagai berikut
Jumlah [ nilai x bobot]
Tingkat risiko pengendalian adalah
100-Nilai Totalpengendalian
Semakin rendah tingkat risiko pengendalian menunjukan semakin dapat diandalkannya pengendalian
intern dari sistem informasi akuntansi, sehingga perancangan untuk pengujian substantif semakin
terbatas. Demikian pula sebaliknya, jika resiko pengendalian menunjukan angka yang tinggi menunjukan
berkurangnya keandalan pengandalian intern.
Contoh Perhitungan
Bobot
Pengendalian umum
- Pengedalian organisasi, praktek kepegawaian dan
prosedur standar operasi
- Pengembangan sistem dan pengendalian dokementasi
- Pengendalian perangkat lunak dan perangkat keraS
- Pengendalian sistem keamanan
.15
.15
.10
.15
Hasil pemeriksaan
77,781
100,002
100,003
94,744
Pengendalian Aplikasi di bagian sistem (pengolahan data) berbasis komputer
- Data entry
.10
- Pengolahan data
.15
- Distribusi keluaran
.05
90,005
100,006
100,007
Pengendalian Aplikasi pada pemakai
- Data capture
100,008
100,009
.10
.05
Nilai total pengendalian = [77,78 x .15] =[1000 x.15]
= [100 x.10] = [94,74 x .15]
= [90 x.10] = [100 x .15]
= [100 x.05] = [100 x .10]
= 11,67=15=10=14,21=9=15
=5=10=59
= 94,88
Angka tersebut menunjukan nilai kehandalan pengendalian intern yang ada pada sistem informasi
akuntansi yang dinilai sangat kuat.
Tingkat risiko pengendalian yang ada adalah sebesar
100 – 94,88 = 5,12
Dengan tingkat risiko pengendalian yang rendah tersebut, pemeriksaan dapat merancang pengujian
sustantif secara terbatas.
36
Penjelasan
JP
Y
T
N/A
= Jumlah pertanyaan
= Ya
= Tidak
= not Applicable/Tidak diterapkan
1. Pengendalian organisasi, praktek kepegawaian, dan prosedur operasi tetap
JP
= 18
Y
= 14
T
=4
N/A = 0
Hasil =[ Y;[JP – N/A] ] x 100= [14;18] x 100
=77,78
2. Pengendalian pengembangan sistem dan dokumentasi
JP
= 14
Y
= 14
T
=0
N/A = 0
Hasil = [Y;[JP – N/A]] x 100=[14;[14-0]]x 100
= 100,00
3. Pengendalian perangkat keras dan perangkat lunak
JP
= 10
Y
= 10
T
=0
N/A = 0
Hasil = [Y;[JP – N/A]] x 100= [10;[10-0]] x 100
= 100,00
4. Pengendalian pengamanan sistem
JP
= 19
Y
= 18
T
=1
N/A = 0
Hasil = [ Y; [JP-N/A]] x 100= [18;[19-0]] x 100
= 94,74
5. Data entry
JP
= 10
Y
=9
T
=1
N/A = 0
Hasil = [Y;[JP – N/A]]x100= [9;[10-0]]x100
= 90,00
6. Pengolahan data
JP
=7
Y
=7
T
=0
N/A = 0
Hasil = [Y;[JP-N/A]] x100= [7; [7-0]]x100
= 100,00
37
7. Distribusi keluaran
JP
=1
Y
=1
T
=0
N/A = 0
Hasil = [Y; [JP – N/A]] x100= [1; [1-0]]x100
= 100,00
8. Data capture
JP
=6
Y
=6
T
=1
N/A = 0
Hasil = [Y; [JP – N/A]] x 100=[6;[6-0]] x100
=100,00
9. Keluaran
JP
=6
Y
=6
T
=0
N/A = 0
Hasil = [Y; [JP – N/A]] x100= [; [6-0]] x100
= 100,00