2.) A.
KONSEP DASAR KONTROL
Audit sistem informasi adalah proses pengumpulan
dan penilaian bukti–bukti untuk menentukan apakah sistem komputer dapat
mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan
organisasi secara efektif dan menggunakan sumberdaya secara efisien”.
Audit
sistem informasi dilakukan untuk dapat menilai:
a.
apakah sistem komputerisasi suatu organisasi/perusahaan dapat mendukung
pengamanan aset.
b.
apakah sistem komputerisasi dapat mendukung pencapaian tujuan
organisasi/perusahaan.
c.
apakah sistem komputerisasi tersebut
efektif, efisien dan data integrity terjamin.
B. PRINSIP-PRINSIP DASAR PROSES AUDIT SI
- Audit dititikberatkan pada objek audit yang mempunyai
peluang untuk diperbaiki
- Prasyarat Penilaian terhadap kegiatan objek audit
- Pengungkapan dalam laporan adanya temuan-temuan yang
bersifat positif
- Identifikasi individu yang bertanggungjawab terhadap
kekurangan-kekurangan yang terjadi.
- Penentuan tindakan terhadap petugas yang seharusnya
bertanggung jawab
- Pelanggaran hokum
- Penyelidikan dan pencegahan kecurangan
C. STANDAR DAN PANDUAN AUDIT SI
Standar
Audit SI tidak lepas dari standar professional seorang auditor SI, yaitu ukuran
mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi
para anggota profesi dalam menjalankan tanggung jawab profesinya
3.) A. KONTROL INTERNAL
Melalui Statement of Auditing Standar (SAS), AICPA mendefinisikan
Internal Control sama dengan definisi COSO, yaitu suatu proses yang dipengaruhi
oleh aktivitas Dewan Komisaris, Manajemen dan Pegawai, yang dirancang untuk
memberikan keyakinan yang wajar atas (a) keandalan pelaporan keuangan, (b)
efektivitas dan efisiensi operasi, dan (c) ketaatan terhadap hukum dan
peraturan yang berlaku. Berbeda dengan definisi pertama yang hanya mengaitkan
pengendalian hanya dengan perencanaan, metode dan pengukuran, pada definisi
berikutnya terkait dengan “proses yang dipengaruhi oleh aktivitas seluruh
komponen organisasi”. Definisi ini mengandung makna yang lebih luas dari
definisi sebelumnya.
Dalam teori akuntansi dan organisasi, pengendalian
intern atau internal control didefinisikan sebagai suatu proses, yang
dipengaruhi oleh sumber daya manusia dan sistem teknologi informasi, yang
dirancang untuk membantu organisasi mencapai suatu tujuan atau objektif
tertentu. Pengendalian intern merupakan suatu cara untuk mengarahkan,
mengawasi, dan mengukur sumber daya suatu organisasi. Ia berperan penting untuk
mencegah dan mendeteksi penggelapan (fraud) dan melindungi sumber daya
organisasi baik yang berwujud (seperti mesin dan lahan) maupun tidak (seperti
reputasi atau hak kekayaan intelektual seperti merek dagang).
Untuk menjaga agar sistem internal control ini
benar-benar dapat dilaksanakan, maka sangat diperlukan adanya internal auditor
atau bagian pemeriksaan intern. Fungsi pemeriksaan ini merupakan upaya
tindakan pencegahan, penemuan penyimpangan-penyimpangan melalui pembinaan dan
pemantauan internal control secara berkesinambungan. Bagian ini harus
membuat suatu program yang sistematis dengan mengadakan observasi langsung,
pemeriksaan dan penilaian atas pelaksanaan kebijakan pimpinan serta pengawasan
sistem informasi akuntansi dan keuangan lainnya.
RUANG
LINGKUP KONTROL INTERNAL
Ruang
lingkup menurut Guy (2002:410), ruang lingkup audit internal meliputi
pemeriksaan dan evaluasi yang memadai serta efektifitas sistem pengendalian
internal organisasi dan kualitas kinerja dalam melaksanakan tanggungjawab yang
dibebankan.
Ruang
lingkup audit internal menurut The Institute of Internal auditors (IIA) yang
dikutip oleh Boynton et al (2001:983) “The scope of audit internal should
encompass of the adequacy and effectiveness the organizations system of
performance in carrying out assigned responsibilities; (1) reability and
integrying of information; (2) compliance with policies, plans, procedures,
laws, regulations and contacts; (3) safeguarding of assets; (4) economical and
efficient use of resources; (5) accomplishment of established objectives and
goals for operations programs”. (Ruang lingkup audit internal harus mencakup
kecukupan dan efektivitas sistem kinerja organisasi dalam melaksanakan tanggung
jawab yang ditugaskan; (1) keandalan dan menyokong informasi; (2) sesuai dengan
kebijakan, rencana, prosedur, hukum, peraturan dan kontak; (3) pengamanan
aktiva; (4) penggunaan sumber daya yang ekonomis dan efisien; (5) tercapainya
target yang ditetapkan dan tujuan program operasi).
Menurut Hiro
Tugiman (2001:17), lingkup pekerjaan pemeriksaan internal harus meliputi
pengujian dan evaluasi terhadap kecukupan serta efektivitas sistem pengendalian
internal yang dimiliki organisasi dan kualitas pelaksanaan tanggung jawab yang
diberikan.
SISTEM
KONTROL INTERNAL
Suatu
sistem atau sosial yang dilakukan perusahaan yang terdiri dari struktur
organisasi, metode, dan ukuran-ukuran untuk menjaga dan mengarahkan jalan
perusahaan agar bergerak sesuai dengan tujuan dan prgram perusahaan dan
mendorong efisiensi serta dipatuhinya kebijakan manajemen.
B. CONTROL
OBJECTIVES
Sekumpulan dokumentasi best practice untuk IT Governance yang
dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap
antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT
(Sasongko, 2009).
COBIT mendukung
tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI
dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan
bisnis, memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan sumber
daya TI digunakan secara bertanggung jawab (Tanuwijaya dan Sarno, 2010).
COBIT
merupakan standar yang dinilai paling lengkap dan menyeluruh sebagai framework
IT audit karena dikembangkan secara berkelanjutan oleh lembaga swadaya
profesional auditor yang tersebar di hampir seluruh negara. Dimana di setiap
negara dibangun chapter yang dapat mengelola para profesional tersebut.
CONTROL RISK
Risk control
adalah metode pengendalian risiko yang tidak melibatkan uang/dana. Metode ini
terdiri dari 3 tahapan, yaitu sebelum, pada saat, dan sesudah terjadi kontak
dengan kerugian. Di sini kejadian-kejadian yang mengakibatkan kerugian keuangan
diupayakan untuk dikurangi kemungkinan terjadinya dan besarnya kerugian
keuangan yang terjadi diminimalkan.
Ada 5 cara
(metode) dalam pengendalian risiko:
1. Risk
Avoidance (Penghindaran Risiko)
Dengan
metode ini, risiko dihindari dengan cara meninggalkan atau tidak pernah
melakukan kegiatan apa pun yang memiliki risiko. Hal ini dilakukan dengan
mempertimbangkan potensi keuntungan dan kerugian yang dapat diakibatkan oleh
suatu aktifitas. Contohnya: Tidak bepergian ke tempat rawan bencana seperti
Jepang dan tidak melakukan olahraga berbahaya jika tidak ingin cidera.
2.
Segregation (Pemisahan Risiko) and Diversification (Pembagian Risiko)
Segregation
dilakukan dengan memisahkan orang-orang atau benda-benda yang dapat menjadi
penyebab kerugian. Diversifikasi dilakukan dengan memperbanyak aset atau
aktifitas pada lokasi yang berbeda. Contohnya: Menempatkan uang pada beberapa
sarana investasi yang berbeda daripada menempatkan ssemuanya dalam satu sarana
investasi. Selain itu, dapat juga memilih untuk bepergian dengan kendaraan
terpisah daripada semua keluarga inti berada dalam satu kendaraan.
3. Loss
Prevention (Pencegahan Kerugian)
Metode ini
dilakukan untuk mencegah dampak kerugian. Contohnya, dengan meningkatkan
langkah-langkah keamanan untuk mengurangi kemungkinan kebakaran dengan memasang
alarm kebakaran. Selain itu, bisa juga dengan melakukan langkah-langkah
pengurangan risiko sakit dengan hidup sehat dan mencegah dampak kecelakaan
bermotor dengan mengenakan helm saat mengendarai motor.
4. Loss
Reduction (Pengurangan Kerugian)
Metode ini
dilakukan dengan mengurangi dampak kerugian atau pun kerusakan yang dihasilkan
oleh suatu risiko. Contohnya, dengan menggunakan sabuk pengaman untuk
mengurangi kemungkinan terjadinya cidera dalam kecelakaan lalu lintas dan
mengurangi dampak kebakaran dengan pemadam kebakaran otomatis.
5.
Non-insurance Transfer (Pemindahan Non-asuransi)
Dengan
metode ini, risiko dialihkan tanpa menggunakan asuransi. Contohnya, dengan
mendirikan sebuah peusahaan bisnis untuk mengalihkan risiko menanggung kerugian
dan mengambil kontrak sewa yang lebih panjang untuk menghindari harga sewa yang
meningkat.
C. MANAGEMENT
CONTROL FRAMEWORK
Mengumpulkan
dan menggunakan informasi untuk mengevaluasi kinerja berbagai sumber daya
organisasi secara keseluruhan.
APPLICATION
CONTROL FRAMEWORK
Sistem
pengendalian intern komputer yang berkaitan dengan pekerjaan dan kegiatan
tertentu yang telah ditentukan. Berkaitan dengan ruang lingkup proses
bisnis individu atau sistem aplikasi.
CORPORATE IT
GOVERNANCE
Kumpulan
kebijakan, proses atau aktifitas dan prosedur untuk mendukung pengoperasian TI
agar hasilnya sejalan dengan strategi bisnis.
4.) Aspek
Management Control Framework :
- Defining,
creating, redefining, retiring data (dengan wawancara, observasi)
- Membuat
database tersedia untuk semua user
- Menginformasikan
dan melayani user
- Memelihara
integritas data
- Monitoring
operations
