Proses Audit dalam Lingkungan Teknologi Informasi

Proses Audit dalam Lingkungan Teknologi Informasi

Perlunya verifikasi audit teknologi informasi (TI) digunakan untuk meninjau operasi fasilitas TI atau memeriksa pegembangan aplikasi atau sistem, maka dari itu kontrol dalam bidang ini perlu dilakukan. Selain itu, Fungsi auditor IT melengkapi fungsi auditor internal dengan memberikan jaminan yang masuk akal bahwa aset dilindungi, informasi tepat waktu dan dapat diandalkan, dan semua kesalahan dan kekurangan ditemukan dan diperbaiki dengan segera. Tujuan yang sama pentingnya dari fungsi ini adalah kontrol yang lebih baik, jejak audit yang lengkap, dan kepatuhan yang ketat terhadap kebijakan organisasi.

Pada bab ini akan membahas proses audit TI untuk audit computer dan tutunan yang akan ditempatkan pada profesi di masa mendatang. Auditor komputer harus bersiap untuk dan pindah ke dunia yang benar-benar tergantung pada IS komputer yang besar dan sangat terintegrasi. Sistem ini dapat dicirikan dengan penggunaan teknologi yang muncul, seperti pemrosesan terdistribusi, jaringan area lokal, klien / server (C / S), Internet / intranet, teknologi mikro, firmware, transmisi satelit, dan lainnya.

Sebelumnya tahukah kalian apa itu audit TI?

Audit teknologi informasi adalah evaluasi sistem informasi, praktik, dan operasi untuk memastikan integritas informasi entitas. Evaluasi tersebut dapat mencakup penilaian efisiensi, efektivitas, dan ekonomi berbasis computer. Pada audit TI ini dalam pratiknya melibatkan penggunaan computer sebagai alat audit.  Evaluasi yang dilakukan juga harus menentukan kecukupan kontrol internal dalam lingkungan teknologi informasi untuk memastikan layanan informasi yang valid, andal dan aman.

Evaluasi sistem, praktik, dan operasi auditor komputer dapat mencakup satu atau kedua hal berikut:

• Penilaian kontrol internal dalam lingkungan TI untuk memastikan validitas, keandalan, dan keamanan informasi.

• Penilaian efisiensi dan efektivitas lingkungan TI dalam hal ekonomi.

Contoh untuk menggambarkan bahwa peran auditor, akuntan, dan auditor internal akan bertemu pada komputer auditor besok adalah perubahan yang dibuat oleh manajer senior. Wakil presiden senior dan direktur audit internal untuk sebuah bank internasional besar menyatakan bahwa 80 persen staf auditnya adalah spesialis audit komputer terintegrasi (keuangan, operasional, dan TI), dan pada 2005, semua dari 500 staf di dalam departemen diharapkan memiliki kompetensi audit komputer.

Proses Audit

Metode waktu-dihormati menggunakan buku besar sebagai titik awal untuk audit tidak selalu bekerja dalam pemeriksaan sistem komputer modern. Namun, auditor atau manajer keuangan yang berpengalaman mengakui nilai memiliki pendekatan yang konsisten, logis, audit atau manajemen yang mengakomodasi metode manual dan terkomputerisasi. Meskipun mengaudit sistem komputer memerlukan perubahan dari pendekatan buku besar tradisional, setiap pendekatan audit baru harus berlaku secara universal.

Pendekatan universal yang berlaku sama untuk sistem manual dan terkomputerisasi diformalkan untuk profesi akuntansi dalam Pernyataan Standar Audit (SAS 1). Standar ini memiliki efek mandat pendekatan yang seragam, berorientasi pada proses untuk perikatan audit. Pendekatan yang digambarkan adalah teknik proses yang benar. Artinya, perikatan audit mengikuti serangkaian langkah logis dan teratur, masing-masing dirancang untuk mencapai hasil akhir yang ditentukan. Dalam implementasi, upaya awal di pusat pemeriksaan audit adalah pada mendapatkan pemahaman dasar tentang sistem akuntansi. Proses terus meningkat secara mendalam dalam studi dan pemeriksaan aplikasi yang mengembangkan data signifikan secara finansial untuk dimasukkan dalam laporan keuangan.

Situasi dan Masalah - dari EFCA ke Enron

ü  Komputer telah digunakan secara komersial sejak tahun 1952. Kejahatan yang terkait dengan komputer dilaporkan pada awal tahun 1966. Namun, baru pada tahun 1973, ketika masalah signifikan di Equity Funding Corporation of America (EFCA) muncul, bahwa profesi audit memandang serius kurangnya kontrol dalam komputer IS.

ü  Pada tahun 2002, hampir 30 tahun kemudian, penipuan besar lainnya terungkap, yang membawa keraguan dan kejatuhan ke pasar keuangan.

ü  Ketika EFCA menyatakan bangkrut pada tahun 1973, dampak langsung minimum dan kerugian dari aktivitas ilegal dilaporkan sebanyak $ 200 juta.

ü  Pada tahun 1973, American Institute of Certified Public Accountants (AICPA), dalam menanggapi peristiwa di EFCA, menunjuk komite khusus untuk mempelajari apakah standar audit pada hari itu memadai dalam situasi seperti itu.

ü  Kemudian, 29 tahun kemudian, kegagalan Enron-Arthur Andersen tahun 2002 membawa kami kembali ke tahun 1973.

ü  Masalah “due professional care” telah menjadi yang terdepan dalam komunitas audit pada awal dekade ini sebagai hasil dari skandal keuangan Enron, Global Crossing, dan lainnya.

ü  Skandal EFCA tahun 1973 menyebabkan pengembangan regulasi negara bagian dan federal yang kuat dari industri asuransi dan akuntansi kreatif perusahaan di industri dirgantara yang memberikan dukungan untuk Foreign Corrupt Practices Act (FCPA) tahun 1977.

ü  Sekarang, mungkin Sarbanes – Oxley Act tahun 2002 akan menjadi pengingat yang jelas akan pentingnya perawatan profesional yang wajar. Tindakan ini adalah paket reformasi utama, yang mengamanatkan perubahan paling luas yang telah diberlakukan Kongres pada dunia bisnis sejak FCPA tahun 1977 dan Undang-Undang Komisi Sekuritas dan Pertukaran (SEC) tahun 1934.

ü  Sebelum akhir tahun 2002, ada beberapa penipuan publik yang memusatkan perhatian publik pada semua aspek pelaporan keuangan.

Standar Audit

Komite IACPA, yang ditugasi dengan tanggung jawab meninjau standar audit sebagai akibat dari keruntuhan EFCA, menyatakan bahwa "standar audit yang diterima secara umum memadai dan tidak ada perubahan yang diperlukan dalam prosedur yang biasa digunakan oleh auditor."

Namun, Sarbanes – Oxley Act akan memiliki efek dramatis pada akuntansi publik. Bagian 404 - Penilaian Manajemen atas Pengendalian Internal Undang-Undang menyatakan bahwa perusahaan yang terpengaruh akan diminta untuk:

• Nyatakan tanggung jawab manajemen untuk menetapkan dan memelihara struktur dan prosedur kontrol internal yang memadai untuk pelaporan keuangan.

• Menyiapkan penilaian pada akhir tahun fiskal penerbit tentang efektivitas struktur pengendalian internal dan prosedur penerbit untuk pelaporan keuangan.

Persyaratan ini akan berdampak besar pada audiens internal dan TI, karena mereka kemungkinan besar harus menyelesaikan pekerjaan ini serta mengevaluasi, menilai, dan melaporkan kontrol internal untuk laporan manajemen yang diperlukan oleh Sarbanes-Oxley.

Ø  Persamaan :

Setiap kali proses audit mengalami gangguan, standar audit baru diperlukan untuk memeriksa laporan keuangan berdasarkan catatan yang dihasilkan komputer. Secara umum, standar kerja lapangan adalah sama dengan yang diterapkan pada catatan yang dihasilkan secara manual. Juga, elemen dasar dari kontrol internal yang memadai tetap sama. Tujuan utama studi dan evaluasi pengendalian internal masih untuk memberikan bukti untuk pendapat dan untuk menentukan dasar untuk ruang lingkup, waktu, dan luasnya tes audit masa depan.

Ø  Perbedaan :

Dengan sistem pelaporan keuangan berbasis komputer, prosedur audit baru harus terus dikembangkan dan ditingkatkan. Perhitungan yang dilakukan, penambahan atau penghapusan catatan atau bidang dalam catatan, dan jaminan bahwa transaksi yang disahkan harus dilakukan melalui komputer bersamaan dengan aliran transaksi. Seperti yang dapat dialami, ada perbedaan signifikan dalam teknik mempertahankan kontrol internal yang memadai dalam proses berbasis komputer. Juga, ada beberapa variasi dalam cara di mana studi dan evaluasi pengendalian internal dibuat. Perbedaan utama adalah bahwa orang-orang telah dikeluarkan dari beberapa fase kontrol akuntansi internal dan ketergantungan yang diberikan kepada proses dan prosedur validasi yang dibuat oleh komputer.

Pentingnya Independensi Audit ?

Independensi audit adalah komponen yang sangat penting jika sebuah bisnis ingin memiliki fungsi audit; itu dapat menambah nilai bagi organisasi. Laporan dan opini audit harus bebas dari bias atau pengaruh apa pun jika integritas proses audit dinilai dan diakui atas kontribusinya terhadap sasaran dan sasaran organisasi. Maka dari itu pentingnya independensi audit.

Salah satu cara mengevaluasi fungsi audit internal organisasi adalah dengan mengukurnya terhadap standar audit yang dikeluarkan oleh GAO. "Buku Kuning" atau Standar Audit Pemerintah yang dikeluarkan GAO adalah standar audit yang harus diikuti dalam audit organisasi federal, program, kegiatan, dan dana yang diterima oleh kontraktor, organisasi nirlaba, dan organisasi eksternal lainnya (seperti perusahaan dengan kontrak federal). Selain itu, baru-baru ini merilis suplemen yang memberikan panduan auditor dalam penggunaan informasi yang dihasilkan komputer dalam laporan. Laporan, publikasi GAO, dan referensi di bidang ini diidentifikasi dalam Lampiran II dan Lampiran III.

Standar-standar ini berkaitan dengan ruang lingkup dan kualitas upaya audit dan karakteristik laporan audit yang profesional dan bermakna. Tiga elemen audit diperluas yang tercakup dalam standar adalah keuangan dan kepatuhan, ekonomi dan efisiensi, dan hasil program. Juga, undang-undang federal mensyaratkan bahwa inspektur jenderal di lembaga federal mengikuti standar ini.

Audit Keuangan

Audit keuangan mencakup semua kegiatan dan tanggung jawab yang berkaitan dengan pemberian pendapat tentang kewajaran pernyataan keuangan. Aturan dasar yang mengatur opini audit menunjukkan dengan jelas bahwa ruang lingkup audit mencakup semua peralatan dan prosedur yang digunakan dalam memproses data yang signifikan.

Audit keuangan, seperti yang dilakukan hari ini oleh auditor independen, didorong oleh undang-undang pada tahun 1933 dan 1934 yang menciptakan SEC. Undang-undang ini mengamanatkan bahwa perusahaan yang efeknya dijual secara publik diaudit setiap tahun oleh CPA. CPA, kemudian, dituduh membuktikan kewajaran laporan keuangan yang dikeluarkan oleh perusahaan yang dilaporkan kepada SEC. AICPA mengeluarkan pada tahun 1993 sebuah dokumen yang disebut "Pelaporan Struktur Pengendalian Internal Entitas atas Pelaporan Keuangan (Pernyataan tentang Standar untuk Keterlibatan Pengesahan 2)" untuk lebih menentukan pentingnya pengendalian internal dalam pengikatan pengesahan.

Dalam profesi CPA, dua kelompok standar telah dikembangkan yang mempengaruhi penyusunan laporan keuangan oleh perusahaan publik dan prosedur untuk pemeriksaan audit mereka oleh perusahaan CPA: prinsip akuntansi yang diterima secara umum (GAAP) dan standar audit yang diterima secara umum (GAAS) ).

Prinsip Akuntansi yang Diterima Secara Umum (GAAP)

GAAP menetapkan pedoman yang konsisten untuk pelaporan keuangan oleh manajer perusahaan. Penerapan GAAP adalah tanggung Jawab manajemen entitas pelapor.

Standar Audit Diterima Secara Umum (GAAS)

Organisasi profesional nasional utama CPA adalah AICPA. Pada tahun 1949, AICPA mengadopsi standar untuk audit, yang dikenal sebagai GAAS. Standar ini mencakup tiga kategori:

1.     Standar Umum

Standar umum berkaitan dengan kompetensi profesional dan teknis, kemandirian, dan karena perawatan profesional.

2.     Standar Kerja Lapangan

Standar kerja lapangan mencakup perencanaan, evaluasi pengendalian internal, kecukupan bahan bukti, atau bukti dokumenter yang menjadi dasar temuan.

3.     Standar Pelaporan

Standar pelaporan menetapkan kepatuhan dengan semua standar audit yang diterima, konsistensi dengan periode akun sebelumnya, kecukupan pengungkapan, dan, dalam hal opini tidak dapat dicapai, persyaratan untuk menyatakan pernyataan secara eksplisit.

Pengumpulan Data Umum

Auditor memulai proses pemeriksaan dengan berkenalan, secara umum, dengan perusahaan, lini bisnisnya, dan sistem keuangannya. Biasanya, auditor eksternal akan berkeliling pabrik perusahaan klien dan mengamati operasi bisnis umum yang memberikan layanan pelanggan serta pada fungsi keuangan yang ketat. Auditor juga akan mengumpulkan sejumlah item spesifik lainnya dari materi pembuktian, termasuk:

• Keseluruhan narasi atau diagram alur ikhtisar aplikasi subsistem utama dan keterkaitannya, termasuk input dan output

• Deskripsi tentang pembuatan dan model unit peralatan di instalasi komputer klien

• Bahasa pemrograman, standar pemrosesan data, dan manual prosedur yang digunakan dalam sistem komputer

• Prosedur kontrol data

• Jaminan bahwa ada catu daya yang tidak terputus atau ada sumber daya alternatif

• Prosedur dan ketentuan untuk pencadangan, pemulihan, dan memulai kembali operasi jika terjadi kegagalan peralatan atau kerusakan data secara tidak sengaja

• Prosedur pustaka pernyataan data dan sumber

• Prosedur untuk pengaturan pekerjaan dan operasi di dalam pusat data

• Manual standar dokumentasi instalasi atau standar dokumentasi seperti yang ada

• Deskripsi transaksi kontrol keamanan fisik

Metode yang digunakan dalam mengumpulkan data ini adalah wawancara dan tinjauan dokumentasi. Teknik inspeksi fisik digunakan baik untuk mengumpulkan data maupun untuk memvalidasi dokumen yang ada atau representasi yang dibuat selama wawancara. Misalnya, satu kunjungan ke pusat komputer dapat memberikan peluang pengumpulan dan validasi data untuk menentukan konfigurasi peralatan, prosedur perpustakaan, prosedur operasi, kontrol keamanan fisik, dan prosedur kontrol data.

Mengidentifikasi Area Aplikasi Keuangan

Setelah auditor memperoleh pengetahuan umum tentang prosedur akuntansi klien, bidang-bidang tertentu dari kepentingan audit harus diidentifikasi. Auditor harus memutuskan aplikasi atau subsistem apa yang harus diperiksa pada tingkat yang lebih rinci. Sebagai dasar untuk persiapan rencana audit, auditor juga harus menentukan, secara umum, berapa banyak waktu yang dibutuhkan; tipe orang dan keterampilan apa yang akan dibutuhkan untuk melakukan pemeriksaan; dan, kira-kira, apa jadwalnya nanti.

Mempersiapkan Rencana Audit

Kegiatan penutup dalam fase peninjauan awal perikatan audit akan menjadi persiapan rencana audit. Salah satu bentuk yang sering digunakan adalah rencana audit deskriptif yang mencakup tabel dan jadwal yang sesuai. Bagian khas untuk rencana audit mungkin meliputi:

• Deskripsi organisasi klien

• Deskripsi sistem dan prosedur akuntansi

• Staf keterlibatan

• Ruang lingkup audit

• Masalah akuntansi dan audit

• Ruang lingkup dan masalah pajak

•Jadwal kerja

Memahami Bagaimana Komputer Memroses Data

Auditor harus membangun pemahaman tentang bagaimana sistem yang diteliti menghasilkan data. Pemahaman ini harus mencakup seluruh ruang lingkup sistem dari persiapan dokumen sumber sampai untuk distribusi akhir dan penggunaan output. Saat mempelajari bagaimana sistem bekerja, auditor harus mengidentifikasi area potensial untuk pengujian, menggunakan teknik audit yang sudah dikenal seperti:

• Meninjau dokumentasi perusahaan termasuk file dokumentasi sistem, instruksi persiapan input, dan manual pengguna

• Mewawancarai personel organisasi termasuk pengguna, analis sistem, dan pemrogram

• Memeriksa, membandingkan, dan menganalisis catatan perusahaan

Mengidentifikasi Dokumen dan Alurnya melalui Sistem

Untuk memahami aliran dokumen, informasi latar belakang tertentu harus diperoleh melalui diskusi dengan pejabat perusahaan, dari sebelumnya audit atau evaluasi, atau dari file dokumentasi sistem. Karena informasi ini mungkin tidak terkini atau lengkap, maka harus diverifikasi dengan programmer atau analis yang bertanggung jawab. Auditor harus mendapatkan:

• Nama (judul) produk komputer

• Tujuan produk

• Nama sistem dan nomor identifikasi

• Tanggal sistem diimplementasikan

• Jenis komputer yang digunakan (model pabrikan) dan lokasi

• Frekuensi pemrosesan dan jenis pemrosesan (batch, on-line)

• Orang yang bertanggung jawab atas aplikasi komputer dan basis data yang menghasilkan produk komputer

Mendefinisikan Data Kritis

Auditor harus membangun pemahaman yang jelas tentang data yang direkam dalam sistem yang diteliti. Oleh karena itu, elemen individual dari data harus didefinisikan. Judul bisa menipu. Misalnya, apakah biaya berasal dari periode berjalan atau kumulatif? Apakah biaya timbul atau terjadi? Apa saja komponen biaya? Apakah komposisi biaya berubah selama periode fiskal yang ditinjau?

Kamus elemen data organisasi adalah sumber yang baik untuk definisi tersebut. Jika kamus data tidak tersedia, tata letak catatan mungkin berisi definisi yang diperlukan. Dalam banyak kasus, tidak ada hubungan satu-ke-satu antara elemen data dan data dalam laporan atau file yang diproses komputer.

Mengembangkan Diagram Alir Data Audit

Input dari mana diagram aliran data disiapkan harus mencakup salinan berikut ini:

• Deskripsi naratif dari semua program aplikasi utama

• Semua dokumen sumber yang disiapkan secara manual yang memengaruhi proses aplikasi, serta lembar kode dan instruksi yang sesuai untuk transkripsi data

• Rekam tata letak untuk semua input komputer utama dan catatan output, file master komputer, dan file kerja (seperti pembaruan atau kaset perawatan file, kaset perhitungan, dll.)

• Semua output utama yang dihasilkan oleh sistem otomatis

• Daftar kode standar, konstanta, dan tabel yang digunakan oleh sistem

Menentukan Efektivitas Pemrosesan dalam Program Komputer Staf audit harus mengidentifikasi area masalah dalam siklus pemrosesan termasuk tetapi tidak terbatas pada:

• Pemrosesan data yang berlebihan atau bentuk duplikasi lainnya

 • Kemacetan yang menunda pemrosesan

• Poin dalam siklus operasi di mana pegawai tidak memiliki cukup waktu untuk meninjau laporan hasil dan membuat koreksi

Mengevaluasi Kegunaan Laporan Staf audit harus meninjau output utama atau utama (seperti daftar edit, daftar kesalahan, kontrol daftar jam, dll.) Dari sistem aplikasi dan menentukan apakah outputnya adalah:

• Akurat

• Berguna

Auditor dipercayakan dengan layanan publik yang unik. Profesi ini semakin dipanggil untuk melakukan layanan diperluas untuk klien dan masyarakat luas. Untuk mempertahankan citra publik setinggi ini, layanan auditor harus dilakukan pada tingkat tertinggi kompetensi teknis dan integritas. Komputer dapat membantu dalam banyak hal, tetapi auditor juga dihadapkan dengan masalah tertentu ketika mereka harus mengaudit kompleksitas.

Sifat audit tidak diragukan lagi akan terus mengalami perubahan besar ketika tingkat teknologi meningkat. Proliferasi dalam jumlah komputer dan workstation (desktop ke handheld) juga diharapkan dalam milenium mendatang. Auditor hari ini harus dapat mengidentifikasi kontrol audit penting yang tersedia dengan komputer dan menentukan dampak dari kontrol tersebut terhadap struktur keseluruhan perusahaan. Auditor harus memahami desain sistem komputer klien untuk melakukan audit yang efisien.

Singkatnya, perlu untuk mengintegrasikan komputer ke dalam proses audit dari inisiasi proyek ke tahap pelaporan akhir. Otomatisasi penuh akan memungkinkan auditor untuk menggunakan semua sumber daya yang tersedia secara lebih efisien dan meningkatkan kredibilitas audit yang dilakukan. Penggunaan teknologi komputer yang efektif dapat memberdayakan auditor untuk melakukan audit di lingkungan yang sangat terotomatisasi saat ini.