Auditing proses sistematik dengan tujuan untuk mendapatkan dan mengevaluasi

fakta yang berkaitan dengan asersi mengenai kejadian dan tindakan ekonomi untuk
memastikan kesesuaian antara asersi dengan kriteria yang ditetapkan dan
mengkomunikasikan hasilnya kepada pemakai yang berkepentingan.
BAB I
Audit, Assurance, dan Pengendalian Internal
Audit pada dasarnya adalah proses sistematis dan objektif dalam memperoleh dan
mengevaluasi bukti-bukti tindakan ekonomi, guna memberikan asersi dan menilai
seberapa jauh tindakan ekonomi sudah sesuai dengan kriteria berlaku, dan
mengkomunikasikan hasilnya kepada pihak terkait.
Jenis-Jenis Audit
a) Audit Internal
Definisi : Lembaga auditor internal (Institute of internal auditor) mendefinisikan
audit internal sebagai fungsi penilaian independen yang dibentuk dalam
perusahaan untuk mempelajari dan mengevaluasi berbagai aktivitasnya sebagai
layanan bagi perusahaan.
Sertifikasi : Auditor internal bersertifikat (Certified internal auditor-CIA) atau Auditor
sistem informasi bersertifikat (Certified Information systems auditor-CISA).
Standar, petunjuk, dan sertifikasi audit internal diatur oleh lembaga auditor internal.
Untuk tingkat tertentu oleh asosiasi audit dan pengendalian sistem informasi
(Information System Audit and Control Association-ISACA).
b) Audit Teknologi Informasi (TI)
Definisi : Merupakan audit berbasis risiko, diasosiasikan dengan para auditor yang
menggunakan berbagai keahlian dan pengetahuan teknis untuk melakukan audit
melalui sistem komputer, atau menyediakan layanan dalam berbagai bentuk
teknologi.
Audit TI menggunakan alat audit berbantuan komputer yaitu CAAT (Computer
Assisted Audit Tools) atau alat dan teknik audit berbantuan komputer yaitu CAATT
(Computer Assisted Audit Tools and Techniques).
Standar, petunjuk, dan sertifikasi audit TI diatur oleh asosiasi audit dan
pengendalian sistem informasi (Information System Audit and Control AssociationISACA).
c) Audit Penipuan

Definisi : yaitu area audit yang terbaru yang timbul akibat dari penipuan yang
dilakukan oleh karyawan serta berbagai penipuan keuangan besar lain. Tujuan dari
audit penipuan yaitu materialitas tidak memiliki arti, dan tujuannya bukan untuk
kepastian tetapi investigasi atas berbagai anomali-pengumpulan bukti penipuan,
dan tujuan hukum untuk tuntutan.
Sertifikasi : Sertifikasi pemeriksa penipuan (Certified Fraud Examiner-CFE).
Standar, petunjuk, dan sertifikasi audit penipuan diatur oleh Asosiasi pemeriksa
penipuan bersertifikat (Association of Certified Fraud Examiners ACFE).
d) Audit Keuangan atau Audit Eksternal
Definisi : audit keuangan, tujuannya selalu berkaitan dengan penyajian laporan
keuangan yang disajikan secara wajar.
Sertifikasi : Auditor independen yang bersertifikasi sebagai Akuntan public yang
bersertifikat (Certified Public Accountant-CPA).
Standar, petunjuk, dan sertifikasi audit keuangan diatur oleh :
Peraturan Federal (UU Sarbanes-Oxley Tahun 2002)
Komisi sekuritas dan perdagangan (Securities and Exchange Commision-SEC)
Dewan Standar Akuntansi Keuangan (Financial Accounting Standar Boards-FASB)
Lembaga akuntan public bersertifikat Amerika (American Institute of Certfied
Public Accountants-AICPA)
Audit keuangan adalah atestasi (pembuktian) independen yang dilakukan oleh
seorang ahli-auditor-yang berpendapat dalam penyajian laporan keuangan.
Pernyataan publik atas pendapat auditor adalah puncak dari proses audit yang
sistematis dan melibatkan 3 (tiga) tahapan konseptual, yaitu:
a) Adaptasi terhadap bisnis perusahaan
b) Mengevaluasi dan menguji berbagai pengendalian internal
c) Menilai keandalan data keuangan
JASA ATESTASI DAN JASA ASSURANCE
Jasa Atestasi (Attestation Service) yaitu perjanjian di mana seorang praktisi yang
dikontrak untuk mengeluarkan, atau telah mengeluarkan sebuah komunikasi tertulis
yang menyatakan suatu kesipulan mengenai keandalan sebuah penilaian tertulis
yang merupakan tanggung jawab pihak lainnya. (SSAE No.1, AT Bagian 100.01)

Syarat Jasa Atestasi:

1. Adanya penilaian tertulis dan laporan tertulis dari praktisi terkait
2. Kriteria pengukuran yang formal atau penjelasan dalam penyajiannya
3. Tingkatan jasa dibatasi pada pemeriksaan, pengkajian, dan penerapan berbagai
prosedur yang telah disepakati sebelumnya.
Jasa Assurance (Assurance Service), mencakup konsep yang lebih luas dan
melintasi, tapi tidak terbatas pada atestasi. Jasa assurance merupakan layanan
professional yang didesain untuk meningkatkan kualitas informasi, secara keuangan
maupun nonkeuangan, yang digunakan oleh para pengambil keputusan. Unit
organisasional yang bertanggung jawab untuk melakukan audit TI disebut sebagai:
a. Manajemen Risiko (IT Risk Management),
b. Manajemen Risiko Sistem Informasi (Information System Risk Management), atau
c. Manajemen Risiko Sistem Operasional (Operational Systems Risk ManagementOSRM) yang biasanya merupakan divisi dari jasa kepastian.
STANDAR AUDIT
Laporan auditor menyatakan pendapat mengenai penyajian Laporan keuangan
yang disajikan sesuai dengan prinsip akuntansi yang diterima umum (generally
accepted accounting principals-GAAP). Melaksanakan audit adalah proses yang
sistematis dan logis serta berlaku untuk semua bentuk sistem informasi.
Auditor memiliki tanggung jawab professional yang diatur oleh standar audit yang
diterima umum (generally accepted auditing standards-GAAS). Tiga golongan
Standar Audit, yaitu : Standar Kualifikasi Umum, Standar Kegiatan Lapangan dan
Standar Pelaporan
Untuk memberikan petunjuk yang terperinci, lembaga akuntan public bersertifikat
di Amerika (AICPA) menerbitkan pernyataan standar audit (Statements on Auditing
Standards-SAS) sebagai interpretasi legal atas GAAS.
PERNYATAAN MANAJEMEN DAN TUJUAN AUDIT
Tujuan audit yaitu bersifat objektif, mendesain prosedur dan mengumpulkan bukti
yang mendukung atau menolak penilaian manajemen.
Pernyataan Manajemen terdiri dari :
1. Keberadaan atau keterjadian (Existence and Occurrence)
2. Kelengkapan (Completeness)

3. Hak dan kewajiban (Rights and Obligation)

4. Valuasi atau alokasi (Valuation or Allocation)
5. Penyajian dan pengungkapan (Presentation and Disclosure)
Dalam lingkungan teknologi informasi, pengumpulan bukti berkaitan dengan
keandalan pengendalian computer serta isi basis data yang diproses oleh programprogram komputer. Menilai suatu materialitas dalam TI dapat dikatakan sulit karena
teknologi dan struktur pengendalian internal yang canggih.
Para auditor TI mengkomunikasikan temuan ke auditor internal dan eksternal, yang
kemudian diintegrasikan ke berbagai aspek yang bersifat non TI dari audit yang
terkait.
RISIKO AUDIT
Adalah probabilitas bahwa auditor akan memberikan pendapat yang wajar atas
laporan keuangan. Dalam audit keuangan, tujuan auditor adalah untuk
meminimalkan risiko audit dengan melakukan berbagai pengujian serta uji
subtantif.
Komponen risiko audit :
1. Risiko Inheren (inherent Risk), berhubungan dengan berbagai karakteristik unik
dari bisnis atau industry klien. Auditor bersifat tidak bisa mengurangi risiko
tersebut.
2. Risiko Pengendalian (Control Risk), kemungkinan bahwa struktur pengendalian
salah karena tidak adanya atau tidak memadainya pengendalian untuk mencegah
atau mendeteksi kesalahan dalam berbagai akun. Dapat dikurangi dengan
melakukan berbagai pengujian pengendalian internal.
3. Risiko Deteksi (detection Risk), risiko yang bersedia diambil auditor atas berbagai
kesalahan yang tidak terdeteksi atau dicegah oleh struktur pengendalian yang juga
tidak terdeteksi oleh auditor. Untuk mencegahnya auditor menetapkan risiko
deteksi yang direncanakan yang berpengaruh terhadap tingkat uji subtantif yang
akan dilakukan.
AUDIT TEKNOLOGI INFORMASI
Meliputi penilaian implementasi, operasi, dan pengendalian berbagai sumber daya
Komputer yang tepat. Audit TI terbagi ke dalam 3 tahapan, yang digambarkan
sebagai berikut:
a. Tahap Perencanaan Audit
b. Tahap uji Pengendalian

c. Tahap uji Subtantif

PENGENDALIAN INTERNAL
Terdiri atas kebijakan, praktik, dan prosedur yang digunakan oelh perusahaan untuk
mencapai empat tujuan umum:
1. Mengamankan aktiva perusahaan
2. Memastikan akurasi dan keandalan berbagai catatan dan informasi akuntansi
3. Menyebarluaskan efisiensi dalam operasi perusahaan
4. Mengukur ketaatan dengan berbagai kebijakan dan prosedur yang ditetapkan
oleh pihak manajemen
Sejarah Singkat Pengendalian Internal
Undang-undang SEC Tahun 1933 dan 1934
Undang-undang Hak Cipta Tahun 1976
Komite Organisasi Pendukung Tahun 1992
Undang-undang Sarbanes-Oxley Tahun 2002
Asumsi penjelas dalam Pengendalian :
Tanggung jawab pihak manajemen
Jaminan yang wajar
Metode Pemrosesan Data
Keterbatasan
Eksposur dan Risiko (Ketidakberadaan dan Kelemahan dalam pengendalian)
Risiko yang mungkin terjadi akibat kelemahan suatu organisasi diantaranya :
1. Kehancuran aktiva (aktiva fisik dan informasi)
2. Pencurian aktiva
3. Korupsi informasi atau sistem informasi
4. Gangguan atas sistem informasi
Dibutuhkan pengendalian internal yang terbagi ke dalam 3 tingkat yang disebut
model Pengendalian PDC, yaitu:

Pengendalian preventif yang merupakan teknik pasif untuk mengurangi frekuensi

terjadinya kejadian yang tidak diinginkan.
Pengendalian detektif merupakan teknik, alat dan prosedur untuk mengidentifikasi
dan mengekspos peristiwa yang tidak diinginkan yang tidak bisa dicegah dalam
tindakan preventif.
Pengendalian korektif merupakan memperbaiki masalah yang terjadi
membalikkan pengaruh negative dari kesalahan yang telah terdeteksi.

atau

Pengendalian prediktif bertujuan untuk memprediksi peristiwa atau kemungkinan

penyimpangan yang akan terjadi.
Pernyataan Standar Audit No. 78
Pengendalian internal menurut COSO, ada 5 komponen, yaitu :
1. Lingkungan Pengendalian untuk menetapkan arah perusahaan dan kesadaran
manajemen dan karyawan atas pengendalian. SAS 78 mengharuskan auditor
memiliki pengtahuan yang memadai untuk menilai sikap dan kesadaran pihak
manajemen perusahaan, dewan komisaris dan para pemilik atas pengendalian
internal.
2. Penilaian Risiko untuk mengidentifikasi, menganalisis, dan mengelola risiko yang
berkaitan dengan pelaporan keuangan. SAS 78 mengharuskan auditor
mendapatkan pengetahuan yang cukup atas prosedur penilaian risiko perusahaan
untuk memahami tata kelola perusahaan berkaitan dengan pelaporan keuangan.
3. Informasi dan Komunikasi berkaitan dengan
membuat laporan keuangan yang andal. SAS 78
mendapatkan cukup pengetahuan yang cukup
perusahaan untuk memahami berbagai aspek
keuangan.

pengambilan keputusan dan

mengharuskan auditor untuk
mengenai sistem informasi
terkait penyusunan laporan

4. Pengawasan merupakan suatu proses penilaian kualitas dan operasi

pengendalian internal. Dengan meringkas berbagai aktivitas, memperlihatkan
berbagai tren, serta mengidentifikasi kinerja operasi, laporan manajemen yang
didesain dengan baik dapat memberikan bukti atas berfungsinya atau kegagalan
pengendalian internal.
5. Aktivitas Pengendalian yaitu berbagai kebijakan dan prosedur yang digunakan
untuk memastikan tindakan yang telah dilakukan untuk menangani berbagai risiko
telah berjalan dengan baik dan sesuai dengan identifikasi perusahaan. Dalam TI
Aktivitas pengendalian terbagi 2 (dua):
a. Pengendalian umum berlaku untuk berbagai jenis risiko yang secara sistematis
mengancam integritas semua aplikasi yang diproses dalam lingkungan TI.

b. Pengendalian aplikasi berfokus pada berbagai risiko yang berhubungan dengan

sistem tertentu.
Dalam lingkungan TI, para auditor TI melakukan fungsi verifikasi independen
dengan mengevaluasi pengendalian atas pengembangan sistem dan aktivitas
pemeliharaan serta mengkaji logika internal program.

IT Governance adalah sebuah struktur dari hubungan relasi dan proses untuk
mengarahkan dan mengendalikan suatu perusahaan dalam mencapai tujuan
dengan memberikan nilai tambah ketika menyeimbangkan resiko dengan
menyesuaikan TI dan proses bisnis perusahaan.
IT Governance muncul sebagai jembatan antara scope bisnis dengan TI, yang
disebabkan terjadinya sebuah gap antara teknologi yang diterapkan tidak sesuai
dengan yang diharapkan. IT Governance bukanlah suatu manajemen tersendiri,
tetapi pada dasarnya juga merupakan bagian dari manajemen
perusahaan.
Manfaat IT Governance itu sendiri pada dasarnya sangat sulit untuk
dikuantifikasikan karena ukuran keberhasilan penanganan TI itu pada dasarnya
bersifat intangible
. Teknologi informasi adalah suatu aset yang sangat berharga dalam suatu
perusahaan, dimana peranan teknologi informasi (TI) telah mampu mengubah pola
pekerjaan, kinerja karyawan bahkan sistem manajemen dalam mengelola sebuah
organisasi. Teknologi informasi bisa memiliki peranan penting menggantikan peran
manusia secara otomatis terhadap suatu siklus sistem mulai dari input, proses dan
output di dalam melaksanakan aktivitas pekerjaan serta telah menjadi fasilitator
utama bagi kegiatan-kegiatan bisnis yang memberikan andil besar terhadap
perkembangan organisasi.
Terdapat beberapa alasan penting mengapa audit TI perlu dilakukan, antaralain: (1)
kerugian akibat kehilangan data; (2) kesalahan dalam pengambilankeputusan (3)
risiko kebocoran data; (4) penyalahgunaan komputer; (5) kerugianakibat kesalahan
proses perhitungan; dan (6) tingginya nilai investasi perangkatkeras dan perangkat
lunak komputer serta semakin ketatnya persaingan antar perusahaan dalam
menjalankan bisnisnya yang berbasis teknologi informasi
IT Governance
merupakan suatu komitmen, kesadaran dan proses pengendalian manajemen organisasi terhadap
sumber daya teknologi informasi atausistem informasi yang dibeli dengan harga mahal, yang mencakup

mulai dari sumberdaya komputer ( software, brainware, database dan sebagainya), hingga ke
teknologiinformasi dan jaringan LAN atau internet.