Audit sistem informasi adalah proses pengumpulan dan penilaian bukti – bukti untuk menentukan apakah sistem komputer dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien

Ancaman-ancaman atas Sistem Informasi

Salah satu ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam : Banjir, gempa bumi, badai angin, dan perang
Kesalahan pada software dan tidak berfungsinya peralatan seperti kegagalan hardware atau terdapat kerusakan pada software,kegagalan sistem operasi, gangguan dan fluktuasi listrik serta kesalahan pengiriman data yang tidak terdeteksi
Tindakan yang tidak disengaja, seperti kesalahan atau penghapusan karena ketidaktahuan atau karena kecelakaan semata
Tindakan disengaja yang biasanya disebut sebagai kejahatan komputer. Ancaman ini berbentuk sabotase,penipuan komputer,ketidaklayakan penggunaan atas aset oleh pegawai

Tinjauan Menyeluruh Konsep-konsep Pengendalian

Pengendalian internal (Internal Control) adalah rencana organisasi dan metode bisnis yang dipergunakan untuk menjaga aset, memberikan informasi yang akurat dan andal,mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian dengan kebijakan yang telah ditetapkan

Klasifikasi pengendalian internal

Pengendalian internal melaksanakan tiga fungsi penting :

Pengendalian untuk pencegahan,mencegah timbulnya suatu masalah sebelum mereka muncul
Pengendalian untuk pemeriksaan, dibutuhkan untuk mengungkap masalah begitu masalah tersebut muncul
Pengendalian untuk korektif, memecahkan masalah yang ditemukan oleh pengendalian untuk pemeriksaan.

Mengapa?

The Foreign Corrupt
Practices Act

Pada tahun 1977 gelombang keterkejutan berkumandang di seluruh profesi akuntansi ketika Congress memasukkan bahasa dari standar AICPA ke dalam Foreign Corrupt Practices Act

Tujuan utama dari undang-undang ini adalah mencegah penyuapan atas para pejabat luar negeri untuk mendapatkan bisnis,

Pengaruh yang signifikasn dari undang-undang ini membutuhkan kerja sama untuk memelihara sistem pengendalian internal akuntansi yang baik

Committee of Sponsoring Organizations

The Committee of Sponsoring Organizations (COSO) adalah kelompok sektor swasta yang terdiri dari :

American Accounting Association
American Institute of Certified Public Accountants
Institute of Internal Auditors
Institute of Management Accountants
Financial Executives Institute

Pada tahun 1992,COSO mengeluarkan hasil penelitian untuk mengembangkan definisi pengendalian internal dan memberikan petunjuk untuk mengevaluasi sistem pengendalian internal

Laporan tersebut telah diterima secara luas sebagai ketentuan dalam pengendalian internal

The Control Environment
Risk Assessment
Control Activities
Information and Communication
Monitoring

The COSO study defines internal control as the process implemented by the board of directors, management, and those under their direction to provide reasonable assurance that control objectives are achieved with regard to:
- effectiveness and efficiency of operations
- reliability of financial reporting
- compliance with applicable laws and regulations

Internal control is what we do to see that the things we want to happen will happen …

And the things we don’t want to happen won’t happen.

1. Lingkungan Pengendalian(The Control Environment)

Lingkungan Pengendalian

The control environment is concerned with the actions, policies, and procedures that reflect the overall attitude of the client’s top management, directors, and owners of an entity about internal control and its importance.

Lingkungan pengendalian terdiri atas faktor-faktor berikut ini :

1.Komitmen atas integritas dan nilai-nilai etika

Management actions to remove incentives that prompt a person to behave improperly.
Communication of behavioral standards by codes of conduct and example.

2.Filosofi pihak manajemen dan gaya beroperasi

Formal methods of communication including:

Top management memoranda concerning internal control
Organizational operating plans
Employee job descriptions

3. Struktur organisasional

Understanding the client’s organizational structure provides the auditor with an understanding of how the client’s business functions and implements controls.
Lingkungan Pengendalian

Lingkungan pengendalian terdiri atas faktor-faktor berikut ini :

4. Badan audit dewan komisaris

Board delegates responsibility for internal control to management and is charged with regular independent assessments of management-established internal control.
The major stock exchanges require listed companies to have an audit committee composed of entirely independent directors who are financially literate.

5. Metode untuk memberikan otoritas dan tanggung jawab

Management, through its activities, provides clear signals to employees about the importance of internal control. For example, are sales and earnings targets unrealistic, and are employees encouraged to take aggressive actions to meet those targets.

Lingkungan Pengendalian

Lingkungan pengendalian terdiri atas faktor-faktor berikut ini :

6. Kebijakan dan praktik-praktik dalam sumber daya manusia

If employees are honest and trustworthy, other controls can be absent and reliable financial statements will still result.
Methods by which persons are hired, trained, promoted, and compensated are important elements of internal control.

7. Pengaruh-pengaruh eksternal

Management’s consideration of the competence levels for specific jobs and how those translate into requisite skills and knowledge.

2. Aktivitas-aktivitas pengendalian

Komponen kedua dari model pengendalian internal COSO adalah kegiatan-kegiatan pengendalian yang merupakan kebijakan dan peraturan yang menyediakan jaminan yang wajar bahwa tujuan pengendalian pihak manajemen dicapai.

Secara umum prosedur-prosedur pengendalian termasuk dalam satu dari lima kategori berikut ini :

Otorisasi transaksi dan kegiatan yang memadai

Separation of the functions of authorization, recordkeeping, and custody.
Separating IT duties from User Departments

2. Pemisahan tugas

General authorization is permissible for routine events for which there are policies to follow.
For some transactions specific authorization is needed on a case-by-case basis.

3. Desain dan penggunaan dokumen serta catatan yang memadai

Prenumbered consecutive documents so missing items are noticed
Prepared as near to transaction time as possible
Good design with instructions and appropriate spaces

4. Penjagaan aset dan catatan yang memadai

Deterrents to prevent physical access.
Access controls to prevent getting into computer system.
Backup and recovery procedures

5.Pemeriksaan independen atas kinerja

Personnel are likely to forget or intentionally fail to follow procedures, or they may become careless unless someone observes and evaluates their performance.

3. Penilaian Risiko

Komponen ketiga dari model pengendalian COSO adalah penilaian risiko

Perusahaan menghadapi jenis-jenis ancaman berikut ini :

strategic — melakukan hal yang salah
financial — adanya kerugian sumber daya keuangan, pemborosan pencurian atau pembuatan kewajiban yang tidak tepat
information — menerima informasi yang salah atau tidak relevan, sistem yang tidak andal dan laporan yang tidak benar atau menyesatkan
Operasional- melakukan hal yang benar tetapi dengan cara yang salah

Beberapa hal yang perlu diperhatikan :

Perkirakan risiko
Identifikasi Pengendalian
Perkirakan biaya dan manfaat
Menetapkan efektivitas biaya manfaat

4. Informasi dan Komunikasi

Komponen keempat dari model pengendalian internal COSO adalah informasi dan komunikasi
Akuntan harus memahami bagaimana :
- Transaksi di awali
- Data didapat dalam bentuk yang dapat dibaca oleh mesin atau data diubah dari dokumen sumber ke bentuk yang dapat dibaca oleh mesin
- File komputer diakses dan diperbaharui
- Data diproses untuk mempersiapkan sebuah informasi
- Informasi dilaporkan
- Transaksi di catat.

Taxonomy of Business and Information Process Risk

5. Mengawasi kinerja

Komponen kelima yaitu pengawasan

Metode utama untuk mengawasi kinerja mencakup supervisi yang efektif, pelaporan yang bertanggung jawab dan audit internal

For many companies, especially larger ones, an internal audit department is essential for effective monitoring.
To maintain internal audit independence, it is imperative that they be independent of operating and accounting departments; and that they report to a high level of authority, preferably the audit committee of the board of directors.

Contoh Form:

Developing an Updated Control Philosophy with an IT Perspective

Dokumen hardcopy harus sebagian besar dihilangkan.

– Mahal untuk membangun maupun memelihara dan mereka memberikan sedikit keuntungan melalui sebuah versi elektronik dari yang sama informasi. Bahkan, karena ukuran, biaya penyimpanan, dan dapat diaksesnya, dokumen kertas menjadi kewajiban.

Pemisahan tugas terus menjadi konsep yang relevan
– TI dapat digunakan sebagai pengganti beberapa fungsi yang biasanya ditugaskan untuk individu yang terpisah.
– Banyak kontrol yang telah tersebar di beberapa individu sekarang dapat dibangun ke dalam sistem informasi dan dipantau oleh teknologi informasi.
rekaman duplikat data acara bisnis dan rekonsiliasi harus dihilangkan.
– Recording dan memelihara data ganda, dan melakukan rekonsiliasi adalah mahal dan tidak perlu dalam lingkungan TI.
Akuntan harus menjadi konsultan dengan realtime , proaktif, kontrol.
– Banyak Penekanan yang lebih besar harus ditempatkan pada pencegahan
risiko bisnis, dari pada mendeteksi dan mengoreksi kesalahan dan penyimpangan.

Penekanan yang lebih besar harus ditempatkan pada penerapan kontrol selama desain dan pengembangan sistem informasi dan pada keterlibatan auditor lebih
dalam memverifikasi akurasi sistem itu sendiri.
– Meskipun audit tahunan dari laporan keuangan akan terus menjadi layanan yang berharga yang dilakukan oleh eksternal auditor, kepentingan relatif akan berkurang karena lebih besar pentingnya ditempatkan pada memverifikasi keakuratan sistem
itu sendiri dan menyediakan layanan jaminan pelaporan real-time.
Teknologi informasi harus dimanfaatkan secara maksimal
– ini membutuhkan upaya bersama untuk memahami baik kemampuan dan risiko TI. TI modern harus digunakan banyak lebih luas untuk mendukung proses pengambilan keputusan, perilaku bisnis , proses informasi, dan mencegah dan mendeteksi
kesalahan dan penyimpangan.
Jika Anda mengembangkan filosofi kontrol berdasarkan kunci konsep kontrol yang diidentifikasi dalam bab ini, proses mengembangkan sistem pengendalian internal agak
mudah:
Mengidentifikasi organisasi tujuan, proses, dan risiko dan menentukan materialitas risiko.
– Identifikasi sistem pengendalian internal ⎯ termasuk aturan, proses, dan procedures⎯ untuk mengendalikan risiko material.
– Mengembangkan, menguji, dan menerapkan sistem pengendalian internal.
– Memantau dan memperbaiki sistem.

KESIMPULAN :

Pengendalian internal melaksanakan tiga fungsi penting :
- Pengendalian untuk pencegahan,mencegah timbulnya suatu masalah sebelum mereka muncul
- Pengendalian untuk pemeriksaan, dibutuhkan untuk mengungkap masalah begitu masalah tersebut muncul
- Pengendalian untuk korektif, memecahkan masalah yang ditemukan oleh pengendalian untuk pemeriksaan
Lima komponen Model Pengendalian Internal COSO yang saling berhubungan

Control environment (lingkungan pengendalian), Control activities (aktivitas pengendalian) , Risk assessment (penilaian risiko),Information and communication (informasi dan komunikasi), Monitoring (pengawasan)