Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mata Kuliah
Audit Internal
Disusun Oleh:
Alexandra Maulana
1306483971
Salamun Norman Austin
1306485283
UNIVERSITAS INDONESIA
DEPOK
NOPEMBER 2015
STATEMENT OF AUTHORSHIP
Kami yang bertandatangan dibawah ini menyatakan bahwa makalah terlampir
adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang
kami gunakan tanpa menyebutkan sumbernya.
Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk
makalah/tugas pada mata ajaran lain kecuali kami menyatakan dengan jelas
bahwa kami menyatakan dengan jelas menggunakannya.
Kami memahami bahwa tugas yang kami kumpulkan ini dapat diperbanyak dan
atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.
Mata Ajaran
: Audit Internal
: 5 Nopember 2015
Dosen
Nama
NPM
Alexandra Maulana
1306483971
1306485283
TTD
Universitas Indonesia
DAFTAR ISI
Halaman Cover
Statement of Authorship
DAFTAR ISI
BAB 1
PENDAHULUAN
BAB 2
PEMBAHASAN
25
49
BAB 3 KESIMPULAN
50
DAFTAR PUSTAKA
51
Universitas Indonesia
BAB 1
PENDAHULUAN
Saat ini perkembangan teknologi dan informasi dalam dunia bisnis semakin
pesat. Salah satunya adalah penggunaan IT pada fungsi pengendalian perusahaan
seperti aplikasi akuntansi hingga aplikasi bisnis proses lainnya. Oleh karena itu,
pengawasan yang dilakukan auditor internal semakin kompleks terhadap sistem
tersebut.
Permasalahan dalam memahami proses umum IT adalah terlalu banyaknya
variasi dari aplikasi yang digunakan oleh organisasi. Hal ini karena penggunaan
aplikasi setiap organisasi disesuaikan dengan kebutuhan utama proses bisnis dari
organisasi tersebut.
Universitas Indonesia
BAB 2
PEMBAHASAN
IT General Control and ITIL Best Practice
Dalam dunia tekhnologi informasi (IT) sekarang ini, internal auditor harus
memiliki pemahaman yang kuat tentang tekhnik-tekhnik IT Internal control. IT
control terdiri dari dua level; yaitu application control yang melingkupi proses
yang spesifik, seperti account payable application dan IT General control.
Selanjutnya, pada bab ini akan dibahas tentang IT General Control dari
perspektif auditor internal dan praktik terbaik IT General Control yang yang telah
diakui di seluruh dunia, yaitu Information Technology Infrastructure Library
(ITIL). Di dalam ITIL telah dijabarkan jenis kerangka audit yang harus
dipertimbangkan ketika mereviu resiko pengendalian internal pada teknologi
informasi dan merekomendasikan perbaikan yang efektif dari general control.
A. Importance of IT General Controls
Auditor Internal mulai terlibat dalam audit IT dan prosedur pengendalian
ketika aplikasi akuntansi pertama kali terinstal (pada saat kartu masukan ditekan
ke dalam sistem komputer). Sistem-sistem perusahaan pada awal mulanya sering
dipasang pada kamar berdinding kaca dalam lobi perusahaan untuk member kesan
kepada pengunjung bahwa sistem dalam perusahaan tersebut sangat canggih.
Namun pada kenyataannya, sistem-sistem tersebut tidak canggih. Auditor internal
yang tidak mengenal teknologi pengolahan data tersebut akan melakukan audit
around the computerArtinya auditor internal akan berfokus pada prosedur
pengendalian input dan penerapan pada output untuk memeriksa apakah input
seimbang untuk menghasilkan laporan output. Di era ini, ada sedikit pertanyaan
tentang akurasi dan kontrol dari laporan yang dihasilkan oleh sistem komputer.
Auditor internal hanya berfokus pada input dan output, sementara yang terjadi di
sekitar komputer adalah prosedur pengolahan program
Universitas Indonesia
Pengendalian yang baik harus ditempatkan pada seluruh sistem operasi IT.
Pengendalian juga tergantung pada sifat dan pengelolaan pada sistem yang
berjenis dan berukuran tertentu.
Integrity of data
Proses yang harus dilakukan adalah memastikan tingkat integritas semua data
yang digunakan dalam berbagai aplikasi program.
Integrity of programs
Baru atau revisi program seharusnya dikembangkan dengan pengendalian
yang baik untuk menyediakan hasil proses yang akurat. Integritas akan
pengendalian ini termasuk keseluruhan proses pengembangan atas aplikasi
program.
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Pembelian Software
Peningkatan perhatian manajemen
Pemisahan pekerjaan input dan processingnya
pada
saat
satu
personel
berhalangan/mengundurkandiri,
pekerjaannya dapat digantikan oleh orang lain berdasarkan prosedur yang telah
didokumentasikan. Jika dalam perusahaan yang besar, selalu ada suatu standard
wajib yang berlaku umum baik untuk lingkup besar maupun kecil.
3. Auditing IT General Controls for Smaller IT Systems
Dalam mengaudit sistem It yang lebih kecil, auditor internal perlu memperhatikan
hal-hal berkut ini :
a) Smaller System Controls Over Access To Data And Programs Are
Often Weak
Saat ada personel yang dapat mengakses data-data komputer, maka
pengendalian umumnya sudah lemah. Auditor internal perlu fokus pada
otorisasi akses ke pusat data pada perusahaan yang kecil. Apakah
perusahaan tersebut memiliki log-on untuk masuk ke data-data
perusahaan. Jika pun ada, perlu di periksa apakah password nya diubah
secara berkala. Apakah ada perbedaan akses antara karyawan/divisi.
b) Unauthorized Use Of Utility Programs
Dalam sistem TI selalu ada yang disebut program utiliti, yaitu program
yang khusus digunakan untuk merubah sistem data suatu aplikasi,
seharusnya hanya personel TI yang boleh menggunakannnya. Sistem ini
9
Universitas Indonesia
pun
beresiko
untuk
digunakan
oleh
pihak-pihak
yang
ingin
menyalahgunakannya.
c) Improper It Data And Program Access Requests
Dalam perusahaan atau entitas yang besar selalu menerapkan sistem
persetujuan dalam permohonan untuk berbagai macam akses data
perusahaan.
Persetujuan
ini
biasanya
mengacu
ke
atasan
yang
Universitas Indonesia
secara internal.
Jaringan
telekomunikasi
yang
telecommunications network.)
Pada perusahaan besar biasanya
lebih
telah
luas
(Extensive
memiliki
jaringan
2.
11
Universitas Indonesia
fungsi pengembangan.
Prosedur audit yang detail ini dapat didapatkan dari review awal langkah
pertama. Dasarnya adalah agar auditor internal memahami alur kerja fungsi
opersional TI. Sistem yang sudah berkembang biasanya selalu melakukan
perubahan prosedur dari waktu ke waktu menambahkan atau merubah
kompleksitas yang dibutuhkan. Sehingga audit prosedur yang digunakan dapat
diganti mengikut pergantian yang dilakukan oleh manajemen, tergantung
kompleksitas dan ukuran perusahaan/entitas.
3. Review atas lingkup terbatas terspesialisasi.
Karena permintaan manajemen, auditor terkadang juga perlu melakukan
spesial review, misalnya khusus database administration.
4. Ketaatan hukum dan peraturan.
12
Universitas Indonesia
suatu
rangkaian
konsep
dan
teknik
pengelolaan
infrastruktur,
13
Universitas Indonesia
hubungan antara proses-proses tersebut. Tidak ada urutan atau mana yang lebih
dulu di antara masing-masingnya. Mereka dapat dipertimbangkan dan dikelola
secara terpisah, tetapi semuanya agak terkait satu sama lain.
1. ITIL Service Support Incident Management
Proses Incident management harus meng-cover aktivitas memperbaiki
gangguan dalam TI. Gangguan ini dapat berupa kegagalan sistem,
ketidakmampuan user meng-akses sesuatu dll. Tempat user mengadu ini
disebut service desk. Tujuan dari ITIL service Support Incident
Management
ini
adalah
mengembalikan
operasional
yang
14
Universitas Indonesia
15
yang
Universitas Indonesia
Problem management adalah area yang tepat bagi auditor internal karena
disini memperlihatkan keefektifan operasional TI.
a) Service Support Configuration Management
Fungsi konfigurasi adalah
termasuk identifikasi, mencatat dan melaporkan komponenkomponen TI , versi-versinya. Managemen konfigurasi termasuk
mengatur hubungan antar aset. Managemen konfigurasi juga
termasuk elemen kontrol didalamnya, seperti memerlukan cek fisik
yang dicocokan dengan yang dicatat. Data-data individual harus
dicatat secara teratur dalam configuration management database
(CMDB). Exhibit 18.7 pokok dari prosedur audit untuk mereviu
proses manajemen konfigurasi perusahaan.
b) Service Support Change Management
Tujuan ITIL manajemen perubahan adalah menstandarisasi metode
dan prosedur untuk efisiensi penggantian untuk menghindari
mengurangi kualitas pelayanan sehari-hari. ITIL manajemen
perubahan termasuk :
16
Universitas Indonesia
persetujuan,
pengawasan
dan
pelaporan
dalam
17
Universitas Indonesia
18
Universitas Indonesia
saat
ini.
Penganggaran
memastikan
bahwa
telah
Universitas Indonesia
b) IT Accounting
Adalah proses TI untuk menentukan berapa banyak uang yang
dihabiskan oleh pelanggan, layanan, dan aktivitas. Fungsi TI tidak
selalu melakukan pekerjaan yang baik di area ini, mereka mempunya
bervariasi biaya eksternal, termasuk perangkat lunak, perjanjian sewa
perlengkapan, biaya telekomunikasi, dan lainnya, tetapi biaya tersebut
biasnaya tidak di atur atau dilaporkan dengan baik. Mereka memiliki
data yang cukup untuk membayar bon dan mengevaluasi beberapa
specific area costs, tetapi fungsi TI sering lack tingkat akuntansi rinci
ditemukan di sebuah perusahaan manufaktur besar.
c) Charging
Adalah himpunan harga dan penagihan proses untuk mengisi
pelanggan untuk layanan yang disediakan. Hal ini membutuhkan
akuntansi TI sound dan dilakukan dengan cara yang sederhana, adil,
dan terkendali dengan baik. Proses pengisian TI kadang-kadang rusak
dalam fungsi TI karena laporan penagihan layanan TI terlalu rumit atau
teknis untuk banyak pelanggan. TI perlu untuk menghasilkan yang
jelas, laporan dimengerti layanan TI yang digunakan sehingga
pelanggan dapat memverifikasi rincian, memahami cukup untuk
mengajukan
pertanyaan
mengenai
layanan,
dan
bernegosiasi
di
masa
mendatang.
Manajemen
kapasitas
jasa
20
Universitas Indonesia
persyaratan
dan
bagimana
TI
dapat
memenuhinya.
21
Universitas Indonesia
22
Universitas Indonesia
fungsi TI. Agar ITIL memenuhi persyaratan, perusahaan does not need multiples
levels of staf pendukung. Melainkan, perlu memikirkan berbagai jasa dukungan
dan jasa proses pengiriman dari perspektif ITIL praktik terbaik. Fungsi kecil TI
mungkin tidak perlu membangun manajemen insiden dan fungsi manajemen
masalah yang terpisah tetapi harus memikirkan setiap proses yang terpisah dengan
prosedur kontrol yang unik. Bahkan jika fungsi TI sangat kecil, setiap area proses
ITIL harus diperlakukan sebagai daerah penting untuk proses perbaikan.
Auditor internal harus menaruh perhatian khusus pada kepatuhan ITIL
ketika membuat rekomendasi. Ukuran dan lingkup area yang diaudit dan lingkup
operasi harus selalu dipertimbangkan.
Infrastruktur TI merupakan area penting untuk reviu audit internal. Di
masa lalu, semua auditor internal terlalu sering berkonsentrasi pada kontrol
aplikasi dan kontrol umum TI. Proses ITIL diuraikan dalam bab ini adalah
beberapa daerah yang sangat baik untuk perhatian audit internal di dunia saat ini
proses kompleks yang mendukung infrastruktur TI. Ketika meninjau kontrol
internal untuk setiap perusahaan TI, apakah operasi perusahaan-tingkat TI besar
atau fungsi yang lebih kecil ditemukan di banyak perusahaan hari ini, auditor
internal yang efektif harus berkonsentrasi pada meninjau kontrol atas proses
infrastruktur TI utama.
23
Universitas Indonesia
24
Universitas Indonesia
Universitas Indonesia
komputerisasi
yang
paling
krusial
dan
mengandung
risiko.
26
Universitas Indonesia
b)
c)
yang
mengkombinasikan
semua
sistem
manajemen
yang
27
Universitas Indonesia
menjelaskan
prosedur
pengendalian
yang
memadai
untuk
b)
c)
saat
ini
aplikasi
dibuat
berdasarkan
suatu
bahasa
28
Universitas Indonesia
2)
29
Universitas Indonesia
30
Universitas Indonesia
Software,
perusahaan
seharusnya
sudah
Universitas Indonesia
32
Universitas Indonesia
1. Management Request
Manajemen kadang suka melakukan permintaan kepada internal audit
untuk mereviu pengendalian dari aplikasi yang baru diinstal atau IT yang
memiliki signifikansi terhadap sauatu permasalahan atau penyusunan
strategis perusahaan.
2. Preimplementation review of new application
Internal audit terkadang diminta untuk berpartisipasi dalam memberikan
saran ketika suatu aplikasi ingin diciptakan.
3. Postimplementation application review
Untuk beberapa aplikasi yang cukup kritikal dan berhubungan dengan
analisis resiko, biasanya internal audit perlu melakukan reviu yang cukup
mendetail apakah aplikasi berjalan sudah sesuai dengan yang diharapkan.
4. Internal control assessment consideration
Evaluasi dan percobaan pengujian pengendalian internal guna memenuhi
standar kebijakan yang ditetapkan, seperti pada SOX section 404.
5. Other audit application selection criteria
Beberapa hal signifikan lainnya yang membuat internal auditor perlu
melakukan reviu atas aplikasi tersebut, seperti :
a) Aplikasi yang melakukan pengendalian atas asset yang signifikan
b) Aplikasi yang melakukan pengendalian atas Resiko yang signifikan
c) Aplikasi yang baru dilakukan perubahan didalamnya
d) Dan lain-lain.
Internal auditor juga biasanya melakukan reviu terhadap aplikasi yang
spesifik yang menunjang keseluruhan fungsi area. Contohnya, dalam
mereviu operasional dan keuangan dan department pembelian.
C. Preliminary Steps to Performing Application Controls Reviews
Pada saat internal auditor sudah menentukan aplikasi mana yang akan
direviu, maka dia perlu memahami objektif yang ingin dicapai, teknologi yang
digunakan, dan hubungan aplikasi tersebut dengan aplikasi lainnya.
Pertama, biasanya internal auditor akan meminta dokumen-dokumen yang
terlibat dalam siklus kegiatan dan pembuatan aplikasi tersebut. Seperti SOP yang
33
Universitas Indonesia
terkait dalam kegiatan bisnis dalam aplikasi tersebut dan juga beberapa dokumen
yang ada dalam aplikasi tersebut, seperti :
34
Universitas Indonesia
35
Universitas Indonesia
36
Universitas Indonesia
37
Universitas Indonesia
38
Universitas Indonesia
39
Universitas Indonesia
data
download
dari
sistem
pusat
mungkin
40
Universitas Indonesia
perencanaan
keuangan
telah
mengembangkan
bagian
dari
41
Universitas Indonesia
Setelah
dilakukannya
peninjauan
atas
general
control,
sistem
42
Universitas Indonesia
tersebut
menggunakan
diagram
alur
(flowchart)
meskirun
43
Universitas Indonesia
Reperformance of computations.
Proses penganggaran modal didasarkan pada beberapa perhitungan yang
sangat spesifik, seperti estimasi nilai kini arus kas masa depan berdasarkan
faktor diskon. Menggunakan alat spreadsheet lain atau bahkan kalkulator
meja, audit internal bisa memilih salah satu atau beberapa perhitungan nilai
44
Universitas Indonesia
Comparison of transactions.
Audit internal dapat memilih beberapa set aplikasi budget schedules dan
melakukan pelacakan melalui sistem anggaran file server untuk
menentukan bahwa budget schedules telah dikirimkan dengan benar.
Universitas Indonesia
Specialized consultant
46
Universitas Indonesia
c)
melakukan
pengujiannya.
Selanjutnya
internal
auditor
akan
sebagai
pihak
yang
paling
memahami
tentu
saja
47
Universitas Indonesia
diterapkan
yang
memungkinkan
mereka
untuk
menempatkan
48
Universitas Indonesia
Interruptions
Terjadi saat sistem tidak dapat diakses, tak bekerja, dan hilang akibat adanya
perusakan, pencurian, atau penggunaan yang salah.
Interceptions
Modification
Fabrication
Terjadi saat pihak yang tak berwenang dapat memasukkan data atau
informasi fiktif ke dalam sistem.
49
Universitas Indonesia
50
Universitas Indonesia
2. Importance of IT Password
Untuk melakukan akses terhadap suatu aplikasi atau bagian dari
system TI, sangatlah penting sekali untuk menerapkan Password untuk
melindungi dari orang-orang yang tidak memiliki akses didalamnya.
Berikut ini merupakan criteria yang baik dalam penerapan suatu password:
a) Password adalah tanggung jawab pengguna untuk menciptakan
password tetapi peraturan administrasi harus dibuat untuk membuat
pihak lain tidak mudah menebusnya. Contohnya. Pengendalian dan
panduan harus dibuat untuk mencegah karyawan menggunakan tanggal
lahir dan nama panggilan sebagai password.
b) Password harus disusun sedemikian rupa supaya tidak mudah untuk
ditebak.
Contohnya,
peraturan
yang
mensyaratkan
untuk
51
Universitas Indonesia
52
Universitas Indonesia
53
Universitas Indonesia
Universitas Indonesia
user pada situs tersebut, situs itu akan dapat mengenalinya. Jadi dapat
dikatakan cookies adalah ID card user saat koneksi pada situs. Hal tersebut
merupakan database yang dimiliki oleh perusahan-perusahaan.
3. Radio Frequency Identification
Penggunaan Radio Frequency ID (RFID) dalam berbagai macam hal
aktifitas yang dilakukan oleh perusahaan baik dengan pelanggan ataupun
karyawannya nerupakan suatu hal yang perlu memilki privasi didalamnya.
Karena hal tersebut merupakan suatu hal yang memiliki keunikan dalam
arti berbeda satu sama lain, RFID tersebut sudah memiliki data personal
atas pemiliknya masing-masing.
C. Auditing IT Security and Privacy
Terdapat beberapa pertanyaan umum yang biasa dilemparkan oleh internal
auditor pada saat melakukan review atas IT Security and Privacy, yakni :
Can you give me a diagram of your IT Network here showing all internal
and external connections within the network?
Have you installed firewalls for the network and di they protect all access
points?
Is ther any way that devices on the network can communicate to other
devices, such as a dila-up line through a modem, and bypass the firewall
barrier?
Etc.
Biasanya yang akan menjadi poin utama dalam review bagian ini adalah,
55
Universitas Indonesia
dikumpulkan dan dikelola dengan baik berdasarkan dengan pihak-pihak mana saja
yang berhak mengaksesnya.
1. Security and Control for Auditor Computers
Setiap internal auditor biasanya kini sudah memiliki laptop masing-masing
dalam menjalankan aktifitasnya. Didalam laptop tersebut tentu saja
berisikan data-data audit yang dilakukannya pada setiap pengerjaan yang
tentu saja memiliki sifat rahasia dan tidak semua pihak dapat
mengetahuinya. Berikut ini hal-hal teknis yang perlu diketahui internal
auditor dalam melindungi laptopnya :
a) Auditor personal responsibility for auditors laptop
Internal auditor tentu saja bertanggung jawab masing-masing atas
laptop tersebut, sehingga diharapkan mereka dapat menjaganya dengan
baik
b) File backup procedure
File-file juga biasanya disimpan dalam suatu server agar dapat
terkelola dengan baik jika sewaktu-waktu dibutuhkan.
c) Physical locks and mechanisms
Laptop juga perlu diberikan pengamanan dalam bentuk tas yang aman
dan penggunaan password dalam akses masuk ke kompternya.
d) Antivirus and other tools
Untuk menhindari virus, sebaiknya laptop menggunakan antivirus
yang selalu diupdate dan ditambahkan aplikasi-aplikasi penunjang
untuk melindungi latop tersebut.
2. Workpaper Security
Seperti yang sudah dijelakan sebelumnya, dengan mekanisme
working paper yang sudah menggunakan internet based, maka perlu
diterapkan pengamanan atas data tersebut karena working paper
merupakan dasar awal pembuatan laporan.
3. Audit reports and privacy
Laporan audit juga perlu diamankanm sebelum dapat dismapaikan
kepada pihak-pihak yang bersangkutan.
4. Internal audit security and privacy standard and training
56
Universitas Indonesia
57
Universitas Indonesia
BAB 3
KESIMPULAN
58
Universitas Indonesia
DAFTAR PUSTAKA
Lawrence B. Sawyer & Glen E. Sumners Sawyers Internal Audit 5th edition, The
Institute of Internal Auditors, 2003
Moeller, Robert R, Brinks Modern Internal Auditing, 2009 Edisi 7, John Wiley &
Sons, Inc, Hoboken, New Jersey
59
Universitas Indonesia