Pengendalian Internal, Standar dan Panduan untuk Audit SI

AUDIT TEKNOLOGI SISTEM INFORMASI

DISUSUN OLEH

        ARYA DWI PRAMUDITA             (11115069)

        MOHAMMAD FAISAL .H            (14115280)

        RIZKI APRILIA DWIJAYANTI   (16115138)

SISTEM INFORMASI

UNIVERSITAS GUNADARMA

PTA 2018/2019

BAB I PENDAHULUAN

1.1 Tentang Audit Sistem Informasi

Audit sistem informasi adalah fungsi dari organisasi yang mengevaluasi keamanan aset, integritas data, efektifitas dan efisiensi sistem dalam sistem informasi berbasis komputer. Kebutuhan audit ini disebabkan oleh beberapa faktor yaitu:

1.      Kemungkinan kehilangan data.

2.      Kemungkinan kesalahan penempatan sumber daya akibat kesalahan pengambilan keputusan yang diakibatkan karena kesalahan pemrosesan data.

3.      Kemungkinan komputer rusak karena tidak terkontrol.

4.      Harga komputer hardware, software sangat mahal.

5.      Biaya yang tinggi apabila ada error pada computer

6.      Kebutuhan privacy dari organisasi/seseorang.

7.      Kebutuhan untuk mengontrol penggunaan komputer.

Para auditor sistem informasi secara khusus berkonsentrasi pada evaluasi kehandalan atau efektifitas pengendalian / kontrol pada sistem. Kontrol adalah sebuah sistem untuk mencegah, mendeteksi atau memperbaiki situasi yang tidak teratur. Terdapat tiga aspek penting yang berkaitan dengan definisi kontrol di atas, yaitu:

1.      Kontrol adalah sebuah sistem, dengan kata lain kontrol terdiri atas sekumpulan komponen-komponen yang saling berhubungan dan bekerja sama untuk mencapai tujuan yang sama.

2.      Fokus dari kontrol adalah situasi yang tidak teratur, dimana keadaan ini bisa terjadi jika ada masukan yang tidak semestinya masuk ke dalam system.

3.      Kontrol digunakan untuk mencegah, mendeteksi dan memperbaiki situasi yang tidak teratur, sebagai contoh:

a.       Preventive control – merupakan instruksi yang diletakkan pada dokumen untuk mencegah kesalahan pemasukan data

b.      Detective control – dimaksudkan sebagai kontrol yang diletakkan pada program yang berfungsi mendeteksi kesalahan pemasukan data

c.       Corrective control – merujuk kepada jenis program yang dibuat khusus untuk memperbaiki kesalahan pada data yang mungkin timbul akibat gangguan pada jaringan, komputer ataupun kesalahan user.

Secara umum, fungsi dari kontrol adalah untuk menekan kerugian yang mungkin timbul akibat kejadian yang tidak diharapkan yang mungkin terjadi pada sebuah sistem. Tugas auditor adalah untuk menetapkan apakah kontrol sudah berjalan sesuai dengan yang diharapkan untuk mencegah terjadinya situasi yang tidak diharapkan. Auditor harus dapat memastikan bahwa setidaknya ada satu buah kontrol yang dapat menangani resiko bila resiko tersebut benar-benar terjadi.

BAB II PEMBAHASAN

2.1 Definisi Pengendalian Internal

Pengendalian internal merupakan bagian yang sangat penting agar tujuan perusahaan dapat tercapai. Tanpa adanya pengendalian interal, tujuan perusahaan tidak dapat dicapai secara efektif dan efisien. Semakin besar perusahaan semakin penting pula arti dari pengendalian internal dalam perusahaan tersebut. Guna memperoleh pemahaman yang lebih luas mengenai pengendalian internal, maka penulis secara berurutan akan mengemukakan hal-hal yang berhubungan dengan pengendalian internal tersebut (Pratiwi, 2014:12).

            Definisi dari pengendalian internal menurut Warren, Reeve, dan Fess (2005: 227) adalah “Kebijakan dan prosedur yang melindungi aktiva perusahaan dari kesalahan penggunaan, memastikan bahwa informasi usaha yang disajikan akurat dan meyakinkan bahwa hukum serta peraturan perusahaan telah diikuti.

            Menurut Mulyadi (2001: 163), sistem pengendalian internal adalah: “Sistem pengendalian internal meliputi struktur organisasi, metode dan ukuran-ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhinya kebijakan manajemen.”

2.2 Tujuan Sistem Pengendalian Internal

Tujuan dari dilakukannya pengendalian internal adalah menjamin manajemen dari suatu perusahaan, organisasi atau entitas agar:

·         Tujuan perusahaan yang ditetapkan akan dapat dicapai.

·         Laporan keuangan yang dihasilkan perusahaan dapat dipercaya

·         Kegiatan perusahaan sejalan dengan hukum dan peraturan yang berlaku.

Pengendalian internal dapat mencegah kerugian atau pemborosan pengolahan sumber daya perusahaan, serta dapat menyediakan informasi tentang bagaimana penilaian terhadap kinerja perusahaan dan manajemennya. Tidak hanya itu, pengendalian internal juga menyediakan informasi yang berguna sebagai pedoman dalam perencanaan terhadap berbagai aktivitas di masa mendatang.

2.3 Sifat-sifat Pengendalian Internal

Menurut Gondodiy Oto (2009, p 137), pengendalian internal digolongkan dalam kategori preventive (pencegahan), detection (deteksi) dan corrective (perbaikan), yang penjelasan masing-masingnya adalah sebagai berikut:

1.      Preventive Control, yaitu pengendalian internal yang dirancang dengan maksud untuk mengurangi kemungkinan (atau mencegah) agar jangan sampai terjadi kesalahan (error) maupun penyalahgunaan (kecurangan, fraud) dalam pengoperasian sistem.

2.      Detection Control, di sini diartikan sebagai pengendalian yang dirancang dengan tujuan untuk mendeteksi kesalahan (umumnya berkisar di masalah berupa ketidaksesuaian dengan kriteria yang ditetapkan) yang terjadi saat merekam atau melakukan konversi data dari media sumber (media input) untuk ditransfer ke sistem komputer.

3.      Corrective Control, merujuk ke bagian pengendalian yang dilakukan bila ditemukan data yang sebenarnya memiliki error tetapi sama sekali tidak terdeteksi oleh program validasi. Di sini harus ada prosedur yang jelas tentang bagaimana melakukan perbaikan terhadap data yang salah, dengan maksud untuk mengurangi kemungkinan terjadinya kerugian yang lebih besar setelah terjadinya kesalahan tersebut.

BAB III ANALISA

3.1 Studi Kasus Pengendalian Internal

Pada sebuah perguruan tinggi negeri (PTN) yang sebut saja bernama PTN X, terdapat sebuah kasus dimana PTN tersebut telah mendapat opini Wajar Tanpa Pengecualian dengan berdasarkan laporan keuangan yang dilakukan oleh auditor eksternal. Namun saat hasil laporan keuangan dari auditor eksternal dibandingkan dengan hasil audit operasional yang dilakukan oleh Badan Pemeriksa Keuangan (BPK), hasil yang didapat adalah didapati berbagai temuan yang terkait pengadaan barang dan jasa pada PTN tersebut yang belum sepenuhnya sesuai dengan peraturan yang berlaku seperti Keputusan Presiden (Keppres) tentang Pedoman Pelaksanaan Pengadaan Barang/Jasa Pemerintah maupun peraturan internal dari PTN tersebut. Adanya perbedaan yang muncul pada hasil temuan dari kedua institusi auditor eksternal tersebut dapat menjadi indikasi adanya potensi tata kelola dan pengendalian yang tidak sesuai. Maka untuk studi kasus ini, PTN tersebut dijadikan sebagai subyek penelitian karena posisinya yang strategis, serta menjadi prototipe untuk menggambarkan kompleksitas dari pengelolaan perguruan tinggi serta evaluasi terhadap penerapan sistem pengendalian internal yang selama ini dijalankan di dalam PTN tersebut.

3.2 Analisa Studi Kasus

Berdasarkan hasil analisa dari kasus yang telah disebutkan di subbab sebelumnya, dapat diketahui secara jelas bahwa PTN X telah memenuhi lima poin pengendalian internal yang ditetapkan berdasarkan Peraturan Pemerintah (PP) No. 60 tahun 2008. Lima poin tersebut adalah:

1.      Evaluasi Lingkungan Pengendalian – hasil dari proses evaluasi ini berhasil menunjukkan bahwa lingkungan yang ada dalam PTN X tersebut mencerminkan adanya dukungan terhadap manajemen dalam terciptanya sistem pengendalian internal lembaga yang efektif, dengan berdasarkan pada poin-poin berikut:

a.       Integritas dan etika yang kuat

b.      Komitmen terhadap kompetensi dari setiap pihak di dalam lingkungan PTN

c.       Filosofi dan gaya operasi yang mendukung keterbukaan

d.      Struktur dari organisasi yang fleksibel dalam menghadapi perubahan

e.       Pemahaman yang baik terhadap pertanggungjawaban untuk wewenang dari masing-masing pihak.

2.      Evaluasi Penilaian Risiko – secara umum penilaian seluruh risiko yang ada pada lingkungan PTN X dilakukan melalui satuan audit internal dengan baik, yang dimana ini disertai dengan tindakan berupa memberikan perhatian terhadap prioritas dari risiko dan pemilihan unit yang akan diaudit secara seksama. Namun sayangnya dokumentasi dari penilaian risiko yang bersifat spesifik, terukur dan realistis dari pimpinan unit kerja di PTN tersebut masih belum ada sama sekali.

3.      Evaluasi Informasi dan Komunikasi – di sini PTN X telah berhasil menerapkan sistem berbasis teknologi informasi yang berfungsi untuk mengatur keuangan dari PTN secara sangat baik, terutama dalam hal proses-proses yang bersinggungan dengan akuntansi dan pengaturan anggaran. Namun karena prosesnya belum sepenuhnya terotomatisasi (masih harus dilakukan dengan menggunakan cara input manual), maka tingkat kerawanan terhadap terjadinya salah penyajian akibat kesalahan input (ditambah dengan besarnya volume data yang harus dihitung dan dikompilasi) masih sangat tinggi.

4.      Evaluasi Aktivitas Pengendalian – aktivitas pengendalian keuangan yang dilakukan dalam PTN X secara umum memenuhi poin-poin yang berkaitan dengan hal sebagai berikut:

a.       Peninjauan ulang atas kinerja keuangan yang dilakukan bersama dengan proses penyusunan anggaran tahunan dan rencana kegiatan anggaran tahunan (RKAT).

b.      Pembinaan SDM yang dilakukan dalam rangka mencapai target dan anggaran yang ditetapkan berdasarkan rencana kegiatan tahunan (RKT) dan RKAT dari PTN tersebut.

c.       Pemrosesan informasi yang dikendalikan oleh pihak yang memiliki peran yang sesuai dengan tugas kerjanya.

d.      Pengendalian fisik aset yang dilakukan oleh staf yang bertanggungjawab atas pengelolaan aset-aset tersebut kepada Direktorat Pengelola Aset.

e.       Pemisahan tanggungjawab dan tugas ke bidang-bidang yang sesuai, termasuk pula untuk transaksi atau kejadian di PTN tersebut. Ini disertai dengan penunjukan staf untuk pengerjaan transaksi atau kejadian yang sah dengan merujuk ke RKAT masing-masing unit kerja

f.       Pencatatan dan pengklasifikasian setiap transaksi dan kejadian yang telah terjadi dengan menggunakan bagan yang sesuai untuk masing-masing kegiatan.

5.      Evaluasi Pemantauan – untuk evaluasi ini, secara dasar seluruh kegiatan yang sedang berjalan di PTN X diawasi secara langsung dan terus berlanjut, berikut dengan proses audit internal yang dilaksanakan oleh satuan internal dari PTN yang bertanggungjawab atas seluruh data hasil audit, serta melakukan pembandingan antara hasil temuan audit internal dengan tinjauan hasil audit dari pihak eksternal untuk memastikan bahwa seluruh aktivitas keuangan yang dilakukan pada satu periode tahun anggaran tersebut bersifat transparan dan dapat dipantau secara berkelanjutan.

Dari sini kemudian dapat ditarik sebuah pernyataan yang terkait dengan hasil dari analisa di atas bahwa secara garis besar PTN X merupakan salah satu dari institusi perguruan tinggi yang tidak melakukan kecurangan terhadap hasil audit operasional dari auditor eksternal (dalam contoh kasus ini yaitu hasil audit operasional oleh BPK di periode tahun 2012 hingga 2013). Ini disebabkan fakta bahwa penerapan secara menyeluruh dari pengendalian internal dalam aktivitas institusi pendidikan seperti PTN X maupun institusi-institusi lainnya akan mencegah, mendeteksi dan memperbaiki berbagai masalah yang jika dibiarkan akan mendatangkan dampak buruk bagi institusi tersebut, baik secara parsial maupun secara keseluruhan. Sehingga pada akhirnya dapat dikatakan bahwa pengendalian internal akan memberikan efektivitas dan efisiensi kinerja institusi secara keseluruhan. – Arya D.P.

Solusi yang telah diberikan untuk permasalahan diatas merupakan salah satu contoh dari pengaplikasian pengendalian internal. Dengan menggunakan pengendalian internal sebagai langkah pertama untuk menyelesaikan suatu permasalahan dapat dikatakan cukup efektif. Karena pengendalian internal dapat melakukan penanggulangan masalah serta memperbaiki kelemahan – kelemahan prosedur atau kebijakan yang dapat dikatakan berbahaya baik secara langsung maupun tidak langsung. – M. Faisal. H

Dari permasalahan yang dihadapi lembaga pendidikan seperti perguruan tinggi negeri di atas, pengendalian internal dijadikan peringatan pertama yang efektif. Indikasi terjadinya mismanagement atau penyimpangan karena posisinya langsung bersinggungan dengan tubuh institusi keseluruhan, pengendalian internal dapat melakukan pencegahan, pendeteksian dan juga perbaikan kelemahan terhadap serangkaian prosedur, apabila pengendalian internal dilakukan secara kontinu maka permasalahan yang merugikan lembaga pendidikan tersebut tidak terulang di kemudian hari dengan demikian penyusunan sistem pengendalian internal dan penerapannya di rancang untuk dapat mendukung operasional sistem kerja yang berjalan agar efektif dan efisien sesuai SPIP (Sistem Pengendalian Internal Pemerintah). – Rizki A.D

BAB IV PENUTUP

4.1 Kesimpulan

Para auditor sistem informasi secara khusus berkonsentrasi pada evaluasi kehandalan atau efektifitas pengendalian / kontrol sistem. Dengan menerapkan engendalian internal dapat mencegah kerugian atau pemborosan pengolahan sumber daya perusahaan, serta dapat menyediakan informasi tentang bagaimana penilaian terhadap kinerja perusahaan dan manajemennya. Tidak hanya itu, pengendalian internal juga menyediakan informasi yang berguna sebagai pedoman dalam perencanaan terhadap berbagai aktivitas di masa mendatang.

4.2 Saran

Pengendalian internal dilakukan secara kontinu maka permasalahan yang merugikan lembaga pendidikan tersebut tidak terulang di kemudian hari dengan melakukan penanggulangan masalah serta memperbaiki kelemahan – kelemahan prosedur atau kebijakan yang dapat dikatakan berbahaya baik secara langsung maupun tidak langsung.

 

DAFTAR PUSTAKA

[1] Mulyadi, 2001. Sistem Akuntansi, Edisi Ketiga, Cetakan Ketiga, Salemba Empat, Jakarta.

[2] Warren, Carl S., James M. Reeve, Phillip E. Fess, 2005. Pengantar Akuntansi, Edisi 21, Terjemahan Aria Farahmita, SE. Ak,; Amanugrahani, SE. Ak,; Taufik Hendrawan, SE. Ak.Salemba Empat, Jakarta.

[3] Zamzami, Faiz, Ihda Arifin Faiz, 2015. Evaluasi Implementasi Sistem Pengendalian Internal: Studi Kasus Pada Sebuah Perguruan Tinggi Negeri, [online], (http://jamal.ub.ac.id/index.php/jamal/article/viewFile/351/413, diakses tanggal 14 Oktober 2018)

===/===

Tugas Individu: Standar dan Panduan untuk Audit SI

Standar Audit SI tidak lepas dari standar professional seorang auditor SI. Standar professional adalah ukuran mutu pelaksanaan kegiatan profesi yang menjadi pedoman bagi para anggota profesi dalam menjalankan tanggungjawab profesinya. Standar profesional adalah batasan kemampuan (knowledge, technical skill and professional attitude) minimal yang harus dikuasai oleh seseorang individu untuk dapat melakukan kegiatan profesionalnya pada masyarakat secara mandiri yang aturan-aturannya dibuat oleh organisasi profesi yang bersangkutan. Beberapa standar audit SI yang biasa digunakan adalah sebagai berikut:

• ISACA : IT Standards, Guidelines, and Tools and Techniques for Audit and Assurance and Control Professionals
• IIA : International Professional Practices Framework / IPPF
• IASII : Standar Audit Sistem Informasi
• BI : Standar Pelaksanaan Fungsi Audit Intern Bank / SPFAIB
• BPPT : Framework, Kode Etik & Standar, Pedoman Umum Audit Teknologi

1. ISACA

ISACA adalah suatu organisasi profesi internasional di bidang tata kelola teknologi informasi yang didirikan di Amerika Serikat pada tahun 1967. Awalnya dikenal dengan nama lengkap Information Systems Audit and Control Association, saat ini ISACA hanya menggunakan akronimnya untuk merefleksikan cakupan luasnya di bidang tata kelola teknologi informasi. ISACA telah memiliki kurang lebih 70.000 anggota yang tersebar di 140 negara. Anggota ISACA terdiri dari antara lain auditor sistem informasi, konsultan, pengajar, profesional keamanan sistem informasi, pembuat perundangan, CIO, serta auditor internal. Jaringan ISACA terdiri dari sekitar 170 cabang yang berada di lebih dari 60 negara, termasuk di Indonesia.

2. IIA COSO

Committee of Sponsoring Organizations of the Treadway Commission, atau disingkat COSO, adalah suatu inisiatif dari sektor swasta yang dibentuk pada tahun 1985. Tujuan utamanya adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. COSO disponsori dan didanai oleh 5 asosiasi dan lembaga akuntansi profesional: American Institute of Certified Public Accountants (AICPA), American Accounting Association(AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) danThe Institute of Management Accountants (IMA).

3. ISO 1799

ISO / IEC 17799: 2005 menetapkan pedoman dan prinsip umum untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen keamanan informasi dalam sebuah organisasi. Tujuan yang diuraikan memberikan panduan umum mengenai tujuan umum manajemen keamanan informasi yang diterima secara umum. ISO / IEC 17799: 2005 berisi praktik terbaik pengendalian dan pengendalian pengendalian di bidang pengelolaan keamanan informasi berikut:

• Pengorganisasian keamanan informasi;
• Manajemen aset;
• Keamanan sumber daya manusia;
• Keamanan fisik dan lingkungan;
• Komunikasi dan manajemen operasi;
• Kontrol akses;
• Akuisisi sistem informasi, pengembangan dan pemeliharaan;
• Manajemen insiden keamanan informasi;
• Manajemen kontinuitas bisnis;
• Pemenuhan.

Daftar Pustaka

https://id.wikipedia.org/wiki/ISACA

https://id.wikipedia.org/wiki/COSO

https://www.iso.org/standard/39612.html

https://herunugroho.staff.telkomuniversity.ac.id/tugas-membandingkan-standar-audit-si/