GAMBARAN MENGENAI PENGAUDITAN
Organisasi bisnis melakukanberbagai jenis audit untuk tujuan yang berbeda. Yang paling
umum adalah pengauditan eksternal, pengauditan internal, dan pengauditanpenipuan.
umum adalah pengauditan eksternal, pengauditan internal, dan pengauditanpenipuan.
Pengauditan Eksternal
Audit eksternaladalah pengauditan independen yang dilakukan oleh seorang ahli untuk mengungkapkan pendapatmengenai penyajian laporan keuangan. Tugas ini dilakukan oleh Akuntan Publik (CPA) yang bekerja di perusahaan akuntan publik yang independen untuk perusahaan klienyang diaudit. Tujuan audit selalu dikaitkan untuk meyakinkan presentasi wajar sebuah laporan keuangan. Oleh karena itu, sering disebut sebagai audit keuangan.
Securities and Exchange Commission (SEC) mewajibkan semua perusahaan publik
harus di audit keuangan setiap tahunnya. CPA melakukan audit tersebut untuk mewakili pihak dari luar seperti pemegang saham, kreditur, instansi pemerintah, dan masyarakat umum.
Securities and Exchange Commission (SEC) mewajibkan semua perusahaan publik
harus di audit keuangan setiap tahunnya. CPA melakukan audit tersebut untuk mewakili pihak dari luar seperti pemegang saham, kreditur, instansi pemerintah, dan masyarakat umum.
Auditor eksternal harus mengikuti aturan ketat dalam melakukan audit keuangan. Aturan otoritatif ini telah ditetapkan oleh SEC, Dewan Standar Akuntansi Keuangan
(FASB), AICPA, danoleh hukum federal (Sarbanes-Oxley [SOX] Act of 2002).
Dengan berlalunya SOX, Kongres mendirikan PCAOB, yang sebagian besar menggantikan fungsi
FASB, dan beberapa fungsi dari AICPA (misalnya, menetapkan standar dan memberikan teguran danhukuman bagi CPA yangdihukum karena kejahatan tertentuatau pelanggaran tertentu). Apapun,di bawah hukum federal, SEC memiliki kewenangan final untuk audit keuangan.
(FASB), AICPA, danoleh hukum federal (Sarbanes-Oxley [SOX] Act of 2002).
Dengan berlalunya SOX, Kongres mendirikan PCAOB, yang sebagian besar menggantikan fungsi
FASB, dan beberapa fungsi dari AICPA (misalnya, menetapkan standar dan memberikan teguran danhukuman bagi CPA yangdihukum karena kejahatan tertentuatau pelanggaran tertentu). Apapun,di bawah hukum federal, SEC memiliki kewenangan final untuk audit keuangan.
Jasa pemeriksa VS Jasa konsultasi
Jasa Atestasi (Attestation Service) yaitu perjanjian di mana seorang praktisi yang dikontrak untuk mengeluarkan, atau telah mengeluarkan sebuah komunikasi tertulis yang menyatakan suatu kesimpulan mengenai keandalan sebuah penilaian tertulis yang merupakan tanggung jawab pihak lainnya. (SSAE No.1, AT Bagian 100.01)
Syarat Jasa Atestasi:
1. Adanya penilaian tertulis dan laporan tertulis dari praktisi terkait
2. Kriteria pengukuran yang formal atau penjelasan dalam penyajiannya
3. Tingkatan jasa dibatasi pada pemeriksaan, pengkajian, dan penerapan berbagai prosedur yang telah disepakati sebelumnya.
Jasa konsultasi adalah layanan profesional yang ditawarkan oleh kantor akuntan publik untuk meningkatkan efisiensi dan efektivitas operasional organisasi klien. Domain
jasa konsultasi sengaja tak terbatas sehingga tidakmenghambat pertumbuhan layanan mendatang yang yang saat ini tak terduga. Sebagai contoh, jasa konsultasi termasuk saran aktuaria, saran bisnis, layanan penyelidikan penipuan, desain sistem informasi dan pelaksanaan, dan penilaian pengendalian internaluntuk memenuhi SOX.
jasa konsultasi sengaja tak terbatas sehingga tidakmenghambat pertumbuhan layanan mendatang yang yang saat ini tak terduga. Sebagai contoh, jasa konsultasi termasuk saran aktuaria, saran bisnis, layanan penyelidikan penipuan, desain sistem informasi dan pelaksanaan, dan penilaian pengendalian internaluntuk memenuhi SOX.
Pengauditan Internal
Lembaga auditor internal (Institute of internal auditor) mendefinisikan audit internal sebagai fungsi penilaian independen yang dibentuk dalam perusahaan untuk mempelajari dan mengevaluasi berbagai aktivitasnya sebagai layanan bagi perusahaan. Auditor internal seringdisertifikasi sebagai Certified Internal Auditor (CIA) atau Auditor SistemInformasi Bersertifikat
(CISA).Standar, petunjuk, dan sertifikasi audit internal diatur oleh lembaga auditor internal. Untuk tingkat tertentu oleh asosiasi audit dan pengendalian sistem informasi (Information System Audit and Control Association-ISACA).
(CISA).Standar, petunjuk, dan sertifikasi audit internal diatur oleh lembaga auditor internal. Untuk tingkat tertentu oleh asosiasi audit dan pengendalian sistem informasi (Information System Audit and Control Association-ISACA).
Eksternal VS Internal Auditor
Karakteristik yangkonseptual membedakan auditor eksternal dariauditor internal adalah konstituen masing-masing: sementara auditor eksternalmerupakan pihak luar, auditor internal mewakili kepentingan organisasi. Namun demikian, dalam kapasitas ini, auditor internal sering bekerja sama dengan dan membantu auditoreksternal dalam melakukan aspek
audit keuangan. Kerjasama ini dilakukan untuk mencapai efisiensi audit dan mengurangibiaya audit. Misalnya, tim auditor internal dapat melakukan pengujian kontrol komputer
di bawah pengawasan seorang auditor eksternal tunggal.
audit keuangan. Kerjasama ini dilakukan untuk mencapai efisiensi audit dan mengurangibiaya audit. Misalnya, tim auditor internal dapat melakukan pengujian kontrol komputer
di bawah pengawasan seorang auditor eksternal tunggal.
Fraud Audit
Tujuan dari auditpenipuan adalah untuk menyelidikianomali dan mengumpulkan bukti kecurangan yang dapat menyebabkan keyakinan pidana. Auditorfraud telah mendapatkan serifikat CertifiedFraud Examiner (CFE), yang diatur oleh Asosiasi Certified Fraud Examiners(ACFE).
PERAN KOMITE AUDIT
Dewan direksi perusahaan publik membentuk subkomitedikenal sebagai
komite audit, yang memiliki tanggung jawab khusus mengenai audit. Komite ini biasanya terdiri dari tiga orang yang harusberasal dari luar perusahaa(tidak terkait dengan keluarga
manajemen eksekutif atau mantan perwira perusahaan, dll). Dengan munculnya Sarbanes-Oxley Act, setidaknya satu anggota komite audit harus menjadi "ahli keuangan." Audit
Komite berfungsi sebagai "check and balance" untuk fungsi independen audit internal
dan hubungan dengan auditor eksternal.
komite audit, yang memiliki tanggung jawab khusus mengenai audit. Komite ini biasanya terdiri dari tiga orang yang harusberasal dari luar perusahaa(tidak terkait dengan keluarga
manajemen eksekutif atau mantan perwira perusahaan, dll). Dengan munculnya Sarbanes-Oxley Act, setidaknya satu anggota komite audit harus menjadi "ahli keuangan." Audit
Komite berfungsi sebagai "check and balance" untuk fungsi independen audit internal
dan hubungan dengan auditor eksternal.
KOMPONEN FINANCIAL AUDIT
Produk dari fungsiatestasi adalah laporan tertulis resmi yang mengekspresikan pendapat tentang keandalan asersi dalam laporan keuangan. Laporan auditor menyatakan pendapat apakah laporan keuangan sudah sesuai dengan prinsip akuntansi yang berlaku umum (GAAP). Pengguna eksternal dari laporan keuangan bergantung pada opini auditor tentang keandalan keuangan dalam membuat keputusan. Untuk melakukannya, penggunaharus mampu menempatkan kepercayaan mereka pada kompetensi, profesionalisme, integritas, dan independensi auditor.
Auditor dipandu dalam tanggung jawab profesional mereka dengan sepuluh standar auditing (GaAs).
Standar Audit
Auditor memiliki tanggung jawab professional yang diatur oleh standar audit yang diterima umum (generally accepted auditing standards-GAAS). Tiga golongan Standar Audit, yaitu : Standar Kualifikasi Umum, Standar Kegiatan Lapangan dan Standar Pelaporan
Untuk memberikan petunjuk yang terperinci, lembaga akuntan public bersertifikat di Amerika (AICPA) menerbitkan pernyataan standar audit (Statements on Auditing Standards-SAS) sebagai interpretasi legal atas GAAS.
Untuk memberikan petunjuk yang terperinci, lembaga akuntan public bersertifikat di Amerika (AICPA) menerbitkan pernyataan standar audit (Statements on Auditing Standards-SAS) sebagai interpretasi legal atas GAAS.
Proses Sistematis
Melakukan audit adalahsuatu proses yang sistematis dan logisyang berlaku untuk semua bentuk sistem Informasi. Sementara penting dalam semua pengaturan audit, pendekatan sistematis adalah sangat penting dalam lingkungan TI.Oleh karena itu, kerangka logis untukmelakukan audit dalam lingkungan TI sangat penting untuk membantu auditor mengidentifikasi semua-penting proses dan file data.
Pernyataan Manajemen Dan Tujuan Audit
Laporan keuangan organisasimencerminkan seperangkat pernyataan manajemen tentang kesehatan keuangan entitas. Tugasauditor adalah untuk menentukan apakahlaporan keuangan disajikan secara wajar. Untuk mencapai tujuan ini, auditor menetapkanAudit
tujuan, desain prosedur, dan mengumpulkan bukti-buktiyang menguatkan atau membantah pernyataan itu. Pernyataan tersebut jatuh ke dalam lima kategori umum:
tujuan, desain prosedur, dan mengumpulkan bukti-buktiyang menguatkan atau membantah pernyataan itu. Pernyataan tersebut jatuh ke dalam lima kategori umum:
1. Keberadaan atau keterjadian (Existence and Occurrence)
2. Kelengkapan (Completeness)
3. Hak dan kewajiban (Rights and Obligation)
4. Valuasi atau alokasi (Valuation or Allocation)
5. Penyajian dan pengungkapan (Presentation and Disclosure)
Memperoleh Bukti
Auditor mencaribukti yang menguatkanhal pernyataan manajemen. Dalam lingkungan TI, proses ini melibatkan pengumpulan bukti yang berkaitan dengan keandalankomputer serta isi dari database yang telah diproses oleh program komputer. Bukti yang dikumpulkan setelahmelakukan kontrol, yang menentukan apakah pengendalian internalyang berfungsi dengan baik, dan pengujian substantif, yang menentukan apakah database akuntansi cukup mencerminkan transaksiorganisasi dan saldo rekening.
Pengujian Materialitas
Auditor harus menentukan apakah kelemahan pengendalian internal dan salah saji
ditemukan dalam transaksi dan saldo rekening yangmaterial di semua lingkungan audit.
ditemukan dalam transaksi dan saldo rekening yangmaterial di semua lingkungan audit.
Mengkomunikasikan Hasil
Auditor harusmengkomunikasikan hasil pemeriksaanmereka untuk pihak yang berkepentingan. Auditor independen membuat laporan kepada komite audit, dewan direksi atau pemegang saham dari sebuah perusahaan. Laporan audit berisi, antara lain, sebuah opini audit. Opini ini didistribusikan bersama dengan laporan keuangan kepada pihak yang berkepentinganbaik di internal dan eksternal perusahaan. Auditor IT sering berkomunikasi hasil temuan mereka kepadaauditor internal dan eksternal, yang kemudian dapat mengintegrasikan temuan ini dengan aspeknon-IT audit.
RISIKO AUDIT
Adalah probabilitas bahwa auditor akan memberikan pendapat yang wajar atas laporan keuangan. Dalam audit keuangan, tujuan auditor adalah untuk meminimalkan risiko audit dengan melakukan berbagai pengujian serta uji subtantif.
Komponen Risiko Audit
1. Risiko Inheren (inherent Risk), berhubungan dengan berbagai karakteristik unik dari bisnis atau industry klien. Auditor bersifat tidak bisa mengurangi risiko tersebut.
2. Risiko Pengendalian (Control Risk), kemungkinan bahwa struktur pengendalian salah karena tidak adanya atau tidak memadainya pengendalian untuk mencegah atau mendeteksi kesalahan dalam berbagai akun. Dapat dikurangi dengan melakukan berbagai pengujian pengendalian internal.
3. Risiko Deteksi (detection Risk), risiko yang bersedia diambil auditor atas berbagai kesalahan yang tidak terdeteksi atau dicegah oleh struktur pengendalian yang juga tidak terdeteksi oleh auditor. Untuk mencegahnya auditor menetapkan risiko deteksi yang direncanakan yang berpengaruh terhadap tingkat uji subtantif yang akan dilakukan.
Hubungan Antara Pengujian Kontrol dan Pengujian Substantif
Pengujian kontrol dan pengujian substantif digunakan untuk mengurangiAudit
risiko ke tingkat yang dapat diterima. Semakin kuat struktur pengendalian internal, sebagaimana ditentukan melalui pengujian pengendalian, semakin rendah kontrol resiko dan pengujian auditor harus dilakukan. Hubungan ini benar karena kemungkinan kesalahan dalam catatan akuntansi berkurang ketikakontrol yang kuat. Dengan kata lain, ketika kontrol ada pada tempatnya dan efektif, auditor dapat membatasi pengujian substantif. Sebaliknya, jika
struktur pengendalian internal lemah, semakin besar risiko kontrol dan pengujian substantif harus dilakukan untuk mengurangi risiko audit keseluruhan. Bukti kekuatankontrol yang lemah
auditor untuk memperpanjang pengujian substantif untuk mencari salah saji.
risiko ke tingkat yang dapat diterima. Semakin kuat struktur pengendalian internal, sebagaimana ditentukan melalui pengujian pengendalian, semakin rendah kontrol resiko dan pengujian auditor harus dilakukan. Hubungan ini benar karena kemungkinan kesalahan dalam catatan akuntansi berkurang ketikakontrol yang kuat. Dengan kata lain, ketika kontrol ada pada tempatnya dan efektif, auditor dapat membatasi pengujian substantif. Sebaliknya, jika
struktur pengendalian internal lemah, semakin besar risiko kontrol dan pengujian substantif harus dilakukan untuk mengurangi risiko audit keseluruhan. Bukti kekuatankontrol yang lemah
auditor untuk memperpanjang pengujian substantif untuk mencari salah saji.
AUDIT TEKNOLOGI INFORMASI
Meliputi penilaian implementasi, operasi, dan pengendalian berbagai sumber daya Komputer yang tepat. Audit TI terbagi ke dalam 3 tahapan, yang digambarkan sebagai berikut:
a. Tahap Perencanaan Audit
a. Tahap Perencanaan Audit
b. Tahap uji Pengendalian
c. Tahap uji Subtantif
PENGENDALIAN INTERNAL
Manajemen organisasidiwajibkan oleh hukum untuk membangun dan memelihara sistem pengendalian internal yang memadai. Securities and Exchange Commission dalam hal ini menyatakan :
Pembentukan dan pemeliharaan sistempengendalian internal merupakan kewajiban penting manajemen. Sebuahaspek fundamental dari pengelolaantanggung jawab manajemen adalah untuk memberikan keyakinan yang memadaikepada pemegang saham bahwa bisnis tersebut telah dikontrol. Selain itu, manajemen memiliki tanggung jawab untukmemberikan pemegang saham dan calon investor sebuah informasi keuangan yang handal secara tepat waktu.
Sejarah Singkat Pengendalian Internal
Undang-undang SEC Tahun 1933 dan 1934
Undang-undang Hak Cipta Tahun 1976
Foreign Corrupt Practices Act (FCPA) Tahun 1977
Komite Organisasi Pendukung Tahun 1992
Undang-undang Sarbanes-Oxley Tahun 2002
TUJUAN PENGENDALIAN INTERNAL, PRINSIP, DAN MODEL
Pengendalian internal terdiri atas kebijakan, praktik, dan prosedur yang digunakan oleh perusahaan untuk mencapai empat tujuan umum:
1. Mengamankan aktiva perusahaan
2. Memastikan akurasi dan keandalan berbagai catatan dan informasi akuntansi
3. Menyebarluaskan efisiensi dalam operasi perusahaan
4. Mengukur ketaatan dengan berbagai kebijakan dan prosedur yang ditetapkan oleh pihak manajemen
Memodifikasi Prinsip
Empat memodifikasi prinsip yang memandu desainer dan auditor sistempengendalian internal :
1. Tanggung Jawab Manajemen
Konsep ini menyatakan bahwa pembentukandan pemeliharaan sistem pengendalian intern adalah tanggung jawabmanajemen. Meskipun FCPA mendukung prinsip ini, undang-undang SOX membuatnya menjadi hukum!
2. Metode Pengolahan Data
Sistem pengendalian intern harus mencapai empat tujuan yang luas terlepas dari
Metode pengolahan data yang digunakan (apakah manualatau berbasis komputer ). Namun, teknik-teknik khusus yang digunakan untukmencapai tujuan tersebut akan bervariasidengan berbagai jenis teknologi.
Metode pengolahan data yang digunakan (apakah manualatau berbasis komputer ). Namun, teknik-teknik khusus yang digunakan untukmencapai tujuan tersebut akan bervariasidengan berbagai jenis teknologi.
3. Keterbatasan
Setiap sistem pengendalian internmemiliki keterbatasan pada efektivitas. Ini termasuk
(1) kemungkinan kesalahan-tidak ada sistem yang sempurna, (2) penipuan-personil mungkin menghindari sistem melalui kolusi atau cara lain, (3) peniadaan manajemen -
manajemen dalam posisi untuk peniadaan prosedur pengendalian dengan mendistorsi pribadi transaksi atau dengan mengarahkan bawahannya untuk melakukannya, dan (4) perubahan kondisi-kondisi dapat berubahdari waktu ke waktu sehingga kontrol yang efektif yang ada dapat menjadi tidak efektif.
Setiap sistem pengendalian internmemiliki keterbatasan pada efektivitas. Ini termasuk
(1) kemungkinan kesalahan-tidak ada sistem yang sempurna, (2) penipuan-personil mungkin menghindari sistem melalui kolusi atau cara lain, (3) peniadaan manajemen -
manajemen dalam posisi untuk peniadaan prosedur pengendalian dengan mendistorsi pribadi transaksi atau dengan mengarahkan bawahannya untuk melakukannya, dan (4) perubahan kondisi-kondisi dapat berubahdari waktu ke waktu sehingga kontrol yang efektif yang ada dapat menjadi tidak efektif.
4. Jaminan wajar
Sistem pengendalian intern harus memberikan keyakinan memadai bahwa empat tujuan yang luas daripengendalian internal terpenuhi. Kewajaran ini berarti bahwa biaya mencapai meningkatkan pengawasan tidak harus lebih besar daripada manfaatnya.
The P-D-C Model
Dibutuhkan pengendalian internal yang terbagi ke dalam 3 tingkat yang disebut model Pengendalian PDC, yaitu:
1. Pengendalian preventif yang merupakan teknik pasif untuk mengurangi frekuensi terjadinya kejadian yang tidak diinginkan.
2. Pengendalian detektif merupakan teknik, alat dan prosedur untuk mengidentifikasi dan mengekspos peristiwa yang tidak diinginkan yang tidak bisa dicegah dalam tindakan preventif.
3. Pengendalian korektif merupakan memperbaiki masalah yang terjadi atau membalikkan pengaruh negative dari kesalahan yang telah terdeteksi.
Pengendalian prediktif bertujuan untuk memprediksi peristiwa atau kemungkinan penyimpangan yang akan terjadi.
Pengendalian prediktif bertujuan untuk memprediksi peristiwa atau kemungkinan penyimpangan yang akan terjadi.
COSO (Committee of Sponsoring Organization of the Treadway Commission)
The COSOframework terdiri dari lima komponen: lingkungan pengendalian, penilaian risiko, informasi dan komunikasi, pemantauan, dan kegiatan pengendalian.
1. Lingkungan pengendalian merupakan dasar untuk empat komponen kontrol lainnya. Lingkungan pengendalian menentukan bagiorganisasi dan mempengaruhikesadaran pengendalian manajemen dan karyawan. Elemen penting darilingkungan pengendalian adalah:
• Integritas dannilai etika manajemen.
• Integritas dannilai etika manajemen.
• Strukturorganisasi.
• Partisipasidewan organisasi direksi dan komite audit, jika ada.
• FilosofiManajemen dan gayaoperasi.
• Prosedur untuk mendelegasikan tanggung jawab dan wewenang.
• metodemanajemen untuk menilaikinerja.
• Pengaruh eksternal, seperti pemeriksaanoleh badan pengatur.
• Kebijakan dan praktek organisasi untukmengelola sumber daya manusianya.
SAS 78 mengharuskan auditor memiliki pengtahuan yang memadai untuk menilai sikap dan kesadaran pihak manajemen perusahaan, dewan komisaris dan para pemilik atas pengendalian internal.
2. Penilaian Risiko untuk mengidentifikasi, menganalisis, dan mengelola risiko yang berkaitan dengan pelaporan keuangan. SAS 78 mengharuskan auditor mendapatkan pengetahuan yang cukup atas prosedur penilaian risiko perusahaan untuk memahami tata kelola perusahaan berkaitan dengan pelaporan keuangan.
3. Informasi dan Komunikasi berkaitan dengan pengambilan keputusan dan membuat laporan keuangan yang andal. SAS 78 mengharuskan auditor untuk mendapatkan cukup pengetahuan yang cukup mengenai sistem informasi perusahaan untuk memahami berbagai aspek terkait penyusunan laporan keuangan.
4. Pengawasan merupakan suatu proses penilaian kualitas dan operasi pengendalian internal. Dengan meringkas berbagai aktivitas, memperlihatkan berbagai tren, serta mengidentifikasi kinerja operasi, laporan manajemen yang didesain dengan baik dapat memberikan bukti atas berfungsinya atau kegagalan pengendalian internal.
5. Aktivitas Pengendalian yaitu berbagai kebijakan dan prosedur yang digunakan untuk memastikan tindakan yang telah dilakukan untuk menangani berbagai risiko telah berjalan dengan baik dan sesuai dengan identifikasi perusahaan. Dalam TI Aktivitas pengendalian terbagi 2 (dua):
a. Pengendalian umum berlaku untuk berbagai jenis risiko yang secara sistematis mengancam integritas semua aplikasi yang diproses dalam lingkungan TI.
b. Pengendalian aplikasi berfokus pada berbagai risiko yang berhubungan dengan sistem tertentu.
Dalam lingkungan TI, para auditor TI melakukan fungsi verifikasi independen dengan mengevaluasi pengendalian atas pengembangan sistem dan aktivitas pemeliharaan serta mengkaji logika internal program.
Tidak ada komentar:
Posting Komentar