236

BAGIAN

3Bab-6

Prosedur & Teknis Audit

Perencanaan Audit (Audit Planning)

Bab ini akan membahas mengenai:1. Corporate audit planning, scheduling, dan staffing Pada bagian akan dibahas materi-materi sebagai berukut: a. Rencana kerja tiga tahunan, tahunan, semester, dan triwulan b. Auditable units c. Analisis risiko Konsep materialitas Jenis-jenis Audit yang laazim dilakanakan oleh fungsi audit internal Time Reporting untuk tugas-tugas perjalanan dinas dalam rangka audit Biaya-biaya dan pengeluaran perjalanan dinas

2. 3. 4. 5.

237

Perencanaan departemen auditSeperti juga halnya pimpinan unit atau bidang-bidang lainnya, pimpinan departemen audit internal (DAI) atau satuan pengawas internal (SPI) adalah menjalankan fungsi POAC (planning, organizing, actuating, dan controlling). Dalam perencanaan (planning) SPI perlu menyusun rencana kerja sampai tiga tahun mendatang: bidang-bidang mana yang perlu diaudit (auditable units), untuk itu perlu ditunjuk auditor-auditornya dan dibentuk tim (organizing), tim dalam melaksanakan penugasan audit perlu dibina dan diarahkan (actuating), dan perlu pengawasan (controlling). Salah satu tahapan di dalam pelaksanaan kegiatan audit ialah perencanaan pemeriksaan. Tujuan perencanaan dalam pelaksanaan audit ialah untuk menentukan bidang apa, mengapa, bagaimana, dan kapan pemeriksaan akan dilakukan, serta siapa (anggota tim yang mana) yang akan melakukan pemeriksaan tersebut. Tahap pertama perencanaan ini adalah perencanaan audit yang dilakukan oleh DAI dalam rangka menentukan rencana kerja pemeriksaan untuk suatu periode tertentu (umumnya adalah tiga tahunan, tahunan, semester, dan triwulan). Rencana kerja DAI/SPI (Corporate audit planning) ini dilakukan oleh staf inti DAI di bawah koordinasi Kepala SPI. Dalam rencana kerja audit tahunan, ditentukan departemen/divisi/ cabang/ proyek/ siklus transaksi akuntansi tertentu, tim audit yang perlu dibentuk, penjadwalan, anggaran yang harus disediakan, dan sebagainya. Selanjutnya masing-masing tim audit yang dibentuk yang akan mengaudit suatu obyek audit tertentu, perlu melakukan team audit planning yang akan menghasilkan suatu audit program (hal ini akan disinggung sedikit pada akhir bagian ini). Pada bulan Januari 2002, IIA Standards for the Professional Practice of Internal Auditing (SPPIA) berlaku efektif. Standard ini menekankan pentingnya perencanaan dalam auditing. Salah satu pedoman menyatakan bahwa " Kepala SPI menetapkan kebijakan dan memeriksa prosedur untuk memandu aktivitas audit internal tersebut" Topik pertama SPPIA adalah Perencanaan (Bagian 2010): " Pimpinan Audit Internal menetapkan riskbased plans untuk menentukan prioritas aktivitas audit internal, sesuai dengan tujuan organisasi." Jadi, SPI harus menyusun rencana kegiatan audit tahun yang akan datang, berdasarkan prioritas bidang-bidang atau kegiatan yang dinilai paling berisiko. Sementara itu, ISACA juga telah menetapkan hal yang sama tentang pentingnya perencanaan. Salah satu petunjuk, " Auditor Sistim informasi harus merencanakan audit sesuai dengan tujuan/ sasaran hasil audit dan mematuhi standard professional audit yang ada" ISACA-IS Audit Guideline 050.010 menyatakan: "Sebelum pelaksanaan audit, audit sistem informasi harus direncanakan sesuai dengan tujuan/ sasaran hasil audit itu" Perencanaan adalah sesuatu yang sangat mendasar pada semua aktivitas bisnis, tidak kecuali, atau demikian pula halnya pada departemen audit internal (DAI). Rencana jangka panjang mengenai audit terhadap departemen-departemen menunjukkan pendekatan terorganisir dan sistematis mengai rencana kerja auditing. Rencana audit yang disusun DAI lazimnya berjangka waktu tiga tahun, tahunan, dan tengah-tahunan (semesteran).

238

Perlu dipahami benar bahwa kita harus membedakan corporate audit planning dan team audit planning. Corporate audit planning adalah perencanaan yang lingkupnya departemen (seluru DAI/SPI), disusun oleh seluruh staf dan tentu sebagai penanggungjawabnya ialah Kepala SPI, mencakup seluruh rencana kegiatan audit, dan rencana kerja tersebut akan menentukan seluruh rencana kegiatan SPI, bidang-bidang mana yang diprioritaskan akan diperiksa, sumberdaya manusia (staf auditor) yang dibutuhkan untuk dap[at menyelesaikan rencana kerja tersebut, dan anggaran biaya yang diperlukan. Sedangkan team audit planning disusun oleh suatu tim audit (dikoordinasikan oleh ketua tim), untuk satu kegiatan penugasan audit tertentu, dan hasil dari pembahasan tim mengenai audit planning ini akan menghasilkan program audit. Audit program (audit programme) adalah suatu daftar perintah rinci yang disusun sebagai panduan bagi masingmasing anggota tim audit untuk memperoleh bukti audit sesuai dengan tujuan audit yang direncanakan. Dalam program audit tersebut akan terlihat: bidang/area apa yang dianggap berisiko, bukti audit apa yang akan diperoleh, dengan instrumen audit apa (dengan pengecekan fisik/ wawancara/observasi, dan metoda lainnya), siapa pihak auditan yang diharapkan sebagai sumber bukti, dan sebagainya. Karena pembahasan kita ini menyangkut manajemen audit, bukan teknis auditing, maka hal-hal yang akan dibahas terutama yang berkaitan dengan corporate audit planning. Dalam rangka perencanaan audit internal, suatu format matriks perencanaan dapat dipakai sebagai pedoman atau alat bantu perencanaan audit tersebut. Matriks tersebut menggambarkan hubungan keterkaitan antara rencana kerja tiga tahunan, rencana kerja tahunan, serta rencana audit enam bulan, dan jadwal audit tiga bulanan. Dimulai dengan perencanaan jangka panjang (tiga tahunan), rencana kerja tersebut kemudian dirinci atau dijabarkan ke dalam rencana kerja untuk periode yang lebih pendek: rencana tahunan, semester, dan triwulanan. Rencana kerja tahunan harus merupakan penjabaran rencana kerja jangka panjang (tiga-tahunan), dirinci lagi dalam rencana kerja semester, dan triwulan. Rencana kerja jangka pendek, yakni triwulanan (dan bila perlu menjadi rencana bulanan) sangat diperlukan untuk memutakhirkan, merevisi, atau menyempurnakan rencana kerja yang sudah disusu sebelumnya dan ternyata perlu disesuaikan dengan kondisi terkini. Di sinilah peranan pimpinan DAI (Kepala SPI) memimpin dan mengintegrasikan seluruh rencana kegiatan DAI. Dalam merumuskan rencana tiga tahunan, kita harus selalu mempertimbangkan rencana kerja berikutnya yang lebih pendek.

Rencana Kerja Tiga TahunanSalah satu tanggungjawab Kepala SPI ialah mengkoordinasikan penyusunan rencana kerja departemen audit internal, dimulai dari rencana kerja jangka panjang (long-term forecasting). Ini mencakup rencana kerja audit dalam tiga-tahunan, meliputi departemendepartemen, lokasi/ cabang perusahaan yang direncanakan akan diaudit. Dalam rencana kerja tersebut harus diperhitungkan pendayagunaan staf secara optimal serta tercapainya cost effectiveness dalam anggaran DAI. Perencanaan audit tentu saja dimulai dari risks assessment, menentukan prioritas, dan rencana sumberdaya serta waktu yang tersedia. Dalam teknik perencanaannya, bisa dimulai dengan menyusun rencana-rencana kerja tengah tahunan, kemudian secara keseluruhannya digabungkan dalam rencana tiga-

239

tahunan. Jika suatu situasi mengharuskan pemutakhiran rencana kerja, dapat dilakukan dalam tingkat rencana kerja bulanan. Peranan Kepala SPI sangat penting dalam penunjukan staf inti yang dilibatkan dalam planning, mengkoordinasikan kelompokperencanaan, merencanakan tim yang akan diberi penugasan, serta penyusunan pembiayaan. Jadi jelas bahwa seorang Kepala SPI bukan hanya manajer (yang diperlukan aspek kepemimpinannya), namun ia juga harus memahami benar-benar masalah teknis auditing. Sebagaimana unit organisasi yang lain, pengelolaan unit SPI dimulai dengan penetapan misi dan visi serta kemudian disusul dengan ditetapkannya rencana strategis untuk mencapai misi dan visi dalam jangka panjang. Rencana strategis jangka panjang tersebut akan dijabarkan menjadi rencana tahunan yang merupakan rencana yang lebih rinci untuk pelaksanaan audit. Perencanaan tersebut sering disebut dengan perencanaan kegiatan pengawasan tahunan dan perencanaan penunjang pengawasan berupa kegiatan tata usaha dan administrasi. Penyusunan rencana jangka panjang dan jangka pendek ini wajib dilakukan oleh unit auditor intern atau DAI/ SPI karena selain telah dicantumkan di dalam standar profesional auditor intern (khususnya untuk rencana audit) penyusunan rencana tersebut juga akan bermanfaat bagi pengendalian dan penetapan standar, serta untuk memperoleh partisipasi manajemen. Di dalam standar tersebut disebutkan perlunya ditetapkan obyek audit yang meliputi: 1. 2. 3. 4. 5. Tujuan audit Jadwal audit Penetapan staf audit Anggaran biaya Laporan kegiatan unit auditor intern.

Tujuan audit harus memungkinkan untuk dicapai dan dalam pelaksanaannya harus dapat diukur. Untuk itu perlu disertai kriteria pengukuran hasil yang hendak dicapai dan tanggal penyelesaian yang ditargetkan. Jadwal audit harus meliputi kegiatan apa yang hendak diaudit serta kapan mulai dan selesainya audit yang menunjukkan berapa waktu yang diperlukan untuk melakukan audit tersebut. Untuk mempertimbangkan jadwal audit maka perlu diperhatikan hal-hal sebagai berikut: 1. Tanggal dan hasil audit sebelumnya/terakhir. 2. Kondisi keuangan yang dapat dilihat. 3. Kerugian dan risiko yang potensial. 4. Permintaan manajemen. 5. Berbagai perubahan penting pada operasi, program, sistem dan kontrol. 6. Kesempatan untuk mencapai berbagai keuntungan yang berhubungan dengan pelaksanaaan operasi. 7. Perubahan dalam staf audit. Perencanaan audit harus cukup fleksibel untuk menampung permintaan atau kejadian yang mendadak. Penetapan staf audit meliputi jumlah auditor yang akan ditugaskan,

240

pengetahuan, pengalamannya dan keterampilan teknis yang diperlukan. Jumlah staf yang ditugaskan beserta rencana lama audit akan menimbulkan jumlah biaya audit langsung. Di samping itu untuk anggaran unit auditor intern perlu juga diperhitungkan biaya administrasi, biaya pelatihan, biaya riset dan usaha-usaha pengembangan staf auditor. Laporan kegiatan harus dibuat secara periodik dan diserahkan kepada Dewan Direksi dan Komite Audit. Di dalamnya meliputi pembandingan antara realisasi dan rencana serta penjelasan untuk suatu perbedaan yang mencolok. Dari berbagai pertimbangan di atas maka untuk membuat perencanaan audit antara lain harus dilakukan penaksiran risiko dari masing-masing obyek audit tersebut. Berdasarkan pertimbangan risiko yang diperoleh dibuatlah peringkat (rangking) nilai risikonya. Besar kecilnya risiko akan menentukan berbagai faktor perencanaan seperti banyaknya tenaga auditor, tingkat pengalaman tenaga yang akan ditugaskan dan berapa tahun sekali obyek tersebut diaudit. Suatu obyek dengan risiko yang tinggi tidak harus setiap tahun diaudit tetapi mungkin harus lebih sering dibandingkan dengan yang berisiko sedang atau rendah. Sebaliknya obyek audit yang berisiko sedang bisa saja diaudit setiap tahun karena pelaksanaan pekerjaannya dilakukan setiap tahun juga, misalnya stock opname persediaan. Dari rencana kegiatan audit dan penunjang audit tahunan selanjutnya perlu direncanakan staf, waktu, anggaran biaya yang diperlukan untuk melaksanakan semua kegiatan yang direncanakan tersebut. Dengan demikian kagiatan-kegiatan perencanaan tersebut muaranya adalah disusunya rencana anggaran unit auditor intern. Anggaran tersebut ialah rencana pembiayaan yang berkaitan dengan rencana kegiatan pemeriksaan, di luar gaji dan tunjangan pegawai serta biaya fasilitas lainnya yang memang dibutuhkan rutin setiap bulannya. Untuk menetapkan obyek audit yang perlu diaudit tentu saja berbeda antara perusahaan satu dengan perusahaan lainnya. Sebagai ilustrasi, berikut ini diberikan contoh rencana audit jangka panjang yang antara lain meliputi obyek audit, rangking risiko, frekuensi dan jumlah jam atau jumlah hari pada tahun rencananya. Untuk kegiatan penunjang audit juga dibuat rencana jangka panjang 5 tahunannya. Berdasarkan rencana jangka panjang tersebut di atas maka disusunlah rencana jangka pendek tahunan.

Auditable UnitsDalam rangka perencanaan audit plan, perlu ditetapkan auditable unit. Audit unit adalah departemen, divisi, cabang, atau proyek, atau bahkan siklus akuntansi tertentu (misalnya sub-sistem akuntansi penjualan, atau pembelian, atau personalia) yang direncanakan mendapat prioritas untuk diaudit tiga-tahun kedepan (yang kemudian dirinci per tahunan). Misalnya Departemen X perlu diaudit. Keputusan untuk mengaudit Departemen X tentu antara lain didasarkan pada penaksiran risiko, artinya bahwa pada departemen tersebut terdapat risiko tertentu, misalnya: risiko kinerja kurang optimal, risiko tidak dipatuhinya prosedur baku dalam operasi atau kegiatannya, risiko bahwa terdapat penyimpangan/ ketidakhematan, dan sebagainya. Mungkin saja terhadap Departemen X perlu dilakukan berbagai audit, misalnya: audit keuangan, audit operasional, dan sebagainya. Untuk itu perlu dilakukan pendekatan tertentu sehingga diperoleh tindakan terpadu.

241

Analisis RisikoAnalisis atau penilaian risiko, yaitu bidang-bidang mana yang paling berisiko tinggi perlu mendapat prioritas pemeriksaan, adalah merupakan metoda paling tepat untuk pedoman pemilihan prioritas pelaksanaan audit. Auditor eksternal telah lama menerapkan pelaksanaan audit berdasarkan analisis risiko tersebut. Dalam hal ini terdapat beberapa istilah: inherent risk, control risk, detection risk, dan audit risk. Statement on Auditing Standards No. 78, Consideration of Internal Control in a Financial Statement Audit, ikatan akuntan publik Amerika (the American Institute of Certified Public Accountants, AICPA) memberikan pedoman pada Committee of Sponsoring Organizations (COSO) dalam menyusun model of internal control. Dalam model kontrol internal COSO tersebut terdapat lima unsur: (1) control environment, (2) risk assessment, (3) information and communication, (4) monitoring, and (5) control activities. COSO model menjadi suatu common methodology internal control environment. Belakangan IIA juga menekankan pentingnya risk assessment. Definisi internal auditing menurut IIA adalah: Internal auditing is an independent, objective assurance and consulting activity to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. Pada tahun 2000 IIA menetapkan risk assessment sebagai cornerstone of audits pada IIA Standards. Pada Standard 2100 dan Standard 2110 dinyatakan: "The internal audit activity should assist the organization by identifying and evaluating significant exposures to risk and contributing to the improvement of risk management and control systems." Agar dapat diperoleh audit planning yang efektif diperlukan teknik penaksiran risiko yang baik. Dalam suatu publikasi mengenai best practices untuk efisiensi audit disimpulkan bahwa terdapat korelasi yang kuat antara upaya penilaian risiko dengan efisiensi audit. Oleh karena itu auditor bisa membatasi prosedur audit pada bidang-bidang kurang berisiko dan fokus pada bidang-bidang yang berisiko. Berbagai risiko dapat diidentifikasi bergantung pada kondisi khas operasi serta manajemen perusahaan tersebut. Bagaimanapun analisis risiko bersifat subyektif (sangat bergantung dari judgement si analis). Selain itu tiap-tiap risiko mempunyai karakteristik berbeda, karena itu perlu adanya pembobotan. Dalam standar profesional auditor intern yang dikeluarkan oleh IIA tahun 1995 mengenai pengelolaan fungsi auditor intern disebutkan bahwa dalam melakukan perencanaan audit harus disusun dengan memperhatikan penaksiran risiko. Penaksiran risiko (risks assessment) merupakan proses yang sangat penting untuk mengembangkan jadwal audit (karena perencanaan audit harus berdasarkan/ berbasis risiko). Proses penaksiran risiko mencakup identifikasi kegiatan yang dapat diaudit (auditable units), menentukan berbagai faktor risiko yang berkaitan dan menaksir berbagai hal yang sangat erat hubungannya dengan faktor-faktor risiko yang bersangkutan. Istilah risiko

242

menunjukkan kemungkinan adanya suatu potensi kerugian dari tindakan atau kejadian dalam pelaksanaan operasi organisasi. Risiko-risiko atau akibat yang ditimbulkan antara lain meliputi:

Kesalahan dalam pengambilan keputusan, karena keputusan didasarkan pada informasiyang mengandung kesalahan, sudah lewat waktu, tidak lengkap dan tidak dapat dipercaya. Pembukuan atau pembuatan catatan keliru, perhitungan akuntansi yang tidak cermat, kekeliruan dalam penyusunan laporan keuangan, kerugian finansial dan kerugian lainnya. Kegagalan dalam melindungi harta kekayaan perusahaan yang tidak tepat. Ketidakpuasan pelanggan, berita negatif dan turunnya reputasi perusahaan. Kegagalan dalam menjalankan suatu kebijakan, rencana dan prosedur, atau ketidaksesuaian dengan bebagai aturan yang berlaku. Mendapatkan sumber daya yang tidak ekonomis atau penggunaannya tidak efisien dan tidak efektif. Kegagalan dalam mencapai berbagai tujuan yang telah ditetapkan untuk suatu operasi atau program. Sebagaimana telah disebutkan di atas bahwa penyusunan rencana dimulai dengan menyusun daftar obyek audit yang perlu diaudit. Daftar obyek audit yang dapat diaudit tersebut dapat berupa berbagai hal seperti aktivitas, unit organisasi atau sistem, antara lain misalnya:

Berbagai kebijakan, prosedur dan penerapannya. Pusat-pusat, seperti pusat biaya, pusat laba dan pusat investasi. Saldo buku besar. Sistem informasi, dan/atau berbagai fungsi/implementasi sistem berbasis TIK Kontrak, perjanjian dan program. Berbagai fungsi: pembelian, pemasaran, produksi, keuangan/akuntansi, sumberdaya manusia. Sistem transaksi, seperti penagihan, pembayaran dan perhitungan biaya. Laporan keuangan. Berbagai pelaksanaan kegiatan dikaitkan dengan undang-undang dan peraturan, atau kebijakan perusahaan. Faktor-faktor risiko adalah kriteria yang dipergunakan untuk mengidentifikasikan hal hal yang erat kaitannya dengan kondisi atau peristiwa yang mungkin terjadi dan menimbulkan akibat yang merugikan perusahaan serta kemungkinan terjadinya kondisi atau peristiwa tersebut. Jumlah faktor risiko yang dipergunakan untuk menaksir risiko harus dibatasi tetapi telah cukup memadai untuk mewakili seluruh kemungkinan risiko yang penting, yaitu:

243

Suasana yang berhubungan dengan etika dan tekanan yang dihadapi manajemen dalam

usaha mencapai tujuan perusahaan. Kompetensi, kecukupan dan integritas pegawai. Ukuran harta, likuiditas atau volume transaksi. Kondisi finansial dan ekonomi. Kondisi persaingan. Kerumitan atau mudah berubahnya kegiatan. Dampak dari konsumen, rekanan dan perubahan kebijakan pemerintah. Tingkat penggunaan komputer untuk pengolahan informasi. Penyebaran operasi secara geografis. Kecukupan dan keefektifan pengendalian intern Berbagai perubahan organisasi, operasi, teknologi atau ekonomi. Pertimbangan profesi manajemen dan estimasi akuntansi. Dukungan terhadap temuan audit dan tindakan perbaikan yang dilakukan. Tanggal dan hasil audit terdahulu. Jarak obyek audit.

Pimpinan SPI bersama staf dan staf dari unsur unit lain perlu dilibatkan dalam proses penaksiran risiko. Proses penaksiran risiko ini antara lain dilakukan dengan berbagai cara sebagai berikut: 1. Diskusi dengan Dewan Direksi dan Komite Audit. 2. Diskusi dengan manajemen unit lain yang terkait. 3. Diskusi antara manajemen dan staf unit pengendalian intern. 4. Diskusi dengan Departemen Manajemen Risiko. 5. Mempelajari peraturan dan perundang-undangan. 6. Analisis data keuangan dan operasi. 7. Review terhadap audit terdahulu. 8. Mempelajari kecenderungan industri dan ekonomi. Dari hasil proses penaksiran risiko tersebut, kemudian perlu disusun peringkat risiko yang akan menentukan prioritas audit yang akan direncanakan dalam rencana jangka panjang dan jangka pendek. Dalam penaksiran risiko ini dapat pula diterapkan cara penaksiran risiko sebagaimana dijelaskan dalam SAS 47 untuk audit keuangan yaitu dengan menaksir risiko bawaan atau risiko melekat berdasarkan unsur-unsur risikonya, yaitu:

Sifat kegiatan usaha perusahaan tersebut Integritas dan reputasi pimpinan perusahaan Motivasi klien Hasil audit yang lalu Audit pertama atau audit ulangan Hubungan istimewa (hubungan tertentu yang menjadikan seseorang menjadi tidak terbebas dari kemungkinan confilct of interest, misalnya hubungan

244

keluarga, sama-anggota suatu organisasi tertentu, ada kerjasama tertentu, dan sebagainya). Transakasi yang tidak rutin Penerapan judgement Kemungkinan adanya kecurangan atas assets perusahaan yang mudah hilang atau dicuri Angka yang terjadi karena unsurpopulasi, misalnya jumlah piutang yang rinciannya banyak yang sudah jatuh tempo lebih membawa risiko dari pada jumlah piutang yang berasal dari rincian piutang yang masih belum jatuh tempo.

Kesepuluh unsur yang mempengaruhi risiko bawaan ini diberikan nilai rendah, sedang, atau tinggi, sehingga pada akhirnya menjadi nilai dari risiko bawaan. Besarnya risiko pengendalian dipengaruhi oleh dua unsur yaitu: (1) keefektifan pengendalian (kontrol) internal, dan (2) Pengandalan (keyakinan) yang direncanakan pada pengendalian intern. Untuk mengukur efektifitas pengendalian intern pada saat perencanaan dilakukan dengan menggunakan prosedur untuk mendapatkan pemahaman terhadap pengendalian intern. Hasil dari pemahaman dituangkan dalam bentuk matrik untuk siklus transaksi tertentu, sehingga kita dapat menarik kesimpulan terhadap tingkat pemahaman kontrol internal, dan pada akhirnya penilaian kita atas keterandalan/tidaknya kontrol internal tersebut. Untuk tiap kegiatan audit, skor (score) tiap risiko dikalikan dengan bobot, misalnya skala 1 untuk risiko rendah (low risk) atau control environment-nya memadai. skala 5 untuk risiko tinggi (high risk) atau control environment.-nya kurang memadai. Dari sini dapat disusun suatu risk profile yang dapat digunakan untuk menentukan decisions of audit frequency or scope. Akhirnya, audit review dan management judgment diterapkan pada audit plan dan risk assessment. Semua audit managers diharapkan memberi masukan dan ikut me-review.

Rencana dan Anggaran TahunanSetiap perusahaan mempunyai rencana kerja tahunan, penjadwalan dan anggaran untuk berbagai departemen/divisi/ cabang, dan sebagainya. DAI adalah merupakan salah satunya. Departmental budgets and plans merupakan tanggungjawab masing-masing manajer. Tentu saja dalam pelaksanaan penyusunan rencana kerja dilakukan oleh staf (yang ditunjuk) dengan responsibility tetap berada pada pimpinan unit. Pada departmental budgets and plans tersebut diatur the annual audit plan, annual departmental budget, dan monthly staff assignments.

(i) Annual Department BudgetKepala DAI menyusun annual departmental budget dan antara lain menyampaikannya kepada komite audit. Setelah disetujui komite audit, kemudian sebagai corporate cost center usulan tersebut disampaiakan kepada Chief Financial Officer (CFO) dan corporate budget department. Anggaran DAI tersebut mencakup

245

seluruh rencana pengeluaran DAI pada the following calendar year, jumlah personil, supplies, pertemuan/ rapat, travel, dan berbagai pengeluaran lain yang perlu dibayar. Jika anggaran disetujui, maka hal ini akan mengikat sehingga tidak mudah dalam tahun yang akan datang melakukan perubahan dari rencana semula tanpa suatu dasar pertimbangan yang dapat diterima. Namun demikian, jika memang terdapat hal-hal yang cukup signifikan sehingga perlu pemutakhiran, maka hal ini perlu dibahas dengan komite audit.

(ii) Annual Audit PlanRencana kerja audit tahunan (yang merupakan penjabaran atau rincian dari rencana kerja tiga-tahunan) mencakup bidang-bidang atau obyek yang akan diaudit, tim yang perlu dibentuk (manpower needed), jadwal, dan menjadi dasar penyusunan anggaran (termasuk travel expense estimates).

Rencana Kerja Tengah-TahunanLazimnya DAI pasti menyusun rencana kerja tahunan. Untuk fleksibilitas perlu disusun dalam 2 satuan rencana kerja tengah-tahunan. Hal ini penting, agar dari pengalaman semester pertama dapat diketahui hal-hal yang perlu diperbaiki dan sekaligus untuk penyesuaian jika terjadi perubahan kebijakan perusahaan.

Rencana Kerja Audit TriwulanRencana kerja tengah-tahunan merupakan dasar rencana kerja dan penjadwalan triwulanan. Jadwal kerja rinci seharusnya sudah ditetapkan pada awal triwulan, dan jadwal tersebut dapat dievaluasi paling lambat tiga minggu sebelum tanggal hari-H yang ditetapkan. Untuk tujuan agar dapat diperoleh informasi yang tepat guna rencana pelaksanaan audit, perlu ditunjuk staf yang mengurus penjadwalan. Untuk itu sebaiknya disusun suatu formulkir jadwal penugasan dan disiapkan paling lambat dua bulan sebelum hari-H penugasan. Formulir tersebut dirancang dalam bentuk matriks daftar penugasan bagi setiap staf. Meskipun rencana kerja audit, anggota tim, dan penjadwalannya sudah ditetapkan, ada kalanya DAI direpotkan jika auditan minta waktu lain (perubahan jadwal) karena alasan tertentu. Oleh karena itu DAI juga harus mengantisipasi dengan fleksibilitas tertentu dalam jadwal penugasan para auditornya.

246

Kebijakan Operasi dan ProsedurPimpinan SPI dan staf auditor intern dalam melakukan pelaksanaan pekerjaan perlu dituntun oleh suatu panduan yang menjadi pedoman kerja. Pedoman kerja ini harus disusun sedemikian rupa sehingga semua pekerjaan utama unit auditor intern diuraikan secara jelas bagaimana prosedur untuk menyelesaikannya dan dicontohkan formulirformulir yang harus dipergunakan. Jika prosedur kerja sudah dirancang dalam suatu sistem yang berbasis komputerisasi maka harus dibuat pedoman yang menuntun pemrosesan melalui komputer tersebut. Untuk hal-hal tertentu yang memerlukan penjelasan tambahan dan aturan baru yang belum termasuk dalam pedoman yang ada, pimpinan unit harus membuat kebijaksanaan tertulis berupa surat edaran atau surat keputusan. Pedoman dan kebijaksanaan tersebut hendaklah dibukukan atau di-file yang dapat dibaca oleh semua staf auditor dan pihak pihak lain yang membutuhkan. Adapun yang berkaitan dengan personil auditor intern harus orang yang mempunyai kualitas tinggi, baik kepribadian maupun teknis. Tidak seperti yang telah terjadi dalam perusahaan-perusahaan BUMN/D pada masa yang lalu, personil unit auditor intern adalah personil buangan dari unit organisasi lainnya. Image seperti itu harus dibuang jauh-jauh. Saat ini unit auditor intern harus diisi oleh orang-orang yang berkualitas tinggi karena mereka adalah orang-orang yang akan membantu manajemen dalam mencapai tujuan perusahaan dan dari mereka pula akan muncul calon-calon pemimpin untuk unit organisasi lainnya.

Team Audit PlanningSalah satu tahapan di dalam pelaksanaan kegiatan audit adalah perencanaan pemeriksaan. Tujuan perencanaan dalam pelaksanaan audit ialah untuk menentukan mengapa, bagaimana, dan kapan pemeriksaan akan dilakukan, serta siapa (anggota tim yang mana) yang akan melakukan pemeriksaan tersebut. Tahap pertama perencanaan ini adalah menentukan sasaran dari pemeriksaan. Sasaran audit tergantung pada siapa (auditor ekstern atau intern) yang akan melakukan audit atau jenis audit apa yang hendak dilakukan. Sebagai contoh, general audit terhadap laporan keuangan perusahaan akan berbeda dengan audit internal. Audit internal-pun sangat bervariasi, misalnya pemeriksaan internal mungkin dilakukan untuk memeriksa semua divisi perusahaan, subbagian perusahaan, departemen khusus, audit terhadap pembelian komputer (procurement), atau audit terhadap aplikasi komputer. Jadi, fokus dari audit bisa saja mengenai sistem pengendalian internal, audit laporan keuangan, audit performansi (kinerja) operasional atau kombinasi dari semua itu. Salah satu perangkat yang ditujukan untuk mengendalikan kegiatan audit agar tercapai tujuan yang telah ditetapkan adalah audit program. Perangkat pengendalian ini digunakan oleh ketua tim untuk pencapaian tujuan karena program kerja persiapan pemeriksaan ini merupakan pedoman langkah kerja/ prodedur pemeriksaan yang akan dilaksanakan oleh para anggota tim. Melalui langkah-langkah kerja pemeriksaan pada program kerja tersebut,

247

tugas-tugas para anggota tim dapat terbagi secara tepat sehingga masing-masing anggota memahami tugas-tugas yang akan dilaksanakan.

Penyusunan Program AuditAgar kegiatan pemeriksaan terarah kepada pencapaian tujuan pemeriksaan, diperlukan perencanaan langkah-langkah kerja yang sistematis. Langkah-langkah kerja tersebut diwujudkan dalam suatu program pemeriksaan. Menyusun program pemeriksaan adalah tugas dan tanggung jawab ketua tim. Konsep program pemeriksaan adalah tugas dan tanggung jawab ketua tim. Konsep program pemeriksaan yang telah dibuat ketua tim harus direview terlebih dahulu oleh pengawas. Program tersebut baru dapat dipergunakan apabila sudah disetujui pengawas. Demikian pula untuk perubahan program yang bersifat prinsip harus mendapat persetujuan dari pengawas. Untuk dapat melaksanakan prosedur tersebut di atas maka ketua tim perlu membubuhkan paraf dan tanggal selesainya penyusunan konsep program pemeriksaan pada kolom sisi kanan atas program pemeriksaan. Demikian juga pengawas harus membubuhkan paraf dan tanggal selesainya review pada kolom yang tersedia. Program pemeriksaan adalah salah satu alat pengendali yang penting terhadap kegiatan pemeriksaan. Di samping itu, informasi yang diperoleh dari program pemeriksaan suatu tahap akan dipergunakan untuk menyusun program pemeriksaan tahap selanjutnya. Informasi yang penting yang diperoleh pada setiap tahap kegiatan akan dimasukkan ke dalam laporan hasil pemeriksaan. Oleh karena itu program pemeriksaan tersebut harus dibuat sebaik-baiknya, agar dapat berfungsi secara maksimal.

1. Tujuan Program AuditTujuan persiapan pemeriksaan adalah mengumpulkan informasi umum mengenai objek yang akan diaudit. Oleh karena itu langkah-langkah dalam program audit harus merupakan instruksi-instruksi untuk mengumpulkan bahan bukti audit. Sedangkan tujuan pemeriksaan pendahuluan adalah menilai pengendalian manajemen objek audit untuk mengidentifikasikan kelemahan-kelemahan yang ada. Dengan demikian semua langkah-langkah pemeriksaan pendahuluan ditujukan untuk menilai unsur-unsur pengendalian manajemen. Pada pemeriksaan terinci langkah-langkah pemeriksaan ditujukan untuk mengembangkan temuan dan mengumpulkan bukti-bukti untuk mendukung temuan, kesimpulan, dan saran-saran perbaikan.

2. Sistematika dan Isi Program AuditProgram audit disusun dengan berbagai macam cara, tergantung tujuan dan bahan bukti audit yang ingin diperoleh. Susunan program audit juga akan berbeda untuk tiap tahap kegiatan audit. Dalam program persiapan pemeriksaan, langkah-langkah pemeriksaan diurutkan berdasarkan kelompok bukti audit yang ingin diperoleh, seperti: struktur organisasi, personalia, peraturan-peraturan, kegiatan/objek, prosedur melaksanakan kegiatan, keuangan/pembukuan, sarana. Isi program audit berbentuk instruksi-instruksi untuk mengumpulkan bukti audit. Pada audit pendahuluan langkah-langkah kerja audit disusun untuk menilai unsur-unsur pengendalian manajemen, yaitu organisasi, kebijaksanaan, prosedur, perencanaan personalia, akuntansi, dan pelaporan. Instruksi-instruksi untuk mempelajari dan menilai

248

kriteria yang ada, melihat kondisinya, lalu membandingkan kondisi dengan kriterianya, untuk selanjutnya dianalisis bila terjadi penyimpangan-penyimpangan. Langkah kerja pemeriksaan pada tahap audit rinci dikelompokkan terlebih dulu berdasarkan temuantemuan sementara yang diperoleh pada audit pendahuluan. Susunan dan isi langkahlangkah kerja ditujukan untuk mengembangkan temuan, yaitu mencari sebab-sebab terjadinya penyimpangan dan meneliti akibat atau kerugian yang timbul karena penyimpangan tersebut.

3. Audit Ulang atau PertamaMenyusun program audit untuk pemeriksaan ulang berbeda dengan yang pertama kali. Pada audit ulang, program audit yang lalu dapat dipergunakan dengan melakukan pemutakhiran terhadap beberapa langkah kerja tertentu. Program persiapan pemeriksaan untuk audit ulang mungkin tidak terlalu banyak, karena informasi umum yang dibutuhkan sebagian besar sudah ada pada berkas permanen tahun yang lalu. Demikian juga halnya untuk program audit pendahuluan, informasi mengenai pengendalian manajemen obyek/ kegiatan yang diperiksa sudah diperoleh pada pemeriksaan yang lalu. Langkah-langkah kerja pada audit ulang hanya ditujukan untuk menilai kembali unsur-unsur pengendalian manajemen yang lemah dari beberapa bagian kegiatan objek yang diperiksa. Langkah-langkah kerja pemeriksaan rinci pada audit ulang bisa lebih banyak atau lebih sedikit dari langkah-langkah kerja sebelumnya, karena jumlah temuan yang berbeda. Langkah penting dalam perencanaan ialah mengidentifikasikan risiko yang mungkin timbul pada pihak (perusahaan atau unit) yang akan diaudit (disebut auditan atau audite). Pertama auditor harus mempertimbangkan faktor risiko inherent auditan. Yang dimaksud risiko inherent adalah potensi risiko yang melekat atau lazimnya ada, dengan sendirinya ada pada hal-hal tertentu secara alami. Misalnya, kegiatan memproses transaksi yang melibatkan jumlah uang yang besar memiliki risiko inherent yang tinggi, yaitu dalam bentuk kesalahan menghitung uang atau penyalahgunaan/penggelapan uang, dan sebagainya. Sistem yang menggunakan proses online, network, database, komunikasi, dan alat teknologi canggih lainnya memiliki risiko inherent kesalahan/ kerumitan lebih besar daripada batch processing system yang lebih sederhana, apalagi dibandingkan dengan sistem manual. Auditor harus memeriksa risiko yang potensial dengan melakukan review awal pengendalian umum lingkungan (general controls). Pemeriksaan juga harus menilai/mengevaluasi apakah sistem kontrol sudah didesain secara memadai, apakah masih ada kelemahan-kelemahan yang dapat diidentifikasi selama pelaksanaan audit, dan selain itu juga perlu dievaluasi bagaimana sistem kontrol intern tersebut dijalankan (apakah sungguh-sungguh dilaksanakan). Perlu dijelaskan, bahwa tujuan analisis risiko (risks assessment) dalam audit adalah untuk membantu auditor dalam mengalokasikan fokus audit, khususnya pada area (bagian/segmen) yang punya risiko besar. Penaksiran risiko sangat penting artinya dalam kegiatan audit, karena hasil akhir audit adalah laporan auditor yang pada intinya berisi pendapat auditor tentang kesesuaian antara bukti audit dengan standar/kriteria/acuan/kebijakan manajemen organisasi. Mengingat bukti audit adalah hanya merupakan bagian (sample) dari keseluruhan populasi bukti yang seharusnya

249

diperiksa, maka faktor risiko sangat menentukan dapat tidaknya pendapat auditor dapat diyakini (degree of assurance). Makin besar tingkat risiko, maka berarti makin besar pula risiko informasi yang mungkin ada (bahwa pendapat auditor tidak sesuai dengan kenyataan yang ada). Bagian akhir perencanaan audit tersebut ialah tim auditor harus menyiapkan rencana kerja audit (audit programme atau audit program) yang menggambarkan batas, jadwal tes audit khusus, dan prosedur untuk mencapai sasaran audit serta meminimumkan risiko. Dalam perencanaan ini juga harus disiapkan jadwal waktu, anggaran, staf, dan anggota team audit yang akan melakukan pemeriksaan (audit evidence collection and audit evidence evaluation). Pada bagian berikut ini adalah salah satu contoh dari rencana kerja audit (audit program) yang dapat dijadikan acuan atau referensi dalam penyusunan audit program oleh tim auditor. Jika team auditor telah dibentuk dan program pemeriksaan sudah disusun, maka para anggota team audit harus melakukan pengenalan terhadap sistem yang hendak diperiksa (pemahaman terhadap sistem dan struktur pengendalian intern auditan). Dalam audit terhadap laporan keuangan hal itu diatur dengan jelas sesuai dengan SPAP. Pelaksanaan pemahaman dapat dilakukan dengan mendiskusikannya dengan supervisor perusahaan dan personil yang menjalankan sistem. Contoh yang diambil berikut berkaitan dengan SIA karena merupakan salah satu jenis audit yang paling sering dilaksanakan (khususnya oleh auditor ekstern-independen), dan SIA merupakan salah satu sistem informasi yang paling awal dikenal, bentuknya relatif baku, dan dapat dikatakan semua organisasi (bisnis, business entity) wajib mengimplementasikannya sebagai pertanggungjawaban pengelolaan usaha. Pada hakekatnya pemeriksaan/penilaian sistem informasi akuntansi (SIA) dilakukan dengan tujuan-tujuan antara lain meliputi:

a.

Untuk dapat menentukan tingkat risiko yang dihadapi (risks assessment), sistem pengendalian intern yang sudah ada dan apakah pengendalian itu telah dijalankan dengan sunggu-sungguh, sehingga dengan demikian hal-hal yang perlu dilaksanakan untuk mencapai tujuan pemeriksaan dapat disesuaikan. Untuk menentukan luasnya pengujian substantif (substantive tests) dan pengumpulan/ evaluasi bahan bukti audit yang perlu dikumpulkan (sampling). Pengkajian terhadap SIA dan temuan atau identifikasi kelemahan sistem yang dapat ditentukan oleh auditor dapat dipakai sebagai bahan untuk memberikan input kepada manajemen dalam bentuk laporan/ rekomendasi perbaikan sistem di kemudian hari.

b. c.

Lebih Jauh tentang Program AuditLangkah penting dalam perencanaan ialah identifikasikan risiko pada unit yang akan diaudit. Pertama auditor harus mempertimbangkan faktor risiko inherent (potensi resiko yang melekat atau lazimnya ada, dengan sendirinya ada pada hal-hal tertentu secara alami, misalnya risiko kasir memakai uang perusahaan). Tujuan analisis risiko dalam audit

250

ialah auditor lebih fokus dalam audit, khususnya pada area (bagian/segmen) yang punya risiko besar. Bagian akhir perencanaan audit tersebut ialah tim auditor harus menyiapkan rencana kerja audit (audit programme atau audit program) yang bisa menggambarkan batas, jadwal tes audit khusus, dan prosedur untuk mencapai sasaran audit serta meminimumkan resiko. Dalam perencanaan ini juga harus disiapkan jadwal waktu, anggaran, staf, dan anggota team audit yang akan melakukan pemeriksaan (audit evidence collection and audit evidence evaluation). Pada bagian berikut ini adalah salah satu contoh dari rencana kerja audit (audit program) yang dapat dijadikan acuan atau referensi dalam penyusunan audit program oleh tim auditor. Apabila perencanaan pemeriksaan sudah disusun dan team pemeriksa (auditor) telah dibentuk, maka para anggota team pemeriksaan harus melakukan pengenalan terhadap sistem yang hendak diperiksa (pemahaman terhadap sistem dan struktur pengendalian intern auditan). Dalam general audit terhadap laporan keuangan hal itu diatur dengan jelas sesuai dengan standar pemeriksaan akuntansi. Pelaksanaan pemahaman dapat dilakukan dengan mendiskusikannya dengan supervisor perusahaan dan personil yang menjalankan sistem. Berikut ini contoh program kerja audit:

Tujuan penilaian SIAContoh yang diberikan ini ialah auditing sistem informasi akuntansi. Alasannya adalah karena audit sistem akuntansi merupakan salah satu jenis audit yang paling sering dilaksanakan (khususnya oleh auditor ekstern-independen). Pemeriksaan/penilaian sistem informasi akuntansi (SIA) dilakukan dengan tujuan-tujuan antara lain meliputi:

d. e. f.

Untuk menentukan tingkat resiko (risks assessment), sistem pengendalian intern yang ada dan apakah pengendalian itu telah dijalankan dengan sunggu-sungguh. Untuk menentukan luasnya pengujian substantif (substantive tests) dan pengumpulan/ evaluasi bahan bukti audit yang perlu dikumpulkan (sampling). Pemeriksaan SIA dan temuan atau identifikasi kelemahan sistem yang dapat ditentukan oleh auditor dapat dipakai sebagai bahan untuk memberi rekomendasi perbaikan kepada manajemen sebagai pertimbangan dalam perbaikan sistem di kemudian hari.

Tahap penilaian SIABeberapa tahap penilaian sistem informasi akuntansi (dan pengendalian internnya) yang harus dilakukan oleh auditor (pemeriksa) dalam rangka menentukan tingkat resiko pengendalian adalah: (1) Tahap penelaahan awal, (2) Tahap penelaahan dan pengujian terhadap pengendalian (test of controls) terhadap pengendalian umum (general controls),

251

(3) Tahap penelaahan dan pengujian ketaatan/pengendalian (test of controls) terhadap pengen-dalian aplikasi (application controls), (4) Tahap evaluasi hasil penelaahan dan pengujian ketaatan pengendalian, (5) Tahap perancangan pengujian subtantif (subtantive test), dan Tahap pelaporan.

1.

Tahap penelaahan awalTahap pertama yang dilakukan adalah penelaahan awal terhadap pengendalian intern. Tujuan penelaahan awal ini terutama untuk memperoleh pengertian tentang sistem akuntansi, baik yang dilaksanakan secara manual maupun yang berbasis komputer yang diterapkan oleh perusahaan yang bersangkutan. Pada tahap ini, auditor harus melakukan penelaahan terhadap: a. Struktur pengendalian intern. Auditor diharapkan dapat memperoleh gambaran secara menyeluruh mengenai sistem pengendalian intern, walaupun masih bersifat umum, Arus informasi melalui sistem. Auditor diharapkan dapat memperoleh pengertian atau pengetahuan mengenai di mana data masukan dibuat, jenis pengolahan yang akan dilakukan, dan jenis output komputer, Penggunaan keluaran (output). Auditor diharapkan dapat menentukan pengaruh output yang dihasilkan sistem informasi berbasis komputer, khususnya tentang fungsi output. Ruang lingkup (scope) penggunaan komputer. Auditor diharapkan dapat menentukan luasnya penggunaan komputer di dalam keseluruhan sistem yang diterapkan perusahaan.

b.

c. d.

Metoda yang digunakan pada tahap penelaahan awal ini adalah sebagai berikut

a.

Pengamatan (observasi, observation) dan wawancara (tanya jawab, interview) Observasi dan tanya jawab dengan pegawai (para operator) yang terkait di dalam sistem merupakan salah satu cara yang baik bagi auditor untuk melakukan penelaahan. Selama melakukan observasi dan wawancara jawab tersebut, auditor diharapkan dapat melihat apakah sistem masih mengandung suatu kelemahan.

252

b.

Penelaahan dokumentasi (study documentation) Pada sistem yang berbasis komputer, dokumentasi merupakan hal yang sangat penting dalam kaitannya dengan uraian atau penjelasan tentang spesifikasi sistem serta arus atau logika sistem yang bersangkutan. Untuk itu, auditor harus mempelajari dokumentasi tersebut dengan seksama. Ada beberapa macam dokumentasi yang lazim ada pada suatu sistem komputerisasi, yaitu antara lain functional specification, system specification, job/program specification, user training materials, logbook, dan sebagainya. Penelusuran transaksi Untuk mendapatkan pengertian yang lebih mendalam terhadap sistem yang sedang dinilai, auditor hendaknya melakukan penelusuran transaksi dengan tujuan untuk mengetahui bagaimana jalannya sistem (system process) yang bersangkutan. Teknik yang dapat dilaksanakan dalam penelusuran antara lain ialah dengan cara melakukan testing, menguji kesesuaian antara masukan (input) dengan keluaran (output), dan sebagainya. Kuesioner pengendalian intern Dalam rangka menilai kelayakan seluruh sistem yang berjalan, auditor dapat pula membuat instrumen pengumpulan data (bahan bukti audit) berbentuk kuesioner tentang struktur pengendalian intern yang perlu diisi oleh responden yang kompeten. Dalam hal ini mungkin dapat dijelaskan bahwa pengertian kuesioner lazimnya konotasinya berkaitan dengan responden dalam jumlah tertentu, yang biasanya dikenal dalam kegiatan riset. Dalam kegiatan audit, mungkin lebih disebut check-list, suatu daftar pertanyaan yang sudah disiapkan dan diisi oleh auditor berdasarkan diskusinya dengan responden (yang jumlahnya hanya beberapa orang saja, tidak seperti halnya dalam riset yang mensyaratkan jumlah responden tertentu dalam tingkat keyakinan atau level of confidence tertentu). Selain dari itu, metoda penyusunan pertanyaan maupun katagorisasinya seyogyanya dapat dikuantifikasikan atau dibuat sedemikian rupa sehingga dapat mengarah ke kesimpulan.

c.

d.

Pada akhir tahap penelaahan awal, auditor diharuskan dapat menentukan tingkat resiko pengendalian apakah secara umum struktur pengendalian intern yang ada dinilai dapat diandalkan atau tidak. Jika auditor tidak dapat meyakini keandalan struktur pengendalian intern yang ada, maka langkah selanjutnya yang harus ditempuh adalah melakukan pengujian substantif dengan jumlah sample yang relatif banyak. Jika auditor dapat meyakini keandalan struktur pengendalian intern yang sedang dinilai, maka auditor harus melakukan penelaahan dan pengujian ketaatan (artinya apakah pengendalian yang ada secara efektif dilaksanakan, aturan pengendalian sungguh-sungguh dilaksanakan secara konsisten).

253

2.

Tahap penelaahan dan pengujian ketaatan pengendalian umum Mengenai tatacara serta metoda penilaian sistem pengendalian intern yang bersifat pengendalian umum dibahas pada subbab Program Kerja Pengujian pada halaman berikut. Tahap penelaahan dan pengujian ketaatan pengendalian aplikasi a) Pengendalian aplikasi yang dievaluasi adalah kontrol di bagian sistem (pengolahan data) berbasis komputer, yaitu pada unit atau fungsi komputer/sistem informasi. Pengendalian aplikasi yang dievaluasi adalah yang dilaksanakan oleh pemakai (user), para petugas non-information technology, yaitu para pegawai bagian akuntansi, atau para manajer yang menggunakan laporan hasil sistem komputerisasi, dan sebagainya. Test ini dilakukan dalam dua tahap (atau pihak), yaitu: (a) di bagian (unit fungsional) sistem (pengolahan data) berbasis komputer (unit sistem informasi), maupun (b) penelaahan dan pengujian ketaatan pengendalian aplikasi pada pemakai (user). Mengenai tatacara serta metoda penilaian sistem pengendalian intern yang bersifat khusus (aplikasi-aplikasi tertentu) dibahas di subbab Program Kerja Pengujian pada halaman berikut.

3.

b) Tahap penelaahan dan pengujian ketaatan pengendalian aplikasi pada pemakai.

4.

Tahap evaluasi terhadap hasil penelaahan dan pengujian ketaatan pengendalian Setelah auditor menyelesaikan tahap sebelumnya, prosedur selanjutnya yang harus ditempuh adalah melakukan evaluasi atas hasil penelaahan dan pengujian ketaatan pengendalian. Hal ini diperlukan untuk menentukan apakah tahap-tahap penelaahan dan pengujian pengendalian yang telah dilakukan telah mencukupi. Tahap perencanaan pengujian substantif (subtantive test) Setelah auditor sudah menyelesaikan tahap sebelumnya, prosedur selanjutnya yang harus di tempuh adalah merancang pengujian subsantif yang diperlukan sesuai dengan hasil penelaah dan pengujian ketaatan pada tahap sebelumnya. Perlu dicatat bahwa pengujian substantif dalam bidang akuntansi adalah pengujian terhadap bukti data akuntansi, misalnya saldo piutang, nilai persediaan, nilai transaksi penjualan, dan sebagainya. Sedangkan dalam jenis audit lain, misalnya audit terhadap fungsi teknologi informasi dapat berupa logika program, response time, dan sebagainya.

5.

6.

Tahap pelaporan Setelah auditor melakukan tahap penilaian sistem seperti di atas, maka auditor berkewajiban untuk menyusun suatu laporan hasil audit. Bentuk, tujuan dan para pengguna laporan hasil audit tergantung dari jenis auditnya. Suatu general audit terhadap laporan keuangan mempunyai bentuk standar laporan auditor, dengan format dan katagori opini baku, serta ditujukan kepada berbagai pihak: para stockholder dan stake-holder perusahaan auditan. Sedangkan untuk auditor internal

254

laporan hasil audit hanya ditujukan kepada pihak direksi dan komisaris perusahaan. Sebelum menjadi bentuk final laporan hasil audit, draft atau konsep laporan lazimnya dibicarakan lebih dahulu di dalam tim, dengan supervisor atau atasan auditor dan dengan pihak auditan (manajemen divisi/unit/segmen yang diaudit). Bentuk laporan tersebut disesuaikan dengan tujuan audit, tetapi lazimnya memuat mengenai temuan, sebab/akibat atau dampaknya terhadap organisasi, rekomendasi auditor, soapa atau unit mana yang disarankan untuk melakukan tindak-lanjut (misalnya perbaikan), jangka-waktu untuk perbaikan, dan mekanisme pemantauan (monitor) apakah tindaklanjut sudah dilaksanakan.

Program kerja PengujianProgram kerja di bawah ini merupakan langkah kerja minimal yang harus dilakukan dalam pelaksanaan pemeriksaan (audit). Dalam pelaksanaannya, program kerja audit tersebut dapat dikembangkan sesuai dengan kondisi dan hasil penelaahan awal.

1. Pengendalian umumPengendalian umum terdiri dari pengendalian manajemen puncak (top management controls), pengendalian manajemen sistem informasi (Information system management controls), pengendalian manajemen pengembangan sistem (system development management controls), termasuk manajemen program (programminng management controls), pengendalian manajemen sumber data (Data resources management controls), pengendalian manajemen jaminan kualitas (Quality assurance management controls), pengendalian manajemen keamanan (Security adminstration management controls), dan pengendalian manajemen operasi (Operations management controls).

1.1. Pengendalian Top Management 1.1.1. Tujuan penilaian a. Tujuan pengujian pengendalian top management adalah untuk menilaikekuatan dan kelemahan pengendalian organisani, misalnya untuk menentukan bahwa tidak terdapat perangkapan fungsi atau jabatan yang seharusnya dipisahkan,

b. Untuk menilai apakah praktik kepegawaian dan prosedur operasi tetap(tatalaksana kerja (standard operating procedures)) dengan tujuan untuk menentukan pengaruhnya terhadap pengendalian mutu.

1.1.2. Program penilaian

255

1. Pemisahan fungsi bagian sistem (pengolahan data) berbasis komputer dan pemakai a. Review bagan organisasi, khususnya mengenai bagian sistem (pengolahan data) berbasis komputer dan pemakai. b. Review uraikan tugas staf sistem (pengolahan data) berbasis komputer dan pemakai yang terlibat dalam penanganan kesalahan untuk memestikan kelayakan pemisahan fungsi. c. Amati pelaksanaan penanganan kesalahan yang mencakup persiapam, penelitian, dan distribusi daftar kesalahan, d. Lakukan wawancara dengan manajer dan staf sistem (pengolahan data) berbasis komputer untuk menentukan tingkat efektivitas supervisi manajemen e. Review laporan manajemen, hasil studi, dan evaluasi yang ada mengenai proses penanganan kesalahaannya. f. Siapkan bagan arus sistem untuk setiap siklus transaksi dan review pemisahan dan penggabungan fungsi. g. Review pelaksanaan rekonsiliasi kontrol jumlah menurut pihak di luar sistem (pengolahan data) berbasis komputer dengan jumlah hasil komputer. h. Lakukan pengujian terhadap rekonsiliasi tersebut untuk memastikan bahwa pengendalian telah dilaksanakan secara efektif.

i.

Review dan uji pengendalian pengolahan seperti persetujuan mengenai perubahan master file, dan pengendalian pengolahan kebutuhan, seperti review status master file setelah pengolahan,serta pengendalian yang diprogramkan, seperti pengujian kelayakan, untuk menentukan apakah pelaksanaan pengolahan sesuai dengan persetujuan manajemen. Pemisahan fungsi di bagian sistem (pengolahan data) berbasis komputer Dapatkan bagan organisasi sistem (pengolahan data) berbasis komputer untuk menentukan bahwa fungsi systems analyst, programmer, operator, librarian, dan control clerk dipisahkan, Review dan uji jabatan dan uraian tugas dari dari personil kunci dalam sistem (pengolahan data) berbasis komputer, yang mencakup system analyst, programmer, operator, librarian, dan control clerk, untuk memastikan bahwa yang bersangkutan melaksanakan fungsinya masingmasing, Amati operasi sistem (pengolahan data) berbasis komputer untuk meyakinkan bahwa system analysts dan programmer memiliki akses yang terbatas terhadap perangkat keras, file, maupun program komputer, Amati pelaksanaan fungsi librarian. Review buku harian library untuk meyakinkan bahwa catatan dipelihara secara konsisten, dan pastikan

2.

a. b.

c. d.

256

e.

hanya personel yang berwenang yang diijinkan untuk memindahkan transaction file dan master file serta dokumen program, Review dokumentasi rancangan sistem mengenai penanganan transaksi untuk menentukan: - apakah sistem tersebut telah dibuat dalam bentuk modul, - apakah yang menganalisis sistem berbeda dengan yang merancang sistem untuk tiap modul - apakah akses terhadap dokumentasi tiap modul dibatasi

3. Tanggungjawab pengendalian Penilaian terhadap tanggungjawab pengendalian sistem (pengolahan data) berbasis komputer yang diserahkan kepada pihak di luar bagian sistem (pengolahan data) berbasis komputer berkaitan dengan penilaian terhadap tanggungjawab pengendalian intern secara umum.

a.

b.

Review uraian tertulis (manual, job description) mengenai tanggungjawab pengendalian pada tiap tingkat struktur organisasi untuk meyakinkan apakah penugasan sesuai dengan tanggung jawab masing-masing Review risalah-risalah yang ada, untuk meyakinkan bahwa tanggung jawab Direksi atas pengendalian sistem (pengolahan data) berbasis komputer telah dilaksanakan. Review dokumentasi pengembangan dan pengoperasian sistem untuk melihat kelayakan persetujuan manajemen (user). Review laporan dan kertas kerja auditor intern mengenai penilain pengendalian intern dalam sistem sistem (pengolahan data) berbasis komputer, Lakukan observasi mengenai berfungsinya kelompok pengendali di luar bagian sistem berbasis TIK untuk meyakinkan operasinya independen dari bagian sistem berbasis TIK. Hal ini dapat dilihat dengan adanya permintaan revisi terhadap spesifikasi program, permintaan perubahan program, tanggapan tertulis dari kelompok pengendali, dan tindak lanjut sistem berbasis TIK terhadap rekomendasi kelompok pengendali.

c.d.

e.

257

a.

Praktek kepegawaian1. Review prosedur penerimaan dan penilaian pegawai yang mencakup pengujian bakat, latar belakang, kesetiaan, dan lain-lain untuk menentukan pengaruhnya terhadap kemampuan pegawai 2. Review jadwal kegiatan pegawai diberi tugas yang tepat dan dirotasi secara berkala, 3. Review apakah terdapat program pelatihan pegawai untuk peningkatan kemampuan staf sistem (pengolahan data) berbasis komputer, 4. Review mutasi, promosi, dan pemberhentian untuk meyakinkan bahwa perubahan terswbut telah sesuai dengan kebijaksanaan yang berlaku dan tidak mengurangi pengendalian,

b.

Prosedur operasi tetap1. Review buku petunjuk sistem dan prosedur operasi untuk menentukan kecukupan dan kelengkapannya, 2. Amati kegiatan operator komputer untuk menentukan apakah mereka menaati prosedur opersi tetap mengenai pengoperasian peralatan yang bersangkutan, 3. Amati prosedur penataan dan kerapihan ruang komputer untuk menghindari kemungkinan kehilangan/ kerusakan perangkat keras maupun perangkat lunak.

Pengendalian pengembangan sistem dan dokumentasi Tujuan penilaiana. b. c. d. Meyakinkan bahwa aplikasi komputer telah mengandung sistem pengendalian intern yang memadai, Meyakinkan bahwa pengembangan sistem sesuai dengan sasaran manajemen atau sesuai dengan spesifikasi yang telah ditentukan, Meyakinkan bahwa aplikasi yang diterapkan telah diuji secara memadai, Meyakinkan bahwa aplikasi yang diimplementasikan bebas dari perubahanperubahan yang tidak diotorisasi.

Program penilaian a. Review buku petunjuk prosedur tetap pengembangan sistem untuk menentukan adanya kebijaksanaan dan pedoman, b. Evaluasi kecermatan dan kelengkapan buku petunjuk tersebut, dan yakinkan bahwa petunjuk dimutakhirkan secara kontinyu, c. Review dokumentasi pengembangan sistem untuk menentukan apakah telah sesuai dengan prosedur,

258

d. Lakukan wawancara dengan manajemen, pengembangan sistem, dan pemakai sehubungan dengan kecukupan prosedur pengembangan sistem, e. Review standarisasi pemograman dalam buku petunjuk prosedur untuk menentukan apakan standar secara keseluruhan cukup lengkap, f. Review bagan arus, tabel keputusan, dan pengkodean yang dipilih untuk membuktikan bahwa standar pemograman dan prosedur telah diikuto, g. Lakukan wawancara dengan pemakai untuk mengetahui tingkat partisipasi mereka dalam proses pengembangan sistem, h. Review dokumen dan persetujuan yang terkait umtuk membuktikan bahwa pemakai mengerti mengenai input sistem, prosedur pengolahan, pengendalian, dadn keluarga sistem, i. Review kertas kerja auditor intern untuk menentukan keterlibatannya dalam proses pengembangan sistem, j. Review standar pengujian sistem untuk menentukan kelengkapannya, k. Lakukan wawancara dengan staf auditor intern dan pemakai untuk menentukan keterlibatan mereka dalam pengujian sistem, l. Review data yang diuiji dan output yang dihasilkan sistem baru, untuk meyakinkan apakah prngujian tersebut cukup lengkap, m. Review hasil program dan rangkaian pengujian sistem, yang mencakup bagan arus dan analisis logika, untuk meyakinkan bahwa logika program benar, n. Review hasil pengujian sistem terhadap data yang salah dan yang benar untuk meyakinkan bahwa sistem telah di uji secara layak, o. Review prosedur rekonsiliasi output menurut pilot testing dengan keluaran menurut paralel testing, p. Review hasil rekonsiliasi untuk meyakinkan bahwa perbedaan yang ada telah dikoreksi oleh pengembangan sistem, q. Review rencana pengonversian data dari satu sistem ke sistem yang lain untuk menentukan apakah rencana tersebut cukup untuk menjamin bahwa data dalam file baru tidak berubah, r. Review laporan ketidaksesuaian untuk pembuktian adanya koreksi yang layak dari kesalahan yang terjadi, s. Lakukan pengujian terhadap konversi file dengan cara menelusuri data yang tercatat dari file semula ke file baru dan sebaliknya, t. Review laporan akhir mengenai penelaahan implementasi sistem dari tim penguji, u. Lakukan wawancara dengan operator komputer dan pengembangan sistem untuk menentukan kebijaksanaan dan prosedur apa yang mengatur perubahan program, v. Review dokumentasi atas perubahan program yang dipilih untuk menentukan apakah kebijaksanaan dan prosedur telah diikuti,

259

w. Review dokumentasi atas perubahan program untuk menentukan apakah perubahan tersebut telah disetujui, x. Review hasil pengujian yang dilakukan terhadap program yang dimodifikasi untuk mengetahui bahwa modifikasi program telah dibuat secarda benar, y. Bandingkan kode sumber pada program semula dengan kode sumber pada program yang telah dimodifikasi, untuk menentukan bahwa modifikasi telah disetujui, jika perubahan program tersebut menimbulkan implikasi pengendalian yang penting, z. Pilih program aplikasi yang tidak ada dokumentasi perubahannya, bandingkan kode program yang ada sekarang dengan kode program yang sama tahun sebelunmya untuk meyakinkan bahwa memang benar-benar tidak ada perubahan program,

Pengendalian perangkat keras dan perangkat lunak Tujuan penilaiana. b. Memperoleh informasi mengenai pengendalian perangkat keras dan perangkat lunak yang berpengaruh terhadap keandalan dan ketetapan sistem, Meyakinkan bahwa perangkat keras maupun perangkat lunak yang di gunakan telah mengandung pengendalian yang memadai.

Program penilaian a. Perangkat keras1. 2. 3. 4. 5. 6. 7. Dapatkan informasi mengenai buatan, model, ukuran, dan nomor seri komputer dan perangkat keras lainnya, Review brosur penjual atau dokumentasi lain untuk menentukan apakah ada pengendalian perangkat keras, Dapatkan informasi dari manajemen dan staf sistem (pengolahan data) berbasis komputer apakah pengendalian yang ada telah dimanfaatkan, Jika pengendalian tidak dimanfaatkan, diskusikan denga manajemen untuk menentukan pengaruhnya terhadap struktur pengendalian intern, Evaluasi efektivitas pengendalian perangkat keras,jika perlu gunakan bantuan tenaga teknis, Review dokumentasi operasi untuk menentukan kecukupan prosedur penaganan kesalahan operator, pengendalian, media, dan pemulihan, Review kontrak pemeliharaan perangkat keras, untuk menentukan apakah pemeliharaan preventif dan perbaikan telah diatur di dalamnya.

b.

Pengendalian perangkat lunak

260

1.

2. 3. 4.

5. 6.

Dapatkan informasi dari manajemen mengenai perangkat lunak yang digunakan dan nama penjualnya termasuk sistem operasi dan pemanfaatannya, untuk mengetahui pengaruhnya terhadap struktur pengendalian intern, Dapatkan informasi dari manajemen mengenai pengendalian perangkat lunak yang digunakan, Jika pengendalian tidak digunakan, diskusikan dengan manajeman mengenai pengaruhnya terhadap struktur pengendalian intern, Dapatkan informasi mengenai pengendalian atas penggunaan system modification utilities untuk mayakinkan bahwa pengoperasian sistem sudah memadai, Review daftar pemakaian komputer serta laporan aktivitas pemakaian dan perubahan perangkat lunak yang tidak diotoritaskan, Evaluasi efektivitas pengendalian perangkat lunak, jika perlu manfaatkan bantuan tenaga teknis.

Pengendalian pengamanan sistem Tujuan penilaiana. b. Mengindentifikasi pengamanan yang ada pada sistem komputer, Meyakinkan bahwa metode pengamanan sistem dapat mencegah atau mengurangi kerusakan, kesalahan, dan pemakaian yang tidak sah atas perangkat keras, perangkat lunak, sertadata.

Program penilaiana. Dapatkan informasi dari manajemen mengenai penggunaan fasilitas pengamanan, librari, dan pengendalian pengamanan sistem on-line, b. Review master security plan untuk menentukan kecukupan dan kelengkapan pengendalian pengamanan sistem, c. Review hasil pengujian pengendalian pengamanan sistem dan periksa penilaian manajemen atas hasil pengujian tersebut, d. Amati fasilitas pengamanan sistem untuk memastikan cara kerja pengendaliam akses siste, konstruksi, dan lokasi seperti yang ditetapkan oleh manajemen, e. Amati library untuk menentukan apakah prosedur pembatasan akses program, dokumen,dan file selama digunakan telah efektif, f. Amati lokasi terminal komputer untuk memastikan bahwa akses ke dalam sistem telah terlindung secara efektif, g. Review wewenang akses ke dalam sistem untuk menentukan apakah konsistensi dengan pemisahan fungsi dan dapat menjaga kerahasiaan data,

261

h. Review metoda pengindentifikasi pemakai untuk menentukan apakah hanya pemakai yang berwenang yang dapat menggunakan sistem, i. Review metoda pengendalian komunikasi akses data untuk meyakinkan bahwa akses oleh penyadap kecil kemungkinannya, j. Pelajari laporan auditor intern mengenai pengendalian pengamanan sistem dan review simpulan mereka atas kecukupan pengendalian, k. Dapatkan informasi dari manajemen mengenai jenis dan lokasi peralatan pemadam kebakaran, dan pastikan adanya prosedur yang harus diikuti oleh staf sistem (pengolahan data) berbasis komputer jika terjadi bahaya kebakaran, l. Dapatkan informasi dari manajemen mengenai peralatan untuk mendeteksi akses ke ruang komputer yang dilakukan tanpa ijin, dan pastikan adanya prosedur yang harus diikuti ketika akses tanpa ijin terdeteksi, m. Amati fasilitas pengamanan sistem untuk memastikan keberadaan, jumlah, dan lokasi peralatan pendeteksi akses komputer, n. Review hasil pengujian pengamanan sistem untuk menentukan kecukupan peralatan deteksi akses komputer, o. Dapatkan informsi dari manajemen mengenai alat untuk memastikan otentik tidaknya penggunaan sistem on-line, p. Review daftar pengguna komputer dan periksa catatan mengenai pendeteksian dan tindak lanjut dari kegagalan pengamanan sistem, q. Review prosedur darurat mengenai penggunaan sistem off-line selama adanya kegagalan sistem on-line untuk memastikan bahwa pengendalian terhadap ketepatan dan kelengkapan transaksi sudah memadai, r. Diskusikan dengan data entry operator mengenai prosedur darurat tersebut untuk meyakini bahwa mereka telah mengerti prosedur tersebut dan pengendalian yang terkait, s. Periksa tata cara pemulihan untuk memastikan apakah manajemen telah mengantisipasi seluruh kemungkinan resiko pengamanan, t. Review hasil pengujian atas rencana pengamanan untuk memastikan bahwa rencana tersebut benar-benar meminimalkan kemungkinan kehilangan data dan kerigian materi, u. Amati library dan periksa adanya back-up master file dan back-up transaction file untuk memastikan bahwa prosedur pemulihan data telah diikuti.

Pengendalian aplikasiTujuan penilaiana. b. Meyakinkan bahwa prosedur data entry serta pengolahannya telah memadai, terutama mengenai validasi input, pendeteksian kesalahan yang terjadi, dan pengoreksian kesalahannya, Meyakinkan bahwa pihak yang berwenang yang memperoleh output,

262

c.

Meyakinkan bahwa telah ada audit trail yang memadai

Program penilaian a. Data entry Reviu prosedur tertulis peng-input-an data untuk memastikan apakahprosedur tersebut jelas dan lengkap,

Reviu bentuk tampilan pada layar monitor dan dialog komputer untukmemastikan apakah secara efektif dapat mengurangi kesalahan yang mungkin terjadi pada saat peng-input-an,

Reviu hasil pengujian validasi peng-inputan data untuk memastikanefektivitasnya dalam pendeteksian kesalahan,

Reviu dokumentasi/ file untuk memastikan kecukupan audit trail, b. Pengolahan data Reviu rekomentasi baik mengenai program aplikasi atas pengujian validasimaupun tentang hasil pengujian validasi untuk memastikan bahwa data yang salah dan transaksi yang tidak sesuai terdeteksi, Dapatkan daftar kesalahan dan review koreksi yang telah dilakukan dan pastikan apakah koreksinya dilakukan segera,

Reviu processing activity output, dokumentasi program dan activity data fileuntuk memastikan kecukupan audit trail

c.

Distribusi outputmemastikan bahwa pihak sebagaimana mestinya, yang berkepentingan menerima dokumen

Reviu dokumentasi prosedur operasi tetap atas penanganan output, untuk

Pengendalian aplikasi pada pemakai Tujuan penilaiana. Meyakinkan prosedur operasi tetap mengenai penanganan transaksi telah memadai,b. Meyakinkan bahwa prosedur penelaah dan pengujian output telah memadai

Program penilaian a. Data capture

263

Reviu petunjuk pemakaian untuk menentukan kelengkapan dokumentasi prosedurdan pengendalian,

Reviu format dokumen sumber dan pengamanannya untuk menentukan pengaruhnyaterhadap pencegahan kesalahan yang mungkin terjadi,

Reviu struktur organisasi pemakai untuk menentukan bahwa tidak ada pegawai yangmelakukan pekerjaan yang seharusnya tidak boleh digabung,

Reviu dokumen sumber dan daftarnya untuk mengidentifikasikan penyiap danpenyetuju bukti,

Reviu hasil rekonsiliasi antar batch untuk memastikan bahwa kesalahan telahterungkap dengan benar dan telah ditindaklanjuti sebagaimana mestinya. Cek apakah para petugas sudah diberi buku panduan. Cek apakah para petugas sudah diberikan pelatihan.

b. Output Reviu dokumentasi prosedur operasi tetap pemakai untuk memastikan apakahpenelaah dan pengujian output dapat mendeteksi kesalahannya. Apakah sudah dibuat daftar penerima laporan, sifat laporannya (rahasia atau tidak) dan periode pelaporannya. Apakah dilakukan cek ulang terhadap akurasi laporan.

Apakah pihak penerima laporan tahu mapping (peta) laporan-laporan apa saja yangdapat diminta dan kapan. Apakah sudah diatur prosedur pemusnahan kertas-kertas laporan yang sudah tidak terpakai. Apakah sudah diatur prosedur jika ternyata terjadi kegagalan cetak, misal sudah sebagian tercetak tetapi tidak lengkap sehingga harus diulang cetak. Laporan yang hanya sebagian mungkin sekali mengandung informasi yang sangat rahasia, sehingga perlu dimusnahkan. Apakah sudah diatur prosedur pihak-pihak yang tidak tercantum dalam daftar tetapi ternyata membutuhkan suatu laporan tertentu, bagaimana yang dilakukan (minta ijinnya ke pihak yang mana).

264

265

MaterialitasSalah satu fungsi penting pada general audit adalah pernyataan opini mengenai fairness penyajian laporan keuangan dan ketercukupan sistem pengendalian internnya. Dalam opini ini, pertimbangan harus dikaitkan dengan materialitas, akurasi perhitungan, prosedur audit, dan memenuhi Prinsip-Prinsip Akunting Berlaku umum (Generalized Accepted Accountng Principles, GAAP) dan konsistensi dalam penerapan prinsip tersebut. American Institute of Certified Public Accountants (AICPA) dan the Securities and Exchange Commission (SEC), Financial Accounting Standards Board (FASB) menekankan pentingnya materiality. Buletin AICPA telah mengingatkan "items material and significant in the relative circumstances" dan bahwa "items of little or no consequence may be dealt with as expediency may suggest." Regulasi SEC menekankan bahwa akuntan publik memberikan pendapat berkaitan "any material differences between the accounting principles and practices reflected in the financial statements and those reflected in the accounts." Bagaimana menentukan materialitas, signifikan/tidaknya dan konsekuensinya? FASB mendefinisikan "materiality" pada Financial Accounting Concepts Statement No.2, Qualitative Characteristics of Accounting Information: "The magnitude of an omission or misstatement of accounting information that, in the light of surrounding circumstances, makes it probable that the judgment of a reasonable person relying on the information would have been changed or influenced by the omission or misstatement." Selain itu SEC mengeluarkan Staff Accounting Bulletin (SAB) No. 99 pada bulan Agustus 1999, bahwa definisi FASB selaras dengan interpretasi materiality oleh pengadilan berdasarkan federal securities laws. Dari definisi tersebut dapat disimpulkan bahwa materiality bergantung pada surrounding circumstances, the setting in which the item appears, and the setting in which it will be used. Jika kemungkinan dampak, baik karena kelalaian ataupun akibat dari suatu jabatan tertentu, akan menimbulkan hal-hal yang dapat menyesatkan (misalnya pengambilan keputusan yang salah), maka hal ini termasuk material. Ada empat istilah yang mungkin mirip, yaitu: material, significant, consequential, dan important. Untuk tujuan ini keempat istilah memang hampir sama artinya, tetapi material primarily to a dollar amount (nilai moneter). Jelaslah bahwa terdapat beberapa tingkat materialitas (degrees of materiality) atau ukuran materialitas itu sangat bergantung pada, atau subyektif. Sebagai konsekuensinya, akan terdapat suatu area abu-abu (grey area), sesuatu yang bisa diinterpretasikan bermacammacam. Di sini diperlukan good judgment auditor. Standards yang memberikan pedoman tentang materialitas oleh auditor tersebut adalah sangat luas batasannya. Riset menunjukkan bahwa penilaian terhadap materialitas sangat berbeda antara tiap auditor, yang antara lain dipengaruhi: size (skala besaran organisasi), lokasi, pengaruh terhadap

266

laba/ rugi perusahaan, dan sebagainya. Beberapa hal dibawah ini dapat menjadi pertimbangan:

Relative size of the item. Kesalahan pernyataan nilai utang Rp.5,000 pada neracadengan total assets Rp.40,000 adalah material misstatement, tetapi menjadi tidak material total assetsnya Rp.3.000.000.

Absolute size of the item. Nilai yang mempengaruhi assets atau berpengaruh terhadaplaba/ rugi merupakan nilai yang material.

The nature of disclosure. Hakekat keterbukaan: menyangkut kewajiban perusahaanuntuk menjaga kerahasiaan mneyangkut utang/piutang.

Use to be made of the report. Jika laporan untuk penjualan saham atau untukmemperoleh pinjaman jangka panjang, dampaknya terhadap calon investor atau calon krditor harus menjadi pertimbangan untuk menentukan materialitas tidaknya.

Evidence of a desire to mislead. Kesalahan yang disengaja lebih material dibandingyang sifatnya ketidaksengajaan.

Favorable or unfavorable effect of adjustment or disclosure. Unfavorable lebih bersifatmaterial.

Stability of income.Material, jika unusual items berpengaruh terhadap net-income. Effect of future earnings. Items yang berdampak ke depan lebih material daripadayang hanya current significance. Inventory bagi perusahaan indutri lebih signifikan dibanding perusahan jasa, jadi not only in size and amount tetapi juga karena ada berbagai hal yang bersifat improperly handled, fisik maupun catatan. Contoh lain misalnya mengenai utang atau piutang. Jika banyaknya piutang relatif sedikit tetapi nilainya besar, ini akan me njadi lebih materialitas dibanding banyak piutang tetapi nilainya relatif kecil-kecil. Meskipun nilai yang dipermasalahkan mungkin nilainya sama. Singkatnya, suatu sound judgment sangat diperlukan dalam menentukan sesuatu bersifat material atau tidak.

267

Jenis Audit DAIUraian berikut memberikan gambaran tentang jenis-jenis audit yang dilaksanakan oleh Internal Audit Department. Lazimnya jenis audit yang sering dilakukan ialah: financial audit, operational/ managerial audit, dan information systems audit. Selain itu ada beberapa jenis audit, misalnya:

(a) High-Level Review of ProceduresHigh-level review adalah suatu jenis khusus audit yang bertujuan mengukur kepatuhan umum (general compliance) terhadap kebijakan perusahaan dan dengan the sound business practices. Tujuan review adalah agar auditor memahami semua operasi dan untuk menentukan hakikat dan pengujian rinci yang diperlukan. Prosedur review mengikuti pedoman umum external auditors yang dinyatakan pada Statement on Auditing Standards (SAS) No. 36: Review of Interim Financial Information. Prosedur review yang dilakukan pada umumnya inquiries dan analytical review terkait significant accounting matters mengenai informasi keuangan yang direview. Tambahan, internal auditor harus memahami sistem akungtansi dan pengendalian internal. Compliance dan substantive tests dilaksanakan, termasuk: cash, accounts receivable, credit, travel dan expense, brand sales, product costing, marketing variable, fixed assets, debts, serta inventory.

(b)

Financial Audit

Audit laporan keuangan memeriksa apakah balance sheet, income statement, statement of cash flows, dan statement of equity telah disajikan dengan wajar, tidak kesalahan materialitas, serta sesuai dengan standar akuntani keuangan. Audit dilaksanakan oleh external, independent auditors. Jika diperlukan (misalnya perusahaan akan merger atau keperluan bank) dapat dilakukan full financial audits dapat dilakukan oleh internal auditor. Alasan utama general financial audit adalah untuk memberikan keyakinan berbagai pihak yang terkait laporan keuangan bahwa data yang dilaporkan disajikan fair dan sesuai GAAP. Selain itu auditor juga sangat berkepentingan internal controls dan auditor perlu mengevaluasi audit risk. Dalam audit laporan keuangan lazsimnya auditor memeriksa general ledger, general dan specific journals, voucher registers, bank reconciliation, serta account analyses. Berkas-berkas tersebut memberi auditor bahan bukti audit: Accounts Receivable Aging Accounts Payable Aging

268

Inventory Aging Discount Income versus Discount Expense Physical Inventory Reconciliations Inventory/Receivable Turnover Ratios Variance Analyses Standard Cost Revisions Transportation Costs Capital Expenditures versus Return on Investments Purchasing Cost Savings,

Dari ber bagai faktor tersebut, program audit perlu mempertimbangkan: Tujuan audit Jaadwal atau waktu yang diperlukan Kebutuhan staf atau nanggota tim Kapan tugas dimulai dan berakhir Penugasan auditor

(c)

Operational/Managerial Audit

Audit operasional adalah merupakan a management service (jasa yang dilaksanakan untuk kepentingan atau on behalf of top management), bertujuan untuk mengevaluasi praktik pelaksanaan: (1) planning, (2) organizing, (3) directing, and (4) controlling perusahaan. Dalam merumuskan pendekatan audit operasional, auditor harus menetapkan ruanglingkup (audit scope). Langkah selanjutnya mempelajari operasi auditee, tujuan, tugaspokok dan fungsi unit/departemen/divisi/cabang dalam keseluruhan struktur organisasi tersebut, perkembangan, sumber daya khsusnya sumber daya manusia, dan jalur pelaporan. Jalur pelaporan itu sangat penting karena merupakan jalur komunikasi dan laporan hasil audit yang akan dilakukan oleh auditor. Sebelum melakukan pemeriksaan, auditor harus memberi tahu kepada manajemen lebih dahulu sehingga segala sesuatunya dapat dipersipkan lebih dahulu dan tujuan audit akan dapat dicapai semaksimal mungkin. Bahn pertama yang perlu dipelajari adalah organizational chart, uraian tugas, kebijakan, dan prosedur yang ada. Dari bahan-bahan tersebut dapat diketahui tugas (responsibility and authority) tiap-tiap pegawai. Disamping itu juga perlu dipelajari laporan kerja, laporan kinerja paling tidak tahun terakhir yang lalu. Dari berbagai bahan tersebut mungkin dapat diidentifikasi trouble areas seperti segregation of duties, imbalance in reporting path, over- or under-staffing, noncompliance dengan kebijakan perusahaan dan prosedur, kelemahan internal controls, atau inadequate job rotations. Indikasi tersebut membantu auditor dalam menetapkaan prioritas dalam pemeriksaan rinci serta bidang-bidang yang perlu perbaikan. Laporan harus informatif dan tepat waktu, serta ditujukan kepada level management yang tepat.

(d)

Compliance Audit

269

Audit ketaatan mencakup: (a) hakikat dan ruang-lingkup transaksi yang perlu dievaluasi apakah kepatuhan prosedur sudah ditaati, dan (b) Tingkat kepatuhan pada prosedur atau aturan. Karena itu compliance audit dapat didefinisikan memeriksa apakah segala sesuatunya sesuai dengan aturan (prescribed course that is monitored by various checkpoints to reach a desired conclusion). Alasan dilakukannya compliance audit sangat beragam bergantung pada skala dan kompleksitas organisasi, jenis produk, kondisi pasarnya, cabang, dan tingkat standardisasi di perusahaan tersebut. Compliance audit mungkin dilakukan karena banyaknya klaim pelanggan, inventory yang tidak biasanya, peningkatan barang sisa-pakai, peningkatan bad debt write-offs, manpower turnover, atau semata-mata sebagai a routine review of procedures.

(e)

Contract Audit

Contract audit didefinisikan sebagai review dan evaluasi terhadap kontrak perusahaan (terms, conditions, dan sebaginya) serta transaksi-transaksi (khususnya transaksi keuangan) yang terkait. Kontrak mencakup bidang yang luas, seperti: repairs, maintenance, rentals, dan consulting. Tujuan contract audit adalah: Corporate Audit Objectives: Mengevaluasi kecukupan internal accounting control systems dan operating procedures. Monitor kepatuhan operasi perusahaan terhadap kebijakan (corporate policies and procedures), contractual provisions, budgetary guidelines, operating safeguards dan controls. Identifikasi peluang/masalah dan memberikan rekommendasi kepada manajemen mengenai pengembangan operating and control procedures. Contract Audit Objectives: Kontrak mengatur mengenai hak/kewajiban audit, dan kontrol yang diperlukan untuk menjamin kewajiban kontraktor dilaksanakan dengan baik. Kontrol dan prosedur kontraktor yang memadai agar biaya dan tagihan oleh kontraktor are proper and reasonable. Contract audits diperlukan secara kontinyu untuk atau jika: Nilai kontrak cukup besar. Realisasi melebihi anggaran. Diidentifikasi adanya control weaknesses setelah audit. Integritas personil dipertanyakan. Atas permintaan manajemen (corporate atau unit). Pendekatan dalam contract audit meliputi langkah-langkah sebagai berikut: 1. Review kontrak untuk menetapkan apakah kontrak sudah dilaksanakan sesuai prosedur atau kebijakan perusahaan (mkisalnya ketentuan tender).

270

2. 3.

Mendokumentasikan dan evaluasi system of internal control. Review data yang berkaitan dengan pengeluaran proyek dan menentukan test

criteria. 4. Review dan tes untuk menjamin agar semua pengeluaran akurat, didukung bukti dan sesuai dengan terms and conditions kontrak. 5. Jika dianggap perlu, kunjungi dan lakukan pemeriksaan di lokasi kontraktor. Dalam pelaksanaan contract audits perlu interim reports ke manajemen mengenai hal-hal yang menjadi temuan guna tindakan korektif. Sedangkan pada akhir audit disusun formal audit report.

(f)

Desk Review

Pada desk review internal auditor memperoleh data keuangan dan dokumentasi lain dari auditan dan kemudian melakukan limited procedures review. Dalam beberapa hal, review sering hanya dilakukan kantor auditor atau di kantor pusat, bukan di auditee location. Terdapat berbagai manfaat dalam desk review, yaitu: (a) internal auditor dapat menetapkan auditee mematuhi rekomendai, (b) internal auditor dapat memperluas ruanglingkup audit (meskipun tidak harus mendatangi berbagai lokasi/cabang/divisi yang diaudit, dan ini berarti tidak perlu travel time dan travel expenses), dan (c) desk review ideal untuk training new internal auditors, khususnya dalam memahmi operasi perusahaan sebelum penugasan pemeriksaan lapangan dalam audit.

(g) Follow-Up AuditsFollow-up audits lazimnya dilaksanakan satu tahun setelah audit sebelumnya (yang memberikan rekomendasi tertentu). Tujuan follow-up audit apakah sudah tindak lanjut atau pelaksanaan rekomendasi. Jenis audit ini biasanya dilaksanakan jika audit sebelumnya memberikan rekomendasi yang cukup signifikan, dan oleh karena itu tindakan koreksi atau tindak lanjutnya perlu dimonitor.

(h) Information Systems Audits3Information systems (IS), information technology (IT), atau electronic data processing (EDP) audit mengevaluasi aspek-aspek penting pada lingkungan IS. Perusahaan mungkin memiliki berbagai platform: mainframe, mini-computer, microcomputer, local area networks (LANs), wide area networks (WANs), electronic data interchange (EDI), dan Internet hosts (servers, electronic commerce). Teknologi informasi (TI) berubah dramatis pada 1990s. Internet dan World Wide Web (WWW) serta real-time, online systems mendorong makin banyak accounting functions dan business transactions berbasis digital form. Karena itu IS audit makin penting, antara lain untuk menjaga data integrity, system availability, dan security. Suatu kegiatan bisnis berbasis TI, maka availability of the system menjadi titik kritis. Bahkan dalam general financial external audits, maklin sering dilakukan "white box" technique atau audit through the computer.

271

Internal auditor harus mengidentifikasi audit unit yang berkaitan bidang-bidang yang sudah dibahas di atas pada perusahaan tersebut. Untuk itu model COSO serta referensi lain (misalnya CoBIT) dapat dimanfaatkan. Berikut ini suatu daftar yang perlu mendapat perhatian:

1. System Control Activities 1.1. General Controls ReviewReview general control: struktur organisasi, kebijakan dan kontrol yang terkait SI, dan kegiatan ini mungkin dapat dikaitkan/ digabungkan dengan kegiatan audit lain. Aspek yang diperiksa dalam general controls antara lain meliputi: Access Security System Availability/Continuity of Operations Documentation Standards Program Development and Change Control, serta Program change control. Disaster Recovery/Business Recovery

1.2.

Application Controls ReviewInternal auditor (terutama yang bersitifikasi CIA atau CISA) perlu mengevaluasi berbagai aspek, seperti misalnya: revenue cycle (accounts receivable, sales), expenditure cycle (accounts payable, purchases), payroll cycle, inventory cycle, general ledger, dan berbagai aplikasi keuangan lain.

2.

Physical Control ActivitiesPemeriksaan physical controls mencakup antara lain: transaction authorization, segregation of duties, compensating controls (often necessary in IS environments), dan accounting records (especially audit trails), serta independent verification (management's assessment of individuals, integrity of accounting information system, dan integrity of the data in the records)

2.1. Detailed Examination of Operating System. Audit terhadap operatingsystem, misal AS/400, Unix, Linux, Novell, Windows, dengan tujuan: protect itself from users, protect users from each other, protect users from themselves, be protected from itself, be protected from its environment.

2.2. General Controls2.2.1. Disaster Recovery Review Disaster Recovery Plan adalah mengenai apa yang perlu dilakukan jika ada disaster, untuk menjaga continuity of operations. Hal-hal yang perlu dievaluasi antara lain: Backup Site, instalasi di lokasi lain untuk restore operations. Backup Data. Penyimpanan data atau file cadangan (back-up file) yang disimpan di lokasi terpisah (sudah tentu harus sudah dilakukan tes realibilkitasnya. Backup Software. Backup copies software (terutama applications) pada lokasi terpisah (offsite location) atau bersama dengan data

272

backup.

Backup Resources. Cadangan dari supplies (continuous forms, 2.3. (A)kertas formulir untuk cetak), CD, dan sebagainya yang diperlukan. Backup Documentation. Duplikasi manual, uraian sistem, petunjuk kerja yang perlu di simpan pada lokasi terpisah. Backup Team. Perlu adanya back-up team jika diperlukan untuk dilakukan penggantian. Critical Applications. Harus sudah disusun skala prioritas sehingga dapat diketahui urutan yang harus dilakukan dalam recovery processes. Semua yang sudah dipersiapkan di atas harus sudah well-tested.

Applications Controls Review Input ControlsInput controls harus fokus pada menjaga integrity data entry dan kelengkapan (completeness dan existence/occurrence, artinya tidak ada data missing, sebaliknya jangan ada data fiktif). Kontrol ini didesain untuk menjaga agar data yang diinput ke sistem komputerisasi valid, akurat, dan lengkap, dengan sistem batch maupun direct input (real-time). Proses yang melibatkan manusia mengandung potensi errors. Berikut ini hal-hal yang perlu mendapat perhatian: Source document controls Data coding controls Batch controls (where applicable) Validation controls (e.g., field characteristics) Input error correction controls

(B)

Processing ControlsProcessing controls adalah tahap yang sangat penting dan menyangkut the computer processing steps inside the system, dan karena itu auditornya harus seseorang yang paham (sebaiknya CIA/ CISA). Hal-hal yang perlu diperhatikan antara lain: Run-to-run controls (during posting) Audit trail controls Logic testing (formulas, dan sebagainya) Authenticity Tests, untuk memverifikasi bahwa akses ke sistem authentic. Accuracy Tests, untuk menjaga agar akurasi mekanis cermat. Completeness Tests, bahwa data yang diolah lengkap. Redundancy Tests, bahwa tidak terdapat duplikasi data. Access Tests, untuk menjaga agar akses hanya oleh authorized users. Audit Trail Tests, sistem aplikasi menyediakan an adequate audit trail.

273

Rounding Error Tests, untuk menjaga perhitungan/ pembulatannya tidak salah. Rounding problems menyangkut risiko yang disebut salami slicing, suatu teknik kriminal yang menyangkut nilai kecil-kecil tetapi banyak sehingga totalnya besar. Tiap orang (misalnya pegawai yang gajinya kurang sedkit karena pembulatan) tidak terlalu merasa dirugikan, tetapi jika dijumlahkan seluruhnya bernilai besar. Operating system audit trails atau audit software mungkin dapat digunakan untuk alat bantu audit. Dalam kejahatan salami fraud, dengan generalized audit software dapat dideteksi sangat banyak posting data dengan nilai kecil-kecil ke seseorang.

(C) Output ControlsOutput controls didesain untuk menjaga agar keluaran yang dihasilkan oleh sistem komputerisasi tidak hilang/ dibaca oleh orang yang tidak berhak agtau tidak tepat sasaran, tidak akurat, tidak tepat waktu, tidak terjaga privacy-nya. Berikut ini hal-hal yang perlu diperhatikan: Batch systems output controls Output spooling controls (print spooler) Print program controls Bursting controls (if applicable) Waste controls Data control group control Report distribution controls End user controls Real-time systems output controls.

(i)

E-Commerce Audits

Electronic commerce kini menjadi perhatian khusus dalam audit. Dulu komputerisasi lazimnya digunakan untuk pengolahan data ("back office"), sedangkan e-commerce merupakan "front end system. Audit e-commerce fokus pada access, security, dan availability. Risiko pada e-commerce yang cukup tinggi antara lain: viruse, hacker, cracker, dan aktivitas yang bertujuan merusak sistem. Bidang-bidang berikut perlu mendapat perhatian dalam audit: Unauthorized access Firewalls Intrusion detection Data encryption Transaction and access logs Challenge-response activities Authentication methods E-commerce protocols Non-repudiation controls System availability, fail-safe controls Anti-virus protection

274

(j)

International Audits

An international audit adalah suatu full-scope audit subsidiary/ cabang/ lokasi tertentu, dilaksanakan atas dasar permintaan atau secara reguler. Ruang-lingkup audit ini mencakup financial, operational, IS/IT, berkaitan dengan tugas khusus sehubungan dengan subsidiary/ cabang/ lokasi tersebut, atau atas permintaan pemerintah. International audit merupakan jenis audit yang dapat dipertimbangkan untuk di-outsourcing.

Waktu Tugas dan BiayaPerencanaan dan penganggaran merupakan bagian penting dalam manajemen audit. Dalam hal ini dokumentasi waktu (time records) merupakan alat penting dalam memonitor penggunaan waktu karena menyangkut actual time yang dipergunakan secara komulatif. Selain itu catatan penggunaan waktu tiap individual auditor serta hasil evaluasi kinerjanya dapat digunakan oleh para senior dalam membuat perencanaan dan penyusunan anggaran tim audit. Manfaat lain dari metoda time reporting tersebut antara lain ialah:

Memberikan informasi staff level, akurasi perencanaan dan anggaran semua kegiatan audit dalam satu tahun ke depan sangat bergantung dari kebutuhan manpower, dan sebagainya. Job control, time reporting yang baik memungkinkan para manajer melakukan analisis secara efektif tentang waktu yang digunakan dikaitkan dengan rencana dan anggaran. Supporting productivity, dengan adanya time reporting memungkinkan monitor act