Dampak Teknologi Informasi Pada Proses Audit

MODUL 11

DAMPAK TEKNOLOGl lNFORMASI PADA PROSES AUDIT

Sasaran yang ingin dicapaiSetelah mempelajari modul ini, diharapkan dapat:1. Menguraikan bagaimana TI meningkatkan pengendalian internal.2. Mengidentifikasi risiko yang muncul dari penggunaan sistem akuntansi berbasis TI.3. Menjelaskan bagaimana pengendalian umum & pengendalian aplikasi mengurangi risiko TI.4. Menjelaskan bagaimana pengendalian umum mempengaruhi pengujian auditor atas pe-

ngendalian aplikasi.5. Menggunakan pendekatan-pendekatan data ujian, simulasi parelel, dan modul audit ter-

tanam saat mengaudit melalui komputer.6. Pengidentifikasi masalah untuk sistem e-commerce dan lingkungan khusus TI.

A. PENDAHULUAN

Modul ini menguji bagaimana pengintegrasian klien atas teknologi informasi (TI)

ke dalam sistem akuntansi mempengaruhi risiko dan pengendalian internal. Pengguna-

an TI dapat meningkatkan pengendalian internal dengan menambahkan prosedur

pengendalian baru yang dilakukan oleh komputer dan dengan menggantikan kendali

manual yang merupakan subyek bagi kesalahan manusia. TI dapat juga memperkenal-

kan risiko yang baru, yang dapat diatur klien melalui implementasi dari kendali yang

dikhususkan untuk lingkungan TI. Modul ini menyoroti risiko yang dikhususkan untuk

lingkungan TI, mengidentifikasikan pengendalian yang dapat diterapkan untuk menun-

juk risiko itu, dan menyoroti bagaimana pengendalian yang terkait dengan TI mempe-

ngaruhi proses audit.

Auditor harus seksama agar tidak terlalu bersandar pada informasi hanya karena

dibuat oleh komputer. Suatu asumsi umum adalah bahwa "informasi adalah benar

sebab komputer yang membuatnya". Terlalu sering, kepereayaan ditempatkan pada

ketelitian yang belum diuji dari keluaran yang dibuat komputer sebab auditor gagal

untuk mengingat bahwa komputer hanya melaksanakan apa yang diprogramkan bagi

mereka. Auditor harus memahami dan menguji kendali berbasis-komputer sebelum

menyimpulkan bahwa informasi yang dibuatkomputer adalah dapat dipercaya. Kita

mulai dengan memusatkan pada bagaimana TI dapat meningkatkan pengendalian

internal.

B. BAGAIMANA TEKNOlOGI INFORMASI MENINGKATKAN PENGENDALIAN INTERNAL

Ketika bisnis tumbuh dan berevolusi, mereka sering meningkatkan mutu sistem TI

mereka untuk menangani secara terns menerus kebutuhan informasi yang makin

meningkat. Penggunaan lingkungan jaringan yang kompleks, internet, dan fungsi TI

terpusat adalah umum dalam bisnis saat ini.

AuditingDrs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan AjarUniversitas Mercu Buana

‘12 1

Peningkatan ke pengendalian internal sebagai hasil pengintegrasian TI ke dalam

sistem akuntansi meliputi yang berikut:

Kendali komputer menggantikan kendali manual. Manfaat yang nyata dari TI, seperti kemampuan untuk menangani volume yang luar biasa dari transaksi bisnis yang rumit secara hemat biaya, menyebabkan organisasi untuk menggunakan TI se-panjang proses pelaporan keuangan mereka. Satu keuntungan TI adalah kemampu-an untuk meningkatkan pengendalian internal dengan menggabungkan kendali yang dilakukan-komputer dalam aktivitas proses transaksi sehari-hari. Menggantikan prosedur manual dengan pengendalian yang diprogramkan yang menggunakan cek dan saldo bagi masing-masing transaksi yang diproses dapat mengurangi kesalahan manusia yang mungkin terjadi dalam lingkungan manual yang tradisional. Suatu sistem TI yang terkendali menawarkan potensi lebih besar untuk mengurangi salah saji karena komputer memroses informasi secara kon-sisten.

Tersedianya informasi dengan mutu lebih tinggi. Sekali manajemen yakin tentang keandalan informasi yang dihasilkan oleh TI, penggunaan manajemen atas informasi itu menawarkan potensi lebih lanjut untuk meningkatkan keputusan manajemen. Pertama-tama, lingkungan TI yang kompleks umumnya diatur secara efektif karena kompleksitas memerlukan organisasi yang efektif, prosedur, dan dokumentasi. Kedua, sistem TI biasanya menyediakan bagi manajemen lebih banyak informasi dengan mutu lebih tinggi dengn lebih cepat dari kebanyakan sistem manual.

C. MENILAI RISIKO DARI TEKNOLOGI INFORMASI

Walaupun TI dapat meningkatkan pengendalian internal perusahaan, ia juga

dapat mempengaruhi risiko pengendalian keseluruhan perusahaan. Banyak risiko yang

berhubungan dengan sistem manual yang dikurangi dan dalam beberapa kasus malah

dihilangkan. Namun, risiko baru yang dikhususkan untuk lingkungan TI telah diciptakan

dan dapat mengarah kepada kerugian besar jika diabaikan. Sebagai contoh, ketidak-

mampuan untuk mendapatkan kembali informasi yang penting karena kegagalan

sistem TI atau penggunaan informasi yang tidak dapat dipercaya oleh karena kesalah-

an pemrosesan yang dihasilkan oleh teknologi itu bisa melumpuhkan organisasi. Risiko

ini mening-katkan kemungkinan salah saji material dalam laporan keuangan yang

harus dipertimbangkan oleh manajemen dan auditor. Yang berikut menyoroti risiko

kunci yang khusus untuk lingkungan TI :

Kepercayaan pada kemampuan berfungsinya perangkat keras dan lunak. Tanpa perlindungan fisik yang sesuai, perangkat keras atau perangkat lunak tidak akan berfungsi.

Jejak audit yang jelas. Sebab sebagian besar informasi dimasukkan secara lang-sung ke dalam komputer, penggunaan TI sering mengurangi atau bahkan meng-hapuskan dokumen sumber dan arsip yang mengijinkan organisasi untuk melacak informasi akuntansi. Dokumen dan arsip ini disebut jejak audit.

Mengurangi keterlibatan manusia. Di dalam banyak lingkungan Tl, karyawan yang berhadapan dengan pemrosesan awal dari transaksi tidak pernah melihat hasil



‘12 2

akhirnya. Karena itu, mereka sedikit tidak mampu untuk mengidentifikasikan salah saji pemrosesan.

Kesalahan sistematis versus kesalahan acak. Saat organisasi menggantikan pro-sedur manual dengan prosedur berbasis-teknologi, risiko dari kesalahan acak menjadi berkurang. Namun, risiko dari kesalahan sistematis meningkat oleh karena keseragaman pemrosesan komputer. Sekali prosedur diprogramkan ke dalam pe-rangkat lunak komputer, komputer memproses informasi secara konsisten untuk semua transaksi hingga prosedur yang diprogramkan itu diubah.

Akses tidak sah. Sistem akuntansi yang berbasis TI sering mengijinkan akses yang online ke data dalam arsip induk dan arsip lain yang disimpan dalam format elek-tronik. Karena akses yang online dapat terjadi dari banyak poinpoin akses jarak jauh, termasuk pihak eksternal dengan akses melalui internet, ada potensi untuk akses yang tidak sah.

Hilangnya data. Sebagian besar data yang mendasari dalam suatu lingkungan TI disimpan dalam arsip elektronik yang terpusat. Saat data dipusatkan, ada suatu peningkatan risiko kerugian atau kerusakan dari arsip data keseluruhan dengan percabangan yang parah. Ada potensi untuk salah saji laporan keuangan, dan dalam kasus tertentu, organisasi bisa mendatangkan gangguan bisnis yang serius.

Pengurangan pemisahan tugas-tugas. Saat organisasi mengkonversi dari manual ke proses komputer, komputer melaksanakan banyak tugas-tugas yang secara tradi-sional dipisahkan, seperti otorisasi dan tata kearsipan. Oleh karena itu, mengkombi-nasikan aktivitas dari bagian-bagian berbeda dari organisasi ke dalam satu fungsi TI memusatkan tanggungjawab yang secara tradisional terbagi.

Ketiadaan otorisasi yang tradisional. Adalah umum dalam sistem TI lanjutan untuk jenis transaksi tertentu untuk diaktifkan secara otomatis oleh komputer. Contoh meliputi menghitung bunga atas rekening tabungan di bank dan memesan perse-diaan ketika tingkat pesanan yang telah ditentukan sebelumnya telah dicapai.

Kebutuhan akan pengalaman IT. Bahkan ketika perusahaan membeli sistem kompu-ter yang relatif sederhana yang meliputi perangkat lunak yang dibeli, personil dengan pengetahuan dan pengalaman untuk memasang, memelihara, dan meng-gunakan sistem adalah penting. Seperti penggunaan sistem TI yang meningkat dalam organisasi, kebutuhan akan spesialis TI yang berkualitas sering muncul.

D. PENGENDALIAN INTERNAL KHUSUS UNTUK TEKNOLOGI INFORMASI

Untuk menunjuk banyak dari risiko yang berhubungan dengan kepercayaan lebih

besar atas TI, organisasi sering mengimplementasikan pengendalian khusus untuk

fungsi TI. Standar audit menjelaskan dua pengelompokan pengendalian yang utama

untuk sistem TI: pengendalian umum dan pengendalian aplikasi.

Pengendalian umum berhubungan dengan semua aspek dari fungsi TI,

termasuk administrasi; akuisisi dan pemeliharaan perangkat lunak; keamanan fisik dan

enline atas akses ke perangkat keras, perangkat lunak, dan data yang terkait; mem-

backup perencanaan dalam keadaan darurat tak terduga; dan pengendalian perangkat

keras.



‘12 3

Pengendalian aplikasi berlaku bagi pemrosesan transaksi individual, seperti

pengendalian atas pemrosesan penjualan atau penerimaan kas. Oleh karena itu,

pengendalian aplikasi adalah khusus untuk aplikasi perangkat lunak tertentu dan

biasanya tidak mempengaruhi semua fungsi TI. Pengendalian pemrosesan karenanya

dievaluasi untuk tiap-tiap area audit (rekening atau kelas transaksi) yang dipengaruhi

oleh suatu aplikasi dim ana auditor merencanakan untuk menguran risiko pengen-

dalian yang ditaksir.

Gambar 11.1 Hubungan Antara Pengendalian Umum dan Pengendalian Aplikasi

Seperti yang ditunjukkan dalam Gambar 11-1, pengendalian umum di-rancang

untuk melindungi semua pengendalian aplikasi untuk memastikan bahwa pengendalian

itu efektif. Pengendalian umum yang kuat mengurangi jenis risiko yang dikenali di

kotak di luar bentuk oval pengendalian umum.

Tabel 11-1 menguraikan enam kategori pengendalian umum dan tiga kategori

pengendalian aplikasi, dengan contoh spesifik dari tiap kategori. Dua bagian berikutnya

mendiskusikan masing-masing kategori dari pengendalian umum dan aplikasi secara

lebih detail.

Pengendalian Umum

Auditor biasanya mengevaluasi pengendalian umum diawal audit oleh karena

dampak dari pengendalian umum atas pengendalian aplikasi. Keenam kategori dari

pengendalian umum kini diuji secara lebih detail.

Administrasi dari Fungsi TI. Saat meningkatnya kepercayaan atas fungsi TI

dalam bisnis, mengatur dan mengadministrasi fungsi TI menjadi semakin penting.

Manajemen harus mengalokasikan sumber daya yang cukup untuk mendukung

teknologi.



‘12 4

Risiko karena perubahan tidak sah atas perangkat

lunak aplikasi

Risiko karena rusaknya sistem

Risiko karena pembaruan arsip induk yang tidak sah

Risiko karena pemrosesan tidak sah

Pengendalian Aplikasi Penerimaan Kas

Pengendalian Aplikasi Siklus Lainnya

Pengendalian Aplikasi Penggajian

Pengendalian Aplikasi Penjualan

PENGENDALIAN UMUM

Pemisahan Tugas-tugas TI. Untuk merespon risiko mengkombinasikan pen-

jagaan tradisional, otorisasi, dan tanggung jawab tata arsip di bawah fungsi TI, organi-

sasi yang terkendali baik merespon dengan memisahkan tugas-tugas kunci di dalam

TI. Suatu perhatian adalah mencegah personil TI memberi otorisasi dan merekam

transaksi untuk menutupi pencurian aset. Perhatian yang lain adalah memperkecil

kesalahan.

Gambar 11.2. Pemisahan Tugas-tugas TI

Tabel 11-1. Kategori dari Pengendalian Umum dan Pengendalian AplikasiJenis

Pengendalian:Kategori

PengendalianContoh Pengendalian :

Pengendalian Umum

Administrasi fungsi TI

Pejabat kepala informasi atau manajer TI melapor kepada manajemen senior dan dewan.

Pemisahan tugas-tugas TI

Tanggungjawab pemrograman, operasional, dan pengendalian data dipisahkan.

Pengembangan sistem

Tim pemakai, analis sistem, dan pemrogram mengembangkan dan secara menyeluruh menguji perangkat lunak.

Keamanan fisik dan online

Akses ke perangkat keras dibatasi, kata sandi dan batas akses ID pemakai kepada perangkat lunak dan arsip data, dan peng-kodean dan firewall melindungi data dan program dari pihak luar.

Backup dan peren-canaan kontinjensi

Rencana back up tertulis disiapkan dan diuji secara teratur se-panjang tahun.

Pengendalian perangkat keras

Kegagalan memori atau hard-drive menyebabkan pesan kesalahan pada monitor.

Pengendalian Aplikasi

Pengendalian masukan

Layar yang telah diformat mendorong personil masukan data untuk memasukan informasi.

Pengendalian pemrosesan

Ujian kewajaran menelaah harga penjualan-unit yang diguna-kan untuk memproses sebuah penjualan.

Pengendalian perangkat keras

Departemen penjualan melakukan ulasan pasca pemrosesan dari transaksi penjualan.

Idealnya, tanggungjawab untuk manajemen TI, pengembangan sistem, opera-

sional, dan pengendalian data hams dipisahkan sebagai berikut:

Manajemen IT. Kekhilafan fungsi TI umumnya adalah tanggung jawab dari CIO atau manajer TI. Individu ini bertanggung jawab atas kekhilafan dari semua fungsi TI untuk memastikan bahwa aktivitas dilaksanakan secara konsisten dengan perenca-naan strategis TI. Sebagai



‘12 5

Pejabat Kepala Informasi atau Manajer TI

Administrasi Keamanan

Operator Komputer

AdministratorJaringan

Pengembangan Sistem Pengendalian dataOperasional

Analis Sistem

Pemrogram Pengendalian data Masukan/Keluaran

Administrator Database

Pustakawan

tambahan bagi CIO, administrator keamanan memonitor baik akses phisik dan akses online ke perangkat keras, perangkat lunak, dan arsip data dan melaksanakan kelanjutan prosedur investigatif untuk pelanggaran keamanan yang dideteksi.

Pengembangan sistem. Pengembangan dan pembahan ke sistem TI secara umum dikoor-dinir oleh analis sistem yang bertanggung jawab atas keseluruhan perancangan masing-masing sistem aplikasi dan bertindak sebagai hubungan antara personil TI yang bertanggung jawab untuk memrogram aplikasi dan personil di luar fungsi TI yang akan menjadi para pemakai sistem yang utama (seperti personil piutang dagang). Para pemrogram mengem-bangkan bagan alur khusus untuk aplikasi itu, menyiapkan instruksi komputer, program ujian, dan mendokumentasikan hasil berdasarkan pada arahan dari analis sistem.

Operasi. Operasional komputer sehari-hari adalah tanggung jawab dari operator komputer yang bertanggung jawab atas melaksanakan pekerjaan sesuai jadwal pekerjaan yang di-bentuk oleh CIO dan untuk mengawasi konsol komputer untuk pesan tentang efisiensi kom-puter dan kegagalan pemakaian.

Pengendalian data. Personil pengendalian data masukan/keluaran secara independen mem-verifikasi mutu dari masukan dan kewajaran dari keluaran. Untuk organisasi yang meng-gunakan database untuk menyimpan informasi bersama oleh akuntansi dan fungsi yang lain, administrator database bertanggung jawab atas operasional dan keamanan akses dari data-base bersama itu.

Tentu saja, tingkat dari pemisahan tugas-tugas tergantung pada ukuran dan

kompleksitas organisasi. Di dalam banyak perusahaan yang kecil, tidaklah praktis

untuk memisahkan tugas-tugas ke tingkat yang digambarkan dalam Gambar 11-2.

Pengendalian Aplikasi

Pengendalian aplikasi dirancang untuk masing-masing aplikasi perangkat lunak

dan dimaksudkan untuk membantu sebuah perusahaan memenuhi enam sasaran hasil

audit yang terkait dengan transaksi. Walaupun beberapa pengendalian aplikasi mem-

pengaruhi satu atau hanya beberapa sasaran hasil audit yang terkait dengan transaksi,

kebanyakan kendali mencegah atau mendeteksi beberapa jenis salah saji.

Pengendalian aplikasi bisa dilakukan oleh komputer atau oleh manusia. Pengen-

dalian aplikasi yang dilakukan oleh manusia yang berinteraksi dengan komputer sering

dikenal sebagai pengendalian pemakai. Efektivitas dari pengendalian pemakai, seperti

tinjauan ulang dari laporan pengecualian yang dihasilkan-komputer, sering tergantung

pada akurasi dari informasi yang dihasilkan.

Pengendalian Masukan Pengendalian yang dirancang oleh suatu organisasi

untuk memastikan bahwa informasi yang diproses oleh komputer adalah sah, akurat,

dan lengkap disebut pengendalian masukan. Pengendalian masukan adalah kritis

sebab suatu bagian yang besar kesalahan dalam sistem TI yang diakibatkan oleh

kesalahan di dalam memasukan data. Kesalahan dalam masukan mengakibatkan

kesalahan keluaran dengan mengabaikan mutu dari pemrosesan informasi. Pengen-

dalian yang khas yang ditemukan dalam sistem manual terns menjadi penting.

Tabel 11-2. Pengendalian Masukan (Kelompok Data) Batch



‘12 6

Pengendalian Definisi ContohTotal Keuangan Ringkasan total jumlah field untuk semua catatan

dalam sebuah batch yang melambangkan total yang berarti seperti mata uang atau jumlah

Total dolar dari semua faktur pemasok yang harus dibayar

Total hasl Ringkasan total kode dari semua catatan dalam sebuah batch yang tidak melambangkan total yang berarti

Total semua nomor akun pe-masok untuk faktur pemasok yang harus dibayar

Penghitungan catatan

Ringkasan total catatan fisik dalam sebuah batch Total jumlah faktur pemasok yang akan diproses

Pengendalian Pemrosesan. Pengendalian yang mencegah dan mendeteksi kesalah-

an ketika data transaksi diproses disebut pengendalian pemrosesan. Walaupun pe-

ngendalian umum, terutama pengendalian yang berhubungan dengan pengembangan

sistem dan keamanan, memberikan sebagian pengendalian terbaik untuk memperkecil

kesalahan, pengendalian pemrosesan aplikasi sering ditanamkan di dalam perangkat

lunak untuk mencegah, mendeteksi, dan mengoreksi kesalahan pemrosesan. Tabel

11-3 meliputi contoh dari pengendalian pemrosesan.

Tabel 11-3. Pengendalian Pemrosesan

Jenis Pengenda-lian Pemrosesan

Uraian Contoh

Ujian Validasi Menjamin penggunaan arsip induk, database dan program yang benar dalam prerosesan.

Apakah pemberian label internal pada pita arsip induk penggajian cocok dengan label arsip yang ditunjukkan dalam perangkat lunak aplikasi?

Ujian Rangkaian Menentukan bahwa data yang diberikan untuk pemrosesan berada dalam urutan yang benar.

Apakah arsip transaksi masukan penggajian telah disortir dengan urutan perdepartemen sebelum pemrosesan?

Ujian akurasi aritmetika

Memeriksa akurasi data yang diproses.

Apakah jumlah pebayaran bersih ditambah yang ditahan sama dengan pembayaran kotor untuk seluruh pengga-jian?

Ujian kewajaran data

Menentukan apakah data mele-bihi jumlah yang telah ditentukan

Apakah pembayaran kotor karyawan melebihi 60 jam atau $ 999 untuk seminggu.

Ujian kelengkapan

Menentukan apakah setiap field dalam sebuah catatan/ arsip telah dilengkapi

Apakah nomor, nama karyawan, jumlah jam biasa, jumlah jam lembur, nomro departemen dll, dimasukkan untuk setiap karyawan?

Pengendalian Keluaran Pengendalian yang berpusat pada mendeteksi ke-

salahan setelah pengolahan diselesaikan bukannya pada mencegah kesalahan

disebut pengendalian keluaran. Pengendalian keluaran yang paling utama adalah

tinjauan ulang dari data untuk kewajaran oleh seseorang yang banyak mengetahui

tentang keluaran itu. Para pemakai sering dapat mengidentifikasikan karena mereka

mengetahui jumlah yang kira-kira benar. Sebagai tambahan, rekonsiliasi dari keluaran

yang dihasilkan-komputer ke total pengendalian manual dan perbandingan dari jumlah

unit yang diproses kepada jumlah unit yang disampaikan untuk pemrosesan membantu

mengidentifikasikan kesalahan dalam keluaran.

E. DAMPAK TEKNOLOGI INFORMASI PADA PROSES AUDIT



‘12 7

Auditor harus memiliki banyak pengetahuan tentang pengendalian ini sebab

mereka bertanggung jawab atas perolehan suatu pemahaman dari pengendalian

internal, termasuk pengendalian umum dan pengendalian aplikasi, dengan mengabaik-

an apakah penggunaan TI oleh klien adalah kompleks atau sederhana. Juga, pe-

ngetahuan tentang pengendalian umum meningkatkan kemampuan auditor untuk ber-

sandar pada pengendalian aplikasi efektif untuk mengurangi risiko pengendalian untuk

sasaran hasil audit yang terkait dengan transaksi. Bagian ini menyoroti bagaimana

pengendalian umum dan pengendalian aplikasi mempengaruhi proses audit.

Pengaruh dari Pengendalian Umum oleh Risiko Pengendalian

Kebanyakan auditor mengevaluasi efektivitas dari pengendalian umum sebelum

mengevaluasi pengendalian aplikasi. Jika pengendalian umumnya tidak efektif, ada

potensi untuk salah saji material pada setiap aplikasi akuntansi yang berbasis kompu-

ter, dengan mengabaikan mutu dari pengendalian aplikasi.

Auditor biasanya memperoleh informasi tentang pengendalian umum dan

aplikasi melalui wawancara dengan personil TI dan para pemakai kunci; pengujian

dokumentasi sistem seperti bagan alur, manual pemakai, permohonan perubahan

program, dan hasil pengujian; dan tinjauan ulang dari daftar pertanyaan terperinci yang

diselesaikan oleh staf TI. Dalam banyak kasus, diinginkan untuk menggunakan

beberapa pendekatan dalam pemahaman pengendalian internal karena masingmasing

menawarkan informasi yang berbeda. Wawancara dengan pejabat kepala informasi

dan analis sistem menyediakan informasi yang bermanfaat tentang pengoperasian

keseluruhan fungsi TI, tingkat dari pengembangan perangkat lunak dan perangkat

keras yang dibuat untuk perangkat lunak aplikasi akuntansi kunci, dan suatu ikhtisar

dari perubahan yang direncanakan. Tinjauan ulang dari program mengubah per-

mintaan dan hasil percobaan sistem adalah bermanfaat dalam mengidentifikasikan

perubahan program dalam perangkat lunak aplikasi. Daftar Pertanyaan berguna untuk

mengidentifikasikan pengendalian internal yang spesifik.

Efek dari Pengendalian TI atas Risiko Pengendalian dan Ujian Substantif

Ingatlah dari bab sebelumnya bahwa auditor menghubungkan kekuatan dan

kelemahan dalam pengendalian internal ke sasaran hasil audit yang terkait dengan

transaksi yang spesifik. Berdasarkan pada kekuatan dan kelemahan itu, auditor menilai

risiko pengendalian untuk masing-masing sasaran audit yang terkait dengan transaksi.

Pendekatan yang sama itu digunakan dalam lingkungan TI, tetapi sekarang auditor

mungkin mampu percaya pada pengendalian aplikasi yang dilakukan oleh komputer

untuk mengurangi risiko pengendalian.



‘12 8

Auditor biasanya tidak menghubungkan kekuatan dan kelemahan dalam pe-

ngendalian umum ke sasaran hasil audit yang terkait dengan transaksi yang spesifik.

Seperti lingkungan pengendalian, pengendalian umum mempengaruhi sasaran hasil

audit yang terkait dengan transaksi dalam beberapa siklus. Jika pengendalian umum

tidak efektif, kemampuan auditor untuk percaya pada pengendalian aplikasi untuk

mengurangi risiko pengendalian telah dikurangi. Dan sebaliknya, jika pengendalian

umum adalah efektif, itu meningkatkan kemampuan auditor untuk percaya pada pe-

ngendalian aplikasi untuk mengurangi risiko kendali.

Auditor mengidentifikasikan baik pengendalian manual dan pengendalian

aplikasi yang dilakukan komputer dan kelemahan untuk masing-masing sasaran audit

yang terkait dengan transaksi yang menggunakan suatu matriks risiko pengendalian

dalam cara yang hampir sama seperti yang dibahas dalam bab sebelumnya.

Mengaudit dalam Lingkungan TI yang Tidak Terlalu Rumit

Banyak organisasi menggunakan TI untuk memroses transaksi bisnis dan

merancang sistem tersebut sedemikian sehingga dokumen sumber dapat diperoleh

kembali dalam format yang dapat dibaca dan dengan mudah bisa ditelusuri melalui

sistem akuntansi ke keluaran. Dalam kejadian itu, banyak dokumen sumber yang

tradisional seperti pesanan pembelian pelanggan, arsip pengiriman dan penerimaan,

dan faktur penjualan dan pemasok. Perangkat lunak akuntansi yang terkait juga

menghasilkan jurnal dan buku besar tercetak yang mengijinkan auditor untuk melacak

transaksi individu melalui arsip akuntansi. Sebagai tambahan, pengendalian internal

sering meliputi perbandingan klien atas arsip yang dihasilkan-komputer dengan

dokumen sumber.

Dalam situasi ini, penggunaan TI tidak terlalu berdampak pada jejak audit. Biasa-

nya, auditor memperoleh suatu pemahaman dari pengendalian internal dan melak-

sanakan ujian dari pengendalian, ujian substantif transaksi, dan prosedur verifikasi

saldo akun dengan cara yang sama seolah sistem akuntansi seluruhnya manual.

Auditor masih bertanggung jawab untuk memperoleh suatu pemahaman dari pengen-

dalian komputer umum dan aplikasi karena pengetahuan demikian bermanfaat dalam

mengidentifikasikart risiko yang bisa mempengaruhi laporan keuangan. Namun, biasa-

nya auditor tidak melaksanakan ujian pengendalian komputer. Pendekatan audit ini

sering disebut mengaudit di sekitar komputer sebab auditor tidak menggunakan

pengendalian komputer untuk mengurangi risiko pengendalian yang ditaksir.

Mengaudit dalam Lingkungan TI yang Lebih Rumit



‘12 9

Ketika organisasi memperluas penggunaan TI mereka, pengendalian internal

sering ditanamkan di dalam aplikasi yang hanya terlihat dalam format elektronik. Ketika

dokumen sumber yang tradisional seperti faktur, pesanan pembelian, arsip penagihan,

dan arsip akuntansi seperti jurnal penjualan, daftar persediaan, dan catatan tambahan

piutang dagang adalah hanya dalam format elektronik dibandingkan dengan aslinya

(hard copy), auditor harus mengubah pendekatan ke audit. Pendekatan kepada audit

ini sering disebut mengaudit melalui komputer. Tabel 11-4 berisi contoh yang

menyoroti perbedaan dalam audit disekitar komputer dan audit melalui komputer.

Tabel 11-4. Contoh-Contoh Mengaudit di Sekitar dan Melalui KomputerPengendalian

InternalMengaudit disekitar

Pendekatan KomputerMengaudit Melalui

Pendekatan KomputerKredit disetujui untuk penjualan atas akun

Memilih sebuah sampel transaksi penjualan dari jurnal penjualan dan meperoleh pesanan penjualan pe-langgan yang terkait untuk menentu-kan bahwa ada inisial manajer kredit, yang menunjukan persetujuan pen-jualan atas akun.

Memperoleh sebuah salinan program aplikasi penjualan klien dan arsip induk batas kredit yang terbatas dan memroses sampel data ujian dari transaksi penjualan untuk menentukan apakah perangkat lunak aplikasi dengan tepat menolak transaksi penjualan ujian tersebut yang melebihi jumlah batas kredit pelanggan dan menerima semua transaksi lainnya

Penggajian hanya diproses untuk orang yang saat ini dipekerja kan

Memilih sebuah sampel pengeluaran penggajian dari jurnal penggajian dan memverifikasi dengan menelaah arsip departemen sumber daya manusia bahwa yang akan dibayar memang saat ini dipekerja kan

Membuat arsip data ujian dari nomor ID karya-wan yang sah dan tidak sah dan memroses arsip itu menggunakan salinan terkontrol dari prog-ram aplikasi penggajian klien untuk menentukan bahwa semua nomor ID karyawan yang tidak sah itu ditolak dan semua nomor ID karyawan yang sah diterima.

Total kolom untuk jurnal pengeluaran kas disub total secara otomatis oleh komputer

Memperoleh hasil cetak jurnal penge-luaran kas dan secara manual mem-buat-foot setiap kolom untuk memve-rifikasikan akurasi total kolom yang tercetak.

Memperoleh salinan elektronik dari transaksi jurnal pengeluaran kas dan menggunakan pe-rangkat lunak audit umum untuk memverifika-sikan akurasi total kolom.

Ada tiga kategori dari pengujian strategi ketika mengaudit melalui komputer:

pendekatan data ujian, simulasi paralel, dan pendekatan modul audit tertanam.

Pendekatan Data Ujian. Pendekatan data ujian melibatkan pengolahan data

ujian auditor menggunakan sistem komputer klien dan program aplikasi klien untuk

menentukan apakah pengendalian yang dilakukan-komputer dengan tepat memproses

data ujian itu. Karena auditor merancang data ujian itu, auditor bisa mengidentifikasi-

kan materi ujian mana yang harus diterima atau ditolak oleh sistem klien. Auditor mem-

bandingkan keluaran yang dihasilkan oleh sistem dari ujian data kepada keluaran yang

diharapkan untuk menilai efektivitas dari aplikasi pengendalian internal program.

Gambar 11-3 menggambarkan penggunaan pendekatan data ujian.

Gambar 11-3. Pendekatan Data Ujian



‘12 10

Ketika menggunakan pendekatan data ujian, ada tiga pertimbangan auditor

yang utama:

1. Data ujian harus meliputi semua kondisi relevan yang ingin diuji auditor. Auditor harus merancang data ujian untuk menguji pengendalian kunci berbasiskomputer yang cenderung dipercayai auditor untuk mengurangi risiko pengendalian.

2. Program aplikasi yang diuji oleh data ujian auditor harus sama dengan yang digunakan klien sepanjang tahun. Satu pendekatan adalah untuk menjalankan data ujian atas dasar kejutan, mungkin secara acak sepanjang tahun, walaupun melakukannya adalah mahal dan meng-habiskan waktu.

3. Data ujian harus dihapuskan dari arsip klien. Jika uji coba perangkat lunak klien melibatkan data ujian pemrosesan selagi secara serempak memroses transaksi klien sebenarnya, auditor harus mengbilangkan data ujian di dalam arsip induk klien ketika pengujian selesai.

Simulasi Paralel. Berbagai perangkat lunak telah tersedia untuk membantu auditor

dalam menentukan efektivitas pengendalian dalam perangkat lunak dan untuk

memperoleh bukti tentang saldo akun yang dalam suatu format elektronik. Auditor

rnenggunakan perangkat lunak yang dikontrol-auditor untuk melaksanakan operasional

paralel kepada perangkat lunak klien dengan menggunakan arsip data yang sama.

Ketiadaan perbedaan di dalam keluaran menunjukan perangkat lunak klien yang

berfungsi secara efektif, sedangkan perbedaan menandai adanya kelemahan poten-

sial. Sebab perangkat lunak auditor dirancang untuk memparalel suatu operasi yang

dilakukan oleh perangkat lunak klien, strategi pengujian ini disebut pengujian simulasi

paralel.

Gambar 11-4. Simulasi Paralel



‘12 11

Hasil yang diprediksi auditor dari prosedur pengendalian kunci

berdasarkan pada pemahanan pengandalian internal

Arsip Transaksi(Terkontaminasi?)

Arsip Induk

Arsip TransaksiTerkontaminasi

Program Aplikasi (Sistem Batch yang diasumsikan)

Hasil UjianPengendalian

Perbedaan antara hasil sebenarnya dan hasil

yang diprediksi

Auditor membuat Perbandingan

Memasukkan Transaksi Ujian untuk menguji Prosedur

Pengendalian Kunci

Suatu alat yang biasa digunakan oleh auditor untuk melaksanakan pengujian

simulasi paralel adalah perangkat lunak audit umum (generalized audit soft.

ware/GAS), perangkat lunak yang dirancang terutama untuk digunakan auditor.

Perangkat lunak audit yang dibeli, seperti ACL atau IDEA.

Auditor memperoleh salinan dari database klien atau arsip induk dalam format

yang terbaca mesin dan menggunakan perangkat lunak audit umum untuk melaksana-

kan berbagai ujian dari data elektronik klien. Beberapa auditor menggunakan perang-

kat lunak neraca lajur (spreadsheet) untuk melaksanakan ujian simulasi paralel dasar.

Yang lain bisa mengembangkan perangkat lunak audit mereka sendiri. Gambar 11-4

melukiskan simulasi paralel yang khas.

Ada dua keuntungan dari perangkat lunak audit umum. Pertama, relatif lebih

mudah melatih staf audit dalam penggunaannya bahkan bila mereka mempunyai

sedikit pelatihan TI yang terkait dengan audit. Kedua, perangkat lunak audit umum

dapat diterapkan kepada beragam klien dengan penyesuaian yang minimal.

Pendekatan Modul Audit Tertanam Saat menggunakan pendekatan modul

audit tertanam, auditor memasukkan suatu modul audit dalam sistem aplikasi klien

untuk menangkap transaksi dengan karakteristik yang menjadi minat spesifik auditor

itu. Suatu keuntungan yang penting adalah kemampuan auditor menguji secara terus

menerus, membandingkan dengan data ujian dan pendekatan simulasi paralel, yang

dilaksanakan pada titik waktu tertentu. Keuntungan lain dari modul audit tertanam

adalah kemampuan untuk mengidentifikasi semua transaksi yang tidak biasa untuk

evaluasi auditor.



‘12 12

Auditor menyiapkan sebuah program untuk mensimulasikan semua

atau sebagian dari sistem aplikasi klien

Arsip IndukTransaksi Produksi

Hasil Auditor

Program yang Disiapkan Auditor

Laporan pengecualian memperhatikan perbedaan

Program Sistem Aplikasi Klien

Hasil Klien

Auditor membuat perbandingan antara keluaran sistem aplikasi klien dan keluaran

program yang disiapkan auditor

Tabel 11-5. Penggunaan Umum dari Perangkat Lunak Audit UmumPenggunaan Uraian Contoh

Memverifikasi tingkatan dan pem-buatan foot

Memverifikasikan akurasi perhitung-an klien dengan menghitung informa-si secara independen

Membuat foot neraca saldo piutang dagang

Menguji catalan untuk mutu, keleng-kapan, konsistensi, dan ketepatan

Memindai semua catalan mengguna-kan kriteria tertentu

Menelaah arsip penggajian untuk karyawan yang diberhentikan

Membandingkan data pada arsip terpisah

Menentukan bahwa informasi dalam dua arsip data atau lebih adalah sesuai

Membandingkan perubahan dalam saldo piutang dagang diantara dua tanggal dengan menggunakan pen-jualan dan penerimaan kas dalam arsip transaksi

Meringkaskan atau mengurutkan kembali data dan melaksanakan analisis

Merubah atau mengumpulkan data Mengurutkan kembali item persedia-an dengan lokasi untuk memfasilitasi pengamatan fisik

Memilih sampel audit Memilih sampel dari data yang bisa dibaca mesin

Secara acak memilih piutang agang untuk konfirmasi

Mencetak permintaan konfirmasi Mencetak data dari item sampel yang dipilih untuk pengujian konfirmasi

Mencetak nama pelanggan, alamat, dan informasi saldo akun dari arsip induk

Membandingkan data yang diperoleh melalui prosedur audit lainnya dengan catalan perusahaan

Membandingkan data yang bisa di-baca mesin dengan bukti audit yang dikumpulkan secara manual, yang dirubah ke format yang bisa dibaca mesin

Memperbandingkan tanggapan kon-firmasi dengan arsip induk akun piutang

Auditor boleh menggunakan satu atau suatu kombinasi dari data ujian, simulasi

paralel, dan pendekatan modul audit tertanam. Auditor biasanya menggunakan data

ujian untuk melaksanakan ujian pengendalian dan ujian substantif dari transaksi.

Simulasi paralel sering digunakan untuk pengujian substantif, seperti menghitung

kembali jumlah transaksi dan membuat foot arsip induk catatan tambahan dari saldo

akun. Auditor menggunakan pendekatan modul audit tertanam untuk mengidentifi-

kasikan transaksi tidak biasa untuk pengujian substantif.

F. MASALAH-MASALAH UNTUK LlNGKUNGAN TI YANG BERREDA

Sebagian besar material yang diperkenalkan sampai sekarang menunjuk efek TI

pada proses audit untuk organisasi yang memusatkan fungsi TI. Walaupun semua

organisasi memerlukan suatu lingkungan pengendalian umum yang kuat dengan

mengabaikan struktur dari fungsi TI mereka, beberapa masalah pengendalian umum

bervariasi tergantung pada lingkungan TI. Lima bagian berikut menyoroti masalah TI

untuk klien yang menggunakan komputer mikro, jaringan, sistem database manage-

ment, sistem e-commerce, dan pusat layanan komputer dari luar.

Masalah Untuk Lingkungan Komputer Mikro

Komputer mikro secara luas digunakan dalam banyak bisnis dengan mengabai-

kan ukuran organisasi itu. Umumnya mereka memainkan suatu peran yang penting

untuk bisnis yang kecil dalam memroses atau meneliti data akuntansi melalui



‘12 13

penggunaan perangkat lunak akuntansi dan neraca lajur elektronik yang dibeli atau

dibuat khusus.

Pengendalian umum dalam perusahaan yang lebih kedl pada umumnya sedikit

kurang efektif dibanding dalam lingkungan TI yang lebih rumit. Seringkali, tidak ada IT

personil yang khusus atau klien bersandar pada keterlibatan berkala konsultan TI

untuk membantu dalam memasang dan memelihara perangkat keras dan lunak.

Seringkali, auditor dari klien yang menggunakan komputer mikro dalam lingkung-

an pengendalian umum yang tidak terlalu canggih melakukan sebagian besar audit

mereka di sekitar komputer. Sistem ini sering menghasilkan jejak audit yang memadai

yang mengijinkan auditor untuk merekonsiliasikan dokumentasi sumber masukan

untuk keluaran.

Namun, bahkan dalam lingkungan TI yang tidak terlalu canggih, ada situasi di

mana bisa bersandar pada pengendalian komputer. Sebagai contoh, program

perangkat lunak dalam komputer mikro dapat diisikan pada hard-drive komputer dalam

format yang tidak mengijinkan perubahan oleh personil klien. Risiko dari perubahan

yang tidak sah di perangkat lunak kemudian menjadi rendah. Sebelum bersandar pada

pengendalian yang dibangun ke dalam perangkat lunak tersebut, auditor harus

mempunyai kepercayaan pada reputasi penjual perangkat lunak untuk mutunya.

Risiko lain dengan komputer mikro adalah bilangnya data dan program oleh

karena virus komputer, yang dapat menyebar ke program lain dan sistem keseluruhan.

Virus tertentu dapat merusak disk arsip atau menutup keseluruhan jaringan komputer.

Memperbarui perangkat lunak pelindung virus secara teratur yang secara terus

menerus menyaring penyebaran virus meningkatkan pengendalian.

Masalah Lingkungan Jaringan

Penggunaan jaringan yang makin meledak yang menghubungkan peralatan

seperti komputer mikro, komputer jangkauan menengah, mainframe, stasiun kerja,

server, dan pencetak sedang mengubah fungsi TI untuk banyak bisnis. Jaringan area

lokal (Local Area Network/LAN) menghubungkan peralatan di dalam lingkungan ba-

ngunan yang kecil atau tunggal dan hanya digunakan untuk tujuan intra perusahaan.

Penggunaan umum LAN adalah untuk memindahkan data dan program dari satu

komputer atau stasiun kerja ke yang lainnya untuk mengijinkan semua alat untuk

berfungsi bersama-sama. Jaringan Area Luas (WIde Area Network/WAN) menghu-

bungkan peralatan dalam daerah geografis yang lebih besar, termasuk operasional

global.

Dalam lingkungan jaringan, perangkat lunak aplikasi dan arsip data digunakan

untuk memroses transaksi yang berada pada server, yang merupakan alat untuk



‘12 14

mengolah data. Akses ke aplikasi dari komputer mikro atau stasiun-kerja diatur oleh

perangkat lunak server jaringan. Perusahaan seringkali mempunyai beberapa server.

Saat klien mempunyai aplikasi akuntansi yang diproses dalam lingkungan jaring-

an, pemahaman auditor akan pengendalian internal perlu meliputi pengetahuan konfi-

gurasi jaringan, mencakup penempatan dan server, stasiun-kerja, dan komputer yang

dihubungkan satu sama lain, dan pengetahuan perangkat lunak jaringan yang diguna-

kan untuk mengatur sistem. Auditor juga harus memahami tentang pengendalian atas

akses dan perubahan kepada program aplikasi dan arsip data yang ditempatkan pada

server.

Masalah Sistem Manajemen Database

Auditor sering menghadapi aplikasi akuntansi yang menggunakan sistem mana-

jemen database untuk memroses transaksi dan memelihara arsip data. Sistem mana-

jemen database mengijinkan klien untuk menciptakan database yang berisi informasi

yang dapat digunakan bersama dalam berbagai aplikasi. Dalam lingkungan non-

database, masing-masing aplikasi berisi arsip data mereka sendiri, sedangkan dalam

sistem manajemen database, banyak aplikasi berbagi arsip. Klien menerapkan sistem

manajemen database untuk mengurangi kelebihan data, meningkatkan pengendalian

atas data, dan menyediakan informasi yang lebih baik untuk pengambilan keputusan

dengan pengintegrasian informasi seluruh fungsi dan departemen. Sebagai contoh,

data pelanggan, seperti alamat dan nama pelanggan, dapat digunakan bersama di

fungsi penjualan, kredit, akuntansi, pemasaran, dan pengiriman, yang menghasilkan

pengurangan biaya yang penting. Perusahaan sering mengintegrasikan sistem mana-

jemen database ke seluruh organisasi. Program demikian disebut perangkat lunak

perusahaan.

Kendali sering meningkat ketika data dipusatkan dalam sistem manajemen

database dengan penghapusan arsip data yang berlebihan. Namun, sistem mana-

jemen database juga dapat membuat risiko pengendalian internal. Sebagai contoh,

ada risiko yang berhubungan dengan berbagai pemakai, mencakup individu di luar

akuntansi, mengakses dan memperbarui arsip data. Tanpa administrasi database dan

pengendalian akses yang tepat, risiko arsip data yang tidak sah, tidak akurat, dan tidak

sempurna menjadi meningkat. Juga, pemusatan data ke dalam arsip tunggal mening-

katkan pentingnya backup yang sesuai atas informasi data secara teratur.

Auditor dan klien yang menggunakan sistem manajemen database perlu mema-

hami perencanaan klien, organisasi, dan kebijakan dan prosedur untuk menentukan

seberapa baik sistem itu diatur.



‘12 15

Masalah Untuk Sistem E-commerce

Perusahaan yang menggunakan sistem e-commerce untuk melakukan transaksi

bisnis secara elektronis menghubungkan sistem akuntansi internal mereka ke sistem

yang dipelihara oleh pihak luar, seperti pelanggan dan pemasok. Sebagai hasilnya,

risiko yang dihadapi suatu perusahaan saat terlibat dengan aktivitas e-commerce

sebagian bergantung pada seberapa baik mitra e-commerce-nya mengidentifikasi dan

mengatur risiko dalam sistem TI mereka sendiri. Untuk mengatur risiko interdepen-

densi ini, perusahaan harus memastikan bahwa micra bisnis mereka secara efektif

mengatur risiko sistem TI sebelum melaksanakan bisnis dengan mereka secara

elektronis.

Penggunaan dari sistem e-commerce juga menyingkapkan data perusaha-an

yang sensitip, program, dan perangkat keras terhadap pemotongan yang potensi atau

sabotase oleh pihak luar. Untuk membatasi keterbukaan ini, perusahaan mengguna-

kan firewalls, teknik pengkodean, dan tandatangan digital. Firewall melindungi data,

program, dan sumber daya TI lain dari para pemakai eksternal yang mengakses sistem

melalui jaringan, seperti Internet. Firewall adalah suatu sistem dari perangkat keras

dan lunak yang mengawasi dan mengendalikan aliran komunikasi e-commerce dengan

penyaluran semua hubungan jaringan melalui suatu pintu gerbang pengendalian.

Firewall dapat digunakan untuk memverifikasi pemakai eksternal dari jaringan, mem-

berikan akses yang sah, dan mengarahkan pemakai ke program atau data yang di-

minta.

Perusahaan menggunakan teknik pengkodean untuk melindungi keamanan

komunikasi elektronik sepanjang proses transmisi. Teknik pengkodean didasarkan

pada program komputer yang mengubah suatu pesan standar ke dalam suatu bentuk

kode (encrypted). Penerima dari pesan elektronik itu harus menggunakan suatu

program dekripsi (decryption) untuk memecahkan kode pesan itu. Seringkali teknik

pengkodean kunci publik digunakan dimana satu kunci (kunci publik) digunakan E

untuk menyandi pesan dan kunci yang lain (kunci pribadi) digunakan untuk memecah-

kan kode pesan itu. Kunci publik dibagikan kepada pemakai yang disetujui dari sistem

e-commerce itu dan hanya dapat digunakan untuk menyandikan pesan. Kunci pribadi,

yang digunakan untuk memecahkan kode pesan, menjadi titik utama dari pengendali-

an. Perlindungan kunci pribadi sering menjadi tanggung jawab dan administrator

keamanan TI dan hanya dibagikan ke para pemakai internal dengan otoritas untuk

memecahkan kode pesan itu.

Untuk membantu membuktikan keaslian kebenaran mitra dagang yang melaksa-

nakan bisnis secara elektronik, perusahaan boleh bersandar pada otoritas sertifikasi

eksternal yang memverifikasi sumber dari kunci publik melalui penggunaan tanda



‘12 16

tangan digital. Suatu otoritas sertifikasi yang dipercaya mengeluarkan suatu sertifikat

digital kepada individu dan perusahaan yang terlibat dalam e-commerce. Tanda tangan

digital berisi nama pemilik dan kunci publiknya. Juga berisi nama dari otoritas sertifikasi

dan tanggal tidak berlakunya sertifikat dan informasi khusus lainnya. Untuk menjamin

keaslian dan integritas, masing-masing tandatangan secara digital ditandatangani oleh

kunci pribadi yang dipelihara oleh otoritas sertifikasi.

Masalah Saat Klien Menggunakan Ti Pihak Luar

Banyak klien membuka beberapa atau semua kebutuhan TI mereka kepada

pusat pelayanan komputer yang independen bukannya memelihara suatu pusat TI in-

ternal. Banyak perusahaan yang lebih kecil membuka fungsi penggajian mereka ke

pihak luar karena penggajian adalah cukup standar dari perusahaan ke perusahaan

dan di sana ada penyedia jasa penggajian yang dapat dipercaya. Perusahaan juga

membuka sistem e-commerce mereka ke penyedia jasa situs Web eksternal. Seperti

semua keputusan menggunakan pihak luar, perusahaan memutuskan apakah akan

menggunakan TI pihak luar atas dasar manfaat-biaya.

Ketika menggunakan pusat jasa komputer pihak luar, klien menyerahkan data

masukan, yang diproses oleh pusat jasa untuk suatu pembayaran (fee), dan mengem-

balikan keluaran yang telah disepakati dan masukan asli. Untuk penggajian, per-

usahaan menyerahkan kartu catatan waktu, tingkat upah, dan W4 kepada pusat jasa.

Pusat jasa mengembalikan cek pembayaran upah, jurnal, dan data masukan setiap

minggu dan W-2 pada akhir tiap tahun. Pusat jasa bertanggung jawab atas peran-

cangan sistem komputer dan menyediakan pengendalian yang memadai untuk

memastikan bahwa pemrosesan dapat dipercaya.

Auditor menghadapi suatu kesukaran ketika memperoleh suatu pemahaman dari

pengendalian internal klien sebab banyak pengendalian itu berada di pusat jasa dan

auditor tidak bisa berasumsi bahwa pengendalian adalah memadai hanya karena

pusat jasa adalah suatu perusahaan independen. Standar audit meminta auditor untuk

mempertimbangkan kebutuhan untuk memahami dan menguji pengendalian pusat jasa

jika aplikasi pusat jasa melibatkan pemrosesan data keuangan yang penting.

Tingkat memperoleh pemahaman dan pengujian pengendalian pusat jasa harus

didasarkan pada kriteria yang sama yang diikuti auditor dalam mengevaluasi pengen-

dalian internal klien. Dalamnya pemahaman itu tergantung pada kompleksitas sistem

dan tingkat dimana auditor berniat untuk menglirangi risiko pengendalian yang dinilai

untuk mengurangi ujian audit substantif. Jika auditor menyimpulkan bahwa keterlibatan

yang aktif dipusat jasa adalah satu-satunya cara melakukan audit, mungkin saja perlu



‘12 17

untuk memperoleh suatu pemahaman akan pengendalian internal dipusat jasa dan

menguji pengendalian menggunakan data ujian dan ujian pengendalian lainnya.

Dibeberapa tahun terakhir, makin menjadi umum untuk mempunyai auditor inde-

penden memperoleh suatu pemahaman dan menguji pengengdalian internal dari pusat

jasa untuk digunakan oleh semua pelanggan dan auditor independen mereka. Tujuan

penilaian independen ini adalah untuk menyediakan pelanggan pusat jasa dengan

suatu tingkat jaminan yang layak dari ketercukupan pengendalian umum dan aplikasi

milik pusat jasa dan untuk menghapuskan kebutuhan akan audit yang berlebihan oleh

auditor pelanggan. Jika pusat jasa mempunyai banyak pelanggan dan masing-masing

memerlukan suatu pemahaman dari pengendalian internal pusat jasa oleh auditor

inde-penden mereka sendiri, kerepotan dan biaya untuk pusat jasa itu bisa besar.

Ketika auditor independen pusat jasa menyelesaikan pemahaman dan uji coba atas

pengendalian pusat jasa, maka dikeluarkan suatu laporan khusus, yang menunjukan

lingkup dari audit dan kesimpulannya. Kemudian akan menjadi tanggung jawab dari

auditor pelanggan untuk memutuskan tingkat dari kepercayaan pada pusat jasa. SAS

70 (AU 324) seperti dikembangkan oleh SAS 78 dan SAS 88 berisi bimbingan baik

untuk auditor pelanggan dan auditor pusat jasa.

****************



‘12 18

Dampak Teknologi Informasi Pada Proses Audit

Documents

Transcript of Dampak Teknologi Informasi Pada Proses Audit