Sifat Perencanaan Audit

7/14/2019 Sifat Perencanaan Audit

1/35

Sifat Perencanaan Audit: Hubungan Antara

Penilaian Risiko Kontrol dan Audit Terkait Prosedur-Komputer

* Diane Janvrin

Asisten ProfesorJurusan Akuntansi

College of BusinessIowa State UniversityAmes IA 50011-1350

Telepon: 515 294 9450Fax: 515 294 3525

[email protected] Bierstaker

Associate ProfessorDepartemen Akuntansi

College of Commerce dan KeuanganVillanova University

Villanova PA 19085-1678james.bierstaker @ villanova.edu

D. Jordan LoweAssociate Professor

Manajemen Sekolah Global dan KepemimpinanArizona State University

4701 West Road Thunderbird, MC 2451Phoenix AZ 85069-7100

jordan.lowe @ asu.edu

1 Desember 2005

*Berkorespondensi penulis

Kami menghargai komentar Brazel membantu Yusuf, Maria Curtis, Julie Smith David, William Dilla, JulieAnne Dilley, Stephanie Perpisahan, Gary Hackbarth, Frank Hodge, Cynthia Jeffrey, Eric Johnson, Brian

Mennecke, Ed O'Donnell, Kurt Pany, G ,. Premkumar Sue Ravenscroft, Janet Samuels, Tony Townsend, Scott

Vandervelde, Kristi Yuthas, dan peserta di Iowa Akuntansi Keuangan Negara Riset / Seminar Seri.Akhirnya,kami hargai bantuan Sarah Erdman, Krissy Gronborg, Omar Torren, Pat Wagaman, Katie Wallace, Tara

Wilkins, yang AICPA, dan peserta belajar.


Penilaian Risiko Kontrol dan Audit Terkait Prosedur-Komputer[

IKHTISAR
mailto:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]://outbind//136/#_msocom_1http://outbind//136/#_msocom_1http://outbind//136/#_msocom_1http://outbind//136/#_msocom_1mailto:[email protected]:[email protected]:[email protected]


2/35

standar audit mengharuskan auditor untuk mempertimbangkan beberapa faktor risiko, saatmereka merencanakan setiap keterlibatan, dan dengan demikian, menentukan sifat, waktu,

dan luasnya prosedur audit.Sebelum penelitian memeriksa apakah auditormempertimbangkan pengendalian risiko ketika mereka menentukan sifat pengujian (yaitu,

yang prosedur audit untuk digunakan) memberikan hasil yang bertentangan.Tulisan ini

menambah baris ini penyelidikan dengan memeriksa hubungan antara penilaian risiko kontroldan komputer terkait penggunaan prosedur audit.A-berdasarkan kuesioner lapangandigunakan untuk mengumpulkan data dari 140 auditor yang mewakili Big 4,, regional, dan

lokal perusahaan nasional.Hasil menunjukkan bahwa 40 persen responden menunjukkanbahwa mereka bergantung pada kontrol internal dan pengendalian risiko sehingga dinilaikurang dari maksimal, namun persentase ini meningkat secara signifikan untuk auditor di Big

4 perusahaan.Auditor yang menilai risiko kontrol di bawah maksimum lebih cenderungmenggunakan prosedur-audit terkait komputer dan IT spesialis dari auditor yang tidak

bergantung pada kontrol.Secara keseluruhan, berbeda dengan beberapa riset sebelumnya,kami menyarankan bahwa hasil penilaian risiko kontrol melakukan mempengaruhi sifat

pengujian audit, dan memberikan wawasan setter standar bagaimana menyesuaikan programaudit auditor dalam menanggapi penilaian risiko kontrol mereka.

Kata kunci: audit terkait prosedur-komputer; pengendalian penilaian risiko, perencanaanaudit; TI

spesialis; ukuran perusahaan.

Ketersediaan data: Data yang digunakan dalam studi ini tersedia dari penulis pertama ataspermintaan.


Penilaian Risiko Kontrol dan Audit Terkait Prosedur-Komputer

PENDAHULUAN

perencanaan Audit adalah penting untuk melakukan suatu audit yang efisien dan efektif.Kegagalan untuk merencanakan pertunangan dengan benar dapat menyebabkan penerbitanlaporan keuangan misstated, laporan audit tidak pantas, atau audit yang tidak efektif biaya

(Messier 2003, 171).Perencanaan audit sering dicirikan sebagai proses dua tahap penilaianrisiko dan perencanaan bukti berikutnya (Mock dan Wright 1999).Penilaian risikomembutuhkan auditor untuk mengidentifikasi faktor-faktor yang terkait dengan risiko inherendan risiko kontrol, dan menghitung risiko deteksi bukti. 1 Selama perencanaan, auditormenentukan sifat, waktu, dan luasnya prosedur audit berdasarkan hasil dari proses penilaianrisiko. 2 Terlepas dari pentingnya kedua penilaian risiko dan perencanaan bukti dalammengembangkan audit efisien dan efektif, beberapa studi telah meneliti hubungan antara

penilaian risiko dan perencanaan bukti (Bdard et al). 1999. Selain itu, beberapa studi yangtelah meneliti hubungan ini telah memberi hasil beragam.


3/35

Penelitian kami berkonsentrasi pada pengendalian risiko karena kemajuan teknologiinformasi klien (TI) yang cepat mengubah cara auditor mengevaluasi pengendalian risiko.Sebagai contoh, SAS 94 alert auditor yang menilai pengendalian risiko maksimal dan hanyamengandalkan pada pengujian substantif mungkin tidak efektif untuk klien dengan sangatkomputerisasi sistem pelaporan keuangan (AICPA 2001). Sebaliknya, auditor disarankan

untuk mempertimbangkan menggunakan prosedur audit yang terkait-komputer, termasuk TIspesialis, ketika mereka memperoleh pemahaman tentang pengendalian internal klien selama

perencanaan audit (AICPA 2005a, 319,29-32). Selain itu, Perusahaan Publik AkuntansiPengawasan Dewan (PCAOB) Standar Audit No 2 memerlukan auditor dari semua

perusahaan publik untuk mengungkapkan pendapat atas efektivitas pengendalian internalsistem klien atas laporan keuangan (PCAOB 2004).

Tujuan penelitian ini adalah untuk menguji hubungan antara penilaian risiko kontrol dan sifatperencanaan bukti dengan mengeksplorasi apakah auditor yang menilai risiko kontrol dibawah maksimum (dan karena itu bergantung pada kontrol internal) lebih cenderungmenggunakan prosedur-audit terkait komputer. Kami meneliti hubungan ini melalui

instrumen berbasis lapangan diselesaikan oleh 140 auditor yang mewakili Big 4,, regional,dan lokal perusahaan nasional. Hasil penelitian menunjukkan bahwa 40 persen respondenmenilai risiko kontrol kurang dari maksimum, sekitar dua kali lipat tingkat yang ditemukan

dalam penelitian sebelumnya (Waller 1993 ).Auditor yang menilai risiko kontrol di bawahmaksimum lebih cenderung menggunakan prosedur-audit terkait komputer dan IT spesialis

dari auditor yang tidak bergantung pada kontrol.Selain itu, karena perusahaan-perusahaanbesar lebih mungkin untuk audit klien dengan sistem pelaporan keuangan yang kompleks IT,kita memeriksa apakah perusahaan-perusahaan besar lebih mungkin untuk menilai risiko

kontrol di bawah maksimum dan komputer terkait prosedur audit digunakan. Temuanmenunjukkan bahwa Big 4 auditor lebih cenderung untuk menilai risiko kontrol di bawah

maksimum dan untuk menggunakan prosedur-audit terkait komputer dan IT spesialisdaripada auditor yang dipekerjakan oleh perusahaan-perusahaan kecil.

Penelitian ini penting karena: (1) kegagalan untuk mempertimbangkan risiko kontrol untukklien dengan sangat komputerisasi sistem pelaporan keuangan dapat menyebabkan auditefisiensi dan efektivitas isu (AICPA 2001; Mock dan Wright 1999), (2) standar audit yang

baru-baru ini menunjukkan bahwa auditor mempertimbangkan mengendalikan risiko selamaperencanaan audit ketika mereka memeriksa klien dengan sangat komputerisasi sistempelaporan keuangan (AICPA 2001, AICPA 2002b), (3) dan penentu standar praktisiberpendapat bahwa pengendalian risiko mengevaluasi dapat meningkatkan efektivitas audit(AICPA 2005b; Bdard et al. 2005), dan (4) pemahaman sejauh mana auditor saat ini

mempertimbangkan risiko pengendalian dapat memberikan bimbingan kepada PerusahaanPublik Akuntansi Dewan Pengawas (PCAOB) Standing Advisory Group dan Dewan StandarAuditing sebagai kelompok-kelompok ini memeriksa standar eksposur risiko (AICPA 2005b;PCAOB 2005).

Sisa kertas diatur sebagai berikut.Pada bagian berikutnya kita kajian literatur yang relevandan mengembangkan pertanyaan penelitian.Selanjutnya, kita membahas metodologi danmenyajikan hasil penelitian kami.Akhirnya, kami membahas dampak dari hasil danmemberikan implikasi penting untuk penelitian masa depan.

TINJAUAN LITERATUR PENGEMBANGAN DAN PERTANYAAN PENELITIAN


4/35

Audit perencanaan melibatkan dua-tahap: pengkajian risiko dan perencanaan atas kenyataan

(Mock dan Wright 1999).Menurut standar audit, penilaian risiko mencakupmempertimbangkan tiga komponen risiko: resiko, risiko pengendalian, dan risiko deteksi

(AICPA 2005a, AU 312,27).Makalah ini membahas pengendalian risiko karena (1)perubahan yang cepat di klien TI mempengaruhi bagaimana auditor menilai risiko kontrol,dan (2) risiko kontrol adalah subyek baru-baru ini PCAOB standar No 2 (PCAOB

2004).Standar kedua lapangan menggambarkan hubungan antara penilaian risiko kontrol danperencanaan pembuktian dengan mencatat bahwa auditor harus memperoleh pemahamanpengendalian internal yang memadai untuk merencanakan audit dan untuk menentukan sifat,waktu, dan sejauh mana tes yang harus dilakukan (AICPA 2005a, 150,02 AU).

arsip dan eksperimental Penelitian sebelumnya menunjukkan bahwa auditor yang agak

sensitif terhadap faktor risiko klien (Mock dan Wright 1999).Namun, ada hasil yang

bertentangan mengenai apakah rencana program selanjutnya disesuaikan dengan risikoini.arsip Beberapa studi telah dilakukan untuk menilai apakah perencanaan pembuktianadaptif terhadap variasi dalam penilaian risiko.Bdard (1989) memberikan temuan awal

perencanaan pembuktian dalam praktek.hasil nya menunjukkan bahwa tingkat prosedurberkurang bila hasil masa lalu yang menguntungkan tetapi tidak meningkat ketika kesalahan

sebelum ditemukan.Mock dan Wright (1993) menemukan hubungan yang signifikan antarasifat direncanakan atau luas prosedur untuk perubahan risiko, menyatakan bahwa rencana

program yang tidak disesuaikan dengan perubahan risiko.O'Keefe et al.(1994) dan Bell etal.(1994) melaporkan bahwa program audit yang disesuaikan dengan risiko yang melekattapi tidak untuk mengendalikan risiko dan. Mock Wright (1999) menunjukkan bahwa

program audit berubah sedikit lebih banyak waktu dengan tes dilakukan seluruh arrayengagement. Johnstone Bdard (2001) menemukan bahwa klien faktor risiko memiliki

pengaruh yang kecil pada tingkat jam audit direncanakan tetapi tidak mempengaruhi

penjadwalan pakar industri dan spesialis berisiko tinggi.Akhirnya, Penatua dan Allen (2003)meneliti keputusan ukuran sampel (bukan jam audit) untuk menentukan apakah penilaianrisiko auditor mempengaruhi luasnya prosedur audit. Sementara mereka menemukan

beberapa bukti adanya hubungan antara risiko yang melekat dan ukuran sampel, mereka

hanya menemukan terbatas bukti hubungan yang serupa untuk pengendalian risiko.Secarabersama-sama, hasil dari studi arsip menunjukkan bahwa rencana audit program biasanyatidak tepat risiko-disesuaikan dalam praktek.

penelitian eksperimental juga telah dilakukan di daerah ini, meskipun dengan hasil yang

bertentangan.Biggs et al.(1988) melakukan penelitian protokol verbal untuk menilaihubungan antara penyesuaian program audit untuk klien risiko usaha. Audit ditemukan

bervariasi secara langsung jika risiko klien meningkat. Menariknya, audit tidak Sejalan

dengan upaya penurunan jika risiko klien berkurang.Wright (1988) menguji apakah kertaskerja sebelumnya menjabat sebagai jangkar di mana auditor melakukan penyesuaian program

setelah perubahan risiko klien.Dia menemukan bahwa rencana pembuktian disesuaikanuntuk perubahan risiko klien, tetapi penyesuaian tidak efisien sebagai hasil dari pengulangan

yang tidak perlu tes.Bdard dan Wright (1994) menguji generalisasi Mock dan Wright(1993) dalam konteks percobaan.Mereka menemukan bahwa keputusan perencanaan

program audit tidak berkaitan erat dengan risiko penilaian.Sebaliknya, Hill (2001) Hasilpenelitian menunjukkan bahwa auditor sensitif terhadap informasi kesalahan sebelumnya


5/35

dalam menyesuaikan rencana audit.Akhirnya, Bierstaker dan Wright (2005) mencobamendamaikan temuan-temuan yang saling bertentangan.Mereka menunjukkan bahwa adainteraksi yang signifikan antara risiko penilaian auditor dan preferensi mitra.Ketika ada

preferensi partner untuk efisiensi, meskipun auditor diakui risiko lebih tinggi dibandingkandengan tahun sebelumnya, mereka tidak Sejalan dengan mengubah program rencana

audit.Sebaliknya, keinginan mitra seimbang menyebabkan penilaian risiko yang lebih tinggidan lebih banyak sesuai tes dan jam daripada kondisi efisiensi. 3

Pengaruh TI di Alam Perencanaan Audit

Klien risiko dampak auditor pendekatan dalam rangka untuk memberikan jaminan bahwa

laporan keuangan dapat mencerminkan kegiatan ekonomi yang mendasari entitas.Untukklien dengan sistem komputerisasi yang sangat keuangan, auditor tidak dapat lagi

mengabaikan masalah IT dan "audit sekitar komputer" (AICPA 2001).Klien masalah ITtidak mengubah tujuan audit, namun mereka dapat mempengaruhi sifat, waktu, dan luas

prosedur audit (Messier 2003, 257).Misalnya, alih-alih vouching transaksi pembelian sampelsecara manual kembali ke daftar vendor preauthorized, auditor dapat men-download filetransaksi dan menggunakan CAATs untuk memverifikasi bahwa setiap pembelian melibatkanvendor preauthorized klien. Berbagai jenis auditor TI hadir dengan set yang berbeda risiko

dan dengan demikian memerlukan prosedur audit yang berbeda.Untuk menggambarkan,karena masalah keamanan, auditor lebih cenderung untuk menguji kontrol akses untuk kliendengan sistem ERP.Sebaliknya, karena kekhawatiran pengolahan, auditor lebih cenderunguntuk melakukan recalculations untuk klien yang mempekerjakan lebih tua metodologi TI(Wright dan Wright 2002).

Pertanyaan Penelitian

Studi ini mengkaji dampak risiko kontrol pada perencanaan pembuktian, dan khususnya sifat

terkait audit prosedur-komputer.Beberapa auditor berpendapat bahwa pengaturanpengendalian risiko maksimum lebih efisien daripada pengujian dan mengandalkan padapengendalian internal yang efektif, walaupun sekarang tombol kontrol harus diuji untuksemua dimiliki perusahaan publik (PCAOB 2004). Namun, karena meningkatnyakompleksitas klien pelaporan keuangan terkomputerisasi sistem, SAS 94 auditor tanda bahwamungkin tidak layak untuk mengatur pengendalian risiko maksimum dan mengabaikankontrol TI (AICPA 2001). Bagi para klien, auditor mungkin harus menggunakan prosedur-audit yang terkait komputer. Sebagai contoh, auditor mungkin tidak dapat mengevaluasi klien

dengan sangat komputerisasi sistem pelaporan keuangan tanpa memperoleh catatanelektronik dari klien atau menggunakan teknik-audit dibantu komputer (CAATs).Singkatnya,untuk klien dengan sangat komputerisasi sistem pelaporan keuangan, pengaturan

pengendalian risiko di maksimum dapat membahayakan audit efektivitas dan efisiensi, danmungkin lebih mungkin bahwa auditor akan menggunakan prosedur audit yang terkait-

komputer.Sejak penelitian sebelumnya telah menemukan hasil yang bertentangan mengenaiapakah rencana program selanjutnya disesuaikan dengan risiko dan penelitian sebelumnyasedikit telah langsung memeriksa sifat perencanaan audit, kami mengajukan pertanyaan

penelitian sebagai berikut:

RQ1a: Apakah penggunaan terkait audit prosedur-komputer berbeda-beda

menurut penilaian risiko kontrol?


6/35

terkait audit prosedur-Komputer bervariasi dari meminta klien memberikan catatan elektronikuntuk pengujian dan umum kontrol otomatis untuk penggunaan IT spesialis 2000.Penggunaan TI spesialis baru-baru ini penelitian yang signifikan menarik bunga (Curtis dan

Viator; Brazel 2004; Brazel dan Agoglia 2004 ; Hunton et al). 2004.SAS 94 menunjukkanbahwa auditor mempertimbangkan beberapa faktor yang mempengaruhi bagaimana auditor

menilai risiko kontrol ketika memutuskan apakah akan menggunakan IT spesialis. Faktor-faktor tersebut meliputi: (1) kompleksitas klien TI, (2) pentingnya perubahan yang dibuatterhadap sistem klien yang ada atau pelaksanaan sistem baru, (3) sejauh mana data bersamaantara sistem klien, (4) klien menggunakan teknologi baru, dan (5) pentingnya bukti audit

yang tersedia hanya dalam bentuk elektronik (AICPA 2005a, AU 319,31).Jadi, kamimeminta khusus jika penggunaan spesialis TI, jenis audit yang terkait prosedur-komputer,

bervariasi tergantung pada apakah auditor menilai risiko kontrol di maksimum ataumemutuskan untuk mengandalkan kontrol internal:

RQ1b: Apakah penggunaan IT spesialis berbeda-beda menurut penilaian

risiko kontrol?

Perusahaan besar dengan sifatnya memiliki lebih banyak sumber daya yang tersedia untukmereka dan memiliki basis operasi internasional yang lebih besar di mana untuk merespon

perkembangan dan kebutuhan dari klien perusahaan-perusahaan kecil (palmrose 1986;Intisari dan Davidson 1999). Perbedaan ini dapat mewujudkan diri dalam cara di mana

perusahaan-perusahaan besar menggunakan prosedur audit komputer serta perencanaan auditmereka secara keseluruhan. Artinya, perusahaan audit yang lebih besar lebih adaptif dalammenyesuaikan prosedur audit mereka untuk memenuhi perubahan lingkungan dibandingkan

perusahaan kecil (Brierley dan Gwilliam 2001). Sebagai contoh , gerakan menuju pendekatanaudit berbasis risiko dipimpin oleh dua orang (kemudian) Big 5 perusahaan (Bell et al;. 1997

Winograd et al. 2000). Demikian juga, kami berharap bahwa perusahaan-perusahaan besarakan lebih cenderung untuk menyesuaikan mereka audit prosedur untuk perubahan di klienTI dengan memasukkan prosedur yang berkaitan dengan komputer lebih. Dari catatan khususadalah prosedur yang melibatkan penggunaan IT spesialis. Sejak perusahaan besar umumnyamemiliki sumber daya lebih, mereka mungkin lebih cenderung mempekerjakan spesialis TIdari perusahaan-perusahaan kecil.

Selanjutnya, auditor yang dipekerjakan oleh perusahaan-perusahaan besar lebih mungkinuntuk melakukan audit klien yang lebih besar dengan komputerisasi transaksi tinggi dansistem pelaporan keuangan. Mengingat fakta bahwa standar audit yang baru-baru inimenyarankan auditor untuk mempertimbangkan mengandalkan kontrol internal untuk klien

dengan komputerisasi transaksi tinggi dan sistem pelaporan keuangan, kami Dugaan yangmengontrol penilaian risiko mungkin berbeda dengan ukuran perusahaan. Diskusi inimengarah pada pertanyaan penelitian sebagai berikut:

RQ2a: Apakah penggunaan terkait audit prosedur-komputer berbeda-beda

menurut ukuran perusahaan?

RQ2b: Apakah penggunaan IT spesialis berbeda-beda menurut ukuran

perusahaan?

RQ2c: Apakah penilaian risiko kontrol berbeda-beda menurut ukuranperusahaan?


7/35

Akhirnya, jika kita menemukan bahwa perusahaan besar lebih mungkin untuk menilai risikokontrol di bawah maksimum, kami berharap bahwa perusahaan-perusahaan ini juga lebih

cenderung menggunakan prosedur audit yang terkait-komputer termasuk TI spesialis.Jadi,kami meminta:

RQ3a: Apakah hubungan antara terkait audit prosedur-komputer danpenilaian risiko kontrol berbeda-beda menurut ukuran perusahaan?

RQ3b: Apakah hubungan antara penggunaan IT spesialis dan penilaian risiko

kontrol berbeda-beda menurut ukuran perusahaan?

METODE

Peserta

Para peserta termasuk 140 auditor yang mewakili Big 4,, regional, dan lokal perusahaannasional.Satu auditor menghadiri seminar pelatihan AICPA untuk mendapatkan tanggapandari 109 auditor dari tingkat nasional, regional dan lokal perusahaan.Kami jugamenghubungi kantor lokal dari setiap perusahaan 4 Besar dan satu perusahaan nasional. Darikontak ini, kami mengumpulkan data dari 31 auditor.

Seperti terlihat pada Tabel 1, responden rata-rata 13,7 tahun pengalaman audit keuangan danusia rata-rata mereka adalah 37,9 tahun. Banyak peserta (87,1 persen) yang diadakan

sertifikat BPA.Sebagian besar responden (71,0 persen) adalah laki-laki.Peserta bekerjauntuk berbagai perusahaan; 47,8 persen dari peserta yang bekerja di perusahaan lokal, 19,1

persen pada perusahaan daerah, 11,0 persen di perusahaan nasional, dan 22,0 persen di Big 4

perusahaan.

[INSERT TABEL 1]

Instrumen Pengembangan dan Validasi

Jenis Prosedur Audit Terkait Komputer

Dalam mengembangkan instrumen berbasis lapangan, kami mencari beberapa sumber dimana untuk mendapatkan bukti yang kredibel pada hubungan antara penilaian risiko kontrol

dan komputer yang terkait dengan penggunaan prosedur audit.Secara khusus, kami diperiksaterkait audit prosedur-komputer dari SAS 94 96,, 99, 100, dan standar eksposur risiko audityang diusulkan dijelaskan di bawah ini.

Recent standar mengkodifikasikan bagaimana klien meningkat penggunaan TI dan risikoyang terkait dapat memberikan dampak terkait audit prosedur-komputer (AICPA 2001,2002a, 2002b, 2002c).Misalnya, SAS 94 menggambarkan bagaimana dampak TI klien

pertimbangan auditor internal dan kontrol menunjukkan bahwa auditor TI termasuk klienketika mengkaji risiko (AICPA 2001, AU 319,39).Auditor diharapkan untuk memperoleh

pemahaman tentang sistem klien dan proses bisnis dengan memeriksa (1) transaksi yangsignifikan mendukung keuangan laporan klien, (2) prosedur yang digunakan untuk memulai,

merekam, memproses dan melaporkan transaksi, (3) cara-cara yang itu sistem klienmenangkap peristiwa dan kondisi (selain transaksi), dan (4) proses yang digunakan untuk


8/35

menyiapkan laporan keuangan klien (AICPA 2001, AU 319,49-51)). Auditor juga didorong

untuk meninjau kontrol otomatis (AICPA 2001, AU 319,44, 319,45.Mengingat pentingnyakontrol ini, auditor perlu menentukan apakah kendali ini berfungsi sebagaimana dimaksuddan terus beroperasi secara efektif (AICPA 2001, AU 319,78) kontrol otomatis. Mencakupaplikasi dan kontrol umum (misalnya, program pengendalian perubahan, kontrol akses, dan

sistem kontrol perangkat lunak). 4

SAS 99 codifies prosedur deteksi penipuan tertentu yang berhubungan dengan klien TI

evaluasi.Sebagai contoh, auditor juga dianjurkan untuk mempertimbangkan bagaimana kliendapat menggunakan TI untuk melakukan penipuan.Auditor dapat menggunakan teknikaplikasi audit terkomputerisasi (CAATs) untuk mengevaluasi resiko penipuan ini (AICPA2002b, AU 316,52), dan mengidentifikasi entri jurnal dan penyesuaian lain yang akan diuji(AICPA 2002b, AU 316,61).

Risiko standar audit yang diusulkan (AICPA 2002d) 5 memperluas beberapa SAS 94

konsep.Standar yang diusulkan pada bukti audit menunjukkan bahwa mempekerjakanauditor CAATS untuk memeriksa akurasi summarization dari file atau kembali melakukanprosedur (misalnya, umur piutang, dll) (AICPA 2002d, AU 308,33-34). Diusulkan Risikoeksposur standar prosedur audit kinerja sebagai respon terhadap risiko dinilai danmengevaluasi bukti audit yang diperoleh menunjukkan bahwa auditor dapat menggunakanCAATs untuk: (1) transaksi sampel pilih dari file kunci elektronik, (2) seperti transaksidengan karakteristik tertentu, (3) sebuah tes seluruh penduduk bukan sampel, (4)mendapatkan bukti tentang efektivitas pengendalian, dan (5) mengevaluasi keberadaan dankelengkapan persediaan (AICPA 2002d; AU 327,19, 327,27, 327 Lampiran).

Mungkin ada situasi tertentu (misalnya, klien penting yang berkaitan dengan IT risiko dan /

atau auditor terbatas keahlian TI) yang perlu untuk memanfaatkan spesialis TI. Berdasarkanpenelitian sebelumnya, kami mempertimbangkan penggunaan spesialis TI sebagai proseduryang terkait dengan komputer (Hutton et al). 2004. Kami menguji apakah auditormenggunakan IT spesialis untuk melakukan prosedur berikut seperti yang disarankan oleh

perencanaan yang diusulkan dan standar pengawasan: (1) pertanyaan dari klien TI personiltentang cara transaksi dimulai, dicatat, diproses, dan dilaporkan, dan bagaimana TI didesainkontrol, (2) periksa dokumentasi sistem, (3) mengamati pengoperasian TI kontrol, dan (4)rencana dan tes melakukan kontrol TI (AICPA 2002d; AU 314,15).

Pilot Penguji an

Untuk meningkatkan pembangunan validitas dari instrumen berbasis lapangan (Cook dan

Campbell 1979), kami melakukan dua putaran uji coba.Di babak pertama, empat penelitidengan pengetahuan audit yang signifikan dan sistem diperiksa dan revisi

instrumen.Instrumen direvisi kemudian pilot diuji dengan delapan auditor dari empatperusahaan (termasuk Big 4, nasional, regional, dan lokal) dengan rata-rata 5,4 tahunpengalaman.

Pilot pengujian kami umpan balik yang diberikan pada dua masalah desain instrumentertentu. Pertama, kita awalnya dianggap meminta responden apakah mereka menggunakan

setiap prosedur audit dalam audit khas.Namun, karena luas keragaman klien IT, kami

meminta responden untuk memilih salah satu klien dengan komputerisasi transaksi tinggi dansistem pelaporan keuangan dan menunjukkan apakah mereka menggunakan setiap prosedur


9/35

audit yang dipilih klien.Pilot peserta penelitian menegaskan bahwa meminta prosedurpenggunaan audit untuk klienyang dipilih menyediakan data yang bersih.Satu pesertadiringkas masalah sebagai berikut: "klien saya berkisar dari perusahaan-perusahaan kecildengan dasar sistem buku besar umum untuk organisasi yang telah mengadopsi sistem

perencanaan perusahaan. Menanyakan saya apakah (atau bahkan sejauh) saya menggunakan

prosedur audit tertentu, seperti CAATs untuk mengevaluasi keberadaan persediaan dankelengkapan, dalam audit yang khas tidak masuk akal. "

Kedua, setelah kami menentukan bahwa meminta klien dipilih penggunaan lebih tepat, kitaawalnya diusulkan bahwa responden menilai tingkat penggunaan untuk setiap prosedur audituntuk klienyang dipilihpada skala 1 = tidak ada sampai 7 = luas. Responden menunjukkan

bahwa mereka baik menggunakan atau tidak menggunakan setiap prosedur audit.Penilaiansejauh mana prosedur penggunaan audit untuk klienyang dipilih sulit dan nilai

dipertanyakan.Oleh karena itu, prosedur audit kami mengukur penggunaan adalah dikotomis.

Masalah Pengukuran

Seperti disebutkan di atas, sejak komputer terkait penggunaan audit prosedur bervariasisecara signifikan oleh audit, responden diminta untuk memilih salah satu audit mereka yangdilakukan dalam tahun terakhir untuk satu klien dengan komputerisasi transaksi tinggi dan

sistem pelaporan keuangan.Untuk mengukur penilaian risiko kontrol, respondenmenunjukkan apakah mereka menilai pengendalian risiko di bawah tingkat maksimum karena

komputerisasi transaksi tinggi dan sistem pelaporan keuangan untuk klien yang dipilih.Kamimenggunakan dua ukuran penggunaan IT spesialis,. Pertama responden menunjukkan jika

mereka menggunakan spesialis TI selama audit untuk klien yang dipilih. Kedua, respondenmenunjukkan jika mereka menggunakan IT spesialis untuk melakukan empat prosedur auditkhusus (yaitu, meminta petunjuk klien personil IT, periksa dokumentasi sistem, amati TIkontrol, dan uji kontrol TI) untuk klien yang dipilih.

ukuran perusahaan diukur dengan empat kategori: Big 4 nasional, regional, dan lokal

perusahaan,.Sebelum penelitian pada umumnya membandingkan data dari Big 4 perusahaanuntuk perusahaan-perusahaan kecil (Manson et al). 1997, 1998. Kami membandingkantanggapan diperoleh antara keempat kategori dan menemukan beberapa perbedaan yang

sangat antara, regional, dan lokal respons nasional.Jadi, ukuran perusahaan kamidikelompokkan menjadi Big 4 vs perusahaan kecil (yaitu, nasional, regional, dan lokal) untukkeperluan analisis statistik.

Konsisten dengan penelitian baru-baru ini di klien dan perencanaan audit TI (Bdard et al).2005, kita mengukur yang berhubungan dengan prosedur audit penggunaan komputer pada

tingkat individu.Selama pengembangan penelitian tahap awal kami, kami dianggap baikuntuk mengukur yang berhubungan dengan prosedur audit penggunaan komputer di

perusahaan atau tingkat individu.Mendapatkan data penggunaan prosedur audit pada tingkatperusahaan akan membutuhkan pemeriksaan yang ekstensif manual audit dan wawancara

dengan personil kunci di setiap perusahaan audit.Ini akan menjadi usaha yang sangatmemakan waktu yang sangat akan membatasi jumlah perusahaan kita bisa memeriksa. Jadi,karena salah satu tujuan penelitian kami adalah untuk mengembangkan penelitian

sebelumnya dengan memeriksa apakah prosedur audit penggunaan bervariasi berdasarkan


10/35

ukuran perusahaan, kami memilih untuk mengukur prosedur penggunaan pada tingkatindividu.

HASIL

Statistik Deskriptif

Tabel 2 menampilkan karakteristik demografi dan audit untuk dipilihklien.ukuran aset Klienbervariasi dengan rata-rata yang dilaporkan pada $ 714.449.153.Rata-rata, responden menilaikompleksitas TI untuk klien yang dipilih mereka sebagai 5,25 pada titik skala tujuh berlabuh

pada tanggal 1 manual pengolahan = dan 7 = sangat otomatis sistem pelaporan keuangan.Enam puluh dua persen peringkat yang dipilih klien peran teknologi informasi sebagaiinformate up / bawah. 6

[INSERT TABEL 2]

Sekitar 40 persen responden menilai risiko kontrol di bawah tingkat maksimum sedangkan 60

persen tidak.Empat puluh lima persen menghabiskan waktu 1-3 minggu hasil pemeriksaan,29 persen menghabiskan waktu 1 bulan, dan 26 persen menghabiskan lebih dari 2

bulan.Mayoritas (64,1 persen) menjawab bahwa seorang spesialis TI yang tidakdigunakanselama audit yang dipilih.Metode pengumpulan bukti yang paling umum adalahmenggunakan kedua metode kertas dan elektronik (87,7 persen) dibandingkan dengan ketat

bukti kertas (11,5 persen) atau hanya bukti elektronik (0,8 persen).Akhirnya, standarmenunjukkan bahwa auditor mungkin diperlukan untuk membuat perubahan pada permintaaninformasi dan / atau prosedur audit karena kebijakan data elektronik retensi klien. 7 Sebagian

besar responden (66,4 persen) tidak membuat perubahan pada permintaan informasi dan /

atau prosedur audit karena klien elektronik data retensi kebijakan yang dipilih.

statistik deskriptif menunjukkan bahwa audit penggunaan prosedur bervariasi secara

signifikan (lihat Tabel 3).Sebagian besar responden menganggap klien TI dalam prosespenilaian risiko (RiskAssess) (85,04 persen), memperoleh pemahaman tentang sistem kliendan proses bisnis (berkisar antara 77,52 persen untuk mengkaji proses yang digunakan untukmempersiapkan keuangan laporan klien (FSProc) untuk 93,08 persen untuk memeriksatransaksi signifikan yang mendukung laporan keuangan klien (SIGTRAN)), dan meminta

klien mereka memberikan catatan elektronik (ERecord) (90,84 persen).Persen respondenyang menggunakan otomatis, aplikasi, dan pengendalian umum bervariasi dari 48,06 persen

untuk pengujian kontrol otomatis untuk menentukan apakah mereka berfungsi secara efektifselama periode audit (ACEffect) untuk 65,87 persen untuk mengevaluasi kontrol akses

(AccessGC).Namun, kurang dari 50 persen responden digunakan CAATs (berkisar antara26,77 persen untuk menggunakan CAATs untuk mengevaluasi risiko penipuan (FraudCAAT)untuk 48,41 persen untuk menggunakan CAATs untuk memilih transaksi sampel(SampleCAAT)) atau seorang IT spesialis (berkisar antara 31,82 persen untuk penggunaan ITspesialis untuk merencanakan dan melaksanakan tes kontrol TI (SpecTest) untuk 43,94

persen untuk penggunaan IT spesialis untuk menanyakan tentang klien TI pengolahan(SpecInquiry)).

[INSERT TABEL 3]

Pertanyaan Satu Temuan Penelitian


11/35

Untuk menentukan apakah kontrol pengkajian risiko yang berkaitan dengan prosedur audityang terkait dengan penggunaan komputer (misalnya, RQ1a), kami membandingkantanggapan dari auditor yang dinilai risiko kontrol di bawah maksimum (39,6 persen - lihatTabel 2) untuk orang-orang yang mengatur pengendalian risiko maksimum melalui t -tes

(60,4 persen - lihat Tabel 2).Seperti ditunjukkan dalam Tabel 4, hasil menunjukkan bahwa

auditor yang mengandalkan kontrol (yang dinilai pengendalian risiko di bawah maksimum)lebih cenderung menggunakan prosedur-audit terkait komputer.Secara khusus, respondenyang mengandalkan kontrol lebih mungkin untuk mempertimbangkan masalah IT kliendalam penilaian risiko penilaian mereka, uji kontrol otomatis, perubahan mengevaluasi

program dan kontrol akses umum, CAATS digunakan untuk beberapa tugas, dan penggunaanaudit TI spesialis untuk melakukan beberapa tugas.

[INSERT TABEL 4]

RQ1b bertanya apakah penggunaan IT spesialis beragam menurut penilaian risiko kontrol.

Untuk menguji RQ1b, kami melakukan dua analisis.Pertama, dari Tabel 4 seperti disebutkandi atas, ada perbedaan yang signifikan dalam prosedur penggunaan audit antara respondenyang menilai risiko pengendalian maksimum dan mereka yang bergantung pada kontrolinternal untuk semua prosedur menggunakan IT spesialis audit (yaitu, meminta petunjukklien TI personil tentang bagaimana data dan transaksi tersebut dicatat dan kontrol TIdirancang, periksa dokumentasi sistem, amati operasi TI kontrol, dan merencanakan danmelaksanakan tes kontrol TI) dan. Kedua, kita tabulasi silang spesialis IT penggunaan

penilaian risiko kontrol. Hasil, ditampilkan pada Tabel 5, menunjukkan bahwa 29 dari 52responden (56 persen) yang menilai kontrol di bawah maksimum juga menggunakan ITspesialis sementara hanya 20 dari 79 responden (25 persen) yang menilai pengendalian risiko

maksimum yang digunakan TI spesialis.hasil Chi Square menunjukkan bahwa hubungan ini

secara statistik signifikan (nilai Chi-square = 12,42; p = 0,001).8

[INSERT TABEL 5]

Pertanyaan Dua Temuan Penelitian

Selanjutnya, kita memeriksaapakah komputer yang berhubungan dengan penggunaanprosedur audit (RQ2a), penggunaan IT spesialis (RQ2b) dan kontrol penilaian risiko (RQ2c)

berbeda-beda menurut ukuran perusahaan.Untuk menguji hubungan antara penggunaanprosedur audit yang terkait dengan komputer dan ukuran perusahaan, kami mengikuti

metodologi yang sama digunakan untuk menguji RQ1a, yang, kami menggunakan t-tes untukmembandingkan penggunaan oleh ukuran perusahaan,. Hasil untuk RQ2a ditunjukkan padaTabel 6, menunjukkan bahwa Big 4 perusahaan cenderung menggunakan komputer terkaitaudit prosedur-beberapa seperti mempertimbangkan klien TI dalam proses penilaian risiko,memperoleh pemahaman tentang klien sistem dan proses dengan memeriksa bagaimanasistem menangkap peristiwa penting dan menyiapkan laporan keuangan, pengujian kontrolotomatis, mengevaluasi kontrol komputer umum, menggunakan CAATS untuk (1)mengevaluasi risiko penipuan, (2) mengidentifikasi entri jurnal untuk diuji, (3) mendapatkan

bukti tentang efektivitas pengendalian, dan (4) mengevaluasi keberadaan persediaan dankelengkapan, mendapatkan catatan elektronik , dan menggunakan IT spesialis untukmelakukan beberapa prosedur.

[INSERT TABEL 6]


12/35

Kami melakukan dua analisis untuk menguji apakah penggunaan spesialis TI bervariasi

berdasarkan ukuran perusahaan (misalnya, RQ2b).First, from Table 6, we note thatrespondents from Big 4 firms were significantly more likely to use IT specialists to inquire ofclient IT personnel, inspect systems documentation, observe the operations of IT controls,and plan and perform tests of IT controls than auditors from non-Big 4 firms. Second, we

cross-tabulated IT specialists and firm size. Results, shown in Table 7, indicate that 26 of the30 respondents (87 percent) employed by Big 4 firms used IT specialists while only 22 of the98 respondents (22 percent) from national, regional, and local firms used IT specialists. Chi-square analysis indicates this relationship is statistically significant (Chi-square value =45.63; p = 0.001).

[INSERT TABLE 7]

Finally, to examine whether control risk assessments vary by firm size (ie, RQ2c), we cross-tabulated control risk assessments with firm size. Results for RQ2c, shown in Table 8,indicate that 20 of the 30 respondents (67 percent) employed by Big 4 firms assessed controlrisk less than maximum while only 29 of the 100 respondents (29 percent) from national,regional, and local firms relied on internal controls. Based upon a chi-square analysis, thisrelationship is statistically significant (Chi-square value = 17.01; p = 0.001).

[INSERT TABLE 8]

Research Question Three Findings

To examine whether the relationship between computer-related audit procedures andcontrol risk assessment examined in RQ1a holds for both large and small firms (ie, RQ3a),

we split the respondents into two groups based on firm size: Big 4 firms and non-Big 4 firms(ie, national, regional and local). Within each group, we conducted t-tests similar to ouranalysis for RQ1a. Results, shown in Table 9, indicate that firm size may be a significantfactor in the relationship between computer-related audit procedures and control riskassessment. As shown in Panel A, there is only one difference in audit procedure usage

between respondents from Big 4 firms who relied on internal controls and those who assessedcontrol risk at maximum. As noted in our conclusion, additional research is needed beforerelying on these results due to the lower Big 4 cell sizes. In contrast, as shown in Table 9,Panel B, non-Big 4 respondents who assessed control risk below maximum were more likelyto consider client IT in the risk assessment process, use several types of CAATs, obtainelectronic records, and use IT specialists to perform some audit procedures when compared to

non-Big 4 auditors who assessed control risk at maximum.

[INSERT TABLE 9]

Finally, we examine whether the relationship between use of IT specialists and control riskassessment examined in RQ1b holds for both Big 4 and smaller firms (ie, RQ3b). Twoanalyses were performed. First, from Table 9, Panel A, we note no differences in IT specialistusage for specific procedures between Big 4 respondents who relied on internal controls andthose who assessed control risk at maximum. In contrast, results shown in Table 9, Panel Bindicate that non-Big 4 respondents who relied on internal controls were more likely to use ITspecialists to inspect system documentation, observe the operations of IT controls, and plan

and perform tests of IT controls as compared to non-Big 4 auditors who assessed control riskat the maximum. Second, we split our responses into Big 4 vs. non-Big 4 firms and cross-


13/35

tabulated the use of IT specialists and control risk assessment for each group. Results, fromTable 10, Panel A, suggest that the relationship between use of IT specialists and control riskassessment is not statistically significant for respondents employed by Big 4 firms (Chi-square value = 0.1442, p-value = 0.70). In contrast, Table 10, Panel B indicates that astatistically significant relationship exists between the use of an IT specialist and control risk

assessment for respondents working for non-Big 4 firms (Chi-square value = 5.78, p = 0.02).Specifically, it appears that respondents who did not use an IT specialist are more likely toassess control risk at maximum.

[INSERT TABLE 10]

Ancillary Analysis

To enhance the generalizability of our results and to be consistent with prior research(Sprinkle and Tubbs 1998; Lowe and Reckers 2000; Apostolou et al. 2001), we also asked

participants to rate theimportance of the procedure in a typical audit of a client with highlycomputerized transaction and financial reporting systems on a seven-point scale withendpoints of 1 = not important and 7 = very important. The two measures for each individualaudit procedure, importance and usage, were highly statistically correlated with Pearsoncorrelation coefficients ranging from 0.55 for obtaining electronic records to 0.76 forevaluating general access controls. Results for the importance of each procedure for eachresearch question were qualitatively similar to those discussed above.

CONCLUSIONS AND IMPLICATIONS

Our study examines the association between control risk assessment and audit procedure

usage. We found that 40 percent of respondents assess control risk less than maximum, whichis higher than prior research (Waller 1993), and suggests that auditors may be more likely torely on controls given advances in client IT and newer audit methodologies and standards(Bierstaker and Wright 2004). Auditors who assess control risk below maximum are morelikely to use computerized audit procedures and IT specialists. In addition, Big 4 firms tendto assess control risk lower, use more computer-related procedures, and use IT specialistsmore frequently than smaller firms, perhaps because they audit larger clients with moresophisticated controls.

Overall, these results suggest that control risk assessments influence the nature of audittesting, and give standard setters insights into how auditors adjust audit programs in response

to control risk assessments. While previous research has found mixed results on therelationship between client risks and audit planning, and often focused on audit effort, ourstudy shows a clear linkage between auditors' control risk assessments and the nature of testsused, specifically computer-related audit procedures. The results also indicate a wide range ofvariability in terms of the procedures auditors select for high IT clients, suggesting thatauditors do tailor audit programs based on individual client-related factors. Finally, unlike

previous research, our study considers the role of firm size, which also is related to the use ofcomputer-related audit procedures and IT specialists.

Our findings may serve as a useful benchmark for practitioners as they adapt their auditprograms in response to control risk. Moreover, the results may be valuable to accounting

educators when describing to their students the current role control risk plays in the nature ofaudit planning, and the types of computer-related procedures auditors may select.


14/35

The results of our study should be interpreted in light of the following limitations. First, allrespondents were employed by US public accounting firms. Future research could determinewhether our results generalize to non-US auditors. Second, this paper examines audit

procedures discussed in either current or proposed standards (AICPA 2002a, 2002b, 2002c,2002d). Several professional organizations have developed internal control frameworks and

corresponding audit procedures (Colbert and Bowen 1996; Hermanson et al. 2000).Additional research could examine the use of these frameworks as a basis for selecting audit

procedures, as well as new frameworks that may emerge from recently formed standardsetting bodies (eg, PCAOB). 9

Third, auditors may assess control risk at maximum for audit efficiency reasons, althoughthey are required to test key controls (PCAOB 2004). We cannot determine if ourrespondents who elected not to rely on controls did so after finding poor client internalcontrols or whether their lack of control reliance was due to audit efficiency issues. Futurearchival research could examine this important issue. Fourth, prior research indicates auditorsmay tend to anchor on the prior year's audit program plan, which may impede adaptability to

changes in client risks (Bedard et al. 1999, 135). We did not ask respondents about theirprior year audit plan. Thus, we are unable to determine if changes in client control risks orprior year audit program drove their decision to rely on internal controls and/or choice ofcomputer-related audit procedures. However, we did note that procedures selected byauditors for specific clients varied widely.

Finally, our study requires participants to self-report control risk assessment for one clientwith highly computerized transaction and financial reporting systems. Although we havesome evidence that suggests data collected for selected clients is highly correlated with datacollected for typical clients, future archival research similar to Mock and Wright (1993,1999) may be useful to determine if the relationship between control risk assessment andaudit procedures noted holds in the current audit environment.

DAFTAR PUSTAKA

Albrecht, WS 2003.Fraud Examination . Thompson South-Western.

Alles, MG, A. Kogan, and MA Vasarhelyi.2002.Feasibility and economics of

continuous assurance.Auditing: A Journal of Practice & Theory 21 (March): 125-138.

American Institute of Certified Public Accountants (AICPA). 2001. The Effect ofInformation Technology on the Auditor's Consideration of Internal Control in a

Financial Statement Audit.Statement of Auditing Standards No. 94. New York NY:

AICPA.

________.2002a.Audit Documentation . Statement of Auditing Standards No. 96.New York NY: AICPA.


15/35

________.2002b. Consideration of Fraud in Financial Statement Audit. Statementof Auditing Standards No.99.New York NY: AICPA.

________.2002c.Interim Financial Information . Statement of Auditing StandardsNo. 100. New York NY: AICPA.

________.2002d.Audit Risk Exposure Drafts . Proposed Statements of AuditingStandards New York NY: AICPA.

________.2005a. Codification of Statements on Auditing Standards. New York, NY:AICPA.

________.2005b.Exposure Draft of Eight Proposed Statements on AuditingStandards Related to Risk Assessment. New York, NY: AICPA.

Apostolou, BA, JM Hassell, SA Weber, and GE Sumners.2001.The relativeimportance of management fraud risk factors.Behavioral Research in

Accounting13: 1-24.

Arens, AA, Elder, RJ and Beasley, MS 2003.Auditing and Assurance Services: An

Integrated Approach: Ninth Edition, Upper Saddle River NJ: Prentice Hall.

Arnold, V., C. Hampton, D. Khazanchi, and SG Sutton.2003.Risk Analysis in anExtended Enterprise Environment: Identification of Key Risk Factors in B2B E-

Commerce Relationships. Working paper, University of Connecticut.

Ballou, B., and D. Heitger. 2003. Incorporating the dynamic auditing environment intojudgment

and decision making research. Working paper, Auburn University.

________, C. Earley, and J. Rich. 2004. The impact of strategic positioning information

on auditor judgments about business-process performance.Auditing: A Journal of

Practice & Theory 23 (Fall): 71-88.

Bedard, J. 1989. An archival survey of audit program planning.Auditing: A Journal ofPractice

& Theory 8 (Fall): 81-102.

________, and A. Wright. 1994.The functionality of decision heuristics: Reliance onprior audit adjustments in evidential planning.Behavioral Research in Accounting6:

62-71.
http://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://proquest.umi.com/pqdweb%3Findex%3D30%26did%3D7548346%26SrchMode%3D1%26sid%3D1%26Fmt%3D2%26VInst%3DPROD%26VType%3DPQD%26RQT%3D309%26VName%3DPQD%26TS%3D1121459884%26clientId%3D60760&rurl=translate.google.co.id&usg=ALkJrhgC5a_HdSTSV9zwU1xwzqH98YD4Mwhttp://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://proquest.umi.com/pqdweb%3Findex%3D30%26did%3D7548346%26SrchMode%3D1%26sid%3D1%26Fmt%3D2%26VInst%3DPROD%26VType%3DPQD%26RQT%3D309%26VName%3DPQD%26TS%3D1121459884%26clientId%3D60760&rurl=translate.google.co.id&usg=ALkJrhgC5a_HdSTSV9zwU1xwzqH98YD4Mwhttp://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://proquest.umi.com/pqdweb%3Findex%3D30%26did%3D7548346%26SrchMode%3D1%26sid%3D1%26Fmt%3D2%26VInst%3DPROD%26VType%3DPQD%26RQT%3D309%26VName%3DPQD%26TS%3D1121459884%26clientId%3D60760&rurl=translate.google.co.id&usg=ALkJrhgC5a_HdSTSV9zwU1xwzqH98YD4Mwhttp://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://proquest.umi.com/pqdweb%3Findex%3D30%26did%3D7548346%26SrchMode%3D1%26sid%3D1%26Fmt%3D2%26VInst%3DPROD%26VType%3DPQD%26RQT%3D309%26VName%3DPQD%26TS%3D1121459884%26clientId%3D60760&rurl=translate.google.co.id&usg=ALkJrhgC5a_HdSTSV9zwU1xwzqH98YD4Mwhttp://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://proquest.umi.com/pqdweb%3Findex%3D30%26did%3D7548346%26SrchMode%3D1%26sid%3D1%26Fmt%3D2%26VInst%3DPROD%26VType%3DPQD%26RQT%3D309%26VName%3DPQD%26TS%3D1121459884%26clientId%3D60760&rurl=translate.google.co.id&usg=ALkJrhgC5a_HdSTSV9zwU1xwzqH98YD4Mwhttp://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://proquest.umi.com/pqdweb%3Findex%3D30%26did%3D7548346%26SrchMode%3D1%26sid%3D1%26Fmt%3D2%26VInst%3DPROD%26VType%3DPQD%26RQT%3D309%26VName%3DPQD%26TS%3D1121459884%26clientId%3D60760&rurl=translate.google.co.id&usg=ALkJrhgC5a_HdSTSV9zwU1xwzqH98YD4Mw


16/35

________, T.Mock, and A. Wright.1999.Evidential planning in auditing: A reviewof the empirical research.Journal of Accounting Literature 18: 96-142.

_______, L. Graham, and C.Jackson.2005.Information systems risk and auditplanning.International Journal of Auditing9 (forthcoming).

Bell, TB, R. Knechel, and J. Willingham.1994.An exploratory analysis of the determinantsof

audit engagement resource allocations.Proceedings of Deliotte & Touche/University

of Kansas Symposium on Auditing Problems : 49-67.

_______, R. Marrs, I. Solomon, and H. Thomas. 1997.Auditing Organizations Through

a Strategic-Systems Lens . KPMG Peat Marwick LLP.

_______, WR Knechel, JL Payne, and JJ Willingham.1998.An empirical investigation of

the relationship between the computerization of accounting systems and the incidenceand size of audit differences.Auditing: A Journal of Practice & Theory 17 (Spring):

13-38.

_______, and JV Carcello. 2000. A decision aid for assessing the likelihood offraudulent financial reporting.Auditing: A Journal of Practice & Theory 19 (Spring):

169-184.

_______., JC Bedard, KM Johnstone, and EF Smith.2002.KriskSM: A computerizeddecision aid for client acceptance and continuance risk assessment.Auditing: A

Journal of Practice & Theory21 (September): 97-113.

Bierstaker, J., P. Burnaby, and J. Thibodeau.2001.An Examination Of InternalAuditors' Use Of Internally Developed And Commercial Software.Internal

Auditing(September/October): 40-43.

_______, and A. Wright. 2004. The impact of the adoption of a business risk audit

approach on internal control documentation and testing practices: A longitudinalinvestigation.International Auditing Journal(March): 67-78.

_______, and _______. 2005. The Interaction Between Auditors' Risk Perceptions

and Partner Preferences on Audit Program Planning.Advances in Accounting,

(Volume 21): 1-24.

Biggs, SF, T. Mock, and P.Watkins.1988.Auditors use of analytical review in auditprogram design. The Accounting Review 63 (January): 148-161.


17/35

Boritz, JE 2002. Information Systems Assurance. InResearching Accounting as anInformation Systems Discipline , V. Arnold and S. Sutton (eds.). Sarasota FL:

American Accounting Association: 231-255.

Bowerman, BL, and RT O'Connell. 1990.Linear Statistical Models An Applied

Approach . Boston MA: PWS-KENT Publishing Company.

Braun, RL, and HE Davis. 2003. Computer-assisted audit tools and techniques:

Analysis and perspectives.Managerial Auditing Journal18 (9): 725-731.

Brazel, J. 2004. A measure of auditor AIS expertise: Development, assessment, and

uses. Working paper, North Carolina State University, Raleigh NC.

_______, and C. Agoglia. 2004. The effects of computer assurance specialistcompetence and auditor AIS expertise on auditor planning judgments. Working

paper, North Carolina State University and Drexel University.

_______, C. Agoglia and R. Hatfield.2004.Electronic vs. face-to-face review: Theeffects of alternative forms of review on audit preparer performance andaccountability perceptions. The Accounting Review (October): 949-966.

Brierley, JA, and DR Gwilliam. 2001.Human Resource Management Issues in

Accounting and Audit Firms: A Research Perspective . Aldershot England: Ashgate.

Chatterjee, D., VJ Richardson, and RW Zmud.2001.Examining the shareholderwealth effects of announcements of newly created CIO positions.MIS Quarterly 25

(March): 43-70.

Chau, P., and KY Tam. 1997. Factors affecting the adoption of open systems: Anexploratory

study.MIS Quarterly 21 (March): 1-14.

Cohen, J., and D. Hanno. 2000. Auditors' consideration of corporate governance and

management control philosophy in preplanning and planning judgments.Auditing: AJournal of Practice and Theory (Fall): 133-146.

Colbert, J., and P. Bowen. 1996. A comparison of internal controls: CobiT, SAC,

COSO, and SAS 55/78.IS Audit & Control Journal: 25-35.

Cook, TD, and DT Campbell. 1979. Quasi-Experimentation Design & Analysis Issues

for Field Settings . Boston MA: Houghton Mifflin Company.

Curtis, MB, and RE Viator.2000.An investigation of multidimensional knowledge

structure and computer auditor performance.Auditing: A Journal of Practice &Theory 19 (Fall): 83-103.


18/35

Daigle, RJ, T. Kizirian, and LDSnethan, Jr. 2005. Systems controls reliability and

assessment effort.International Journal of Auditing. 9 (March): 79-90.

Elder, RJ, and RD Allen. 2003. A longitudinal field investigation of auditor riskassessments and sample size decisions. The Accounting Review 78 (October): 983-

1002.

Gist, WE. and Davidson, RA 1999. An exploratory study of the influence of clientfactors on audit time budget variances,Auditing: A Journal of Practice and Theory 18

(Spring): 101-116.

Gramling, AA, KM Johnstone, and BW Mayhew.2001.Behavioral research inauditing: Past, present, and future research.Advances in Accounting Behavioral

Research 4: 47-75.

Hackbarth, G., V. Grover, and Y. Mun.2003.Computer playfulness and anxiety:Positive and negative mediators of the system experience effect on perceived ease of

use.Information & Management40: 221-232.

Helms, GL 2002. Electronic testing and evidence gathering. The CPA

Journal(March): 26-31.

Hermanson, DR, MC Hill, and DM Ivancevich.2000.Information technology-related

activities of internal auditors.Journal of Information Systems 14 (Supplement): 39-

53.

Hill, MC 2001. Planned audit hours: Do auditors use a same as last year

strategy?Advances in Accounting Behavioral Research 4: 281-302.

Hitzig, N. 1995. Auditing sampling: A survey of current practice. The CPA

Journal(July): 54-57.

Hodge, FD 2003. Investors' perceptions of earnings quality, auditor independence,and the usefulness of audited financial information.Accounting Horizons 17

(Supplement): 37-48.

Hooks, KL, and JL Higgs.2002.Workplace environment in a professional servicesfirm.Behavioral Research in Accounting14: 105-127.

Hunton, JE 2002. Blending information and communication technology with accounting

research.Accounting Horizons 16 (March): 55-67.

_______.2002. The impact of digital technology on accounting behavioral

research. InAdvances in Accounting Behavioral Research , V. Arnold (ed.).Amsterdam: Elsevier Science: 2-17.


19/35

_______, A. Wright, and S.Wright.2003.The impact of more frequent externalfinancial statement reporting and independent auditor assurance on quality of earnings

and stock market effects. Working paper, Bentley College.

_______, _______, and _______. 2004. Are financial auditors overconfident in their ability

to

assess risks associated with enterprise resource planning systems?Journal of

Information Systems 18 (Fall): forthcoming.

Jensen, RE, and JZ Xiao.2001.Customized financial reporting, networked databases,and distributed file sharing.Accounting Horizons 15 (September): 209-223.

Johnstone, KM 2000. Client-acceptance decisions: Simultaneous effects of clientbusiness risk, audit risk, auditor business risk, and risk adaptation.Auditing: A

Journal of Practice & Theory 19 (March): 1-26.

_______, and J. Bedard. 2001. Engagement planning, bid pricing, and client responsein the market for initial attest engagements. The Accounting Review 76 (April): 199-

221.

Jones, MJ, and JZ Xiao. 2003. Internet reporting: Current trends and trends by

2010.Accounting Forum 27 (June): 132-165.

Liang, D., F. Lin, and S. Wu. 2001. Electronically auditing edp systems with thesupport of emerging information technologies.International Journal of Accounting

Information Systems 2 (June): 130-147.

Lowe, DJ, and PMJ Reckers.2000.The use of foresight decision aids in auditors'judgments.Behavioral Research in Accounting12: 97-118.

Lucy, RF 1999. IS auditing: The state of the profession going into the 21 st century.IS

Audit & Control Journal4: 44-50.

Manson, S., S. McCartney, and M. Sherer. 1997.Audit Automation: The Use ofInformation Technology in the Planning, Controlling and Recording of Audit Work.

Edinburgh: Institute of Chartered Accountants of Scotland.

_______, _______, _______,and WA Wallace.1998.Audit automation in the UKand the US: A comparative study.International Journal of Auditing2: 233-246.

_______, _______, and _______. 2001. Audit automation as control within audit

firms.Accounting, Auditing and Accountability Journal14 (1): 109-130.

Messier, WF, Jr. 2003.Auditing & Assurance Services: A Systematic Approach

3 rdEdition. Boston MA: McGraw-Hill/Irwin.

Messier, WF, Jr., A. Eilifsen, and L. Austen.2004.Auditor detected misstatements and the


20/35

effect of information technology.International Journal of Auditing8 (November):

223-235.

Mock, T., and A. Wright. 1993. An exploratory study of auditor evidential planning

judgments.Auditing: A Journal of Practice & Theory 12 (Fall): 39-61.

_______, and _______. 1999. Are audit program plans risk-adjusted?Auditing: A

Journal of Practice & Theory 18 (Spring): 55-74.

Moore, G., and I. Benbasat. 1991. Development of an instrument to measure theperceptions of adopting an information technology innovation.Information Systems

Research 2 (September): 192-222.

Murthy, US, and DS Kerr.2004.Comparing audit team effectiveness via alternativemodes of computer-mediated communication.Auditing: A Journal of Practice &

Theory 24 (March): 141-152.

O'Keefe, T., D. Simunic, and M. Stein.1994.The production of audit services:Evidence from a major public accounting firm.Journal of Accounting Research 32

(Autumn): 241-261.

Palmrose, Z. 1986. Audit fees and auditor size: Further evidence.Journal of

Accounting Research 24 (Spring): 97-111.

Premkumar, G., and M. Roberts. 1999. Adoption of new information technologies in ruralsmall

businesses. Omega: The International Journal of Management Science 27 (August):

467-484.

Public Company Accounting Oversight Board (PCAOB). 2004.An Audit of InternalControl Over Financial Reporting Performed In Conjunction With An Audit Of

Financial Statements . Release No. 2004-001March 9, 2004.

_______, 2005. Agenda for June 2005 meeting of Standing Advisory Group.

http://www.pcaob.org/Standards/Standing_Advisory_Group/

Rezaee, Z., A. Sharbatoghlie, R. Elam, and PL McMickle.2002.Continuous auditing:Building automated auditing capability.Auditing: A Journal of Practice & Theory 21

(March): 147-163.

Robertson, JC and TJ Louwers. 2003.Auditing and Assurance Services . Irwin

McGraw-Hill.

Shumate, JR, and Brooks, RC 2001. The effect of technology on auditing ingovernment: A discussion of the paperless audit. The Journal of Government

Financial Management50 (Summer): 50-55.


21/35

Sprinkle, GB, and RM Tubbs. 1998. The effects of audit risk and informationimportance on auditor memory during working paper review. The Accounting

Review 73 (October): 475-502.

Sutton, SG, and C. Hampton. 2003. Risk assessment in an extended enterprise

environment: Redefining the audit model.International Journal of AccountingInformation Systems 4 (March): 57-73.

TeamMate.2003.PricewaterhouseCoopers.http://www.pwcglobal.com/extweb/service. nsf/ docid/ 443881f8a1da32d0852568b6001a514e

Truman, GE, K. Sandoe, and T. Rifkin.2003.An empirical study of smart card technology.

Information & Management40 (July): 591-606.

Vendrzyk, VP, and NA Bagranoff.2003.The evolving role of IS audit: A field studycomparing the perceptions of IS and financial auditors. Advances in Accounting(20):

141-163.

Waller, W. 1993. Auditors' assessments of inherent and control risk in field

settings. The Accounting Review (October): 783-803.

Weil, J. 2004. Behind the wave of corporate fraud: A change in how auditors

work. The Wall Street Journal(March 25): A1.

Winograd, BN, JS Gerson, and BL Berlin.2000.Audit practices ofPricewaterhouseCoopers (PwC).Auditing: A Journal of Practice & Theory 19 (Fall):

175-182.

Wright, A. 1988. The Impact of Prior Working Papers on Auditor Evidential Planning

Judgments,Accounting, Organizations & Society : 595-606.

Wright, S.. and A. Wright. 2002. Information system assurance for enterprise resourceplanning

system: Unique risk considerations.Journal of Information Systems 16 (Supplement):

99-113.

Wright, A. 2002. Foreword forum on continuous auditing and assurance.Auditing: A

Journal of Practice & Theory 21 (March): 123.

Yang, DC, and L. Guan. 2004. The evolution of IT auditing and internal controlstandards in financial statement audits: The case of the United States.Managerial

Auditing Journal19 (4): 544-555.
http://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://www.pwcglobal.com/extweb/%2520service.%2520nsf/%2520docid/%2520443881f8a1da32d0852568b6001a514e&rurl=translate.google.co.id&usg=ALkJrhhURMPX3BsZrtTkfUziRhXzyVg81Ahttp://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://www.pwcglobal.com/extweb/%2520service.%2520nsf/%2520docid/%2520443881f8a1da32d0852568b6001a514e&rurl=translate.google.co.id&usg=ALkJrhhURMPX3BsZrtTkfUziRhXzyVg81Ahttp://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://www.pwcglobal.com/extweb/%2520service.%2520nsf/%2520docid/%2520443881f8a1da32d0852568b6001a514e&rurl=translate.google.co.id&usg=ALkJrhhURMPX3BsZrtTkfUziRhXzyVg81Ahttp://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://www.pwcglobal.com/extweb/%2520service.%2520nsf/%2520docid/%2520443881f8a1da32d0852568b6001a514e&rurl=translate.google.co.id&usg=ALkJrhhURMPX3BsZrtTkfUziRhXzyVg81Ahttp://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://www.pwcglobal.com/extweb/%2520service.%2520nsf/%2520docid/%2520443881f8a1da32d0852568b6001a514e&rurl=translate.google.co.id&usg=ALkJrhhURMPX3BsZrtTkfUziRhXzyVg81Ahttp://translate.googleusercontent.com/translate_c?hl=id&langpair=en%7Cid&u=http://www.pwcglobal.com/extweb/%2520service.%2520nsf/%2520docid/%2520443881f8a1da32d0852568b6001a514e&rurl=translate.google.co.id&usg=ALkJrhhURMPX3BsZrtTkfUziRhXzyVg81A


22/35

TABEL 1

Participant Demographics

Frekuensi

Mean or %

(Std Dev)

Years as an external auditora 13,7

(9,5)

Age a 37,9

(10,2)

Highest education levela

Bachelor degree 115 82,7%

Master degree 22 15,8%Coursework beyond master degree 2 1,4%

Certificationa, b

Certified internal auditor 1

Certified public accountant 122

Certified information systems auditor 0

Certified management accountant 1

Certified financial executive 7

Certified financial planner 0

Other certification 1

Gendera M = 98 71,0%

F = 40 29,0%

Firm sizea

Big 4 30 22,0%

Nasional 15 11,0%

Daerah 26 19,1%

Lokal 65 47,8%

IT expertise a

Orang baru 24 17,3%

Menengah 95 68,3%

Ahli 20 14,4%

a One or more participants did not answer question.

b Participants could list more than one certification.

TABEL 2


23/35

Selected Client Demographics and Audit Characteristics10

FrekuensiMean or %

Panel A: Selected Client Demographics

Average client asset size $714,449,153IT complexity for client 11 5,25

Role of IT in client 12 d

Mengotomatisasikan 38 32,5%

Informate up/down 71 60.7 %

Mengubah 8 6,8%

Panel B: Characteristics of Audit of Selected Client

Assessed control risk below maximum level due to selected client's highly computerizedtransaction and financial reporting systems d

Yes = 53 39.6 %

No = 81

60,4%

Time spent on annual audit of selected clientd

1 to 3 weeks 59 44.4 %

1 bulan 39 29.3 %

> 2 months 35 26.3 %

Evidence collection method for selected clientd

paper evidence only 15 11.3 %

both paper and electronic evidence 116 87.9 %

electronic evidence only 1 0,8%

Made changes to information requests and/or audit procedures due to selected client'selectronic data retention policies d

Yes = 45 33,8%No = 88 66.2 %

Use of IT specialist during audit of selected client d Yes = 49 37.4 %

No = 82 62.6 %

TABEL 3

Descriptive Statistics: Procedure Usage Percentage


24/35

Audit Procedure Referencein

Standard

Usage in

SelectedKlien

Number13

Usage in

Selected

Client

%14

Include client technology considerations in risk

assessment process (RiskAssess)

AU 318.15 Yes = 110

No = 19

85.27

Obtain understanding of client system and business processes by examining:

significant transactions supporting the client's financialstatements (SigTran)

AU 319.49 Yes = 124 93,23

No = 9

procedures and records (both automated and manual) toinitiate, process and report significant transactions(SigProc)

AU 319.49 Yes = 123 92,48

No = 10

how system captures events and conditions (other thantransactions) that are significant to the financial statements(SigSystem)

AU 319.49 Yes = 107 81,68

No = 24

processes used to prepare the client's financial statements(including significant accounting estimates and disclosures)(FSProc)

AU 319.49 Yes = 103 78,03

No = 29

Test automated controls to determine if they:

function as intended (ACFunct) AU 319.29,AU 319.78

Yes = 83 62,41No = 50

continue to function effectively throughout the audit period(ACEffect)

AU 319.29,

AU 319.78

Yes = 64 48.48

No = 68

Evaluate client computer controls related to specific

applications (ApplCont)

AU 319.44 Yes = 81 62,31

No = 49

TABLE 3 (continued)



25/35

Audit Procedure Referencein

Standard

Usage in Selected

Client

Nomor

Usage in

SelectedKlien

%

Evaluate the following client general computer controls:

program change controls (ProgChGC) AU 319.45,AU 319.96

Yes = 68

No = 62

52,31

access controls (AccessGC) AU 319.45 Yes = 86No = 43

66,67

systems software controls c (SysSoftGC) AU 319.45 Yes = 67No = 62

51,94

Use computer-assisted audit techniques (CAATs) to:

evaluate fraud risks (FraudCAAT) AU 316.52 Yes = 37 28,46No = 93

identify journal entries and other adjustments to betested (JECAAT)

AU 316.64 Yes = 47 36,15

No = 83

check accuracy of electronic files (AccCAAT) AU 308.33 Yes = 60 46,51No = 69

re-perform procedures (ie, aging of accountsreceivable, etc) (RePerfCAAT)

AU 308.34 Yes = 46 35.66

No = 83

select sample transactions from key electronic files(SampleCAAT)

AU 327.19 Yes = 64 50,39

No = 65

sort transactions with specific characteristics(SortCAAT)

AU 327.19 Yes = 60 46,51

No = 69

test an entire population instead of a sample(PopCAAT)

AU 327.19,

AU 327.61

Yes = 39 30.47

No = 89

obtain evidence about control effectiveness AU 327.27 Yes = 40 30,77


26/35

(ContEffCAAT) No = 90

evaluate inventory existence and completeness(InvCAAT)

AU 316.54 Yes = 48 37,50

No = 80

TABLE 3 (continued)


Audit ProcedureReference

in

Standard

Usage in

Selected

Client

Nomor

Usage in

SelectedKlien

%

Request that client provide electronic records to

examine (ERecords)

AU 314.11 Yes = 122 91.04

No = 12

Use IT audit specialist to:

inquire of client's IT personnel about how dataand transactions are initiated, recorded, processed,and reported, and how IT controls are designed(SpecInquiry)

AU319.32,

AU 314.15

Yes = 61 45.19

No = 74

inspect system documentation (SpecInspect) AU319.32,

AU 314.15

Yes = 51 37,78No = 84

observe the operation of IT controls (SpecObs) AU319.32,

AU 314.15

Yes = 48 35,56

No = 87

plan and perform tests of IT controls (SpecTest) AU319.32,

AU 314.15

Yes = 45 33,33

No = 90


27/35

TABEL 4

T-Test Results: Impact of Control Risk Assessment on Audit Procedure Usage

Audit Procedures a ControlRisk

p-value

Percent of Respondents Who Assess Control

Risk at Maximum Using ProcedurePercent of Respondents Who Assess Control Risk

Below Maximum Using Procedure

RiskAssess 0.00**b 79,49 97.87

Obtain understanding of system and

processes by examining:SigTran 0,71 92.41 94,12SigProc 0,71 92.41 94,12SigSystem 0,35 79,49 86,00

FSProc 0,07 72,15 86,00

Test automated controls to determine

if theyACFunct 0,00 ** 53,16 78.43

ACEffect 0,03 * 41,03 60,78

ApplCont 0,00 ** 51,28 81.63

Evaluate the following general

computer controls:ProgChGC 0,04 * 45.57 64,58

AccessGC 0,01 ** 58,97 81,25

SysSoftGC 0,16 47,44 60.42Use CAATs forFraudCAAT 0.00**b 15,19 47.92JECAAT 0,00 ** 24,05 56.25AccCAAT 0,01 ** 37,18 60.42RePerfCAAT 0,02 * 26,92 47.92SampleCAAT 0,01 ** 39.74 64,58SortCAAT 0,00 ** 35,90 62,50PopCAAT 0,06 24,36 40.43ContEffCAAT 0.00**b 16,46 54,17InvCAAT 0,03 * 29,49 48,94

** Two-tailed t test indicates audit procedure usage varies by control risk at p0.01 level.

* Two-tailed t test indicates audit procedure usage varies by control risk at p0.05 level.

aA complete description of each audit procedure is shown in Table 3.


28/35

bResults based on Cochran t-test due to unequal variances.

TABLE 4 (continued)

T-Test Results: Impact of Control Risk Assessment on Audit Procedure Usage

Audit Prcoeduresa Control

Risk

p-value

Percent of Respondents Who Assess Control Risk atMaximum Using Procedure

Percent of Respondents Who Assess Control Risk BelowMaximum Using Procedure

ERecords 0.06 b 87,34 96.08

Use IT audit

specialist to:SpecInquiry 0,01 ** 37,04 58,82

SpecInspect 0,00 ** 25,93 56,86

SpecObs 0,00 ** 22.22 56,86

SpecTest 0,00 ** 19,75 54,90

aA complete description of each audit procedure is shown in Table 3.


TABEL 5

Cross-Tabulation of Control Risk Assessment and IT Specialist Usage

IT Specialist Usage Number Who Assess Control RiskatMaximum

aNumber Who Assess Control Risk

Below Maximumb

Tidak 59 23Ya 20 29Total 79 52Chi Square value = 12.42;

p = 0.00

a Two respondents who assessed control risk as maximum did not indicate if they used an IT specialist.


29/35

bOne respondent who assessed control risk below maximum did not indicate if he/she used an IT specialist.

TABEL 6

T-Test Results: Impact of Firm Size on Audit Procedure Usage

Audit Procedures a FirmSize

p-value

Percent of Respondents from non-Big 4

FirmsUsing ProcedurePercent of Respondents from Big 4 Firms

Using Procedure

RiskAssess 0.01**b 81.44 96,55


processes by examining:SigTran 0.28 b 91,92 96,67SigProc 0.20 b 90,91 96,67SigSystem 0.00**b 76,53 96,67

FSProc 0.00**b 71,72 96,67

Test automated controls to determine if theyACFunct 0.00**b 53,54 93,33

ACEffect 0.00**b 37.37 86.21

ApplCont 0.00**b 54,64 89,66

Evaluate the following general computer

controlsProgChGC 0.00**b 43,88 85,71

AccessGC 0.00**b 60,82 92,86

SysSoftGC 0,03 * 48,45 71,43Use CAATs forFraudCAAT 0,01 ** 22.22 46.43JECAAT 0,00 ** 28,28 57,14

AccCAAT 0,32 42,86 53,57RePerfCAAT 0,32 32,65 42,86SampleCAAT 0,17 45,92 60,71SortCAAT 0,06 40,82 60,71PopCAAT 0,43 27,84 35,71ContEffCAAT 0,01 ** 23,23 50,00

InvCAAT 0,00 ** 29,90 60,71

** Two-tailed t test indicates audit procedure usage varies by IT specialist usage at p0.01 level.

* Two-tailed t test indicates audit procedure usage varies by IT specialist usage at p0.05 level.


30/35

aComplete descriptions of each audit procedure are shown in Table 3.

b Results based on Cochran t-test due to unequal variances.

TABEL 6

T-Test Results: Impact of Firm Size on Audit Procedure Usage

Audit Prcoedures a FirmSize

p-value

Percent of Respondents from non-Big 4 Firms Using

ProcedurePercent of Respondents from Big 4 Firms

UsingProcedure

ERecords 0,00**b 89,00 100,00

Use IT audit specialistto:SpecInquiry 0.00**b 33,33 89,66

SpecInspect 0,00 ** 24,51 86,21

SpecObs 0,00 ** 21,57 82.76

SpecTest 0,00 ** 18,63 82.76


b Results based on Cochran t-test due to unequal variances.

TABEL 7

Cross-Tabulation of Use of IT Specialist and Firm Size

Firm Size Number Who Did NOT Use ITSpecialist a

Number Who Did UseITSpecialistb

Big 4 4 26Nasional 9 4Daerah 16 10Lokal 51 8Total 80 48Chi Square value = 45.63; p =

0.00


31/35

aTwo respondents who did not use an IT specialist did not provide firm size information.

b One respondent who used an IT specialist did not provide firm size information.

TABLE 8

Cross-Tabulation of Control Risk Assessment and Firm Size

Firm Size Number Who Assess ControlRisk at Maximum

Number Who Assess Control RiskBelow Maximum

a

Big 4 10 20Nasional 6 7Daerah 19 7Lokal 46 15Total 81 49

Chi Square value = 17.01; p = 0.00

aFour respondents who assessed control risk below maximum

did not provide firm size information.

TABEL 9

T-Test Results: Association between Control Risk Assessment, Audit Procedure Usage,

and Firm Size

Panel A: Big 4 Firms


p-value




RiskAssess 0.34 b 90,00 100,00


processes by examining:SigTran 0.33 b 100,00 95,00SigProc 0.33 b 100,00 95,00SigSystem 0.33 b 100,00 95,00

FSProc 0.33 b 100,00 95,00


if theyACFunct 0,62 90,00 95,00

ACEffect 0,79 88,89 85,00


32/35

ApplCont 0.30 b 77,78 95,00


computer controlsProgChGC 0,64 90,00 83,33

AccessGC 0,68 90,00 94,44

SysSoftGC 0,34 60,00 77,78Use CAATs forFraudCAAT 0,21 30,00 55,56JECAAT 0,03 * 30,00 72,22

AccCAAT 0,30 40,00 61,11RePerfCAAT 0,32 30,00 50,00SampleCAAT 0.41 50,00 66,67SortCAAT 0,10 40,00 72,22PopCAAT

0,21

20,00

44,44

ContEffCAAT 0,12 30,00 61,11

InvCAAT 0.41 50,00 66,67

** Two-tailed t test indicates audit procedure usage varies by IT specialist usage at p0.01 level.


a Complete descriptions of each audit procedure are shown in Table 3.


TABEL 9

T-Test Results: Association between Control Risk, Audit Procedure Usage, and Firm

Size (continued)

Panel A: Big 4 Firms (continued)

Audit Prcoeduresa Control

Risk

p-value

Percent of Respondents Who Assess Control Risk at

Maximum Using ProcedurePercent of Respondents Who Assess Control Risk Below

Maximum Using Procedure

ERecords 100,00 100,00

Use IT audit

specialist to:SpecInquiry 0.08 b 100,00 84,21

SpecInspect 0,50 80,00 89,47

SpecObs 0,78 80,00 84,21


33/35

SpecTest 0,47 90,00 78,95



TABLE 9

T-Test Results: Association between Control Risk Assessment, Audit Procedure Usage

and Firm Size (continued)

Panel B: Non-Big 4

Firms


p-value




RiskAssess 0.00**b 77,94 96,43


processes by examining:SigTran 0,71 91,30 93,55SigProc 0,71 91,30 93,55SigSystem 0,70 76,47 80,00

FSProc 0,23 68,12 80,00


if theyACFunct 0,07 47,83 67,74

ACEffect 0,33 34,78 45,16

ApplCont 0,03 * 47,83 72,41


computer controlsProgChGC 0,19 39,13 53,33

AccessGC 0,08 54.41 73,33

SysSoftGC 0,69 45,59 50,00Use CAATs forFraudCAAT 0.01**b 13,04 43,33

JECAAT 0,02 * 23,19 46,67


34/35

AccCAAT 0,03 * 36.76 60,00RePerfCAAT 0,05 * 26,47 46,67SampleCAAT 0,02 * 38,24 63,33SortCAAT 0,05 * 35,29 56,67PopCAAT 0,20 25,00 37,93ContEffCAAT 0.00**b 14,49 50,00

InvCAAT 0,26 26,47 37,93

** Two-tailed t test indicates audit procedure usage varies by IT specialist usage at p0.01 level


a Complete descriptions of each audit procedure are shown in Table 3.


TABLE 9

T-Test Results: Association between Control Risk, Audit Procedure Usage, and Firm

Size (continued)

Panel B: Non-Big 4 Firms (continued)

Audit Prcoedures a ControlRisk

p-value

Percent of Respondents Who Assess Control Risk at

Maximum Using ProcedurePercent of Respondents Who Assess Control Risk Below

Maximum Using Procedure

ERecords 0.20 b 85,51 93,55

Use IT audit

specialist to:SpecInquiry 0,12 28,17 43,75

SpecInspect 0,04 * 18,31 37,50

SpecObs 0,01**b 14,08 40,63

SpecTest 0.00**b 9,86 40,63




35/35

TABLE 10

Cross-Tabulation of Control Risk, IT Specialist Usage, and Firm Size

Panel A: Big 4 Firms

Number of Respondents Who Assess Control

Riskat MaximumNumber of Respondents Who Assess Control

RiskBelow MaximumUse of IT Specialist

Tidak 1 3

Ya 9 17

Total 10 20

Chi Square value = 0.14; p

= 0.70

Panel B: Non-Big 4 Firms

Number of Respondents Who Assess Control

Riskat MaximumNumber of Respondents Who Assess Control

RiskBelow MaximumUse of IT Specialist

Tidak 58 20

Ya 11 12

Total 69 32

Chi Square value = 5.78; p= 0.02

Sifat Perencanaan Audit

Documents

Transcript of Sifat Perencanaan Audit