Sifat Perencanaan Audit: Hubungan Antara Penilaian Risiko Kontrol dan Audit Terkait Prosedur-Komputer * Diane Janvrin Asisten

Profesor Jurusan Akuntansi College of Business Iowa State University Ames IA 50011-1350 Telepon: 515 294 9450 Fax: 515 294 3525 djanvrin@iastate.edu James Bierstaker Associate Professor Departemen Akuntansi College of Commerce dan Keuangan Villanova University Villanova PA 19085-1678 james.bierstaker @ villanova.edu D. Jordan Lowe Associate Professor Manajemen Sekolah Global dan Kepemimpinan Arizona State University 4701 West Road Thunderbird, MC 2451 Phoenix AZ 85069-7100 jordan.lowe @ asu.edu 1 Desember 2005

* Berkorespondensi penulis
Kami menghargai komentar Brazel membantu Yusuf, Maria Curtis, Julie Smith David, William Dilla, Julie Anne Dilley, Stephanie Perpisahan, Gary Hackbarth, Frank Hodge, Cynthia Jeffrey, Eric Johnson, Brian Mennecke, Ed O'Donnell, Kurt Pany, G ,. Premkumar Sue Ravenscroft, Janet Samuels, Tony Townsend, Scott Vandervelde, Kristi Yuthas, dan peserta di Iowa Akuntansi Keuangan Negara Riset / Seminar Seri. Akhirnya, kami hargai bantuan Sarah Erdman, Krissy Gronborg, Omar Torren, Pat Wagaman, Katie Wallace, Tara Wilkins, yang AICPA, dan peserta belajar.

Sifat Perencanaan Audit: Hubungan Antara Penilaian Risiko Kontrol dan Audit Terkait Prosedur-Komputer [ IKHTISAR

standar audit mengharuskan auditor untuk mempertimbangkan beberapa faktor risiko, saat mereka merencanakan setiap keterlibatan, dan dengan demikian, menentukan sifat, waktu, dan luasnya prosedur audit. Sebelum penelitian memeriksa apakah auditor mempertimbangkan pengendalian risiko ketika mereka menentukan sifat pengujian (yaitu, yang prosedur audit untuk digunakan) memberikan hasil yang bertentangan. Tulisan ini menambah baris ini penyelidikan dengan memeriksa hubungan antara penilaian risiko kontrol dan komputer terkait penggunaan prosedur audit. A-berdasarkan kuesioner lapangan digunakan untuk mengumpulkan data dari 140 auditor yang mewakili Big 4,, regional, dan lokal perusahaan nasional. Hasil menunjukkan bahwa 40 persen responden menunjukkan bahwa mereka bergantung pada kontrol internal dan pengendalian risiko sehingga dinilai kurang dari maksimal, namun persentase ini meningkat secara signifikan untuk auditor di Big 4 perusahaan. Auditor yang menilai risiko kontrol di bawah maksimum lebih cenderung menggunakan prosedur-audit terkait komputer dan IT spesialis dari auditor yang tidak bergantung pada kontrol. Secara keseluruhan, berbeda dengan beberapa riset sebelumnya, kami menyarankan bahwa hasil penilaian risiko kontrol melakukan mempengaruhi sifat pengujian audit, dan memberikan wawasan setter standar bagaimana menyesuaikan program audit auditor dalam menanggapi penilaian risiko kontrol mereka. Kata kunci: audit terkait prosedur-komputer; pengendalian penilaian risiko, perencanaan audit; TI spesialis; ukuran perusahaan. Ketersediaan data: Data yang digunakan dalam studi ini tersedia dari penulis pertama atas permintaan.

Sifat Perencanaan Audit: Hubungan Antara Penilaian Risiko Kontrol dan Audit Terkait Prosedur-Komputer PENDAHULUAN

perencanaan Audit adalah penting untuk melakukan suatu audit yang efisien dan efektif. Kegagalan untuk merencanakan pertunangan dengan benar dapat menyebabkan penerbitan laporan keuangan misstated, laporan audit tidak pantas, atau audit yang tidak efektif biaya (Messier 2003, 171). Perencanaan audit sering dicirikan sebagai proses dua tahap penilaian risiko dan perencanaan bukti berikutnya (Mock dan Wright 1999). Penilaian risiko membutuhkan auditor untuk mengidentifikasi faktor-faktor yang terkait dengan risiko inheren dan risiko kontrol, dan menghitung risiko deteksi bukti. 1 Selama perencanaan, auditor menentukan sifat, waktu, dan luasnya prosedur audit berdasarkan hasil dari proses penilaian risiko. 2 Terlepas dari pentingnya kedua penilaian risiko dan perencanaan bukti dalam mengembangkan audit efisien dan efektif, beberapa studi telah meneliti hubungan antara penilaian risiko dan perencanaan bukti (Bdard et al). 1999. Selain itu, beberapa studi yang telah meneliti hubungan ini telah memberi hasil beragam.

Penelitian kami berkonsentrasi pada pengendalian risiko karena kemajuan teknologi informasi klien (TI) yang cepat mengubah cara auditor mengevaluasi pengendalian risiko. Sebagai contoh, SAS 94 alert auditor yang menilai pengendalian risiko maksimal dan hanya mengandalkan pada pengujian substantif mungkin tidak efektif untuk klien dengan sangat komputerisasi sistem pelaporan keuangan (AICPA 2001). Sebaliknya, auditor disarankan untuk mempertimbangkan menggunakan prosedur audit yang terkait-komputer, termasuk TI spesialis, ketika mereka memperoleh pemahaman tentang pengendalian internal klien selama perencanaan audit (AICPA 2005a, 319,29-32). Selain itu, Perusahaan Publik Akuntansi Pengawasan Dewan (PCAOB) Standar Audit No 2 memerlukan auditor dari semua perusahaan publik untuk mengungkapkan pendapat atas efektivitas pengendalian internal sistem klien atas laporan keuangan (PCAOB 2004). Tujuan penelitian ini adalah untuk menguji hubungan antara penilaian risiko kontrol dan sifat perencanaan bukti dengan mengeksplorasi apakah auditor yang menilai risiko kontrol di bawah maksimum (dan karena itu bergantung pada kontrol internal) lebih cenderung menggunakan prosedur-audit terkait komputer. Kami meneliti hubungan ini melalui instrumen berbasis lapangan diselesaikan oleh 140 auditor yang mewakili Big 4,, regional, dan lokal perusahaan nasional. Hasil penelitian menunjukkan bahwa 40 persen responden menilai risiko kontrol kurang dari maksimum, sekitar dua kali lipat tingkat yang ditemukan dalam penelitian sebelumnya (Waller 1993 ). Auditor yang menilai risiko kontrol di bawah maksimum lebih cenderung menggunakan prosedur-audit terkait komputer dan IT spesialis dari auditor yang tidak bergantung pada kontrol. Selain itu, karena perusahaan-perusahaan besar lebih mungkin untuk audit klien dengan sistem pelaporan keuangan yang kompleks IT, kita memeriksa apakah perusahaan-perusahaan besar lebih mungkin untuk menilai risiko kontrol di bawah maksimum dan komputer terkait prosedur audit digunakan. Temuan menunjukkan bahwa Big 4 auditor lebih cenderung untuk menilai risiko kontrol di bawah maksimum dan untuk menggunakan prosedur-audit terkait komputer dan IT spesialis daripada auditor yang dipekerjakan oleh perusahaan-perusahaan kecil. Penelitian ini penting karena: (1) kegagalan untuk mempertimbangkan risiko kontrol untuk klien dengan sangat komputerisasi sistem pelaporan keuangan dapat menyebabkan audit efisiensi dan efektivitas isu (AICPA 2001; Mock dan Wright 1999), (2) standar audit yang baru-baru ini menunjukkan bahwa auditor mempertimbangkan mengendalikan risiko selama perencanaan audit ketika mereka memeriksa klien dengan sangat komputerisasi sistem pelaporan keuangan (AICPA 2001, AICPA 2002b), (3) dan penentu standar praktisi berpendapat bahwa pengendalian risiko mengevaluasi dapat meningkatkan efektivitas audit (AICPA 2005b; Bdard et al. 2005), dan (4) pemahaman sejauh mana auditor saat ini mempertimbangkan risiko pengendalian dapat memberikan bimbingan kepada Perusahaan Publik Akuntansi Dewan Pengawas (PCAOB) Standing Advisory Group dan Dewan Standar Auditing sebagai kelompok-kelompok ini memeriksa standar eksposur risiko (AICPA 2005b; PCAOB 2005). Sisa kertas diatur sebagai berikut. Pada bagian berikutnya kita kajian literatur yang relevan dan mengembangkan pertanyaan penelitian. Selanjutnya, kita membahas metodologi dan menyajikan hasil penelitian kami. Akhirnya, kami membahas dampak dari hasil dan memberikan implikasi penting untuk penelitian masa depan. TINJAUAN LITERATUR PENGEMBANGAN DAN PERTANYAAN PENELITIAN

Audit perencanaan melibatkan dua-tahap: pengkajian risiko dan perencanaan atas kenyataan (Mock dan Wright 1999). Menurut standar audit, penilaian risiko mencakup mempertimbangkan tiga komponen risiko: resiko, risiko pengendalian, dan risiko deteksi (AICPA 2005a, AU 312,27). Makalah ini membahas pengendalian risiko karena (1) perubahan yang cepat di klien TI mempengaruhi bagaimana auditor menilai risiko kontrol, dan (2) risiko kontrol adalah subyek baru-baru ini PCAOB standar No 2 (PCAOB 2004). Standar kedua lapangan menggambarkan hubungan antara penilaian risiko kontrol dan perencanaan pembuktian dengan mencatat bahwa auditor harus memperoleh pemahaman pengendalian internal yang memadai untuk merencanakan audit dan untuk menentukan sifat, waktu, dan sejauh mana tes yang harus dilakukan (AICPA 2005a, 150,02 AU). arsip dan eksperimental Penelitian sebelumnya menunjukkan bahwa auditor yang agak sensitif terhadap faktor risiko klien (Mock dan Wright 1999). Namun, ada hasil yang bertentangan mengenai apakah rencana program selanjutnya disesuaikan dengan risiko ini. arsip Beberapa studi telah dilakukan untuk menilai apakah perencanaan pembuktian adaptif terhadap variasi dalam penilaian risiko. Bdard (1989) memberikan temuan awal perencanaan pembuktian dalam praktek. hasil nya menunjukkan bahwa tingkat prosedur berkurang bila hasil masa lalu yang menguntungkan tetapi tidak meningkat ketika kesalahan sebelum ditemukan. Mock dan Wright (1993) menemukan hubungan yang signifikan antara sifat direncanakan atau luas prosedur untuk perubahan risiko, menyatakan bahwa rencana program yang tidak disesuaikan dengan perubahan risiko. O'Keefe et al. (1994) dan Bell et al. (1994) melaporkan bahwa program audit yang disesuaikan dengan risiko yang melekat tapi tidak untuk mengendalikan risiko dan. Mock Wright (1999) menunjukkan bahwa program audit berubah sedikit lebih banyak waktu dengan tes dilakukan seluruh array engagement. Johnstone Bdard (2001) menemukan bahwa klien faktor risiko memiliki pengaruh yang kecil pada tingkat jam audit direncanakan tetapi tidak mempengaruhi penjadwalan pakar industri dan spesialis berisiko tinggi. Akhirnya, Penatua dan Allen (2003) meneliti keputusan ukuran sampel (bukan jam audit) untuk menentukan apakah penilaian risiko auditor mempengaruhi luasnya prosedur audit. Sementara mereka menemukan beberapa bukti adanya hubungan antara risiko yang melekat dan ukuran sampel, mereka hanya menemukan terbatas bukti hubungan yang serupa untuk pengendalian risiko. Secara bersama-sama, hasil dari studi arsip menunjukkan bahwa rencana audit program biasanya tidak tepat risiko-disesuaikan dalam praktek. penelitian eksperimental juga telah dilakukan di daerah ini, meskipun dengan hasil yang bertentangan. Biggs et al. (1988) melakukan penelitian protokol verbal untuk menilai hubungan antara penyesuaian program audit untuk klien risiko usaha. Audit ditemukan bervariasi secara langsung jika risiko klien meningkat. Menariknya, audit tidak Sejalan dengan upaya penurunan jika risiko klien berkurang. Wright (1988) menguji apakah kertas kerja sebelumnya menjabat sebagai jangkar di mana auditor melakukan penyesuaian program setelah perubahan risiko klien. Dia menemukan bahwa rencana pembuktian disesuaikan untuk perubahan risiko klien, tetapi penyesuaian tidak efisien sebagai hasil dari pengulangan yang tidak perlu tes. Bdard dan Wright (1994) menguji generalisasi Mock dan Wright (1993) dalam konteks percobaan. Mereka menemukan bahwa keputusan perencanaan program audit tidak berkaitan erat dengan risiko penilaian. Sebaliknya, Hill (2001) Hasil penelitian menunjukkan bahwa auditor sensitif terhadap informasi kesalahan sebelumnya

dalam menyesuaikan rencana audit. Akhirnya, Bierstaker dan Wright (2005) mencoba mendamaikan temuan-temuan yang saling bertentangan. Mereka menunjukkan bahwa ada interaksi yang signifikan antara risiko penilaian auditor dan preferensi mitra. Ketika ada preferensi partner untuk efisiensi, meskipun auditor diakui risiko lebih tinggi dibandingkan dengan tahun sebelumnya, mereka tidak Sejalan dengan mengubah program rencana audit. Sebaliknya, keinginan mitra seimbang menyebabkan penilaian risiko yang lebih tinggi dan lebih banyak sesuai tes dan jam daripada kondisi efisiensi. 3 Pengaruh TI di Alam Perencanaan Audit Klien risiko dampak auditor pendekatan dalam rangka untuk memberikan jaminan bahwa laporan keuangan dapat mencerminkan kegiatan ekonomi yang mendasari entitas. Untuk klien dengan sistem komputerisasi yang sangat keuangan, auditor tidak dapat lagi mengabaikan masalah IT dan "audit sekitar komputer" (AICPA 2001). Klien masalah IT tidak mengubah tujuan audit, namun mereka dapat mempengaruhi sifat, waktu, dan luas prosedur audit (Messier 2003, 257). Misalnya, alih-alih vouching transaksi pembelian sampel secara manual kembali ke daftar vendor preauthorized, auditor dapat men-download file transaksi dan menggunakan CAATs untuk memverifikasi bahwa setiap pembelian melibatkan vendor preauthorized klien. Berbagai jenis auditor TI hadir dengan set yang berbeda risiko dan dengan demikian memerlukan prosedur audit yang berbeda. Untuk menggambarkan, karena masalah keamanan, auditor lebih cenderung untuk menguji kontrol akses untuk klien dengan sistem ERP.Sebaliknya, karena kekhawatiran pengolahan, auditor lebih cenderung untuk melakukan recalculations untuk klien yang mempekerjakan lebih tua metodologi TI (Wright dan Wright 2002). Pertanyaan Penelitian Studi ini mengkaji dampak risiko kontrol pada perencanaan pembuktian, dan khususnya sifat terkait audit prosedur-komputer. Beberapa auditor berpendapat bahwa pengaturan pengendalian risiko maksimum lebih efisien daripada pengujian dan mengandalkan pada pengendalian internal yang efektif, walaupun sekarang tombol kontrol harus diuji untuk semua dimiliki perusahaan publik (PCAOB 2004). Namun, karena meningkatnya kompleksitas klien pelaporan keuangan terkomputerisasi sistem, SAS 94 auditor tanda bahwa mungkin tidak layak untuk mengatur pengendalian risiko maksimum dan mengabaikan kontrol TI (AICPA 2001). Bagi para klien, auditor mungkin harus menggunakan proseduraudit yang terkait komputer. Sebagai contoh, auditor mungkin tidak dapat mengevaluasi klien dengan sangat komputerisasi sistem pelaporan keuangan tanpa memperoleh catatan elektronik dari klien atau menggunakan teknik-audit dibantu komputer (CAATs). Singkatnya, untuk klien dengan sangat komputerisasi sistem pelaporan keuangan, pengaturan pengendalian risiko di maksimum dapat membahayakan audit efektivitas dan efisiensi, dan mungkin lebih mungkin bahwa auditor akan menggunakan prosedur audit yang terkaitkomputer. Sejak penelitian sebelumnya telah menemukan hasil yang bertentangan mengenai apakah rencana program selanjutnya disesuaikan dengan risiko dan penelitian sebelumnya sedikit telah langsung memeriksa sifat perencanaan audit, kami mengajukan pertanyaan penelitian sebagai berikut: RQ1a: Apakah penggunaan terkait audit prosedur-komputer berbeda-beda menurut penilaian risiko kontrol?

terkait audit prosedur-Komputer bervariasi dari meminta klien memberikan catatan elektronik untuk pengujian dan umum kontrol otomatis untuk penggunaan IT spesialis 2000. Penggunaan TI spesialis baru-baru ini penelitian yang signifikan menarik bunga (Curtis dan Viator; Brazel 2004; Brazel dan Agoglia 2004 ; Hunton et al). 2004. SAS 94 menunjukkan bahwa auditor mempertimbangkan beberapa faktor yang mempengaruhi bagaimana auditor menilai risiko kontrol ketika memutuskan apakah akan menggunakan IT spesialis. Faktorfaktor tersebut meliputi: (1) kompleksitas klien TI, (2) pentingnya perubahan yang dibuat terhadap sistem klien yang ada atau pelaksanaan sistem baru, (3) sejauh mana data bersama antara sistem klien, (4) klien menggunakan teknologi baru, dan (5) pentingnya bukti audit yang tersedia hanya dalam bentuk elektronik (AICPA 2005a, AU 319,31). Jadi, kami meminta khusus jika penggunaan spesialis TI, jenis audit yang terkait prosedur-komputer, bervariasi tergantung pada apakah auditor menilai risiko kontrol di maksimum atau memutuskan untuk mengandalkan kontrol internal: RQ1b: Apakah penggunaan IT spesialis berbeda-beda menurut penilaian risiko kontrol? Perusahaan besar dengan sifatnya memiliki lebih banyak sumber daya yang tersedia untuk mereka dan memiliki basis operasi internasional yang lebih besar di mana untuk merespon perkembangan dan kebutuhan dari klien perusahaan-perusahaan kecil (palmrose 1986; Intisari dan Davidson 1999). Perbedaan ini dapat mewujudkan diri dalam cara di mana perusahaan-perusahaan besar menggunakan prosedur audit komputer serta perencanaan audit mereka secara keseluruhan. Artinya, perusahaan audit yang lebih besar lebih adaptif dalam menyesuaikan prosedur audit mereka untuk memenuhi perubahan lingkungan dibandingkan perusahaan kecil (Brierley dan Gwilliam 2001). Sebagai contoh , gerakan menuju pendekatan audit berbasis risiko dipimpin oleh dua orang (kemudian) Big 5 perusahaan (Bell et al;. 1997 Winograd et al. 2000). Demikian juga, kami berharap bahwa perusahaan-perusahaan besar akan lebih cenderung untuk menyesuaikan mereka audit prosedur untuk perubahan di klien TI dengan memasukkan prosedur yang berkaitan dengan komputer lebih. Dari catatan khusus adalah prosedur yang melibatkan penggunaan IT spesialis. Sejak perusahaan besar umumnya memiliki sumber daya lebih, mereka mungkin lebih cenderung mempekerjakan spesialis TI dari perusahaan-perusahaan kecil. Selanjutnya, auditor yang dipekerjakan oleh perusahaan-perusahaan besar lebih mungkin untuk melakukan audit klien yang lebih besar dengan komputerisasi transaksi tinggi dan sistem pelaporan keuangan. Mengingat fakta bahwa standar audit yang baru-baru ini menyarankan auditor untuk mempertimbangkan mengandalkan kontrol internal untuk klien dengan komputerisasi transaksi tinggi dan sistem pelaporan keuangan, kami Dugaan yang mengontrol penilaian risiko mungkin berbeda dengan ukuran perusahaan. Diskusi ini mengarah pada pertanyaan penelitian sebagai berikut: RQ2a: Apakah penggunaan terkait audit prosedur-komputer berbeda-beda menurut ukuran perusahaan? RQ2b: Apakah penggunaan IT spesialis berbeda-beda menurut ukuran perusahaan? RQ2c: Apakah penilaian risiko kontrol berbeda-beda menurut ukuran perusahaan?

Akhirnya, jika kita menemukan bahwa perusahaan besar lebih mungkin untuk menilai risiko kontrol di bawah maksimum, kami berharap bahwa perusahaan-perusahaan ini juga lebih cenderung menggunakan prosedur audit yang terkait-komputer termasuk TI spesialis. Jadi, kami meminta: RQ3a: Apakah hubungan antara terkait audit prosedur-komputer dan penilaian risiko kontrol berbeda-beda menurut ukuran perusahaan? RQ3b: Apakah hubungan antara penggunaan IT spesialis dan penilaian risiko kontrol berbeda-beda menurut ukuran perusahaan? METODE Peserta Para peserta termasuk 140 auditor yang mewakili Big 4,, regional, dan lokal perusahaan nasional. Satu auditor menghadiri seminar pelatihan AICPA untuk mendapatkan tanggapan dari 109 auditor dari tingkat nasional, regional dan lokal perusahaan. Kami juga menghubungi kantor lokal dari setiap perusahaan 4 Besar dan satu perusahaan nasional. Dari kontak ini, kami mengumpulkan data dari 31 auditor. Seperti terlihat pada Tabel 1, responden rata-rata 13,7 tahun pengalaman audit keuangan dan usia rata-rata mereka adalah 37,9 tahun. Banyak peserta (87,1 persen) yang diadakan sertifikat BPA. Sebagian besar responden (71,0 persen) adalah laki-laki. Peserta bekerja untuk berbagai perusahaan; 47,8 persen dari peserta yang bekerja di perusahaan lokal, 19,1 persen pada perusahaan daerah, 11,0 persen di perusahaan nasional, dan 22,0 persen di Big 4 perusahaan. [INSERT TABEL 1] Instrumen Pengembangan dan Validasi Jenis Prosedur Audit Terkait Komputer Dalam mengembangkan instrumen berbasis lapangan, kami mencari beberapa sumber di mana untuk mendapatkan bukti yang kredibel pada hubungan antara penilaian risiko kontrol dan komputer yang terkait dengan penggunaan prosedur audit. Secara khusus, kami diperiksa terkait audit prosedur-komputer dari SAS 94 96,, 99, 100, dan standar eksposur risiko audit yang diusulkan dijelaskan di bawah ini. Recent standar mengkodifikasikan bagaimana klien meningkat penggunaan TI dan risiko yang terkait dapat memberikan dampak terkait audit prosedur-komputer (AICPA 2001, 2002a, 2002b, 2002c).Misalnya, SAS 94 menggambarkan bagaimana dampak TI klien pertimbangan auditor internal dan kontrol menunjukkan bahwa auditor TI termasuk klien ketika mengkaji risiko (AICPA 2001, AU 319,39).Auditor diharapkan untuk memperoleh pemahaman tentang sistem klien dan proses bisnis dengan memeriksa (1) transaksi yang signifikan mendukung keuangan laporan klien, (2) prosedur yang digunakan untuk memulai, merekam, memproses dan melaporkan transaksi, (3) cara-cara yang itu sistem klien menangkap peristiwa dan kondisi (selain transaksi), dan (4) proses yang digunakan untuk

menyiapkan laporan keuangan klien (AICPA 2001, AU 319,49-51)). Auditor juga didorong untuk meninjau kontrol otomatis (AICPA 2001, AU 319,44, 319,45. Mengingat pentingnya kontrol ini, auditor perlu menentukan apakah kendali ini berfungsi sebagaimana dimaksud dan terus beroperasi secara efektif (AICPA 2001, AU 319,78) kontrol otomatis. Mencakup aplikasi dan kontrol umum (misalnya, program pengendalian perubahan, kontrol akses, dan sistem kontrol perangkat lunak). 4 SAS 99 codifies prosedur deteksi penipuan tertentu yang berhubungan dengan klien TI evaluasi. Sebagai contoh, auditor juga dianjurkan untuk mempertimbangkan bagaimana klien dapat menggunakan TI untuk melakukan penipuan. Auditor dapat menggunakan teknik aplikasi audit terkomputerisasi (CAATs) untuk mengevaluasi resiko penipuan ini (AICPA 2002b, AU 316,52), dan mengidentifikasi entri jurnal dan penyesuaian lain yang akan diuji (AICPA 2002b, AU 316,61). Risiko standar audit yang diusulkan (AICPA 2002d) 5 memperluas beberapa SAS 94 konsep. Standar yang diusulkan pada bukti audit menunjukkan bahwa mempekerjakan auditor CAATS untuk memeriksa akurasi summarization dari file atau kembali melakukan prosedur (misalnya, umur piutang, dll) (AICPA 2002d, AU 308,33-34). Diusulkan Risiko eksposur standar prosedur audit kinerja sebagai respon terhadap risiko dinilai dan mengevaluasi bukti audit yang diperoleh menunjukkan bahwa auditor dapat menggunakan CAATs untuk: (1) transaksi sampel pilih dari file kunci elektronik, (2) seperti transaksi dengan karakteristik tertentu, (3) sebuah tes seluruh penduduk bukan sampel, (4) mendapatkan bukti tentang efektivitas pengendalian, dan (5) mengevaluasi keberadaan dan kelengkapan persediaan (AICPA 2002d; AU 327,19, 327,27, 327 Lampiran). Mungkin ada situasi tertentu (misalnya, klien penting yang berkaitan dengan IT risiko dan / atau auditor terbatas keahlian TI) yang perlu untuk memanfaatkan spesialis TI. Berdasarkan penelitian sebelumnya, kami mempertimbangkan penggunaan spesialis TI sebagai prosedur yang terkait dengan komputer (Hutton et al). 2004. Kami menguji apakah auditor menggunakan IT spesialis untuk melakukan prosedur berikut seperti yang disarankan oleh perencanaan yang diusulkan dan standar pengawasan: (1) pertanyaan dari klien TI personil tentang cara transaksi dimulai, dicatat, diproses, dan dilaporkan, dan bagaimana TI didesain kontrol, (2) periksa dokumentasi sistem, (3) mengamati pengoperasian TI kontrol, dan (4) rencana dan tes melakukan kontrol TI (AICPA 2002d; AU 314,15). Pilot Pengujian Untuk meningkatkan pembangunan validitas dari instrumen berbasis lapangan (Cook dan Campbell 1979), kami melakukan dua putaran uji coba. Di babak pertama, empat peneliti dengan pengetahuan audit yang signifikan dan sistem diperiksa dan revisi instrumen. Instrumen direvisi kemudian pilot diuji dengan delapan auditor dari empat perusahaan (termasuk Big 4, nasional, regional, dan lokal) dengan rata-rata 5,4 tahun pengalaman. Pilot pengujian kami umpan balik yang diberikan pada dua masalah desain instrumen tertentu. Pertama, kita awalnya dianggap meminta responden apakah mereka menggunakan setiap prosedur audit dalam audit khas. Namun, karena luas keragaman klien IT, kami meminta responden untuk memilih salah satu klien dengan komputerisasi transaksi tinggi dan sistem pelaporan keuangan dan menunjukkan apakah mereka menggunakan setiap prosedur

audit yang dipilih klien. Pilot peserta penelitian menegaskan bahwa meminta prosedur penggunaan audit untuk klien yang dipilih menyediakan data yang bersih. Satu peserta diringkas masalah sebagai berikut: "klien saya berkisar dari perusahaan-perusahaan kecil dengan dasar sistem buku besar umum untuk organisasi yang telah mengadopsi sistem perencanaan perusahaan. Menanyakan saya apakah (atau bahkan sejauh) saya menggunakan prosedur audit tertentu, seperti CAATs untuk mengevaluasi keberadaan persediaan dan kelengkapan, dalam audit yang khas tidak masuk akal. " Kedua, setelah kami menentukan bahwa meminta klien dipilih penggunaan lebih tepat, kita awalnya diusulkan bahwa responden menilai tingkat penggunaan untuk setiap prosedur audit untuk klien yang dipilihpada skala 1 = tidak ada sampai 7 = luas. Responden menunjukkan bahwa mereka baik menggunakan atau tidak menggunakan setiap prosedur audit. Penilaian sejauh mana prosedur penggunaan audit untuk klien yang dipilih sulit dan nilai dipertanyakan. Oleh karena itu, prosedur audit kami mengukur penggunaan adalah dikotomis. Masalah Pengukuran Seperti disebutkan di atas, sejak komputer terkait penggunaan audit prosedur bervariasi secara signifikan oleh audit, responden diminta untuk memilih salah satu audit mereka yang dilakukan dalam tahun terakhir untuk satu klien dengan komputerisasi transaksi tinggi dan sistem pelaporan keuangan. Untuk mengukur penilaian risiko kontrol, responden menunjukkan apakah mereka menilai pengendalian risiko di bawah tingkat maksimum karena komputerisasi transaksi tinggi dan sistem pelaporan keuangan untuk klien yang dipilih. Kami menggunakan dua ukuran penggunaan IT spesialis,. Pertama responden menunjukkan jika mereka menggunakan spesialis TI selama audit untuk klien yang dipilih. Kedua, responden menunjukkan jika mereka menggunakan IT spesialis untuk melakukan empat prosedur audit khusus (yaitu, meminta petunjuk klien personil IT, periksa dokumentasi sistem, amati TI kontrol, dan uji kontrol TI) untuk klien yang dipilih. ukuran perusahaan diukur dengan empat kategori: Big 4 nasional, regional, dan lokal perusahaan,. Sebelum penelitian pada umumnya membandingkan data dari Big 4 perusahaan untuk perusahaan-perusahaan kecil (Manson et al). 1997, 1998. Kami membandingkan tanggapan diperoleh antara keempat kategori dan menemukan beberapa perbedaan yang sangat antara, regional, dan lokal respons nasional. Jadi, ukuran perusahaan kami dikelompokkan menjadi Big 4 vs perusahaan kecil (yaitu, nasional, regional, dan lokal) untuk keperluan analisis statistik. Konsisten dengan penelitian baru-baru ini di klien dan perencanaan audit TI (Bdard et al). 2005, kita mengukur yang berhubungan dengan prosedur audit penggunaan komputer pada tingkat individu. Selama pengembangan penelitian tahap awal kami, kami dianggap baik untuk mengukur yang berhubungan dengan prosedur audit penggunaan komputer di perusahaan atau tingkat individu. Mendapatkan data penggunaan prosedur audit pada tingkat perusahaan akan membutuhkan pemeriksaan yang ekstensif manual audit dan wawancara dengan personil kunci di setiap perusahaan audit. Ini akan menjadi usaha yang sangat memakan waktu yang sangat akan membatasi jumlah perusahaan kita bisa memeriksa. Jadi, karena salah satu tujuan penelitian kami adalah untuk mengembangkan penelitian sebelumnya dengan memeriksa apakah prosedur audit penggunaan bervariasi berdasarkan

ukuran perusahaan, kami memilih untuk mengukur prosedur penggunaan pada tingkat individu. HASIL Statistik Deskriptif Tabel 2 menampilkan karakteristik demografi dan audit untuk dipilih klien. ukuran aset Klien bervariasi dengan rata-rata yang dilaporkan pada $ 714.449.153. Rata-rata, responden menilai kompleksitas TI untuk klien yang dipilih mereka sebagai 5,25 pada titik skala tujuh berlabuh pada tanggal 1 manual pengolahan = dan 7 = sangat otomatis sistem pelaporan keuangan. Enam puluh dua persen peringkat yang dipilih klien peran teknologi informasi sebagai informate up / bawah. 6 [INSERT TABEL 2] Sekitar 40 persen responden menilai risiko kontrol di bawah tingkat maksimum sedangkan 60 persen tidak. Empat puluh lima persen menghabiskan waktu 1-3 minggu hasil pemeriksaan, 29 persen menghabiskan waktu 1 bulan, dan 26 persen menghabiskan lebih dari 2 bulan. Mayoritas (64,1 persen) menjawab bahwa seorang spesialis TI yang tidak digunakan selama audit yang dipilih. Metode pengumpulan bukti yang paling umum adalah menggunakan kedua metode kertas dan elektronik (87,7 persen) dibandingkan dengan ketat bukti kertas (11,5 persen) atau hanya bukti elektronik (0,8 persen).Akhirnya, standar menunjukkan bahwa auditor mungkin diperlukan untuk membuat perubahan pada permintaan informasi dan / atau prosedur audit karena kebijakan data elektronik retensi klien. 7 Sebagian besar responden (66,4 persen) tidak membuat perubahan pada permintaan informasi dan / atau prosedur audit karena klien elektronik data retensi kebijakan yang dipilih. statistik deskriptif menunjukkan bahwa audit penggunaan prosedur bervariasi secara signifikan (lihat Tabel 3). Sebagian besar responden menganggap klien TI dalam proses penilaian risiko (RiskAssess) (85,04 persen), memperoleh pemahaman tentang sistem klien dan proses bisnis (berkisar antara 77,52 persen untuk mengkaji proses yang digunakan untuk mempersiapkan keuangan laporan klien (FSProc) untuk 93,08 persen untuk memeriksa transaksi signifikan yang mendukung laporan keuangan klien (SIGTRAN)), dan meminta klien mereka memberikan catatan elektronik (ERecord) (90,84 persen). Persen responden yang menggunakan otomatis, aplikasi, dan pengendalian umum bervariasi dari 48,06 persen untuk pengujian kontrol otomatis untuk menentukan apakah mereka berfungsi secara efektif selama periode audit (ACEffect) untuk 65,87 persen untuk mengevaluasi kontrol akses (AccessGC). Namun, kurang dari 50 persen responden digunakan CAATs (berkisar antara 26,77 persen untuk menggunakan CAATs untuk mengevaluasi risiko penipuan (FraudCAAT) untuk 48,41 persen untuk menggunakan CAATs untuk memilih transaksi sampel (SampleCAAT)) atau seorang IT spesialis (berkisar antara 31,82 persen untuk penggunaan IT spesialis untuk merencanakan dan melaksanakan tes kontrol TI (SpecTest) untuk 43,94 persen untuk penggunaan IT spesialis untuk menanyakan tentang klien TI pengolahan (SpecInquiry)). [INSERT TABEL 3] Pertanyaan Satu Temuan Penelitian

Untuk menentukan apakah kontrol pengkajian risiko yang berkaitan dengan prosedur audit yang terkait dengan penggunaan komputer (misalnya, RQ1a), kami membandingkan tanggapan dari auditor yang dinilai risiko kontrol di bawah maksimum (39,6 persen - lihat Tabel 2) untuk orang-orang yang mengatur pengendalian risiko maksimum melalui t -tes (60,4 persen - lihat Tabel 2). Seperti ditunjukkan dalam Tabel 4, hasil menunjukkan bahwa auditor yang mengandalkan kontrol (yang dinilai pengendalian risiko di bawah maksimum) lebih cenderung menggunakan prosedur-audit terkait komputer. Secara khusus, responden yang mengandalkan kontrol lebih mungkin untuk mempertimbangkan masalah IT klien dalam penilaian risiko penilaian mereka, uji kontrol otomatis, perubahan mengevaluasi program dan kontrol akses umum, CAATS digunakan untuk beberapa tugas, dan penggunaan audit TI spesialis untuk melakukan beberapa tugas. [INSERT TABEL 4] RQ1b bertanya apakah penggunaan IT spesialis beragam menurut penilaian risiko kontrol. Untuk menguji RQ1b, kami melakukan dua analisis. Pertama, dari Tabel 4 seperti disebutkan di atas, ada perbedaan yang signifikan dalam prosedur penggunaan audit antara responden yang menilai risiko pengendalian maksimum dan mereka yang bergantung pada kontrol internal untuk semua prosedur menggunakan IT spesialis audit (yaitu, meminta petunjuk klien TI personil tentang bagaimana data dan transaksi tersebut dicatat dan kontrol TI dirancang, periksa dokumentasi sistem, amati operasi TI kontrol, dan merencanakan dan melaksanakan tes kontrol TI) dan. Kedua, kita tabulasi silang spesialis IT penggunaan penilaian risiko kontrol. Hasil, ditampilkan pada Tabel 5, menunjukkan bahwa 29 dari 52 responden (56 persen) yang menilai kontrol di bawah maksimum juga menggunakan IT spesialis sementara hanya 20 dari 79 responden (25 persen) yang menilai pengendalian risiko maksimum yang digunakan TI spesialis. hasil Chi Square menunjukkan bahwa hubungan ini secara statistik signifikan (nilai Chi-square = 12,42; p = 0,001). 8 [INSERT TABEL 5] Pertanyaan Dua Temuan Penelitian Selanjutnya, kita memeriksa apakah komputer yang berhubungan dengan penggunaan prosedur audit (RQ2a), penggunaan IT spesialis (RQ2b) dan kontrol penilaian risiko (RQ2c) berbeda-beda menurut ukuran perusahaan. Untuk menguji hubungan antara penggunaan prosedur audit yang terkait dengan komputer dan ukuran perusahaan, kami mengikuti metodologi yang sama digunakan untuk menguji RQ1a, yang, kami menggunakan t-tes untuk membandingkan penggunaan oleh ukuran perusahaan,. Hasil untuk RQ2a ditunjukkan pada Tabel 6, menunjukkan bahwa Big 4 perusahaan cenderung menggunakan komputer terkait audit prosedur-beberapa seperti mempertimbangkan klien TI dalam proses penilaian risiko, memperoleh pemahaman tentang klien sistem dan proses dengan memeriksa bagaimana sistem menangkap peristiwa penting dan menyiapkan laporan keuangan, pengujian kontrol otomatis, mengevaluasi kontrol komputer umum, menggunakan CAATS untuk (1) mengevaluasi risiko penipuan, (2) mengidentifikasi entri jurnal untuk diuji, (3) mendapatkan bukti tentang efektivitas pengendalian, dan (4) mengevaluasi keberadaan persediaan dan kelengkapan, mendapatkan catatan elektronik , dan menggunakan IT spesialis untuk melakukan beberapa prosedur. [INSERT TABEL 6]

Kami melakukan dua analisis untuk menguji apakah penggunaan spesialis TI bervariasi berdasarkan ukuran perusahaan (misalnya, RQ2b). First, from Table 6, we note that respondents from Big 4 firms were significantly more likely to use IT specialists to inquire of client IT personnel, inspect systems documentation, observe the operations of IT controls, and plan and perform tests of IT controls than auditors from non-Big 4 firms. Second, we cross-tabulated IT specialists and firm size. Results, shown in Table 7, indicate that 26 of the 30 respondents (87 percent) employed by Big 4 firms used IT specialists while only 22 of the 98 respondents (22 percent) from national, regional, and local firms used IT specialists. Chisquare analysis indicates this relationship is statistically significant (Chi-square value = 45.63; p = 0.001). [INSERT TABLE 7] Finally, to examine whether control risk assessments vary by firm size (ie, RQ2c), we crosstabulated control risk assessments with firm size. Results for RQ2c, shown in Table 8, indicate that 20 of the 30 respondents (67 percent) employed by Big 4 firms assessed control risk less than maximum while only 29 of the 100 respondents (29 percent) from national, regional, and local firms relied on internal controls. Based upon a chi-square analysis, this relationship is statistically significant (Chi-square value = 17.01; p = 0.001). [INSERT TABLE 8] Research Question Three Findings To examine whether the relationship between computer-related audit procedures and control risk assessment examined in RQ1a holds for both large and small firms (ie, RQ3a), we split the respondents into two groups based on firm size: Big 4 firms and non-Big 4 firms (ie, national, regional and local). Within each group, we conducted t-tests similar to our analysis for RQ1a. Results, shown in Table 9, indicate that firm size may be a significant factor in the relationship between computer-related audit procedures and control risk assessment. As shown in Panel A, there is only one difference in audit procedure usage between respondents from Big 4 firms who relied on internal controls and those who assessed control risk at maximum. As noted in our conclusion, additional research is needed before relying on these results due to the lower Big 4 cell sizes. In contrast, as shown in Table 9, Panel B, non-Big 4 respondents who assessed control risk below maximum were more likely to consider client IT in the risk assessment process, use several types of CAATs, obtain electronic records, and use IT specialists to perform some audit procedures when compared to non-Big 4 auditors who assessed control risk at maximum. [INSERT TABLE 9] Finally, we examine whether the relationship between use of IT specialists and control risk assessment examined in RQ1b holds for both Big 4 and smaller firms (ie, RQ3b). Two analyses were performed. First, from Table 9, Panel A, we note no differences in IT specialist usage for specific procedures between Big 4 respondents who relied on internal controls and those who assessed control risk at maximum. In contrast, results shown in Table 9, Panel B indicate that non-Big 4 respondents who relied on internal controls were more likely to use IT specialists to inspect system documentation, observe the operations of IT controls, and plan and perform tests of IT controls as compared to non-Big 4 auditors who assessed control risk at the maximum. Second, we split our responses into Big 4 vs. non-Big 4 firms and cross-

tabulated the use of IT specialists and control risk assessment for each group. Results, from Table 10, Panel A, suggest that the relationship between use of IT specialists and control risk assessment is not statistically significant for respondents employed by Big 4 firms (Chisquare value = 0.1442, p-value = 0.70). In contrast, Table 10, Panel B indicates that a statistically significant relationship exists between the use of an IT specialist and control risk assessment for respondents working for non-Big 4 firms (Chi-square value = 5.78, p = 0.02). Specifically, it appears that respondents who did not use an IT specialist are more likely to assess control risk at maximum. [INSERT TABLE 10] Ancillary Analysis To enhance the generalizability of our results and to be consistent with prior research (Sprinkle and Tubbs 1998; Lowe and Reckers 2000; Apostolou et al. 2001), we also asked participants to rate theimportance of the procedure in a typical audit of a client with highly computerized transaction and financial reporting systems on a seven-point scale with endpoints of 1 = not important and 7 = very important. The two measures for each individual audit procedure, importance and usage, were highly statistically correlated with Pearson correlation coefficients ranging from 0.55 for obtaining electronic records to 0.76 for evaluating general access controls. Results for the importance of each procedure for each research question were qualitatively similar to those discussed above. CONCLUSIONS AND IMPLICATIONS Our study examines the association between control risk assessment and audit procedure usage. We found that 40 percent of respondents assess control risk less than maximum, which is higher than prior research (Waller 1993), and suggests that auditors may be more likely to rely on controls given advances in client IT and newer audit methodologies and standards (Bierstaker and Wright 2004). Auditors who assess control risk below maximum are more likely to use computerized audit procedures and IT specialists. In addition, Big 4 firms tend to assess control risk lower, use more computer-related procedures, and use IT specialists more frequently than smaller firms, perhaps because they audit larger clients with more sophisticated controls. Overall, these results suggest that control risk assessments influence the nature of audit testing, and give standard setters insights into how auditors adjust audit programs in response to control risk assessments. While previous research has found mixed results on the relationship between client risks and audit planning, and often focused on audit effort, our study shows a clear linkage between auditors' control risk assessments and the nature of tests used, specifically computer-related audit procedures. The results also indicate a wide range of variability in terms of the procedures auditors select for high IT clients, suggesting that auditors do tailor audit programs based on individual client-related factors. Finally, unlike previous research, our study considers the role of firm size, which also is related to the use of computer-related audit procedures and IT specialists. Our findings may serve as a useful benchmark for practitioners as they adapt their audit programs in response to control risk. Moreover, the results may be valuable to accounting educators when describing to their students the current role control risk plays in the nature of audit planning, and the types of computer-related procedures auditors may select.

The results of our study should be interpreted in light of the following limitations. First, all respondents were employed by US public accounting firms. Future research could determine whether our results generalize to non-US auditors. Second, this paper examines audit procedures discussed in either current or proposed standards (AICPA 2002a, 2002b, 2002c, 2002d). Several professional organizations have developed internal control frameworks and corresponding audit procedures (Colbert and Bowen 1996; Hermanson et al. 2000). Additional research could examine the use of these frameworks as a basis for selecting audit procedures, as well as new frameworks that may emerge from recently formed standard setting bodies (eg, PCAOB). 9 Third, auditors may assess control risk at maximum for audit efficiency reasons, although they are required to test key controls (PCAOB 2004). We cannot determine if our respondents who elected not to rely on controls did so after finding poor client internal controls or whether their lack of control reliance was due to audit efficiency issues. Future archival research could examine this important issue. Fourth, prior research indicates auditors may tend to anchor on the prior year's audit program plan, which may impede adaptability to changes in client risks (Bedard et al. 1999, 135). We did not ask respondents about their prior year audit plan. Thus, we are unable to determine if changes in client control risks or prior year audit program drove their decision to rely on internal controls and/or choice of computer-related audit procedures. However, we did note that procedures selected by auditors for specific clients varied widely. Finally, our study requires participants to self-report control risk assessment for one client with highly computerized transaction and financial reporting systems. Although we have some evidence that suggests data collected for selected clients is highly correlated with data collected for typical clients, future archival research similar to Mock and Wright (1993, 1999) may be useful to determine if the relationship between control risk assessment and audit procedures noted holds in the current audit environment.

DAFTAR PUSTAKA Albrecht, WS 2003. Fraud Examination . Thompson South-Western. Alles, MG, A. Kogan, and MA Vasarhelyi. 2002. Feasibility and economics of continuous assurance. Auditing: A Journal of Practice & Theory 21 (March): 125138. American Institute of Certified Public Accountants (AICPA). 2001. The Effect of Information Technology on the Auditor's Consideration of Internal Control in a Financial Statement Audit.Statement of Auditing Standards No. 94. New York NY: AICPA. ________. 2002a. Audit Documentation . Statement of Auditing Standards No. 96. New York NY: AICPA.

________. 2002b. Consideration of Fraud in Financial Statement Audit . Statement of Auditing Standards No. 99. New York NY: AICPA. ________. 2002c. Interim Financial Information . Statement of Auditing Standards No. 100. New York NY: AICPA. ________. 2002d. Audit Risk Exposure Drafts . Proposed Statements of Auditing Standards New York NY: AICPA. ________. 2005a. Codification of Statements on Auditing Standards. New York, NY: AICPA. ________. 2005b. Exposure Draft of Eight Proposed Statements on Auditing Standards Related to Risk Assessment. New York, NY: AICPA. Apostolou, BA, JM Hassell, SA Weber, and GE Sumners. 2001. The relative importance of management fraud risk factors. Behavioral Research in Accounting 13: 1-24. Arens, AA, Elder, RJ and Beasley, MS 2003. Auditing and Assurance Services: An Integrated Approach: Ninth Edition, Upper Saddle River NJ: Prentice Hall. Arnold, V., C. Hampton, D. Khazanchi, and SG Sutton. 2003. Risk Analysis in an Extended Enterprise Environment: Identification of Key Risk Factors in B2B ECommerce Relationships. Working paper, University of Connecticut. Ballou, B., and D. Heitger. 2003. Incorporating the dynamic auditing environment into judgment and decision making research. Working paper, Auburn University. ________, C. Earley, and J. Rich. 2004. The impact of strategic positioning information on auditor judgments about business-process performance. Auditing: A Journal of Practice & Theory 23 (Fall): 71-88. Bedard, J. 1989. An archival survey of audit program planning. Auditing: A Journal of Practice & Theory 8 (Fall): 81-102.

________, and A. Wright. 1994. The functionality of decision heuristics: Reliance on prior audit adjustments in evidential planning . Behavioral Research in Accounting 6: 62-71.

________, T.Mock, and A. Wright. 1999. Evidential planning in auditing: A review of the empirical research. Journal of Accounting Literature 18: 96-142. _______, L. Graham, and C. Jackson. 2005. Information systems risk and audit planning. International Journal of Auditing 9 (forthcoming). Bell, TB, R. Knechel, and J. Willingham. 1994. An exploratory analysis of the determinants of audit engagement resource allocations. Proceedings of Deliotte & Touche/University of Kansas Symposium on Auditing Problems : 49-67. _______, R. Marrs, I. Solomon, and H. Thomas. 1997. Auditing Organizations Through a Strategic-Systems Lens . KPMG Peat Marwick LLP. _______, WR Knechel, JL Payne, and JJ Willingham. 1998. An empirical investigation of the relationship between the computerization of accounting systems and the incidence and size of audit differences. Auditing: A Journal of Practice & Theory 17 (Spring): 13-38. _______, and JV Carcello. 2000. A decision aid for assessing the likelihood of fraudulent financial reporting. Auditing: A Journal of Practice & Theory 19 (Spring): 169-184. _______., JC Bedard, KM Johnstone, and EF Smith. 2002. KriskSM: A computerized decision aid for client acceptance and continuance risk assessment. Auditing: A Journal of Practice & Theory21 (September): 97-113. Bierstaker, J., P. Burnaby, and J. Thibodeau. 2001. An Examination Of Internal Auditors' Use Of Internally Developed And Commercial Software. Internal Auditing (September/October): 40-43. _______, and A. Wright. 2004. The impact of the adoption of a business risk audit approach on internal control documentation and testing practices: A longitudinal investigation. International Auditing Journal (March): 67-78. _______, and _______. 2005. The Interaction Between Auditors' Risk Perceptions and Partner Preferences on Audit Program Planning. Advances in Accounting , (Volume 21): 1-24. Biggs, SF, T. Mock, and P. Watkins. 1988. Auditors use of analytical review in audit program design. The Accounting Review 63 (January): 148-161.

Boritz, JE 2002. Information Systems Assurance. In Researching Accounting as an Information Systems Discipline , V. Arnold and S. Sutton (eds.). Sarasota FL: American Accounting Association: 231-255. Bowerman, BL, and RT O'Connell. 1990. Linear Statistical Models An Applied Approach . Boston MA: PWS-KENT Publishing Company. Braun, RL, and HE Davis. 2003. Computer-assisted audit tools and techniques: Analysis and perspectives. Managerial Auditing Journal 18 (9): 725-731. Brazel, J. 2004. A measure of auditor AIS expertise: Development, assessment, and uses. Working paper, North Carolina State University, Raleigh NC. _______, and C. Agoglia. 2004. The effects of computer assurance specialist competence and auditor AIS expertise on auditor planning judgments. Working paper, North Carolina State University and Drexel University. _______, C. Agoglia and R. Hatfield. 2004. Electronic vs. face-to-face review: The effects of alternative forms of review on audit preparer performance and accountability perceptions. The Accounting Review (October): 949-966.

Brierley, JA, and DR Gwilliam. 2001. Human Resource Management Issues in Accounting and Audit Firms: A Research Perspective . Aldershot England: Ashgate. Chatterjee, D., VJ Richardson, and RW Zmud. 2001. Examining the shareholder wealth effects of announcements of newly created CIO positions. MIS Quarterly 25 (March): 43-70. Chau, P., and KY Tam. 1997. Factors affecting the adoption of open systems: An exploratory study. MIS Quarterly 21 (March): 1-14. Cohen, J., and D. Hanno. 2000. Auditors' consideration of corporate governance and management control philosophy in preplanning and planning judgments. Auditing: A Journal of Practice and Theory (Fall): 133-146. Colbert, J., and P. Bowen. 1996. A comparison of internal controls: CobiT, SAC, COSO, and SAS 55/78. IS Audit & Control Journal : 25-35. Cook, TD, and DT Campbell. 1979. Quasi-Experimentation Design & Analysis Issues for Field Settings . Boston MA: Houghton Mifflin Company. Curtis, MB, and RE Viator. 2000. An investigation of multidimensional knowledge structure and computer auditor performance. Auditing: A Journal of Practice & Theory 19 (Fall): 83-103.

Daigle, RJ, T. Kizirian, and LDSnethan, Jr. 2005. Systems controls reliability and assessment effort. International Journal of Auditing . 9 (March): 79-90. Elder, RJ, and RD Allen. 2003. A longitudinal field investigation of auditor risk assessments and sample size decisions. The Accounting Review 78 (October): 9831002. Gist, WE. and Davidson, RA 1999. An exploratory study of the influence of client factors on audit time budget variances, Auditing: A Journal of Practice and Theory 18 (Spring): 101-116. Gramling, AA, KM Johnstone, and BW Mayhew. 2001. Behavioral research in auditing: Past, present, and future research. Advances in Accounting Behavioral Research 4: 47-75. Hackbarth, G., V. Grover, and Y. Mun. 2003. Computer playfulness and anxiety: Positive and negative mediators of the system experience effect on perceived ease of use. Information & Management 40: 221-232. Helms, GL 2002. Electronic testing and evidence gathering. The CPA Journal (March): 26-31. Hermanson, DR, MC Hill, and DM Ivancevich. 2000. Information technology-related activities of internal auditors. Journal of Information Systems 14 (Supplement): 3953. Hill, MC 2001. Planned audit hours: Do auditors use a same as last year strategy? Advances in Accounting Behavioral Research 4: 281-302. Hitzig, N. 1995. Auditing sampling: A survey of current practice. The CPA Journal (July): 54-57. Hodge, FD 2003. Investors' perceptions of earnings quality, auditor independence, and the usefulness of audited financial information. Accounting Horizons 17 (Supplement): 37-48. Hooks, KL, and JL Higgs. 2002. Workplace environment in a professional services firm. Behavioral Research in Accounting 14: 105-127. Hunton, JE 2002. Blending information and communication technology with accounting research. Accounting Horizons 16 (March): 55-67. _______. 2002. The impact of digital technology on accounting behavioral research. In Advances in Accounting Behavioral Research , V. Arnold (ed.). Amsterdam: Elsevier Science: 2-17.

_______, A. Wright, and S. Wright. 2003. The impact of more frequent external financial statement reporting and independent auditor assurance on quality of earnings and stock market effects. Working paper, Bentley College. _______, _______, and _______. 2004. Are financial auditors overconfident in their ability to assess risks associated with enterprise resource planning systems? Journal of Information Systems 18 (Fall): forthcoming. Jensen, RE, and JZ Xiao. 2001. Customized financial reporting, networked databases, and distributed file sharing. Accounting Horizons 15 (September): 209-223. Johnstone, KM 2000. Client-acceptance decisions: Simultaneous effects of client business risk, audit risk, auditor business risk, and risk adaptation. Auditing: A Journal of Practice & Theory 19 (March): 1-26. _______, and J. Bedard. 2001. Engagement planning, bid pricing, and client response in the market for initial attest engagements. The Accounting Review 76 (April): 199221. Jones, MJ, and JZ Xiao. 2003. Internet reporting: Current trends and trends by 2010. Accounting Forum 27 (June): 132-165. Liang, D., F. Lin, and S. Wu. 2001. Electronically auditing edp systems with the support of emerging information technologies. International Journal of Accounting Information Systems 2 (June): 130-147. Lowe, DJ, and PMJ Reckers. 2000. The use of foresight decision aids in auditors' judgments. Behavioral Research in Accounting 12: 97-118. Lucy, RF 1999. IS auditing: The state of the profession going into the 21 st century. IS Audit & Control Journal 4: 44-50. Manson, S., S. McCartney, and M. Sherer. 1997. Audit Automation: The Use of Information Technology in the Planning, Controlling and Recording of Audit Work . Edinburgh: Institute of Chartered Accountants of Scotland. _______, _______, _______,and WA Wallace. 1998. Audit automation in the UK and the US: A comparative study. International Journal of Auditing 2: 233-246. _______, _______, and _______. 2001. Audit automation as control within audit firms. Accounting, Auditing and Accountability Journal 14 (1): 109-130. Messier, WF, Jr. 2003. Auditing & Assurance Services: A Systematic Approach 3 rd Edition. Boston MA: McGraw-Hill/Irwin. Messier, WF, Jr., A. Eilifsen, and L. Austen. 2004. Auditor detected misstatements and the

effect of information technology. International Journal of Auditing 8 (November): 223-235. Mock, T., and A. Wright. 1993. An exploratory study of auditor evidential planning judgments. Auditing: A Journal of Practice & Theory 12 (Fall): 39-61. _______, and _______. 1999. Are audit program plans risk-adjusted? Auditing: A Journal of Practice & Theory 18 (Spring): 55-74. Moore, G., and I. Benbasat. 1991. Development of an instrument to measure the perceptions of adopting an information technology innovation. Information Systems Research 2 (September): 192-222. Murthy, US, and DS Kerr. 2004. Comparing audit team effectiveness via alternative modes of computer-mediated communication. Auditing: A Journal of Practice & Theory 24 (March): 141-152. O'Keefe, T., D. Simunic, and M. Stein. 1994. The production of audit services: Evidence from a major public accounting firm. Journal of Accounting Research 32 (Autumn): 241-261. Palmrose, Z. 1986. Audit fees and auditor size: Further evidence. Journal of Accounting Research 24 (Spring): 97-111. Premkumar, G., and M. Roberts. 1999. Adoption of new information technologies in rural small businesses. Omega: The International Journal of Management Science 27 (August): 467-484. Public Company Accounting Oversight Board (PCAOB). 2004. An Audit of Internal Control Over Financial Reporting Performed In Conjunction With An Audit Of Financial Statements . Release No. 2004-001 March 9, 2004. _______, 2005. Agenda for June 2005 meeting of Standing Advisory Group. http://www.pcaob.org/Standards/Standing_Advisory_Group/ Rezaee, Z., A. Sharbatoghlie, R. Elam, and PL McMickle. 2002. Continuous auditing: Building automated auditing capability. Auditing: A Journal of Practice & Theory 21 (March): 147-163. Robertson, JC and TJ Louwers. 2003. Auditing and Assurance Services . Irwin McGraw-Hill. Shumate, JR, and Brooks, RC 2001. The effect of technology on auditing in government: A discussion of the paperless audit. The Journal of Government Financial Management 50 (Summer): 50-55.

Sprinkle, GB, and RM Tubbs. 1998. The effects of audit risk and information importance on auditor memory during working paper review. The Accounting Review 73 (October): 475-502. Sutton, SG, and C. Hampton. 2003. Risk assessment in an extended enterprise environment: Redefining the audit model. International Journal of Accounting Information Systems 4 (March): 57-73. TeamMate. 2003. PricewaterhouseCoopers. http://www.pwcglobal.com/extweb/ service. nsf/ docid/ 443881f8a1da32d0852568b6001a514e Truman, GE, K. Sandoe, and T. Rifkin. 2003. An empirical study of smart card technology. Information & Management 40 (July): 591-606. Vendrzyk, VP, and NA Bagranoff. 2003. The evolving role of IS audit: A field study comparing the perceptions of IS and financial auditors. Advances in Accounting (20): 141-163. Waller, W. 1993. Auditors' assessments of inherent and control risk in field settings. The Accounting Review (October): 783-803. Weil, J. 2004. Behind the wave of corporate fraud: A change in how auditors work. The Wall Street Journal (March 25): A1. Winograd, BN, JS Gerson, and BL Berlin. 2000. Audit practices of PricewaterhouseCoopers (PwC). Auditing: A Journal of Practice & Theory 19 (Fall): 175-182. Wright, A. 1988. The Impact of Prior Working Papers on Auditor Evidential Planning Judgments, Accounting, Organizations & Society : 595-606. Wright, S.. and A. Wright. 2002. Information system assurance for enterprise resource planning system: Unique risk considerations. Journal of Information Systems 16 (Supplement): 99-113. Wright, A. 2002. Foreword forum on continuous auditing and assurance. Auditing: A Journal of Practice & Theory 21 (March): 123. Yang, DC, and L. Guan. 2004. The evolution of IT auditing and internal control standards in financial statement audits: The case of the United States. Managerial Auditing Journal 19 (4): 544-555.

TABEL 1
Participant Demographics
Mean or % Frekuensi Years as an external auditor a (Std Dev) 13,7 (9,5) 37,9 (10,2) Highest education level a Bachelor degree Master degree Coursework beyond master degree Certification a, b Certified internal auditor Certified public accountant Certified information systems auditor Certified management accountant Certified financial executive Certified financial planner Other certification Gender
a

Age

115 22 2

82,7% 15,8% 1,4%

1 122 0 1 7 0 1 M = 98 F = 40 30 15 26 65 71,0% 29,0% 22,0% 11,0% 19,1% 47,8%

Firm size a Big 4 Nasional Daerah Lokal IT expertise a Orang baru Menengah Ahli
a

24 95 20

17,3% 68,3% 14,4%

One or more participants did not answer question. Participants could list more than one certification.

TABEL 2

Selected Client Demographics and Audit Characteristics 10

Frekuensi Mean or % Panel A: Selected Client Demographics Average client asset size IT complexity for client 11 Role of IT in client 12 d Mengotomatisasikan Informate up/down Mengubah Panel B: Characteristics of Audit of Selected Client Assessed control risk below maximum level due to selected client's highly computerized transaction and financial reporting systems d Time spent on annual audit of selected client d 1 to 3 weeks 1 bulan > 2 months Evidence collection method for selected client d paper evidence only both paper and electronic evidence electronic evidence only Made changes to information requests and/or audit procedures due to selected client's electronic data retention policies d Use of IT specialist during audit of selected client d 59 39 35 15 116 1 44.4 % 29.3 % 26.3 % 11.3 % 87.9 % 0,8% Yes = 53 39.6 % No = 81 60,4% 38 71 8 32,5% 60.7 % 6,8% $714,449,153 5,25

Yes = 45 33,8% No = 88 66.2 % Yes = 49 37.4 % No = 82 62.6 %

TABEL 3 Descriptive Statistics: Procedure Usage Percentage

Usage in SelectedKlien Audit Procedure Reference Number 13 in Standard AU 318.15 Yes = 110 No = 19

Usage in Selected Client % 14 85.27

Include client technology considerations in risk assessment process (RiskAssess)

Obtain understanding of client system and business processes by examining: AU 319.49 Yes = 124 significant transactions supporting the client's financial statements (SigTran) No = 9 procedures and records (both automated and manual) to initiate, process and report significant transactions (SigProc) AU 319.49 Yes = 123 No = 10

93,23

92,48

AU 319.49 Yes = 107 how system captures events and conditions (other than transactions) that are significant to the financial statements No = 24 (SigSystem) AU 319.49 Yes = 103 processes used to prepare the client's financial statements (including significant accounting estimates and disclosures) No = 29 (FSProc)

81,68

78,03

Test automated controls to determine if they: AU 319.29, Yes = 83 No = 50 AU 319.78 continue to function effectively throughout the audit period AU 319.29, Yes = 64 (ACEffect) No = 68 AU 319.78 function as intended (ACFunct) AU 319.44 Yes = 81 No = 49 62,41

48.48

Evaluate client computer controls related to specific applications (ApplCont)

62,31

TABLE 3 (continued) Descriptive Statistics: Procedure Usage Percentage

Usage in Selected Usage in Client SelectedKlien Audit Procedure Reference in Standard Nomor %

Evaluate the following client general computer controls: program change controls (ProgChGC) AU 319.45, Yes = 68 AU 319.96 No = 62 AU 319.45 Yes = 86 No = 43 AU 319.45 Yes = 67 No = 62 Use computer-assisted audit techniques (CAATs) to: evaluate fraud risks (FraudCAAT) identify journal entries and other adjustments to be tested (JECAAT) check accuracy of electronic files (AccCAAT) re-perform procedures (ie, aging of accounts receivable, etc) (RePerfCAAT) select sample transactions from key electronic files (SampleCAAT) sort transactions with specific characteristics (SortCAAT) AU 316.52 Yes = 37 No = 93 AU 316.64 Yes = 47 No = 83 AU 308.33 Yes = 60 No = 69 AU 308.34 Yes = 46 No = 83 AU 327.19 Yes = 64 No = 65 AU 327.19 Yes = 60 No = 69 28,46 36,15 52,31

access controls (AccessGC)

66,67

systems software controls (SysSoftGC)

51,94

46,51 35.66

50,39

46,51

test an entire population instead of a sample (PopCAAT) obtain evidence about control effectiveness

AU 327.19, Yes = 39 No = 89 AU 327.61 AU 327.27 Yes = 40

30.47

30,77

(ContEffCAAT) evaluate inventory existence and completeness (InvCAAT)

No = 90 AU 316.54 Yes = 48 No = 80 37,50

TABLE 3 (continued)

Descriptive Statistics: Procedure Usage Percentage

Usage in Selected Reference Client in Nomor Standard AU 314.11 Yes = 122 No = 12

Usage in SelectedKlien % 91.04

Audit Procedure Request that client provide electronic records to examine (ERecords) Use IT audit specialist to:

AU Yes = 61 inquire of client's IT personnel about how data and transactions are initiated, recorded, processed, 319.32, No = 74 and reported, and how IT controls are designed (SpecInquiry) AU 314.15 inspect system documentation (SpecInspect) AU 319.32, Yes = 51 No = 84

45.19

37,78

observe the operation of IT controls (SpecObs)

AU 314.15 AU Yes = 48 319.32, No = 87 AU 314.15 AU Yes = 45 319.32, No = 90 AU 314.15

35,56

plan and perform tests of IT controls (SpecTest)

33,33

TABEL 4
T-Test Results: Impact of Control Risk Assessment on Audit Procedure Usage
Audit Procedures a Control Risk p-value RiskAssess Obtain understanding of system and processes by examining: SigTran SigProc SigSystem FSProc Test automated controls to determine if they ACFunct ACEffect ApplCont 0,00 ** 0,03 * 0,00 ** 53,16 41,03 51,28 78.43 60,78 81.63 0,71 0,71 0,35 0,07 92.41 92.41 79,49 72,15 94,12 94,12 86,00 86,00 0.00**b 79,49 97.87 Percent of Respondents Who Assess Control Risk at Maximum Using Procedure Percent of Respondents Who Assess Control Risk Below Maximum Using Procedure

Evaluate the following general computer controls: ProgChGC AccessGC SysSoftGC Use CAATs for FraudCAAT JECAAT AccCAAT RePerfCAAT SampleCAAT SortCAAT PopCAAT ContEffCAAT InvCAAT 0.00**b 0,00 ** 0,01 ** 0,02 * 0,01 ** 0,00 ** 0,06 0.00**b 0,03 * 15,19 24,05 37,18 26,92 39.74 35,90 24,36 16,46 29,49 47.92 56.25 60.42 47.92 64,58 62,50 40.43 54,17 48,94 0,04 * 0,01 ** 0,16 45.57 58,97 47,44 64,58 81,25 60.42

** Two-tailed t test indicates audit procedure usage varies by control risk at p 0.01 level. * Two-tailed t test indicates audit procedure usage varies by control risk at p 0.05 level.
a

A complete description of each audit procedure is shown in Table 3.

Results based on Cochran t-test due to unequal variances.

TABLE 4 (continued)
T-Test Results: Impact of Control Risk Assessment on Audit Procedure Usage
Audit Prcoedures a Control Risk p-value ERecords Use IT audit specialist to: SpecInquiry SpecInspect SpecObs SpecTest 0,01 ** 0,00 ** 0,00 ** 0,00 ** 37,04 25,93 22.22 19,75 58,82 56,86 56,86 54,90 0.06 b 87,34 96.08 Percent of Respondents Who Assess Control Risk at Maximum Using Procedure Percent of Respondents Who Assess Control Risk Below Maximum Using Procedure

A complete description of each audit procedure is shown in Table 3.

Results based on Cochran t-test due to unequal variances.

TABEL 5 Cross-Tabulation of Control Risk Assessment and IT Specialist Usage

IT Specialist Usage Number Who Assess Control Risk atMaximum a Number Who Assess Control Risk Below Maximum b

Tidak Ya Total Chi Square value = 12.42; p = 0.00

59 20 79

23 29 52

Two respondents who assessed control risk as maximum did not indicate if they used an IT specialist.

One respondent who assessed control risk below maximum did not indicate if he/she used an IT specialist.

TABEL 6
T-Test Results: Impact of Firm Size on Audit Procedure Usage
Audit Procedures a Firm Size p-value RiskAssess Obtain understanding of system and processes by examining: SigTran SigProc SigSystem FSProc Test automated controls to determine if they ACFunct ACEffect ApplCont Evaluate the following general computer controls ProgChGC AccessGC SysSoftGC Use CAATs for FraudCAAT JECAAT AccCAAT RePerfCAAT SampleCAAT SortCAAT PopCAAT ContEffCAAT InvCAAT 0,01 ** 0,00 ** 0,32 0,32 0,17 0,06 0,43 0,01 ** 0,00 ** 22.22 28,28 42,86 32,65 45,92 40,82 27,84 23,23 29,90 46.43 57,14 53,57 42,86 60,71 60,71 35,71 50,00 60,71 0.00**b 0.00**b 0,03 * 43,88 60,82 48,45 85,71 92,86 71,43 0.00**b 0.00**b 0.00**b 53,54 37.37 54,64 93,33 86.21 89,66 0.28 b 0.20 b 0.00**
b

Percent of Respondents from non-Big 4 FirmsUsing Procedure

Percent of Respondents from Big 4 Firms Using Procedure

0.01**b

81.44

96,55

91,92 90,91 76,53 71,72

96,67 96,67 96,67 96,67

0.00**b

** Two-tailed t test indicates audit procedure usage varies by IT specialist usage at p 0.01 level. * Two-tailed t test indicates audit procedure usage varies by IT specialist usage at p 0.05 level.

Complete descriptions of each audit procedure are shown in Table 3.

Results based on Cochran t-test due to unequal variances.

TABEL 6 T-Test Results: Impact of Firm Size on Audit Procedure Usage

Audit Prcoedures a Firm Size p-value ERecords 0,00 **b 89,00 100,00 Percent of Respondents from non-Big 4 Firms Using Procedure Percent of Respondents from Big 4 Firms UsingProcedure

Use IT audit specialist to: SpecInquiry SpecInspect SpecObs SpecTest 0.00** b 0,00 ** 0,00 ** 0,00 ** 33,33 24,51 21,57 18,63 89,66 86,21 82.76 82.76

Complete descriptions of each audit procedure are shown in Table 3.

Results based on Cochran t-test due to unequal variances.

TABEL 7 Cross-Tabulation of Use of IT Specialist and Firm Size

Firm Size Number Who Did NOT Use IT Specialist a Number Who Did Use ITSpecialist b

Big 4 Nasional Daerah Lokal Total Chi Square value = 45.63; p = 0.00

4 9 16 51 80

26 4 10 8 48

Two respondents who did not use an IT specialist did not provide firm size information.

One respondent who used an IT specialist did not provide firm size information.

TABLE 8
Cross-Tabulation of Control Risk Assessment and Firm Size
Firm Size Number Who Assess Control Risk at Maximum Number Who Assess Control Risk Below Maximum a

Big 4 Nasional Daerah Lokal Total

10 6 19 46 81

20 7 7 15 49

Chi Square value = 17.01; p = 0.00

a

Four respondents who assessed control risk below maximum did not provide firm size information.

TABEL 9
T-Test Results: Association between Control Risk Assessment, Audit Procedure Usage, and Firm Size Panel A: Big 4 Firms
Audit Procedures a Control Risk p-value RiskAssess Obtain understanding of system and processes by examining: SigTran SigProc SigSystem FSProc Test automated controls to determine if they ACFunct ACEffect 0,62 0,79 90,00 88,89 95,00 85,00 0.33 b 0.33 b 0.33 b 0.33 b 100,00 100,00 100,00 100,00 95,00 95,00 95,00 95,00 0.34 b 90,00 100,00 Percent of Respondents Who Assess Control Risk at Maximum Using Procedure Percent of Respondents Who Assess Control Risk Below Maximum Using Procedure

ApplCont Evaluate the following general computer controls ProgChGC AccessGC SysSoftGC Use CAATs for FraudCAAT JECAAT AccCAAT RePerfCAAT SampleCAAT SortCAAT PopCAAT ContEffCAAT InvCAAT

0.30 b

77,78

95,00

0,64 0,68 0,34 0,21 0,03 * 0,30 0,32 0.41 0,10 0,21 0,12 0.41

90,00 90,00 60,00 30,00 30,00 40,00 30,00 50,00 40,00 20,00 30,00 50,00

83,33 94,44 77,78 55,56 72,22 61,11 50,00 66,67 72,22 44,44 61,11 66,67

** Two-tailed t test indicates audit procedure usage varies by IT specialist usage at p 0.01 level.

* Two-tailed t test indicates audit procedure usage varies by IT specialist usage at p 0.05 level.
a

Complete descriptions of each audit procedure are shown in Table 3. Results based on Cochran t-test due to unequal variances.

TABEL 9
T-Test Results: Association between Control Risk, Audit Procedure Usage, and Firm Size (continued) Panel A: Big 4 Firms (continued)
Audit Prcoedures a Control Risk p-value ERecords Use IT audit specialist to: SpecInquiry SpecInspect SpecObs 0.08 b 0,50 0,78 80,00 100,00 80,00 84,21 84,21 89,47 100,00 100,00 Percent of Respondents Who Assess Control Risk at Maximum Using Procedure Percent of Respondents Who Assess Control Risk Below Maximum Using Procedure

SpecTest

0,47

90,00

78,95

Complete descriptions of each audit procedure are shown in Table 3.

Results based on Cochran t-test due to unequal variances.

TABLE 9 T-Test Results: Association between Control Risk Assessment, Audit Procedure Usage and Firm Size (continued) Panel B: Non-Big 4 Firms
Audit Procedures a Control Risk p-value RiskAssess Obtain understanding of system and processes by examining: SigTran SigProc SigSystem FSProc Test automated controls to determine if they ACFunct ACEffect ApplCont Evaluate the following general computer controls ProgChGC AccessGC SysSoftGC Use CAATs for FraudCAAT JECAAT 0.01**b 0,02 * 13,04 23,19 43,33 46,67 0,19 0,08 0,69 39,13 54.41 45,59 53,33 73,33 50,00 0,07 0,33 0,03 * 47,83 34,78 47,83 67,74 45,16 72,41 0,71 0,71 0,70 0,23 91,30 91,30 76,47 68,12 93,55 93,55 80,00 80,00 0.00**b 77,94 96,43 Percent of Respondents Who Assess Control Risk at Maximum Using Procedure Percent of Respondents Who Assess Control Risk Below Maximum Using Procedure

AccCAAT RePerfCAAT SampleCAAT SortCAAT PopCAAT ContEffCAAT InvCAAT

0,03 * 0,05 * 0,02 * 0,05 * 0,20 0.00**b 0,26

36.76 26,47 38,24 35,29 25,00 14,49 26,47

60,00 46,67 63,33 56,67 37,93 50,00 37,93

** Two-tailed t test indicates audit procedure usage varies by IT specialist usage at p 0.01 level

* Two-tailed t test indicates audit procedure usage varies by IT specialist usage at p 0.05 level.
a

Complete descriptions of each audit procedure are shown in Table 3. Results based on Cochran t-test due to unequal variances.

TABLE 9 T-Test Results: Association between Control Risk, Audit Procedure Usage, and Firm Size (continued) Panel B: Non-Big 4 Firms (continued)
Audit Prcoedures a Control Risk p-value ERecords Use IT audit specialist to: SpecInquiry SpecInspect SpecObs 0,12 0,04 * 28,17 18,31 14,08 40,63 43,75 37,50 0.20 b 85,51 93,55 Percent of Respondents Who Assess Control Risk at Maximum Using Procedure Percent of Respondents Who Assess Control Risk Below Maximum Using Procedure

0,01 **b 0.00** b

SpecTest

9,86

40,63

Complete descriptions of each audit procedure are shown in Table 3.

Results based on Cochran t-test due to unequal variances.

TABLE 10 Cross-Tabulation of Control Risk, IT Specialist Usage, and Firm Size Panel A: Big 4 Firms
Number of Respondents Who Assess Control Riskat Maximum Use of IT Specialist Tidak Ya Total 1 9 10 3 17 20 Number of Respondents Who Assess Control RiskBelow Maximum

Chi Square value = 0.14; p = 0.70

Panel B: Non-Big 4 Firms

Number of Respondents Who Assess Control Riskat Maximum Use of IT Specialist Tidak Ya Total 58 11 69 20 12 32 Number of Respondents Who Assess Control RiskBelow Maximum

Chi Square value = 5.78; p = 0.02