TUJUAN PENGAJARAN
Setelah mempelajari bab ini, anda diharapkan mampu untuk :
1. Menjelaskan komponen-komponen dasar perangkat keras dan perangkat lunak
dalam suatu sistem PDE.
2. Membedakan pengorganisasian data dan metoda pengolahan yang digunakan
dalam suatu sistem PDE.
3. Memahami sebagian dari perbedaan pokok antara pengolahan secara manual yang
mempengaruhi pengendalian intern.
4. Menjelaskan jenis-jenis pengandalian umum dan pengendalian aplikasi yang
digunakan dalam sistem PDE.
5. Menunjukkan tingkat pemahaman struktur pengendalian intern yang diperlukan
dalam suatu sistem PDE.
6. Menyebutkan jenis-jenis teknik audit berbantuan computer yang digunakan dalam
melaksanakan pengujian pengendalian.
7. Menjelaskan sifat dan penggunaan perangkat lunak audit digeneralisasi.
8. Menerangkan penerapan perangkat lunak audit berbasis computer mikro expert
systems. Sistem komputer kecil digeneralisasi pemberi jasa komputer.
Gambar 12-1.
Perangkat keras komputer
ini
terdiri
dari
program-program
dan
penggerak
yang
Program Sistem
Program sistem atau sering disebut juga supervisory program melakukan
fungsi-fungsi umum yang diperlukan untuk pengoprasian komputer seperti
melakukan tugas-tugas tertentu.
Program Aplikasi
Program aplikasi berisi instruksi-instruksi yang memungkinkan komputer
untuk melaksanakan tugas pengolahan data tertentu untuk pemakai. Tugas-tugas
tersebut meliputi akuntansi keuangan, penganggaran, kontrol kualitas, perancangan,
dan sebagainya. Dalam bidang akuntansi keuangan. aplikasi-aplikasi spesifik antara
lain meliputi akuntansibuku besar (general ledgeraccounting); order penjualan (sales
order), pengiriman (thipping), penagihan (billing), dan piutang dagang; pembelian,
penerimaan barang, utang voucher, dan pengeluaran kas; persediaan; dan penggajian.
Dalam keadaan tertentu, program aplikasi dioperasikan secara tersendiri. Namun
dalam sistem modern yang semakin berkembang sekarang ini, program dirancang
sebagai bagian dari sistem yang terintegrasi. Program-program aplikasi bisa
dikembangkan sendiri oleh pemakai atau bisa juga dibeli dan penjual perangkat
lunak.
METODA PENGORGANISASIAN DAN PENGOLAHAN DATA
Fungsi ikuntansi meliputi pencatatan, pemutahiran (updating), pencarian, dan
1aporan data transaksi dan informasi yang berkaitan dalam jumlah besar. Untuk
memahami bagaimana semua informasi ini ditangani dalam lingkungan PDE, auditor
harus memahami metoda pengorganisasian data yang utama dan metoda pengolahan
data yang akan diuraikan di bawah ini.
Metoda Pengorganisasian Data
Istilah metoda pengorganisasian data menyangkut cara bagaimana data
diorganisasi dalam file komputer. Ada dua metoda pokok dalam pengorganisasian
data, yaitu metoda file tradisional dan metoda database.
karena itu sering terjadi kebimbangan atas data lintas file. Sebagai contoh, file
penggajian biasanya meliputi antara lain elemen data berikut: nama karyawan,
alamat, dan gaji atau tarip upah. Semua elemen data yang sama diulangi lagi dalam
file personalia yang lain. Pengadaan dan penyelengaraan elemen data yang sama yang
diulang-ulang pada file-file yang berbeda tentu saja akan memerlukan biaya.
Metoda Database
Metoda pengorganisasian data ini merupakan afternatif dari metoda file
tradisional yang memiliki kelemahan seperti diuraikan di atas. Metoda ini didasarkan
pada pengadaan dan penyelenggaraan satu file akses langsung untuk segala macam
aplikasi yang menggunakan data yang sama. Dengan demikian setiap elemen data
hanya disimpan (stored) satu kali, tetapi bisa diakses oleh semua program aplikasi
yang telah diotorisasi. Dalam hal aplikasi personalia dan aplikasi penggajian seperti
contoh di atas, nama karyawan, alamat, dan gaji atau tariff upah hanya dimasukkan
sekali ke dalam file, tetapi akan bisa digunakan untuk kedua aplikasi di atas. Software
database management system yang sophisticated dirancang sedemikian rupa sehingga
pemakai dan aplikasi dapat mengakses dan mengubah data tertentu.
Semula metoda ini digunakan pada system yang sangat besar, tetapi dalam
perkembangannya juga digunakan dalam sistem yang menengah dan kecil.
Pendekatan audit pada sistem PDE yang menggunakan metoda database lebih
kompleks daripada yang didasarkan pada metoda file tradisional. Oleh karena itu
auditor sering dituntut untuk memiliki pengetahuan khusus dan mahir dalam
pemakaian perangkat lunak yang sophisticated.
Gambar 12-2
Batch Entry/Pengolahan Batch
juga masih memiliki keuntungan yang terdapat pada batch entry/pengolahan batch,
seperti misalnya total control batch dan referensi nomor batch.
On-line entry/pengolahan hatch bisa digunakan dengan akses ke master file
yang bersangkutan atau tanpa akses. Dalam hal yang pertama, file bisa dibaca tetapi
tidak bisa dimutahirkan melalui terminal. Hal seperti ini diperlukan misalnya dalam
pengolahan transaksi penerimaan kas yang memerlukan pencocokan antara
pembayaran yang diterima dan pelanggan dengan faktur terbuka yang terdapat dalam
file pelanggan. Sebaliknya dalam hal tanpa akses, master file yang bersangkutan tidak
bisa dibaca pada saat data transaksi dimasukkan. Gambar 12- 3 melukiskan on-line
entry/pengolahan batch baik dengan akses maupun tanpa akses.
Gambar 12-3
On-line Entry/Pengolahan Batch
Gambar 12-4
On-line Entry/Pengolahan On-line
keperluan pembuatan faktur & penagihan dan penggajian, sampai pada berbagaiaplikasi yang terintegrasi penuh dengan buku besar. Dalam hal yang terakhir ini,
sistem bisa menghasilkan laporan keuangan yang mutahir setiap saat diperlukan.
Dalam sistem PDE yang kompleks, komputer bisa juga digunakan dalam proses
pelaksanaan transaksi. Sebagai contoh, komputer bisa secara otomatis membuat order
pembelian apabila kuantitas persediaan telah menurun sampai tingkat pemesanan
kembali yang telah ditetapkan sebelumnya. Selain itu dengan menggunakan peralatan
elektronik tertentu, komputer bisa menjadi alat komunikasi sehingga bisa secara
elektronik mengirimkan pesanan pembelian ke komputer pemasok sehingga tidak
perlu lagi mengisi formulir pesanan pembelian dan mengirimkan formulir tersebut
melalui pos ke pemasok. Sistem semacam ini bisa juga mengirim faktur secara
elektronis ke komputer pelanggan bersamaan dengan dilakukannya pengiriman
barang ke si pelanggan.
Berapa pun luas pemanfaatan komputer dan apa pun metoda pengolahan data
yang
digunakan,
manajemen
bertanggungjawab
untuk
menetapkan
dan
mempekerjakan satu atau dua spesialis komputer yang ditunjuk menjadi anggota
dalam team audit. Selain itu, untuk merencanakan audit pada klien yang
menggunakan pengolahan data dengan komputer, PSA No.05, Perencanaan dan
Supervisi (SA 311.09) menetapkan bahwa auditor harus mempertimbangkan hal-hal
berikut :
Tersedianva data dalam bentuk hard copy dan data dalam bentuk yang dapat
dibaca dengan komputer.
antara pengolahan dengan komputer dan pengolahan secara manual yang berpengaruh
terhadap SPI. Selanjutnva akan dibahas tentang pengendalian pengolahan informasi
yang digunakan dalam suatu sistem PDE dan bagaimana kaitan pengendalian tersebut
dengan komponen-komponen SP1 seperti telah dibahas pada Bab 7.
Sistem PDE bisa menghasilkan alur transaksi yang tersedia untuk tujuan audit
hanya untuk jangka waktu yang pendek.
Dalam sistem komputer hanya terdapat sedikit bukti dokumen yang dihasilkan
dari prosedur pengendalian dibandingkan dengan sistem manual.
Informasi dalam sistem manual bisa dilihat secara nyata (visible). Sebaliknya file
dan catatan dalam sistem PDE hanya bisa dilihat oleh mesin dan tidak bisa dibaca
manusia tanpa bantuan komputer.
Informasi dalam sistem PDE lebih rentan terhadap kerusakan fisik, manipulasi
tanpa otorisasi, dan kegagalan mekanis dibandingkan dengan sistem manual.
Perubahan sistem lebih sulit diimplementasikan dan diawasi pada sistem PDE
dibandingkan dengan sistem manual.
Laporan akuntansi yang dihasilkan komputer biasanya lebih tepat waktu sehingga
manajemen bisa memperoleh alat bantu yang efektif dalam melakukan supervisi
dan review atas operasi perusahaan.
Meskipun dua butir terakhir menunjukkan kelebihan dari sistem PDE, namun
7 butir lainnva menunjukkan masalah atau risiko yang harus dihadapi oleh SPI.
Pengendalian akses
Analisis
sistem
Programer
Operator
Komputer
Operator
Data
Entry
Librarian
Kelompok
pengontrol
data
Administrator data
base
Gambar 12-5
Bagan Organisasi Departemen PDE Dalam Sebuah Perusahaan Besar
Tanggungjawab Pokok
Melaksanakan pengawasan menyeluruh, mengembangkan
rencana jangka pendek dan jangka panjang dan memberi
Analisis system
persetujuan system.
Mengevaluasi sistem yang berlaku, merancang sistem baru,
membuat out-line sistem dan menyiapkan spesifikasi untuk
programmer.
Membuat bagan alir program computer, mengembangkan
Programmer
program.
Menjalankan perangkat keras komputer dan menjalankan
langsung
oleh
masing-masing
departemen
pemakai.
Menyimpan dan memelihara dokumentasi system, program
Librarian
dan file.
Kelompok
data
Administratos database
berikut
berguna
dalam
menciptakan
pengendalian
yang
Rancangan sistem harus mengikutkan wakil dan pemakai, dan bila perlu
departemen akuntansi dan auditor intern.
Setiap sistem harus memiliki spesifikasi tertulis yang direview dan dietujui oleh
manajemen dan departemen pernakai.
adalah apa yang disebut data dictionary/directory. Direktori adalah perangkat lunak
yang menunjukkan definisi dan lokasi elemen data dalam database.
Pongendalian Perangkat Keras dan Sistem Perangkat Lunak
Teknologi komputer modern telah mencapai tingkat keandalan yang tinggi
dalam peralatan komputer. Faktor-faktor yang memberi sumbangan atas hal ini adalah
adanya pengendalian perangkat keras dan sistem perangkat lunak yang dirancang
untuk mendeteksi tidak berfungsinya peralatan. Kategori-kategori pengendalian
meliputi hal-hal berikut:
Dual read. Input dibaca dua kali dan kedua hasil pembacaan dibandingkan.
Parity Cbeck. Data diproses oleh komputer dalam rangkaian bits (binary digits
yang terdiri dan 0 atau 1). Selain bits yang diperlukan untuk menggambarkan
karakter numerik atau alphabetik, apabila perlu ditambahkan pula parity bit untuk
membuat agar jumlah dan semua bits )1 adalah selalu ganjil atau genap. Begitu
data dimasukkan dan selanjutnya ditransfer dalam komputer, parity check
diterapkan o1eh komputer untuk menjamin bahwa bits tidak hilang selama proses
berlangsung.
Echo Gheck. Kategori ini menyangkut penginiman data yang diterima oleh
peralatan output, kembali ke unit sumber untuk dibandingkan dengan data
aslinya.
Read after Write. Komputer membaca kembali data setelah data tersebut dicatat,
baik dalam peralatan penyimpan maupun dalam peralatan output, dan memeriksa
data dengan cara membandingkannya dengan sumber aslinva.
Untuk mendapatkan manfaat maksimal dan pengendalian ini maka (1) harus
ada program perawatan preventif dan semua perangkat keras, dan (2) pengawasan
atas perubahan dalam sistem perangkat lunak harus sejalan dengan pengendalian
pengembangan sistem dan dokumentasi yang telah dijelaskan di atas.
Pengendalian Akses
Pengendalian akses harus mencegah pemakaian tanpa otorisasi yang sah atas
peralatan komputer, file data, dan program komputer. Pengendalian spesifik meliputi
pengamanan fIsik maupun prosedur.
Akses terhadap perangkat keras komputer harus dibatasi hanya pada orangorang tertentu yang diberi kewenangan untuk itu, misalnya operator komputer.
Pengamanan fisik meliputi penempatan peralatan di tempat yang terpisah dari
departemen pemakai. Akses terhadap wilayah atau tempat penyimpanan perangkat
keras harus dibatasi dengan menempatkan satpam, pintu berkunci pengaman, atau
kunci khusus. Prosedur pengamanan dilakukan melalui review manajemen atas
laporan penggunaan komputer.
Akses terhadap file data dan program harus dirancang untuk mencegah
penggunaan data yang tidak semestinya. Pengawasan secara fisik diselenggarakan
dalam bentuk library atau librarian. Akses terhadap program dan file data harus
dibatasi hanya pada orang-orang tertentu yang diberi kewenangan untuk memproses,
memelihara, atau memodifikasi sistem tertentu. Pada umumnya librarian memiliki
buku catatan (log) mengenai pemakaian file dan program. Alternatif lain, pada
metoda filing database, software data dictionary dilengkapi dengan log otomatis
untuk mengakses program dan elemen data.
Dalam sistem dengan on-line entry data, banyak pemakai bisa melakukan
akses langsung ke CPU melalui. peralatan remote input. Akses seringkali bisa
dilakukan oleh orang-orang yang bukan karyawan perusahaan, seperti agen atau
bahkan peganggan yang memiliki kunci khusus, seperti kartu magnetik yang
diterbitkan oleh bank, untuk mengaktifkan komputer. Untuk menciptakan
pengawasan yang diperlukan, setiap pemakai peralatan remote input diberi kunci,
kode, atau kartu sebagai tanda bahwa pemegangnya adalah pemakai yang sah.
Pengendalian akses lain adalah (1) prosedur call-back komputer apabila telepon
digunakan untuk men-dial komputer, dan (2) password yang dapat dicek oleh
komputer sebelum seseorang bisa memasukkan transaksi.
Pengendahan Data dan Prosedur
Pengendalian data dan prosedur memberikan suatu rerangka untuk
pengendalian pengoperasian komputer harian, meminimumkan kemungkinan
kesalahan pengolahan dan menjamin kelangsungan operasi pada saat teradi kerusakan
fisik atau kegagalan komputer. Pengendalian ini merupakan bagian dari komponen
aktivitas pengendalian pada SPI.
Dua tujuan pertama dapat dicapai melalui suatu fungsi pengendalian yang
dilakukan oleh orang-orang atau departemen yang secara organisasi berkedudukan
independen terhadap operasi komputer. Tanggungjawab ini seringkali dibebankan
pada kelompok pengendalian data dalam PDE. Fungsi pengendalian meliputi:
meliputi:
1) Penggunaan alat penyimpan file, program dan dokumen penting yang aman,
2) Perlindungan fisik dan pengaruh buruk lingkungan,
3) Retensi catatan formal dan recovery plan untuk data, dan
4) Menggunakan fasilitas backup dan lokasi lain apabila timbul bencana atau
gangguan.
Kemampuan untuk merekonstruksi file data juga sangat penting. Apabila
digunakan pengolahan berurutan, metoda untuk merekonstruksi catatan yang umum
digunakan adalah apa yang disebut grandfather-father-son concept seperti dilukiskan
pada bagian atas Gambar 12-6. Dalam konsep ini, master file yang baru dimutahirkan
adalah son (anak). Master file yang digunakan dalam melaksanakan pemutahiran
yang menghasilkan anak adalah father (Bapak), dan master file sebelumnya adalah
grandfather (kakek). Untuk memutahirkan master file yang lebih dahulu ini, catatan
transaksi untuk periode sekarang dan periode sebelumnya harus ditahan. Dalam hal
master file komputer periode ini-rusak, sistem memiliki kemampuan untuk
menggantinya. Sebaiknya ketiga generasi master file tersebut dan file transaksi
disimpan pada lokasi yang terpisah untuk memperkecil risiko hilangnya ketiga filepada saat-yang bersamaan. Apabila digunakan pengolahan akses langsung, maka
master file dan log transaksi harus dibuat salinannya ke dalam bentuk pita secara
periodik. Dalam hal on-line file rusak atau musnah, maka pita dapat digunakan
dengan program recovery khusus untuk merekonstruksi master file seperti dilukiskan
pada bagian bawah Gambar 12-6.
PENGENDALIAN APLIKASI
Ada tiga kelompok pengendalian aplikasi yang umum digunakan:
memadai bahwa pencatatan, pengolahan dan pelaporan data oleh PDE untuk aplikasi
tertentu telah dilaksanakan dengan baik. Auditor harus menilai pengendalianpengendalian tersebut secara terpisah untuk setiap aplikasi akuntansi yang signifikan
seperti pembuatan tagihan pada pelanggan dan pembuatan cek gaji. Pengendalianpengendalian tersebut merupakan bagian dan komponen aktivitas pengendalian pada
SPI.
Gambar 12-6
Backup dan Recovery Untuk Pita Magnetic dan Disk Files
Pengendalian Input
Pengendalian input merupakan hal yang sangat penting dalam sistem PDE
karena kebanyakan kekeliruan terjadi pada tahap ini. Pengendalian input dirancang
untuk mendapat jaminan yang memadai bahwa data yang diterima umuk diproses
telah diotorisasi dengan benar dan diubah menjadi bentuk yang bisa dibaca oleh
mesin. Pengendalian ini meliputi pula penolakan, perbaikan, dan pengiriman kembali
data yang semula keliru.
Otorisasi. Setiap entry transaksi harus mendapat otorisasi yang tepat dan
memperoleh persetujuan sesuai dengan otorisasi manajemen umum maupun khusus.
Apabila dokumen diproses secara individual, otorisasi biasanya diberikan dalam
bentuk tandatangan atau cap pada dokumen sumber. Akan tetapi apabila data input
dihimpun dalam bentuk batch, maka persetujuan biasanya diberikan oleh departemen
pemakai untuk setiap batch dokumen. Dalam hal-hal tertentu, komputer kadangkadang melakukan fungsi otorisasi. Sebagai contoh, permintaan pembelian secara
otomatis akan dibuat oleh komputer apabila kuantitas persediaan telah menurun
sampai tingkat pemesanan kembali. Pengendalian dalam hal ini terjadi setelah
kejadian berlangsung melalui review atas output yang dilakukan oleh kelompok
pengontrol data atau oleh departemen pemakai.
Konversi Data Input. Pengendalian atas konversi data menjadi bentuk yang
dapat dibaca oleh mesin diperlukan untuk menjamin bahwa data telah dimasukkan
dengan benar dan konversi data telah valid. Pengendalian spesifik meliputi:
Mising data check untuk menjamin bahwa semua field data yang diperlukan
telah lengkap dan tidak ada yang kosong.
Valid sign check untuk menentukan bahwa penandatangan data adalah benar.
Check digit untuk menentukan bahwa suatu rekening, karyawan, atau nomor
identifikasi lain telah dimasukkan dengan benar dengan menerapkan
pengoperasian
angka-angka
spesifik
pada
nomor
identifikasi
dan
Kontrol Penjumlahan (Control Totals). Biasa disebut juga batch totals yang
meliputi:
-
Documents or record counts, yaitu jumlah dokumen atau catatan yang akan
diproses.
Financial totals, yang dihitung dari dokumen sumber yang berisi informasi
keuangan.
Pengendalian Pengolahan
Pengendalian pengolahan dirancang untuk memberikan jaminan yang
memadai bahwa pengolahan komputer untuk aplikasi tertentu telah dilaksanakan
sebagaimana mestinya. Oleh karena itu pengendalian ini harus menjaga agar data
tidak hilang, ditambah, atau diduplikasi, atau ditunda selama pengolahan
berlangsung.
Pengendalian pengolahan bisa dilakukan dalam berbagai bentuk, tetapi yang
paling umum adalah pengendalian program yang disatukan dengan perangkat lunak
aplikasi individual. Hal ini meliputi:
File Identification Labels. Label eksternal secara fisik dilekatkan pada pita
magnetik atau disket sebagai penunjuk yang dapat dilihat atas suatu file. Libel file
internal diwujudkan dalam bentuk yang bisa dibaca oleh mesin dan dicocokkan
secara elektronik dengan instruksi operator tertentu yang disatukan dalam
program komputer sebelum pengolahan dapat dimulai atau sebelum pengolahan
bisa diselesaikan dengan baik.
Limit and Reasonableness aecks. Pengendalian ini sama seperti diuraikan dalam
computer editing.
Process Tracing Data. Pengendalian ini meliputi printout dan data tertentu untuk
inspeksi visual untuk memastikan bahwa pengolahan telah berjalan dengan benar.
Untuk penilaian atas perubahan dalam unsur data yang penting, penelusuran data
mencakup isi sebelum dan sesudah pengolahan.
Pengendaian Output
Pengendalin output dirancang untuk menjamin bahwa hasil pengolahan
adalah benar dan hanya orang-orang berwenang yang menerima hasil pengolahan
tersebut. Ketelitian hasil pengolahan meliputi file mutahir (yang hanya bisa dibaca
oleh mesin) dan hasil cetakan (printed output).Tujuan ini bisa dicapai melalui hal-hal
berikut:
kelompok pengongtrol data. Kelompok ini harus menaruh perhatian khusus atas
pendistribusian data yang sifatnya rahasia. Agar pengendalian atas disposisi output
dapat dilaksnakan dengan baik, maka dalam system dokumentasi perlu dibuat suatu
daftar distribusi laporan.
METODOLOGI UNTUK MEMENUHI STANDAR PEKERJAAN LAPANGAN
KEDUA
Secara konseptual, metodologi untuk memenuhi standar pekerjaan lapangan
kedua dalam suatu sistem PDE, tidak berbeda dengan metodologi yang diterapkan
pada sistem manual. Pengaruh suatu sistem PDE pada tahapan-tahapan untuk
memperoleh pemahaman mengenai SPI and penentuan risiko pengendalian akan
dijelaskan di bawah ini.
MENDAPATKAN PEMAHAMAN TENTANG SPI
Apabila PDE digunakan dalam aplikasi akuntansi secara signifikan, auditor
harus mendapatkan pemahaman tentang struktur pengendalian PDE yang memadai
untuk merencanakan audit. Pemahaman harus mencakup kelima komponen struktur
pengendalian dan meliputi baik pengendalian umum maupun pengendalian aplikasi.
Seperti halnya dalam sistem manual, auditor harus memperhatikan baik rancangan
pengendalian PDE maupun pengoperasiannya di lapangan.
Sifat dan luas prosedur yang harus dilakukan untuk mendapatkan pemahaman
pengendalian PDE bervariasi sesuai dengan besar dan kompleksitas sistem PDE, dan
sesuai pula dengan strategi audit awal yang digunakan untuk asersi-asersi spesifik
yang dipengaruhi oleh aplikasi PDE. Prosedur-prosedur akan lebih ekstensif apabila
auditor akan menggunakan strategi tingkat risiko pengendalian ditetapkan lebih
Gambar 12-7
Daftar Pertanyaan Pengendalian intern Pengendalian Umum PDE
DAFTAR PERTANYAAN PENGENDALIAN INTERN
Pertanyaan
Ya/Tidak/TD Komentar
Perancangan sistem?
b.
Pemograman komputer?
c.
Pengoprasian komputer?
d.
e.
Penyimpan
dokumentasi
system,
Pengontrol data
Apakah
tugas-tugas
di
bawah
ini
hanya
Pelaksanaan
dan
pengotorasasian
transaksi?
b.
c.
d.
Koreksi
sumber?
kesalahan
dalam
dokumen
e.
PENGENDALIAN
PENGEMBANGAN
SISTEM
DAN DOKUMENTASI
1.
2.
PENGENDALIAN
PERANGKAT
KERAS
DAN
2.
2.
3.
Apakah
terdapat
alat
penyimpan
back-up
Gambar 12-8
Daftar Pertanyaan Pengendalian intern Pengendalian Aplikasi
Pertanyaan
PENGENDALIAN INPUT
1.
2.
3.
PENGENDALIAN PENGOLAHAN
1.
2.
Ya/Tidak/TD Komentar
Apakah
ketelitian
output
dicek
dengan
auditor
tentang
struktur
pengendalian
PDE
harus
Gambar 12-9
Pertimbangan Penetapan Risiko Pengendalian Untuk Pengendalian Umum PDE
Salah Saji
Pengendalian yang
Kemungkinan
Potensial
Diperlukan
Pengujian Pengendalian
PENGENDALIAN ORGANISASI DAN OPERASI
Operator komputer bisa
Pemisahan tugas dalam
Observasi pemisah tugas
memodifikasi program
dalam PDE.
untuk menghindari
komputer dan
programmed control.
Personil PDE bisa
pengoprasian komputer
Pemisahan tugas antara
antara departemen
diotorisasi
dan pengolahan transaksi
PENGENDALIAN PENGEMBANGAN SISTEM DAN DOKUMENTASI
Rancangan sistem
Partisipasi dari personil
Mengajukan pertanyaan ug
mungkin tidak memenuhi
partisipasi dalam
auditor
perancangan dan
memeriksa persetujuan
baru.
Verivikasi intern tentang
otorisasi bisa
kebenaran otorisasi,
verifikasi intern;
mengakibatkan kekeliruan
pengujian dan
menelusur perubahan
dokumentasi perubahan
program ke dokumen
sebelum
pendukung
diimplementasikan.
PENGENDALIAN PERANGKAT KERAS DAN SISTEM PERNGKAT LUNAK
Tidak berfungsinya
Pengendalian perangkat
Periksa spesifikasi
peralatan bisa
mengakibatkan kekeliruan
dalam pengolahan.
berfungsinya pengolahan
Semua perubahan system
pendokumentasinya.
kesalahan pengolahan.
didokumentasikan.
PENGENDALIAN AKSES
Pemakai yang tidak
Keamanan fisik fasilitas
Inspeksi pengaturan
melakukan akses
pemakaian computer
keperalatan computer
File data dan program bisa
fasilitas komputer
Penggunaan library,
memiliki otorisasi
pemakaian monitor.
PENGENDALIAN DATA DAN PROSEDUR
Kekeliruan bisa terjadi
Kelompok pengontrol data
Observasi operasi
harus bertanggungjawab
untuk melaksanakan
pendistribusian output.
terduga mencakup
terduga
banjir.
File data dan program bisa
up yang aman.
Penyimpanan file dan
Periksa fasilitas
terpisah; kemungkinan
kemampuan untuk
merekontruksi file.
data.
Gambar 12-10
Pertimbangan Penetapan Risiko Pengendalian
Untuk Pengendalian Aplikasi PDE
Salah Saji
Pengendalian yang
Potensial
Diperlukan
PENGENDALIAN INPUT
Data transaksi tanpa
Otorisasi dan persetujuan
Kemungkinan
Pengujian Pengendalian
Periksa persetujuan pada
data didepartemen
untuk diproses.
pengiriman batch.
data.
Verivikasi (penginputan
Observasi prosedur
control totals.
Kekeliruan dalam
Menyelenggarakan log
totals.
Inspeksi logs dan bukti
kekeliruan; dikembalikan
ke departemen pemakai;
dikembalikan.
pengontrol data.
PENGENDALIAN PENGOLAHAN
File yang salah mungkin
Gunakan label eksternal
Observasi penggunaan
diproses atau
dan internal
dimutahirkan.
file internal.
Periksa bukti tentang
ditambah, diduplikasikan
pengujian urutan
berlangsung.
PENGENDALIAN OUTPUT
Output mungkin salah
Rekonsiliasi total oleh
kelompok pengontrol data
Output mungkin
didistribusikan kepada
pendistribusian;
distribusi;observasi
pemonitoran oleh
pemonitoran oelh
berwenang.
utama
dan
pengauditan
seputar
komputer
adalah
tidak
Terdapat kesenjangan yang cukup besar dalam alur transaksi yang bisa dilihat
mata.
pengetahuan khusus dan kemungkinan terjdi disruption atas operasi PDE klien
sementara auditor menggunakan peralatan PDE, program dan file.
Ada tiga tehnik audit berbantuan komputer yang banyak digunakan untuk
menguji operasi program pengendalian aplikasi tertentu, yaitu simulasi paralel
(parallel simulation), data uji (test data), dan fasilitas pengujian terpadu (integrated
test facility).
Simuasi Paralel
Dalam simulasi paralel, data perusahaan sesungguhnya diproses ulang dengan
menggunakan program perangkat lunak milik auditor. Metoda ini disebut demikian
karena perangkat lunak dirancang untuk mereproduksi atau simulasi pengolahan data
riil klien. Pendekatan ini dapat dilihat pada Gambar 12-11 bagian kiri.
Simulasi paralel bisa dilakukan pada waktu yang berbeda sepanjang tahun
yang diaudit, dan bisa juga diterapkan untuk mengolah ulang data historis.
Pendekatan ini tidak mengkontaminasi file klien, dan bisa dilakukan pada fasilitas
komputer independen.
Pendekatan ini mempunyai keuntungan-keuntungan berikut:
Karena digunakan data riil, maka auditor bisa melakukan verifikasi atas transaksi
dengan menelusurnya ke dokumen sumber dan persetujuannya.
Ukuran sampel bisa diperbesar dengan tambahan biaya yang relatif rendah.
auditor harus berhati-hati dalarn memilih data dan yakin bahwa data yang dipilih
mewakili transaksi kilen yang sesungguhnva. Bisa juga terjadi bahwa sistem klien
bisa melakukan pengoperasian di luar kapasitas software milik auditor.
Data Uji
Dalam pendekatan pengujian data, auditor menggunakan sejumlah transaksi
buatan yang diolah dengan program komputer klien di bawah pengawasan auditor.
Data uji-terdiri dari satu transaksi untuk setiap kondisi valid atau tidak valid yang
ingin diuji auditor. Sebagai contoh, data uji penggajian meliputi baik suatu
pembayaran lembur yang valid maupun yang tidak valid. Output dari hasil
pengolahan data uji selanjutnya dibandingkan dengan output yang diharapkan auditor
untuk memastikan apakah pengendalian telah berjalan secara efektif Pendekatan
pengujian ini relative sederhana, cepat dan murah. Namun metoda ini memiliki
sejumlah kelemahan berikut:
Program Mien diuji hanya pada suatu saat tertentu dan tidak mencakup sepanjang
periode yang diaudit.
Operator komputer mengetahui bahwa data uji akan dijalankan. Hal ini bisa
mengurangi validitas output.
cara ini data uji akan dihadapkan pada pengendalian program yang sama seperti data
sesungguhnya. Untuk subsistem, atau file buatan, dihasilkan output yang terpisah.
Hasilnya dibandingkan dengan harapan auditor.
Gambar 12-1l
Pendekatan Simulasi Paralel dan Uji Data
Kelemahan metoda ini adalah adanya kesalahan potensial dalam data klien.
Selain itu mungkin diperlukan modifikasi atas program klien untuk mengakomodasi
data buatan.
Perbandingan Pendekatan
Perbedaan pokok antara pendekatan simulasi paralel dengan pendekatan data
uji nampak pada Gambar 12-11. Perbandingan output pada masing-masing
pendekatan dibuat secara manual oleh auditor. Tehnik fasilitas pengujian terpadu
menggabungkan semua unsur dan masing-masing metoda karena baik data uji
maupun transaksi sesungghhnya diproses secara serempak.
Terlepas dari metoda mana yang dipilih untuk menguji efektivitas program
pengendalian, prosedur yang dilakukan adalah analog dengan prosedur manual untuk
menelusuri transaksi melalui semua atau beberapa komponen struktur pengendalian
intern klien untuk menentukan keberadaan dan efektivitas pengendalian intern
tertentu. Namun demikian, berbeda dengan cara manual. prosedur-prosedur dilakukan
dengan menggunakan komputer dan tidak meninggalkan alur yang dapat dilihat.
Hanya apabila terdapat transaksi yang tidak memenuhi pengendalian tertentu yang
telah diprogram, maka akan muncul pesan tentang adanya kekeliruan.
PENGUJIAN PENGENDALIAN DALAM ON-LINE ENTRY! PENGOLAHAN
ON-LINE
Sebenarnya dimungkinkan untuk menggunakan data uji untuk menguji
Pengendalian pada suatu sistem on-line entry/pengolahan on-line (biasa disebut juga
on-line real time si stein [OLRT]). Namun pendekatan ini tidak banyak digunakan
oleh para auditor karena adanya kontaminasi atas data file dan adanya kesulitan
dalam membalikkan data hipotetis. Simulasi paralel bisa juga digunakan, tetapi
perangkat lunak yang tersedia yang dapat digunakan untuk mensimulasi pada sistem
OLRT sangat terbatas.
Sebagai pengganti pengujian tradisional, auditor sering menggunakan
pemonitoran berkelanjutan atau continuous monitoring atas sistem. Pada tehnik ini
ditambahkan suatu audit routine pada program pengolahan klien. Transaksi-transaksi
yang masuk ke dalam sistem disampel secara acak dan outputnya digunakan untuk
pengujian pengendalian.
Untuk mengintegrasikan perangkat lunak audit ke dalam sistem pengolahan
ORLT, maka dalam program komputer klien harus diciptakan kemampuan audit hook
pada saat program tersebut dibuat, baik untuk program pengoperasian maupun
program aplikasi. Audit hook adalah titik-titik tertentu dalam suatu program yang
memungkinkan modul audit atau program untuk diintegrasikan ke dalam aktivitas
pengolahan normal sistem. Modul audit ini bisa digunakan auditor untuk memiih
transaksi-transaksi yang memiliki karakteristik yang diinginkan auditor, seperti
transaksi jenis tertentu, atau suatu jumlah yang lebih lebih besar atau lebih kecil dan
nilai tertentu. Sekali karakteristik ini diidentiflkasi, maka selanjutnya catatan tentang
hal tersebut akan ditahan dengan menggunakan salah satu dan berbagai metoda yang
tersedia. Metoda-metoda tersebut antara lain adalah tagging transactions dan audit
log.
Tagging Transactions
Tagging transactions menyangkut peletakan suatu indikator, atau tag, pada
transaksi-transaksi tertentu. Adanya tag tersebut akan menyebabkan transaksi bisa
ditelusuri melalui sistem yang dilaluinya dalam proses pengolahan. Sistem harus
diprogram supaya menghasilkan hard-copy printout dari semua alur yang dilalui
transaksi. Dengan demikian data akan bisa ditangkap, karena data yang telah diberi
tag transaksi akan berinteraksi pada setiap tahapan yang ditetapkan dalam
pengolahan.
Audit Log
Audit log atau sering disebut system control audit review file (SCARF),
adalah suatu catatan tentang aktivitas pengolahan tertentu. Log digunakan untuk
mencatat kejadian-kejadian yang memenuhi kriteria tertentu yang ditetapkan auditor
pada saat terjadi, pada suatu titik tertentu dalam sistem. Transaksi atau kejadian yang
teridentifikasi dicatat dalam suatu file yang hanya tersedia bagi auditor. Di kemudian
hari, auditor bisa mencetak atau menggunakan tehnik lain untuk menganalisis file
tersebut dan melakukan pengujian lanjutan bila diperlukan.
LAIN-LAIN
Apabia PDE digunakan untuk transaksi-transaksi akuntansi yang signifikan,
auditor bisa menggunakan paket-paket perangkat lunak audit di dalam audit yang
dilakukannya. Perangkat lunak audit telah dikembangkan untuk berbagai macam
aplikasi termasuk untuk pengujian pengendalian dan pengujian substantif. Auditor
juga perlu mempertimbangkan pengaruh pemeriksaan terhadap sistem komputer
mikro dan pusat pelayanan komputer.
PERANGKAT LUNAK AUDIT DIGENERALISASI
Salah satu jenis perangkat lunak audit yang banyak digunakan dewasa ini
adalah apa yang disebut perangkat lunak audit digeneralisasi (generalized audit soft
ware). Perangkat lunak ini bisa digunakan auditor pada file-file klien PDE yang
dihasilkan melalui berbagai macam organisasi data dan metoda pengolahan. Dengan
demikian bisa dipindahkan dan klien yang satu ke klien lainnya. Pada awalnya paketpaket ini sangat mahal untuk pengembangan dan pemeliharaannya. Namun sekarang
tersedia paket-paket dengan harga yang relatif tidak begitu mahal, termasuk paket
yang dikembangkan oleh AICPA, dan kantor-kantor akuntan publik yang membuat
sendiri paket-paket perangkat lunak audit yang juga dijual kepada umum. Tahapantahapan dalam rangka penggunaan perangkat lunak audit meliputi:
Mengolah aplikasi pada data klien yang sesungguhnya dan meriview hasilnya.
Pemakaian perangkat lunak audit digeneralisasi memungkinkan auditor untuk
dapat bekerja secara efektif dengan kuantitas data yang sangat hesar. Apabila
dibandingkan dengan audit tanpa bantuan komputer, pemakaian perangkat lunak audit
akan lebih ekonomis, karena dalam pengumpulan bukti audit untuk jumlah yang sama
ternyata biayanya lebih murah. Pernakaian perangkat lunak audit berarti juga tidak
terlalu mengandalkan pada personil klien PDE dan pemakaiannya terbatas hanya
pada file data Mien yang tersedia.
Perangkat lunak audit digeneralisasi dapat digunakan baik dalam pengujian
pengendalian maupun dalam pengujian substantif Contoh penggunaan dalam
pengujian pengendalian misalnya pembandingan antara harga-harga di file faktur
penjualan dikomputerisasi dengan master file harga yang telah diotorisasi untuk
menentukan frekuensi penggunaan harga yang tidak diotorisasi, dan pembandingan
antara detil pendebetan ke rekening pelanggan dengan file data kredit pelanggan
untuk menentukan ada tidaknya pemberian kredit yang melebihi batas yang telah
Tidak Ada Pembagian Tugas antara Departemen PDE dengan Fen akai. Dalam
banyak hal, pemakai bisa melaksanakan dan mengotorisasi transaksi dan
sekaligus juga mengolah serta mendistribusikan output.
berlaku pula dan sama pentingnya bagi sistem yang kecil. Hal-hal yang memerlukan
perhatian khusus dalam sitsem komputer kecil adalah:
Entri Data. Karena data dimasukkan langsung ke dalam sistem melalui terminal,
maka pengendalian harus ditekankan pada sumber data asli dan deteksi kesalahan
pada saat entry dilakukan.
Tidak ada Pengujian Batas dan Kewajaran. Banyak sistem menggunakan paket
perangkat lunak yang dibeli dari luar, tetapi perangkat lunak tersebut tidak berisi
program untuk melakukan pengujian ini, atau pengujian yang tersedia tidak
bermanfaat bagi pemakai. Kelemahan ini dapat diatasi apabila pengendalian lebih
ditekankan pada dokumen sumber asli.
Pengujian pengendalian meliputi tehnik-tehnik yang sama seperti telah dibahas untuk
sistem komputer besar di atas. Namun demikian diperlukan pertimbangan khusus
dalam merencanakan pengujian mengingat jumlah data yang dapat disimpan dalam
media magnetik pada sistem kecil, dan terbatasnya jangka waktu alur audit bisa
ditahan.
ORGANISASI PEMBERI JASA KOMPUTER
Organisasi pemberi jasa komputer adalah suatu organisasi atau entitas yang
memberi jasa PDE bagi entitas lain selaku organisasi pemakai. Sebagai contoh,
organisasi pemberi jasa komputer antara lain service centers PDE yang memproses
data transaksi dan data lain yang berkaitan untuk pihak lain, bank trust department
yang menginvestasikan dan mengurusi aktiva dalam rangka employee benefit plan,
serta mortgage bankers. Apabila digunakan organisasi pemberi jasa semacam itu,
maka hal tersebut akan berpengaruh terhadap pertimbangan auditor atas struxtur
pengendalian intern organisasi pemakai karena laporan keuangan organisasi pemakai
akan terpengaruh oleh kebijakan dari prosedur organisasi pemberi jasa, yang paling
tidak untuk sebagian, secara fisik dan operasional terpisah dari organisasi pemakai.
Dalam hal demikian, auditor organisasi pemakai (selanjutnya disebut auditor), harus
mempertimbangkan signifikansi keterlibatan organisasi pemberi jasa berdasarkan
berbagai faktor seperti sifat dan marerialitas transaksi yang diproses oleh organisasi
pemberi jasa, dan tingkat interaksi antara pemakai dengan kebijakan dan prosedur
organisasi pemberi jasa.