DAMPAK TEKNOLOGI INFORMASI TERHADAP PROSES AUDIT

Karena bertanggung jawab untuk memahami pengendalian internal, auditor harus

mengetahui tentang pengendalian umum dan pengendalian aplikasi, tanpa memperhatikan
apakah sistem Ti klien kompleks atau sederhana. Pengetahuan tentang pengendalian umum akan
meningkatkan kemampuan auditor dalam menilai dan mengandalkan pengendalian aplikasi yang
efektif yang mengurangi resiko pengendalian bagi tujuan audit terkait. Bagi auditor perusahaan
publik harus menerbitkan pendapat mengenai pengendalian internal atas pelaporan keuangan,
pengetahuan tentang pengendalian umum dan aplikasi sangatlah penting.

Auditor harus mengevaluasi keaktifan pengendalian umum sebelum mengevaluasi

pengendalian aplikasi. Pengendalian umum mempunyai pengaruh pervasive terhadap keefektifan
pengendalian aplikasi, sehingga auditor harus mengevaluasi terlebih dahulu pengendalian
tersebut sebelum menyimpulkan apakah pengendalian aplikasi sudah efektif.

Pengaruh Pengendalian Umum terhadap Aplikasi Keseluruhan Sistem Pengendalian umum

yang tidak efektif akan menimbulkan potensi salah saji yang material pada semua aplikasi
sistem, tanpa memperhatikan mutu dari setiap pengendalian aplikasi. Jika pengendalian umum
dianggap sudah efektif, auditor akan sangat bergantung pada pengendalian aplikasi.

Pengaruh Pengendalian Umum terhadap Perubahan Perangkat Lunak Jika pengendalian

umumnya efektif, auditor dapat dengan mudah mengidentifikasi kapan perubahan perangkat
lunak dilakukan. Namun bagi perusahaan yang pengendalian umumnya lemah, mungkin sulit
untuk mengidentifikasi perubahan perangkat lunak.

Memahami Pengendalian Umum Klien Biasanya auditor memperoleh informasi tentang

pengendalian umum dan aplikasi melalui cara-cara berikut:

 Wawancara dengan personil TI dan para pemakai kunci

 Memeriksa dokumentasi sistem seperti bagan arus, manual pemakai, permintaan
perubahan program, dan hasil pengujian sistem
 Mereview kuisioner terinci yang diselesaikan oleh staf TI

Mengaitkan Pengendalian TI dengan Tujuan Audit yang Berkaitan dengan Transaksi

Auditor dapat menggunakan matriks resiko pengendalian, guna membantunya mengidentifikasi
pengendalian manual maupun pengendalian aplikasi yang terotomatisasi dan defisiensi
pengendalian bagi setiap tujuan audit yang terkait.

Pengaruh Pengendalian TI terhadap Pengujian Substansif Setelah mengidentifikasi

pengendalian aplikasi khusus yang dapat digunakan untuk mengurangi risiko pengendalian,
auditor lalu mengurangi pengujian substansif. Karena pengendalian aplikasi yang terotomatisasi
bersifat sistematis, hal itu akan memungkinkan auditor mengurangi ukuran sampel yang
digunakan untuk menguji pengendalian tersebut baik dalam audit laporan keuangan maupun
audit pengendalian internal atas pelaporan keuangan.

Banyak organisasi yang memiliki lingkungan TI yang tidak rumit sering kali sangat
bergantung pada mikrokomputer untuk melakukan fungsi-fungsi sistem akuntansi. Penggunaan
mikrokomputer dapat menimbulkan pertimbangan audit yang unit berikut:

 Ketergantungan yang terbatas pada pengendalian yang terotomatisasi. Bahkan dalam

lingkungan TI yang kurang canggih, pengendalian yang terotomatisasi sering kali dapat
diandalkan.
 Akses ke file induk. Apabila klien menggunakan mikrokomputer, auditor harus
memperhatikan akses ke file induk oleh orang-orang yang tidak berwenang.
 Risiko virus computer. Virus computer dapat menyebabkan hilangnya data dan program.
Virus-virus tertentu bahkan dapat merusak file elektronik atau menyebabkan shut down
jaringan komputer secara keseluruhan.

Pendekatan Data Pengujian Dalam pendekatan data pengujian (tes data approach), auditor
memroses data pengujiannya sendiri dengan menggunakan sistem komputer klien dan program
aplikasi untuk menentukan apakah pengendalian yang terotomatisasi memroses dengan tepat
data pengujian itu.

Apabila menggunakan pendekatan data pengujian, auditor mempunyai tiga pertimbangan

utama:

1. Data pengujian harus mencakup semua kondisi yang relevan yang ingin diuji auditor.
Auditor harus merancang data pengujian untuk menguji semua pengendalian kunci
berbasis-komputer dan memasukkan data yang realistic yang mungkin akan menjadi
bagian dari pemrosesan normal klien, termasuk transaksi sah dan tidak sah.
2. Program aplikasi yang diuji oleh data pengujian auditor harus sama dengan yang
digunakan klien selama tahun berjalan. Salah satu pendekatan adalah menjalankan data
pengujian atas dasar kejutan, mungkin secara acak selama tahun berjalan, walaupun agak
mahal dan menghabiskan waktu.
3. Data pengujian harus dieliminasi dari catatan klien. Jika auditor memroses data
pengujian sedangkan klien memroses transaksinya sendiri, auditor harus menghilangkan
data pengujian dalam file induk klien setelah pengujian itu selesai.

Simulasi Paralel Auditor sering kali menggunakan perangkat lunak yang dikendalikan untuk
melaksanakan operasi yang sama dengan yang dilaksanakan oleh perangkat lunak klien, dengan
menggunakan file data yang juga sama. Tujuannya adalah untuk menentukan keefektifan
pengendalian yang terotomatisasi dan untuk mendapatkan bukti tentang saldo akun elektronik.
 Biasanya auditor melakukan pengujian simulasi dengan menggunakan perangkat lunak
audit tergeneralisasi (generalized audit software – GAS), yaitu program yang dirancang secara
khusu untuk tujuan auditing.

Perangkat lunak audit tergeneralisasi memiliki tiga keunggulan: relatif mudah melatih
staf audit untuk menggunakannya, perangkat lunak tersebut dapat diterapkan pada berbagai klien
dengan penyesuaian yang minimal, dan mampu melaksanakan pengujian audit jauh lebih cepat
dan lebih terperinci.

Pendekatan Modul Audit Tertanam Ketika menggunakan pendekatan modul audit tertanam
(embedded audit modul approach), auditor menyisipkan modul audit dalam sistem aplikasi klien
untuk mengidentifikasi jenis transaksi tertentu. Sebagai contoh, auditor mungkin ingin
menggunakan modul audit tertanam guna mengidentifikasi semua pembelian yang melebihi
$25.000 untuk ditindaklanjuti dengan pemeriksaan yang lebih terperinci bagi tujuan keterjadian
dan keakuratan yang berkaitan dengan transaksi.

PERMASALAHAN PADA LINGKUNGAN TI YANG BERBEDA

Masalah pada Lingkungan Jaringan

Meningkatnya penggunaan jaringan yang menghubungkan peralatan seperti

mikrokomputer, komputer berukuran menengah, mainframe, workstation, server, dan printer
telah mengubah keberadaan TI di banyak perusahaan. Local area Network (LAN)
menghubungan peralatan dalam satu atau cluster bangunan kecil dan hanya digunakan dalam
satu perusahaan. LAN seringkali digunakan untuk mentransfter data dan program dari satu
computer atau workstation dengan menggunakan perangkat lunak sistem jaringan, yang
memungkinkan semua peralatan berfungsi secara bersamaan. Wide area Network (WAN)
menghubungkan peralatan dalam daerah geografis yang lebih luas, termasuk operasi global.

Sistem manajemen database (database management systems)

Sistem manajemen database memungkinkan klien membuat database yang meliputi

informasi yang dapat digunakan bersama dalam banyak aplikasi. Dalam sistem nondatabase,
setiap aplikasi mempunyai file data sendiri, sedangkan dalam sistem manajemen database,
banyak aplikasi saling berbagi file. Klien mengimplementasikan sistem manajemen database
untuk mengurangi kelebihan data, meningkatkan pengendalian atas data, dan menyediakan
informasi yang lebih baik bagi pengambilan keputusan dengan mengintegrasikan informasi
disemua fungsi dan departemen.

Masalah pada Sistem E-commerce

 Penggunaan sistem e-commerce juga membuat data perusahaan yang sensitif, program,
dan perangkat keras terbuka terhadap kemungkinan campur tangan atau sabotase oleh pihak luar.
Untuk membatasi keterbukaan ini, perusahaan menggunakan firewall, teknik enkripsi, dan tanda
tangan digital.

Firewall melindungi data, program, dan sumber daya TI lainnya dari para pemakai
eksternal yang tidak berhak untuk mengakses sistem melalaui jaringan, seperti Internet.

Teknik enkripsi (encryption techniques) melindungi keamanan komunikasi elektronik

ketika informasi sedang dikirimkan.

Tandatangan digital digunakan untuk membuktikan keaslian validitas mitra dagang

yang melaksanakan bisnis secara elektronik, perusahaan dapat mengandalkan otoritas sertifikasi
eksternal yang memverifikasi sumber kunci publik.

Masalah yang Timbul Ketika Klien Mengoutsource TI

Banyak klien mengoutsource beberapa atau semua kebutuhan TI-nya kepada pusat
pelyanan (service center) computer yang independen, termasuk penyedia jasa aplikasi
(application service providers = ASP), dan bukan menyelenggarakan pusat TI internal. Apabila
mengoutsourcing kepada pusat jasa komputer, klien menyerahkan data input, yang akan diproses
oleh pusat jasa dengan membayar fee tertentu, dan mengembalikan output yang telah disepakati
serta input aslinya.

Memahami Pengendalian Internal dalam Sistem Outsource Standar auditing mengharuskan

auditor mempertimbangkan kebutuhan untuk memahami dan menguji pengendalian pusat jasa,
jika aplikasi pusat jasa itu melibatkan pemrosesan data keuangan yang penting. Untuk
memahami dan menguji pengendalian pusat jasa, auditor harus menggunakan kriteria yang sama
dengan yang digunakan dalam mengevaluasi pengendalian internal klien.

Ketergantungan pada Auditor Pusat Jasa Jika pusat jasa mempunyai banyak pelanggan dan
masing-masing memerlukan pemahaman atas pengendalian internal pusat jasa itu oleh auditor
independennya sendiri, kesulitan dan biaya yang akan dihadapi pusat jasa itu dapat sangat besar.

SAS 70 (AU 324), sebagaimana diamandemenkan oleh SAS 78 dan SAS 80, memberikan
pedoman kepada (1) auditor yang mengeluarkan laporan tentang pengendalian internal organisasi
jasa dan (2) auditor organisasi pemakai yang mengandalkan laporan auditor pusat jasa. Auditor
pusat jasa dapat mengeluarkan dua jenis laporan:

• Laporan tentang pengendalian yang telah diimplementasikan

• Laporan tentang pengendalian yang telah diimpelementasikan dan diuji untuk keefektifan
operasi
 Laporan tentang pengendalian yang telah diimplementasikan akan membantu auditor
memahami pengendalian internal untuk merencanakan audit. Akan tetapi, auditor juga
memerlukan bukti tentang keefektifan pelaksanaan pengendalian untuk menilai risiko
pengendalian, terutama ketika mengaudit pengendalian internal atas pelaporan keuangan
perusahaan public. Bukti ini dapat:

 Didasarkan pada laporan auditor pusat jasa tentang pengendalian yang telah
diimplementasikan dan pengujian atas efektivitas operasi atau pelaksanaannya
 Berasal dari pengujian pengendalian organisasi pemakai atas aktivitas organisasi jasa
 Diperoleh ketika auditor pemakai melaksanakan pengujian yang tepat pada organisasi
jasa.

Jika auditor pemakai memutuskan untuk menggunakan laporan auditor pusat jasa, Tanya-
jawab yang sesuai harus dilakukan menyangkut reputasi auditor pusat jasa. Standar auditing
menyatakan bahwa auditor pemakai tidak boleh mengacu pada laporan auditor pusat jasa dalam
memberikan pendapat tentang laporan keuangan organisasi pemakai.