Teknologi informasi dapat mempengaruhi risiko pengendalian secara keseluruhan. Risiko- risiko tersebut meningkatkan kemungkinan salah saji material dalam laporan keuangan. Risiko-risiko khusus terkait dengan sistem TI antara lain: 1. Risiko terhadap perangkat keras (hardware) dan data Ketergantungan terhadap kemampuan kerja perangkat keras (hardware) dan perangkat lunak (software) Kesalahan sistematik dan kesalahan acak Akses yang tidak diotorisasi Kehilangan data 2. Berkurangnya jejak audit Kejelasan jejak audit Berkurangnya keterlibatan manusia Kurangnya otorisasi tradisional 3. Kebutuhan terhadap pengalaman di bidang TI dan pemisahan tugas-tugas TI Berkurangnya pemisahan tugas Kebutuhan akan pengalaman di bidang TI Pengendalian Internal Khusus untuk Teknologi Informasi Standar audit menjelaskan ada dua kategori pengendalian untuk sistem teknologi informasi yaitu: 1. Pengendalian umum Diterapkan pada semua aspek dalam fungsi TI termasuk pengaturan TI Pemisahan tugas-tugas TI Pengembangan sistem Pengamanan fisik dan online terhadap akses pada perangkat lunak, perangkat keras dan data terkait Rencana cadangan dan kontinjensi jika terjadi kondisi darurat yang tidak diperkirakan sebelumnya Pengendalian perangkat keras 2. Pengendalian aplikasi Diterapkan untuk memproses transaksi-transaksi, seperti pengendalian terhadap pemrosesan penjualan atau penerimaan kas. Auditor harus mengevaluasi pengendalian aplikasi untuk setiap kelompok transaksi atau akun dimana auditor merencanakan untuk menguarangi penilaian risiko pengendalian karena pengendalian TI akan berbeda di setiap kelompok transaksi dan akun. Kategori pengendalian umum dan pengendalian aplikasi antara lain: Pengendalian umum Pengaturan fungsi TI Pemisahan tugas-tugas TI Pengembangan sistem Keamanan fisik dan online Rencana cadangan dan kontijensi Pengendalian perangkat keras Pengendalian aplikasi Pengendalian input Pengendalian proses Pengendalian output Dampak Teknologi Informasi dalam Proses Audit Pengaruh pengendalian umum terhadap risiko pengendalian Auditor harus mengevaluasi efektivitas pengendalian umum sebelum mengevaluasi pengendalian aplikasi. Pengendalian umum memiliki dampak yang luas terhadap efektivitas pengendalian aplikasi, sehingga auditor harus mengevaluasi pengendalian tersebut terlebih dahulu sebelum menyimpulkan apakah pengendalian aplikasinya efektif. Pengaruh pengendalian umum terhadap aplikasi sistem secara keseluruhan Pengendalian umum yang tidak efektif menghasilkan potensi salah saji material pada seluruh aplikasi sistem, tanpa melihat kualitas dari setiap pengendalian aplikasi. Jika auditor memperhatikan bahwa arsip data tidak dijaga dengan memadai, auditor dapat menyimpulkan terdapat risiko kehilangan data yang signifikan untuk setiap kelompok transaksi yang mengandalkan data tersebut untuk melakukan pengendalian aplikasi. Auditor dipandang perlu untuk memperluas pengujian audit di beberapa bagian seperti penerimaan kas, pengeluaran kas dan penjualan ntuk memenuhi kebutuhuan kelengkapan. Jika pengendalian umum efektif, auditor dapat menempatkan keandalan yang lebih besar pada pengendalian aplikasi. Auditor kemudian dapat menguji pengendalian aplikasi untuk efektivitas operasi dan mengandalkan hasilnya untuk mengurangi pengujian substantif. Pengaruh pengendalian umum terhadap perubahan perangkat lunak Perubahan klien terhadap aplikasi perangkat lunak mempengaruhi kepercayaan auditor terhadap pengendalalian otomatis. Ketika klien mengubah perangkat lunaknya, auditor mengevaluasi apakah pengujian tambahan diperlukan. Jika pengendalian umum efektif, auditor dapat dengan mudah mengidentifikasi kapan perubahan perangkat lunak dilakukan, namun dalam perusahaan-perusahaan yang memiliki pengendalian umum yang lemah akan sulit untuk mengidantifikasi perubahan perangkat lunak, akibatnya ketika pengendalian umum lemah auditor harus mempertimbangkan untuk melakukan pengujian pengendalian aplikasi di sepanjang audit tahun berjalan. Mendapatkan pemahaman atas pengendalian umum klien Auditor biasanya mendapatkan informasi mengenai pengendalian umum dan aplikasi melalui beberapa cara yaitu: Melakukan wawancara dengan personel TI dan para pengguna utama Memeriksa dokumentasi sistem seperti bagan arus, petunjuk penggunaan bagi para pengguna, permohonan perubahan program, dan pengujian hasilnya Mengkaji hasil perincian kuesioner yang diisi oleh para staf TI Dalam banyak kasus auditor harus menggunakan beberapa pendekatan diatas karena masing-masing memberikan informasi yang berbeda. Pengkajian permohonan perubahan program dan hasil pengujian sistem berguna untuk mengidentifikasi perubahan program dalam aplikasi perangkat lunak. Dampak dari pengendalian TI terhadap risiko pengendalian dan pengujian substantif 1. Menghubungkan pengendalian TI dengan tujuan audit terkait transaksi 2. Pengaruh pengendalian TI terhadap pengujian substantif Pengauditan dalam lingkungan TI yang tidak terlalu kompleks Auditor pada perusahaan-perusahaan yang lebih kecil sering kali mengaudit disekitar komputer ketika pengendalian umum kurang efektif dibandingkan dengan lingkungan TI yang lebih kompleks. Penggunaan komputer mikro menghasilkan pertimbangan audit yang khas meliputi: a. Ketergantungan yang terbatas pada pengendalian otomatis b. Akses terhadap arsip utama c. Risiko virus komputer Pengauditan dalam lingkungan TI yang lebih kompleks a. Pendekatan pengujian data Ketika menggunakan pendekatan pengujian data, auditor memiliki tiga pertimbangan utama yaitu: 1. Pengujian data hasus memasukkan semua kondisi yang ingin diuji oleh auditor 2. Program aplikasi yang diuji oleh data uji auditor harus sama dengan data yang digunakan oleh klien di sepanjang tahun 3. Data yang diuji harus dihapuskan dari catatan klien Simulasi paralel Auditor sering menggunakan perangkat lunak yang dikendalikan auditor untuk melakukan operasi yang sama dengan yang dikerjakan oleh perangkat lunak milik klien, dengan menggunakan arsip yang sama. Tujuannya adalah untuk menentukan efektivitas pengendalian otomatis dan untuk mendapatkan bukti mengenai saldo akun secara elektronik. Pendekatan modul audit melekat Pendekatan modul audit melekat memungkinkan auditor untuk dapat terus menerus mengaudit transaksi-transaksi dengan mengidentifikasi transaksi aktual yang diproses oleh klien dibandingkan dengan data yang diuji dan pendekatan simulasi paralel, yang hanya bisa dilakukan dengan pengujian berselang. Masalah-Masalah dalam Lingkungan TI yang Berbeda 1. Masalah-masalah dalam lingkungan jaringan Dalam jaringan, aplikasi perangkat lunak dan arsip data yang digunakan untuk memproses transaksi dimasukkan ke dalam beberapa komputer yang terhubung satu sama lainnya. Akses terhadap aplikasi dari komputer mikro atau workstation diatur oleh perangkat lunak sever jaringan. 2. Masalah-masalah dalam sistem manajemen basis data Sistem manajemen basis data memungkinkan klien untuk menciptakan basis data yang memasukkan informasi yang dapat digunakan bersama diantara beragam aplikasi. Tujuan klien menerapkan sistem manajemen basis data adalah untuk mengurangi duplikasi data, meningkatkan pengendalian terhadap data, dan memberikan informasi yan lebih baik untuk pengambilan keputusan dengan mengintegrasikan informasi di sepanjang fungsi-fungsi dan departemen- departemen dalam perusahaan. 3. Masalah-masalah dalam sistem E-Commerce Firewall berfungsi melindungi data, program dan sumber daya TI lainnya dari para pengguna eksternal yang tidak sah untuk mengakses sistem melalui jaringan. Teknik enkripsi melindungi keamanan komunikasi elektronik ketika informasi ditransmisikan. 4. Masalah-masalah ketika klien mensubkontrakkan kebutuhan TI a. Memahami pengendalian internal dalam sistem subkontrak Ketika mendapatkan pemahaman dan menguji pengendalian pusat layanan, auditor harus menggunakan kriteria yang sama dengan yang digunakan untuk mengevaluasi pengendalian internal klien. b. Tingkat kepercayaan terhadap auditor pusat layanan komputer PSA 70 (SA 324) memberikan panduan bagi (1) auditor untuk menerbitkan laporan atas pengendalian internal organisasi penyedia jasa (auditor perusahaan penyedia jasa), dan (2) auditor organisasi pengguna (auditor perusahaan pengguna layanan) yang mengandalkan laporan auditor perusahaan penyedia jasa. Auditor perusahaan penyedia jasa dapat menerbitkan dua jenis laporan berikut: Laporan atas pengendalian yang diterapkan Laporan atas pengendalian yang diterapkan serta pengujian efektivitas operasinya