DAMPAK TEKNOLOGI INFORMASI TERHADAP PROSES AUDIT

Menilai Risiko Teknologi Informasi

Teknologi informasi dapat mempengaruhi risiko pengendalian secara keseluruhan. Risiko-
risiko tersebut meningkatkan kemungkinan salah saji material dalam laporan keuangan.
Risiko-risiko khusus terkait dengan sistem TI antara lain:
1. Risiko terhadap perangkat keras (hardware) dan data
 Ketergantungan terhadap kemampuan kerja perangkat keras (hardware) dan
perangkat lunak (software)
 Kesalahan sistematik dan kesalahan acak
 Akses yang tidak diotorisasi
 Kehilangan data
2. Berkurangnya jejak audit
 Kejelasan jejak audit
 Berkurangnya keterlibatan manusia
 Kurangnya otorisasi tradisional
3. Kebutuhan terhadap pengalaman di bidang TI dan pemisahan tugas-tugas TI
 Berkurangnya pemisahan tugas
 Kebutuhan akan pengalaman di bidang TI
Pengendalian Internal Khusus untuk Teknologi Informasi
Standar audit menjelaskan ada dua kategori pengendalian untuk sistem teknologi informasi
yaitu:
1. Pengendalian umum
 Diterapkan pada semua aspek dalam fungsi TI termasuk pengaturan TI
 Pemisahan tugas-tugas TI
 Pengembangan sistem
 Pengamanan fisik dan online terhadap akses pada perangkat lunak,
perangkat keras dan data terkait
 Rencana cadangan dan kontinjensi jika terjadi kondisi darurat yang
tidak diperkirakan sebelumnya
 Pengendalian perangkat keras
2. Pengendalian aplikasi
Diterapkan untuk memproses transaksi-transaksi, seperti pengendalian terhadap
pemrosesan penjualan atau penerimaan kas. Auditor harus mengevaluasi
 pengendalian aplikasi untuk setiap kelompok transaksi atau akun dimana
auditor merencanakan untuk menguarangi penilaian risiko pengendalian karena
pengendalian TI akan berbeda di setiap kelompok transaksi dan akun.
Kategori pengendalian umum dan pengendalian aplikasi antara lain:
 Pengendalian umum
 Pengaturan fungsi TI
 Pemisahan tugas-tugas TI
 Pengembangan sistem
 Keamanan fisik dan online
 Rencana cadangan dan kontijensi
 Pengendalian perangkat keras
 Pengendalian aplikasi
 Pengendalian input
 Pengendalian proses
 Pengendalian output
Dampak Teknologi Informasi dalam Proses Audit
 Pengaruh pengendalian umum terhadap risiko pengendalian
Auditor harus mengevaluasi efektivitas pengendalian umum sebelum mengevaluasi
pengendalian aplikasi. Pengendalian umum memiliki dampak yang luas terhadap
efektivitas pengendalian aplikasi, sehingga auditor harus mengevaluasi
pengendalian tersebut terlebih dahulu sebelum menyimpulkan apakah pengendalian
aplikasinya efektif.
Pengaruh pengendalian umum terhadap aplikasi sistem secara keseluruhan
Pengendalian umum yang tidak efektif menghasilkan potensi salah saji material
pada seluruh aplikasi sistem, tanpa melihat kualitas dari setiap pengendalian
aplikasi. Jika auditor memperhatikan bahwa arsip data tidak dijaga dengan
memadai, auditor dapat menyimpulkan terdapat risiko kehilangan data yang
signifikan untuk setiap kelompok transaksi yang mengandalkan data tersebut untuk
melakukan pengendalian aplikasi. Auditor dipandang perlu untuk memperluas
pengujian audit di beberapa bagian seperti penerimaan kas, pengeluaran kas dan
penjualan ntuk memenuhi kebutuhuan kelengkapan. Jika pengendalian umum
efektif, auditor dapat menempatkan keandalan yang lebih besar pada pengendalian
 aplikasi. Auditor kemudian dapat menguji pengendalian aplikasi untuk efektivitas
operasi dan mengandalkan hasilnya untuk mengurangi pengujian substantif.
Pengaruh pengendalian umum terhadap perubahan perangkat lunak
Perubahan klien terhadap aplikasi perangkat lunak mempengaruhi kepercayaan
auditor terhadap pengendalalian otomatis. Ketika klien mengubah perangkat
lunaknya, auditor mengevaluasi apakah pengujian tambahan diperlukan. Jika
pengendalian umum efektif, auditor dapat dengan mudah mengidentifikasi kapan
perubahan perangkat lunak dilakukan, namun dalam perusahaan-perusahaan yang
memiliki pengendalian umum yang lemah akan sulit untuk mengidantifikasi
perubahan perangkat lunak, akibatnya ketika pengendalian umum lemah auditor
harus mempertimbangkan untuk melakukan pengujian pengendalian aplikasi di
sepanjang audit tahun berjalan.
Mendapatkan pemahaman atas pengendalian umum klien
Auditor biasanya mendapatkan informasi mengenai pengendalian umum dan
aplikasi melalui beberapa cara yaitu:
 Melakukan wawancara dengan personel TI dan para pengguna utama
 Memeriksa dokumentasi sistem seperti bagan arus, petunjuk penggunaan bagi
para pengguna, permohonan perubahan program, dan pengujian hasilnya
 Mengkaji hasil perincian kuesioner yang diisi oleh para staf TI
Dalam banyak kasus auditor harus menggunakan beberapa pendekatan diatas
karena masing-masing memberikan informasi yang berbeda. Pengkajian
permohonan perubahan program dan hasil pengujian sistem berguna untuk
mengidentifikasi perubahan program dalam aplikasi perangkat lunak.
 Dampak dari pengendalian TI terhadap risiko pengendalian dan pengujian
substantif
1. Menghubungkan pengendalian TI dengan tujuan audit terkait transaksi
2. Pengaruh pengendalian TI terhadap pengujian substantif
 Pengauditan dalam lingkungan TI yang tidak terlalu kompleks
Auditor pada perusahaan-perusahaan yang lebih kecil sering kali mengaudit
disekitar komputer ketika pengendalian umum kurang efektif dibandingkan dengan
lingkungan TI yang lebih kompleks. Penggunaan komputer mikro menghasilkan
pertimbangan audit yang khas meliputi:
a. Ketergantungan yang terbatas pada pengendalian otomatis
 b. Akses terhadap arsip utama
c. Risiko virus komputer
 Pengauditan dalam lingkungan TI yang lebih kompleks
a. Pendekatan pengujian data
Ketika menggunakan pendekatan pengujian data, auditor memiliki tiga
pertimbangan utama yaitu:
1. Pengujian data hasus memasukkan semua kondisi yang ingin diuji oleh
auditor
2. Program aplikasi yang diuji oleh data uji auditor harus sama dengan data
yang digunakan oleh klien di sepanjang tahun
3. Data yang diuji harus dihapuskan dari catatan klien
 Simulasi paralel
Auditor sering menggunakan perangkat lunak yang dikendalikan auditor untuk
melakukan operasi yang sama dengan yang dikerjakan oleh perangkat lunak milik
klien, dengan menggunakan arsip yang sama. Tujuannya adalah untuk menentukan
efektivitas pengendalian otomatis dan untuk mendapatkan bukti mengenai saldo
akun secara elektronik.
 Pendekatan modul audit melekat
Pendekatan modul audit melekat memungkinkan auditor untuk dapat terus menerus
mengaudit transaksi-transaksi dengan mengidentifikasi transaksi aktual yang
diproses oleh klien dibandingkan dengan data yang diuji dan pendekatan simulasi
paralel, yang hanya bisa dilakukan dengan pengujian berselang.
Masalah-Masalah dalam Lingkungan TI yang Berbeda
1. Masalah-masalah dalam lingkungan jaringan
Dalam jaringan, aplikasi perangkat lunak dan arsip data yang digunakan untuk
memproses transaksi dimasukkan ke dalam beberapa komputer yang terhubung
satu sama lainnya. Akses terhadap aplikasi dari komputer mikro atau workstation
diatur oleh perangkat lunak sever jaringan.
2. Masalah-masalah dalam sistem manajemen basis data
Sistem manajemen basis data memungkinkan klien untuk menciptakan basis data
yang memasukkan informasi yang dapat digunakan bersama diantara beragam
aplikasi. Tujuan klien menerapkan sistem manajemen basis data adalah untuk
mengurangi duplikasi data, meningkatkan pengendalian terhadap data, dan
memberikan informasi yan lebih baik untuk pengambilan keputusan dengan
 mengintegrasikan informasi di sepanjang fungsi-fungsi dan departemen-
departemen dalam perusahaan.
3. Masalah-masalah dalam sistem E-Commerce
Firewall berfungsi melindungi data, program dan sumber daya TI lainnya dari para
pengguna eksternal yang tidak sah untuk mengakses sistem melalui jaringan.
Teknik enkripsi melindungi keamanan komunikasi elektronik ketika informasi
ditransmisikan.
4. Masalah-masalah ketika klien mensubkontrakkan kebutuhan TI
a. Memahami pengendalian internal dalam sistem subkontrak
Ketika mendapatkan pemahaman dan menguji pengendalian pusat layanan,
auditor harus menggunakan kriteria yang sama dengan yang digunakan untuk
mengevaluasi pengendalian internal klien.
b. Tingkat kepercayaan terhadap auditor pusat layanan komputer
PSA 70 (SA 324) memberikan panduan bagi (1) auditor untuk menerbitkan
laporan atas pengendalian internal organisasi penyedia jasa (auditor perusahaan
penyedia jasa), dan (2) auditor organisasi pengguna (auditor perusahaan
pengguna layanan) yang mengandalkan laporan auditor perusahaan penyedia
jasa. Auditor perusahaan penyedia jasa dapat menerbitkan dua jenis laporan
berikut:
 Laporan atas pengendalian yang diterapkan
 Laporan atas pengendalian yang diterapkan serta pengujian efektivitas
operasinya