MAKALAH PEMERIKSAAN AKUNTANSI I

(DAMPAK TEKNOLOGI INFORMASI TERHADAP PROSES

AUDIT)

Kelompok 5

Ais firudinata (16013010136)

M. Noor Fuadi (16013010181)

Anggie Widiasari (17013010001)

Sukma Halimatus S. (17013010007)

Aleisia Tamariezka A.T (17013010032)

Qurrotul Aini (17013010033)

Radendhania Aisyah S. (17013010036)

Febiani Tevia P. (17013010038)

Fadel Muhamad (17013010174)

UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN” JAWA TIMUR

FAKULTAS EKONOMI DANBISNIS

TAHUN 2019
BAGAIMANA TEKNOLOGI INFORMASI MENINGKATKAN PENGENDALIAN
INTERNAL

Sebagian besar entitas, termasuk usaha kecil yang merupakan bisnis keluarga mengandalkan
teknologi informasi (TI) untuk mencatat dan memproses transaksi bisnis. Sebagai akibat dari
ledakan kemajuan dalam TI, bahkan usaha-usaha yang relatif kecil pun kini menggunakan
komputer dengan program akuntansi komersial untuk mengerjakan pembukuan mereka. Ketika
bisnis perkembang dan kebutuhan akan informasi meningkat, biasanya mereka meningkatkan
sistem TI-nya. Penggunaaan jaringan TI yang kompleks, Internet, serta fungsi TI yang terpusat
untu kebutuhan fungsi akuntansi kini merupakan hal yang umum dilakukan di mana pun.

Marilah kita memperhatikan beberapa perubahan dalam pengendalian internal yang

disebabkan oleh integrasi TI ke dalam sistem akuntansi.

 Pengendalian komputer menggantikan pengendalian manual. Keunggulan yang paling

tampak dalam TI adalah kemampuannya untuk menangani transaksi bisnis yang
kompleks dalam jumlah yang besar dengan efisien. Karena komputer memproses
informasi secara konsisten, sistem TI dapat mengurangi salah saji dengan mengganti
prosedur yang biasanya dilakukan secara manual dengan pengendalian-pengendalian
yang terprogram yang menerapkan fungsi saling mengawasi dan mengontrol (checks
and balances) untuk setiap transaksi yang diproses.

Komputer-komputer saat ini mengerjakan banyak aktivitas pengendalian

internal yang sebelumnya dilakukan oleh para pegawai, termasuk membandingkan
nomor pelanggan dan nomor produk dengan arsip utama serta membandingkan jumlah
transaksi penjualan dengan batas kredit yang sebelumnya telah diprogram.
Pengendalian keamanan online dalam aplikasi, basis, data, dan sistem operasi dapat
meningkatkan pemisahan tugas, yang akhirnya dapat mengurangi kesempatan untuk
melakukan kecurangan.

 Menyediakan informasi dengan kualitas yang lebih tinggi. Aktivitas-aktivitas TI yang

kompleks biasanya diatur secara efektif karena kompleksitas mengharuskan adanya
pengaturan, prosedur dan dokumentasi yang efektif. Hal tersebut biasanya
menghasilkan informasi yang kualitasnya lebih tinggi serta lebih cepat bagi manajemen
perusahaan. Jika manajemen yakin bahwa informasi yang dihasilkan oleh TI tersebut
 dapat diandalkan, manajemen akan menggunakan informasi tersebut untuk keputusan-
keputusan manajemen yang lebih baik.

MENILAI RISIKO TEKNOLOGI INFORMASI

Meskipun teknologi informasi dapat meningkatkan pengendalian internal perusahaan teknologi

informasi juga dapat mempengaruhi risiko pengendalian secara keseluruhan. Banyak risiko
risiko dalam sistem manual yang berkurang dan bahkan dalam beberapa kasus malah menjadi
hilang. namun demikian resiko-resiko baru yang khusus terkait dengan sistem teknologi
informasi bermunculan dan dapat memicu kerugian yang besar bila diabaikan. jika sistem
teknologi informasi rusak dan gagal organisasi-organisasi dapat menjadi lumpuh akibat
ketidakmampuan mereka untuk mendapatkan kembali informasi yang hilang atau karena
penggunaan informasi yang tidak handal yang disebabkan oleh kesalahan dalam
pemrosesannya. Resiko-resiko tersebut meningkatkan kemungkinan salah saji material dalam
laporan keuangan. berikut antara lain resiko-resiko khusus terkait dengan sistem TI :

1. Risiko terhadap perangkat keras dan data.

2. Berkurangnya jejak audit.

3. Akan pengalaman di bidang teknologi informasi dan pemisahan tugas teknologi informasi

Resiko Terhadap Perangkat Keras dan Data

Meskipun teknologi informasi memiliki keunggulan dalam pemrosesan secara signifikan

namun juga dapat menciptakan resiko-resiko yang khas dalam melindungi perangkat keras dan
data dan juga potensial memunculkan jenis-jenis kesalahan yang baru. Berikut resiko-resiko
khusus tersebut:

 Ketergantungan terhadap kemampuan kerja perangkat keras dan perangkat lunak.

Tanpa memberikan perlindungan fisik yang tepat perangkat keras atau lunak mungkin
tidak dapat berfungsi atau tidak berfungsi dengan benar . Sehingga sangat penting untuk
memberikan perlindungan fisik terhadap perangkat keras, perangkat lunak dan data
terkait dari kerusakan fisik yang disebabkan oleh penggunaan yang tidak tepat ,
sabotase atau kerusakan lingkungan.
  Kesalahan sistematik dan kesalahan acak ketika perusahaan mengganti prosedur
manual dengan prosedur berbasis teknologi informasi resiko kesalahan acak akibat dari
keterlibatan manusia dapat berkurang. namun demikian resiko kesalahan sistematik
meningkat karena setelah prosedur di program ke dalam perangkat lunak komputer,
komputer akan memproses informasi secara konsisten untuk semua transaksi sampai
prosedur yang di program tersebut diubah. Sayangnya kesalahan dalam pemrograman
komputer dan perubahan terhadap perangkat lunak tersebut mempengaruhi keandalan
pemrosesan komputer sehingga seringkali menyebabkan salah satu yang signifikan.
Risiko ini meningkat jika sistemnya tidak diprogram untuk mengenali dan memberi
tanda untuk transaksi-transaksi yang tidak biasa atau ketika jejak audit transaksinya
tidak memadai.
 Akses yang tidak diotorisasi sistem akuntansi berbasis teknologi informasi seringkali
memungkinkan akses secara online terhadap data dalam arsip utama perangkat lunak
dan catatan-catatan lainnya. Karena akses online dapat dilakukan dari jarak jauh
termasuk oleh pihak eksternal melalui internet terdapat potensi akses yang tidak sah.
Tanpa adanya pembatasan online yang tepat seperti penggunaan kata sandi dan
identifikasi pengguna, aktivitas yang sah dapat dilakukan melalui komputer yang
berakibat pada perubahan yang tidak tepat dalam program perangkat lunak dan arsip-
arsip utama
 Kehilangan data. banyak data dalam sistem teknologi informasi yang disimpan dalam
arsip elektronik yang terpusat. Hal ini meningkatkan resiko kehilangan atau kerusakan
seluruh arsip data hal tersebut memiliki dampak yang sangat serius dengan potensi
salah saji dalam laporan keuangan bahkan dalam beberapa kasus mengakibatkan
gangguan yang serius terhadap kegiatan operasional perusahaan.

Berkurangnya Jejak Audit

Salah saji mungkin tidak dapat dideteksi dengan meningkatnya penggunaan teknologi
informasi karena hilangnya jejak audit yang nyata dan juga berkurangnya keterlibatan manusia.
Selain itu komputer menggantikan beberapa jenis otorisasi tradisional dalam banyak sistem TI.

 Kejelasan jejak audit. Karena banyak informasi yang dimasukkan secara langsung ke
dalam komputerpenggunaan TI seringkali mengurangi atau bahkan menghilangkan
 dokumen dokumen sumber dan catatan-catatan yang memungkinkan organisasi untuk
menelusuri informasi akuntansi tersebut dokumen dan catatan tersebut dinamakan jejak
audit. Karena tidak adanya jejak audit pengendalian lain harus dimasukkan untuk
menggantikan kemampuan tradisional untuk membandingkan informasi dengan data
diatas kertas.
 Berkurangnya keterlibatan manusia. Dalam banyak sistem para pegawai yang
menangani pemrosesan awal transaksi tidak pernah melihat hasil akhirnya. Sehingga
mereka kurang mampu untuk mengidentifikasi salah saji dalam pemrosesan. Bahkan
jika mereka dapat melihat hasil akhirnya sekalipun seringkali sulit untuk mengenali
adanya salah saji karena hasilnya seringkali sudah di daftarkan dengan sangat ringkas.
selain itu para pegawai cenderung menganggap output yang dihasilkan dari penggunaan
teknologi informasi itu benar karena diproses oleh program komputer.
 Kurangnya otorisasi tradisional. Sistem yang maju seringkali dapat mengerjakan
beberapa jenis transaksi secara otomatis seperti menghitung bunga untuk rekening
tabungan dan pemesanan persediaan ketika tingkat pemesanan kembali yang telah
ditetapkan telah tercapai. Sehingga organisasi yang tepat bergantung pada perangkat
lunak dan arsip utama yang akurat yang digunakan untuk membuat keputusan otorisasi
tersebut.

Kebutuhan Terhadap Pengalaman Di Bidang TI dan Pemisahan Tugas-tugas TI

Sistem teknologi informasi mengurangi pemisah tugas tradisional dan menciptakan suatu
kebutuhan tambahan akan pengalaman di bidang teknologi informasi.

 Berkurangnya pemisahan tugas. Ketika suatu organisasi berubah dari proses manual ke
proses komputer, komputer melakukan banyak tugas yang sebelumnya secara
tradisional dipisahkan misalnya otorisasi dan pembukuan. menggabungkan aktivitas-
aktivitas dari berbagai bagian organisasi ke dalam satu fungsi teknologi informasi akan
memusatkan tanggung jawab yang sebelumnya dipisahkan. personil teknologi
informasi yang memiliki akses terhadap perangkat lunak dan arsip utama dapat
melakukan pencurian terhadap aset organisasi kecuali jika tugas-tugas kunci dipisahkan
di dalam fungsi teknologi informasi.
  Kebutuhan akan pengalaman di bidang teknologi informasi. Meskipun perusahaan
membeli paket perangkat lunak akuntansi yang sederhana sangat penting bagi
perusahaan untuk memiliki pegawai yang memiliki pengetahuan dan pengalaman untuk
memasang memelihara dan menggunakan sistem tersebut. Ketika penggunaan sistem
tik meningkat kebutuhan akan ahli di bidang teknologi informasi akan meningkat pula.
Banyak perusahaan yang memiliki ahli di bidang teknologi informasi serta menangani
sistem teknologi informasi sendiri, sementara perusahaan-perusahaan lainnya
perusahaan lain untuk melakukan operasi teknologi informasi. Keandalan suatu sistem
dan informasi yang dihasilkan seringkali bergantung pada kemampuan perusahaan
untuk memperkerjakan pegawai atau menyewa konsultan yang memiliki pengetahuan
dan pengalaman di bidang teknologi informasi.

PENGENDALIAN INTERNAL KHUSUS UNTUK TEKNOLOGI INFORMASI

Untuk mengatasi banyak resiko yang terkait dengan keandalan teknologi informasi organisasi
organisasi sering kali menerapkan pengendalian teknologi informasi khusus. Untuk mengatasi
banyak risiko yang terkait dengan keandalan teknologi informasi organisasi organisasi
seringkali menerapkan pengendalian teknologi informasi khusus. Standar audit menjelaskan
dua kategori pengendalian untuk sistem teknologi informasi yaitu:

1. Pengendalian umum

Pengendalian umum diterapkan pada semua aspek dalam fungsi teknologi informasi
termasuk pengaturan teknologi informasi ; tugas-tugas teknologi informasi;
pengembangan sistem; pengamanan fisik dan online terhadap akses pada perangkat
lunak, perangkat keras dan data terkait ; rencana cadangan dan kontinjensi jika terjadi
kondisi darurat yang tidak diperkirakan sebelumnya; dan pengendalian perangkat keras.
Auditor mengevaluasi pengendalian umum untuk perusahaan secara keseluruhan.

2. Pengendalian aplikasi

Pengendalian aplikasi diterapkan untuk memproses transaksi transaksi seperti

pengendalian terhadap pemrosesan penjualan atau penerimaan kas. auditor harus
mengevaluasi pengendalian aplikasi untuk setiap kelompok transaksi atau akun di mana
oditur merencanakan untuk mengurangi penilaian resiko pengendalian karena
 pengendalian teknologi informasi akan berbeda di setiap kelompok transaksi dan akun.
pengendalian aplikasi hanya dapat menjadi efektif jika pengendalian umumnya efektif.

Pengendalian Umum

Sama seperti dampak lingkungan pengendalian terhadap komponen pengendalian internal

lainnya, ke enam kategori pengendalian internal memiliki pengaruh terhadap semua fungsi
teknologi informasi. Auditor biasanya mengevaluasi pengendalian umum pada awal audit
karena pengaruhnya terhadap pengendalian aplikasi

 Pengaturan fungsi TI, sikap dewan direksi dan manajemen senior terhadap teknologi
informasi mempengaruhi anggapan terhadap pentingnya teknologi informasi di dalam
suatu organisasi. Pengawasan alokasi sumber daya serta keterlibatan mereka dalam
keputusan keputusan kunci dalam teknologi informasi memberikan sinyal pentingnya
teknologi informasi dalam organisasi tersebut. Dalam lingkungan yang kompleks
manajemen dapat mendirikan komite pengarah teknologi informasi untuk membantu
memonitor kebutuhan informasi organisasi. dalam organisasi yang tidak begitu
kompleks dewan direksi dapat mengandalkan laporan reguler dari CIO atau manajer
senior teknologi informasi lainnya untuk menjaga manajemen agar terus mendapatkan
informasi. Sebaliknya ketika manajemen menugaskan isu-isu terkait teknologi hanya
pada pegawai yang tingkatnya lebih rendah atau pada konsultan luar semata, kesan yang
muncul adalah teknologi informasi bukan merupakan prioritas penting bagi organisasi
tersebut. Hasilnya seringkali berupa fungsi teknologi informasi yang kekurangan
pegawai kekurangan dana dan tidak diawasi dengan baik.
 Pemisahan tugas-tugas teknologi informasi; untuk menangani resiko penggabungan
tanggung jawab penyimpanan, otorisasi dan pembukuan tradisional di bawah sistem
teknologi informasi, organisasi-organisasi yang dikendalikan dengan baik
menanganinya dengan memisahkan tugas-tugas kunci dalam TI. Sebagai contoh harus
ada pemisahan tugas dalam teknologi informasi untuk mencegah personil teknologi
informasi untuk mengotorisasi dan mencatat transaksi untuk menutupi pencurian aset
yang dilakukan. idealnya tanggung jawab untuk manajemen teknologi informasi,
pengembangan sistem, operasi dan pengendalian data harus dipisahkan sebagaimana
berikut.
 Manajemen TI harus bertanggung jawab untuk mengawasi fungsi teknologi informasi
untuk meyakinkan agar semua aktivitas teknologi informasi dilakukan secara konsisten
 sesuai dengan rencana strategis teknologi informasi. Administrator pengaman harus
mengawasi akses fisik maupun online terhadap perangkat keras perangkat lunak dan
arsip data serta menyelidiki semua kasus pembobolan akses pengamanan.

 Pengembangan sistem. Para analis sistem, yang bertanggung jawab untuk keseluruhan
rancangan di setiap sistem aplikasi, mengoordinasikan pengembangan dan perubahan
terhadap sistem TI dengan personel TI yang bertanggung jawab untuk pemrogaman
aplikasi dan personel di luar TI yang akan menjadi pengguna utama sistem tersebut
(misalnya personel piutang dagang). Pemrogram mengembangkan bagan arus untuk
setiap aplikasi baru, menyiapkan instruksi-instruksi komputer, menguji program-
program dan mendokumentasikan hasilnya.
  Operasi. Operator komputer bertanggung jawab untuk kegiatan operasionl komputer
sehari-hari, mengikuti jadwal yang telah ditetapkan oleh CIO. Mereka juga bertanggung
jawab untuk memantau perangkat komputer untuk hal-hal terkait efisiensi dan
kerusakan komputer.

Pustakawan bertanggung jawab untuk mengawasi penggunaan program-program

komputer, arsip-arsip transaksi, serta catatan dan dokumentasi komputer lainnya.
Administrator jaringan juga memengaruhi operasional TI karena mereka bertanggung
jawab untuk merencanakan, menerapkan dan memelihara operasi jaringan server yang
menghubungkan para pengguna dengan beragam aplikasi dan arsip data.

 Pengendalian data. Personel pengendali data input atau output secara independen
memeriksa kualitas input dan kewajaran output yang dihasilkan. Untuk organisasi yang
menggunakan basis data untuk menyimpan informasi yang digunakan oleh fungsi
akuntansi dan fungsi lainnya, administrator basis data bertanggung jawab untuk operasi
dan keamanan akses basis data tersebut.

Pengembangan Sistem.

 Pembelian perangkat lunak atau mengembangkan perangkat lunak sendiri untuk

memenuhi kebutuhan organisasi. Kunci untuk menerapkan perangkat lunak yang tepat
 adalah dengan melibatkan baik tim TI maupun personel non-TI lainnya, termasuk para
pengguna kunci untuk perankat lunk tersebut serta para internal auditornya. Kombinasi
ini menghasilkan kemungkinan yang lebih tinggi bahwa informasi yang dibutuhkan,
begitu juga dengan hal-hal yang menyangkut rancangan perangkat lunak dan
implementasinya, telah ditangani dengan tepat. Melibatkan para pengguna juga
menghasilkan penerimaan yang lebih baik bagi para pengguna kuncinya.

 Melakukan uji coba untuk semua perangkat lunak, untuk meyakinkan bahwa perangkat
baru tersebut sesuai dengan perangkat keras dan perangkat lunak yang ada, serta
menentukan apakah perangkat keras dan perangkat lunak dapat menangani volume
transaksi yang diinginkan. Apakah perangkat lunak tersebut dibeli atau pun
dikembangkan sendiri secara internal, pengujian yang luas terhadap semua perangkat
lunak dengan data yang realistis merupakan hal yang sangat penting untuk dilakukan.
Perusahaan biasanya menggunakan satu atau gabungan dari beberapa pendekatan uji
coba berikut.

1. Uji coba pendahuluan (pilot testing). Suatu sistem baru diterapkan di dalam satu
bagian dari suatu organisasi, sementara lokasi-lokasi lainnya terus berjalan dengan
sistem lama.

2. Uji coba pralel (parallel testing). Sistem yang lama dan yang baru beroperasi
secara simultan di semua lokasi.

Dokumentasi sistem yang tepat diperlukan untuk semua perangkat lunak baru
dan modifikasi. Setelah perangkat lunak telah berhasil diuji dan didokumentasikan,
perangkat lunak tersebut ditransfer kepada pustakawan dengan pengawasan yang ketat
untuk meyakinkan hanya perangkat lunak yang telah diotorisasi yang dapat diterima
sebagai versi resmi.

Keamanan Fisik dan Online. Pengendalian fisik terhadap komputer dan pembatasan
terhadap akses online dan arsip data terkait dapat menurunkan risiko perubahan yang tidak
diotorisasi terhadap program-proram dan penggunaan yang tidak tepat terhadap program-
program dan arsip data. Rencana pengamanan harus dibuat secara tertulis dan dipantau.
Pengendalian keamanan mencakup pengendalian akses secara fisik maupun online.
  Pengendalian fisik. Pengendalian fisik yang tepat terhadap peralatan komputer
dengan membatasi akses terhadap perangkat keras, perangkat lunak dan arsip data
cadangan di dalam pita magnetik atau cakram, hard drive, CD dan external disk.
Contoh umum dalam membatasi penggunaan yang tidak diotorisasi antara lain
keypad entrance, badge-entry system, kamera pengawas, serta personel keamanan.
Pengendalian yang lebih canggih hanya mengizinkan akses fisik dan online setelah
sidik jari pegawai dibaca atau retina pegawai dipindai dan dicocokkan dengan basis
data yang disahkan.

 Pengendalian terhadap akses online. Penggunaan identifikasi pengguna dan kata

sandi yang tepat mengendalikan akses terhadap perangkat lunak dan arsip data
terkait, mengurangi kemungkinan bahwa perubahan yang tidak diotorisasi
dilakukan terhadap aplikasi perangkat lunak dan arsip data. Paket keamanan
tambahan yang terpisah, seperti firewall dan program-program enskripsi, dapat
dipasang untuk meningkatkan keamanan sistem.

Rencana Cadangan dan Kontinjensi. Masalah gangguan listrik, kebakaran, panas atau
kelembaban yang terlalu tinggi, kerusakan yang disebabkan oleh air, atau bahkan sabotase
dapat berdampak serius terhadap bisnis yang menggunakan TI. Untuk mencegah hilangnya
data yang disebabkan karena masalah kelistrikan, banyak perusahaan mengandalkan
baterai cadangan atau generator tambahan. Untuk kerusakan yang lebih parah, perusahaan
memerlukan rencana cadangan dan kontinjensi yang lebih terperinci seperti penyimpanan
data di lokasi yang dipilih oleh perusahaan untuk menyimpan perangkat lunak dan arsip-
arsip data penting atau mensubkontrakkan kepada perusahaan-perusahaan yang khusus
bergerk dibidang pengamanan penyimpanan data.

Rencana cadangan dan kontinjensi juga harus mengidentifikasikan alternatif

perangkat keras yang dapat digunakan untuk memproses data perusahan. Perusahaan
dengan sistem TI yang kecil dapat membeli komputer pengganti dalam kondisi darurat dan
memproses kembali catatan akuntansi mereka dengan menggunakan cadangan salinan
perangkat lunak dan arsip-arsip data. Perusahaan yang lebih besar sering kali
menggunakan jasa pusat data TI yang khusus memberikan akses ke komputer-komputer
di luar kantor dan jasa TI lainnya ketika terjadi bencana TI.
 Pengendalian Perangkat Keras. Pengendalian perangkat keras dipasang dalam peralatan
komputer oleh perusahaan manufakturnya untuk mendeteksi dan melaporkan kerusakan
peralatan tersebut. Auditor lebih memperhatikan bagaimana klien mengatasi kesalahan-
kesalahan yang diidentifikasi oleh pengendalian perangkat keras dibandingkan dengan
keandalan mereka. Tanpa memperhatikan kualitas pengendalian perangkat lunak, output
akan dapat diperbaiki hanya jika klien memelihara penanganan kesalahan mesin.

Pengendalian Aplikasi

Pengendalian aplikasi dirancang untuk setiap apliksi perangkat lunak dan dimaksudkan
untuk membantu perusahaan memenuhi keenam tujuan audit terkait transaksi. Meskipun
beberapa pengendalian aplikasi hanya memengaruhi satu atau beberapa tujuan audit terkait
transaksi, sebagian besar pengendalian mencegah atau mendeteksi beberapa jenis salah
saji. Pengendalian aplikasi lainnya menekankan pada saldo akun dan tujuan penyajian dan
pengungkapan.

Pengendalian aplikasi dapat dilakukan oleh komputer atau personel klien. Ketika
dilakukan oleh personel klien, pengendalian tersebut dinamakan pengendalian manual.
Efektivitas pengendalian manual bergantung pada kompetesi orang-orang yang
menjalankan pengendalian serta kehati-hatian yang mereka lakukan ketika
menjalankannya. Sebagai contoh, ketika personel departemen kredit menelaah laporan
pengecualian yang mengidentifikasi penjualan kredit yang melebihi batas kredit yang
diotorisasi untuk seorang pelanggan, auditor mungkin memerlukan untuk mengevaluasi
kemampuan orang yang membuat penilaian tersebut serta menguji keakuratan laporan
pengecualian tersebut. Jika pengendalian dilakukan oleh komputer, pengendalian tersebut
dinamakan pengendalian otomatis. Karena sifat pemrosesan komputer, pengendalian
otomatis, jika dirancang dengan tepat, dapat menyebabkan pelaksanaan pengendalian
konsisten.

Pengendalian aplikasi terbagi dalam tiga kategori: input,proses, output. Meskipun tujuan
untuk setiap kategori sama, prosedur untuk memenuhi tujuan tersebut dapat cukup
beragam.
 Pengendalian Input. Pengendalian input dirancang untuk meyakinkan bahwa informasi
yang dimasukkan ke dalam komputer adalah sah, akurat dan lengkap. Hal tersebut
sangatlah penting karena sebagian besar kesalahan dalam sistem TI berasal dari kesalahan
dalam memasukkan data, dan tentunya, tanpa mempertimbangkan kualitas pemrosesan
informasi, kesalahan input menghasilkan output yang salah.

Pengendalian berikut merupakan pengendalian yang biasanya dikembangkan untuk sistem

manual dan tetap penting dalam sistem TI.

 Otorisasi manajemen atas transaksi.

 Penyimpanan dokumen sumber input yang memadai.

 Personel yang kompeten.

Pengendalian yang khusus untuk TI mencakup hal-hal berikut.

 Tampilan layar input yang dirancang dengan tepat yang dapat membantu
mempercepat masuknya informasi transaksi.

 Daftar menu turunan dari pihak perangkat lunak yang tersedia.

 Pengujian validasi keakuratan input yang dilakukan oleh computer, seperti

validasi nomor pelanggan dibandingkan dengan data di arsip utama pelanggan.

 Pengendalian input berbasis online untuk aplikasi-aplikasi e-commerce di mana

pihak-pihak eksternal, seperti pelanggan dan pemasok, melakukan bagian awal
dari pemasukan transaksi.

 Prosedur koreksi kesalahan yang dilakukan segara untuk, memberikan deteksi

dan koreksi disini terdapat kesalahan-kesalahan input.

 Akumulasi kesalahan dalam arsip kesalahan untuk tindak lanjut berikutnya oleh
personel input data.

Untuk sistem TI yang mengelompokkan transaksi sejenis ini ke dalam beberapa seri,
pengendalian informasi seri total, dan total bilangan catatan membantu meningkatkan akurasi
dan kelengkapan input.
 Pengendalian Definisi Contoh
Financial Ringkasan total jumlah dalam satu field Jumlah total rupiah untuk
total untuk semua catatan dalam satu seri yang semuapemasok yang harus
merupakan suatu jumlah total yang dibayar.
memiliki arti tertentu, seperti rupiah atau
jumlah.
Hash total Ringkasan jumlah total kode-kode dari Total dari semua nomor akun
semua catatan dalam satu sri yang tidak pemasok untuk faktur-faktur
memiliki arti tertentu. pemasok yang harus dibayar.
Record total Ringkasan banyaknya catatan-catatan Banyaknya faktur pemasok
fisik dalam satu seri. yang harus di proses.

Pengendalian Proses pengendalian proses mencegah dan mendeteksi kesalahan ketika

pemrosesan data transaksi. Pengendalian umum, khususnya pengendalian yang terkait dengan
pengembangan sistem dan keamanan system, memberikan pengendalian yang penting untuk
meminimalkan kesalahan. Pengendalian aplikasi pemrosesan yang spesifik seringkali
diprogram ke dalam perangkat lunak untuk mencegah, mendeteksi, dan mengoreksi kesalahan
dalam pemrosesan. Contoh-contoh pengendalian proses

Jenis Definisi Contoh

Pengendalian
Proses
Uji validasi Meyakinkan penggunaan arsip Apakah label internaldalam pita
utama, basis data program- arsip utama penggajian cocok
program yang benar dalam dengan tabl arsipyang
melakukan pemrosesan. diidentifikasikan di dalam
aplikasi perangkat lunak?
Uji urutan Menentukan bahwa data yang Sudahkah arsip transaksi input
dimasukkan untuk dproses berada penggajian diurutkan
dalam urutan yang benar. berdasarkan departemennya
sebelum diproses?
 Uji akurasi Menguji akurasi data yang Apakah jumlah dari semua
aritmatik diproses. pembayaran bersih ditambah
dengan pemungutan pajak sama
dengan pembayaran kotor gaji?
Uji keandalan data Menentukan apakah data melebihi Apakah jumlah gaji kotor
jumlah yang telah di tetapkan pegawai telah melebihi 60 jam
sebelumnya. atau Rp 1.999.000 per minngu?
Uji kelengkapan Menentukan bahwa setiap field di Apakah nomor pegawai, nama,
dalam suatu catatan telah lengkap. jumlah jam reguler, jmlah jam
lembur, nomot departemen, dan
lain-lain sudah dimasukkan ke
dalam setiap pegawai?

Pengendalian Output Pengendalian output lebih menekankan pada pendeteksi kesalahan

setelah pemrosesan selesai dilakukan daripada mencegah kesalahan. Pengendalian output yang
paling penting adalah mengkaji keandalan data oleh seseorang yang memiliki pengetahuan dan
pengalaman mengenai output. Para pengguna seringkali mengidentifikasi kesalahan karena
mereka mengetahui perkiraan jumlah yang tepat. Beberapa pengendalian umum untuk
mendeteksi kesalahan dalam output antara lain sebagai berikut.

 Rekonsiliasi output yang dihasilkan oleh komputer dengan hasil perhitungan manual.

 Membandingkan jumlah unit yang diproses dengan jumlah unit yang masuk untuk diproses.

 Membandingkan suatu sampel transaksi output dengan dokumen sumber input-nya.

 Verifikasi tanggal dan waktu pemrosesan untuk mengidentifikasi setiap pemrosesan yang
tidak berurutan.

Untuk output komputer yang spesifik, seperti slip gaji, pengendalian dapat ditingkatkan
dengan mengharuskan pegawai untuk menunjukkan kartu identitas pegawai sebelum mereka
menerima slip gaji mereka. Selain itu, akses terhadap output yang sensitif yang disimpan di
dalam arsip elektronik atau ditransmisikan ke dalam jaringan, termasuk internet, sering kali
dibatasi dengan adanya kata sandi, identifikasi pengguna, dan teknik enkripsi.
DAMPAK TEKNOLOGI INFORMASI DALAM PROSES AUDIT

Karena para auditor bertanggung jawab untuk mendapatkan pemahaman atas

pengendalian internal, mereka harus memenuhi pengetahuan mengenai pengendalian umum
dan aplikasi, apakah klien menggunakan TI yang sederhana atau yang kompleks. Pengetahuan
akan pengendalian umum meningkatkan kemampuan auditor untuk mengukur dan
mengandalkan pengendalian aplikasi yang efektif untuk mengurangi risiko pengendalian untuk
tujuan audit yang terkait. Bagi auditor perusahaan publik yang harus menerbitkan opini atas
pengendalian internal terhadap laporan keuangan, pengetahuan terhadap pengendalian umum
maupun pengendalian aplikasi merupakan hal yang penting.

Pengaruh Pengendalian Umum Terhadap Risiko Pengendalian

Auditor harus mengevaluasi efektivitas pengendalian umum sebelum mengevaluasi

pengendalian aplikasi. Pengendalian umum memiliki dampak yang luas terhadap efektivitas
pengendalian aplikasi, sehingga auditor harus mengevaluasi pengendalian tersebut terlebih
dahulu sebelum menyimpulkan apakah pengendalian aplikasinya efektif.

Pengaruh Pengendalian Umum Terhadap Aplikasi Sistem Secara Keseluruhan

Pengendalian umum yang tidak efektif menghasilkan potensi salah saji material pada seluruh
aplikasi sistem, tanpa melihat kualitas dari setiap pengendalian aplikasi. Sebagai contoh, jika
tugas-tugas TI dipisahkan dengan tidak memadai, misalnya operator komputer juga bekerja
sebagai pemrogram dan memiliki akses terhadap program-program dan arsip-arsip computer,
auditor harus memperhatikan kemungkinan adanya program perangkat lunak atau perubahan
arsip data yang tidak diotorisasi yang dapat menunjukkan adanya transaksi-transaksi fiktif atau
data yang tidak sah dan penghapusan dalam akun-akun seperti penjualan, pembelian dan gaji
yang tidak sah. Demikian pula, jika auditor memperhatikan bahwa arsip data tidak dijaga
dengan memadai, auditor dapat menyimpulkan terdapat risiko kehilangan data yang signifikan
untuk setiap kelompok transaksi yang mengandalkan data tersebut untuk melakukan
pengendalian aplikasi. Dalam situasi semacam itu, auditor dipandang perlu untuk memperluas
pengujian audit di beberapa bagian seperti penerimaan kas, pengeluaran kas, dan penjualan
untuk memenuhi tujuan kelengkapan.

Di sisi lain, jika pengendalian umum efektif, auditor dapat menempatkan keandalan yang
lebih besar pada pengendalian aplikasi. Auditor kemudian dapat menguji pengendalian aplikasi
untuk efektivitas operasi dan mengandalkan hasilnya untuk mengurangi pengujian substantif
Pengaruh Pengendalian Umum Terhadap Perubahan Perangkat Lunak Perubahan klien
terhadap aplikasi perangkat lunak mempengaruhi kepercayaan auditor terhadap pengendalian
otomatis. Ketika klien mengubah perangkat lunaknya, auditor harus mengevaluasi apakah
pengujian tambahan diperlukan. Jika pengendalian umum efektif, auditor dapat dengan mudah
mengidentifikasi kapan perubahan perangkat lunak dilakukan. Namun dalam perusahaan-
perusahaan yang memiliki pengendalian umum yang lemah, akan sulit untuk mengidentifikasi
perubahan perangkat lunak. Akibatnya, ketika pengendalian umum lemah, auditor harus
mempertimbangkan untuk melakukan pengujian pengendalian aplikasi di sepanjang tahun
berjalan.

Mendapatkan Pemahaman atas Pengendalian Umum Klien Auditor biasanya mendapatkan

informasi mengenai pengendalian umum dan aplikasi melalui beberapa cara berikut ini.

 Melakukan wawancara dengan personel TI dan para pengguna utama.

 Memeriksa dokumentasi sistem seperti bagan arus, petunjuk penggunaan bagi para
pengguna, permohonan perubahan program, dan pengujian hasilnya.

 Mengkaji hasil perincian kuesioner yang diisi oleh para staf TI.

dalam banyak kasus, auditor harus menggunakan beberapa pendekatan diatas karena
masing-masing memberikan informasi yang berbeda. Sebagai contoh wawancara dengan CIO
(Chief Information Officer) dan para analisis sistem memberikan informasi yang berguna
mengenai operasi fungsi TI secara keseluruhan, cakupan pengembangan perangkat lunak dan
perubahan perangkat keras yang dilakukan terhadap perangkat lunak aplikasi akuntansi, dan
tinjauan terhadap setiap perubahan yang direncanakan. Pengkajian permohonan perubahan
program dan hasil pengujian sistem berguna untuk mengidentifikasi perubahan program dalam
aplikasi perangkat lunak. Kuesioner membantu auditor untuk mengidentifikasi pengendalian
internal yang spesifik.

Dampak dari Pengendalian TI Terhadap Risiko Pengendalian dan Pengujian Substantif

Pembahasan berikut mengenai risiko pengendalian tampaknya bukan merupakan hal

yang baru karena auditor menghubungkan pengendalian TI dengan tujuan audit dengan
menggunakan prinsip dan pendekatan yang sama, auditor menghubungkan pengendalian dan
kekurangan-kekurangan dalam pengendalian internal pada tujuan audit spesifik. Berdasarkan
pengendalian dan kelemahan-kelemahan tersebut, auditor mengukur risiko pengendalian untuk
setiap tujuan audit terkait. Pendekatan yang sama digunakan ketika pengendalian dilakukan
oleh TI.

Menghubungkan Pengendalian TI dengan Tujuan Audit Terkait Transaksi Biasanya

auditor tidak menggunakan pengendalian dan kekurangan-kekurangan dalam pengadilan
umum kepada tujuan audit terkait transaksi spesifik. Karena pengendalian umum
mempengaruhi tujuan audit dalam beberapa siklus, jika pengendalian umum tidak efektif,
kemampuan auditor untuk mengandalkan pengendalian aplikasi untuk mengurangi risiko
pengendalian dalam semua siklus akan menurun. Sebaliknya, jika pengendalian umum efektif,
akan meningkatkan kemampuan auditor untuk mengandalkan pengendalian aplikasi untuk
semua siklus.

auditor dapat menggunakan matriks risiko pengendalian untuk membantunya dalam

mengidentifikasi pengendalian aplikasi manual maupun otomatis serta kekurangan
pengendalian untuk setiap tujuan audit terkait. Sebagai contoh, untuk mencegah pembayaran
pada pegawai fiktif, perbandingan komputer dalam nomor identifikasi pegawai yang
dimasukkan dengan arsip utama pegawai dapat mengurangi risiko pengendalian untuk tujuan
keterjadian untuk transaksi penggajian. Auditor dapat mengidentifikasi pengendalian manual
dan otomatis di saat yang sama atau secara terpisah, namun keduanya tidak dapat
mengidentifikasi kelemahan atau mengukur risiko pengendalian hingga keduanya jenis
pengendalian tersebut telah diidentifikasi.

Pengaruh Pengendalian TI Terhadap Pengujian Substantif Setelah mengidentifikasi

pengendalian aplikasi spesifik yang dapat digunakan untuk mengurangi risiko pengendalian,
auditor dapat mengurangi pengujian substantif. Sifat sistematik dari pengendalian aplikasi
otomatis memungkinkan bagi auditor untuk mengurangi ukuran sampel yang digunakan untuk
menguji pengendalian tersebut baik dalam audit atas laporan keuangan dan audit atas
pengendalian internal terhadap laporan keuangan. Auditor juga dapat mengandalkan pengujian
pengendalian otomatis di tahun sebelumnya jika pengendalian umum efektif dan pengendalian
otomatis tidak diubah sejak pengujian terakhir yang dilakukan oleh auditor. Auditor seringkali
menggunakan perangkat lunak mereka sendiri untuk menguji pengendalian. Faktor-faktor
tersebut, ketika digabungkan, sering kali menghasilkan audit yang sangat efektif dan efisien.

Pengauditan dalam Lingkungan TI yang Tidak Terlalu Kompleks

 Banyak organisasi yang merancang dan menggunakan perangkat lunak akuntansi untuk
memproses transaksi-transaksi bisnis mereka sehingga dokumen-dokumen sumbernya dapat
dilihat kembali dalam bentuk yang mudah dibaca dan dapat ditelusuri dengan mudah di
sepanjang sistem akuntansi sehingga output-nya. Sistem semacam itu masih mempertahankan
banyak dokumen sumber tradisional seperti dokumen permintaan pembelian pelanggan,
catatan pengiriman dan penerimaan barang, serta faktur penjualan dan pembelian. Perangkat
lunak tersebut juga menghasilkan cetakan jurnal dan buku besar yang memungkinkan auditor
untuk menelusuri transaksi melalui catatan-catatan akuntansi. Pengendalian internal dalam
sistem ini seringkali melibatkan perbandingan catatan yang dihasilkan oleh komputer dengan
dokumen-dokumen sumber yang dilakukan oleh personel klien.

Dalam situasi seperti itu, penggunaan TI tidak secara signifikan berdampak pada
penelusuran jejak audit. Biasanya para auditor mendapatkan pemahaman atas pengendalian
internal dan melakukan pengujian pengendalian, pengujian substantive, transaksi serta
prosedur verifikasi saldo-saldo akun dengan cara yang sama seperti ketika mereka melakukan
pengujian system akuntansi manual. Auditor juga masih bertanggung jawab untuk
mendapatkan pemahaman pengendalian umum dan pengendalian aplikasi computer, karena
pengetahuan tersebut bermanfaat dalam mengidentifikasi risiko-risiko yang mungkin
mempengaruhi laporan keuangan. Namun, auditor biasanya tidak melakukan pengujian
pengendalian otomatis. Pendekatan audit ini seringkali dinamakan dengan pengauditan di
sekitar computer (auditing around the computer). Karena auditor tidak menggunakan
pengendalian otomatis untuk mengurangi pengukuran risiko pengendalian. Melainkan, auditor
menggunakan pengendalian manual untuk mendukung pengurangan penilaian risisko
pengendalian.

Auditor pada perusahaan-perusahaan yang lebih kecil seringkali mengaudit di sekitar

computer ketika penngendalian umum kurang efektif dibandingkan dengan lingkungan TI yang
kompleks. Seringkali, perusahaan-perusahaan kecil kurang memiliki personel TI yang
kompeten, atau mereka mengandalkan pada konsuktan-konsultan TI yang terlibat secara
berkala untuk membantu dalam instalasi dan pemeliharaan perangkat keras dan perangkat
lunak. Tanggung jawab fungsi TI, seringkali ditugaskan pada departemen pengguna, seperti
departemen akuntansi, dimana biasanya perangkat-perangkat keras tersebut secara fisik berada.
Pengauditan di sekitar computer menjadi efektif karena system semacam ini seringkali
menghasilkan jejak audit yang memadai yang memungkinkan auditor untuk membandingkan
dokumen dokumen sumber, sperti faktur pemasok dan faktur pelanggan dengan output-nya.
 Banyak organisasi dengan lingkunagan TI yang tidak kompleks sering kali sangat
mengandalkan computer-komputer mikro untuk melakukan fungsi system akuntansi.
Penggunaan computer mikro menghasilkan pertimbangan audit yang khas sebagai berikut:

 Ketergantungan yang terbatas pada pengendalian otomatis. Bahkan dalam

lingkungan TI yang tidak terlalu canggih, pengendalian otomatis sering kali dapat
diandalkan. Sebelum mengandalkan para pengendalian yang dimasukkan ke dalam
perangkat lunak tersebut, auditor harus yakin bahwa pemasok perangkat lunak tersebut
memilki reputasi kualitas yang baik.
 Akses terhadap arsip utama. Ketika klien menggunakan kompiuter mikro, auditor
harus memperhatikan mengenai akses terhadap arsip-arisp utama dan tanggung jawab
untuk pemrosesan menjadi sangat penting. Kajian yang dilakukan secara berkala
terhadap output transaksi dapat meningkatkan pengendalian internal.
 Risiko virus computer. Virus-virus computer dapat mengakibatkan hilangnya data dan
program. Beberapa virus dapat merusak arsip elektronik atau mematikan seluruh
jaringan computer. Memperbarui perangkat lunak anti virus secara berkala dapat
meningkatkan pengendalian.

Pengauditan dalam lingkungan TI yang lebih Kompleks

Ketika organisasi memperluas penggunaan TI-nya, pengendalian internal sering kasi

dimasukkan kedalam aplikasi-aplikasi yang hasanya tersedia secara elektronik. Ketika
dokumen-dokumen tradisional seperti faktur permintaan pembelian, catatan penagihan dan
catatamn-catatan akuntansi seperti jurnal penjualan hanya tersedia dalam secara elektronik,
auditor harus mengubah pendekatan audit mereka. Pendekatan ini disebut dengan pengauditan
melalui computer (auditing through the computer).

Auditor menggunakan ketiga kategori pendekatan pengujian ketika mengaudit melalui

computer. Ketifa pendekatan itu adalah pendekatan pengujian data, analisis parallel, dan
pendekatan modul audit yang melekat.

Pendekatan pengujian data. Auditor memproses pengujian data mereka sendiri dengan
menggunakan system computer klien dan program aplikasi untuk menentukan apakah
pengendalian otomatis sudah memproses data yang diuji dengan tepat. Auditor merancang
pengujian data untuk memasukkan transaksi-transaksi yang harus diterima atau ditolak oleh
system computer klien. Setelah data yang diuji diproses dalam system klien, auditor
membandingkan hasil actual dengan hasil yang diprediksikan untuk menilai efektivitas
pengendalian otomatis program aplikasi tersebut. Berikut ilustrasi penggunaan dari pendekatan
pengujian data

Memasukkan
transaksi-transaksi
yang diuji untuk
menguji prosedur
pengendalian kunci

Program-program
Arsip-arsip Transaksi
Aplikasi (Asumsikan
Arsip utama (Apakah Sudah
Sistem Seri)
Terkontaminasi?)

Hasil Pengujian
Pengendalian
Arsip yang Sudah
Terkontaminasi

Hasil Prediksi-Audit
Auditor atas Prosedur
Membuat Pengendalian Kunci
Perbandingan- Berdasakan pada
Perbandingan Pemahaman atas
Pengendalian Internal.

Perbedaan Antara hasil

actual dengan hasil yang
diprediksikan
Ketika menggunakan pendekatan pengujian data, auditor memiliki tiga pertimbangan utama
berikut.

1. Pengujian data harus memasukkan semua kondisi yang inigin diuji oleh auditor.
Auditor harus merancang data yang di uji untuk menguji semua pengendalian kunci
berbasis computer dan memasukkan data yang realistis dan kemungkinan menjadi
bagian dari pemrosesan normal klien, termasuk transaksi yang sah dan tidak sah.
2. Program aplikasi yang diuji oleh data uji auditor harus sama dengan data yang
digunakan klien di sepanjang tahun. Salah satu pendekatan yang digunakan adalah
dengan menjalankan pengujian data secara mendadak, jika memungkinakan dalamw
aktu acak di sepanjang tahun. Meskipun melakukan hal tersebut memakan biaya yang
cukup mahal dan menghabiskan cuku banyak waktu. Metode lain yang dapat digunakan
adalah dengan mengandalkan pengendalian umum klien dalam fungsi kepustakaan dan
pengembangan system untuk meyakinkan bahwa program yang diuji adalaah program
yang digunakan oleh klien sehari-hari.
3. Data yang diuji harus dihapurskan dari catatan klien. Jika auditor memproses data
yang diuji ketika klien memproses transaksinya sendiri, auditor harus menghapus data
yang diuji dalam arsip utama klien setelah pengujian selesai dilakukan. Auditor dapat
melakukan hal itu dengan mengembangkan dan memproses data yang memiliki
dampak yang berkebalikan dengan data yang diuji.

Simulasi parallel. Auditor sering kasi menggunakan perangkat lunak yang dikendalikan
auditor untuk melakukan operasi yang sama dengan yang dikerjakan oleh perangkat lunak
milik klien, dengan menggunakan asip data yang sama. Tujuannya adalah untuk menentukan
efektivitas pengendalian otomatis untuk mendapatkan bukti mengenai saldo akun secara
elektronik. Pengujian semacam ini dinamakan pengujian simulasi parallel (parallel
simulation test).

Auditor umumnya melakukan pengujian simulasi parallel dengan menggunakan perangklat

lunak audit yang umum (generalized audit software—GAS), yang program-programnya
dirancang khusus untuk tujuan-tujuan pengauditan. Perangkat lunak audit yang tersedia secara
komersial, seperti ACL atau IDEA, dapat dengan mudah dijalankan di computer desktop atau
computer laptop milik auditor. Auditor mendapatkan slainan basis data klien yang dapat dibaca
oleh mesin, arsip utama dan menggunakan perangkat lunak audit umum untuk melakukan
beragam pengujian data elektronik klien. Alih-alih menggunakan GAS, auditor menggunakan
perangkat lunak kertas kerja unutk melakukan pengujian simulasi parallel sederhana. Auditor
lainnya mengembangkan perangkat lunak audit mereka sendiri.

Penggunaan Umum dan Perangkat Lunak Audit Umum

Penggunaan Deskripsi Contoh

Verifikasi keluasan dan Verifikasi keakuratan Jumlahkan ke bawah neraca

penjumlahan ke bawah perhitungan klien dengan saldo piutang dagang
menghitung informasi
tersebut secara independen

Menguji kualitas, Lihat semua catatan dengan Telaah arsip penggajian

kelengkapan, konsistensi dan menggunakan kriteria untuk pegawai-pegawai yang
ketepatan catatan-catatan khusus sudah tidak bekerja lagi

Membandingkan data di Tentukan apakah informasi Bandingkan perubahan

beberapa arsip terpisah
di dua atau lebih arsip data dalam saldo piutang dagang
sama antara satu dengan di antara dua tanggal dengan
lainnya menggunakan penjualan dan
penerimaan kas dalam arsip-
arsip transaksi

Mengikhtisarkan atau Perubahan atau agregasi data Susun kembali unsur-unsur

mengurutkan kembali data persediaan berdasarkan
dan melakukan analisis lokasinya untuk
memudahkan pengamatan
fisik persediaan

Memilih sampel audit Memilih sampel dari data Pilih piutang pelanggan yang
yang dapat dibaca oleh mesin akan dikonfirmasikan secara
acak

Cetak permintaan- Cetak data untuk unsur-unsur Cetak nama pelanggan,

permintaan konfirmasi sampel yang dipilih untuk alamat dan informasi saldo
melakukan pengujian akun dari arsip utama
konfirmasi
 Bandingkan data yang Bandingkan data yang dapat Bandingkan jawaban-
didapatkan dari prosedur dibaca oleh mesin dengan jawaban konfirmasi dengan
audit lainnya dengan catatan bukti audit yang didapatkan arsip utama piutang dagang
perusahaan secara manual, yang diubah
kedalam bentuk yang dapat
dibaca oleh mesin

Perangkat lunak audit yang umum memberikan tiga keuntungan, yaitu (1) relatif mudah untuk
melatih para staf audit untuk menggunakannya, bahkan meski mereka sebelumnya hanya
mendapatkan sedikit pelatihan audit terkait TI, (2) perangkat lunak tersebut dapat diterapkan
pada beragam klien dengan sedikit penyesuaian, dan (3) memiliki kemampuan untuk
melakukan pengujian audit lebih cepat dan lebih terperinci dibandingkan dengan menggunakan
prosedur manual tradisional. Dua tujuan yang akan dibahas secara terperinci antara lain sebagai
berikut.

1. Perangkat lunak audit umum digunakan untuk menguji pengendalian otomatis. Seorang
auditor mendapatkan salinan arsip utama batas kredit pelanggan dan arsip pemesanan
pelanggan milik klien, kemudian menginstruksikan komputer auditor untuk mendaftar
transaksi-transaksi yang melebihi batas kredit pelanggan yang diotorisasi. Auditor
kemudian membandingkan output audit dengan daftar pesanan pelanggan milik klien
yang ditolak karena melebihi batas kredit yang diotorisasi.
2. Perangkat lunak audit umum digunakan untuk memverifikasi saldo saldo akun klien.
Seorang auditor dapat menggunakan perangkat lunak untuk menjumlahkan arsip utama
piutang pelanggan klien untuk menentukan apakah jumlah totalnya sama dengan saldo
di buku besar.

Pendekatan Modul Audit Melekat (Embedded Audit Module Approach)

Ketika menggunakan pendekatan modul audit melekat auditor memasukkan sebuah modul
audit dalam sistem aplikasi klien untuk mengidentifikasi jenis transaksi khusus. Pendekatan
modul audit melekat memungkinkan auditor untuk dapat terus-menerus mengaudit transaksi-
transaksi dengan mengidentifikasi transaksi aktual yang diproses oleh klien dibandingkan
dengan data yang diuji dan pendekatan simulasi paralel, yang hanya bisa dilakukan dengan
pengujian berselang.
 Meskipun para auditor dapat menggunakan satu atau gabungan beberapa pendekatan
pengujian, biasanya mereka menggunakan cara-cara berikut.

 Menguji data untuk melakukan pengujian pengendalian dan pengujian substantif

transaksi.
 Simulasi paralel untuk pengujian substantif, seperti perhitungan ulang jumlah
transaksi dan penjumlahan kebawah catatan tambahan di arsip utama piutang
dagang.
 Melekatkan modul audit untuk mengidentifikasi transaksi-transaksi yang tidak bisa
untuk pengujian substantif.

MASALAH-MASALAH DALAM LINGKUNGAN TI YANG BERBEDA

Meskipun semua organisasi memerlukan pengendalian internal yang baik tanpa melihat
struktur fungsi TI mereka, namun beberapa masalah pengendalian umum dapat berbeda
tergantung pada lingkungan-lingkungan TI-nya.

Masalah-Masalah dalam Lingkungan Jaringan

Meningkatnya penggunaan jaringan yang menghubungkan peralatan seperti komputer mikro,

komputer mini, mainframe, workstation, server dan mesin cetak telah mengubah TI untuk
banyak aktivitas usaha. Local Area Network (LAN) menghubungkan peralatan-peralatan dalam
satu atau beberapa gedung yang lokasinya berdekatan dan hanya digunakan dalam sebuah
perusahaan. LAN seringkali digunakan untuk mentransfer data dan program dari satu komputer
atau workstation dengan menggunakan sistem jaringan yang memungkinkan semua alat-alat
beroperasi bersama. Wide Area Network (WAN) menghubungkan peralatan-peralatan dalam
wilayah geografis yang lebih luas, termasuk operasi global.

Dalam jaringan, aplikasi perangkat lunak dan arsip data yang digunakan untuk memproses
transaksi dimasukkan ke dalam beberapa komputer yang terhubung satu sama lainnya. Akses
terhadap aplikasi dari komputer mikro atau workstation diatur oleh perangkat lunak server
jaringan. Bahkan perusahaan kecil dapat memiliki beberapa komputer server yang terhubung
satu sama lain dalam suatu jaringan sementara perusahaan yang lebih besar dapat memiliki
ratusan server dalam lusinan lokasi jaringan yang terhubung satu sama lain. Auditor sering kali
meningkatkan risiko pengendalian ketika perusahaan memiliki jaringan yang terdiri dari
beberapa server yang terletak di beberapa lokasi karena adanya operasi jaringan yang
terdesentralisasi sering kali kekurangan pengamanan dan pengawasan manajemen terhadap
beragam server yang terhubung.

Ketika klien memiliki aplikasi akuntansi yang diproses dalam suatu jaringan, auditor harus
mempelajari konfigurasi jaringan klien, termasuk lokasi komputer-komputer server dan
workstation yang terhubung satu sama lain, perangkat lunak jaringan yang digunakan untuk
mengatur sistem, dan pengendalian terhadap akses dan perubahan terhadap program-program
aplikasi serta arsip-arsip data yang disimpan di dalam server. Pengetahuan ini dapat
mempengaruhi pengukuran risiko pengendalian auditor ketika merencanakan audit atas
laporan keuangan dan ketika menguji pengendalian dalam suatu audit Pengendalian internal
atas pelaporan keuangan.

Masalah-Masalah dalam Sistem Manajemen Basis Data

Sistem manajemen basis data memungkinkan klien untuk menciptakan basis data yang
memasukkan informasi yang dapat digunakan bersama di antara beragam aplikasi. Dalam
sistem non basis data, masing-masing aplikasi memiliki arsip data tersendiri, sedangkan dalam
sistem manajemen basis data, banyak arsip-arsip aplikasi bersama. Tujuan klien menerapkan
sistem manajemen basis data adalah untuk mengurangi aplikasi data, meningkatkan
pengendalian terhadap data, dan memberikan informasi yang lebih baik untuk pengambilan
keputusan dengan mengintegrasikan informasi disepanjang fungsi-fungsi dan departemen-
departemen dalam perusahaan.

Pengendalian seringkali dapat ditingkatkan ketika data terpusat dalam sistem manajemen basis
data dengan menghilangkan duplikasi arsip data. Namun demikian, sistem manajemen basis
data juga dapat menciptakan risiko pengendalian internal. Risiko meningkat ketika beragam
pengguna, termasuk individu-individu diluar fungsi akuntansi, dapat mengakses dan
memperbarui arsip data. Untuk mengatasi masalah risiko data yang tidak diotorisasi, tidak
akurat dan tidak lengkap, perusahaan harus menerapkan peraturan basis data serta
pengendalian akses yang tepat. Dengan data yang terpusat dalam satu sistem tunggal, mereka
juga harus meyakinkan adanya cadangan data yang tepat secara berkala.

Masalah-Masalah dalam Sistem E-Commerce

Perusahaan-perusahaan yang menggunakan sistem e-commerce untuk melakukan transaksi

bisnisnya menghubungkan sistem akuntansi internal mereka secara elektronik dengan sistem
pihak eksternal, seperti dengan pelanggan dan pemasok. Akibatnya, risiko perusahaan sebagian
bergantung pada seberapa baik rekan-rekan e-commerce klien mengidentifikasi dan menangani
risiko dalam sistem TI mereka sendiri. Untuk menangani risiko independensi, perusahaan harus
meyakinkan bahwa rekan bisnis mereka menangani risiko TI sebelum melakukan bisnis dengan
mereka secara elektronik.

Penggunaan sistem e-commerce juga berarti membuka data sensitif perusahaan, program dan
perangkat lunak terhadap kemungkinan sabotase oleh pihak eksternal. Untuk membatasi
kemungkinan tersebut perusahaan menggunakan:

1. Firewall, berfungsi melindungi data program dan sumber daya lainnya dari para
pengguna eksternal yang tidak sah untuk mengakses sistem melalui jaringan seperti
internet. Firewall merupakan suatu sistem perangkat keras dan perangkat lunak yang
memantau dan mengendalikan arus komunikasi e-commerce dengan menghubungkan
semua jaringan melalui pengendalian yang mampu memverifikasi pengguna eksternal,
memberikan akses kepada para pengguna yang sah, dan menolak akses para pengguna
yang tidak sah, serta mengarahkan para pengguna yang sah pada program atau data
yang diminta.
2. Teknik Enkripsi (penyandian) melindungi keamanan komunikasi elektronik ketika
informasi ditransmisikan. Enkripsi terkomputerisasi mengubah suatu pesan standar ke
dalam kode (dienkripsi), yang mengharuskan penerima pesan elektronik tersebut
menggunakan program dekripsi untuk membaca pesan tersebut. Teknik kunci enkripsi
publik seringkali digunakan, ketika satu public key digunakan untuk mengubah pesan
ke dalam kode-kode (encode) dan kunci lainnya (privat key) digunakan untuk
mengubah kode-kode ke dalam pesan yang dapat dibaca (decoding). Kunci publik
didistribusikan kepada semua pengguna yang memiliki otoritas untuk menerima dan
membaca pesan tersebut.
3. Tanda Tangan Digital (digital signature), digunakan untuk memeriksa keabsahan rekan
bisnis dalam melakukan bisnis secara elektronik, juga digunakan perusahaan untuk
memverifikasi sumber public key sehingga perusahaan dapat mengandalkan otoritas
sertifikasi eksternal. Tanda tangan digital berisi nama pemilik dan public key-nya.
Selain itu tanda tangan digital juga berisi nama otoritas yang memberikan sertifikasi
dan tanggal kadaluarsa sertifikat tersebut serta informasi khusus lainnya. Untuk
menjamin integritas dan keabsahannya, setiap tanda tangan secara digital
ditandatangani oleh privat key yang dijaga oleh otoritas yang memberi sertifikasi.
Masalah-masalah Ketika Klien Mensubkontrakan Kebutuhan TI
Banyak klien yang mensubkontrakan beberapa atau semua kebutuhan TI-nya kepada pusat
layanan komputer independen, termasuk penyediaan layanan aplikasi (application service
provider—ASP), dibandingkan dengan pusat TI internal. Perusahaan-perusahaan yang lebih
kecil sering kali mensubkontrakkan fungsi penggajian mereka karena penggajian relatif sama
di satu perusahaan dengan perusahaan lainnya, dan banyak penyedia jasa penggajian yang anal
tersedia. Seperti halnya semua keputusan pesubkontrakan, perusahaan memutuskan apakah
akan mensubkontrakkan fungsi TI dengan alasan efisiensi biaya.
Ketika perusahaan mensubkontrakkan TI pada suatu pusat layanan komputer, klien
memasukkan data input, yang kemudian diproses oleh pusat layanan komputer dengan harga
pembayaran tertentu, dan mengembalikan hasil output dan input original yang disepakati.
Untuk penggajian, perusahaan memasukkan data waktu kerja pegawai, dan formulir pajak
kepada pusat layanan. Pusat layanan kemudian mengembalikan slip-slip gaji, jurnal dan data
input setiap minggu serta formulir pajak di setiap akhir tahun. Pusat layanan komputer
bertanggung jawsab untuk merancang sistem komputer dan memberikan pengendalian yang
memadai untuk meyakinkan bahwa pemrosesan dapat diandalkan.

Memahami Pengendalian Internal dalam Sistem Subkontrak (Outsourcing) auditor

menghadapi kesulitan ketika mendapatkan pemahaman atas pengendalian internal klien dalam
situasi tersebut karena banyak pengendalian yang terletak di pusat layanan, dan auditor tidak
dapat menganggap pengendalian sudah dilakukan dengan tepat karena pusat layanan tersebut
merupakan perusahaan independen. Standar audit mengharuskan auditor untuk
mempertimbangkan kebutuhan untuk mendapatkan pemahaman dan menguji pengendalian
internal pusat layanan tersebut jika aplikasi pusat layanan tersebut melibatkan data finansial
yang signifikan besarnya. Sebagai contoh, banyak pengendalian untuk tujian audit terkait
transaksi penggajian terletak pada program perangkat lunak yang dijaga dan didukung oleh
perusahaan penyedia jasa penggajian, dan bukan pada klien audit.
Ketika mendapatkan pemahaman dan menguji pengendalian pusat layanan, auditor
harus menggunakan kriteria yang sama dengan yang digunakan untuk mengevaluasi
pengendalian internal klien. Kedalaman pemahaman auditor pergantung pada kompleksitas
sistem dan keluasan pengendalian yang diangdalkan untuk mengurangi risiko. Kedalaman
pemahaman juga bergantung pada keluasan di mana pengendalian-pengendalian kunci
terhadap tujuan audit terjait transaksi terletak pada pusat layanan jasa untuk audit pengendalian
internal di perusahaan publik. Jika auditor menyimpulkan bahwa keterlibatan aktif di pusat
layanan merupakan satu-satunya cara untuk melakukan audit, maka penting untuk
mendapatkan pemahaman atas pengendalian internal di pusat layanan dan menguji
pengendalian dengan menggunakan data yang diuji serta pengendalian atas pengendalian
lainnya.

Tingkat Kepercayaan Terhadap Auditor Pusat Layanan Komputer Dalam beberapa tahun
terakhir, merupakan hal yang wajar bagi pusat layanan untuk melakukan kontrak dengan suatu
KAP untuk mendapatkan pemahaman dan menguji pengendalian internal di pusat layanan serta
menerbitkan laporan untuk digunakan oleh semua pelanggan dan para auditor independennya.
Tujuan dari penilaian independen ini adalah untuk memberikan keyakinan yang memadai pada
seluruh pelanggan pusat layanan mengenai kecukupan pendendalian umum dan pengendalian
aplikasi pusat layanan serta untuk menghapus pengauditan yang berulang yang dilakukan oleh
para pelanggan pusat layanan tersebut. Jika pusat layanan tersebut memiliki banyak pelanggan
dan masing-masing mengharuskan adanya pemahaman atas pengendalian internal pusat
layanan oleh para auditor independennya, halangan dan biaya bagi pusat layanan dapat menjadi
besar.
PSA 70 (SA 324) memberikan panduan bagi (1) auditor untuk menerbitkan laporan atas
pengendalian internal organisasi penyedia jasa (auditor perusahaan penyedia jasa), dan (2)
auditor organisasi pengguna yang mengandalkan laporan auditor perusahaan penyedia jasa.
Auditor perusahaan penyedia jasa dapat menerbitkan dua jenis laporan berikut.
 Laporan atas pengendalian yang diterapkan.
 Laporan atas pengendalian yang diterapkan serta pengujian efektivitas operasinya.
Sebuah laporan atas pengendalian yang diterapkan akan membantu auditor dalam
mendapatkan pemahaman atas pengendalian internal untuk merencanakan audit. Namun
demikian, auditor juga membutuhkan bukti mengenai efektivitas operasi pengendalian internal
terhadap pelaporan keuangan bagi perusahaan publik. Bukti-bukti tersebut dapat berupa hal-
hal berikut.
 Berdasarkan pada laporan auditor perusahaan penyedia jasa atas pengendalian yang
diterapkan dan pengujian atas efektivitas operasi pengendalian.
 Berasal dari pengujian atas pengendalian internal organisasi pengguna terhadap
aktivitas-aktivitas organisasi penyedia jasa.
 Dihasilkan ketika auditor perusahaan pengguna layanan melakukan pengujian yang
tepat di perusahaan penyedia jasa.
 Jika auditor memutuskan untuk mengandalkan laporan auditor perusahaan penyedia
jasa, tanya jawab yang tepat perlu dilakukan terkait dengan reputasi auditor perusahaan
penyedia jasa. Standar audit menyatakan bahwa auditor perusahaan pengguna layanan tidak
boleh membuat referensi terhadap laporan dari auditor perusahaan penyedia jasa dalam opini
atas laporan keuangan organisasi pengguna.