Kelompok 5
Sebagian besar entitas, termasuk usaha kecil yang merupakan bisnis keluarga mengandalkan
teknologi informasi (TI) untuk mencatat dan memproses transaksi bisnis. Sebagai akibat dari
ledakan kemajuan dalam TI, bahkan usaha-usaha yang relatif kecil pun kini menggunakan
komputer dengan program akuntansi komersial untuk mengerjakan pembukuan mereka. Ketika
bisnis perkembang dan kebutuhan akan informasi meningkat, biasanya mereka meningkatkan
sistem TI-nya. Penggunaaan jaringan TI yang kompleks, Internet, serta fungsi TI yang terpusat
untu kebutuhan fungsi akuntansi kini merupakan hal yang umum dilakukan di mana pun.
3. Akan pengalaman di bidang teknologi informasi dan pemisahan tugas teknologi informasi
Salah saji mungkin tidak dapat dideteksi dengan meningkatnya penggunaan teknologi
informasi karena hilangnya jejak audit yang nyata dan juga berkurangnya keterlibatan manusia.
Selain itu komputer menggantikan beberapa jenis otorisasi tradisional dalam banyak sistem TI.
Kejelasan jejak audit. Karena banyak informasi yang dimasukkan secara langsung ke
dalam komputerpenggunaan TI seringkali mengurangi atau bahkan menghilangkan
dokumen dokumen sumber dan catatan-catatan yang memungkinkan organisasi untuk
menelusuri informasi akuntansi tersebut dokumen dan catatan tersebut dinamakan jejak
audit. Karena tidak adanya jejak audit pengendalian lain harus dimasukkan untuk
menggantikan kemampuan tradisional untuk membandingkan informasi dengan data
diatas kertas.
Berkurangnya keterlibatan manusia. Dalam banyak sistem para pegawai yang
menangani pemrosesan awal transaksi tidak pernah melihat hasil akhirnya. Sehingga
mereka kurang mampu untuk mengidentifikasi salah saji dalam pemrosesan. Bahkan
jika mereka dapat melihat hasil akhirnya sekalipun seringkali sulit untuk mengenali
adanya salah saji karena hasilnya seringkali sudah di daftarkan dengan sangat ringkas.
selain itu para pegawai cenderung menganggap output yang dihasilkan dari penggunaan
teknologi informasi itu benar karena diproses oleh program komputer.
Kurangnya otorisasi tradisional. Sistem yang maju seringkali dapat mengerjakan
beberapa jenis transaksi secara otomatis seperti menghitung bunga untuk rekening
tabungan dan pemesanan persediaan ketika tingkat pemesanan kembali yang telah
ditetapkan telah tercapai. Sehingga organisasi yang tepat bergantung pada perangkat
lunak dan arsip utama yang akurat yang digunakan untuk membuat keputusan otorisasi
tersebut.
Sistem teknologi informasi mengurangi pemisah tugas tradisional dan menciptakan suatu
kebutuhan tambahan akan pengalaman di bidang teknologi informasi.
Berkurangnya pemisahan tugas. Ketika suatu organisasi berubah dari proses manual ke
proses komputer, komputer melakukan banyak tugas yang sebelumnya secara
tradisional dipisahkan misalnya otorisasi dan pembukuan. menggabungkan aktivitas-
aktivitas dari berbagai bagian organisasi ke dalam satu fungsi teknologi informasi akan
memusatkan tanggung jawab yang sebelumnya dipisahkan. personil teknologi
informasi yang memiliki akses terhadap perangkat lunak dan arsip utama dapat
melakukan pencurian terhadap aset organisasi kecuali jika tugas-tugas kunci dipisahkan
di dalam fungsi teknologi informasi.
Kebutuhan akan pengalaman di bidang teknologi informasi. Meskipun perusahaan
membeli paket perangkat lunak akuntansi yang sederhana sangat penting bagi
perusahaan untuk memiliki pegawai yang memiliki pengetahuan dan pengalaman untuk
memasang memelihara dan menggunakan sistem tersebut. Ketika penggunaan sistem
tik meningkat kebutuhan akan ahli di bidang teknologi informasi akan meningkat pula.
Banyak perusahaan yang memiliki ahli di bidang teknologi informasi serta menangani
sistem teknologi informasi sendiri, sementara perusahaan-perusahaan lainnya
perusahaan lain untuk melakukan operasi teknologi informasi. Keandalan suatu sistem
dan informasi yang dihasilkan seringkali bergantung pada kemampuan perusahaan
untuk memperkerjakan pegawai atau menyewa konsultan yang memiliki pengetahuan
dan pengalaman di bidang teknologi informasi.
Untuk mengatasi banyak resiko yang terkait dengan keandalan teknologi informasi organisasi
organisasi sering kali menerapkan pengendalian teknologi informasi khusus. Untuk mengatasi
banyak risiko yang terkait dengan keandalan teknologi informasi organisasi organisasi
seringkali menerapkan pengendalian teknologi informasi khusus. Standar audit menjelaskan
dua kategori pengendalian untuk sistem teknologi informasi yaitu:
1. Pengendalian umum
Pengendalian umum diterapkan pada semua aspek dalam fungsi teknologi informasi
termasuk pengaturan teknologi informasi ; tugas-tugas teknologi informasi;
pengembangan sistem; pengamanan fisik dan online terhadap akses pada perangkat
lunak, perangkat keras dan data terkait ; rencana cadangan dan kontinjensi jika terjadi
kondisi darurat yang tidak diperkirakan sebelumnya; dan pengendalian perangkat keras.
Auditor mengevaluasi pengendalian umum untuk perusahaan secara keseluruhan.
2. Pengendalian aplikasi
Pengendalian Umum
Pengaturan fungsi TI, sikap dewan direksi dan manajemen senior terhadap teknologi
informasi mempengaruhi anggapan terhadap pentingnya teknologi informasi di dalam
suatu organisasi. Pengawasan alokasi sumber daya serta keterlibatan mereka dalam
keputusan keputusan kunci dalam teknologi informasi memberikan sinyal pentingnya
teknologi informasi dalam organisasi tersebut. Dalam lingkungan yang kompleks
manajemen dapat mendirikan komite pengarah teknologi informasi untuk membantu
memonitor kebutuhan informasi organisasi. dalam organisasi yang tidak begitu
kompleks dewan direksi dapat mengandalkan laporan reguler dari CIO atau manajer
senior teknologi informasi lainnya untuk menjaga manajemen agar terus mendapatkan
informasi. Sebaliknya ketika manajemen menugaskan isu-isu terkait teknologi hanya
pada pegawai yang tingkatnya lebih rendah atau pada konsultan luar semata, kesan yang
muncul adalah teknologi informasi bukan merupakan prioritas penting bagi organisasi
tersebut. Hasilnya seringkali berupa fungsi teknologi informasi yang kekurangan
pegawai kekurangan dana dan tidak diawasi dengan baik.
Pemisahan tugas-tugas teknologi informasi; untuk menangani resiko penggabungan
tanggung jawab penyimpanan, otorisasi dan pembukuan tradisional di bawah sistem
teknologi informasi, organisasi-organisasi yang dikendalikan dengan baik
menanganinya dengan memisahkan tugas-tugas kunci dalam TI. Sebagai contoh harus
ada pemisahan tugas dalam teknologi informasi untuk mencegah personil teknologi
informasi untuk mengotorisasi dan mencatat transaksi untuk menutupi pencurian aset
yang dilakukan. idealnya tanggung jawab untuk manajemen teknologi informasi,
pengembangan sistem, operasi dan pengendalian data harus dipisahkan sebagaimana
berikut.
Manajemen TI harus bertanggung jawab untuk mengawasi fungsi teknologi informasi
untuk meyakinkan agar semua aktivitas teknologi informasi dilakukan secara konsisten
sesuai dengan rencana strategis teknologi informasi. Administrator pengaman harus
mengawasi akses fisik maupun online terhadap perangkat keras perangkat lunak dan
arsip data serta menyelidiki semua kasus pembobolan akses pengamanan.
Pengembangan sistem. Para analis sistem, yang bertanggung jawab untuk keseluruhan
rancangan di setiap sistem aplikasi, mengoordinasikan pengembangan dan perubahan
terhadap sistem TI dengan personel TI yang bertanggung jawab untuk pemrogaman
aplikasi dan personel di luar TI yang akan menjadi pengguna utama sistem tersebut
(misalnya personel piutang dagang). Pemrogram mengembangkan bagan arus untuk
setiap aplikasi baru, menyiapkan instruksi-instruksi komputer, menguji program-
program dan mendokumentasikan hasilnya.
Operasi. Operator komputer bertanggung jawab untuk kegiatan operasionl komputer
sehari-hari, mengikuti jadwal yang telah ditetapkan oleh CIO. Mereka juga bertanggung
jawab untuk memantau perangkat komputer untuk hal-hal terkait efisiensi dan
kerusakan komputer.
Pengendalian data. Personel pengendali data input atau output secara independen
memeriksa kualitas input dan kewajaran output yang dihasilkan. Untuk organisasi yang
menggunakan basis data untuk menyimpan informasi yang digunakan oleh fungsi
akuntansi dan fungsi lainnya, administrator basis data bertanggung jawab untuk operasi
dan keamanan akses basis data tersebut.
Pengembangan Sistem.
Melakukan uji coba untuk semua perangkat lunak, untuk meyakinkan bahwa perangkat
baru tersebut sesuai dengan perangkat keras dan perangkat lunak yang ada, serta
menentukan apakah perangkat keras dan perangkat lunak dapat menangani volume
transaksi yang diinginkan. Apakah perangkat lunak tersebut dibeli atau pun
dikembangkan sendiri secara internal, pengujian yang luas terhadap semua perangkat
lunak dengan data yang realistis merupakan hal yang sangat penting untuk dilakukan.
Perusahaan biasanya menggunakan satu atau gabungan dari beberapa pendekatan uji
coba berikut.
1. Uji coba pendahuluan (pilot testing). Suatu sistem baru diterapkan di dalam satu
bagian dari suatu organisasi, sementara lokasi-lokasi lainnya terus berjalan dengan
sistem lama.
2. Uji coba pralel (parallel testing). Sistem yang lama dan yang baru beroperasi
secara simultan di semua lokasi.
Dokumentasi sistem yang tepat diperlukan untuk semua perangkat lunak baru
dan modifikasi. Setelah perangkat lunak telah berhasil diuji dan didokumentasikan,
perangkat lunak tersebut ditransfer kepada pustakawan dengan pengawasan yang ketat
untuk meyakinkan hanya perangkat lunak yang telah diotorisasi yang dapat diterima
sebagai versi resmi.
Keamanan Fisik dan Online. Pengendalian fisik terhadap komputer dan pembatasan
terhadap akses online dan arsip data terkait dapat menurunkan risiko perubahan yang tidak
diotorisasi terhadap program-proram dan penggunaan yang tidak tepat terhadap program-
program dan arsip data. Rencana pengamanan harus dibuat secara tertulis dan dipantau.
Pengendalian keamanan mencakup pengendalian akses secara fisik maupun online.
Pengendalian fisik. Pengendalian fisik yang tepat terhadap peralatan komputer
dengan membatasi akses terhadap perangkat keras, perangkat lunak dan arsip data
cadangan di dalam pita magnetik atau cakram, hard drive, CD dan external disk.
Contoh umum dalam membatasi penggunaan yang tidak diotorisasi antara lain
keypad entrance, badge-entry system, kamera pengawas, serta personel keamanan.
Pengendalian yang lebih canggih hanya mengizinkan akses fisik dan online setelah
sidik jari pegawai dibaca atau retina pegawai dipindai dan dicocokkan dengan basis
data yang disahkan.
Rencana Cadangan dan Kontinjensi. Masalah gangguan listrik, kebakaran, panas atau
kelembaban yang terlalu tinggi, kerusakan yang disebabkan oleh air, atau bahkan sabotase
dapat berdampak serius terhadap bisnis yang menggunakan TI. Untuk mencegah hilangnya
data yang disebabkan karena masalah kelistrikan, banyak perusahaan mengandalkan
baterai cadangan atau generator tambahan. Untuk kerusakan yang lebih parah, perusahaan
memerlukan rencana cadangan dan kontinjensi yang lebih terperinci seperti penyimpanan
data di lokasi yang dipilih oleh perusahaan untuk menyimpan perangkat lunak dan arsip-
arsip data penting atau mensubkontrakkan kepada perusahaan-perusahaan yang khusus
bergerk dibidang pengamanan penyimpanan data.
Pengendalian Aplikasi
Pengendalian aplikasi dirancang untuk setiap apliksi perangkat lunak dan dimaksudkan
untuk membantu perusahaan memenuhi keenam tujuan audit terkait transaksi. Meskipun
beberapa pengendalian aplikasi hanya memengaruhi satu atau beberapa tujuan audit terkait
transaksi, sebagian besar pengendalian mencegah atau mendeteksi beberapa jenis salah
saji. Pengendalian aplikasi lainnya menekankan pada saldo akun dan tujuan penyajian dan
pengungkapan.
Pengendalian aplikasi dapat dilakukan oleh komputer atau personel klien. Ketika
dilakukan oleh personel klien, pengendalian tersebut dinamakan pengendalian manual.
Efektivitas pengendalian manual bergantung pada kompetesi orang-orang yang
menjalankan pengendalian serta kehati-hatian yang mereka lakukan ketika
menjalankannya. Sebagai contoh, ketika personel departemen kredit menelaah laporan
pengecualian yang mengidentifikasi penjualan kredit yang melebihi batas kredit yang
diotorisasi untuk seorang pelanggan, auditor mungkin memerlukan untuk mengevaluasi
kemampuan orang yang membuat penilaian tersebut serta menguji keakuratan laporan
pengecualian tersebut. Jika pengendalian dilakukan oleh komputer, pengendalian tersebut
dinamakan pengendalian otomatis. Karena sifat pemrosesan komputer, pengendalian
otomatis, jika dirancang dengan tepat, dapat menyebabkan pelaksanaan pengendalian
konsisten.
Pengendalian aplikasi terbagi dalam tiga kategori: input,proses, output. Meskipun tujuan
untuk setiap kategori sama, prosedur untuk memenuhi tujuan tersebut dapat cukup
beragam.
Pengendalian Input. Pengendalian input dirancang untuk meyakinkan bahwa informasi
yang dimasukkan ke dalam komputer adalah sah, akurat dan lengkap. Hal tersebut
sangatlah penting karena sebagian besar kesalahan dalam sistem TI berasal dari kesalahan
dalam memasukkan data, dan tentunya, tanpa mempertimbangkan kualitas pemrosesan
informasi, kesalahan input menghasilkan output yang salah.
Tampilan layar input yang dirancang dengan tepat yang dapat membantu
mempercepat masuknya informasi transaksi.
Akumulasi kesalahan dalam arsip kesalahan untuk tindak lanjut berikutnya oleh
personel input data.
Untuk sistem TI yang mengelompokkan transaksi sejenis ini ke dalam beberapa seri,
pengendalian informasi seri total, dan total bilangan catatan membantu meningkatkan akurasi
dan kelengkapan input.
Pengendalian Definisi Contoh
Financial Ringkasan total jumlah dalam satu field Jumlah total rupiah untuk
total untuk semua catatan dalam satu seri yang semuapemasok yang harus
merupakan suatu jumlah total yang dibayar.
memiliki arti tertentu, seperti rupiah atau
jumlah.
Hash total Ringkasan jumlah total kode-kode dari Total dari semua nomor akun
semua catatan dalam satu sri yang tidak pemasok untuk faktur-faktur
memiliki arti tertentu. pemasok yang harus dibayar.
Record total Ringkasan banyaknya catatan-catatan Banyaknya faktur pemasok
fisik dalam satu seri. yang harus di proses.
Rekonsiliasi output yang dihasilkan oleh komputer dengan hasil perhitungan manual.
Membandingkan jumlah unit yang diproses dengan jumlah unit yang masuk untuk diproses.
Verifikasi tanggal dan waktu pemrosesan untuk mengidentifikasi setiap pemrosesan yang
tidak berurutan.
Untuk output komputer yang spesifik, seperti slip gaji, pengendalian dapat ditingkatkan
dengan mengharuskan pegawai untuk menunjukkan kartu identitas pegawai sebelum mereka
menerima slip gaji mereka. Selain itu, akses terhadap output yang sensitif yang disimpan di
dalam arsip elektronik atau ditransmisikan ke dalam jaringan, termasuk internet, sering kali
dibatasi dengan adanya kata sandi, identifikasi pengguna, dan teknik enkripsi.
DAMPAK TEKNOLOGI INFORMASI DALAM PROSES AUDIT
Di sisi lain, jika pengendalian umum efektif, auditor dapat menempatkan keandalan yang
lebih besar pada pengendalian aplikasi. Auditor kemudian dapat menguji pengendalian aplikasi
untuk efektivitas operasi dan mengandalkan hasilnya untuk mengurangi pengujian substantif
Pengaruh Pengendalian Umum Terhadap Perubahan Perangkat Lunak Perubahan klien
terhadap aplikasi perangkat lunak mempengaruhi kepercayaan auditor terhadap pengendalian
otomatis. Ketika klien mengubah perangkat lunaknya, auditor harus mengevaluasi apakah
pengujian tambahan diperlukan. Jika pengendalian umum efektif, auditor dapat dengan mudah
mengidentifikasi kapan perubahan perangkat lunak dilakukan. Namun dalam perusahaan-
perusahaan yang memiliki pengendalian umum yang lemah, akan sulit untuk mengidentifikasi
perubahan perangkat lunak. Akibatnya, ketika pengendalian umum lemah, auditor harus
mempertimbangkan untuk melakukan pengujian pengendalian aplikasi di sepanjang tahun
berjalan.
Memeriksa dokumentasi sistem seperti bagan arus, petunjuk penggunaan bagi para
pengguna, permohonan perubahan program, dan pengujian hasilnya.
Mengkaji hasil perincian kuesioner yang diisi oleh para staf TI.
dalam banyak kasus, auditor harus menggunakan beberapa pendekatan diatas karena
masing-masing memberikan informasi yang berbeda. Sebagai contoh wawancara dengan CIO
(Chief Information Officer) dan para analisis sistem memberikan informasi yang berguna
mengenai operasi fungsi TI secara keseluruhan, cakupan pengembangan perangkat lunak dan
perubahan perangkat keras yang dilakukan terhadap perangkat lunak aplikasi akuntansi, dan
tinjauan terhadap setiap perubahan yang direncanakan. Pengkajian permohonan perubahan
program dan hasil pengujian sistem berguna untuk mengidentifikasi perubahan program dalam
aplikasi perangkat lunak. Kuesioner membantu auditor untuk mengidentifikasi pengendalian
internal yang spesifik.
Dalam situasi seperti itu, penggunaan TI tidak secara signifikan berdampak pada
penelusuran jejak audit. Biasanya para auditor mendapatkan pemahaman atas pengendalian
internal dan melakukan pengujian pengendalian, pengujian substantive, transaksi serta
prosedur verifikasi saldo-saldo akun dengan cara yang sama seperti ketika mereka melakukan
pengujian system akuntansi manual. Auditor juga masih bertanggung jawab untuk
mendapatkan pemahaman pengendalian umum dan pengendalian aplikasi computer, karena
pengetahuan tersebut bermanfaat dalam mengidentifikasi risiko-risiko yang mungkin
mempengaruhi laporan keuangan. Namun, auditor biasanya tidak melakukan pengujian
pengendalian otomatis. Pendekatan audit ini seringkali dinamakan dengan pengauditan di
sekitar computer (auditing around the computer). Karena auditor tidak menggunakan
pengendalian otomatis untuk mengurangi pengukuran risiko pengendalian. Melainkan, auditor
menggunakan pengendalian manual untuk mendukung pengurangan penilaian risisko
pengendalian.
Pendekatan pengujian data. Auditor memproses pengujian data mereka sendiri dengan
menggunakan system computer klien dan program aplikasi untuk menentukan apakah
pengendalian otomatis sudah memproses data yang diuji dengan tepat. Auditor merancang
pengujian data untuk memasukkan transaksi-transaksi yang harus diterima atau ditolak oleh
system computer klien. Setelah data yang diuji diproses dalam system klien, auditor
membandingkan hasil actual dengan hasil yang diprediksikan untuk menilai efektivitas
pengendalian otomatis program aplikasi tersebut. Berikut ilustrasi penggunaan dari pendekatan
pengujian data
Memasukkan
transaksi-transaksi
yang diuji untuk
menguji prosedur
pengendalian kunci
Program-program
Arsip-arsip Transaksi
Aplikasi (Asumsikan
Arsip utama (Apakah Sudah
Sistem Seri)
Terkontaminasi?)
Hasil Pengujian
Pengendalian
Arsip yang Sudah
Terkontaminasi
Hasil Prediksi-Audit
Auditor atas Prosedur
Membuat Pengendalian Kunci
Perbandingan- Berdasakan pada
Perbandingan Pemahaman atas
Pengendalian Internal.
1. Pengujian data harus memasukkan semua kondisi yang inigin diuji oleh auditor.
Auditor harus merancang data yang di uji untuk menguji semua pengendalian kunci
berbasis computer dan memasukkan data yang realistis dan kemungkinan menjadi
bagian dari pemrosesan normal klien, termasuk transaksi yang sah dan tidak sah.
2. Program aplikasi yang diuji oleh data uji auditor harus sama dengan data yang
digunakan klien di sepanjang tahun. Salah satu pendekatan yang digunakan adalah
dengan menjalankan pengujian data secara mendadak, jika memungkinakan dalamw
aktu acak di sepanjang tahun. Meskipun melakukan hal tersebut memakan biaya yang
cukup mahal dan menghabiskan cuku banyak waktu. Metode lain yang dapat digunakan
adalah dengan mengandalkan pengendalian umum klien dalam fungsi kepustakaan dan
pengembangan system untuk meyakinkan bahwa program yang diuji adalaah program
yang digunakan oleh klien sehari-hari.
3. Data yang diuji harus dihapurskan dari catatan klien. Jika auditor memproses data
yang diuji ketika klien memproses transaksinya sendiri, auditor harus menghapus data
yang diuji dalam arsip utama klien setelah pengujian selesai dilakukan. Auditor dapat
melakukan hal itu dengan mengembangkan dan memproses data yang memiliki
dampak yang berkebalikan dengan data yang diuji.
Simulasi parallel. Auditor sering kasi menggunakan perangkat lunak yang dikendalikan
auditor untuk melakukan operasi yang sama dengan yang dikerjakan oleh perangkat lunak
milik klien, dengan menggunakan asip data yang sama. Tujuannya adalah untuk menentukan
efektivitas pengendalian otomatis untuk mendapatkan bukti mengenai saldo akun secara
elektronik. Pengujian semacam ini dinamakan pengujian simulasi parallel (parallel
simulation test).
Memilih sampel audit Memilih sampel dari data Pilih piutang pelanggan yang
yang dapat dibaca oleh mesin akan dikonfirmasikan secara
acak
Perangkat lunak audit yang umum memberikan tiga keuntungan, yaitu (1) relatif mudah untuk
melatih para staf audit untuk menggunakannya, bahkan meski mereka sebelumnya hanya
mendapatkan sedikit pelatihan audit terkait TI, (2) perangkat lunak tersebut dapat diterapkan
pada beragam klien dengan sedikit penyesuaian, dan (3) memiliki kemampuan untuk
melakukan pengujian audit lebih cepat dan lebih terperinci dibandingkan dengan menggunakan
prosedur manual tradisional. Dua tujuan yang akan dibahas secara terperinci antara lain sebagai
berikut.
1. Perangkat lunak audit umum digunakan untuk menguji pengendalian otomatis. Seorang
auditor mendapatkan salinan arsip utama batas kredit pelanggan dan arsip pemesanan
pelanggan milik klien, kemudian menginstruksikan komputer auditor untuk mendaftar
transaksi-transaksi yang melebihi batas kredit pelanggan yang diotorisasi. Auditor
kemudian membandingkan output audit dengan daftar pesanan pelanggan milik klien
yang ditolak karena melebihi batas kredit yang diotorisasi.
2. Perangkat lunak audit umum digunakan untuk memverifikasi saldo saldo akun klien.
Seorang auditor dapat menggunakan perangkat lunak untuk menjumlahkan arsip utama
piutang pelanggan klien untuk menentukan apakah jumlah totalnya sama dengan saldo
di buku besar.
Ketika menggunakan pendekatan modul audit melekat auditor memasukkan sebuah modul
audit dalam sistem aplikasi klien untuk mengidentifikasi jenis transaksi khusus. Pendekatan
modul audit melekat memungkinkan auditor untuk dapat terus-menerus mengaudit transaksi-
transaksi dengan mengidentifikasi transaksi aktual yang diproses oleh klien dibandingkan
dengan data yang diuji dan pendekatan simulasi paralel, yang hanya bisa dilakukan dengan
pengujian berselang.
Meskipun para auditor dapat menggunakan satu atau gabungan beberapa pendekatan
pengujian, biasanya mereka menggunakan cara-cara berikut.
Meskipun semua organisasi memerlukan pengendalian internal yang baik tanpa melihat
struktur fungsi TI mereka, namun beberapa masalah pengendalian umum dapat berbeda
tergantung pada lingkungan-lingkungan TI-nya.
Dalam jaringan, aplikasi perangkat lunak dan arsip data yang digunakan untuk memproses
transaksi dimasukkan ke dalam beberapa komputer yang terhubung satu sama lainnya. Akses
terhadap aplikasi dari komputer mikro atau workstation diatur oleh perangkat lunak server
jaringan. Bahkan perusahaan kecil dapat memiliki beberapa komputer server yang terhubung
satu sama lain dalam suatu jaringan sementara perusahaan yang lebih besar dapat memiliki
ratusan server dalam lusinan lokasi jaringan yang terhubung satu sama lain. Auditor sering kali
meningkatkan risiko pengendalian ketika perusahaan memiliki jaringan yang terdiri dari
beberapa server yang terletak di beberapa lokasi karena adanya operasi jaringan yang
terdesentralisasi sering kali kekurangan pengamanan dan pengawasan manajemen terhadap
beragam server yang terhubung.
Ketika klien memiliki aplikasi akuntansi yang diproses dalam suatu jaringan, auditor harus
mempelajari konfigurasi jaringan klien, termasuk lokasi komputer-komputer server dan
workstation yang terhubung satu sama lain, perangkat lunak jaringan yang digunakan untuk
mengatur sistem, dan pengendalian terhadap akses dan perubahan terhadap program-program
aplikasi serta arsip-arsip data yang disimpan di dalam server. Pengetahuan ini dapat
mempengaruhi pengukuran risiko pengendalian auditor ketika merencanakan audit atas
laporan keuangan dan ketika menguji pengendalian dalam suatu audit Pengendalian internal
atas pelaporan keuangan.
Sistem manajemen basis data memungkinkan klien untuk menciptakan basis data yang
memasukkan informasi yang dapat digunakan bersama di antara beragam aplikasi. Dalam
sistem non basis data, masing-masing aplikasi memiliki arsip data tersendiri, sedangkan dalam
sistem manajemen basis data, banyak arsip-arsip aplikasi bersama. Tujuan klien menerapkan
sistem manajemen basis data adalah untuk mengurangi aplikasi data, meningkatkan
pengendalian terhadap data, dan memberikan informasi yang lebih baik untuk pengambilan
keputusan dengan mengintegrasikan informasi disepanjang fungsi-fungsi dan departemen-
departemen dalam perusahaan.
Pengendalian seringkali dapat ditingkatkan ketika data terpusat dalam sistem manajemen basis
data dengan menghilangkan duplikasi arsip data. Namun demikian, sistem manajemen basis
data juga dapat menciptakan risiko pengendalian internal. Risiko meningkat ketika beragam
pengguna, termasuk individu-individu diluar fungsi akuntansi, dapat mengakses dan
memperbarui arsip data. Untuk mengatasi masalah risiko data yang tidak diotorisasi, tidak
akurat dan tidak lengkap, perusahaan harus menerapkan peraturan basis data serta
pengendalian akses yang tepat. Dengan data yang terpusat dalam satu sistem tunggal, mereka
juga harus meyakinkan adanya cadangan data yang tepat secara berkala.
Penggunaan sistem e-commerce juga berarti membuka data sensitif perusahaan, program dan
perangkat lunak terhadap kemungkinan sabotase oleh pihak eksternal. Untuk membatasi
kemungkinan tersebut perusahaan menggunakan:
1. Firewall, berfungsi melindungi data program dan sumber daya lainnya dari para
pengguna eksternal yang tidak sah untuk mengakses sistem melalui jaringan seperti
internet. Firewall merupakan suatu sistem perangkat keras dan perangkat lunak yang
memantau dan mengendalikan arus komunikasi e-commerce dengan menghubungkan
semua jaringan melalui pengendalian yang mampu memverifikasi pengguna eksternal,
memberikan akses kepada para pengguna yang sah, dan menolak akses para pengguna
yang tidak sah, serta mengarahkan para pengguna yang sah pada program atau data
yang diminta.
2. Teknik Enkripsi (penyandian) melindungi keamanan komunikasi elektronik ketika
informasi ditransmisikan. Enkripsi terkomputerisasi mengubah suatu pesan standar ke
dalam kode (dienkripsi), yang mengharuskan penerima pesan elektronik tersebut
menggunakan program dekripsi untuk membaca pesan tersebut. Teknik kunci enkripsi
publik seringkali digunakan, ketika satu public key digunakan untuk mengubah pesan
ke dalam kode-kode (encode) dan kunci lainnya (privat key) digunakan untuk
mengubah kode-kode ke dalam pesan yang dapat dibaca (decoding). Kunci publik
didistribusikan kepada semua pengguna yang memiliki otoritas untuk menerima dan
membaca pesan tersebut.
3. Tanda Tangan Digital (digital signature), digunakan untuk memeriksa keabsahan rekan
bisnis dalam melakukan bisnis secara elektronik, juga digunakan perusahaan untuk
memverifikasi sumber public key sehingga perusahaan dapat mengandalkan otoritas
sertifikasi eksternal. Tanda tangan digital berisi nama pemilik dan public key-nya.
Selain itu tanda tangan digital juga berisi nama otoritas yang memberikan sertifikasi
dan tanggal kadaluarsa sertifikat tersebut serta informasi khusus lainnya. Untuk
menjamin integritas dan keabsahannya, setiap tanda tangan secara digital
ditandatangani oleh privat key yang dijaga oleh otoritas yang memberi sertifikasi.
Masalah-masalah Ketika Klien Mensubkontrakan Kebutuhan TI
Banyak klien yang mensubkontrakan beberapa atau semua kebutuhan TI-nya kepada pusat
layanan komputer independen, termasuk penyediaan layanan aplikasi (application service
provider—ASP), dibandingkan dengan pusat TI internal. Perusahaan-perusahaan yang lebih
kecil sering kali mensubkontrakkan fungsi penggajian mereka karena penggajian relatif sama
di satu perusahaan dengan perusahaan lainnya, dan banyak penyedia jasa penggajian yang anal
tersedia. Seperti halnya semua keputusan pesubkontrakan, perusahaan memutuskan apakah
akan mensubkontrakkan fungsi TI dengan alasan efisiensi biaya.
Ketika perusahaan mensubkontrakkan TI pada suatu pusat layanan komputer, klien
memasukkan data input, yang kemudian diproses oleh pusat layanan komputer dengan harga
pembayaran tertentu, dan mengembalikan hasil output dan input original yang disepakati.
Untuk penggajian, perusahaan memasukkan data waktu kerja pegawai, dan formulir pajak
kepada pusat layanan. Pusat layanan kemudian mengembalikan slip-slip gaji, jurnal dan data
input setiap minggu serta formulir pajak di setiap akhir tahun. Pusat layanan komputer
bertanggung jawsab untuk merancang sistem komputer dan memberikan pengendalian yang
memadai untuk meyakinkan bahwa pemrosesan dapat diandalkan.
Tingkat Kepercayaan Terhadap Auditor Pusat Layanan Komputer Dalam beberapa tahun
terakhir, merupakan hal yang wajar bagi pusat layanan untuk melakukan kontrak dengan suatu
KAP untuk mendapatkan pemahaman dan menguji pengendalian internal di pusat layanan serta
menerbitkan laporan untuk digunakan oleh semua pelanggan dan para auditor independennya.
Tujuan dari penilaian independen ini adalah untuk memberikan keyakinan yang memadai pada
seluruh pelanggan pusat layanan mengenai kecukupan pendendalian umum dan pengendalian
aplikasi pusat layanan serta untuk menghapus pengauditan yang berulang yang dilakukan oleh
para pelanggan pusat layanan tersebut. Jika pusat layanan tersebut memiliki banyak pelanggan
dan masing-masing mengharuskan adanya pemahaman atas pengendalian internal pusat
layanan oleh para auditor independennya, halangan dan biaya bagi pusat layanan dapat menjadi
besar.
PSA 70 (SA 324) memberikan panduan bagi (1) auditor untuk menerbitkan laporan atas
pengendalian internal organisasi penyedia jasa (auditor perusahaan penyedia jasa), dan (2)
auditor organisasi pengguna yang mengandalkan laporan auditor perusahaan penyedia jasa.
Auditor perusahaan penyedia jasa dapat menerbitkan dua jenis laporan berikut.
Laporan atas pengendalian yang diterapkan.
Laporan atas pengendalian yang diterapkan serta pengujian efektivitas operasinya.
Sebuah laporan atas pengendalian yang diterapkan akan membantu auditor dalam
mendapatkan pemahaman atas pengendalian internal untuk merencanakan audit. Namun
demikian, auditor juga membutuhkan bukti mengenai efektivitas operasi pengendalian internal
terhadap pelaporan keuangan bagi perusahaan publik. Bukti-bukti tersebut dapat berupa hal-
hal berikut.
Berdasarkan pada laporan auditor perusahaan penyedia jasa atas pengendalian yang
diterapkan dan pengujian atas efektivitas operasi pengendalian.
Berasal dari pengujian atas pengendalian internal organisasi pengguna terhadap
aktivitas-aktivitas organisasi penyedia jasa.
Dihasilkan ketika auditor perusahaan pengguna layanan melakukan pengujian yang
tepat di perusahaan penyedia jasa.
Jika auditor memutuskan untuk mengandalkan laporan auditor perusahaan penyedia
jasa, tanya jawab yang tepat perlu dilakukan terkait dengan reputasi auditor perusahaan
penyedia jasa. Standar audit menyatakan bahwa auditor perusahaan pengguna layanan tidak
boleh membuat referensi terhadap laporan dari auditor perusahaan penyedia jasa dalam opini
atas laporan keuangan organisasi pengguna.