2016
BAB 12. DAMPAK TEKNOLOGI INFORMASI
DALAM PROSES AUDIT
1. Risiko pada Perangkat Keras dan Data, yang mencakup hal-hal berikut:
a. Ketergantungan pada kemampuan berfungsinya perangkat keras dan lunak
Tanpa perlindungan fisik yang layak, perangkat keras atau perangkat lunak tidak
dapat berfungsi dengan baik.
b. Kesalahan sistematis versus kesalahan acak.
Ketika organisasi mengganti prosedur manual dengan prosedur berbasis-teknologi,
risiko kesalahan acak akibat keterlibatan manusia akan berkurang. Namun, risiko
kesalahan sistematis dapat meningkat karena setelah prosedur diprogramkan ke dalam
perangkat lunak komputer, komputer akan memroses informasi tentang semua
transaksi secara konsisten sampai prosedur yang diprogramkan itu diubah.
c. Akses yang tidak sah
Sistem akuntansi berbasis TI sering kali memungkinkan akses secara online ke data
elektronik dalam file induk, perangkat lunak dan catatan lainnya. Karena akses online
dapat terjadi dari jarak jauh, termasuk oleh pihak ekternal melalui internet, mungkin
saja terjadi akses yang tidak sah. Tanpa pembatasan online yang tepat seperti kata
sandi dan ID pemakai, aktivitas yang tidak sah dapat dilakukan melalui komputer,
yang mengakibatkan perubahan yang tidak semestinya dalam program perangkat
lunak dan file induk.
d. Hilangnya data
Sebagian besar data pada sistem TI disimpan dalam file elektronik yang terpusat. Ini
dapat meningkatkan risiko kehilangan atau kerusakan file secara keseluruhan. Yang
mempunyai konsekuensi terjadinya salah saji dalam laporan keuangan.
1. Pengendalian Umum
Pengendalian umum (general controls) diterapkan pada semua aspek fungsi TI.
a. Administrasi Fungsi TI
Dalam lingkungan yang kompleks, manajemen menetapkan komite
pengendalian TI untuk membantu memantau kebutuhan teknologi organisasi. Dalam
organisasi yang tidak terlalu kompleks, dewan dapat mengandalkan pada pelaporan
regular oleh CIO atau manajer TI senior lainnya agar manajemen tetap mendapat
informasi.
b. Pemisahan Tugas-tugas TI
1) Manajemen TI
CIO atau manajer TI harus bertanggung jawab mengawasi fungsi TI guna
memastikan bahwa aktivitasnya telah dilaksanakan sejalan dengan rencana
strategis TI.
2) Pengembangan sistem
Analisis Sistem, bertanggung jawab atas keseluruhan perancangan setiap
sistem aplikasi, mengoordinasikan pengembangan dan peralihan ke sistem TI
oleh personil TI yang bertanggung jawab memrogram aplikasi, serta personil
di luar fungsi TI yang merupakan para pemakai utama sistem (contohnya
personil piutang usaha).
Programmer, mengembangkan bagan arus khusus untuk setiap aplikasi baru,
menyusun instruksi komputer, menguji program dan mendokumentasikan
hasilnya.
3) Operasi
Operator komputer, bertanggung jawab atas operasi komputer sehari-hari
sesuai dengan skedul yang ditetapkan oleh CIO.
Pustakawan, bertanggung jawab atas pengendalian penggunaan program
computer, file transaksi, serta catatan dan dokumentasi computer lainnya.
Administrator jaringan, bertanggung jawab atas perencanaan, implementasi
dan penyelenggaraan operasi jaringan server yang menghubungkan para
pemakai dengan berbagai aplikasi serta file data.
4) Pengendalian data
Pengendalian input/output, memverifikasi mutu input dan kelayakan output.
Administrator database, bertanggung jawab atas operasi dan keamanan akses
database.
c. Pengembangan Sistem
1) Membeli perangkat lunak atau mengembangkan sendiri perangkat lunak di kantor
yang memenuhi kebutuhan organisasi.
2) Menguji semua perangkat lunak
Biasanya perusahaan menggunakan satu atau gabungan dari dua pendekatan
pengujian berikut
Pengujian percontohan (pilot testing) adalah sistem baru diimplementasikan
pada satu bagian organisasi sementara lokasi lainnya masih terus
mengandalkan sistem lama.
Pengujian paralel adalah sistem lama dan baru beroperasi secara simultan
dalam semua lokasi.
d. Keamanan Fisik dan Online
1) Pengendalian fisik, pengendalian yang layak atas peralatan computer dimulai
dengan membatasi akses ke perangkat keras, perangkat lunak serta back up file
data pada disket, hard drive, CD dan disket eksternal.
2) Pengendalian akses secara online. Penggunaan ID pemakai dan kata sandi yang
tepat akan mengendalikan akses ke perangkat lunak dan file data terkait, yang
mengurangi kemungkinan bahwa perubahan yang tidak diotorisasi dilakukan pada
aplikasi perangkat lunak dan file data.
e. Backup dan Perencanaan Kontinjensi
Untuk mencegah hilangnya data selama mati listrik, banyak perusahaan
mengandalkan sumber tenaga cadangan atau back up. Untuk bencana yang lebih
serius, organisasi memerlukan back up yang terinci dan rencana kontinjensi seperti
menyimpan semua salinan perangkat lunak dan file data yang sangat penting atau
mengoutsourcing perusahaan yang berspesialisasi dalam mengamankan penyimpanan
data.
f. Pengendalian Perangkat Keras
Pengendalalian perangkat keras (hardware controls) sudah dipasang dalam peralatan
computer oleh pabrik pembuatnya untuk mendeteksi dan melaporkan kegagalan
peralatan.
2. Pengendalian Aplikasi
Pengendalian aplikasi (application controls) berlaku pada pemrosesan transaksi,
seperti pengendalian atas pemrosesan penjualan atau penerimaan kas. Pengendalian
aplikasi yang dilakukan oleh personil klien disebut pengendalian manual. Sedangkan
pengendalian aplikasi yang dilakukan oleh komputer disebut pengendalian otomotis
(automated controls).
Pengendalian aplikasi terdiri dari 3 kategori yaitu
a. Pengendalian Input, dirancang untuk memastikan bahwa informasi yang dimasukkan
ke dalam computer sudah diotorisasi, akurat dan lengkap.
b. Pengendalian Pemrosesan, mencegah dan mendeteksi kesalahan ketika data transaksi
diproses. Pengendalian pemrosesan aplikasi khusus sering diprogram ke dalam
perangkat lunak untuk mencegah, mendeteksi dan mengoreksi kesalahan pemrosesan.
c. Pengendalian Output, berfokus pada mendeteksi kesalahan setelah pemrosesan
diselesaikan, bukan pada mencegah kesalahan. Pengendalian output yang paling
penting adalah review kelayakan data oleh seseorang yang memahami output.
Dampak Teknologi Informasi Terhadap Proses Audit
Karena auditor bertanggung jawab untuk memahami pengendalian internal, mereka harus
mengetahui tentang pengendalian umum dan pengendalian aplikasi, tanpa memperhatikan
apakah sistem TI klien kompleks atau sederhana.
Jika klien mengganti perangkat lunak aplikasi, hal itu akan mempengaruhi
ketergantungan auditor pada pengendalian yang terotomatisasi. Ketika klien
mengganti perangkat lunak, auditor harus mengevaluasi apakah diperlukan pengujian
tambahan. Jika pengendalian umumnya efektif, auditor dapat dengan mudah
mengidentifikasikan kapan perubahan perangkat lunak dilakukan.
Dalam situasi ini, penggunaan TI tidak terlalu berdampak terhadap jejak audit.
Biasanya, auditor tidak melaksanakan pengujian atas pengendalian yang terotomatisasi.
Pendekatan auditing ini sering disebut auditing di sekitar komputer (auditing around
computer) karena auditor tidak menggunakan pengendalian yang terotomatisasi untuk
mengurangi penilaian risiko pengendalian.
Banyak organisasi yang memiliki lingkungan TI yang tidak rumit sering kali sangat
bergantung pada mikrokomputer untuk melakukan fungsi-fungsi sistem akuntansi.
Penggunaan mikrokomputer dapat menimbulkan pertimbangan audit yang unik berikut :
Data pengujian harus mencakup semua kondisi yang relevan yang ingin diuji
auditor
Auditor harus merancang data pengujian untuk menguji semua pengendalian
kunci berbasis komputer dan memasukkan data yang realistik yang mungkin akan
menjadi bagian dari pemrosesan normal klien, termasuk transaksi sah dan tidak
sah.
Program aplikasi yang diuji oleh data pengujian auditor harus sama dengan yang
digunakan klien selama tahun berjalan.
Salah satu pendekatan adalah menjalankan data pengujian atas dasar kejutan,
mungkin secara acak selama tahun berjalan, walaupun agak mahal dan
menghabiskan waktu.
Data pengujian harus dieliminasi dari catatan klien.
Jika auditor memroses data pengujian sedangkan klien memroses transaksinya
sendiri, auditor harus menghilangkan data pengujian dalam file induk klien
setelah pengujian itu selesai.
2. Simulasi Paralel
Ketika klien memiliki aplikasi akuntansi yang diproses pada lingkungan jaringan,
auditor harus mempelajari konfigurasi jaringan, termasuk lokasi server komputer dan
workstation yang saling terhubung, pengendalian terhadap akses dan perubahan program
aplikasi serta file data yang terdapat pada server. Pengetahuan ini dapat berimplikasi bagi
penilaian risiko pengendalian auditor ketika merencanakan audit laporan keuangan dan
ketika menguji pengendalian dalam audit pengendalian internal atas pelaporan keuangan.
Masalah pada Sistem Manajemen Database
Firewall, melindungi data, program, dan sumber daya TI lainnya dari para pemakai
eksternal yang tidak berhak yang mengakses sistem melalui jaringan, seperti internet.
Teknik Enkripsi (encryption techniques) melindungi keamanan komunikasi
elektronik ketika informasi sedang dikirimkan.
Tanda Tangan Digital (digital signatures), untuk membuktikan keaslian validitas
mitra dagang yang melaksanakan bisnis secara elektronik, perusahaan dapat
mengandalkan otoritas sertifikasi eksternal yang memverifikasi sumber kunci publik.
Pengujian Rincian Saldo berfokus pada saldo akhir buku besar baik untuk akun
neraca maupun laporan laba rugi. Penekanan utamanya dalam sebagian besar pengujian
rincian saldo adalah pada neraca. Pengujian rincian saldo dapat membantu dalam
menetapkan kebenaran moneter akun-akun yang berhubungan dan karenanya merupakan
pengujian substantif.
Dengan mengikhtisarkan hubungan antara prosedur audit selanjutnya dan jenis bukti,
kita dapat melakukan beberapa pengamatan atas tabel itu:
Lebih banyak jenis bukti (enam jumlahnya), yang digunakan untuk pengujian rincian
saldo ketimbang jenis pengujian lainnya
Hanya pengujian rincian saldo yang melibatkan pemeriksaan fisik dan konfirmasi
Tanya jawab dengan klien dilakukan untuk setiap jenis pengujian.
Dokumentasi digunakan disetiap jenis pengujian kecuali prosedur analitis
Pelaksanaan ulang digunakan dalam setiap jenis pengujian kecuali prosedur analitis
Rekalkulasi digunakan untuk memverifikasi keakuratan matematis transaksi apabila
melaksanakan penjualan substantif atas transaksi dan saldo akun ketika melaksanakan
pengujian rincian saldo.
2. Biaya Relatif
Ketika auditor harus memutuskan jenis pengujian apakah yang harus dipilih untuk
mendapatkan bukti yang tepat, biaya bukti tersebut penting untuk dipertimbangkan.
Jenis-jenis pengujian yang disusun dalam daftar berikut berdasarkan urutan biaya yang
terendah ke yang tertinggi.
Prosedur analitis
Prosedur penilaian resiko, termasuk prosedur untuk mendapatkan pemahaman atas
pengendalian internal
Pengujian pengendalian
Pengujian substantif atas transaksi
Pengujian rincian saldo
Namun, karena konsistensi yang melekat dalam pemrosesan TI auditor mungkin dapat
mengurangi luas pengujian atas pengendalian yang terotomatisasi. Untuk menguji
pengendalian atau data yang terotomatisasi, auditor mungkin harus menggunakan teknik audit
berbantuan komputer atau menggunakan laporan yang dihasilkan TI untuk menguji efektivitas
operasi pengujian umum TI.
Klien ini adalah sebuah perusahaan besar yang memiliki pengendalian internal yang
canggih dan risiko inheren yang rendah :
3. Analisis Audit 3
Perusahaan ini berukuran sedang tetapi mempunyai segelintir pengendalian yang
efektif dan risiko inheren yang signifikan.
* Tidak ada pengujian pengendalian yang dilakukan
* Ditekankan pada pengujian rincian saldo dan pengujian substantif atas transaksi, juga
beberapa prosedur analitis
* Prosedur analitis dilakukan untuk mengurangi pengujian substantif
* Biaya audit relatif tinggi karena jumlah pengujian substantif yang rinci
4. Analisis Audit 4
Aditor mungkin menemukan penyimpangan pengujian pengendalian yang ekstensif
dan salah saji yang signifikan meskipun melakukan pengujian substantif atas transaksi
dan prosedur analitis substantif.
Pengendalian internal tidak efektif
Pengujian rincian saldo yang ekstensif dilakukan untuk mengganti kerugian hasil
pengujian lain yang tidak dapat diterima
Biaya lebih tinggi karena pengujian pengendalian dan pengujian substantif atas
transaksi telah dilakukan tetapi tidak dapat digunakan untuk mengurangi pengujian
rincian saldo.
PERANCANGAN PROGRAM AUDIT
Perancangan program audit digunakan untuk memenuhi tujuan audit yang berkaitan
dengan saldo dan yang berkaitan dengan transaksi. Selain pada bagian program audit yang
berisi prosedur penilaian risiko yang dilaksanakan selama tahap perencanaan, program audit
juga dirancang dalam tiga bagian tambahan :
Karena relatif murah, banyak auditor melaksanakan prosedur analitis pada semua
audit. Prosedur analitis yang dilaksanakan selama pengujian substansif, seperti audit
piutang usaha, biasanya lebih terfokus dan lebih ekstensif ketimbang yang dilakukan
sebagai bagian dari perencanaan. Ketika auditor berencana menggunakan prosedur
analitis untuk memberikan keyakinan substantif tentang saldo akun, data yang
digunakan dalam kalkulasi harus dipandang cukup dapat diandalkan.
Ini merupakan tujuan audit yang harus dipenuhi sebelum auditor dapat
menyimpulkan bahwa suatu kelas transaksi atau saldo akun tertentu telah dinyatakan
secara wajar. Ada enam tujuan audit yang berkaitan dengan transaksi, delapan yang
berkaitan dengan saldo, serta empat yang berkaitan dengan penyajian dan pengungkapan,
yang semuanya tercantum dalam Tabel 13-6.
Lima kategori pengujian audit yang digunakan auditor untuk menentukan apakah
laporan keuangan telah disajikan secara wajar :
Empat subkategori keputusan yang dibuat auditor dalam mengumpulkan bukti audit
kecuali prosedur analitis, keempat keputusan bukti berlaku untuk setiap jenis pengujian.
5. Jenis Bukti
Delapan kategori bukti yang dikumpulkan auditor disajikan dalam kolom terakhir
Tabel 13-6.
IKHTISAR PROSES AUDIT
Tujuan dari fase III adalah untuk memperoleh bukti tambahan yang mencukupi
guna menentukan apakah saldo akhir dan catatan kaki atas laporan keuangan telah
dinyatakan secara wajar. Dua kategori umum dari prosedur fase III :
a. Prosedur analitis substantif yang menilai kelayakan transaksi dan saldo secara
keseluruhan
b. Pengujian rincian saldo, yang merupakan prosedur audit untuk menguji salah saji
moneter dalam saldo laporan keuangan.