Bahasa Indo Bab 7
Bahasa Indo Bab 7
Informasi Audit
Proses Berbasis Teknologi
Bab ini akan membantu Anda memahami konteks dari banyak konsep yang termasuk dalam bab ini.
memahami konsep-konsep Silakan baca contoh Dunia Nyata untuk mulai membaca dan
berikut: mempelajari bab ini dengan efektif.
1. Pengantar audit
Proses TI
2. Berbagai jenis audit Pengantar Audit Proses TI
dan auditor (Tujuan Studi 1)
3. Risiko informasi dan IT ditingkatkan
pengendalian internal Hampir semua organisasi bisnis mengandalkan sistem
terkomputerisasi untuk membantu dalam fungsi akuntansi.
4. Literatur otoritatif digunakan
Kemajuan teknologi telah mengubah dunia bisnis dengan
dalam audit
menyediakan cara baru bagi perusahaan untuk berbisnis dan
5. Pernyataan manajemen digunakan
menyimpan catatan. Ledakan perkembangan teknologi telah
dalam proses audit dan tujuan meningkatkan jumlah informasi yang tersedia. Manajer bisnis,
audit terkait investor, kreditor, dan agensi pemerintah seringkali memiliki
6. Tahapan audit TI banyak sekali data untuk digunakan saat membuat keputusan
7. Penggunaan komputer dalam audit bisnis yang penting. Demikian pula, profesi akuntansi sedang
mengalami perubahan yang belum pernah terjadi sebelumnya
8. Tes kontrol
sebagai akibat dari ledakan data yang tersedia, kerumitan
9. Tes transaksi dan tes data, dan perangkat teknologi baru. Namun, akuntan
saldo seringkali ditantang untuk memverifikasi keakuratan dan
10. Penyelesaian / pelaporan audit kelengkapan informasi.
11. Pertimbangan audit lainnya Akuntan memiliki peran penting dalam dunia bisnis
12. Masalah etika terkait dengan audit
karena terpanggil untuk meningkatkan kualitas informasi
yang diberikan kepada pengambil keputusan. Layanan
akuntansi yang meningkatkan kualitas informasi disebut
layanan jaminan. Banyak jenis layanan yang dilakukan oleh
akuntan dianggap sebagai jasa jaminan karena mereka memberikan kredibilitas pada
informasi keuangan yang mendasarinya. Audit adalah jenis layanan jaminan yang paling
umum.
212
Jenis Audit dan Auditor (Tujuan Studi 2) 213
Dunia nyata
memperhatikan. Faktanya, JCPenney telah
menerapkan sistem kartu skor pemasok, sejenis audit
vendor di mana perusahaan yang berbisnis dengan
JCPenney dievaluasi berdasarkan kualitas layanan
yang diberikan. Sistem ini mengungkap beberapa
pelanggaran signifikan dalam proses bisnis Aurafin,
termasuk kontrol yang lemah. dan sistem komputer
yang tidak memadai.
Aurafin mengambil tindakan cepat, menjalani audit
© Medini / iStockphoto
TI menyeluruh yang mengidentifikasi penyebab
spesifik dari kegagalannya.Aurafin bertindak cepat
Merek Aurafin terkenal di industri perhiasan berdasarkan rekomendasi auditornya dan
sebagai pemimpin mode dalam emas murni. menerapkan platform teknologi yang lebih andal yang
Dimiliki oleh Richline Group, Inc., anak perusahaan memberdayakannya untuk menerapkan berbagai
Berkshire Hathaway, Inc., merek ini dijual oleh teknik audit dan kontrol baru dan untuk
raksasa ritel seperti JCPenney, Macy's dan banyak menyelaraskan sistemnya dengan tujuan
jaringan televisi dan online. Namun, Aurafin telah bisnisnya.Aurafin memuji proses audit tersebut atas
mengatasi tantangan signifikan dalam menjaga keberhasilan barunya, termasuk pengakuannya
hubungan dengan pelanggannya. Beberapa tahun sebagai “Vendor of theYear” JCPenney. Bab ini
lalu, Aurafin mengalami kendala yang cukup parah berfokus pada berbagai aspek audit TI, serta teknik
pada pemenuhan dan pengiriman transaksi yang akuntan untuk mengevaluasi Proses TI, dan
diambil oleh pelanggannya kepentingannya dalam proses bisnis.
Audit biasanya dilakukan oleh akuntan yang memiliki pengetahuan tentang kriteria
yang ditetapkan. Misalnya, audit laporan keuangan dilakukan oleh akuntan publik
bersertifikat (CPA) yang memiliki pengetahuan luas tentang prinsip akuntansi yang
diterima secara umum (GAAP) di Amerika Serikat dan / atau Keuangan Internasional
214 Bab 7 Proses Audit Berbasis Teknologi Informasi
Standar Pelaporan (IFRS). Ada berbagai jenis spesialisasi audit yang ada dalam praktik
bisnis saat ini, termasuk auditor internal, auditor TI, auditor pemerintah, dan perusahaan
CPA. Sebuah auditor internal adalah karyawan perusahaan yang diaudit. Sebagian besar
perusahaan besar memiliki staf auditor internal yang menjalankan fungsi kepatuhan,
operasional, dan audit keuangan atas permintaan manajemen. Beberapa auditor internal
memperoleh sertifikasi khusus sebagai auditor internal bersertifikat (CIA).
Auditor TI berspesialisasi dalam jaminan, kontrol, dan keamanan sistem informasi, dan mereka dapat
bekerja untuk perusahaan CPA, lembaga pemerintah, atau dengan grup audit internal untuk semua
jenis organisasi bisnis. Beberapa auditor TI mencapai sertifikasi khusus sebagai auditor sistem
informasi bersertifikat (CISA). Auditor pemerintah melakukan audit terhadap instansi pemerintah
atau SPT pajak pendapatan. Perusahaan CPA mewakili kepentingan publik dengan melakukan audit
independen terhadap berbagai jenis organisasi bisnis.
Setiap jenis auditor dapat melakukan salah satu dari tiga jenis audit yang dijelaskan
sebelumnya. Namun, hanya perusahaan CPA yang dapat melakukan audit laporan keuangan
perusahaan yang sahamnya dijual di pasar publik seperti Bursa Efek New York. Persyaratan
penting bagi perusahaan CPA adalah bahwa mereka harus netral sehubungan dengan
perusahaan yang diaudit. Persyaratan netralitas ini memungkinkan perusahaan CPA untuk
memberikan opini yang sepenuhnya tidak bias atas informasi yang diauditnya, dan ini
merupakan dasar dari audit eksternal yang dilakukan oleh CPA. Sebuah audit eksternal dilakukan
oleh auditor independen yang objektif dan netral terhadap perusahaan dan informasi yang
diaudit. Untuk menjaga netralitas mereka, firma CPA dan masing-masing CPA umumnya
dilarang memiliki hubungan keuangan atau manajerial dengan perusahaan klien dan memiliki
hubungan pribadi dengan mereka yang bekerja untuk perusahaan klien. Objektivitas CPA dapat
terganggu dengan memiliki jenis hubungan ini dengan perusahaan klien atau dengan siapa
pun yang memiliki kemampuan untuk memengaruhi keputusan dan aktivitas pelaporan
keuangan klien.
Contoh Ford mengilustrasikan pentingnya praktik audit internal yang obyektif dan
rajin serta kaitannya yang kuat dengan fungsi keuangan dan teknologi.
Dunia nyata
Manajemen puncak di Ford Motor Co. bangga keuangan perusahaan dan fungsi TI, yang melayani departemen
dengan fakta bahwa Ford adalah satu-satunya audit internal selama dua hingga tiga tahun sebelum kembali ke
produsen mobil AS yang berhasil melewati hari-hari area fungsional sebelumnya atau berbeda. Hal ini
tergelap resesi ekonomi (antara 2008 dan 2010) memungkinkan personel Ford memperoleh eksposur
tanpa bantuan pemerintah. sejarah panjang yang perusahaan yang luas dan untuk mengembangkan keterampilan
berfokus pada proses dan kontrol keuangan, dan risiko, kontrol, dan kepatuhan yang kuat untuk diambil bersama.
kemampuannya untuk mengubah prosesnya di mereka ke berbagai area di mana mereka akan bekerja setelah
bawah tekanan risiko tinggi atau persyaratan menjalankan tugas audit internal. Ini juga membantu
kepatuhan baru. Elemen kunci dalam proses ini mempromosikan pentingnya fungsi audit internal di seluruh
adalah suksesi rotasi dan rencana pengembangan organisasi. Dengan merencanakan suksesi secara hati-hati
yang digunakan untuk mengisi staf tim audit internal sehingga tidak ada auditor baru yang akan mengaudit fungsi
Ford. Berdasarkan model ini, departemen audit mereka sebelumnya setidaknya selama 12 bulan, rencana Ford
internal terdiri dari para profesional berpengalaman memastikan bahwa auditor internal mempertahankan
yang bergilir dari objektivitas tingkat tinggi.
Setiap audit dapat dipengaruhi oleh jumlah dan jenis komputerisasi dan data yang
digunakan oleh perusahaan. Semua tipe auditor harus memiliki pengetahuan tentang
sistem berbasis teknologi dan teknik pengelolaan data agar dapat dengan baik
Risiko Informasi dan Pengendalian Internal yang Disempurnakan TI (Tujuan Studi 3) 215
mengaudit sistem TI. Sisa dari bab ini akan berkonsentrasi pada audit laporan keuangan
yang dilakukan oleh perusahaan CPA, karena ini adalah jenis layanan audit yang paling
umum digunakan di dunia bisnis modern. Namun, banyak topik yang berlaku untuk audit
laporan keuangan yang dilakukan oleh KAP juga berlaku untuk jenis audit lain yang
dilakukan oleh jenis auditor lainnya. Auditor internal perusahaan juga dapat membantu
dalam pelaksanaan audit laporan keuangan, tetapi hanya CPA independen yang dapat
mengeluarkan opini atas penyajian laporan keuangan secara keseluruhan secara wajar.
Melakukan audit laporan keuangan adalah layanan utama perusahaan CPA, dan
mereka mencurahkan sebagian besar waktu untuk audit ini. Karena banyak perusahaan
mengelola volume data yang besar dan menggunakan sistem akuntansi TI yang canggih
untuk menyiapkan laporan keuangan, semakin penting bagi auditor untuk meningkatkan
kualitas layanan mereka dalam mengaudit sistem tersebut. Audit TI adalah bagian dari
audit laporan keuangan yang mengevaluasi sistem informasi akuntansi terkomputerisasi
perusahaan. Karena proses TI biasanya merupakan faktor utama dalam audit laporan
keuangan, auditor harus memperoleh pemahaman yang cukup tentang karakteristik
sistem TI perusahaan. Sangat penting bagi auditor untuk memahami dampak TI pada
sistem akuntansi dan pengendalian internal perusahaan.
Seperti disebutkan sebelumnya, audit laporan keuangan dilakukan untuk menyatakan opini
atas penyajian laporan keuangan secara wajar. Ini adalah tujuan utama dari audit laporan
keuangan, dan tujuan ini tidak dipengaruhi oleh ada atau tidaknya sistem akuntansi TI. Namun,
penggunaan komputer dapat secara signifikan mengubah cara perusahaan memproses dan
mengkomunikasikan informasi, dan dapat mempengaruhi pengendalian internal yang
mendasarinya. Oleh karena itu, lingkungan TI memainkan peran kunci dalam bagaimana
auditor melakukan pekerjaan mereka di bidang-bidang berikut:
• Pertimbangan risiko
• Prosedur audit yang digunakan untuk memperoleh pengetahuan tentang akuntansi dan sistem
pengendalian internal
Cara paling umum bagi pengambil keputusan untuk mengurangi risiko informasi adalah
dengan mengandalkan informasi yang telah diaudit oleh pihak independen. Karena pengguna
informasi umumnya tidak memiliki waktu atau kemampuan untuk memverifikasi informasi
untuk diri mereka sendiri, mereka bergantung pada auditor untuk penilaian yang akurat dan
tidak bias. Bahkan jika pembuat keputusan ingin memverifikasi informasi, mungkin sulit untuk
melakukannya ketika informasi keuangan terdiri dari data tidak terstruktur atau Big Data, dan
disimpan dalam sistem akuntansi terkomputerisasi atau di cloud. Ini adalah alasan utama
bahwa diskusi tentang pemrosesan berbasis informasi dan fungsi audit terkait dimasukkan
dalam studi sistem informasi akuntansi.
Berbagai risiko diciptakan dengan adanya proses bisnis berbasis IT. Misalnya, karena rincian transaksi
sering kali dimasukkan langsung ke dalam sistem komputer, mungkin tidak ada dokumentasi kertas yang
disimpan untuk mendukung transaksi. Ini sering disebut sebagai file hilangnya visibilitas jejak audit karena
kurangnya bukti fisik untuk dilihat secara kasat mata. Ada juga kemungkinan yang lebih besar bahwa data
mungkin hilang atau diubah karena kegagalan sistem, kehancuran database, akses yang tidak sah, atau
kerusakan lingkungan. Selain itu, sistem TI melakukan banyak tugas yang sebelumnya dilakukan secara
manual oleh manusia. Karena sistem TI, daripada manusia, melakukan tugas-tugas ini, ada peningkatan
risiko pengendalian internal, seperti kurangnya tugas terpisah dan lebih sedikit peluang untuk mengotorisasi
dan meninjau transaksi.
Terlepas dari risiko, ada keuntungan penting menggunakan sistem berbasis TI.
Pengendalian internal sebenarnya dapat ditingkatkan jika penerapan sistem ini dilakukan
dengan hati-hati. Kontrol komputer dapat mengimbangi kurangnya kontrol manual. Selain
itu, jika program diuji dengan benar sebelum diaktifkan, risiko kesalahan manusia (seperti
kesalahan matematis dan / atau klasifikasi) secara virtual dihilangkan karena komputer
memproses semua informasi secara konsisten.
Selain peningkatan pengendalian internal, proses berbasis TI memberikan informasi
berkualitas lebih tinggi kepada manajemen. Informasi lebih berkualitas jika disediakan pada
waktu yang tepat dan dikelola secara efektif. Ketika informasi berkualitas tinggi digunakan
untuk membuat keputusan, hasilnya adalah manajemen yang lebih efektif.
PAMERAN 7-1
• Itu Badan Standar Audit dan Jaminan Internasional (IAASB) didirikan oleh
Federasi Akuntan Internasional (IFAC) untuk menetapkan Standar Internasional
tentang Audit (ISA) yang berkontribusi pada penerapan seragam praktik audit di
seluruh dunia. ISA mirip dengan SAS; namun, ISA cenderung memperpanjang
SAS karena kegunaannya dalam audit perusahaan multinasional. Meskipun
auditor memiliki tanggung jawab utama untuk mematuhi standar yang
dikeluarkan di negara mereka sendiri, SPA berguna dalam memperluas
persyaratan tersebut untuk memenuhi kebutuhan yang berbeda di negara lain
di mana informasi yang diaudit juga dapat digunakan.
• Itu Dewan Standar Audit Internal (IASB) didirikan oleh Institute of Internal
Auditor (IIA) untuk menerbitkan standar yang berkaitan dengan atribut kegiatan
audit internal, kriteria kinerja, dan pedoman pelaksanaan.
• Itu Asosiasi Audit dan Kontrol Sistem Informasi (ISACA) menerbitkan Standar
Audit Sistem Informasi (ISAS) yang memberikan pedoman untuk melakukan
audit TI. Standar ini menangani masalah audit yang unik untuk lingkungan
sistem informasi perusahaan, termasuk masalah kontrol dan keamanan.
Meskipun SAS, ISA, dan ISAS memberikan panduan yang lebih rinci daripada yang
disediakan oleh GAAS, mereka tetap tidak memberikan arahan khusus kepada auditor terkait
218 Bab 7 Proses Audit Berbasis Teknologi Informasi
jenis pengujian audit yang akan digunakan dan perencanaan pengambilan kesimpulan.
Auditor harus menggunakan pedoman industri, jurnal profesional, buku teks, dan sumber
lain untuk tujuan tersebut. Banyak KAP dan grup audit internal mengembangkan
kebijakan dan prosedur khusus mereka sendiri untuk merancang dan melaksanakan
penugasan audit yang efektif. Namun, audit individual harus disesuaikan untuk
diterapkan pada lingkungan spesifik setiap perusahaan atau setiap unit bisnis yang
diaudit. Oleh karena itu, auditor harus melakukan pertimbangan profesional yang cukup
dalam melakukan audit.
Tujuan audit yang dijelaskan dalam Tampilan 7‑2 dapat diterapkan pada kategori
transaksi apa pun dan saldo akun terkait. Auditor merancang tes khusus untuk memenuhi
tujuan ini di setiap area audit. Misalnya, auditor akan mengembangkan tes untuk
menentukan apakah perusahaan telah memperhitungkan pinjamannya dengan benar
PAMERAN 7-2
PAMERAN 7-3
3. Periksa cek yang dibatalkan untuk setiap pembayaran pokok yang dilakukan selama
Titik. (Penilaian)
4. Tinjau risalah rapat dewan direksi untuk menentukan
apakah ada pengaturan pinjaman tambahan. (Kelengkapan)
5. Minta keterangan dari manajemen tentang adanya pinjaman tambahan
pengaturan. (Kelengkapan)
transaksi selama periode tersebut. Pengujian ini khusus untuk akun dan sistem informasi
yang diterapkan di perusahaan yang diaudit. Tes audit yang dikembangkan untuk klien
audit didokumentasikan dalam program audit. Exhibit 7‑3 menyajikan kutipan dari
program audit tipikal yang mencakup wesel bayar dan akun serta sistem informasi terkait.
Pernyataan manajemen terkait ditampilkan dalam tanda kurung.
Seperti yang ditunjukkan di Tampilan 7‑3, serangkaian uji audit unik menentukan apakah
setiap tujuan terpenuhi untuk setiap akun utama atau jenis transaksi. Sebagai contoh,
pengujian kelengkapan wesel bayar melibatkan penelaahan risalah rapat dewan untuk
menentukan apakah ada pengaturan pinjaman tambahan yang tidak dicatat. Sebaliknya, jika
auditor menguji tujuan kelengkapan yang terkait dengan piutang dan penjualan, pengujian
yang relevan adalah memeriksa laporan pengiriman dan menyelidiki apakah setiap transaksi
penjualan terkait telah dimasukkan dengan benar dalam catatan akuntansi. Dengan demikian,
pengujian audit untuk tujuan apa pun dapat melibatkan teknik pengujian yang beragam
dengan berbagai jenis informasi yang dikumpulkan untuk mendukung setiap akun dan
transaksi yang berbeda.
Auditor harus memikirkan tentang bagaimana fitur sistem TI perusahaan dan sejauh
mana data yang relevan memengaruhi asersi manajemen dan tujuan audit umum. Hal-hal
tersebut berdampak besar pada pemilihan metodologi audit yang digunakan. Bagian
selanjutnya menghubungkan pertimbangan TI ini dengan fase audit yang berbeda.
Audit
Perencanaan
Iya
Iya
Tidak
Penyelesaian Audit /
PAMERAN 7-4 Peta Proses
Pelaporan
dari Fase Audit
• Mengamati aktivitas
• Meminta keterangan dari personel perusahaan
• Menganalisis hubungan keuangan dan membuat perbandingan untuk menentukan
kewajaran
Perencanaan Audit
Selama fase perencanaan audit, auditor harus mendapatkan pemahaman menyeluruh tentang
bisnis perusahaan dan sistem pelaporan keuangan. Dalam melakukannya, auditor meninjau
dan menilai risiko dan pengendalian yang terkait dengan bisnis, menetapkan pedoman
materialitas, dan mengembangkan pengujian yang relevan yang ditujukan untuk asersi dan
tujuan (disajikan sebelumnya). Peta proses dari tahap perencanaan audit disajikan pada
Tampilan 7‑5.
Tahapan Audit TI (Tujuan Studi 6) 221
Pahami dan
Dokumentasikan
Mayor Perusahaan
Proses bisnis
Tinjau Internal
Kontrol
Andalkan
Tidak
Intern
Kontrol?
Iya
Lanjutkan ke
Lanjutkan ke Kontrol
Substantif
Tahap Pengujian
Tahap Pengujian PAMERAN 7-5 Peta Proses Tahap
Perencanaan Audit
Tugas menilai materialitas dan risiko audit sangat subjektif dan oleh karena itu biasanya
dilakukan oleh auditor berpengalaman. Dalam menentukan materialitas, audi‑ tor
memperkirakan jumlah moneter yang cukup besar untuk membuat perbedaan dalam
pengambilan keputusan. Perkiraan materialitas kemudian ditugaskan ke saldo akun sehingga
222 Bab 7 Proses Audit Berbasis Teknologi Informasi
auditor dapat memutuskan berapa banyak bukti yang dibutuhkan. Transaksi dan saldo akun
yang sama atau lebih besar dari batas materialitas akan diuji dengan cermat. Hal-hal yang
berada di bawah batas materialitas sering dianggap tidak signifikan (jika kemungkinan tidak
akan memengaruhi pengambilan keputusan) dan oleh karena itu hanya menerima sedikit atau
tidak ada perhatian atas audit. Beberapa dari item dengan saldo tidak material ini masih dapat
diaudit, terutama jika dianggap sebagai area berisiko tinggi. Risiko mengacu pada
kemungkinan bahwa kesalahan atau penipuan dapat terjadi. Risiko dapat melekat dalam bisnis
perusahaan (karena hal-hal seperti sifat operasi, sifat data yang tersedia, ekonomi, atau strategi
manajemen), atau mungkin disebabkan oleh kontrol internal yang lemah. Auditor perlu
melakukan penilaian risiko untuk secara hati-hati mempertimbangkan risiko dan masalah yang
ditimbulkan yang mungkin rentan terhadap perusahaan. Akan selalu ada risiko bahwa
kesalahan atau kecurangan material mungkin tidak ditemukan dalam audit. Oleh karena itu,
setiap faktor risiko dan estimasi materialitas penting untuk dipertimbangkan dalam
menentukan sifat dan luas pengujian audit yang akan diterapkan.
Proses perencanaan audit kemungkinan besar akan sangat bervariasi tergantung pada luas
data yang digunakan oleh perusahaan. Saat perusahaan dan auditornya bergerak maju dalam
cara mereka mengidentifikasi risiko, mereka dapat menerapkan analitik Big Data untuk mencari
petunjuk di masa lalu tentang masa depan. Juga, perencanaan audit tergantung pada rezim
pelaporan keuangan perusahaan. Jika perusahaan telah mengadopsi Standar Pelaporan
Keuangan Internasional (IFRS) atau sedang dalam proses konvergensi, perubahan pendekatan
audit harus diantisipasi. Selain perubahan yang jelas dalam persyaratan pelaporan dan
modifikasi terkait sistem TI, banyak penerapan IFRS oleh perusahaan memerlukan transformasi
proses bisnis, kebijakan, dan kontrolnya. Selain itu, beradaptasi dengan ukuran nilai,
mengandalkan lebih banyak data eksternal, dan pemahaman asumsi kunci yang diperlukan
dalam penyusunan laporan keuangan berbasis IFRS kemungkinan akan menyebabkan
manajemen dan auditor mengevaluasi bukti pendukung secara berbeda dibandingkan jika US
GAAP digunakan. IFRS umumnya memungkinkan lebih banyak penggunaan pertimbangan
daripada pedoman berbasis aturan GAAP; dengan demikian, perubahan rezim akuntansi dapat
mengubah keputusan yang dibuat oleh manajer dan auditor.
Sebagian besar dari proses perencanaan audit adalah pengumpulan bukti
tentang pengendalian internal perusahaan. Auditor biasanya memperoleh
pemahaman tentang pengendalian internal dengan mewawancarai anggota
kunci manajemen dan staf TI. Mereka juga mengamati kebijakan dan prosedur
serta meninjau manual pengguna TI dan diagram alur sistem. Mereka kerap
menyiapkan narasi atau memo untuk merangkum hasil temuan mereka. Selain
itu, personel perusahaan mungkin diminta untuk mengisi kuesioner tentang
sistem akuntansi perusahaan, termasuk penerapan dan pengoperasian TI, jenis
perangkat keras dan perangkat lunak yang digunakan, dan pengendalian
sumber daya komputer. Pemahaman tentang pengendalian internal
memberikan dasar untuk merancang pengujian audit yang tepat untuk
digunakan dalam fase audit yang tersisa. Karena itu,
Proses evaluasi pengendalian internal dan perancangan pengujian audit yang berarti lebih
kompleks untuk sistem otomatis daripada untuk sistem manual. Hanya dengan menggunakan
mata manusia, auditor tidak dapat dengan mudah melihat kontrol yang merupakan bagian dari
sistem otomatis (komputer). Sebagai pengakuan atas fakta bahwa catatan dan file akuntansi
sering kali ada dalam bentuk kertas dan elektronik, standar audit membahas pentingnya
pemahaman baik prosedur otomatis maupun manual yang membentuk pengendalian internal
organisasi.
Selain sistem otomatisnya yang semakin kompleks, banyak organisasi bisnis
besar dan menengah menjadi lebih sulit untuk mengaudit karena banyaknya
data yang ada.
Penggunaan Komputer dalam Audit (Tujuan Studi 7) 223
transaksi dengan jaringan pihak eksternal yang meluas, menghasilkan surplus data yang
tersedia untuk diaudit. Namun setiap perusahaan berbeda dalam hal berbagai jenis data yang
digunakan untuk mendukung pengambilan keputusan dan bagaimana data tersebut dikelola.
Ketersediaan kumpulan Big Data dalam audit dapat mempersulit penilaian auditor, sehingga
sulit untuk menentukan sejauh mana data harus dianalisis. Namun auditor selalu diharuskan
untuk mempertimbangkan bagaimana salah saji dapat terjadi. Oleh karena itu, auditor harus
menyesuaikan ruang lingkup analisis datanya dengan berbagai ukuran dan sumber data yang
memengaruhi keputusan bisnis.
Terlepas dari volume dan kecepatan data yang mendasari, auditor perlu
memperoleh bukti sebagai berikut:
• Bagaimana data diambil dan digunakan
• Bagaimana entri jurnal standar dimulai, dicatat, dan diproses
• Bagaimana entri jurnal tidak standar dan jurnal penyesuaian dimulai, dicatat,
dan diproses
Auditor TI dapat diminta untuk mempertimbangkan pengaruh pemrosesan komputer pada audit atau
untuk membantu dalam pengujian prosedur otomatis tersebut.
• Auditor ingin menguji pengendalian komputer sebagai dasar untuk mengevaluasi risiko dan
mengurangi jumlah pengujian audit substantif yang diperlukan.
Auditor dapat menggunakan sistem komputer dan perangkat lunak audit mereka sendiri untuk membantu
melaksanakan audit. Pendekatan ini dikenal sebagai mengaudit dengan komputer. Berbagai teknik audit
berbantuan komputer (CAAT) tersedia untuk diaudit dengan komputer. CAAT adalah alat audit yang
berguna karena memungkinkan auditor menggunakan komputer untuk menguji lebih banyak bukti dalam
waktu yang lebih singkat. Namun, meskipun CAAT berlimpah, auditor harus menyadari bahwa alat teknologi
hanyalah enabler. Mereka berfungsi untuk menantang auditor untuk berpikir kritis dan menggunakan
teknologi secara efektif untuk mengubah data menjadi wawasan.
Selanjutnya, kita akan fokus pada teknik yang digunakan untuk mengaudit melalui komputer dan
mengaudit dengan komputer dalam tahap pengujian audit.
Kontrol Umum
Pengendalian umum harus diuji sebelum pengujian pengendalian lainnya dilakukan. Sejak
kontrol umum adalah kontrol otomatis yang mempengaruhi semua aplikasi komputer,
keandalan kontrol aplikasi dipertimbangkan hanya setelah kontrol umum dimiliki
Lakukan Pengujian
Kontrol
Evaluasi kembali
Apakah Kontrol Tidak
Risiko Audit
Efektif?
(Tahap Perencanaan)
Iya
Lanjutkan ke
Pengujian Substantif
PAMERAN 7-6 Tahap Pengujian
Tahap
Kontrol Proses Peta
Tes Kontrol (Tujuan Studi 8) 225
telah diuji. Hal ini karena pengendalian umum yang lemah dapat menyebabkan salah saji yang
meliputi sistem akuntansi — bahkan dalam aplikasi yang diyakini kuat. Misalnya, jika ada
kontrol umum yang lemah, perangkat keras dan perangkat lunak perusahaan dapat diakses
oleh pengguna yang tidak sah yang dapat mengubah data atau program. Jadi, meskipun
kontrol aplikasi berfungsi seperti yang dirancang, defisiensi kontrol umum dapat
mengakibatkan kesalahan dalam informasi yang mendasarinya. Karenanya, keefektifan kendali
umum adalah fondasi untuk lingkungan kendali TI. Jika pengendalian umum tidak berfungsi
sebagaimana yang dirancang, auditor tidak akan mencurahkan perhatian pada pengujian
pengendalian aplikasi; sebaliknya, mereka akan mengevaluasi kembali pendekatan audit
(menurut Tampilan 7-4) dengan mengurangi ketergantungan pada kontrol.
Ada dua kategori luas dari kendali umum yang berhubungan dengan sistem TI:
Kategori ini dan teknik auditnya yang terkait akan dijelaskan secara mendetail selanjutnya.
Kontrol Keamanan Auditor prihatin tentang apakah sistem komputer perusahaan memiliki kontrol untuk mencegah akses tidak
sah atau perusakan informasi dalam sistem informasi akuntansi. Akses tidak sah dapat terjadi secara internal ketika karyawan
mengambil informasi yang seharusnya tidak mereka miliki, atau secara eksternal ketika pengguna yang tidak sah (atau peretas)
di luar perusahaan mengambil informasi yang seharusnya tidak mereka miliki. Risiko akses cenderung meningkat karena
perusahaan merangkul teknologi yang lebih baru dan memungkinkan data sensitif dibagikan melalui perangkat pintar, aplikasi
web dan seluler, serta jejaring sosial. Pemusnahan informasi dapat terjadi sebagai akibat dari bencana alam, kecelakaan, dan
kondisi lingkungan lainnya. Kontrol yang melindungi perusahaan dari risiko ini mencakup berbagai kontrol akses, kontrol fisik,
kontrol lingkungan, dan kebijakan kelangsungan bisnis. Anda mungkin merasa terbantu jika merujuk kembali ke Tampilan 4‑5,
yang menyajikan berbagai jenis kontrol yang mungkin digunakan perusahaan untuk mencegah risiko kerugian akibat
penggunaan yang tidak sah, pembobolan jaringan, dan masalah lingkungan. Saat auditor memperoleh pemahaman tentang
sistem informasi perusahaan, mereka dapat mengetahui apakah jenis kontrol yang tercantum dalam Tampilan 4-5 digunakan
untuk mencegah atau mendeteksi risiko terkait. Saat kontrol diterapkan, mereka dapat diuji untuk pengoperasian yang efektif.
Berikut adalah beberapa cara auditor dapat menguji pengendalian ini. Saat auditor memperoleh pemahaman tentang sistem
informasi perusahaan, mereka dapat mengetahui apakah jenis kontrol yang tercantum dalam Tampilan 4-5 digunakan untuk
mencegah atau mendeteksi risiko terkait. Saat kontrol diterapkan, mereka dapat diuji untuk pengoperasian yang efektif. Berikut
adalah beberapa cara auditor dapat menguji pengendalian ini. Saat auditor memperoleh pemahaman tentang sistem informasi
perusahaan, mereka dapat mengetahui apakah jenis kontrol yang tercantum dalam Tampilan 4-5 digunakan untuk mencegah
atau mendeteksi risiko terkait. Saat kontrol diterapkan, mereka dapat diuji untuk pengoperasian yang efektif. Berikut adalah
• Melakukan tes keaslian untuk mengevaluasi apakah sistem komputer yang digunakan
untuk mengakses program dan file data dibatasi untuk karyawan yang berwenang
menurut tabel otoritas perusahaan. Panduan kebijakan dan prosedur harus menjelaskan
kendali atas penggunaan kata sandi, token keamanan, perangkat biometrik, dll. Karyawan
harus diminta untuk memiliki kata sandi, dan tingkat akses mereka harus konsisten
dengan tanggung jawab pekerjaan mereka. Auditor dapat merancang uji kendali untuk
menentukan apakah akses dikendalikan sesuai dengan kebijakan perusahaan.
• Tinjau log komputer untuk kegagalan login, untuk mengukur waktu akses untuk kewajaran sehubungan
dengan jenis tugas yang dilakukan, atau untuk mendeteksi aktivitas yang tidak biasa. Dalam kasus
seperti itu, pengujian audit mungkin perlu diperluas untuk tindak lanjut yang sesuai.
• Melihat jejak audit elektronik untuk menentukan apakah akses ke sistem operasi telah
dilakukan sesuai dengan kebijakan perusahaan.
• Lakukan pengujian untuk memastikan bahwa hak akses komputer diblokir untuk karyawan
yang telah diberhentikan dan direvisi untuk karyawan yang telah mengubah tanggung
jawab pekerjaan.
Untuk menguji luar kontrol akses, auditor dapat melakukan hal berikut:
• Review log akses untuk mengidentifikasi pengguna yang tidak sah atau upaya akses
yang gagal. Misalnya, auditor harus mendiskusikan dengan manajer TI faktor-faktor yang
terlibat dalam penolakan akses tidak sah, dan memverifikasi konsistensi penjelasan
manajer dengan kebijakan yang terdokumentasi.
Untuk mempertahankan kontrol yang baik, manajer perusahaan tidak boleh mengandalkan
auditor mereka untuk menguji pelanggaran akses komputer, tetapi harus memantau sistem
mereka sendiri secara berkelanjutan. Kemudian auditor dapat memeriksa laporan keamanan
yang dikeluarkan oleh departemen TI atau meninjau sistem deteksi keamanannya untuk
menguji keefektifan kontrol akses perusahaan. Frekuensi pelaporan dan cara tindak lanjut
merupakan elemen penting dari lingkungan pengendalian.
Salah satu cara paling efektif bagi perusahaan untuk melindungi sistem
komputernya adalah dengan menempatkan kendali fisik dan lingkungan di pusat
komputer. Kontrol fisik meliputi kunci, penjaga keamanan, alarm, kamera, dan kunci
kartu. Pengendalian fisik tidak hanya membatasi akses ke komputer perusahaan,
tetapi juga penting untuk mencegah kerusakan sumber daya komputer. Selain
menilai kontrol fisik, auditor harus mengevaluasi lingkungan TI untuk menentukan
bahwa kontrol suhu yang tepat dipertahankan, sistem tahan api dipasang, dan catu
daya darurat tersedia.
Untuk menguji fitur penting lainnya dari pengendalian keamanan yang efektif, auditor harus
menentukan apakah perusahaan akan dapat melanjutkan proses akuntansi jika terjadi bencana
yang disebabkan oleh kesalahan manusia, kejahatan, tindakan alam, atau peristiwa tak terduga
lainnya. Semua penyebab yang dapat diperkirakan harus dipertimbangkan dalam memutuskan
apakah perusahaan dilindungi secara memadai. Untuk membuat keputusan seperti itu, auditor
biasanya meninjau rencana pemulihan bencana perusahaan, prosedur cadangan, prosedur
perlindungan virus, dan perlindungan asuransi, dan mendiskusikan dengan manajemen
kewajaran kebijakan ini.
Seperti disebutkan sebelumnya, kontrol aplikasi hanya diuji setelah kontrol umum terbukti kuat.
Ketika pengendalian umum telah diuji dan terbukti beroperasi secara efektif, auditor kemudian
menguji pengendalian aplikasi untuk melihat apakah pengendalian tersebut juga berfungsi
sebagaimana mestinya.
Kontrol Aplikasi
Kontrol aplikasi adalah kontrol terkomputerisasi atas program aplikasi. Karena perusahaan mana pun dapat
menggunakan banyak program komputer yang berbeda dalam bisnisnya sehari-hari, mungkin ada banyak
jenis kontrol aplikasi yang perlu dipertimbangkan dalam audit. Auditor menguji dokumentasi sistem
perusahaan untuk memastikan bahwa rincian yang memadai tersedia untuk semua program aplikasi.
Rinciannya harus mencakup daftar semua aplikasi yang penting untuk informasi yang diaudit, bersama
dengan kode sumber pendukung yang selalu diperbarui di perpustakaan TI. Salinan cadangan harus
disimpan di luar situs. Selain dokumentasi sistem pengujian, auditor harus menguji tiga fungsi utama aplikasi
komputer, termasuk input, pemrosesan, dan output.
Kontrol Masukan Auditor melakukan tes untuk memverifikasi kebenaran input informasi
ke program perangkat lunak. Auditor prihatin tentang apakah kesalahan dicegah dan
dideteksi selama tahap input pemrosesan data. Beberapa pengujian komputer yang
paling banyak digunakan untuk kontrol input dirangkum dalam Tampilan 7-7.
Setiap pengendalian yang disajikan dalam Tampilan 7-7 dapat digunakan oleh perusahaan sebagai
ukuran pengendalian internal. Dalam kebanyakan kasus, jenis fungsi yang sama dapat dilakukan
228 Bab 7 Proses Audit Berbasis Teknologi Informasi
PAMERAN 7-7
Kontrol Masukan
Kontrol Deskripsi
Total keuangan: Jumlah matematis dari jumlah dolar atau jumlah item. Berguna karena mereka biasanya mengidentifikasi
Total kontrol keuangan jumlah entri jurnal yang dibuat dalam sistem akuntansi keuangan. Diuji dengan membandingkan total yang
Total batch dihasilkan sistem dengan total yang dihitung oleh auditor.
Total hash Jumlah data matematis yang tidak berarti bagi laporan keuangan (seperti nomor vendor atau nomor
cek), tetapi berguna untuk mengontrol data dan terutama untuk mendeteksi kemungkinan item yang
hilang. Diuji dengan membandingkan total yang dihasilkan sistem dengan total yang dihitung oleh
auditor.
Tes kelengkapan atau Menghitung jumlah entri (catatan hitungan) atau urutan dokumen dalam satu seri (verifikasi urutan).
tes redundansi: Berguna untuk menentukan apakah catatan aplikasi lengkap atau jika ada item yang salah disertakan
Rekam hitungan lebih dari satu kali. Juga memastikan bahwa pemrosesan terjadi hanya ketika semua bidang dalam
Verifikasi urutan file data diisi. Diuji dengan membandingkan jumlah yang dihasilkan sistem dengan jumlah / daftar
yang disiapkan oleh auditor.
Batasi tes Memindai entri untuk batas yang wajar, seperti batas yang telah ditentukan sebelumnya pada jumlah cek atau kredit
pelanggan. Berguna dalam mencegah kesalahan dan pemrosesan yang tidak sah. Diuji dengan membandingkan
batasan terprogram dengan kebijakan perusahaan.
Pemeriksaan validasi Memindai entri untuk memverifikasi apakah ada informasi yang hilang atau palsu. Entri ditinjau untuk
tanggal dan pelabelan yang valid, catatan ditinjau untuk nilai dan urutan yang wajar, dan bidang ditinjau
untuk batas yang valid atau data yang hilang. Diuji dengan membandingkan informasi yang diprogram
dengan nilai yang telah ditentukan yang didokumentasikan dalam kode program.
Pemeriksaan lapangan Memindai entri untuk menentukan bahwa data ada dalam format alfa atau numerik yang tepat. Berguna dalam
mencegah kesalahan pemrosesan karena data yang tidak dikenal. Diuji dengan membandingkan format data
dengan kode program.
oleh auditor sebagai pengujian pengendalian terkait. Auditor menguji pengendalian ini untuk
menentukan apakah risiko pengendalian sedang dicegah atau dideteksi. Auditor mengamati
pengendalian yang dimiliki perusahaan dan melakukan perbandingan secara terbatas untuk
menentukan keefektifannya. Pengujian ini dapat dilakukan secara manual atau dengan metode
elektronik.
• Total run-to-run melibatkan penghitungan ulang jumlah dari satu proses ke proses
berikutnya untuk menentukan apakah data telah hilang atau diubah selama proses.
• Tes keseimbangan melibatkan perbandingan item berbeda yang diharapkan memiliki nilai yang sama,
seperti membandingkan dua kelompok atau membandingkan data aktual dengan total kontrol yang
telah ditentukan sebelumnya.
• Tes akurasi matematika verifikasi apakah penghitungan sistem sudah benar. Tes
kelengkapan, tes redundansi, dan tes batas, yang diperkenalkan sebelumnya, memeriksa
penyertaan data yang benar. Banyak prosedur lain, yang sebelumnya dijelaskan sebagai
uji kontrol input, dapat dilakukan lagi selama pemrosesan aplikasi untuk memeriksa
kemungkinan data yang hilang atau tidak diproses.
Saat mengevaluasi informasi keuangan, auditor dapat menggunakan Hukum Benford untuk membantu
menemukan apakah kesalahan atau kecurangan mungkin ada dalam kumpulan data. Hukum Benford, juga dikenal
Tes Kontrol (Tujuan Studi 8) 229
sebagai hukum digit pertama, dinamai untuk fisikawan, Frank Benford, yang menemukan pola
tertentu, tetapi tidak seragam dalam frekuensi digit yang muncul sebagai bilangan pertama
dalam daftar bilangan. Benford menemukan bahwa angka 1 cenderung menjadi digit terdepan
kira-kira sepertiga dari waktu, dan angka 2 adalah digit terdepan sekitar 18 persen dari waktu.
Sebaliknya, angka 9 adalah digit terdepan dalam kurang dari 5 persen kejadian. Hukum Benford
berlaku untuk kumpulan data besar dari angka-angka yang muncul secara alami dan oleh
karena itu berguna bagi auditor dalam mengevaluasi kemungkinan kesalahan atau penipuan
dalam penjualan dan saldo piutang, hutang dan saldo pengeluaran, data pajak pendapatan,
dan banyak lagi. Ini akan memprediksi, misalnya, bahwa sekitar setengah dari pengamatan
numerik dalam kumpulan data pembayaran tunai harus dimulai dengan angka 1 atau 2. Jika
angka tersebut dipalsukan, kemungkinan besar angka tersebut tidak akan mengikuti distribusi
alami ini. Namun, Hukum Benford tidak berlaku untuk nomor yang ditetapkan (seperti nomor
rekening pelanggan atau nomor telepon). Prosedur audit yang menerapkan Hukum Benford
dapat dilakukan dengan menggunakan program spreadsheet atau aplikasi khusus perangkat
lunak audit.
Tampilan 7-8 menyajikan perbandingan beberapa teknik audit berbantuan
komputer (CAATs).
PAMERAN 7-8
Pelacakan program Auditor mengikuti transaksi Efisien karena menggunakan Mungkin memerlukan keahlian teknis
dan penandaan melalui semua proses data aktual. khusus untuk mempertimbangkan semua
langkah-langkah secara berurutan, jalur logika program.
menggunakan komputer nonklien.
Program Auditor menghitung berapa Efisien karena menggunakan Mungkin memerlukan keahlian teknis
pemetaan kali pernyataan program data aktual. khusus untuk mempertimbangkan semua
dijalankan untuk menentukan jalur logika program.
apakah kode program telah
dilewati.
Terintegrasi Auditor mengembangkan data uji Sangat efektif untuk aplikasi Risiko kerusakan data.
fasilitas uji dan proses secara bersamaan sederhana. Digunakan selama Membuang-buang waktu. Kurang
dengan data aktual. pemrosesan normal. Menyediakan efektif untuk aplikasi yang kompleks.
pengujian kontrol yang sedang berlangsung.
Paralel Auditor mengembangkan program Uji independen itu Kepraktisan tergantung pada
simulasi seperti aplikasi klien, memungkinkan ukuran sampel kompleksitas aplikasi.
kemudian gunakan untuk yang besar. Teknis sedang Dilakukan pada titik waktu
memproses salinan data aktual. keahlian yang dibutuhkan. tertentu.
Tersemat Auditor memasukkan tes dalam Mengidentifikasi pemrosesan Tidak memiliki objektivitas karena tidak dapat
modul audit aplikasi. Dapat digunakan secara masalah saat terjadi. mengidentifikasi yang tidak terduga
Dunia nyata
Sebagai salah satu dari Empat Besar perusahaan EY bertanggung jawab untuk mengaudit laporan
CPA, EY mempekerjakan ribuan auditor dalam grup keuangan banyak perusahaan publik. Ini melayani klien di
Layanan Penasihat Risiko dan Jaminan TI. Grup ratusan lokasi di seluruh dunia. Perusahaan klien ini cukup
layanan khusus ini membantu audit laporan beragam dalam hal jenis bisnis yang mereka lakukan,
keuangan dan menyediakan layanan lain terkait ukuran mereka, dan kompleksitas mereka, tetapi
sistem informasi kliennya. Layanan jaminan sistem cenderung sama dalam kebutuhan mereka akan informasi
informasi berfokus pada audit sistem informasi yang tepat waktu. Penggunaan CAATs membantu EY
bisnis, penilaian proses bisnis dan lingkungan memberikan layanan tepat waktu kepada kliennya, sambil
pengendalian yang mendasarinya, dan penggunaan mengumpulkan bukti audit yang diperlukan untuk
CAAT untuk memverifikasi data akuntansi dan melakukan tugasnya sebagai auditor.
keuangan.
Kontrol Keluaran Pengujian audit yang mengevaluasi kontrol umum atas akses dan
prosedur cadangan juga dapat digunakan dalam pengujian keluaran aplikasi komputer
tertentu. Penting bagi auditor untuk menguji kontrol yang tepat atas informasi keuangan
yang dihasilkan dari pemrosesan aplikasi. Terlepas dari apakah hasil dicetak atau
disimpan secara elektronik, auditor dapat melakukan prosedur berikut untuk menguji
keluaran aplikasi:
• Tes kewajaran membandingkan laporan dan hasil lainnya dengan data pengujian atau
kriteria lain.
• Tes jejak audit melacak transaksi melalui aplikasi untuk memastikan bahwa pelaporan
adalah cerminan yang benar dari pemrosesan dan masukan.
• Tes kesalahan pembulatan menentukan apakah ada kesalahan yang signifikan
karena cara jumlah dibulatkan dan diringkas.
Sebagai bagian dari tahap pengujian pengendalian suatu audit, auditor juga harus
memverifikasi bahwa perusahaan melakukan rekonsiliasi yang tepat waktu dan akurat.
SEBUAH rekonsiliasi adalah laporan rinci yang menilai kebenaran saldo rekening atau
catatan transaksi yang sesuai dengan informasi pendukung serta kebijakan dan prosedur
perusahaan. Rincian saldo akun dan informasi pendukung mungkin
Dunia nyata
Kasus penggelapan di Koss Corporation, yang Beberapa rekonsiliasi dilakukan oleh Sachdeva
diperkenalkan di Bab 3, menggambarkan tindakan sendiri, terlepas dari kenyataan bahwa dia telah
curang dari VP Keuangan perusahaan, Sue terlibat dalam otorisasi awal atau pencatatan
Sachdeva. Setelah penemuan penipuan tersebut, transaksi yang mendasarinya. Ini memberikan
investigasi SEC mengungkapkan banyak kegagalan kesempatan bagi Sachdeva untuk memodifikasi
kontrol di Koss, termasuk masalah dengan rekonsiliasi untuk menyembunyikan kesalahannya.
rekonsiliasi akun. Rekonsiliasi tidak disimpan dalam Perusahaan CPA yang mengaudit laporan keuangan
catatan akuntansi, tidak disiapkan dengan benar, Koss dibubarkan karena prosedur auditnya tidak
atau tidak disiapkan sama sekali. mengungkap masalah serius ini.
Ujian Transaksi dan Ujian Saldo (Tujuan Studi 9) 231
Lakukan Substantif
Tes
Transaksi
Baik Tidak
Hasil?
Iya
Iya
Evaluasi kembali
Risiko Audit
PAMERAN 7-9 Substantif
(Tahap Perencanaan)
Tahap Pengujian Proses Peta
Teknik audit kontinu, seperti yang tersedia dengan pendekatan modul audit
tertanam dan penandaan program, adalah bentuk pengujian substantif yang sangat
populer. Selain itu, jenis simulasi paralel dapat digunakan untuk memberikan
jaminan berkelanjutan, di mana modul audit disematkan dalam database untuk
menganalisis semua pembaruan data dan membandingkan hasilnya dengan yang
ada di database. Ketika perusahaan menggunakan e-commerce atau sistem e-bisnis
untuk melakukan bisnis online, auditor mengetahui bahwa informasi akuntansi
keuangan dihasilkan secara real time dan segera tersedia untuk tujuan audit. Selain
itu, karena semakin banyak perusahaan yang menggunakan Big Data, kemungkinan
besar analisis data yang berkelanjutan dan real-time akan diperlukan. SEC, PCAOB,
dan AICPA juga menyetujui penggunaan audit kontinu. Menanggapi kegagalan
perusahaan, seperti yang terjadi di Enron dan WorldCom,
Audit berkelanjutan umumnya mengharuskan auditor mengakses sistem klien mereka secara online
sehingga data audit dapat diperoleh secara berkelanjutan. Data audit kemudian diunduh dan diuji oleh
auditor sesegera mungkin setelah data tersebut diterima. Audit berkelanjutan kemudian dapat diterapkan
untuk berbagai bentuk pengujian audit, termasuk pemantauan dan penilaian risiko berkelanjutan (CRMA),
pemantauan kendali berkelanjutan (CCM), dan pemantauan data berkelanjutan (CDM). Tetapi sebagai
Penyelesaian / Pelaporan Audit (Tujuan Studi 10) 233
perusahaan mengumpulkan lebih banyak data dan merangkul analitik Big Data, tantangan mungkin
muncul terkait inkonsistensi data, data yang tidak lengkap, dan ancaman terhadap privasi. Auditor
harus cepat beradaptasi dengan tantangan ini.
Kebanyakan auditor menggunakan perangkat lunak audit umum (GAS) atau perangkat lunak
analisis data (DAS) untuk melakukan pengujian audit pada file data elektronik yang diambil dari
sistem database yang umum digunakan. Alat audit terkomputerisasi ini memungkinkan auditor untuk
jauh lebih efisien dalam melakukan pengujian audit rutin seperti:
Penggunaan GAS atau DAS sangat berguna ketika ada volume data yang besar dan ketika ada
kebutuhan akan informasi yang tepat waktu dan tepat.
GAS dan DAS juga berkembang untuk menangani kumpulan data yang lebih besar dan lebih
beragam, yang memungkinkan auditor untuk menggunakan lebih banyak jenis data tidak terstruktur
sebagai bukti audit dan untuk melakukan prosedur analitis dan analisis prediktif yang lebih kreatif.
Beberapa contoh penggunaan analitik Big Data dalam fase audit ini meliputi:
• Memeriksa media sosial untuk mengantisipasi masalah seperti keusangan inventaris dan
klaim garansi
• Memperoleh data tentang pola cuaca atau kinerja pasar saham untuk memprediksi aktivitas
penjualan
Teknik ini memungkinkan pengujian audit diselesaikan dengan cepat, akurat, dan cermat, oleh
karena itu memberikan auditor cara untuk memenuhi kebutuhan pembuat keputusan yang terus
meningkat yang mengharapkan informasi yang tepat dan segera.
Audit Akumulasi
Bukti
Perwakilan
Surat
Evaluasi Bukti
di Agregat
Iya
Menyampaikan
PAMERAN 7-10 Audit
Hasil Keseluruhan dengan
Penyelesaian / Pelaporan
Klien
Tahap Proses Peta
Ketika melaporkan keefektifan pengendalian internal, auditor harus memilih antara opini
yang tidak memenuhi syarat, merugikan, atau tidak bertanggung jawab. Komunikasi
adalah kunci kesimpulan yang tepat dari suatu audit. Selain informasi yang
dikomunikasikan oleh manajemen dalam surat representasi dan auditor yang
mengeluarkan laporan audit, auditor harus mendiskusikan hasil audit secara keseluruhan
dengan direktur perusahaan.
Pertimbangan Audit Lainnya (Tujuan Studi 11) 235
Sebagian besar perusahaan menggunakan komputer mikro atau komputer pribadi (PC) dalam proses
akun mereka. Kontrol umum yang mencakup PC seringkali kurang maju daripada yang mencakup
sistem rangka utama dan klien-server. Akibatnya, PC mungkin menghadapi risiko kerugian yang lebih
besar karena akses yang tidak sah, kurangnya pemisahan tugas, kurangnya kontrol cadangan, dan
virus komputer. Berikut adalah beberapa teknik audit yang digunakan untuk menguji pengendalian
secara khusus dalam penggunaan PC:
• Pastikan PC dan hard drive yang dapat dilepas terkunci di tempatnya untuk memastikan
keamanan fisik. Selain itu, program dan file data harus dilindungi sandi untuk mencegah
penyalahgunaan online oleh orang yang tidak berwenang.
• Pastikan pemrogram komputer tidak memiliki akses ke operasi sistem, sehingga tidak ada
kesempatan untuk mengubah kode sumber dan data operasi terkait. Program perangkat
lunak yang dimuat pada PC seharusnya tidak mengizinkan pengguna untuk membuat
perubahan program. Juga pastikan bahwa laporan yang dihasilkan komputer ditinjau
secara teratur oleh manajemen.
• Bandingkan tanggal dan data yang disertakan pada file cadangan dengan program operasi
langsung untuk menentukan frekuensi prosedur pencadangan.
Selain atau sebagai alternatif untuk menggunakan PC, perusahaan dapat beroperasi
dalam lingkungan TI yang melibatkan jaringan, sistem manajemen basis data, sistem
e-niaga, komputasi awan, dan / atau bentuk alih daya TI lainnya. Banyak prosedur yang
dijelaskan sebelumnya juga dapat digunakan untuk konfigurasi komputer yang berbeda
ini.
Ketika perusahaan memiliki sistem informasi akuntansi yang diatur dalam jaringan
area lokal (LAN) atau jaringan area luas (WAN), auditor harus memahami bagaimana
jaringan terstruktur. Dengan kata lain, mereka harus mempelajari bagaimana komputer
perusahaan dihubungkan bersama, termasuk lokasi semua server dan workstation.
Semua risiko dan prosedur audit yang diterapkan pada lingkungan PC mungkin juga ada
dalam jaringan, tetapi potensi kerugiannya jauh lebih besar. Karena operasi jaringan
biasanya melibatkan sejumlah besar komputer, banyak pengguna, dan volume transfer
data yang tinggi, kurangnya kontrol jaringan dapat menyebabkan kerusakan yang meluas.
Auditor harus menerapkan tes di seluruh jaringan. Sangat penting bagi auditor untuk
menguji perangkat lunak yang mengelola jaringan dan mengontrol akses ke server.
Ketika perusahaan menggunakan sistem database, sistem manajemen database (termasuk
data, aplikasi, dan kontrol terkait) mereplikasi atau mempartisi data untuk banyak pengguna
yang berbeda. Ketika data diatur dengan cara yang konsisten, relatif mudah bagi auditor untuk
memilih item untuk pengujian. Namun, tantangan mungkin ditemui ketika ada data tidak
terstruktur, dan ada beberapa pertimbangan khusus lainnya untuk pengujian sistem
manajemen basis data auditor. Misalnya, karena banyak pengguna mungkin memiliki akses ke
data, auditor harus yakin untuk mengevaluasi kontrol akses di sekitar database. Selain itu, lebih
penting dari sebelumnya untuk memelihara backup yang tepat dalam lingkungan database,
karena begitu banyak orang bergantung pada operasi database yang konsisten dan
ketersediaan data. Auditor bertanggung jawab untuk memahami bagaimana data tersebut
dikelola sehingga dapat diandalkan sebagai sumber informasi. Selain menguji akses dan kontrol
cadangan, seperti yang dibahas sebelumnya
236 Bab 7 Proses Audit Berbasis Teknologi Informasi
Dalam bab ini, auditor harus melakukan pengujian untuk memverifikasi bahwa
administrator database memantau akses ke data perusahaan dan membuat cadangan
database secara teratur. Karena banyak aplikasi berbeda dapat mengakses dan
mengubah data dalam database, kontrol database sangat penting.
Risiko keamanan selalu ada di perusahaan yang menggunakan e-commerce, karena
sistem komputer mereka terhubung secara online dengan sistem mitra bisnis mereka.
Akibatnya, keandalan sistem TI perusahaan bergantung pada keandalan sistem
pelanggan dan / atau pemasoknya. Prosedur audit yang digunakan untuk menilai kontrol
di lingkungan e-commerce telah dibahas sebelumnya di bab ini dalam diskusi tentang
kontrol akses eksternal. Selain itu, auditor sering
• Memeriksa log pesan untuk mengidentifikasi titik-titik akses jarak jauh, memverifikasi
urutan transaksi yang benar, dan meninjau tindak lanjut tepat waktu pada transmisi yang
tidak berhasil antara mitra bisnis
• Proses ulang transaksi untuk melihat apakah transaksi tersebut dikontrol dengan benar.
Karena kesulitan menguji semua kemungkinan titik akses dalam sistem online, auditor
terkadang merasa lebih hemat biaya untuk melakukan pengujian substantif daripada pengujian
ekstensif terhadap pengendalian.
Beberapa perusahaan mungkin mengandalkan penyedia layanan komputer eksternal dan
independen untuk menangani semua atau sebagian dari kebutuhan TI mereka. Ini dikenal sebagai Pengalihdayaan
TI. Pengalihdayaan TI menciptakan tantangan bagi auditor, yang harus memperoleh pemahaman
yang memadai tentang risiko dan kontrol yang terletak di pusat layanan independen. Namun, pusat
layanan kemungkinan akan memiliki auditornya sendiri yang memantau, menguji, dan / atau
melaporkan pengendalian internal. Laporan pihak ketiga ini dapat digunakan sebagai bukti audit
tentang efektivitas pengendalian internal. Alternatifnya, auditor dapat memilih untuk melakukan
pengujian di lokasi bisnis pusat layanan, atau melakukan pengujian audit di sekitar komputer klien.
Saat perusahaan menggunakan komputasi awan, auditor mereka perlu memahami secara
menyeluruh teknologi yang mendasari serta risiko dan kontrol terkait. Dalam lingkungan
komputasi awan, penyedia layanan melakukan tugas-tugas penting yang secara tradisional
menjadi tanggung jawab manajer perusahaan. Oleh karena itu, penilaian risiko mungkin
menjadi sangat menantang karena ancaman terhadap data perusahaan tidak terkontrol, dan
seringkali tidak terduga, oleh perusahaan.
Selain hanya mengidentifikasi ancaman yang melekat dalam lingkungan komputasi
awan, sangat sulit untuk memperkirakan potensi biaya dan dampak keseluruhannya.
Namun, mereka mungkin jauh jangkauannya. Oleh karena itu, semakin penting bagi
perusahaan dan auditornya untuk mempertimbangkan dengan cermat apakah semua
risiko yang relevan telah diidentifikasi dan dikendalikan. Di bawah ini adalah beberapa
contoh pertanyaan untuk dipertimbangkan oleh auditor ketika mengevaluasi lingkungan
komputasi awan:
Resiko Keamanan:
• Kerusakan apa yang dapat terjadi jika pengguna yang tidak sah mengakses data perusahaan?
• Bagaimana dan kapan data dienkripsi?
• Bagaimana penyedia layanan cloud menangani keamanan internal?
Risiko Ketersediaan:
• Kerusakan apa yang dapat terjadi jika data perusahaan tidak tersedia selama waktu puncak
atau untuk waktu yang lama?
Pertimbangan Audit Lainnya (Tujuan Studi 11) 237
Risiko Pengolahan:
• Bagaimana waktu respons dan aspek lain dari kinerja operasi dipantau?
• Bagaimana penyedia layanan memantau kapasitasnya untuk penyimpanan dan penggunaan
data?
Risiko Kepatuhan:
Ketika sebuah perusahaan mengubah jenis perangkat keras atau perangkat lunak yang digunakan atau
memodifikasi lingkungan TI-nya, auditornya harus mempertimbangkan apakah pengujian audit tambahan
diperlukan. Selama periode perubahannya, data dapat diambil dari sistem yang berbeda di
238 Bab 7 Proses Audit Berbasis Teknologi Informasi
• Instruksi pengguna yang benar, termasuk revisi untuk perubahan yang dilakukan melalui versi
terbaru, penggantian, atau pemeliharaan
Auditor tidak selalu dapat mengevaluasi setiap aspek dari setiap item yang
berdampak pada informasi yang dilaporkan. Auditor sering mengandalkan contoh,
dimana mereka memilih dan menguji sejumlah item atau transaksi dan
kemudian menarik kesimpulan tentang informasi secara keseluruhan
berdasarkan hasil. Karena tes audit seringkali tidak mencakup semua item dalam
populasi, ada beberapa risiko bahwa sampel, atau subset, populasi mungkin
tidak mewakili keseimbangan secara keseluruhan. Auditor mencoba
menggunakan pengambilan sampel sehingga representasi yang adil dari
populasi dievaluasi. Perangkat lunak terkomputerisasi sering digunakan untuk
membantu auditor memilih sampel. Nomor acak dapat dibuat oleh program
perangkat lunak. Sampel bersifat acak jika setiap item dalam populasi memiliki
peluang yang sama untuk dipilih. Penggunaan program komputer memastikan
bahwa tidak ada bias dalam memilih item tes. Auditor juga dapat memilih item
sampel dengan metode lain, seperti pemilihan berdasarkan ukuran item.
Seiring berkembangnya bisnis, mereka cenderung memiliki kumpulan Data Besar. Dengan
munculnya Big Data, peningkatan risiko informasi; dengan demikian, auditor ditantang untuk
mempertimbangkan kembali apa yang merupakan bukti audit yang memadai. Mereka mungkin
beralih dari penggunaan strategi pengambilan sampel ke arah pengujian populasi, di mana
teknik audit kontinu digunakan untuk mengevaluasi 100 persen populasi, seringkali dalam
waktu nyata. Ini berarti bahwa auditor meninjau semua transaksi alih-alih sampel transaksi.
Pengujian populasi menjadi lebih luas, karena banyak auditor sekarang memiliki kemampuan
untuk terhubung secara elektronik dengan sistem informasi akuntansi klien mereka.
Masalah Etis Terkait Audit (Tujuan Studi 12) 239
Auditor internal dan auditor TI harus mematuhi standar etika yang ditetapkan
oleh IIA dan ISACA. Kode Etik IIA didasarkan pada prinsip integritas, objektivitas,
kerahasiaan, dan kompetensi. Demikian pula, Kode Etik Profesional ISACA
mengakui uji tuntas, objektivitas, kompetensi, komunikasi, menjaga privasi dan
kerahasiaan, dan melayani untuk kepentingan pemangku kepentingan.
Kode etik profesi ini diadopsi oleh konstituennya masing-masing dalam mengakui
tanggung jawab etis mereka kepada orang lain. Kepatuhan terhadap kode etik
bergantung terutama pada pemahaman dan tindakan sukarela dari anggotanya. Di
Amerika Serikat, banyak negara bagian dan organisasi profesional memiliki komite khusus
yang bertanggung jawab untuk mempertimbangkan kasus pelanggaran dan menegakkan
kode etik. Sanksi komite dapat mencakup diskusi informal, menyelidiki keluhan,
mengeluarkan surat peringatan, mengadakan dengar pendapat dan persidangan, dan
penangguhan atau pengusiran sertifikasi profesional.
Dari semua prinsip etika yang berlaku bagi auditor, yang umumnya paling
mendapat perhatian adalah keharusan bagi auditor laporan keuangan untuk
menjaga independensi. Halaman-halaman awal bab ini menjelaskan pentingnya
pendengar yang tidak bias, yang merupakan inti dari kemandirian. Persyaratan
kemerdekaan membuat profesi CPA unik dibandingkan dengan profesional bisnis
lainnya. Perusahaan CPA dilarang melakukan penugasan audit ketika mereka
memiliki hubungan keuangan, manajerial, atau pribadi dengan klien atau ketika
mereka memiliki kemampuan untuk mempengaruhi klien mereka.
240 Bab 7 Proses Audit Berbasis Teknologi Informasi
Dunia nyata
Dalam kasus penipuan perusahaan farmasi Manajer Phar-Mor kemudian dapat memindahkan
Phar-Mor, auditor menjadi terlalu dekat dengan persediaan antar toko untuk menyembunyikan
manajemen Phar-Mor dan berbagi informasi audit kekurangan persediaan di toko yang akan diaudit
yang seharusnya tidak mereka miliki. Misalnya, oleh perusahaan CPA. Auditor gagal menjaga
auditor memberi tahu manajemen toko mana yang netralitas dan objektivitas saat mereka melakukan
akan mereka pilih untuk pengujian inventaris. audit.
Dalam memenuhi tanggung jawab etisnya, auditor harus mempraktikkan skeptisisme profesional
selama audit. Skeptisisme profesional Artinya, auditor tidak boleh secara otomatis berasumsi bahwa
klien mereka jujur, tetapi harus memiliki pikiran yang ingin tahu dan pendekatan yang gigih untuk
mengevaluasi bukti untuk kemungkinan salah saji. Kesalahan penyajian dapat diakibatkan oleh
kesalahan atau kecurangan, dan auditor memiliki tanggung jawab yang sama untuk mencari kedua
penyebab kesalahan penyajian material.
Mengenai kecurangan dalam organisasi bisnis, ingat dari Bab 3 perbedaan antara kecurangan
karyawan dan kecurangan manajemen: Kecurangan pegawai melibatkan pencurian aset, sedangkan
kecurangan manajemen adalah kesalahan penyajian yang disengaja dari informasi keuangan. Fraud
mungkin sulit ditemukan oleh auditor, karena pelaku sering berusaha menyembunyikan kecurangan
tersebut. Auditor harus menyadari bahwa manajemen mungkin berada dalam posisi untuk
mengesampingkan kontrol yang telah ditetapkan, dan bahwa karyawan dapat bekerja dalam kolusi
untuk melakukan tindakan curang. Hal ini membuat auditor lebih sulit untuk mendeteksi kecurangan.
Contoh penipuan yang dilakukan oleh Crazy Eddie menggambarkan pentingnya auditor
mengetahui klien mereka dengan baik dan menerapkan skeptisisme profesional. Dalam
Masalah Etis Terkait Audit (Tujuan Studi 12) 241
Dunia nyata
Kasus penipuan manajemen yang dipublikasikan Antars menggunakan karyawan dan pemasoknya
secara luas melibatkan toko ritel elektronik Crazy Eddie untuk membantu menjalankan skema ilegal mereka.
di NewYork. Kasus ini sangat memalukan karena Mereka juga merusak bukti audit.
manajemen perusahaan, termasuk Eddie Antar dan Karena auditor terlalu percaya dan tidak hati-hati
keluarganya, menggunakan hampir setiap trik dalam melindungi file audit ketika mereka pulang di
buku untuk melakukan penipuan laporan keuangan penghujung hari, klien (Crazy Eddie) memiliki kesempatan
dan menipu auditor dalam prosesnya. Beberapa taktik untuk mengubah dokumen audit. Meskipun kecurangan
yang digunakan Antar termasuk melaporkan penjualan ini terjadi lebih dari dua dekade yang lalu, kecurangan ini
fiktif dan inventaris yang dilebih-lebihkan, masih memberikan contoh yang jelas tentang bagaimana
menyembunyikan kewajiban dan pengeluaran, dan kecurangan manajemen dapat dilakukan dan bagaimana
memalsukan laporan keuangan. auditor dapat ditipu.
• Pemeriksaan pelaporan keuangan untuk entri yang tidak sah atau tidak biasa
• Review informasi estimasi dan perubahan dalam pelaporan keuangan untuk
kemungkinan bias
Dunia nyata
Contoh penipuan manajemen ditemukan di Enron, dalam laporan laba rugi. Hal ini menggambarkan
Xerox, WorldCom, dan perusahaan besar dan terkenal pentingnya auditor untuk memvariasikan campuran
lainnya selama dua dekade terakhir. Faktanya, banyak prosedur audit untuk memasukkan kombinasi yang
kasus penipuan perusahaan besar yang telah menjadi wajar dari pengujian pengendalian dan pengujian
berita dalam beberapa tahun terakhir melibatkan substantif. Bahkan di perusahaan besar dengan sistem
kepala eksekutif atau manajer akunting perusahaan. pengendalian internal yang canggih, audit perlu
Salah saji laporan keuangan yang diakibatkan oleh menyertakan pengujian saldo akuntansi untuk
penipuan ini sangat mengejutkan. Di WorldCom, meningkatkan kemungkinan menemukan salah saji,
misalnya, hampir $ 4 miliar dalam biaya operasi termasuk yang berpotensi diakibatkan oleh pengelakan
disembunyikan ketika manajemen memutuskan untuk yang disengaja oleh manajemen atas pengendalian
mengkapitalisasi pengeluaran daripada melaporkan internal untuk melakukan kecurangan.
Berbagai jenis audit dan auditor. Tiga jenis utama audit meliputi audit
kepatuhan, audit operasional, dan audit laporan keuangan. Audit dapat
dilakukan oleh CPA, auditor internal, auditor TI, atau auditor pemerintah.
Risiko informasi dan pengendalian internal yang ditingkatkan oleh TI. Risiko informasi
adalah kemungkinan informasi yang tersedia bagi pengambil keputusan mungkin tidak akurat.
Risiko informasi dapat dikurangi melalui penggunaan informasi yang telah diaudit. Auditor
mengandalkan kontrol manual dan komputer untuk mengurangi risiko informasi. Kontrol
komputer sering kali menutupi kelemahan dalam kontrol manual.
Literatur resmi yang digunakan dalam audit. Panduan audit terdapat dalam
standar audit yang diterima secara umum, serta standar yang dikeluarkan oleh
Badan Pengawas Akuntansi Perusahaan Publik, Dewan Standar Auditing, Dewan
Standar Audit dan Jaminan Internasional, dan Asosiasi Audit dan Kontrol Sistem
Informasi.
Asersi manajemen yang digunakan dalam proses audit dan tujuan audit terkait.
Manajemen membuat klaim mengenai status keuangan dan hasil operasi organisasi
bisnis, dan tujuan audit berkaitan dengan masing-masing asersi ini. Asersi tersebut
meliputi keberadaan, penilaian, kelengkapan, hak dan kewajiban, serta penyajian dan
pengungkapan.
Tahapan audit TI. Perikatan audit biasanya dicirikan oleh empat fase, termasuk
perencanaan, pengujian pengendalian, pengujian substantif, dan penyelesaian /
pelaporan.
Istilah Kunci 243
Tes kontrol. Pengendalian umum dan pengendalian aplikasi dapat diuji selama audit untuk
menentukan apakah mereka berfungsi sebagaimana dirancang untuk bekerja. Ini akan
dilakukan hanya jika auditor bermaksud untuk mengandalkan keefektifan pengendalian
internal klien sebagai cara untuk membenarkan perluasan pengujian substantif yang berkurang
dalam fase audit yang tersisa.
Penyelesaian / pelaporan audit. Fase terakhir audit melibatkan evaluasi atas bukti yang
terkumpul dari semua pengujian audit untuk mencapai kesimpulan keseluruhan atas
penyajian informasi yang dilaporkan secara wajar. Komunikasi menyeluruh adalah kunci
dalam fase ini; manajemen perusahaan mengeluarkan surat perwakilan, auditor
mengeluarkan laporan audit, dan diskusi diadakan dengan direktur perusahaan.
Pertimbangan audit lainnya. Prosedur audit perlu disesuaikan dengan karakteristik spesifik
bisnis masing-masing klien. Secara khusus, pengujian ekstensif umumnya digunakan saat
mengaudit lingkungan komputer pribadi, untuk perusahaan yang menggunakan database atau
sistem jaringan yang luas, dan untuk perusahaan di mana perubahan komputer yang signifikan
telah diterapkan. Untuk membantu penyelesaian pengujian audit yang efisien, teknik
pengambilan sampel tersedia untuk menguji sebagian populasi.
Masalah etika terkait dengan audit. Auditor terikat oleh kode etik yang diadopsi oleh
organisasi profesional yang memandu berbagai praktik audit. Prinsip etika yang menjadi
dasar dari kode etik ini meliputi tanggung jawab profesional, pelayanan kepada
pemangku kepentingan / kepentingan umum, integritas, objektivitas dan kemandirian,
pelaksanaan kehati-hatian, dan ketaatan pada perilaku profesional.
Istilah Kunci
Pendapat yang merugikan Mengaudit melalui Audit berbantuan komputer Kontrol umum
Kontrol aplikasi komputer teknik (CAATs) Audit umum
Layanan jaminan Mengaudit dengan Audit berkelanjutan perangkat lunak (GAS)
Penyelesaian audit / komputer Analisis data Audit yang diterima secara umum
1 Manakah dari jenis audit berikut yang paling mungkin yang dimaksud dengan istilah "standar audit yang diterima secara
penghematan biaya? Sebuah. Prosedur yang digunakan untuk mengumpulkan bukti untuk mendukung
d. Informasi tersebut telah diuji oleh internal Sebuah. semua transaksi material akan disertakan
auditor dan perusahaan CPA. pengujian substantif
4 Manakah dari berikut ini tidak bagian dari standar auditing b. pengujian substantif dilakukan sebelum akhir tahun
yang diterima secara umum? akan diminimalkan
Sebuah. Standar umum c. prosedur akan mencapai audit tertentu
tujuan yang terkait dengan asersi manajemen
b. Standar kerja lapangan
tertentu
c. Standar sistem informasi
d. setiap saldo akun akan diuji di bawah a
d. Standar pelaporan pengujian substantif atau pengujian pengendalian
Akhir dari Materi Bab 245
8 Manakah dari tujuan audit berikut yang berkaitan 13 Tujuan utama pengujian kepatuhan dalam audit
dengan asersi keberadaan manajemen? laporan keuangan adalah untuk menentukan apakah
Sebuah. Sebuah transaksi dicatat dalam periode yang tepat. Sebuah. prosedur telah diperbarui secara berkala
b. Sebuah transaksi benar-benar terjadi (yaitu nyata). b. jumlah laporan keuangan dinyatakan secara akurat
c. Sebuah transaksi disajikan dengan benar di finan‑ c. pengendalian internal berfungsi seperti yang dirancang
pernyataan resmi. d. kolusi sedang berlangsung
d. Suatu transaksi didukung oleh bukti rinci. 14 Manakah dari teknik audit berbantuan komputer berikut
9 Manakah dari pernyataan berikut tentang program yang memproses data input klien aktual (atau salinan dari
audit yang benar? data nyata) pada program terkontrol di bawah kendali
Sebuah. Program audit harus distandarisasi sehingga auditor untuk menguji kendali secara berkala dalam sistem
dapat digunakan pada setiap keterlibatan klien. komputer klien?
19 Auditor independen umumnya secara aktif terlibat 30 (SP 4) Organisasi penetapan standar profesional mana
dalam setiap tugas berikut kecuali yang memberikan panduan tentang pelaksanaan audit
Sebuah. penyusunan laporan keuangan klien dan TI?
catatan yang menyertai 31 (SO 5) Jika manajemen bertanggung jawab atas laporan
keuangannya sendiri, mengapa auditor penting?
b. menasihati manajemen klien untuk penerapannya
dari standar akuntansi baru 32 (SO 6) Sebutkan teknik yang digunakan untuk
meningkatkan kualitas informasi yang digunakan manajemen ketika klien mereka menggunakan alih daya TI?
Masalah
55 (SO 4) Diberikan adalah daftar badan pengaturan standar audit bagaimana perangkat lunak audit umum atau paket perangkat lunak
(ditampilkan di sebelah kiri) dan deskripsi tujuannya (ditampilkan di analisis data dapat digunakan untuk membantu pengujian audit ini?
sebelah kanan). Cocokkan setiap badan pengaturan standar dengan
tujuannya. 58 (SO 11) Untuk mempertahankan auditor
independensi, Sarbanes-Oxley Act of 2002
I. PCAOB Sebuah. Didirikan oleh AICPA untuk
membatasi jenis layanan nonaudit itu
menerbitkan SAS
auditor dapat melakukan untuk klien audit perusahaan publik
II. ASB b. Menerbitkan ISAS untuk memberikan pedoman mereka. Daftar tersebut mencakup sembilan jenis layanan yang
untuk audit TI dilarang karena dianggap mengganggu independensi auditor.
AKU AKU AKU. IAASB c. Didirikan oleh Sarbanes – Oxley Act of Yang termasuk dalam daftar adalah sebagai berikut:
2002 untuk menetapkan audit
pedoman untuk perusahaan publik • Desain dan implementasi sistem
IV. ISACA informasi keuangan
dan auditornya
d. Masalah ISA untuk mempromosikan • Pengalihdayaan audit internal
keseragaman praktik audit di seluruh dunia Jelaskan bagaimana independensi auditor dapat dirusak jika
dia melakukan fungsi desain dan implementasi TI untuk klien
56 (SO 8) Identifikasi apakah setiap pengujian audit berikut auditnya. Demikian pula, bagaimana keterlibatan auditor
digunakan untuk mengevaluasi kontrol akses internal (I), dengan outsourcing audit internal dapat mengganggu
kontrol akses eksternal (E), atau keduanya (B): independensinya sehubungan dengan mengaudit
• Tes keaslian perusahaan yang sama?
• Tes penetrasi 59 (SO 2) Kunjungi situs web AICPA di www.aicpa.org dan
• Penilaian kerentanan pilih tab untuk Jalur Karir. Klik "Cara Ini Menuju CPA"
• Review log akses untuk mencari informasi tentang karir audit.
• Review kebijakan tentang penerbitan kata
sandi dan token keamanan 60 (SO 4 dan 9) Kunjungi situs ISACA di www.isaca.org dan
klik tab Pusat Pengetahuan, lalu pilih ITAF (Kerangka
57 (SO 9) Lihat kutipan program audit hutang wesel bayar Kerja Jaminan Teknologi Informasi) dan klik tab
yang disajikan dalam Exhibit 7‑3. Jika auditor punya Dasar-Dasar Audit TI untuk menemukan artikel yang
salinan file data klien ini untuk wesel tagihnya, mencakup topik mengenai proses audit. Menemukan
248 Bab 7 Proses Audit Berbasis Teknologi Informasi
artikel tentang setiap topik berikut dan menjawab Mulai dari titik mana pun dalam tabel, siapkan daftar
pertanyaan terkait: digit pertama volume harian untuk 100 saham.
Sebuah. Identifikasi dan jelaskan secara singkat empat kategori Tentukan apakah nomor yang terdaftar sesuai dengan
CAAT digunakan untuk mendukung audit TI. Hukum Benford.
b. Sebutkan tiga prosedur yang mungkin dilakukan 62 (SO 12) Lakukan pencarian di Internet untuk
Auditor TI yang mengevaluasi kontrol yang berkaitan menentukan sifat dari skema penipuan manajemen
dengan pencadangan dan pemulihan data klien. Xerox Corporation dan untuk mengetahui apa yang
terjadi pada perusahaan setelah masalah ditemukan.
61 ( SO 8) Cari tabel stok untuk dua saham utama
pertukaran dalam masalah apa pun dari Wall Street Journal.
Kasus
63 Kyle Sanders sedang mengaudit laporan keuangan diharapkan. Auditor yang melakukan fase perencanaan
Industri Grosir Dunia ketika dia dihadapkan pada situasi dan pengujian sekarang telah ditugaskan ke
yang aneh. Seorang anggota tim manajemen puncak keterlibatan klien lain, jadi McGuire dipanggil untuk
Dunia mendekatinya dengan catatan anonim yang telah melakukan fase penyelesaian / pelaporan.
diambil dari kotak saran perusahaan. Catatan tersebut Dalam membahas rincian perikatan audit dengan
menuduh karyawan yang tidak disebutkan namanya di tim audit asli, McGuire mengetahui bahwa tim asli
departemen TI Dunia mengubah database hutang dengan mengharapkan opini audit tanpa pengecualian akan
memasukkan transaksi palsu yang melibatkan vendor dikeluarkan. Harapan tersebut didasarkan pada
fiktif. Pembayaran yang dilakukan kepada vendor fiktif ini luasnya bukti audit yang terkumpul sehingga
dicegat dan diuangkan oleh penipu tersebut. menimbulkan keyakinan bahwa laporan keuangan
telah disajikan secara wajar sesuai dengan SAK.
Yg dibutuhkan:
Harold Stebbins, CFO Kraft, tidak senang dengan
perubahan personel audit. Dia mengancam akan
Sebuah. Pengujian pengendalian mana yang akan efektif
menolak memberikan surat perwakilan.
membantu Sanders menentukan apakah basis data
Yg dibutuhkan:
vendor Dunia rentan terhadap penipuan?
Sebuah. Apakah pantas bagi McGuire untuk membuka kembali
b. Apa teknik audit berbantuan komputer nantinya
efektif dalam membantu Sanders menentukan apakah fase pengujian audit untuk memperluas prosedur,
database vendor Dunia benar-benar telah dipalsukan? mengingat kurangnya bukti representatif dari
manajemen? Mengapa atau mengapa tidak?
64 Ryan McGuire adalah auditor di firma CPA besar. McGuire b. Akankah firma McGuire masih bisa mengeluarkan unquali‑
baru-baru ini ditugaskan untuk melakukan audit laporan laporan audit gagal jika tidak menerima surat representasi?
keuangan Kraft Brewery, Inc., sebuah tempat pembuatan bir Teliti kata-kata standar untuk dimasukkan dalam laporan
dan distributor makanan khusus Jerman. Perusahaan McGuire audit yang tidak memenuhi syarat, serta kata-kata tipikal
mengaudit Kraft untuk pertama kalinya. Audit hampir selesai, yang disertakan dalam surat representasi klien. Dasarkan
tetapi membutuhkan lebih banyak waktu daripada jawaban Anda pada temuan Anda.
tiga kategori GAAS adalah standar umum, standar menentukan apakah pengendalian internal
kerja lapangan, dan standar pelaporan. berfungsi sesuai dengan maksud manajemen.
5 (CPA Diadaptasi) (SO 4) b. “Pengukuran kualitas perilaku 14 (CPA Adapted, CIA Adapted) (SO 8) Teknik audit berbantuan
auditor dalam melaksanakan tanggung jawab profesional” paling komputer yang memproses data input klien aktual (atau
tepat menggambarkan apa yang dimaksud dengan istilah salinan data nyata) pada program terkontrol di bawah
"standar audit yang diterima secara umum". kendali auditor untuk secara berkala menguji kontrol
6 (CPA Adapted) (SO 4) Dalam audit laporan keuangan sesuai dalam sistem komputer klien adalah d. simulasi paralel. Setiap
dengan standar auditing yang berlaku umum, auditor tanggapan lainnya melibatkan penggunaan sistem
diharuskan untuk Sebuah. mendokumentasikan komputer perusahaan klien.
pemahaman auditor tentang pengendalian internal 15 (CPA Adapted) (SO 8) Teknik audit berbantuan
perusahaan klien. Masing-masing respons lain berkaitan komputer yang memungkinkan transaksi fiktif dan
dengan pengujian pengendalian, yang diperlukan hanya jika nyata diproses bersama-sama tanpa personel klien
auditor berencana untuk mengandalkan efektivitas menyadari proses pengujian.
pengendalian internal. c. fasilitas pengujian terintegrasi.
7 (CPA Adapted) (SO 5) Auditor harus merancang program 16 (SO 8) Kontrol umum untuk menguji akses eksternal ke
audit tertulis sehingga c. prosedur tersebut akan mencapai sistem komputerisasi klien adalah Sebuah. tes penetrasi. Jawaban
tujuan audit khusus yang terkait dengan asersi b., C., Dan d. adalah kontrol aplikasi.
manajemen tertentu. 17 (SO 8 dan 9) Selama fase perencanaan audit, auditor
8 (SO 5) Tujuan audit yang berkaitan dengan asersi menentukan bahwa kelemahan ada dalam sistem
keberadaan manajemen adalah bahwa b. transaksi komputerisasi klien. Kelemahan ini membuat
benar-benar terjadi (yaitu nyata). Menjawab perusahaan klien rentan terhadap risiko pembobolan
Sebuah. terkait dengan cutoff; jawaban c. terkait dengan presentasi yang tidak sah. Jenis prosedur audit yang harus
dan pengungkapan; jawaban d. berkaitan dengan penilaian. ditekankan pada tahap-tahap selanjutnya dari audit ini
9 (SO 6) Pernyataan tentang program audit yang benar adalah c. tes substantif. Jawaban a., B., Dan
d. masing-masing berkaitan dengan pengujian pengendalian, yang harus
adalah itu d. program audit menetapkan tanggung
dilakukan hanya jika pengendalian yang baik telah ditemukan pada
jawab untuk setiap pengujian audit dengan meminta
tempatnya. Pengujian pengendalian yang lemah atau tidak efektif tidak
tanda tangan atau inisial auditor yang melaksanakan
bermanfaat, karena tujuan pengujian pengendalian adalah untuk
pengujian tersebut. Jawaban a. tidak benar karena
membuktikan kegunaan pengendalian sebagai dasar untuk mengurangi
program audit perlu dikembangkan untuk menangani sifat
pengujian substantif.
unik setiap perusahaan klien. Jawaban b. dan C. tidak benar
karena klien, termasuk auditor internalnya, tidak boleh 18 (CIA Adapted) (SO 9) Perangkat lunak audit yang digeneralisasi dapat
terlibat dalam pengembangan atau penyelesaian program digunakan untuk Sebuah. memeriksa konsistensi data yang disimpan
audit; melainkan, audit adalah tanggung jawab auditor pada file komputer. Tanggapan ini berlaku untuk penggunaan
independen. perangkat lunak audit umum untuk melakukan perbandingan. Tak satu
11 (CPA Adapted) (SO 6) Prosedur audit yang paling mungkin aktif terlibat dalam setiap tugas yang diberikan kecuali Sebuah.
dilakukan selama tahap perencanaan audit adalah untuk Sebuah. persiapan laporan keuangan klien dan catatan yang
memperoleh pemahaman tentang proses penilaian menyertainya. Auditor akan ditempatkan dalam posisi
risiko klien. Respon b. dilakukan selama pengujian mengaudit pekerjaan mereka sendiri jika mereka menyiapkan
d. dilakukan sebagai bagian dari pengujian substantif. 20 (CMA Adapted) (SO 12) Atribut yang paling mungkin unik
12 (CIA Adapted) (SO 7) Kerugian yang paling signifikan untuk pekerjaan audit CPA, dibandingkan dengan
dari audit di sekitar komputer daripada melalui pekerjaan yang dilakukan oleh pengacara atau praktisi dari
komputer adalah bahwa c. sebagian dari jejak audit profesi bisnis lain, adalah c. Kemerdekaan. Kebanyakan
tidak diuji. Tiga tanggapan lainnya masing-masing akan profesional lain adalah pembela klien mereka, sedangkan
dianggap sebagai kerugian dari audit melalui auditor harus independen sehubungan dengan klien audit
komputer. mereka.
13 (CMA Adapted) (SO 8) Tujuan utama dari pengujian kepatuhan 21 (SO 4 dan 12) Istilah yang tidak terkait dengan persyaratan
dalam audit laporan keuangan adalah untuk menentukan auditor untuk menjaga independensi adalah
apakah c. pengendalian internal berfungsi seperti yang d. Kompetensi. Kompetensi berkaitan dengan standar umum
dirancang. Pengujian kepatuhan adalah istilah lain untuk pertama dalam GAAS; masing-masing jawaban lainnya
pengujian pengendalian, yang tujuannya adalah untuk berhubungan dengan kemandirian (standar umum kedua).