Bahasa Indo Bab 7

BAB 7
Informasi Audit
Proses Berbasis Teknologi
Pengauditan proses berbasis teknologi informasi menjadi fokus bab

TUJUAN BELAJAR ini. Contoh Dunia Nyata di halaman berikutnya akan membantu Anda
Bab ini akan membantu Anda memahami konteks dari banyak konsep yang termasuk dalam bab ini.
memahami konsep-konsep Silakan baca contoh Dunia Nyata untuk mulai membaca dan
berikut: mempelajari bab ini dengan efektif.
1. Pengantar audit
Proses TI
2. Berbagai jenis audit Pengantar Audit Proses TI
dan auditor (Tujuan Studi 1)
3. Risiko informasi dan IT ditingkatkan
pengendalian internal Hampir semua organisasi bisnis mengandalkan sistem
terkomputerisasi untuk membantu dalam fungsi akuntansi.
4. Literatur otoritatif digunakan
Kemajuan teknologi telah mengubah dunia bisnis dengan
dalam audit
menyediakan cara baru bagi perusahaan untuk berbisnis dan
5. Pernyataan manajemen digunakan
menyimpan catatan. Ledakan perkembangan teknologi telah
dalam proses audit dan tujuan meningkatkan jumlah informasi yang tersedia. Manajer bisnis,
audit terkait investor, kreditor, dan agensi pemerintah seringkali memiliki
6. Tahapan audit TI banyak sekali data untuk digunakan saat membuat keputusan
7. Penggunaan komputer dalam audit bisnis yang penting. Demikian pula, profesi akuntansi sedang
mengalami perubahan yang belum pernah terjadi sebelumnya
8. Tes kontrol
sebagai akibat dari ledakan data yang tersedia, kerumitan
9. Tes transaksi dan tes data, dan perangkat teknologi baru. Namun, akuntan
saldo seringkali ditantang untuk memverifikasi keakuratan dan
10. Penyelesaian / pelaporan audit kelengkapan informasi.
11. Pertimbangan audit lainnya Akuntan memiliki peran penting dalam dunia bisnis
12. Masalah etika terkait dengan audit
karena terpanggil untuk meningkatkan kualitas informasi
yang diberikan kepada pengambil keputusan. Layanan
akuntansi yang meningkatkan kualitas informasi disebut
layanan jaminan. Banyak jenis layanan yang dilakukan oleh
akuntan dianggap sebagai jasa jaminan karena mereka memberikan kredibilitas pada
informasi keuangan yang mendasarinya. Audit adalah jenis layanan jaminan yang paling
umum.
212
Jenis Audit dan Auditor (Tujuan Studi 2) 213
Dunia nyata
memperhatikan. Faktanya, JCPenney telah
menerapkan sistem kartu skor pemasok, sejenis audit
vendor di mana perusahaan yang berbisnis dengan
JCPenney dievaluasi berdasarkan kualitas layanan
yang diberikan. Sistem ini mengungkap beberapa
pelanggaran signifikan dalam proses bisnis Aurafin,
termasuk kontrol yang lemah. dan sistem komputer
yang tidak memadai.
Aurafin mengambil tindakan cepat, menjalani audit
© Medini / iStockphoto
TI menyeluruh yang mengidentifikasi penyebab
spesifik dari kegagalannya.Aurafin bertindak cepat
Merek Aurafin terkenal di industri perhiasan berdasarkan rekomendasi auditornya dan
sebagai pemimpin mode dalam emas murni. menerapkan platform teknologi yang lebih andal yang
Dimiliki oleh Richline Group, Inc., anak perusahaan memberdayakannya untuk menerapkan berbagai
Berkshire Hathaway, Inc., merek ini dijual oleh teknik audit dan kontrol baru dan untuk
raksasa ritel seperti JCPenney, Macy's dan banyak menyelaraskan sistemnya dengan tujuan
jaringan televisi dan online. Namun, Aurafin telah bisnisnya.Aurafin memuji proses audit tersebut atas
mengatasi tantangan signifikan dalam menjaga keberhasilan barunya, termasuk pengakuannya
hubungan dengan pelanggannya. Beberapa tahun sebagai “Vendor of theYear” JCPenney. Bab ini
lalu, Aurafin mengalami kendala yang cukup parah berfokus pada berbagai aspek audit TI, serta teknik
pada pemenuhan dan pengiriman transaksi yang akuntan untuk mengevaluasi Proses TI, dan
diambil oleh pelanggannya kepentingannya dalam proses bisnis.
Jenis Audit dan Auditor (Tujuan

Studi 2)
Audit adalah jenis layanan asurans yang melibatkan pengumpulan dan analisis dukungan
untuk informasi yang diberikan oleh orang lain. Tujuan utama audit adalah untuk
meyakinkan pengguna informasi keuangan tentang keakuratan dan kelengkapan
informasi. Untuk melaksanakan audit, akuntan mengumpulkan dan mengevaluasi bukti
prosedur, transaksi, dan / atau saldo akun dan membandingkan informasi dengan kriteria
yang telah ditetapkan. Tiga jenis utama audit meliputi audit kepatuhan, audit operasional,
dan audit laporan keuangan. Meskipun semua audit melibatkan penyelidikan atas
informasi pendukung, setiap jenis audit memiliki tujuan yang berbeda.
• Audit kepatuhan menentukan apakah perusahaan telah mematuhi peraturan dan

kebijakan yang ditetapkan oleh perjanjian kontrak, instansi pemerintah, manajemen
perusahaan, atau otoritas tinggi lainnya.
• Audit operasional menilai kebijakan dan prosedur operasi untuk efisiensi dan
efektivitas.
• Audit laporan keuangan menentukan apakah perusahaan telah menyusun dan
menyajikan laporan keuangan secara wajar, dan sesuai dengan kriteria akuntansi
keuangan yang telah ditetapkan.
Audit biasanya dilakukan oleh akuntan yang memiliki pengetahuan tentang kriteria
yang ditetapkan. Misalnya, audit laporan keuangan dilakukan oleh akuntan publik
bersertifikat (CPA) yang memiliki pengetahuan luas tentang prinsip akuntansi yang
diterima secara umum (GAAP) di Amerika Serikat dan / atau Keuangan Internasional
214 Bab 7 Proses Audit Berbasis Teknologi Informasi
Standar Pelaporan (IFRS). Ada berbagai jenis spesialisasi audit yang ada dalam praktik
bisnis saat ini, termasuk auditor internal, auditor TI, auditor pemerintah, dan perusahaan
CPA. Sebuah auditor internal adalah karyawan perusahaan yang diaudit. Sebagian besar
perusahaan besar memiliki staf auditor internal yang menjalankan fungsi kepatuhan,
operasional, dan audit keuangan atas permintaan manajemen. Beberapa auditor internal
memperoleh sertifikasi khusus sebagai auditor internal bersertifikat (CIA).
Auditor TI berspesialisasi dalam jaminan, kontrol, dan keamanan sistem informasi, dan mereka dapat
bekerja untuk perusahaan CPA, lembaga pemerintah, atau dengan grup audit internal untuk semua
jenis organisasi bisnis. Beberapa auditor TI mencapai sertifikasi khusus sebagai auditor sistem
informasi bersertifikat (CISA). Auditor pemerintah melakukan audit terhadap instansi pemerintah
atau SPT pajak pendapatan. Perusahaan CPA mewakili kepentingan publik dengan melakukan audit
independen terhadap berbagai jenis organisasi bisnis.
Setiap jenis auditor dapat melakukan salah satu dari tiga jenis audit yang dijelaskan
sebelumnya. Namun, hanya perusahaan CPA yang dapat melakukan audit laporan keuangan
perusahaan yang sahamnya dijual di pasar publik seperti Bursa Efek New York. Persyaratan
penting bagi perusahaan CPA adalah bahwa mereka harus netral sehubungan dengan
perusahaan yang diaudit. Persyaratan netralitas ini memungkinkan perusahaan CPA untuk
memberikan opini yang sepenuhnya tidak bias atas informasi yang diauditnya, dan ini
merupakan dasar dari audit eksternal yang dilakukan oleh CPA. Sebuah audit eksternal dilakukan
oleh auditor independen yang objektif dan netral terhadap perusahaan dan informasi yang
diaudit. Untuk menjaga netralitas mereka, firma CPA dan masing-masing CPA umumnya
dilarang memiliki hubungan keuangan atau manajerial dengan perusahaan klien dan memiliki
hubungan pribadi dengan mereka yang bekerja untuk perusahaan klien. Objektivitas CPA dapat
terganggu dengan memiliki jenis hubungan ini dengan perusahaan klien atau dengan siapa
pun yang memiliki kemampuan untuk memengaruhi keputusan dan aktivitas pelaporan
keuangan klien.
Contoh Ford mengilustrasikan pentingnya praktik audit internal yang obyektif dan
rajin serta kaitannya yang kuat dengan fungsi keuangan dan teknologi.
Dunia nyata
Manajemen puncak di Ford Motor Co. bangga keuangan perusahaan dan fungsi TI, yang melayani departemen
dengan fakta bahwa Ford adalah satu-satunya audit internal selama dua hingga tiga tahun sebelum kembali ke
produsen mobil AS yang berhasil melewati hari-hari area fungsional sebelumnya atau berbeda. Hal ini
tergelap resesi ekonomi (antara 2008 dan 2010) memungkinkan personel Ford memperoleh eksposur
tanpa bantuan pemerintah. sejarah panjang yang perusahaan yang luas dan untuk mengembangkan keterampilan
berfokus pada proses dan kontrol keuangan, dan risiko, kontrol, dan kepatuhan yang kuat untuk diambil bersama.
kemampuannya untuk mengubah prosesnya di mereka ke berbagai area di mana mereka akan bekerja setelah
bawah tekanan risiko tinggi atau persyaratan menjalankan tugas audit internal. Ini juga membantu
kepatuhan baru. Elemen kunci dalam proses ini mempromosikan pentingnya fungsi audit internal di seluruh
adalah suksesi rotasi dan rencana pengembangan organisasi. Dengan merencanakan suksesi secara hati-hati
yang digunakan untuk mengisi staf tim audit internal sehingga tidak ada auditor baru yang akan mengaudit fungsi
Ford. Berdasarkan model ini, departemen audit mereka sebelumnya setidaknya selama 12 bulan, rencana Ford
internal terdiri dari para profesional berpengalaman memastikan bahwa auditor internal mempertahankan
yang bergilir dari objektivitas tingkat tinggi.
Setiap audit dapat dipengaruhi oleh jumlah dan jenis komputerisasi dan data yang
digunakan oleh perusahaan. Semua tipe auditor harus memiliki pengetahuan tentang
sistem berbasis teknologi dan teknik pengelolaan data agar dapat dengan baik
Risiko Informasi dan Pengendalian Internal yang Disempurnakan TI (Tujuan Studi 3) 215
mengaudit sistem TI. Sisa dari bab ini akan berkonsentrasi pada audit laporan keuangan
yang dilakukan oleh perusahaan CPA, karena ini adalah jenis layanan audit yang paling
umum digunakan di dunia bisnis modern. Namun, banyak topik yang berlaku untuk audit
laporan keuangan yang dilakukan oleh KAP juga berlaku untuk jenis audit lain yang
dilakukan oleh jenis auditor lainnya. Auditor internal perusahaan juga dapat membantu
dalam pelaksanaan audit laporan keuangan, tetapi hanya CPA independen yang dapat
mengeluarkan opini atas penyajian laporan keuangan secara keseluruhan secara wajar.
Melakukan audit laporan keuangan adalah layanan utama perusahaan CPA, dan
mereka mencurahkan sebagian besar waktu untuk audit ini. Karena banyak perusahaan
mengelola volume data yang besar dan menggunakan sistem akuntansi TI yang canggih
untuk menyiapkan laporan keuangan, semakin penting bagi auditor untuk meningkatkan
kualitas layanan mereka dalam mengaudit sistem tersebut. Audit TI adalah bagian dari
audit laporan keuangan yang mengevaluasi sistem informasi akuntansi terkomputerisasi
perusahaan. Karena proses TI biasanya merupakan faktor utama dalam audit laporan
keuangan, auditor harus memperoleh pemahaman yang cukup tentang karakteristik
sistem TI perusahaan. Sangat penting bagi auditor untuk memahami dampak TI pada
sistem akuntansi dan pengendalian internal perusahaan.
Seperti disebutkan sebelumnya, audit laporan keuangan dilakukan untuk menyatakan opini
atas penyajian laporan keuangan secara wajar. Ini adalah tujuan utama dari audit laporan
keuangan, dan tujuan ini tidak dipengaruhi oleh ada atau tidaknya sistem akuntansi TI. Namun,
penggunaan komputer dapat secara signifikan mengubah cara perusahaan memproses dan
mengkomunikasikan informasi, dan dapat mempengaruhi pengendalian internal yang
mendasarinya. Oleh karena itu, lingkungan TI memainkan peran kunci dalam bagaimana
auditor melakukan pekerjaan mereka di bidang-bidang berikut:
• Pertimbangan risiko
• Prosedur audit yang digunakan untuk memperoleh pengetahuan tentang akuntansi dan sistem
pengendalian internal
• Desain dan kinerja tes audit
Risiko Informasi dan Pengendalian Internal yang

Disempurnakan TI (Tujuan Studi 3)
Ketika lingkungan bisnis menjadi lebih kompleks, kemungkinan menerima informasi yang tidak dapat
diandalkan meningkat. Resiko informasi adalah kemungkinan informasi yang digunakan oleh
pembuat keputusan mungkin tidak akurat. Berikut adalah beberapa penyebab risiko informasi:
• Keterpencilan informasi. Para pembuat keputusan biasanya dipaksa untuk bergantung

pada pihak lain untuk mendapatkan informasi. Ketika sumber informasi dihapus dari
pembuat keputusan, informasi tersebut memiliki peluang lebih besar untuk salah saji.
Seorang pengambil keputusan mungkin menjadi terlepas dari sumber informasi penting
karena jarak geografis, lapisan organisasi, atau faktor lain yang sering dikaitkan dengan
pertumbuhan perusahaan.
• Volume dan kompleksitas data yang mendasarinya. Seiring dengan pertumbuhan bisnis, volume
dan kompleksitas transaksinya meningkat, yang dapat mengakibatkan informasi yang
berlebihan. Hal ini cenderung meningkatkan kemungkinan adanya informasi yang salah saji
tanpa terdeteksi.
• Motif pembuatnya. Mereka yang menyiapkan informasi mungkin memiliki tujuan yang
berbeda dari pembuat keputusan. Akibatnya, informasi mungkin miring untuk
mendukung sudut pandang atau insentif tertentu, yang berdampak pada kegunaan
penyajian dan pengambilan keputusan.
Cara paling umum bagi pengambil keputusan untuk mengurangi risiko informasi adalah
dengan mengandalkan informasi yang telah diaudit oleh pihak independen. Karena pengguna
informasi umumnya tidak memiliki waktu atau kemampuan untuk memverifikasi informasi
untuk diri mereka sendiri, mereka bergantung pada auditor untuk penilaian yang akurat dan
tidak bias. Bahkan jika pembuat keputusan ingin memverifikasi informasi, mungkin sulit untuk
melakukannya ketika informasi keuangan terdiri dari data tidak terstruktur atau Big Data, dan
disimpan dalam sistem akuntansi terkomputerisasi atau di cloud. Ini adalah alasan utama
bahwa diskusi tentang pemrosesan berbasis informasi dan fungsi audit terkait dimasukkan
dalam studi sistem informasi akuntansi.
Berbagai risiko diciptakan dengan adanya proses bisnis berbasis IT. Misalnya, karena rincian transaksi
sering kali dimasukkan langsung ke dalam sistem komputer, mungkin tidak ada dokumentasi kertas yang
disimpan untuk mendukung transaksi. Ini sering disebut sebagai file hilangnya visibilitas jejak audit karena
kurangnya bukti fisik untuk dilihat secara kasat mata. Ada juga kemungkinan yang lebih besar bahwa data
mungkin hilang atau diubah karena kegagalan sistem, kehancuran database, akses yang tidak sah, atau
kerusakan lingkungan. Selain itu, sistem TI melakukan banyak tugas yang sebelumnya dilakukan secara
manual oleh manusia. Karena sistem TI, daripada manusia, melakukan tugas-tugas ini, ada peningkatan
risiko pengendalian internal, seperti kurangnya tugas terpisah dan lebih sedikit peluang untuk mengotorisasi
dan meninjau transaksi.
Terlepas dari risiko, ada keuntungan penting menggunakan sistem berbasis TI.
Pengendalian internal sebenarnya dapat ditingkatkan jika penerapan sistem ini dilakukan
dengan hati-hati. Kontrol komputer dapat mengimbangi kurangnya kontrol manual. Selain
itu, jika program diuji dengan benar sebelum diaktifkan, risiko kesalahan manusia (seperti
kesalahan matematis dan / atau klasifikasi) secara virtual dihilangkan karena komputer
memproses semua informasi secara konsisten.
Selain peningkatan pengendalian internal, proses berbasis TI memberikan informasi
berkualitas lebih tinggi kepada manajemen. Informasi lebih berkualitas jika disediakan pada
waktu yang tepat dan dikelola secara efektif. Ketika informasi berkualitas tinggi digunakan
untuk membuat keputusan, hasilnya adalah manajemen yang lebih efektif.
Literatur Otoritatif yang Digunakan dalam

Auditing (Tujuan Studi 4)
Pekerjaan auditor harus dilakukan sesuai dengan beberapa sumber literatur
otoritatif, seperti yang dijelaskan selanjutnya.
Standar audit yang diterima secara umum (GAAS) adalah pedoman luas untuk
tanggung jawab profesional auditor. Sepuluh standar ini dibagi menjadi 3 kategori
yang mencakup kualifikasi umum dan perilaku auditor (standar umum), pedoman
untuk melaksanakan audit (standar kerja lapangan), dan persyaratan untuk laporan
tertulis yang mengkomunikasikan hasil audit (standar pelaporan) . Tampilan 7‑1
merangkum standar ini berdasarkan kategori.
GAAS memberikan kerangka umum untuk melakukan audit kualitas, tetapi kerangka kerja ini
tidak cukup spesifik untuk memberikan panduan yang berguna dalam kinerja aktual perikatan
audit. Untuk panduan terperinci tersebut, auditor mengandalkan standar yang dikeluarkan oleh
berbagai badan pengatur dan asosiasi profesional, sebagai berikut:
• Itu Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB) diselenggarakan pada

tahun 2003 dengan tujuan menetapkan standar audit untuk perusahaan publik di
Amerika Serikat. Standar ini berfungsi sebagai interpretasi dari GAAS dan pedoman
untuk pengendalian kualitas dalam perusahaan CPA. PCAOB didirikan oleh Sarbanes
– Oxley Act, yang dibentuk sebagai tanggapan atas beberapa jurusan
Literatur Otoritatif yang Digunakan dalam Auditing (Tujuan Studi 4) 217
PAMERAN 7-1
Standar Audit yang Diterima Secara Umum

Standar Umum Standar Kerja Lapangan Standar Pelaporan
1. Audit harus dilakukan 1. Auditnya harus memadai 1. Laporan tertulis harus menyatakan apakah
oleh seseorang atau beberapa orang yang direncanakan dan diawasi. laporan keuangan disajikan sesuai
memiliki pelatihan teknis yang memadai 2. Pemahaman internal dengan
dan kemahiran sebagai auditor. pengendalian harus diperoleh sebagai kriteria yang ditetapkan.
2. Kemandirian mental bagian dari proses perencanaan 2. Laporan tertulis mengidentifikasi setiap
sikap harus dipertahankan dalam untuk tujuan menentukan sifat, keadaan di mana prinsip-prinsip yang
semua hal yang berkaitan dengan waktu, dan luas pengujian yang akan ditetapkan belum diterapkan secara
perikatan audit. dilakukan. konsisten pada periode saat ini sehubungan
3. Perawatan profesional harus dilakukan 3. Bukti harus diperoleh melalui dengan periode sebelumnya.
dilakukan di semua fase inspeksi, pertanyaan, observasi, 3. Laporan keuangan diasumsikan
proses audit. dan konfirmasi dalam rangka untuk memuat pengungkapan informatif
memberikan dasar yang wajar untuk yang memadai kecuali dinyatakan lain dalam
membentuk opini audit secara laporan tertulis.
keseluruhan. 4. Laporan tertulis mengungkapkan pendapat
tentang keadilan finansial
pernyataan secara keseluruhan, atau pernyataan
yang menyatakan bahwa pendapat tidak dapat
diungkapkan (dan alasannya). Laporan tersebut juga
menjelaskan karakter pekerjaan auditor dan tingkat
tanggung jawab yang diemban oleh auditor.
skandal akuntansi perusahaan, termasuk yang mempengaruhi Enron, WorldCom,

dan lainnya.
• Itu Badan Standar Audit (ASB) dari American Institute of CPA (AICPA) adalah badan
pengaturan standar utama sebelum PCAOB. ASB telah mengeluarkan Pernyataan
tentang Standar Audit ( Kelancangan) yang secara historis telah digunakan secara
luas dalam praktik dan akan terus menjadi standar yang berlaku untuk perusahaan
non-publik.
• Itu Badan Standar Audit dan Jaminan Internasional (IAASB) didirikan oleh
Federasi Akuntan Internasional (IFAC) untuk menetapkan Standar Internasional
tentang Audit (ISA) yang berkontribusi pada penerapan seragam praktik audit di
seluruh dunia. ISA mirip dengan SAS; namun, ISA cenderung memperpanjang
SAS karena kegunaannya dalam audit perusahaan multinasional. Meskipun
auditor memiliki tanggung jawab utama untuk mematuhi standar yang
dikeluarkan di negara mereka sendiri, SPA berguna dalam memperluas
persyaratan tersebut untuk memenuhi kebutuhan yang berbeda di negara lain
di mana informasi yang diaudit juga dapat digunakan.
• Itu Dewan Standar Audit Internal (IASB) didirikan oleh Institute of Internal
Auditor (IIA) untuk menerbitkan standar yang berkaitan dengan atribut kegiatan
audit internal, kriteria kinerja, dan pedoman pelaksanaan.
• Itu Asosiasi Audit dan Kontrol Sistem Informasi (ISACA) menerbitkan Standar
Audit Sistem Informasi (ISAS) yang memberikan pedoman untuk melakukan
audit TI. Standar ini menangani masalah audit yang unik untuk lingkungan
sistem informasi perusahaan, termasuk masalah kontrol dan keamanan.
Meskipun SAS, ISA, dan ISAS memberikan panduan yang lebih rinci daripada yang
disediakan oleh GAAS, mereka tetap tidak memberikan arahan khusus kepada auditor terkait
jenis pengujian audit yang akan digunakan dan perencanaan pengambilan kesimpulan.
Auditor harus menggunakan pedoman industri, jurnal profesional, buku teks, dan sumber
lain untuk tujuan tersebut. Banyak KAP dan grup audit internal mengembangkan
kebijakan dan prosedur khusus mereka sendiri untuk merancang dan melaksanakan
penugasan audit yang efektif. Namun, audit individual harus disesuaikan untuk
diterapkan pada lingkungan spesifik setiap perusahaan atau setiap unit bisnis yang
diaudit. Oleh karena itu, auditor harus melakukan pertimbangan profesional yang cukup
dalam melakukan audit.
Asersi Manajemen dan Tujuan Audit

(Tujuan Studi 5)
Tanggung jawab untuk operasi, kepatuhan, dan pelaporan keuangan terletak pada
manajemen perusahaan. Berbagai laporan perusahaan diasumsikan mewakili
serangkaian pernyataan manajemen. Pernyataan manajemen adalah klaim mengenai
kondisi organisasi bisnis dalam hal operasi, hasil keuangan, dan kepatuhan terhadap
hukum dan peraturan. Peran auditor adalah menganalisis fakta yang mendasari untuk
memutuskan apakah informasi yang diberikan oleh manajemen disajikan secara wajar.
Auditor merancang pengujian audit untuk menganalisis informasi guna menentukan
apakah asersi manajemen valid. Untuk mencapai hal ini, pengujian audit dibuat untuk
menangani tujuan audit yang terkait dengan asersi manajemen. Exhibit 7‑2 merangkum
hubungan antara asersi manajemen dan tujuan audit untuk audit laporan keuangan.
Tujuan audit yang dijelaskan dalam Tampilan 7‑2 dapat diterapkan pada kategori
transaksi apa pun dan saldo akun terkait. Auditor merancang tes khusus untuk memenuhi
tujuan ini di setiap area audit. Misalnya, auditor akan mengembangkan tes untuk
menentukan apakah perusahaan telah memperhitungkan pinjamannya dengan benar
PAMERAN 7-2
Asersi Manajemen dan Tujuan Audit Terkait

Pernyataan Manajemen Tujuan Audit
Eksistensi / Kejadian Tentukan bahwa transaksi, peristiwa, dan saldo akun terkait yang tercatat adalah nyata dan
telah diotorisasi dengan benar.
Penilaian dan Alokasi Tentukan bahwa transaksi yang dicatat dan saldo akun terkait adalah
• Akurat dalam hal jumlah dan kuantitas dolar, dan setiap penyesuaian alokasi
terkait dicatat dengan benar
• Didukung oleh bukti rinci

• Diringkas dengan benar dan diposting ke buku besar
• Direkam pada perkiraan nilai realisasi
Memotong Tentukan bahwa transaksi dan peristiwa yang dicatat telah dicatat dalam periode waktu yang
tepat.
Kelengkapan Tentukan bahwa semua transaksi yang ada dan saldo akun terkait dicatat —
yaitu, tidak ada yang dihilangkan.
Hak dan kewajiban Tentukan bahwa transaksi dan saldo akun aset terkait benar-benar dimiliki. Demikian pula,
tentukan bahwa saldo akun kewajiban mewakili kewajiban yang sebenarnya.
Klasifikasi dan Presentasi Tentukan bahwa transaksi yang dicatat dan saldo akun terkait dicatat dalam akun yang benar
dan semua pengungkapan yang diperlukan disajikan dengan benar dan dinyatakan dengan
jelas sehingga laporan keuangan dapat dimengerti.
Tahapan Audit TI (Tujuan Studi 6) 219
PAMERAN 7-3
Prosedur Audit Khusus Menjawab Tujuan dan Asersi Audit

Prosedur: Dilakukan oleh: Diperiksa oleh:
1. Dapatkan konfirmasi tertulis dari lembaga keuangan mengenai jumlah tersebut

pinjaman di akhir tahun. (Eksistensi, Kewajiban, Penilaian)
2. Dapatkan salinan dari setiap perjanjian pinjaman dan
• Catat tingkat suku bunga dan tanggal pembayaran bunga. Tentukan bahwa
beban bunga dan hutang bunga dicatat dalam jumlah yang tepat dan dalam
periode yang tepat. (Valuasi dan Alokasi, Cutoff)
• Catat tanggal pembayaran pokok. Tentukan bahwa klasifikasi saat ini

dan tidak saat ini dihitung dengan benar. (Klasifikasi)
• Catat adanya batasan yang diberlakukan pada perusahaan berdasarkan

perjanjian ini. Tentukan apakah perusahaan mematuhi semua
pembatasan tersebut. (Presentasi)
3. Periksa cek yang dibatalkan untuk setiap pembayaran pokok yang dilakukan selama
Titik. (Penilaian)
4. Tinjau risalah rapat dewan direksi untuk menentukan
apakah ada pengaturan pinjaman tambahan. (Kelengkapan)
5. Minta keterangan dari manajemen tentang adanya pinjaman tambahan
pengaturan. (Kelengkapan)
transaksi selama periode tersebut. Pengujian ini khusus untuk akun dan sistem informasi
yang diterapkan di perusahaan yang diaudit. Tes audit yang dikembangkan untuk klien
audit didokumentasikan dalam program audit. Exhibit 7‑3 menyajikan kutipan dari
program audit tipikal yang mencakup wesel bayar dan akun serta sistem informasi terkait.
Pernyataan manajemen terkait ditampilkan dalam tanda kurung.
Seperti yang ditunjukkan di Tampilan 7‑3, serangkaian uji audit unik menentukan apakah
setiap tujuan terpenuhi untuk setiap akun utama atau jenis transaksi. Sebagai contoh,
pengujian kelengkapan wesel bayar melibatkan penelaahan risalah rapat dewan untuk
menentukan apakah ada pengaturan pinjaman tambahan yang tidak dicatat. Sebaliknya, jika
auditor menguji tujuan kelengkapan yang terkait dengan piutang dan penjualan, pengujian
yang relevan adalah memeriksa laporan pengiriman dan menyelidiki apakah setiap transaksi
penjualan terkait telah dimasukkan dengan benar dalam catatan akuntansi. Dengan demikian,
pengujian audit untuk tujuan apa pun dapat melibatkan teknik pengujian yang beragam
dengan berbagai jenis informasi yang dikumpulkan untuk mendukung setiap akun dan
transaksi yang berbeda.
Auditor harus memikirkan tentang bagaimana fitur sistem TI perusahaan dan sejauh
mana data yang relevan memengaruhi asersi manajemen dan tujuan audit umum. Hal-hal
tersebut berdampak besar pada pemilihan metodologi audit yang digunakan. Bagian
selanjutnya menghubungkan pertimbangan TI ini dengan fase audit yang berbeda.
Tahapan Audit TI (Tujuan Studi 6)

Audit TI umumnya mengikuti pola yang sama seperti audit laporan keuangan pada umumnya.
Ada empat fase utama audit: perencanaan, pengujian pengendalian, pengujian substantif, dan
penyelesaian / pelaporan audit. Tampilan 7-4 memberikan gambaran tentang fase-fase ini.
Audit
Perencanaan
Apakah internal perusahaan Kontrol Tidak
kontrol dapat diandalkan? Penilaian
Iya
Luasnya prosedur tergantung

Pengujian Kontrol
pada hasil tahap perencanaan
Sifat dan tingkat prosedur

Substantif
tergantung pada hasil lainnya
Menguji
fase audit
Hasil Tidak Memperluas Iya

cukup? Menguji?
Iya
Tidak
Penyelesaian Audit /
PAMERAN 7-4 Peta Proses
Pelaporan
dari Fase Audit
Melalui setiap fase audit, bukti dikumpulkan untuk mendukung kesimpulan

yang dicapai oleh auditor. Bukti audit adalah bukti kewajaran informasi
keuangan. Teknik yang digunakan untuk mengumpulkan bukti meliputi:
• Secara fisik memeriksa atau memeriksa aset atau informasi pendukung
• Memperoleh konfirmasi tertulis dari sumber independen
• Melaksanakan tugas atau menghitung ulang informasi, baik secara manual maupun
elektronik
• Mengamati aktivitas
• Meminta keterangan dari personel perusahaan
• Menganalisis hubungan keuangan dan membuat perbandingan untuk menentukan
kewajaran
Berbagai tahapan audit biasanya mencakup kombinasi dari teknik-teknik ini.
Perencanaan Audit
Selama fase perencanaan audit, auditor harus mendapatkan pemahaman menyeluruh tentang
bisnis perusahaan dan sistem pelaporan keuangan. Dalam melakukannya, auditor meninjau
dan menilai risiko dan pengendalian yang terkait dengan bisnis, menetapkan pedoman
materialitas, dan mengembangkan pengujian yang relevan yang ditujukan untuk asersi dan
tujuan (disajikan sebelumnya). Peta proses dari tahap perencanaan audit disajikan pada
Tampilan 7‑5.
Tahapan Audit TI (Tujuan Studi 6) 221
Informasi tentang bisnis

perusahaan dan sistem akuntansi
Pahami dan
Dokumentasikan
Mayor Perusahaan
Proses bisnis
Tinjau Internal
Kontrol
Andalkan
Tidak
Intern
Kontrol?
Iya
Nilai Materialitas Nilai Materialitas

dan Resiko dan Resiko
Kembangkan Audit Kembangkan Audit

Pendekatan dengan Pendekatan dengan
Penekanan pada Penekanan pada
Pengujian Kontrol Pengujian Substantif
Jadwalkan Audit Jadwalkan Audit

dan Tetapkan Tim dan Tetapkan Tim
Lanjutkan ke
Lanjutkan ke Kontrol
Substantif
Tahap Pengujian
Tahap Pengujian PAMERAN 7-5 Peta Proses Tahap
Perencanaan Audit
Tugas menilai materialitas dan risiko audit sangat subjektif dan oleh karena itu biasanya
dilakukan oleh auditor berpengalaman. Dalam menentukan materialitas, audi‑ tor
memperkirakan jumlah moneter yang cukup besar untuk membuat perbedaan dalam
pengambilan keputusan. Perkiraan materialitas kemudian ditugaskan ke saldo akun sehingga
auditor dapat memutuskan berapa banyak bukti yang dibutuhkan. Transaksi dan saldo akun
yang sama atau lebih besar dari batas materialitas akan diuji dengan cermat. Hal-hal yang
berada di bawah batas materialitas sering dianggap tidak signifikan (jika kemungkinan tidak
akan memengaruhi pengambilan keputusan) dan oleh karena itu hanya menerima sedikit atau
tidak ada perhatian atas audit. Beberapa dari item dengan saldo tidak material ini masih dapat
diaudit, terutama jika dianggap sebagai area berisiko tinggi. Risiko mengacu pada
kemungkinan bahwa kesalahan atau penipuan dapat terjadi. Risiko dapat melekat dalam bisnis
perusahaan (karena hal-hal seperti sifat operasi, sifat data yang tersedia, ekonomi, atau strategi
manajemen), atau mungkin disebabkan oleh kontrol internal yang lemah. Auditor perlu
melakukan penilaian risiko untuk secara hati-hati mempertimbangkan risiko dan masalah yang
ditimbulkan yang mungkin rentan terhadap perusahaan. Akan selalu ada risiko bahwa
kesalahan atau kecurangan material mungkin tidak ditemukan dalam audit. Oleh karena itu,
setiap faktor risiko dan estimasi materialitas penting untuk dipertimbangkan dalam
menentukan sifat dan luas pengujian audit yang akan diterapkan.
Proses perencanaan audit kemungkinan besar akan sangat bervariasi tergantung pada luas
data yang digunakan oleh perusahaan. Saat perusahaan dan auditornya bergerak maju dalam
cara mereka mengidentifikasi risiko, mereka dapat menerapkan analitik Big Data untuk mencari
petunjuk di masa lalu tentang masa depan. Juga, perencanaan audit tergantung pada rezim
pelaporan keuangan perusahaan. Jika perusahaan telah mengadopsi Standar Pelaporan
Keuangan Internasional (IFRS) atau sedang dalam proses konvergensi, perubahan pendekatan
audit harus diantisipasi. Selain perubahan yang jelas dalam persyaratan pelaporan dan
modifikasi terkait sistem TI, banyak penerapan IFRS oleh perusahaan memerlukan transformasi
proses bisnis, kebijakan, dan kontrolnya. Selain itu, beradaptasi dengan ukuran nilai,
mengandalkan lebih banyak data eksternal, dan pemahaman asumsi kunci yang diperlukan
dalam penyusunan laporan keuangan berbasis IFRS kemungkinan akan menyebabkan
manajemen dan auditor mengevaluasi bukti pendukung secara berbeda dibandingkan jika US
GAAP digunakan. IFRS umumnya memungkinkan lebih banyak penggunaan pertimbangan
daripada pedoman berbasis aturan GAAP; dengan demikian, perubahan rezim akuntansi dapat
mengubah keputusan yang dibuat oleh manajer dan auditor.
Sebagian besar dari proses perencanaan audit adalah pengumpulan bukti
tentang pengendalian internal perusahaan. Auditor biasanya memperoleh
pemahaman tentang pengendalian internal dengan mewawancarai anggota
kunci manajemen dan staf TI. Mereka juga mengamati kebijakan dan prosedur
serta meninjau manual pengguna TI dan diagram alur sistem. Mereka kerap
menyiapkan narasi atau memo untuk merangkum hasil temuan mereka. Selain
itu, personel perusahaan mungkin diminta untuk mengisi kuesioner tentang
sistem akuntansi perusahaan, termasuk penerapan dan pengoperasian TI, jenis
perangkat keras dan perangkat lunak yang digunakan, dan pengendalian
sumber daya komputer. Pemahaman tentang pengendalian internal
memberikan dasar untuk merancang pengujian audit yang tepat untuk
digunakan dalam fase audit yang tersisa. Karena itu,
Proses evaluasi pengendalian internal dan perancangan pengujian audit yang berarti lebih
kompleks untuk sistem otomatis daripada untuk sistem manual. Hanya dengan menggunakan
mata manusia, auditor tidak dapat dengan mudah melihat kontrol yang merupakan bagian dari
sistem otomatis (komputer). Sebagai pengakuan atas fakta bahwa catatan dan file akuntansi
sering kali ada dalam bentuk kertas dan elektronik, standar audit membahas pentingnya
pemahaman baik prosedur otomatis maupun manual yang membentuk pengendalian internal
organisasi.
Selain sistem otomatisnya yang semakin kompleks, banyak organisasi bisnis
besar dan menengah menjadi lebih sulit untuk mengaudit karena banyaknya
data yang ada.
Penggunaan Komputer dalam Audit (Tujuan Studi 7) 223
transaksi dengan jaringan pihak eksternal yang meluas, menghasilkan surplus data yang
tersedia untuk diaudit. Namun setiap perusahaan berbeda dalam hal berbagai jenis data yang
digunakan untuk mendukung pengambilan keputusan dan bagaimana data tersebut dikelola.
Ketersediaan kumpulan Big Data dalam audit dapat mempersulit penilaian auditor, sehingga
sulit untuk menentukan sejauh mana data harus dianalisis. Namun auditor selalu diharuskan
untuk mempertimbangkan bagaimana salah saji dapat terjadi. Oleh karena itu, auditor harus
menyesuaikan ruang lingkup analisis datanya dengan berbagai ukuran dan sumber data yang
memengaruhi keputusan bisnis.
Terlepas dari volume dan kecepatan data yang mendasari, auditor perlu
memperoleh bukti sebagai berikut:
• Bagaimana data diambil dan digunakan
• Bagaimana entri jurnal standar dimulai, dicatat, dan diproses
• Bagaimana entri jurnal tidak standar dan jurnal penyesuaian dimulai, dicatat,
dan diproses
Auditor TI dapat diminta untuk mempertimbangkan pengaruh pemrosesan komputer pada audit atau
untuk membantu dalam pengujian prosedur otomatis tersebut.
Penggunaan Komputer dalam

Audit (Tujuan Studi 7)
Banyak perusahaan merancang sistem TI mereka sehingga informasi penting seperti
pesanan pembelian dan penjualan, laporan pengiriman dan penerimaan, serta faktur
dapat diambil dari sistem dalam bentuk yang dapat dibaca. Informasi pendukung seperti
jurnal dan buku besar dapat menjadi bukti bagi auditor. Dalam kondisi tersebut, auditor
dapat membandingkan informasi yang digunakan untuk memasukkan data ke dalam
sistem dengan laporan yang dihasilkan dari sistem, tanpa memperoleh pengetahuan yang
luas tentang logika sistem komputer. Dalam kasus seperti itu, penggunaan sistem TI tidak
berdampak besar pada pelaksanaan audit, karena auditor dapat melakukan pengujian
audit pada dasarnya dengan cara yang sama seperti yang dilakukan untuk sistem manual.
Praktik ini dikenal sebagai audit di sekitar komputer karena tidak memerlukan evaluasi
kendali komputer. Kadang-kadang juga disebut sebagai "pendekatan kotak hitam", karena
tidak melibatkan pengetahuan rinci tentang program komputer. Audit di sekitar komputer
hanya menggunakan dan menguji keluaran sistem komputer dengan cara yang sama
seperti audit akan dilakukan jika informasi telah dihasilkan secara manual. Karena
pendekatan ini tidak mempertimbangkan keefektifan kontrol komputer, mengaudit
seputar komputer memiliki kegunaan yang terbatas.
Mengaudit melalui komputer melibatkan pengujian langsung kontrol internal dalam

sistem TI. Kadang-kadang disebut sebagai "pendekatan kotak putih" karena memerlukan
auditor untuk memahami logika sistem komputer. Pendekatan ini mengharuskan auditor
untuk mengevaluasi kontrol dan pemrosesan TI sehingga mereka dapat menentukan
apakah informasi yang dihasilkan dari sistem dapat diandalkan. Audit melalui komputer
diperlukan dalam kondisi berikut:
• Auditor ingin menguji pengendalian komputer sebagai dasar untuk mengevaluasi risiko dan
mengurangi jumlah pengujian audit substantif yang diperlukan.
• Auditor wajib melaporkan pengendalian internal sehubungan dengan audit

laporan keuangan perusahaan publik.
• Dokumen pendukung hanya tersedia dalam bentuk elektronik.
Auditor dapat menggunakan sistem komputer dan perangkat lunak audit mereka sendiri untuk membantu
melaksanakan audit. Pendekatan ini dikenal sebagai mengaudit dengan komputer. Berbagai teknik audit
berbantuan komputer (CAAT) tersedia untuk diaudit dengan komputer. CAAT adalah alat audit yang
berguna karena memungkinkan auditor menggunakan komputer untuk menguji lebih banyak bukti dalam
waktu yang lebih singkat. Namun, meskipun CAAT berlimpah, auditor harus menyadari bahwa alat teknologi
hanyalah enabler. Mereka berfungsi untuk menantang auditor untuk berpikir kritis dan menggunakan
teknologi secara efektif untuk mengubah data menjadi wawasan.
Selanjutnya, kita akan fokus pada teknik yang digunakan untuk mengaudit melalui komputer dan
mengaudit dengan komputer dalam tahap pengujian audit.
Tes Kontrol (Tujuan Studi 8)

Tampilan 7-6 menyajikan komponen pengujian fase pengendalian audit. Itu
tes kontrol melibatkan prosedur audit yang dirancang untuk mengevaluasi baik kendali umum
maupun kendali aplikasi. Ingat dari Bab 4 bahwa pengendalian umum berhubungan dengan
semua aspek lingkungan TI, sedangkan pengendalian aplikasi berhubungan dengan aplikasi
perangkat lunak khusus yang mencakup jenis transaksi tertentu. Selama perencanaan audit,
auditor mempelajari tentang jenis kontrol yang ada dalam lingkungan TI klien mereka.
Kemudian mereka dapat menguji kontrol tersebut untuk menentukan apakah dapat diandalkan
sebagai cara untuk mengurangi risiko. Pengujian pengendalian kadang-kadang disebut sebagai
"pengujian kepatuhan" karena mereka dirancang untuk menentukan apakah pengendalian
berfungsi sesuai dengan maksud manajemen. Bagian berikut membahas bagaimana kontrol ini
dievaluasi.
Kontrol Umum
Pengendalian umum harus diuji sebelum pengujian pengendalian lainnya dilakukan. Sejak
kontrol umum adalah kontrol otomatis yang mempengaruhi semua aplikasi komputer,
keandalan kontrol aplikasi dipertimbangkan hanya setelah kontrol umum dimiliki
Bukti dari Perusahaan

Sistem Akuntansi
Lakukan Pengujian
Kontrol
Evaluasi kembali
Apakah Kontrol Tidak
Risiko Audit
Efektif?
(Tahap Perencanaan)
Iya
Lanjutkan ke
Pengujian Substantif
PAMERAN 7-6 Tahap Pengujian
Tahap
Kontrol Proses Peta
Tes Kontrol (Tujuan Studi 8) 225
telah diuji. Hal ini karena pengendalian umum yang lemah dapat menyebabkan salah saji yang
meliputi sistem akuntansi — bahkan dalam aplikasi yang diyakini kuat. Misalnya, jika ada
kontrol umum yang lemah, perangkat keras dan perangkat lunak perusahaan dapat diakses
oleh pengguna yang tidak sah yang dapat mengubah data atau program. Jadi, meskipun
kontrol aplikasi berfungsi seperti yang dirancang, defisiensi kontrol umum dapat
mengakibatkan kesalahan dalam informasi yang mendasarinya. Karenanya, keefektifan kendali
umum adalah fondasi untuk lingkungan kendali TI. Jika pengendalian umum tidak berfungsi
sebagaimana yang dirancang, auditor tidak akan mencurahkan perhatian pada pengujian
pengendalian aplikasi; sebaliknya, mereka akan mengevaluasi kembali pendekatan audit
(menurut Tampilan 7-4) dengan mengurangi ketergantungan pada kontrol.
Ada dua kategori luas dari kendali umum yang berhubungan dengan sistem TI:
• Administrasi TI serta proses pengembangan dan pemeliharaan sistem

operasi terkait
• Kontrol keamanan dan masalah akses terkait
Kategori ini dan teknik auditnya yang terkait akan dijelaskan secara mendetail selanjutnya.
Administrasi TI Departemen TI harus diorganisir sehingga tercipta dan didukung tempat

kerja yang efektif dan efisien. Auditor harus memverifikasi bahwa manajemen perusahaan
mempromosikan standar tinggi yang berkaitan dengan pengendalian lingkungan TI-nya.
Pengujian audit terkait mencakup peninjauan terhadap keberadaan dan komunikasi
kebijakan perusahaan mengenai aspek penting dari pengendalian administratif berikut:
• Akuntabilitas pribadi dan pemisahan tanggung jawab yang tidak sesuai

• Uraian tugas dan garis kewenangan yang jelas
• Keamanan komputer, keamanan data, dan perlindungan virus
• Dokumentasi sistem TI
Jika perusahaan tidak memisahkan fungsi desain sistem, pemrograman, dan operasi,
auditor harus mengamati apakah supervisor secara cermat meninjau pekerjaan yang
dilakukan oleh karyawan dengan tugas yang tidak sesuai. Jenis pengawasan manajerial ini
dapat berfungsi sebagai kontrol kompensasi.
Untuk memverifikasi kontrol yang tepat atas operasi sistem TI, auditor harus meninjau
kebijakan dan prosedur yang mencakup tugas operator. Ini harus mengidentifikasi
perangkat keras dan perangkat lunak yang digunakan dan jadwal untuk melakukan tugas.
Instruksi terperinci untuk melaksanakan tugas harus didokumentasikan, bersama dengan
daftar karyawan yang harus memiliki akses ke keluaran. Selain itu, untuk menguji
pemisahan tugas yang memadai, auditor harus memastikan bahwa manual operator tidak
menyertakan informasi tentang desain sistem atau kode program.
Rincian tentang logika internal sistem komputer harus didokumentasikan dalam manual TI.
Auditor harus memverifikasi bahwa informasi tersebut ada dan selalu diperbarui. Dokumentasi
TI sering kali menyertakan diagram alur sistem dan data pengembangan sistem lainnya.
Operator sistem dan pengguna tidak boleh memiliki akses ke informasi ini, agar perusahaan
dapat mempertahankan pemisahan tugas yang baik.
Untuk mengevaluasi efektivitas administrasi perusahaan dalam hal pemeliharaan TI, auditor harus
meninjau dokumentasi sistem untuk mengetahui apakah proyek pemeliharaan sistem diotorisasi dengan
benar. Selain itu, auditor harus menentukan apakah perusahaan mempertahankan kontrol atas dokumentasi
dan program sistem dengan menggunakan pustakawan sistem. Pustakawan bertanggung jawab untuk
memelihara dan mengontrol akses ke dokumentasi dan program sistem terkini. Pengujian tambahan yang
akan dilakukan ketika perusahaan membuat perubahan dalam lingkungan TI-nya dijelaskan nanti dalam bab
ini. Masalah kontrol akses lainnya dibahas di bagian selanjutnya.
Kontrol Keamanan Auditor prihatin tentang apakah sistem komputer perusahaan memiliki kontrol untuk mencegah akses tidak
sah atau perusakan informasi dalam sistem informasi akuntansi. Akses tidak sah dapat terjadi secara internal ketika karyawan
mengambil informasi yang seharusnya tidak mereka miliki, atau secara eksternal ketika pengguna yang tidak sah (atau peretas)
di luar perusahaan mengambil informasi yang seharusnya tidak mereka miliki. Risiko akses cenderung meningkat karena
perusahaan merangkul teknologi yang lebih baru dan memungkinkan data sensitif dibagikan melalui perangkat pintar, aplikasi
web dan seluler, serta jejaring sosial. Pemusnahan informasi dapat terjadi sebagai akibat dari bencana alam, kecelakaan, dan
kondisi lingkungan lainnya. Kontrol yang melindungi perusahaan dari risiko ini mencakup berbagai kontrol akses, kontrol fisik,
kontrol lingkungan, dan kebijakan kelangsungan bisnis. Anda mungkin merasa terbantu jika merujuk kembali ke Tampilan 4‑5,
yang menyajikan berbagai jenis kontrol yang mungkin digunakan perusahaan untuk mencegah risiko kerugian akibat
penggunaan yang tidak sah, pembobolan jaringan, dan masalah lingkungan. Saat auditor memperoleh pemahaman tentang
sistem informasi perusahaan, mereka dapat mengetahui apakah jenis kontrol yang tercantum dalam Tampilan 4-5 digunakan
untuk mencegah atau mendeteksi risiko terkait. Saat kontrol diterapkan, mereka dapat diuji untuk pengoperasian yang efektif.
Berikut adalah beberapa cara auditor dapat menguji pengendalian ini. Saat auditor memperoleh pemahaman tentang sistem
informasi perusahaan, mereka dapat mengetahui apakah jenis kontrol yang tercantum dalam Tampilan 4-5 digunakan untuk
mencegah atau mendeteksi risiko terkait. Saat kontrol diterapkan, mereka dapat diuji untuk pengoperasian yang efektif. Berikut
adalah beberapa cara auditor dapat menguji pengendalian ini. Saat auditor memperoleh pemahaman tentang sistem informasi
perusahaan, mereka dapat mengetahui apakah jenis kontrol yang tercantum dalam Tampilan 4-5 digunakan untuk mencegah
atau mendeteksi risiko terkait. Saat kontrol diterapkan, mereka dapat diuji untuk pengoperasian yang efektif. Berikut adalah
beberapa cara auditor dapat menguji pengendalian ini.
Untuk menguji intern kontrol akses, auditor harus

• Menentukan bahwa perusahaan telah memisahkan tugas TI dengan benar atau telah mengkompensasi
kurangnya pemisahan dengan meningkatkan tinjauan pengawasan.
• Melakukan tes keaslian untuk mengevaluasi apakah sistem komputer yang digunakan
untuk mengakses program dan file data dibatasi untuk karyawan yang berwenang
menurut tabel otoritas perusahaan. Panduan kebijakan dan prosedur harus menjelaskan
kendali atas penggunaan kata sandi, token keamanan, perangkat biometrik, dll. Karyawan
harus diminta untuk memiliki kata sandi, dan tingkat akses mereka harus konsisten
dengan tanggung jawab pekerjaan mereka. Auditor dapat merancang uji kendali untuk
menentukan apakah akses dikendalikan sesuai dengan kebijakan perusahaan.
• Tinjau log komputer untuk kegagalan login, untuk mengukur waktu akses untuk kewajaran sehubungan
dengan jenis tugas yang dilakukan, atau untuk mendeteksi aktivitas yang tidak biasa. Dalam kasus
seperti itu, pengujian audit mungkin perlu diperluas untuk tindak lanjut yang sesuai.
• Melihat jejak audit elektronik untuk menentukan apakah akses ke sistem operasi telah
dilakukan sesuai dengan kebijakan perusahaan.
• Lakukan pengujian untuk memastikan bahwa hak akses komputer diblokir untuk karyawan
yang telah diberhentikan dan direvisi untuk karyawan yang telah mengubah tanggung
jawab pekerjaan.
Untuk menguji luar kontrol akses, auditor dapat melakukan hal berikut:
• Tes keaslian, seperti yang dijelaskan sebelumnya.

• Tes penetrasi, yang melibatkan berbagai metode untuk memasuki sistem
perusahaan untuk menentukan apakah pengendalian bekerja sebagaimana
mestinya. Misalnya, auditor dapat mencari kelemahan di firewall perusahaan dengan
mencoba akses yang tidak sah ke sistem.
• Penilaian kerentanan, yang menganalisis lingkungan pengendalian perusahaan untuk
kemungkinan kelemahan. Misalnya, auditor dapat mengirim pesan pengujian melalui
sistem perusahaan untuk mengetahui apakah enkripsi informasi pribadi dilakukan dengan
benar. Program perangkat lunak khusus tersedia untuk membantu auditor
mengidentifikasi titik lemah dalam tindakan keamanan perusahaan.
• Review log akses untuk mengidentifikasi pengguna yang tidak sah atau upaya akses
yang gagal. Misalnya, auditor harus mendiskusikan dengan manajer TI faktor-faktor yang
terlibat dalam penolakan akses tidak sah, dan memverifikasi konsistensi penjelasan
manajer dengan kebijakan yang terdokumentasi.
Untuk mempertahankan kontrol yang baik, manajer perusahaan tidak boleh mengandalkan
auditor mereka untuk menguji pelanggaran akses komputer, tetapi harus memantau sistem
mereka sendiri secara berkelanjutan. Kemudian auditor dapat memeriksa laporan keamanan
yang dikeluarkan oleh departemen TI atau meninjau sistem deteksi keamanannya untuk
menguji keefektifan kontrol akses perusahaan. Frekuensi pelaporan dan cara tindak lanjut
merupakan elemen penting dari lingkungan pengendalian.
Salah satu cara paling efektif bagi perusahaan untuk melindungi sistem
komputernya adalah dengan menempatkan kendali fisik dan lingkungan di pusat
komputer. Kontrol fisik meliputi kunci, penjaga keamanan, alarm, kamera, dan kunci
kartu. Pengendalian fisik tidak hanya membatasi akses ke komputer perusahaan,
tetapi juga penting untuk mencegah kerusakan sumber daya komputer. Selain
menilai kontrol fisik, auditor harus mengevaluasi lingkungan TI untuk menentukan
bahwa kontrol suhu yang tepat dipertahankan, sistem tahan api dipasang, dan catu
daya darurat tersedia.
Untuk menguji fitur penting lainnya dari pengendalian keamanan yang efektif, auditor harus
menentukan apakah perusahaan akan dapat melanjutkan proses akuntansi jika terjadi bencana
yang disebabkan oleh kesalahan manusia, kejahatan, tindakan alam, atau peristiwa tak terduga
lainnya. Semua penyebab yang dapat diperkirakan harus dipertimbangkan dalam memutuskan
apakah perusahaan dilindungi secara memadai. Untuk membuat keputusan seperti itu, auditor
biasanya meninjau rencana pemulihan bencana perusahaan, prosedur cadangan, prosedur
perlindungan virus, dan perlindungan asuransi, dan mendiskusikan dengan manajemen
kewajaran kebijakan ini.
Seperti disebutkan sebelumnya, kontrol aplikasi hanya diuji setelah kontrol umum terbukti kuat.
Ketika pengendalian umum telah diuji dan terbukti beroperasi secara efektif, auditor kemudian
menguji pengendalian aplikasi untuk melihat apakah pengendalian tersebut juga berfungsi
sebagaimana mestinya.
Kontrol Aplikasi
Kontrol aplikasi adalah kontrol terkomputerisasi atas program aplikasi. Karena perusahaan mana pun dapat
menggunakan banyak program komputer yang berbeda dalam bisnisnya sehari-hari, mungkin ada banyak
jenis kontrol aplikasi yang perlu dipertimbangkan dalam audit. Auditor menguji dokumentasi sistem
perusahaan untuk memastikan bahwa rincian yang memadai tersedia untuk semua program aplikasi.
Rinciannya harus mencakup daftar semua aplikasi yang penting untuk informasi yang diaudit, bersama
dengan kode sumber pendukung yang selalu diperbarui di perpustakaan TI. Salinan cadangan harus
disimpan di luar situs. Selain dokumentasi sistem pengujian, auditor harus menguji tiga fungsi utama aplikasi
komputer, termasuk input, pemrosesan, dan output.
Kontrol Masukan Auditor melakukan tes untuk memverifikasi kebenaran input informasi
ke program perangkat lunak. Auditor prihatin tentang apakah kesalahan dicegah dan
dideteksi selama tahap input pemrosesan data. Beberapa pengujian komputer yang
paling banyak digunakan untuk kontrol input dirangkum dalam Tampilan 7-7.
Setiap pengendalian yang disajikan dalam Tampilan 7-7 dapat digunakan oleh perusahaan sebagai
ukuran pengendalian internal. Dalam kebanyakan kasus, jenis fungsi yang sama dapat dilakukan
PAMERAN 7-7
Kontrol Masukan
Kontrol Deskripsi
Total keuangan: Jumlah matematis dari jumlah dolar atau jumlah item. Berguna karena mereka biasanya mengidentifikasi
Total kontrol keuangan jumlah entri jurnal yang dibuat dalam sistem akuntansi keuangan. Diuji dengan membandingkan total yang
Total batch dihasilkan sistem dengan total yang dihitung oleh auditor.
Total hash Jumlah data matematis yang tidak berarti bagi laporan keuangan (seperti nomor vendor atau nomor
cek), tetapi berguna untuk mengontrol data dan terutama untuk mendeteksi kemungkinan item yang
hilang. Diuji dengan membandingkan total yang dihasilkan sistem dengan total yang dihitung oleh
auditor.
Tes kelengkapan atau Menghitung jumlah entri (catatan hitungan) atau urutan dokumen dalam satu seri (verifikasi urutan).
tes redundansi: Berguna untuk menentukan apakah catatan aplikasi lengkap atau jika ada item yang salah disertakan
Rekam hitungan lebih dari satu kali. Juga memastikan bahwa pemrosesan terjadi hanya ketika semua bidang dalam
Verifikasi urutan file data diisi. Diuji dengan membandingkan jumlah yang dihasilkan sistem dengan jumlah / daftar
yang disiapkan oleh auditor.
Batasi tes Memindai entri untuk batas yang wajar, seperti batas yang telah ditentukan sebelumnya pada jumlah cek atau kredit
pelanggan. Berguna dalam mencegah kesalahan dan pemrosesan yang tidak sah. Diuji dengan membandingkan
batasan terprogram dengan kebijakan perusahaan.
Pemeriksaan validasi Memindai entri untuk memverifikasi apakah ada informasi yang hilang atau palsu. Entri ditinjau untuk
tanggal dan pelabelan yang valid, catatan ditinjau untuk nilai dan urutan yang wajar, dan bidang ditinjau
untuk batas yang valid atau data yang hilang. Diuji dengan membandingkan informasi yang diprogram
dengan nilai yang telah ditentukan yang didokumentasikan dalam kode program.
Pemeriksaan lapangan Memindai entri untuk menentukan bahwa data ada dalam format alfa atau numerik yang tepat. Berguna dalam
mencegah kesalahan pemrosesan karena data yang tidak dikenal. Diuji dengan membandingkan format data
dengan kode program.
oleh auditor sebagai pengujian pengendalian terkait. Auditor menguji pengendalian ini untuk
menentukan apakah risiko pengendalian sedang dicegah atau dideteksi. Auditor mengamati
pengendalian yang dimiliki perusahaan dan melakukan perbandingan secara terbatas untuk
menentukan keefektifannya. Pengujian ini dapat dilakukan secara manual atau dengan metode
elektronik.
Kontrol Pemrosesan Prosedur audit TI biasanya mencakup kombinasi uji akurasi

data, di mana data yang diproses oleh aplikasi komputer ditinjau untuk mengetahui
jumlah dolar yang benar atau nilai numerik lainnya. Berikut adalah contoh kontrol
pemrosesan yang efektif:
• Total run-to-run melibatkan penghitungan ulang jumlah dari satu proses ke proses
berikutnya untuk menentukan apakah data telah hilang atau diubah selama proses.
• Tes keseimbangan melibatkan perbandingan item berbeda yang diharapkan memiliki nilai yang sama,
seperti membandingkan dua kelompok atau membandingkan data aktual dengan total kontrol yang
telah ditentukan sebelumnya.
• Tes akurasi matematika verifikasi apakah penghitungan sistem sudah benar. Tes
kelengkapan, tes redundansi, dan tes batas, yang diperkenalkan sebelumnya, memeriksa
penyertaan data yang benar. Banyak prosedur lain, yang sebelumnya dijelaskan sebagai
uji kontrol input, dapat dilakukan lagi selama pemrosesan aplikasi untuk memeriksa
kemungkinan data yang hilang atau tidak diproses.
Saat mengevaluasi informasi keuangan, auditor dapat menggunakan Hukum Benford untuk membantu
menemukan apakah kesalahan atau kecurangan mungkin ada dalam kumpulan data. Hukum Benford, juga dikenal
sebagai hukum digit pertama, dinamai untuk fisikawan, Frank Benford, yang menemukan pola
tertentu, tetapi tidak seragam dalam frekuensi digit yang muncul sebagai bilangan pertama
dalam daftar bilangan. Benford menemukan bahwa angka 1 cenderung menjadi digit terdepan
kira-kira sepertiga dari waktu, dan angka 2 adalah digit terdepan sekitar 18 persen dari waktu.
Sebaliknya, angka 9 adalah digit terdepan dalam kurang dari 5 persen kejadian. Hukum Benford
berlaku untuk kumpulan data besar dari angka-angka yang muncul secara alami dan oleh
karena itu berguna bagi auditor dalam mengevaluasi kemungkinan kesalahan atau penipuan
dalam penjualan dan saldo piutang, hutang dan saldo pengeluaran, data pajak pendapatan,
dan banyak lagi. Ini akan memprediksi, misalnya, bahwa sekitar setengah dari pengamatan
numerik dalam kumpulan data pembayaran tunai harus dimulai dengan angka 1 atau 2. Jika
angka tersebut dipalsukan, kemungkinan besar angka tersebut tidak akan mengikuti distribusi
alami ini. Namun, Hukum Benford tidak berlaku untuk nomor yang ditetapkan (seperti nomor
rekening pelanggan atau nomor telepon). Prosedur audit yang menerapkan Hukum Benford
dapat dilakukan dengan menggunakan program spreadsheet atau aplikasi khusus perangkat
lunak audit.
Tampilan 7-8 menyajikan perbandingan beberapa teknik audit berbantuan
komputer (CAATs).
PAMERAN 7-8
Perbandingan Teknik Audit Berbantuan Komputer (CAAT) untuk Menguji

Kontrol Aplikasi
Teknik Deskripsi Ringkasan Keuntungan Kekurangan
Uji data Auditor mengembangkan fiktif Sedikit keahlian teknis Risiko kontaminasi data jika data pengujian
metode data yang tampak asli, dan yg dibutuhkan. Digunakan selama tidak dihapus dengan benar setelah pengujian.
memproses "data uji" ini secara pemrosesan normal, Menghabiskan waktu untuk merancang data
terpisah, menggunakan data klien dan sangat cocok untuk pengujian untuk menyertakan data otentik dan
sistem komputer atau melakukan pengujian tidak logis. Tes hanya mengantisipasi masalah.
komputer nonklien. kontrol dalam sistem batch. Hanya menyediakan pengujian kontrol statis.
Pelacakan program Auditor mengikuti transaksi Efisien karena menggunakan Mungkin memerlukan keahlian teknis
dan penandaan melalui semua proses data aktual. khusus untuk mempertimbangkan semua
langkah-langkah secara berurutan, jalur logika program.
menggunakan komputer nonklien.
Program Auditor menghitung berapa Efisien karena menggunakan Mungkin memerlukan keahlian teknis
pemetaan kali pernyataan program data aktual. khusus untuk mempertimbangkan semua
dijalankan untuk menentukan jalur logika program.
apakah kode program telah
dilewati.
Terintegrasi Auditor mengembangkan data uji Sangat efektif untuk aplikasi Risiko kerusakan data.
fasilitas uji dan proses secara bersamaan sederhana. Digunakan selama Membuang-buang waktu. Kurang
dengan data aktual. pemrosesan normal. Menyediakan efektif untuk aplikasi yang kompleks.
pengujian kontrol yang sedang berlangsung.
Paralel Auditor mengembangkan program Uji independen itu Kepraktisan tergantung pada
simulasi seperti aplikasi klien, memungkinkan ukuran sampel kompleksitas aplikasi.
kemudian gunakan untuk yang besar. Teknis sedang Dilakukan pada titik waktu
memproses salinan data aktual. keahlian yang dibutuhkan. tertentu.
Tersemat Auditor memasukkan tes dalam Mengidentifikasi pemrosesan Tidak memiliki objektivitas karena tidak dapat
modul audit aplikasi. Dapat digunakan secara masalah saat terjadi. mengidentifikasi yang tidak terduga
berkala atau terus menerus. aktivitas.

Dunia nyata
Sebagai salah satu dari Empat Besar perusahaan EY bertanggung jawab untuk mengaudit laporan
CPA, EY mempekerjakan ribuan auditor dalam grup keuangan banyak perusahaan publik. Ini melayani klien di
Layanan Penasihat Risiko dan Jaminan TI. Grup ratusan lokasi di seluruh dunia. Perusahaan klien ini cukup
layanan khusus ini membantu audit laporan beragam dalam hal jenis bisnis yang mereka lakukan,
keuangan dan menyediakan layanan lain terkait ukuran mereka, dan kompleksitas mereka, tetapi
sistem informasi kliennya. Layanan jaminan sistem cenderung sama dalam kebutuhan mereka akan informasi
informasi berfokus pada audit sistem informasi yang tepat waktu. Penggunaan CAATs membantu EY
bisnis, penilaian proses bisnis dan lingkungan memberikan layanan tepat waktu kepada kliennya, sambil
pengendalian yang mendasarinya, dan penggunaan mengumpulkan bukti audit yang diperlukan untuk
CAAT untuk memverifikasi data akuntansi dan melakukan tugasnya sebagai auditor.
keuangan.
Kontrol Keluaran Pengujian audit yang mengevaluasi kontrol umum atas akses dan
prosedur cadangan juga dapat digunakan dalam pengujian keluaran aplikasi komputer
tertentu. Penting bagi auditor untuk menguji kontrol yang tepat atas informasi keuangan
yang dihasilkan dari pemrosesan aplikasi. Terlepas dari apakah hasil dicetak atau
disimpan secara elektronik, auditor dapat melakukan prosedur berikut untuk menguji
keluaran aplikasi:
• Tes kewajaran membandingkan laporan dan hasil lainnya dengan data pengujian atau
kriteria lain.
• Tes jejak audit melacak transaksi melalui aplikasi untuk memastikan bahwa pelaporan
adalah cerminan yang benar dari pemrosesan dan masukan.
• Tes kesalahan pembulatan menentukan apakah ada kesalahan yang signifikan
karena cara jumlah dibulatkan dan diringkas.
Sebagai bagian dari tahap pengujian pengendalian suatu audit, auditor juga harus
memverifikasi bahwa perusahaan melakukan rekonsiliasi yang tepat waktu dan akurat.
SEBUAH rekonsiliasi adalah laporan rinci yang menilai kebenaran saldo rekening atau
catatan transaksi yang sesuai dengan informasi pendukung serta kebijakan dan prosedur
perusahaan. Rincian saldo akun dan informasi pendukung mungkin
Dunia nyata
Kasus penggelapan di Koss Corporation, yang Beberapa rekonsiliasi dilakukan oleh Sachdeva
diperkenalkan di Bab 3, menggambarkan tindakan sendiri, terlepas dari kenyataan bahwa dia telah
curang dari VP Keuangan perusahaan, Sue terlibat dalam otorisasi awal atau pencatatan
Sachdeva. Setelah penemuan penipuan tersebut, transaksi yang mendasarinya. Ini memberikan
investigasi SEC mengungkapkan banyak kegagalan kesempatan bagi Sachdeva untuk memodifikasi
kontrol di Koss, termasuk masalah dengan rekonsiliasi untuk menyembunyikan kesalahannya.
rekonsiliasi akun. Rekonsiliasi tidak disimpan dalam Perusahaan CPA yang mengaudit laporan keuangan
catatan akuntansi, tidak disiapkan dengan benar, Koss dibubarkan karena prosedur auditnya tidak
atau tidak disiapkan sama sekali. mengungkap masalah serius ini.
Ujian Transaksi dan Ujian Saldo (Tujuan Studi 9) 231
berasal dari keluaran aplikasi. Untuk meningkatkan pengendalian, rekonsiliasi

harus dilakukan oleh personel perusahaan independen — mereka yang tidak
terlibat dengan tugas memulai atau mencatat transaksi dalam akun yang
direkonsiliasi.
Pada akhir fase pengujian pengendalian audit, auditor harus menentukan
keandalan keseluruhan pengendalian internal klien. Auditor berusaha untuk
mengandalkan pengendalian internal sebagai cara untuk mengurangi jumlah
bukti yang dibutuhkan dalam fase audit yang tersisa. Mereka dapat yakin bahwa
informasi akurat jika berasal dari sistem yang terbukti memiliki kontrol yang
kuat. Oleh karena itu, setelah pengendalian umum dan aplikasi diuji dan terbukti
efektif, jumlah bukti tambahan yang diperlukan dalam tahap audit berikutnya
dapat dikurangi. Penting juga dicatat bahwa pengujian kontrol dapat dilakukan
hampir kapan saja selama periode tersebut, sehingga auditor dapat
menjadwalkan pekerjaan mereka pada waktu yang tepat. Faktor kenyamanan
ini, ditambah pengurangan bukti audit tambahan yang diperlukan,
Ujian Transaksi dan Ujian Saldo (Tujuan Studi

9)
Pengujian auditor atas keakuratan jumlah moneter dari transaksi dan saldo akun
dikenal sebagai pengujian substantif. Pengujian substantif sangat berbeda dengan
pengujian kontrol. Tes substantif mengevaluasi apakah informasi benar, sedangkan
tes kontrol menentukan apakah informasi dikelola di bawah sistem itu
mempromosikan kebenaran. Beberapa tingkat pengujian substantif diperlukan terlepas dari
hasil pengujian pengendalian. Jika terdapat pengendalian internal yang lemah atau jika
pengendalian penting tidak tersedia, pengujian substantif yang ekstensif akan diperlukan. Di
sisi lain, jika pengendalian terbukti efektif, jumlah pengujian substantif yang diperlukan secara
signifikan lebih rendah, karena kemungkinan kesalahan lebih kecil dalam catatan yang
mendasarinya. Exhibit 7-9 menyajikan peta proses dari tahap pengujian substantif audit.
Dalam lingkungan TI, bukti yang diperlukan untuk menentukan kebenaran transaksi
dan saldo akun terdapat dalam file data elektronik dalam sistem komputer, dari mana
bukti tersebut dapat ditarik dengan teknik audit khusus. Beberapa teknik yang digunakan
untuk menguji pengendalian juga dapat digunakan untuk menguji transaksi dan saldo
laporan keuangan. Misalnya, simulasi paralel, metode data pengujian, modul audit
tertanam, dan fasilitas pengujian terintegrasi dapat digunakan untuk pengujian kontrol
dan pengujian substantif.
Tren terkini seperti kemajuan dalam kendali otomatis; persyaratan kepatuhan baru;
integrasi kegiatan tata kelola, manajemen risiko, dan kepatuhan (GRC); dan pelaporan
keuangan real-time telah menciptakan kebutuhan akan audit berkelanjutan. Audit
berkelanjutan, atau pemantauan berkelanjutan, adalah proses pengumpulan dan analisis
bukti yang konstan untuk memberikan jaminan atas informasi segera setelah terjadi atau
segera setelahnya. Ini dapat dilakukan oleh manajemen dan / atau auditor.
Ketika perusahaan menggunakan kontrol otomatis dan memelihara informasi bisnis penting
dalam bentuk elektronik, auditor dapat menganalisis data yang relevan selama periode
tersebut. Informasi yang diaudit selalu dibutuhkan untuk memfasilitasi keputusan bisnis yang
penting, sehingga audit berkelanjutan menjadi lebih umum. Selain itu, pemantauan terus
menerus atas kontrol internal penting agar defisiensi kontrol dapat dideteksi sebelum menjadi
signifikan. Kekurangan dapat dievaluasi dan diperbaiki pada waktunya untuk meningkatkan
kinerja operasional dan menghindari masalah pelaporan. Bab 6 membahas bagaimana sistem
ERP dapat digunakan untuk memantau pengendalian internal.
Bukti yang mendukung perusahaan

transaksi dan akun
saldo
Lakukan Substantif
Tes
Transaksi
Baik Tidak
Hasil?
Iya
Lakukan Terperinci Lakukan Diperluas

Pengujian Saldo Tes Mendetail dari
seperti yang direncanakan Saldo
Lakukan Material Tidak

Lanjutkan ke Audit
Penyelesaian/
Salah saji
Ada? Fase Pelaporan
Iya
Evaluasi kembali
Risiko Audit
PAMERAN 7-9 Substantif
(Tahap Perencanaan)
Tahap Pengujian Proses Peta
Teknik audit kontinu, seperti yang tersedia dengan pendekatan modul audit
tertanam dan penandaan program, adalah bentuk pengujian substantif yang sangat
populer. Selain itu, jenis simulasi paralel dapat digunakan untuk memberikan
jaminan berkelanjutan, di mana modul audit disematkan dalam database untuk
menganalisis semua pembaruan data dan membandingkan hasilnya dengan yang
ada di database. Ketika perusahaan menggunakan e-commerce atau sistem e-bisnis
untuk melakukan bisnis online, auditor mengetahui bahwa informasi akuntansi
keuangan dihasilkan secara real time dan segera tersedia untuk tujuan audit. Selain
itu, karena semakin banyak perusahaan yang menggunakan Big Data, kemungkinan
besar analisis data yang berkelanjutan dan real-time akan diperlukan. SEC, PCAOB,
dan AICPA juga menyetujui penggunaan audit kontinu. Menanggapi kegagalan
perusahaan, seperti yang terjadi di Enron dan WorldCom,
Audit berkelanjutan umumnya mengharuskan auditor mengakses sistem klien mereka secara online
sehingga data audit dapat diperoleh secara berkelanjutan. Data audit kemudian diunduh dan diuji oleh
auditor sesegera mungkin setelah data tersebut diterima. Audit berkelanjutan kemudian dapat diterapkan
untuk berbagai bentuk pengujian audit, termasuk pemantauan dan penilaian risiko berkelanjutan (CRMA),
pemantauan kendali berkelanjutan (CCM), dan pemantauan data berkelanjutan (CDM). Tetapi sebagai
Penyelesaian / Pelaporan Audit (Tujuan Studi 10) 233
perusahaan mengumpulkan lebih banyak data dan merangkul analitik Big Data, tantangan mungkin
muncul terkait inkonsistensi data, data yang tidak lengkap, dan ancaman terhadap privasi. Auditor
harus cepat beradaptasi dengan tantangan ini.
Kebanyakan auditor menggunakan perangkat lunak audit umum (GAS) atau perangkat lunak
analisis data (DAS) untuk melakukan pengujian audit pada file data elektronik yang diambil dari
sistem database yang umum digunakan. Alat audit terkomputerisasi ini memungkinkan auditor untuk
jauh lebih efisien dalam melakukan pengujian audit rutin seperti:
• Perhitungan matematika dan statistik

• Kueri data
• Identifikasi item yang hilang secara berurutan
• Stratifikasi dan perbandingan item data
• Pemilihan item yang menarik dari file data
• Meringkas hasil pengujian ke dalam format yang berguna untuk pengambilan keputusan
Penggunaan GAS atau DAS sangat berguna ketika ada volume data yang besar dan ketika ada
kebutuhan akan informasi yang tepat waktu dan tepat.
GAS dan DAS juga berkembang untuk menangani kumpulan data yang lebih besar dan lebih
beragam, yang memungkinkan auditor untuk menggunakan lebih banyak jenis data tidak terstruktur
sebagai bukti audit dan untuk melakukan prosedur analitis dan analisis prediktif yang lebih kreatif.
Beberapa contoh penggunaan analitik Big Data dalam fase audit ini meliputi:
• Memeriksa media sosial untuk mengantisipasi masalah seperti keusangan inventaris dan
klaim garansi
• Memperoleh data tentang pola cuaca atau kinerja pasar saham untuk memprediksi aktivitas
penjualan
• Melihat rekaman kamera pengintai untuk menguatkan keberadaan armada

kendaraan baru
• Menggunakan pengenal frekuensi radio untuk memantau pergerakan inventaris

• Menggunakan lokasi global positioning system (GPS) truk pengiriman perusahaan
untuk menentukan status transaksi penjualan
• Melakukan pencocokan elektronik atas informasi transaksi utama, seperti pesanan

pelanggan, laporan pengiriman, dan faktur penjualan.
Teknik ini memungkinkan pengujian audit diselesaikan dengan cepat, akurat, dan cermat, oleh
karena itu memberikan auditor cara untuk memenuhi kebutuhan pembuat keputusan yang terus
meningkat yang mengharapkan informasi yang tepat dan segera.
Penyelesaian / Pelaporan Audit

(Tujuan Studi 10)
Setelah pengujian pengendalian dan pengujian audit substantif diselesaikan, auditor
mengevaluasi semua bukti yang telah terkumpul dan menarik kesimpulan
berdasarkan bukti tersebut. Fase ini adalah tahap penyelesaian / pelaporan audit. Proses
dalam tahap akhir audit ini disajikan dalam Tampilan 7-10.
Dalam membuat kesimpulan, auditor harus mempertimbangkan apakah bukti tersebut
mendukung informasi yang disajikan. Semua bukti dari semua tahapan audit dan mencakup
semua jenis akun dan transaksi harus dipertimbangkan secara kolektif sehingga auditor dapat
membuat keputusan menyeluruh tentang kewajaran informasi. Auditor juga harus
mempertimbangkan apakah luas pengujian telah memadai dalam kaitannya dengan risiko dan
pengendalian yang diidentifikasi selama fase perencanaan versus hasil prosedur yang dilakukan
dalam fase pengujian.
Audit Akumulasi
Bukti
Perwakilan
Surat
Evaluasi Bukti
di Agregat
Apakah bukti cukup Tidak Perluas Substantif

membentuk opini audit Kesimpulan?
Menguji
secara keseluruhan?
Iya
Masalah Laporan Audit
Menyampaikan
PAMERAN 7-10 Audit
Hasil Keseluruhan dengan
Penyelesaian / Pelaporan
Klien
Tahap Proses Peta
Fase penyelesaian mencakup banyak tugas yang diperlukan untuk menyelesaikan

audit. Untuk banyak jenis audit, tugas terpenting adalah memperoleh a surat
representasi dari manajemen perusahaan. Surat representasi sering dianggap sebagai
bukti audit tunggal yang paling signifikan, karena merupakan pengakuan yang
ditandatangani atas tanggung jawab manajemen atas informasi yang dilaporkan. Dalam
surat ini, manajemen harus menyatakan bahwa ia telah memberikan informasi yang
lengkap dan akurat kepada auditornya selama semua tahapan audit.
Untuk audit laporan keuangan, ketika auditor puas dengan tingkat pengujian dan
surat representasi telah diperoleh dari klien, laporan audit harus diterbitkan. Laporan
audit mengungkapkan opini keseluruhan auditor atas laporan keuangan, dan dapat
diterbitkan dalam salah satu dari empat bentuk:
1. Pendapat Wajar Tanpa Pengecualian, yang menyatakan bahwa auditor mempercayai keuangan
pernyataan disajikan secara adil dan konsisten sesuai dengan GAAP atau
IFRS.
2. Pendapat berkualifikasi, yang mengidentifikasi pengecualian tertentu untuk opini yang tidak
memenuhi syarat.
3. Pendapat yang merugikan, yang mencatat bahwa ada kesalahan penyajian material yang disajikan.
4. Penolakan, yang menyatakan bahwa auditor tidak dapat mencapai suatu kesimpulan.
Ketika melaporkan keefektifan pengendalian internal, auditor harus memilih antara opini
yang tidak memenuhi syarat, merugikan, atau tidak bertanggung jawab. Komunikasi
adalah kunci kesimpulan yang tepat dari suatu audit. Selain informasi yang
dikomunikasikan oleh manajemen dalam surat representasi dan auditor yang
mengeluarkan laporan audit, auditor harus mendiskusikan hasil audit secara keseluruhan
dengan direktur perusahaan.
Pertimbangan Audit Lainnya (Tujuan Studi 11) 235
Pertimbangan Audit Lainnya

(Tujuan Studi 11)
Lingkungan TI yang Berbeda
Sebagian besar perusahaan menggunakan komputer mikro atau komputer pribadi (PC) dalam proses
akun mereka. Kontrol umum yang mencakup PC seringkali kurang maju daripada yang mencakup
sistem rangka utama dan klien-server. Akibatnya, PC mungkin menghadapi risiko kerugian yang lebih
besar karena akses yang tidak sah, kurangnya pemisahan tugas, kurangnya kontrol cadangan, dan
virus komputer. Berikut adalah beberapa teknik audit yang digunakan untuk menguji pengendalian
secara khusus dalam penggunaan PC:
• Pastikan PC dan hard drive yang dapat dilepas terkunci di tempatnya untuk memastikan
keamanan fisik. Selain itu, program dan file data harus dilindungi sandi untuk mencegah
penyalahgunaan online oleh orang yang tidak berwenang.
• Pastikan pemrogram komputer tidak memiliki akses ke operasi sistem, sehingga tidak ada
kesempatan untuk mengubah kode sumber dan data operasi terkait. Program perangkat
lunak yang dimuat pada PC seharusnya tidak mengizinkan pengguna untuk membuat
perubahan program. Juga pastikan bahwa laporan yang dihasilkan komputer ditinjau
secara teratur oleh manajemen.
• Bandingkan tanggal dan data yang disertakan pada file cadangan dengan program operasi
langsung untuk menentukan frekuensi prosedur pencadangan.
• Verifikasi penggunaan perangkat lunak antivirus dan frekuensi pemindaian virus.
Selain atau sebagai alternatif untuk menggunakan PC, perusahaan dapat beroperasi
dalam lingkungan TI yang melibatkan jaringan, sistem manajemen basis data, sistem
e-niaga, komputasi awan, dan / atau bentuk alih daya TI lainnya. Banyak prosedur yang
dijelaskan sebelumnya juga dapat digunakan untuk konfigurasi komputer yang berbeda
ini.
Ketika perusahaan memiliki sistem informasi akuntansi yang diatur dalam jaringan
area lokal (LAN) atau jaringan area luas (WAN), auditor harus memahami bagaimana
jaringan terstruktur. Dengan kata lain, mereka harus mempelajari bagaimana komputer
perusahaan dihubungkan bersama, termasuk lokasi semua server dan workstation.
Semua risiko dan prosedur audit yang diterapkan pada lingkungan PC mungkin juga ada
dalam jaringan, tetapi potensi kerugiannya jauh lebih besar. Karena operasi jaringan
biasanya melibatkan sejumlah besar komputer, banyak pengguna, dan volume transfer
data yang tinggi, kurangnya kontrol jaringan dapat menyebabkan kerusakan yang meluas.
Auditor harus menerapkan tes di seluruh jaringan. Sangat penting bagi auditor untuk
menguji perangkat lunak yang mengelola jaringan dan mengontrol akses ke server.
Ketika perusahaan menggunakan sistem database, sistem manajemen database (termasuk
data, aplikasi, dan kontrol terkait) mereplikasi atau mempartisi data untuk banyak pengguna
yang berbeda. Ketika data diatur dengan cara yang konsisten, relatif mudah bagi auditor untuk
memilih item untuk pengujian. Namun, tantangan mungkin ditemui ketika ada data tidak
terstruktur, dan ada beberapa pertimbangan khusus lainnya untuk pengujian sistem
manajemen basis data auditor. Misalnya, karena banyak pengguna mungkin memiliki akses ke
data, auditor harus yakin untuk mengevaluasi kontrol akses di sekitar database. Selain itu, lebih
penting dari sebelumnya untuk memelihara backup yang tepat dalam lingkungan database,
karena begitu banyak orang bergantung pada operasi database yang konsisten dan
ketersediaan data. Auditor bertanggung jawab untuk memahami bagaimana data tersebut
dikelola sehingga dapat diandalkan sebagai sumber informasi. Selain menguji akses dan kontrol
cadangan, seperti yang dibahas sebelumnya
Dalam bab ini, auditor harus melakukan pengujian untuk memverifikasi bahwa
administrator database memantau akses ke data perusahaan dan membuat cadangan
database secara teratur. Karena banyak aplikasi berbeda dapat mengakses dan
mengubah data dalam database, kontrol database sangat penting.
Risiko keamanan selalu ada di perusahaan yang menggunakan e-commerce, karena
sistem komputer mereka terhubung secara online dengan sistem mitra bisnis mereka.
Akibatnya, keandalan sistem TI perusahaan bergantung pada keandalan sistem
pelanggan dan / atau pemasoknya. Prosedur audit yang digunakan untuk menilai kontrol
di lingkungan e-commerce telah dibahas sebelumnya di bab ini dalam diskusi tentang
kontrol akses eksternal. Selain itu, auditor sering
• Memeriksa log pesan untuk mengidentifikasi titik-titik akses jarak jauh, memverifikasi
urutan transaksi yang benar, dan meninjau tindak lanjut tepat waktu pada transmisi yang
tidak berhasil antara mitra bisnis
• Memverifikasi bahwa perusahaan telah mengevaluasi sistem komputer mitra

bisnisnya sebelum melakukan bisnis melalui Internet
• Proses ulang transaksi untuk melihat apakah transaksi tersebut dikontrol dengan benar.
Karena kesulitan menguji semua kemungkinan titik akses dalam sistem online, auditor
terkadang merasa lebih hemat biaya untuk melakukan pengujian substantif daripada pengujian
ekstensif terhadap pengendalian.
Beberapa perusahaan mungkin mengandalkan penyedia layanan komputer eksternal dan
independen untuk menangani semua atau sebagian dari kebutuhan TI mereka. Ini dikenal sebagai Pengalihdayaan
TI. Pengalihdayaan TI menciptakan tantangan bagi auditor, yang harus memperoleh pemahaman
yang memadai tentang risiko dan kontrol yang terletak di pusat layanan independen. Namun, pusat
layanan kemungkinan akan memiliki auditornya sendiri yang memantau, menguji, dan / atau
melaporkan pengendalian internal. Laporan pihak ketiga ini dapat digunakan sebagai bukti audit
tentang efektivitas pengendalian internal. Alternatifnya, auditor dapat memilih untuk melakukan
pengujian di lokasi bisnis pusat layanan, atau melakukan pengujian audit di sekitar komputer klien.
Saat perusahaan menggunakan komputasi awan, auditor mereka perlu memahami secara
menyeluruh teknologi yang mendasari serta risiko dan kontrol terkait. Dalam lingkungan
komputasi awan, penyedia layanan melakukan tugas-tugas penting yang secara tradisional
menjadi tanggung jawab manajer perusahaan. Oleh karena itu, penilaian risiko mungkin
menjadi sangat menantang karena ancaman terhadap data perusahaan tidak terkontrol, dan
seringkali tidak terduga, oleh perusahaan.
Selain hanya mengidentifikasi ancaman yang melekat dalam lingkungan komputasi
awan, sangat sulit untuk memperkirakan potensi biaya dan dampak keseluruhannya.
Namun, mereka mungkin jauh jangkauannya. Oleh karena itu, semakin penting bagi
perusahaan dan auditornya untuk mempertimbangkan dengan cermat apakah semua
risiko yang relevan telah diidentifikasi dan dikendalikan. Di bawah ini adalah beberapa
contoh pertanyaan untuk dipertimbangkan oleh auditor ketika mengevaluasi lingkungan
komputasi awan:
Resiko Keamanan:
• Kerusakan apa yang dapat terjadi jika pengguna yang tidak sah mengakses data perusahaan?
• Bagaimana dan kapan data dienkripsi?
• Bagaimana penyedia layanan cloud menangani keamanan internal?
Risiko Ketersediaan:
• Kerusakan apa yang dapat terjadi jika data perusahaan tidak tersedia selama waktu puncak
atau untuk waktu yang lama?
Pertimbangan Audit Lainnya (Tujuan Studi 11) 237
• Bagaimana penyedia layanan cloud memisahkan informasi di antara klien?

• Apa rencana pemulihan bencana dan kelangsungan bisnis yang ada?
Risiko Pengolahan:
• Bagaimana waktu respons dan aspek lain dari kinerja operasi dipantau?
• Bagaimana penyedia layanan memantau kapasitasnya untuk penyimpanan dan penggunaan
data?
• Apakah sistem penyedia layanan cukup fleksibel untuk mengakomodasi pertumbuhan

perusahaan yang diantisipasi?
Risiko Kepatuhan:
• Standar kepatuhan apa yang dipenuhi oleh penyedia layanan cloud?

• Informasi jaminan pihak ketiga apa yang tersedia?
• Informasi tambahan apa yang tersedia untuk membantu perusahaan menjaga kepatuhan
terhadap hukum dan peraturan yang berlaku?
Setelah auditor mempertimbangkan semua aspek risiko, audit di lingkungan

komputasi awan dapat dilakukan sesuai dengan pendekatan audit yang khas.
Namun, karena tidak ada yang namanya cloud standar, tidak mungkin untuk
menstandarkan proses penilaian risiko dan prosedur audit untuk lingkungan
komputasi cloud. Oleh karena itu, pengujian pengendalian harus dirancang secara
khusus untuk menentukan apakah risiko yang teridentifikasi sedang dimitigasi
dengan benar, dan pengujian substantif digunakan di area di mana pengendalian
dianggap kurang. Untuk kedua jenis pengujian, auditor dapat memperoleh akses ke
sistem cloud dan melakukan pengujian dari lokasi perusahaan. Panduan yang
berguna dalam melakukan prosedur audit untuk komputasi awan tersedia dari
Kerangka Kerja Jaminan TI ISACA, panduan pengguna Organisasi Internasional untuk
Standardisasi (ISO),
Ketika auditor dilibatkan untuk mengaudit perusahaan yang menggunakan komputasi awan atau
layanan outsourcing lainnya, maka auditor harus memutuskan bagaimana mendapatkan bukti
mengenai lingkungan kontrol penyedia layanan secara keseluruhan. Auditor dapat melakukan
pengujian mereka sendiri, seperti yang dijelaskan sebelumnya, atau mereka dapat memperoleh jenis
berikut Laporan SOC dari auditor penyedia layanan:
• S Laporan OC 1 membahas pengendalian internal atas pelaporan keuangan.

◦ Laporan tipe I berisi penilaian manajemen dan opini auditor
dalam operasi rancangan pengendalian internal atas pelaporan keuangan. Laporan
◦ Tipe II memperluas laporan Tipe I dengan juga mengevaluasi efektivitas operasi pengendalian
internal.
• Laporan SOC 2 mempertimbangkan kontrol atas kepatuhan dan operasi, termasuk Prinsip
Layanan Tepercaya tentang keamanan, ketersediaan, integritas pemrosesan, kerahasiaan
kesatuan, dan privasi sistem penyedia layanan.

◦ Kesimpulan Tipe I atau Tipe II mungkin berlaku dengan cara yang sama seperti untuk
laporan SOC 1.
• Laporan SOC 3 tidak diaudit tetapi berisi kesimpulan perusahaan audit tentang
elemen Prinsip Layanan Kepercayaan.
Perubahan dalam Lingkungan TI Klien
Ketika sebuah perusahaan mengubah jenis perangkat keras atau perangkat lunak yang digunakan atau
memodifikasi lingkungan TI-nya, auditornya harus mempertimbangkan apakah pengujian audit tambahan
diperlukan. Selama periode perubahannya, data dapat diambil dari sistem yang berbeda di
waktu yang berbeda. Akibatnya, auditor harus mempertimbangkan untuk

menerapkan pengujian pengendalian beberapa kali selama periode untuk
menentukan efektivitas pengendalian dalam setiap sistem. Tes audit khusus
mencakup verifikasi item-item berikut:
• Penilaian kebutuhan pengguna

• Otorisasi yang tepat untuk proyek baru dan perubahan program
• Studi kelayakan dan analisis biaya-manfaat yang memadai
• Dokumentasi desain yang tepat, termasuk revisi untuk perubahan yang dilakukan melalui versi
yang diperbarui, penggantian, atau pemeliharaan
• Instruksi pengguna yang benar, termasuk revisi untuk perubahan yang dilakukan melalui versi
terbaru, penggantian, atau pemeliharaan
• Pengujian yang memadai sebelum sistem digunakan
Secara keseluruhan, auditor perlu mengevaluasi prosedur perusahaan untuk mengembangkan,

menerapkan, dan memelihara sistem baru atau perubahan dalam sistem yang ada. Bab 5
membahas siklus hidup pengembangan sistem, yang melibatkan berbagai tahapan perubahan
dalam fungsi TI.
Ketika perusahaan klien berencana untuk mengimplementasikan sistem terkomputerisasi baru, auditor
mungkin akan mendapatkan keuntungan untuk meninjau fitur-fitur baru sebelum digunakan. Dengan cara
ini, auditor dapat memiliki kesempatan untuk mengidentifikasi pengendalian dan risiko dalam sistem, dan
untuk mengkomunikasikan masalah yang relevan kepada manajemen sebelum implementasi. Ini juga dapat
memberikan waktu kepada auditor untuk mengembangkan pengujian audit yang efektif untuk digunakan
saat sistem diaktifkan.
Pengambilan Sampel versus Pengujian Populasi
Auditor tidak selalu dapat mengevaluasi setiap aspek dari setiap item yang
berdampak pada informasi yang dilaporkan. Auditor sering mengandalkan contoh,
dimana mereka memilih dan menguji sejumlah item atau transaksi dan
kemudian menarik kesimpulan tentang informasi secara keseluruhan
berdasarkan hasil. Karena tes audit seringkali tidak mencakup semua item dalam
populasi, ada beberapa risiko bahwa sampel, atau subset, populasi mungkin
tidak mewakili keseimbangan secara keseluruhan. Auditor mencoba
menggunakan pengambilan sampel sehingga representasi yang adil dari
populasi dievaluasi. Perangkat lunak terkomputerisasi sering digunakan untuk
membantu auditor memilih sampel. Nomor acak dapat dibuat oleh program
perangkat lunak. Sampel bersifat acak jika setiap item dalam populasi memiliki
peluang yang sama untuk dipilih. Penggunaan program komputer memastikan
bahwa tidak ada bias dalam memilih item tes. Auditor juga dapat memilih item
sampel dengan metode lain, seperti pemilihan berdasarkan ukuran item.
Seiring berkembangnya bisnis, mereka cenderung memiliki kumpulan Data Besar. Dengan
munculnya Big Data, peningkatan risiko informasi; dengan demikian, auditor ditantang untuk
mempertimbangkan kembali apa yang merupakan bukti audit yang memadai. Mereka mungkin
beralih dari penggunaan strategi pengambilan sampel ke arah pengujian populasi, di mana
teknik audit kontinu digunakan untuk mengevaluasi 100 persen populasi, seringkali dalam
waktu nyata. Ini berarti bahwa auditor meninjau semua transaksi alih-alih sampel transaksi.
Pengujian populasi menjadi lebih luas, karena banyak auditor sekarang memiliki kemampuan
untuk terhubung secara elektronik dengan sistem informasi akuntansi klien mereka.
Masalah Etis Terkait Audit (Tujuan Studi 12) 239
Masalah Etis Terkait Audit (Tujuan

Studi 12)
Semua jenis auditor harus mengikuti pedoman yang mempromosikan perilaku etis.
Untuk auditor laporan keuangan, PCAOB / AICPA telah menetapkan Kode Perilaku
Profesional, yang biasa disebut kode etiknya. Kode etik ini terdiri dari dua bagian,
yaitu prinsip dan aturan. Prinsip-prinsip tersebut merupakan dasar untuk perilaku
terhormat yang diharapkan dari CPA saat menjalankan tugas profesional, sedangkan
aturan memberikan panduan yang lebih rinci. Berikut adalah enam prinsip kode:
1. Tanggung jawab. Dalam menjalankan tugas profesionalnya, CPA harus berolahraga

penilaian profesional dan moral yang sensitif dalam semua aktivitas mereka.
2. Kepentingan Umum. CPA harus bertindak dengan cara yang akan melayani kepentingan publik,
menghormati kepercayaan publik, dan menunjukkan komitmen terhadap profesionalisme.
3. Integritas. Untuk menjaga dan memperluas kepercayaan publik, CPA harus bekerja
tugas profesional mereka dengan rasa integritas tertinggi.
4. Objektivitas dan Independensi. CPA harus menjaga objektivitas dan bebas dari
konflik kepentingan dalam pelaksanaan tugas profesional mereka. CPA dalam
praktik publik harus independen dalam fakta dan penampilan saat memberikan
audit dan layanan pengesahan lainnya.
5. Kehati-hatian. CPA harus memperhatikan standar teknis dan etika profesi, berusaha
terus-menerus untuk meningkatkan kompetensi dan kualitas layanan, dan
melaksanakan tanggung jawab profesional dengan kemampuan terbaik mereka.
6. Cakupan dan Sifat Layanan. CPA dalam praktik publik harus memperhatikan
prinsip-prinsip Kode Perilaku Profesional dalam menentukan ruang lingkup dan
sifat layanan yang akan disediakan.
Auditor internal dan auditor TI harus mematuhi standar etika yang ditetapkan
oleh IIA dan ISACA. Kode Etik IIA didasarkan pada prinsip integritas, objektivitas,
kerahasiaan, dan kompetensi. Demikian pula, Kode Etik Profesional ISACA
mengakui uji tuntas, objektivitas, kompetensi, komunikasi, menjaga privasi dan
kerahasiaan, dan melayani untuk kepentingan pemangku kepentingan.
Kode etik profesi ini diadopsi oleh konstituennya masing-masing dalam mengakui
tanggung jawab etis mereka kepada orang lain. Kepatuhan terhadap kode etik
bergantung terutama pada pemahaman dan tindakan sukarela dari anggotanya. Di
Amerika Serikat, banyak negara bagian dan organisasi profesional memiliki komite khusus
yang bertanggung jawab untuk mempertimbangkan kasus pelanggaran dan menegakkan
kode etik. Sanksi komite dapat mencakup diskusi informal, menyelidiki keluhan,
mengeluarkan surat peringatan, mengadakan dengar pendapat dan persidangan, dan
penangguhan atau pengusiran sertifikasi profesional.
Dari semua prinsip etika yang berlaku bagi auditor, yang umumnya paling
mendapat perhatian adalah keharusan bagi auditor laporan keuangan untuk
menjaga independensi. Halaman-halaman awal bab ini menjelaskan pentingnya
pendengar yang tidak bias, yang merupakan inti dari kemandirian. Persyaratan
kemerdekaan membuat profesi CPA unik dibandingkan dengan profesional bisnis
lainnya. Perusahaan CPA dilarang melakukan penugasan audit ketika mereka
memiliki hubungan keuangan, manajerial, atau pribadi dengan klien atau ketika
mereka memiliki kemampuan untuk mempengaruhi klien mereka.
Dunia nyata
Dalam kasus penipuan perusahaan farmasi Manajer Phar-Mor kemudian dapat memindahkan
Phar-Mor, auditor menjadi terlalu dekat dengan persediaan antar toko untuk menyembunyikan
manajemen Phar-Mor dan berbagi informasi audit kekurangan persediaan di toko yang akan diaudit
yang seharusnya tidak mereka miliki. Misalnya, oleh perusahaan CPA. Auditor gagal menjaga
auditor memberi tahu manajemen toko mana yang netralitas dan objektivitas saat mereka melakukan
akan mereka pilih untuk pengujian inventaris. audit.
Contoh Phar-Mor mengilustrasikan poin bahwa independensi auditor dapat terancam

jika auditor menjadi terlalu ramah dengan klien mereka. Auditor memiliki kewajiban etis
untuk tidak pernah membiarkan apa pun, termasuk hubungan dekat dengan klien
mereka, mengganggu independensi dan objektivitas mereka.
The Sarbanes-Oxley Act membatasi auditor dengan melarang mereka melakukan jenis layanan tertentu untuk
klien mereka. Misalnya, auditor tidak dapat melakukan desain TI dan layanan implementasi untuk perusahaan yang
juga merupakan klien audit. Undang-undang tersebut menganggap layanan TI melibatkan keputusan manajemen
yang akan memengaruhi informasi keuangan yang disediakan oleh perusahaan. Hal ini pada akhirnya akan
menempatkan perusahaan audit dalam posisi mengaudit pekerjaannya sendiri dan oleh karena itu akan melanggar
objektivitasnya.
Sarbanes – Oxley Act juga meningkatkan tanggung jawab manajemen terkait penyajian
laporan keuangan secara wajar. Ini mengharuskan perusahaan publik untuk memiliki
komite audit sebagai subkomite dari dewan direksi. Komite audit diberi tanggung jawab
untuk mengawasi fungsi audit dan menyetujui semua layanan yang diberikan oleh
auditornya. Selain itu, Sarbanes – Oxley Act mewajibkan manajemen puncak untuk
memverifikasi secara tertulis bahwa laporan keuangan dinyatakan secara wajar dan
bahwa perusahaan memiliki kontrol internal yang memadai atas pelaporan keuangan.
Auditor yang bertanggung jawab untuk mengaudit laporan keuangan dan untuk melaporkan
keefektifan pengendalian internal klien mereka harus tidak berada dalam posisi membuat keputusan
manajerial, merancang atau menerapkan kebijakan dan prosedur, atau menyiapkan informasi
keuangan untuk klien mereka, karena tugas semacam itu akan membahayakan objektivitas mereka.
Jika auditor akan terlibat dalam tugas-tugas tersebut, mereka tidak mungkin mengaudit laporan
keuangan klien yang mendasari dan pengendalian internal dengan cara yang benar-benar tidak bias.
Dalam memenuhi tanggung jawab etisnya, auditor harus mempraktikkan skeptisisme profesional
selama audit. Skeptisisme profesional Artinya, auditor tidak boleh secara otomatis berasumsi bahwa
klien mereka jujur, tetapi harus memiliki pikiran yang ingin tahu dan pendekatan yang gigih untuk
mengevaluasi bukti untuk kemungkinan salah saji. Kesalahan penyajian dapat diakibatkan oleh
kesalahan atau kecurangan, dan auditor memiliki tanggung jawab yang sama untuk mencari kedua
penyebab kesalahan penyajian material.
Mengenai kecurangan dalam organisasi bisnis, ingat dari Bab 3 perbedaan antara kecurangan
karyawan dan kecurangan manajemen: Kecurangan pegawai melibatkan pencurian aset, sedangkan
kecurangan manajemen adalah kesalahan penyajian yang disengaja dari informasi keuangan. Fraud
mungkin sulit ditemukan oleh auditor, karena pelaku sering berusaha menyembunyikan kecurangan
tersebut. Auditor harus menyadari bahwa manajemen mungkin berada dalam posisi untuk
mengesampingkan kontrol yang telah ditetapkan, dan bahwa karyawan dapat bekerja dalam kolusi
untuk melakukan tindakan curang. Hal ini membuat auditor lebih sulit untuk mendeteksi kecurangan.
Contoh penipuan yang dilakukan oleh Crazy Eddie menggambarkan pentingnya auditor
mengetahui klien mereka dengan baik dan menerapkan skeptisisme profesional. Dalam
Masalah Etis Terkait Audit (Tujuan Studi 12) 241
Dunia nyata
Kasus penipuan manajemen yang dipublikasikan Antars menggunakan karyawan dan pemasoknya
secara luas melibatkan toko ritel elektronik Crazy Eddie untuk membantu menjalankan skema ilegal mereka.
di NewYork. Kasus ini sangat memalukan karena Mereka juga merusak bukti audit.
manajemen perusahaan, termasuk Eddie Antar dan Karena auditor terlalu percaya dan tidak hati-hati
keluarganya, menggunakan hampir setiap trik dalam melindungi file audit ketika mereka pulang di
buku untuk melakukan penipuan laporan keuangan penghujung hari, klien (Crazy Eddie) memiliki kesempatan
dan menipu auditor dalam prosesnya. Beberapa taktik untuk mengubah dokumen audit. Meskipun kecurangan
yang digunakan Antar termasuk melaporkan penjualan ini terjadi lebih dari dua dekade yang lalu, kecurangan ini
fiktif dan inventaris yang dilebih-lebihkan, masih memberikan contoh yang jelas tentang bagaimana
menyembunyikan kewajiban dan pengeluaran, dan kecurangan manajemen dapat dilakukan dan bagaimana
memalsukan laporan keuangan. auditor dapat ditipu.
Dalam penerapan skeptisisme profesional, auditor harus memastikan bahwa prosedur

audit mencakup berikut ini:
• Pemeriksaan pelaporan keuangan untuk entri yang tidak sah atau tidak biasa
• Review informasi estimasi dan perubahan dalam pelaporan keuangan untuk
kemungkinan bias
• Evaluasi tujuan bisnis yang wajar untuk semua transaksi penting.

Penting bagi auditor untuk mempertimbangkan kondisi di mana kecurangan dapat
dilakukan, termasuk kemungkinan tekanan, peluang, dan rasionalisasi untuk melakukan
tindakan tidak jujur. Dalam konteks sistem TI klien, auditor juga harus memikirkan
kemungkinan bahwa program komputer dapat diubah untuk melaporkan informasi
dengan cara yang menguntungkan bagi perusahaan.
Audit laporan keuangan modern cenderung berkonsentrasi pada analisis risiko,
mengevaluasi sistem komputer klien, dan menguji kontrol terkait, dengan pengurangan
penekanan pada prosedur substantif. Meskipun penting untuk memahami sistem
akuntansi perusahaan dan untuk menentukan apakah pengendalian terkait efektif, jenis
pengujian ini tidak cukup untuk memenuhi tanggung jawab profesi audit. Auditor harus
berhati-hati dalam menyeimbangkan campuran prosedur audit antara pengujian
pengendalian dan pengujian substantif. Penekanan pada proses komputer dan
pengendalian internal dapat menyebabkan ketergantungan yang berlebihan pada sistem
akuntansi, yang dapat dielakkan oleh manajemen. Oleh karena itu, penting juga untuk
melakukan prosedur substantif yang berfokus pada transaksi aktual dan saldo akun yang
menyusun laporan keuangan.
Akuntan kadang-kadang dipanggil untuk melakukan jenis layanan jaminan khusus yang disebut
audit forensik. Audit forensik dirancang khusus untuk menemukan dan mencegah penipuan dan
digunakan untuk perusahaan tempat penipuan diketahui atau diyakini ada. Beberapa akuntan yang
mengerjakan audit forensik menjadi pemeriksa penipuan bersertifikat (CFE) dan dianggap ahli
dalam mendeteksi penipuan. Beberapa CFE berspesialisasi dalam forensik komputer, yang melibatkan
deteksi pelanggaran dalam sistem komputer. Auditor TI dapat memainkan peran penting dalam
mengumpulkan dan menganalisis data yang diperlukan untuk melakukan atau membantu dalam
audit forensik. Kebutuhan akan layanan auditor jenis ini diperkirakan akan semakin meningkat di
masa mendatang, karena peluang kejahatan dunia maya kemungkinan akan meningkat seiring
dengan semakin meluasnya penggunaan Big Data dan komputasi awan.
Dunia nyata
Contoh penipuan manajemen ditemukan di Enron, dalam laporan laba rugi. Hal ini menggambarkan
Xerox, WorldCom, dan perusahaan besar dan terkenal pentingnya auditor untuk memvariasikan campuran
lainnya selama dua dekade terakhir. Faktanya, banyak prosedur audit untuk memasukkan kombinasi yang
kasus penipuan perusahaan besar yang telah menjadi wajar dari pengujian pengendalian dan pengujian
berita dalam beberapa tahun terakhir melibatkan substantif. Bahkan di perusahaan besar dengan sistem
kepala eksekutif atau manajer akunting perusahaan. pengendalian internal yang canggih, audit perlu
Salah saji laporan keuangan yang diakibatkan oleh menyertakan pengujian saldo akuntansi untuk
penipuan ini sangat mengejutkan. Di WorldCom, meningkatkan kemungkinan menemukan salah saji,
misalnya, hampir $ 4 miliar dalam biaya operasi termasuk yang berpotensi diakibatkan oleh pengelakan
disembunyikan ketika manajemen memutuskan untuk yang disengaja oleh manajemen atas pengendalian
mengkapitalisasi pengeluaran daripada melaporkan internal untuk melakukan kecurangan.
Ringkasan Tujuan Studi

Pengantar untuk mengaudit proses TI. Hampir semua perusahaan menggunakan sistem
terkomputerisasi untuk menjalankan bisnis dan memperhitungkan aktivitas bisnis, dan banyak
bisnis kewalahan dengan volume data terkomputerisasi yang tersedia untuk tujuan pelaporan
dan pengambilan keputusan. Mengingat volume informasi dan tingkat pemrosesan informasi
yang meningkat ini, fungsi audit sama pentingnya dalam meningkatkan kualitas informasi yang
tersedia bagi para pengambil keputusan.
Berbagai jenis audit dan auditor. Tiga jenis utama audit meliputi audit
kepatuhan, audit operasional, dan audit laporan keuangan. Audit dapat
dilakukan oleh CPA, auditor internal, auditor TI, atau auditor pemerintah.
Risiko informasi dan pengendalian internal yang ditingkatkan oleh TI. Risiko informasi
adalah kemungkinan informasi yang tersedia bagi pengambil keputusan mungkin tidak akurat.
Risiko informasi dapat dikurangi melalui penggunaan informasi yang telah diaudit. Auditor
mengandalkan kontrol manual dan komputer untuk mengurangi risiko informasi. Kontrol
komputer sering kali menutupi kelemahan dalam kontrol manual.
Literatur resmi yang digunakan dalam audit. Panduan audit terdapat dalam
standar audit yang diterima secara umum, serta standar yang dikeluarkan oleh
Badan Pengawas Akuntansi Perusahaan Publik, Dewan Standar Auditing, Dewan
Standar Audit dan Jaminan Internasional, dan Asosiasi Audit dan Kontrol Sistem
Informasi.
Asersi manajemen yang digunakan dalam proses audit dan tujuan audit terkait.
Manajemen membuat klaim mengenai status keuangan dan hasil operasi organisasi
bisnis, dan tujuan audit berkaitan dengan masing-masing asersi ini. Asersi tersebut
meliputi keberadaan, penilaian, kelengkapan, hak dan kewajiban, serta penyajian dan
pengungkapan.
Tahapan audit TI. Perikatan audit biasanya dicirikan oleh empat fase, termasuk
perencanaan, pengujian pengendalian, pengujian substantif, dan penyelesaian /
pelaporan.
Istilah Kunci 243
Penggunaan komputer dalam audit. Bergantung pada sifat sistem terkomputerisasi

perusahaan klien, auditor dapat melakukan audit di sekitar komputer, mengaudit melalui
komputer, atau mengaudit dengan komputer menggunakan teknik audit berbantuan
komputer.
Tes kontrol. Pengendalian umum dan pengendalian aplikasi dapat diuji selama audit untuk
menentukan apakah mereka berfungsi sebagaimana dirancang untuk bekerja. Ini akan
dilakukan hanya jika auditor bermaksud untuk mengandalkan keefektifan pengendalian
internal klien sebagai cara untuk membenarkan perluasan pengujian substantif yang berkurang
dalam fase audit yang tersisa.
Pengujian transaksi dan pengujian saldo. Pengujian substantif melibatkan

akumulasi bukti untuk mendukung transaksi yang telah terjadi dan saldo akun yang
dihasilkan. Luasnya pengujian substantif yang diperlukan dalam audit bergantung
pada kekuatan pengendalian yang mendasari klien.
Penyelesaian / pelaporan audit. Fase terakhir audit melibatkan evaluasi atas bukti yang
terkumpul dari semua pengujian audit untuk mencapai kesimpulan keseluruhan atas
penyajian informasi yang dilaporkan secara wajar. Komunikasi menyeluruh adalah kunci
dalam fase ini; manajemen perusahaan mengeluarkan surat perwakilan, auditor
mengeluarkan laporan audit, dan diskusi diadakan dengan direktur perusahaan.
Pertimbangan audit lainnya. Prosedur audit perlu disesuaikan dengan karakteristik spesifik
bisnis masing-masing klien. Secara khusus, pengujian ekstensif umumnya digunakan saat
mengaudit lingkungan komputer pribadi, untuk perusahaan yang menggunakan database atau
sistem jaringan yang luas, dan untuk perusahaan di mana perubahan komputer yang signifikan
telah diterapkan. Untuk membantu penyelesaian pengujian audit yang efisien, teknik
pengambilan sampel tersedia untuk menguji sebagian populasi.
Masalah etika terkait dengan audit. Auditor terikat oleh kode etik yang diadopsi oleh
organisasi profesional yang memandu berbagai praktik audit. Prinsip etika yang menjadi
dasar dari kode etik ini meliputi tanggung jawab profesional, pelayanan kepada
pemangku kepentingan / kepentingan umum, integritas, objektivitas dan kemandirian,
pelaksanaan kehati-hatian, dan ketaatan pada perilaku profesional.
Istilah Kunci
Pendapat yang merugikan Mengaudit melalui Audit berbantuan komputer Kontrol umum
Kontrol aplikasi komputer teknik (CAATs) Audit umum
Layanan jaminan Mengaudit dengan Audit berkelanjutan perangkat lunak (GAS)
Penyelesaian audit / komputer Analisis data Audit yang diterima secara umum
fase pelaporan Tes keaslian perangkat lunak (DAS) standar (GAAS)

Bukti audit Tes keseimbangan Penolakan Auditor pemerintah
Program audit Hukum Benford Modul audit tertanam Total hash
Tes jejak audit Penipuan Bersertifikat Audit eksternal Resiko informasi
Mengaudit sekitar Penguji (CFE) Pemeriksaan lapangan Sistem Informasi
komputer Publik Bersertifikat Audit laporan keuangan Audit dan Kontrol
Standar Audit Akuntan (CPA) Total keuangan Asosiasi (ISACA)
Papan (ASB) Audit kepatuhan Audit forensik Fasilitas uji terintegrasi
Auditor internal Pernyataan manajemen Perusahaan Umum SAS No. 94

Audit Internal Materialitas Pengawasan Akuntansi Laporan SOC
Dewan Standar (IASB) Tes akurasi matematika Papan (PCAOB) Pengujian substantif
Audit Internasional dan Audit operasional Pendapat yang memenuhi syarat Metode uji data
Standar Jaminan Simulasi paralel Tes kewajaran Tes kontrol
Dewan (IAASB) Tes penetrasi Rekonsiliasi Pendapat yang tidak memenuhi syarat
Auditor TI Fase perencanaan Tes redundansi Pemeriksaan validasi
Pengalihdayaan TI Pengujian populasi Risiko Penilaian kerentanan

Surat representasi Skeptisisme profesional Tes kesalahan pembulatan
Batasi tes Pemetaan program Total run-to-run

Kehilangan visibilitas jejak audit Pelacakan program Contoh
Akhir dari Materi Bab

Pemeriksaan Konsep 5 Manakah dari berikut ini yang paling tepat menggambarkan apa
1 Manakah dari jenis audit berikut yang paling mungkin yang dimaksud dengan istilah "standar audit yang diterima secara
dilakukan untuk tujuan mengidentifikasi area untuk umum"?
penghematan biaya? Sebuah. Prosedur yang digunakan untuk mengumpulkan bukti untuk mendukung
Sebuah. Audit laporan keuangan akurasi laporan keuangan klien

b. Audit operasional b. Pengukuran kualitas perilaku auditor di
melaksanakan tanggung jawab profesional
c. Audit regulasi
c. Pernyataan profesional yang dikeluarkan oleh
d. Audit kepatuhan
Dewan Standar Audit
2 Audit laporan keuangan harus dilakukan
d. Aturan yang diakui oleh profesi akuntansi
oleh
karena aplikasinya tersebar luas
Sebuah. auditor pemerintah
6 Dalam audit atas laporan keuangan sesuai dengan
b. CPA standar auditing yang berlaku umum, auditor
c. auditor internal diwajibkan untuk
d. Auditor TI Sebuah. mendokumentasikan pemahaman auditor tentang
pengendalian internal perusahaan klien
3 Manakah dari berikut ini tidak dianggap sebagai penyebab
risiko informasi? b. mencari kelemahan dalam pengoperasian
pengendalian internal perusahaan klien
Sebuah. Lokasi geografis manajemen jauh dari
sumber informasi yang dibutuhkan untuk membuat c. melakukan tes kontrol untuk mengevaluasi
keputusan yang efektif. efektivitas pengendalian internal
b. Informasi dikumpulkan dan disiapkan oleh perusahaan klien
orang yang menggunakan informasi untuk tujuan yang d. menentukan apakah kontrol sudah tepat
sangat berbeda. beroperasi untuk mencegah atau mendeteksi
salah saji material
c. Informasi tersebut berkaitan dengan kegiatan bisnis itu
tidak dipahami dengan baik oleh mereka yang mengumpulkan 7 Auditor harus mengembangkan program audit
dan meringkas informasi untuk pengambil keputusan. tertulis sehingga
d. Informasi tersebut telah diuji oleh internal Sebuah. semua transaksi material akan disertakan
auditor dan perusahaan CPA. pengujian substantif
4 Manakah dari berikut ini tidak bagian dari standar auditing b. pengujian substantif dilakukan sebelum akhir tahun
yang diterima secara umum? akan diminimalkan
Sebuah. Standar umum c. prosedur akan mencapai audit tertentu
tujuan yang terkait dengan asersi manajemen
b. Standar kerja lapangan
tertentu
c. Standar sistem informasi
d. setiap saldo akun akan diuji di bawah a
d. Standar pelaporan pengujian substantif atau pengujian pengendalian
Akhir dari Materi Bab 245
8 Manakah dari tujuan audit berikut yang berkaitan 13 Tujuan utama pengujian kepatuhan dalam audit
dengan asersi keberadaan manajemen? laporan keuangan adalah untuk menentukan apakah
Sebuah. Sebuah transaksi dicatat dalam periode yang tepat. Sebuah. prosedur telah diperbarui secara berkala
b. Sebuah transaksi benar-benar terjadi (yaitu nyata). b. jumlah laporan keuangan dinyatakan secara akurat
c. Sebuah transaksi disajikan dengan benar di finan‑ c. pengendalian internal berfungsi seperti yang dirancang
pernyataan resmi. d. kolusi sedang berlangsung
d. Suatu transaksi didukung oleh bukti rinci. 14 Manakah dari teknik audit berbantuan komputer berikut
9 Manakah dari pernyataan berikut tentang program yang memproses data input klien aktual (atau salinan dari
audit yang benar? data nyata) pada program terkontrol di bawah kendali
Sebuah. Program audit harus distandarisasi sehingga auditor untuk menguji kendali secara berkala dalam sistem
dapat digunakan pada setiap keterlibatan klien. komputer klien?
b. Program audit harus diselesaikan oleh Sebuah. Metode uji data
perusahaan klien sebelum tahap perencanaan b. Modul audit tertanam

audit dimulai. c. Fasilitas uji terintegrasi
c. Program audit harus dikembangkan oleh d. Simulasi paralel
auditor internal selama tahap penyelesaian /
15 Manakah dari teknik audit berbantuan komputer berikut
pelaporan audit.
yang memungkinkan transaksi fiktif dan nyata untuk
d. Program audit menetapkan tanggung jawab untuk diproses bersama tanpa personel klien mengetahui
setiap pengujian audit dengan meminta tanda tangan atau
proses pengujian?
inisial dari auditor yang melaksanakan pengujian tersebut.
Sebuah. Metode uji data
10 Penilaian risiko adalah proses yang dirancang untuk
b. Modul audit tertanam
Sebuah. mengidentifikasi kemungkinan keadaan dan peristiwa itu
c. Fasilitas uji terintegrasi
dapat mempengaruhi bisnis
d. Simulasi paralel
b. menetapkan kebijakan dan prosedur untuk dilaksanakan
pengendalian internal 16 Manakah dari berikut ini yang merupakan kontrol umum untuk
menguji akses eksternal ke sistem terkomputerisasi klien?
c. mengidentifikasi dan menangkap informasi dalam a
secara tepat waktu Sebuah. Tes penetrasi
d. menguji pengendalian internal sepanjang tahun b. Total hash

11 Manakah dari prosedur audit berikut yang paling c. Pemeriksaan lapangan
mungkin dilaksanakan selama fase perencanaan d. Pelacakan program

audit? 17 Misalkan selama fase perencanaan audit, auditor menentukan
Sebuah. Dapatkan pemahaman tentang risiko klien bahwa kelemahan ada dalam sistem komputerisasi klien.
proses penilaian. Kelemahan ini membuat perusahaan klien rentan terhadap
b. Identifikasi aktivitas pengendalian internal tertentu risiko pembobolan yang tidak sah. Jenis prosedur audit apa
dirancang untuk mencegah penipuan. yang harus ditekankan dalam fase audit yang tersisa?
c. Evaluasi kewajaran klien

estimasi akuntansi. Sebuah. Tes kontrol
d. Uji batas waktu pembayaran tunai dan b. Tes penetrasi

koleksi. c. Tes substantif
12 Manakah dari berikut ini yang merupakan kerugian d. Tes kesalahan pembulatan
paling signifikan dari audit seputar komputer daripada
18 Perangkat lunak audit umum dapat digunakan untuk
melalui komputer?
Sebuah. memeriksa konsistensi data yang dipertahankan
Sebuah. Waktu yang terlibat dalam pengujian kontrol pemrosesan adalah
file komputer
penting.
b. melakukan tes audit dari beberapa file komputer
b. Biaya yang terlibat dalam pengujian kontrol pemrosesan adalah
secara bersamaan
penting.
c. verifikasi logika pemrosesan operasi
c. Sebagian dari jejak audit tidak diuji. perangkat lunak sistem
d. Keahlian teknis yang diperlukan untuk menguji pemrosesan
d. memproses data uji terhadap file master yang berisi
kontrol sangat luas.
baik data nyata maupun fiktif
19 Auditor independen umumnya secara aktif terlibat 30 (SP 4) Organisasi penetapan standar profesional mana
dalam setiap tugas berikut kecuali yang memberikan panduan tentang pelaksanaan audit
Sebuah. penyusunan laporan keuangan klien dan TI?
catatan yang menyertai 31 (SO 5) Jika manajemen bertanggung jawab atas laporan
keuangannya sendiri, mengapa auditor penting?
b. menasihati manajemen klien untuk penerapannya
dari standar akuntansi baru 32 (SO 6) Sebutkan teknik yang digunakan untuk
c. mengusulkan penyesuaian keuangan klien mengumpulkan bukti.
pernyataan 33 (SO 6) Selama fase audit manakah auditor akan

d. menasihati manajemen klien tentang presentasi mempertimbangkan penilaian risiko dan materialitas?
tion dari laporan keuangan 34 (SO 7) Bedakan antara audit melalui komputer dan
20 Manakah dari berikut ini yang paling mungkin audit dengan komputer. Kapan auditor diharuskan
menjadi atribut unik untuk pekerjaan audit laporan untuk mengaudit melalui komputer dan bukan
keuangan CPA, dibandingkan dengan pekerjaan yang mengaudit di sekitar komputer?
dilakukan oleh pengacara atau praktisi dari profesi 35 (SO 8) Jelaskan mengapa biasanya dilakukan pengujian
bisnis lain? pengendalian umum sebelum pengujian pengendalian
Sebuah. Karena perawatan profesional
aplikasi.
b. Kompetensi 36 (SO 8) Mengidentifikasi empat aspek penting dari kontrol

administratif dalam lingkungan TI.
c. Kemerdekaan
37 (SO 8) Jelaskan mengapa Hukum Benford berguna bagi
d. Badan dasar yang kompleks dari
auditor dalam mendeteksi kecurangan.
pengetahuan profesional
38 (SO 8) Pikirkan tentang tempat Anda pernah bekerja di
21 Manakah dari istilah berikut ini tidak terkait dengan
mana komputer hadir. Apa saja pengendalian fisik dan
persyaratan auditor laporan keuangan untuk menjaga
lingkungan yang telah Anda amati di tempat kerja?
independensi?
Berikan setidaknya dua contoh masing-masing dari
Sebuah. Objektivitas pengalaman pribadi Anda.
b. Kenetralan 39 (SO 8) Total batch dan total hash adalah kontrol input
c. Skeptisisme profesional yang umum. Mempertimbangkan fakta bahwa total hash
dapat digunakan dengan pemrosesan batch, bedakan
d. Kompetensi
antara kedua jenis kontrol ini.
40 (SO 8) Metode data pengujian dan fasilitas pengujian
Pertanyaan Diskusi
terintegrasi serupa karena keduanya merupakan pengujian
22 (SO 1) Apa itu layanan jaminan? Nilai apa yang kontrol aplikasi dan keduanya bergantung pada penggunaan
disediakan oleh layanan jaminan? data pengujian. Jelaskan perbedaan antara kedua teknik audit
23 (SO 2) Membedakan antara audit kepatuhan dan ini.
audit operasional. 41 (SO 9) Jelaskan perlunya melakukan pengujian substansial
24 (SO 2) Jenis audit apa yang paling mungkin dilakukan bahkan untuk klien audit dengan kontrol internal yang
oleh auditor pemerintah? Jenis audit apa yang paling kuat dan sistem TI yang canggih.
mungkin dilakukan oleh auditor internal? 42 (SO 9) Jenis alat audit apa yang digunakan untuk melakukan
pengujian rutin pada file data elektronik yang diambil dari
25 (SO 2) Mengidentifikasi tiga bidang pekerjaan auditor database? Buat daftar jenis pengujian yang dapat dilakukan
yang secara signifikan dipengaruhi oleh adanya dengan alat ini.
sistem akuntansi TI. 43 (SO 10) Manakah dari empat jenis laporan audit
26 (SO 3) Jelaskan tiga penyebab risiko informasi. yang paling disukai klien audit? Mana yang paling
tidak disukai?
27 (SO 3) Jelaskan bagaimana jejak audit bisa "hilang" 44 (SO 10) Mengapa sangat penting untuk
dalam sistem komputerisasi. mendapatkan surat perwakilan dari klien audit?
28 (SO 3) Menjelaskan bagaimana kehadiran proses TI dapat 45 (SO 11) Bagaimana auditor dapat mengevaluasi pengendalian internal
meningkatkan kualitas informasi yang digunakan manajemen ketika klien mereka menggunakan alih daya TI?
untuk pengambilan keputusan. 46 (SO 12) Karakteristik auditor dari skeptisisme

29 (SO 4) Membedakan antara fokus standar profesional paling erat kaitannya dengan prinsip
GAAS kerja lapangan dan standar pelaporan. etika Kode AICPA
Perilaku Profesional?
Masalah 247
Latihan Singkat saldo akun yang dilaporkan tidak nyata. Kresiki

beralasan pernyataan kelengkapan itu dilanggar,
47 (SO 2) Mengapa CPA harus dilarang memiliki
karena data yang relevan dihilangkan dari catatan.
hubungan keuangan atau pribadi dengan klien?
Auditor mana yang benar? Jelaskan jawabanmu.
Berikan contoh bagaimana koneksi keuangan ke
perusahaan akan mengganggu objektivitas auditor. 51 (SO 6) Salah satu tugas terpenting dari tahap perencanaan
Berikan contoh bagaimana hubungan pribadi dapat adalah agar auditor mendapatkan pemahaman tentang
mengganggu objektivitas auditor. pengendalian internal. Bagaimana hal ini berbeda dari tugas
yang dilakukan selama pengujian fase kontrol?
48 (SO 3) Dari perspektif pengendalian internal, diskusikan
keuntungan dan kerugian menggunakan sistem akuntansi 52 (SO 8) Bagaimana mungkin review log komputer dapat
berbasis TI. digunakan untuk menguji kontrol akses internal dan
kontrol akses eksternal? Selain meninjau log komputer,
49 (SO 4) Jelaskan mengapa standar kerja lapangan untuk GAAS
identifikasi dan jelaskan dua jenis prosedur audit yang
tidak secara khusus membantu auditor yang mencoba untuk
dilakukan untuk menguji kontrol akses internal, dan dua
menentukan jenis pengujian yang akan digunakan pada
jenis prosedur audit yang dilakukan untuk menguji
perikatan audit.
kontrol akses eksternal.
50 (SO 5) Kim dan Kresiki ditugaskan untuk mengaudit
Perusahaan Yoga Ying & Yang. Selama audit, ditemukan
53 (SO 9) Jelaskan mengapa audit kontinu semakin populer.
Identifikasi dan jelaskan teknik audit berbantuan
bahwa jumlah penjualan yang dilaporkan di laporan laba
komputer yang berguna untuk audit kontinu.
rugi Ying & Yang dikecilkan karena transaksi pembelian
selama satu minggu tidak dicatat karena kesalahan 54 (SO 11) Membedakan antara berbagai opsi pelaporan
komputer. Kim mengklaim bahwa masalah ini kontrol organisasi layanan (SOC) yang tersedia bagi
merupakan pelanggaran terhadap pernyataan auditor yang mengevaluasi penyedia layanan komputasi
manajemen mengenai keberadaannya, karena awan.
Masalah
55 (SO 4) Diberikan adalah daftar badan pengaturan standar audit bagaimana perangkat lunak audit umum atau paket perangkat lunak
(ditampilkan di sebelah kiri) dan deskripsi tujuannya (ditampilkan di analisis data dapat digunakan untuk membantu pengujian audit ini?
sebelah kanan). Cocokkan setiap badan pengaturan standar dengan
tujuannya. 58 (SO 11) Untuk mempertahankan auditor
independensi, Sarbanes-Oxley Act of 2002
I. PCAOB Sebuah. Didirikan oleh AICPA untuk
membatasi jenis layanan nonaudit itu
menerbitkan SAS
auditor dapat melakukan untuk klien audit perusahaan publik
II. ASB b. Menerbitkan ISAS untuk memberikan pedoman mereka. Daftar tersebut mencakup sembilan jenis layanan yang
untuk audit TI dilarang karena dianggap mengganggu independensi auditor.
AKU AKU AKU. IAASB c. Didirikan oleh Sarbanes – Oxley Act of Yang termasuk dalam daftar adalah sebagai berikut:
2002 untuk menetapkan audit
pedoman untuk perusahaan publik • Desain dan implementasi sistem
IV. ISACA informasi keuangan
dan auditornya
d. Masalah ISA untuk mempromosikan • Pengalihdayaan audit internal
keseragaman praktik audit di seluruh dunia Jelaskan bagaimana independensi auditor dapat dirusak jika
dia melakukan fungsi desain dan implementasi TI untuk klien
56 (SO 8) Identifikasi apakah setiap pengujian audit berikut auditnya. Demikian pula, bagaimana keterlibatan auditor
digunakan untuk mengevaluasi kontrol akses internal (I), dengan outsourcing audit internal dapat mengganggu
kontrol akses eksternal (E), atau keduanya (B): independensinya sehubungan dengan mengaudit
• Tes keaslian perusahaan yang sama?
• Tes penetrasi 59 (SO 2) Kunjungi situs web AICPA di www.aicpa.org dan
• Penilaian kerentanan pilih tab untuk Jalur Karir. Klik "Cara Ini Menuju CPA"
• Review log akses untuk mencari informasi tentang karir audit.
• Review kebijakan tentang penerbitan kata
sandi dan token keamanan 60 (SO 4 dan 9) Kunjungi situs ISACA di www.isaca.org dan
klik tab Pusat Pengetahuan, lalu pilih ITAF (Kerangka
57 (SO 9) Lihat kutipan program audit hutang wesel bayar Kerja Jaminan Teknologi Informasi) dan klik tab
yang disajikan dalam Exhibit 7‑3. Jika auditor punya Dasar-Dasar Audit TI untuk menemukan artikel yang
salinan file data klien ini untuk wesel tagihnya, mencakup topik mengenai proses audit. Menemukan
artikel tentang setiap topik berikut dan menjawab Mulai dari titik mana pun dalam tabel, siapkan daftar
pertanyaan terkait: digit pertama volume harian untuk 100 saham.
Sebuah. Identifikasi dan jelaskan secara singkat empat kategori Tentukan apakah nomor yang terdaftar sesuai dengan
CAAT digunakan untuk mendukung audit TI. Hukum Benford.
b. Sebutkan tiga prosedur yang mungkin dilakukan 62 (SO 12) Lakukan pencarian di Internet untuk
Auditor TI yang mengevaluasi kontrol yang berkaitan menentukan sifat dari skema penipuan manajemen
dengan pencadangan dan pemulihan data klien. Xerox Corporation dan untuk mengetahui apa yang
terjadi pada perusahaan setelah masalah ditemukan.
61 ( SO 8) Cari tabel stok untuk dua saham utama
pertukaran dalam masalah apa pun dari Wall Street Journal.
Kasus
63 Kyle Sanders sedang mengaudit laporan keuangan diharapkan. Auditor yang melakukan fase perencanaan
Industri Grosir Dunia ketika dia dihadapkan pada situasi dan pengujian sekarang telah ditugaskan ke
yang aneh. Seorang anggota tim manajemen puncak keterlibatan klien lain, jadi McGuire dipanggil untuk
Dunia mendekatinya dengan catatan anonim yang telah melakukan fase penyelesaian / pelaporan.
diambil dari kotak saran perusahaan. Catatan tersebut Dalam membahas rincian perikatan audit dengan
menuduh karyawan yang tidak disebutkan namanya di tim audit asli, McGuire mengetahui bahwa tim asli
departemen TI Dunia mengubah database hutang dengan mengharapkan opini audit tanpa pengecualian akan
memasukkan transaksi palsu yang melibatkan vendor dikeluarkan. Harapan tersebut didasarkan pada
fiktif. Pembayaran yang dilakukan kepada vendor fiktif ini luasnya bukti audit yang terkumpul sehingga
dicegat dan diuangkan oleh penipu tersebut. menimbulkan keyakinan bahwa laporan keuangan
telah disajikan secara wajar sesuai dengan SAK.
Yg dibutuhkan:
Harold Stebbins, CFO Kraft, tidak senang dengan
perubahan personel audit. Dia mengancam akan
Sebuah. Pengujian pengendalian mana yang akan efektif
menolak memberikan surat perwakilan.
membantu Sanders menentukan apakah basis data
Yg dibutuhkan:
vendor Dunia rentan terhadap penipuan?
Sebuah. Apakah pantas bagi McGuire untuk membuka kembali
b. Apa teknik audit berbantuan komputer nantinya
efektif dalam membantu Sanders menentukan apakah fase pengujian audit untuk memperluas prosedur,
database vendor Dunia benar-benar telah dipalsukan? mengingat kurangnya bukti representatif dari
manajemen? Mengapa atau mengapa tidak?
64 Ryan McGuire adalah auditor di firma CPA besar. McGuire b. Akankah firma McGuire masih bisa mengeluarkan unquali‑
baru-baru ini ditugaskan untuk melakukan audit laporan laporan audit gagal jika tidak menerima surat representasi?
keuangan Kraft Brewery, Inc., sebuah tempat pembuatan bir Teliti kata-kata standar untuk dimasukkan dalam laporan
dan distributor makanan khusus Jerman. Perusahaan McGuire audit yang tidak memenuhi syarat, serta kata-kata tipikal
mengaudit Kraft untuk pertama kalinya. Audit hampir selesai, yang disertakan dalam surat representasi klien. Dasarkan
tetapi membutuhkan lebih banyak waktu daripada jawaban Anda pada temuan Anda.
Solusi untuk Pemeriksaan Konsep

1 (CIA Adapted) (SO 2) Dari jenis audit yang diberikan, efektivitas operasi, dan auditor TI fokus pada
b. audit operasional kemungkinan besar akan dilakukan untuk efektivitas proses terkomputerisasi.
tujuan mengidentifikasi area untuk penghematan biaya. Tujuan 3 (SO 3) Itu d. informasi tersebut telah diuji oleh auditor
utamanya adalah untuk meningkatkan efisiensi dan efektivitas, yang internal dan kantor akuntan publik tidak dianggap sebagai
kemungkinan besar akan menghasilkan penghematan biaya. penyebab risiko informasi. Ini adalah cara untuk mengurangi
2 (SO 2) Audit laporan keuangan wajib dilakukan oleh b. risiko informasi, bukan penyebab risiko informasi. Jawaban a.
CPA. CPA memiliki pengetahuan luas tentang GAAP, berkaitan dengan keterpencilan informasi,
yang merupakan kriteria yang disyaratkan dalam audit b. berkaitan dengan motif pembuatnya; dan c. berkaitan
laporan keuangan. Di sisi lain, auditor pemerintah dengan kompleksitas transaksi, yang masing-masing
adalah spesialis dalam peraturan pemerintah, auditor terkait dengan peningkatan risiko informasi.
internal bekerja dengan mengukur kepatuhan 4 (SO 4) c. Standar sistem informasi bukan bagian dari
terhadap arahan manajemen dan standar auditing yang diterima secara umum. Itu
Solusi untuk Pemeriksaan Konsep 249
tiga kategori GAAS adalah standar umum, standar menentukan apakah pengendalian internal
kerja lapangan, dan standar pelaporan. berfungsi sesuai dengan maksud manajemen.
5 (CPA Diadaptasi) (SO 4) b. “Pengukuran kualitas perilaku 14 (CPA Adapted, CIA Adapted) (SO 8) Teknik audit berbantuan
auditor dalam melaksanakan tanggung jawab profesional” paling komputer yang memproses data input klien aktual (atau
tepat menggambarkan apa yang dimaksud dengan istilah salinan data nyata) pada program terkontrol di bawah
"standar audit yang diterima secara umum". kendali auditor untuk secara berkala menguji kontrol
6 (CPA Adapted) (SO 4) Dalam audit laporan keuangan sesuai dalam sistem komputer klien adalah d. simulasi paralel. Setiap
dengan standar auditing yang berlaku umum, auditor tanggapan lainnya melibatkan penggunaan sistem
diharuskan untuk Sebuah. mendokumentasikan komputer perusahaan klien.
pemahaman auditor tentang pengendalian internal 15 (CPA Adapted) (SO 8) Teknik audit berbantuan
perusahaan klien. Masing-masing respons lain berkaitan komputer yang memungkinkan transaksi fiktif dan
dengan pengujian pengendalian, yang diperlukan hanya jika nyata diproses bersama-sama tanpa personel klien
auditor berencana untuk mengandalkan efektivitas menyadari proses pengujian.
pengendalian internal. c. fasilitas pengujian terintegrasi.
7 (CPA Adapted) (SO 5) Auditor harus merancang program 16 (SO 8) Kontrol umum untuk menguji akses eksternal ke
audit tertulis sehingga c. prosedur tersebut akan mencapai sistem komputerisasi klien adalah Sebuah. tes penetrasi. Jawaban
tujuan audit khusus yang terkait dengan asersi b., C., Dan d. adalah kontrol aplikasi.
manajemen tertentu. 17 (SO 8 dan 9) Selama fase perencanaan audit, auditor
8 (SO 5) Tujuan audit yang berkaitan dengan asersi menentukan bahwa kelemahan ada dalam sistem
keberadaan manajemen adalah bahwa b. transaksi komputerisasi klien. Kelemahan ini membuat
benar-benar terjadi (yaitu nyata). Menjawab perusahaan klien rentan terhadap risiko pembobolan
Sebuah. terkait dengan cutoff; jawaban c. terkait dengan presentasi yang tidak sah. Jenis prosedur audit yang harus
dan pengungkapan; jawaban d. berkaitan dengan penilaian. ditekankan pada tahap-tahap selanjutnya dari audit ini
9 (SO 6) Pernyataan tentang program audit yang benar adalah c. tes substantif. Jawaban a., B., Dan
d. masing-masing berkaitan dengan pengujian pengendalian, yang harus
adalah itu d. program audit menetapkan tanggung
dilakukan hanya jika pengendalian yang baik telah ditemukan pada
jawab untuk setiap pengujian audit dengan meminta
tempatnya. Pengujian pengendalian yang lemah atau tidak efektif tidak
tanda tangan atau inisial auditor yang melaksanakan
bermanfaat, karena tujuan pengujian pengendalian adalah untuk
pengujian tersebut. Jawaban a. tidak benar karena
membuktikan kegunaan pengendalian sebagai dasar untuk mengurangi
program audit perlu dikembangkan untuk menangani sifat
pengujian substantif.
unik setiap perusahaan klien. Jawaban b. dan C. tidak benar
karena klien, termasuk auditor internalnya, tidak boleh 18 (CIA Adapted) (SO 9) Perangkat lunak audit yang digeneralisasi dapat
terlibat dalam pengembangan atau penyelesaian program digunakan untuk Sebuah. memeriksa konsistensi data yang disimpan
audit; melainkan, audit adalah tanggung jawab auditor pada file komputer. Tanggapan ini berlaku untuk penggunaan
independen. perangkat lunak audit umum untuk melakukan perbandingan. Tak satu
10 (CMA Adapted) (SO 6) Penilaian risiko adalah proses yang dirancang

pun dari tanggapan lain yang berkaitan dengan penggunaan yang
dijelaskan di bawah Tujuan Studi 9.
untuk Sebuah. mengidentifikasi kemungkinan keadaan dan
peristiwa yang dapat mempengaruhi bisnis. 19 (CMA Adapted) (SO 12) Auditor independen umumnya secara
11 (CPA Adapted) (SO 6) Prosedur audit yang paling mungkin aktif terlibat dalam setiap tugas yang diberikan kecuali Sebuah.
dilakukan selama tahap perencanaan audit adalah untuk Sebuah. persiapan laporan keuangan klien dan catatan yang
memperoleh pemahaman tentang proses penilaian menyertainya. Auditor akan ditempatkan dalam posisi
risiko klien. Respon b. dilakukan selama pengujian mengaudit pekerjaan mereka sendiri jika mereka menyiapkan
pengendalian. Tanggapan c. dan laporan keuangan untuk klien audit.
d. dilakukan sebagai bagian dari pengujian substantif. 20 (CMA Adapted) (SO 12) Atribut yang paling mungkin unik
12 (CIA Adapted) (SO 7) Kerugian yang paling signifikan untuk pekerjaan audit CPA, dibandingkan dengan
dari audit di sekitar komputer daripada melalui pekerjaan yang dilakukan oleh pengacara atau praktisi dari
komputer adalah bahwa c. sebagian dari jejak audit profesi bisnis lain, adalah c. Kemerdekaan. Kebanyakan
tidak diuji. Tiga tanggapan lainnya masing-masing akan profesional lain adalah pembela klien mereka, sedangkan
dianggap sebagai kerugian dari audit melalui auditor harus independen sehubungan dengan klien audit
komputer. mereka.
13 (CMA Adapted) (SO 8) Tujuan utama dari pengujian kepatuhan 21 (SO 4 dan 12) Istilah yang tidak terkait dengan persyaratan
dalam audit laporan keuangan adalah untuk menentukan auditor untuk menjaga independensi adalah
apakah c. pengendalian internal berfungsi seperti yang d. Kompetensi. Kompetensi berkaitan dengan standar umum
dirancang. Pengujian kepatuhan adalah istilah lain untuk pertama dalam GAAS; masing-masing jawaban lainnya
pengujian pengendalian, yang tujuannya adalah untuk berhubungan dengan kemandirian (standar umum kedua).

Bahasa Indo Bab 7

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Bahasa Indo Bab 7

Diunggah oleh

Hak Cipta:

Format Tersedia

BAB 7

Pengauditan proses berbasis teknologi informasi menjadi fokus bab

Jenis Audit dan Auditor (Tujuan

• Audit kepatuhan menentukan apakah perusahaan telah mematuhi peraturan dan

• Desain dan kinerja tes audit

Risiko Informasi dan Pengendalian Internal yang

• Keterpencilan informasi. Para pembuat keputusan biasanya dipaksa untuk bergantung

Literatur Otoritatif yang Digunakan dalam

• Itu Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB) diselenggarakan pada

Standar Audit yang Diterima Secara Umum

skandal akuntansi perusahaan, termasuk yang mempengaruhi Enron, WorldCom,

Asersi Manajemen dan Tujuan Audit

Asersi Manajemen dan Tujuan Audit Terkait

• Didukung oleh bukti rinci

Prosedur Audit Khusus Menjawab Tujuan dan Asersi Audit

1. Dapatkan konfirmasi tertulis dari lembaga keuangan mengenai jumlah tersebut

• Catat tanggal pembayaran pokok. Tentukan bahwa klasifikasi saat ini

• Catat adanya batasan yang diberlakukan pada perusahaan berdasarkan

Tahapan Audit TI (Tujuan Studi 6)

Apakah internal perusahaan Kontrol Tidak

kontrol dapat diandalkan? Penilaian

Luasnya prosedur tergantung

Sifat dan tingkat prosedur

Hasil Tidak Memperluas Iya

Melalui setiap fase audit, bukti dikumpulkan untuk mendukung kesimpulan

Berbagai tahapan audit biasanya mencakup kombinasi dari teknik-teknik ini.

Informasi tentang bisnis

Nilai Materialitas Nilai Materialitas

Kembangkan Audit Kembangkan Audit

Jadwalkan Audit Jadwalkan Audit

Penggunaan Komputer dalam

Mengaudit melalui komputer melibatkan pengujian langsung kontrol internal dalam

• Auditor wajib melaporkan pengendalian internal sehubungan dengan audit

Tes Kontrol (Tujuan Studi 8)

Bukti dari Perusahaan

• Administrasi TI serta proses pengembangan dan pemeliharaan sistem

Administrasi TI Departemen TI harus diorganisir sehingga tercipta dan didukung tempat

• Akuntabilitas pribadi dan pemisahan tanggung jawab yang tidak sesuai

beberapa cara auditor dapat menguji pengendalian ini.

Untuk menguji intern kontrol akses, auditor harus

• Tes keaslian, seperti yang dijelaskan sebelumnya.

Kontrol Pemrosesan Prosedur audit TI biasanya mencakup kombinasi uji akurasi

Perbandingan Teknik Audit Berbantuan Komputer (CAAT) untuk Menguji

berkala atau terus menerus. aktivitas.

berasal dari keluaran aplikasi. Untuk meningkatkan pengendalian, rekonsiliasi

Ujian Transaksi dan Ujian Saldo (Tujuan Studi

Bukti yang mendukung perusahaan

Lakukan Terperinci Lakukan Diperluas

Lakukan Material Tidak

• Perhitungan matematika dan statistik

• Melihat rekaman kamera pengintai untuk menguatkan keberadaan armada

• Menggunakan pengenal frekuensi radio untuk memantau pergerakan inventaris

• Melakukan pencocokan elektronik atas informasi transaksi utama, seperti pesanan

Penyelesaian / Pelaporan Audit

Apakah bukti cukup Tidak Perluas Substantif

Masalah Laporan Audit

Fase penyelesaian mencakup banyak tugas yang diperlukan untuk menyelesaikan

Pertimbangan Audit Lainnya

• Verifikasi penggunaan perangkat lunak antivirus dan frekuensi pemindaian virus.

• Memverifikasi bahwa perusahaan telah mengevaluasi sistem komputer mitra

• Bagaimana penyedia layanan cloud memisahkan informasi di antara klien?

• Apakah sistem penyedia layanan cukup fleksibel untuk mengakomodasi pertumbuhan

• Standar kepatuhan apa yang dipenuhi oleh penyedia layanan cloud?

Setelah auditor mempertimbangkan semua aspek risiko, audit di lingkungan