CH 9-Indo-Pert 2

Machine Translated by Google
9
Sistem kerja: ide dasar 2
TUJUAN PEMBELAJARAN
Setelah mempelajari bab ini Anda seharusnya mampu:
• Menjelaskan sifat dan peran kontrol aplikasi dan menjelaskan fitur utama
kontrol ini.
• Membedakan antara kontrol pengembangan/pemeliharaan sistem dan aplikasi

kontrol.
• Tunjukkan bagaimana auditor memecah sistem menjadi komponen-komponen sebagai bantuan

memahami sistem.
• Jelaskan bagaimana sistem pencatatan auditor digunakan.
PERKENALAN
Pada Bab 8 kita membahas pentingnya lapisan regulasi dan kontrol dalam sebuah
organisasi. Kami mendefinisikan pengendalian internal dan menjelaskan pentingnya
lingkungan pengendalian dan komponen terkait. Kami juga membahas sifat dan peran
pengendalian pengembangan/pemeliharaan sistem, melihat fitur utamanya dan
mencatat bahwa pengendalian umum menyediakan lingkungan yang aman di mana
aplikasi dapat berlangsung. Dalam bab ini kita mengalihkan perhatian kita pada
pengendalian aplikasi, namun sebelum melakukan hal ini, mari kita ingatkan diri kita
sendiri bahwa sistem komputerisasi sangat penting bagi bisnis modern sehingga
kegagalan atau inefisiensi yang signifikan di dalamnya akan menjadi risiko bisnis yang
besar. Auditor harus meyakinkan diri mereka sendiri bahwa kontrol atas aplikasi
sudah kuat, khususnya ketika mereka digunakan untuk memproses transaksi dan
menciptakan saldo yang tercermin dalam laporan keuangan.
326
Hak Cipta 2019 Cenage Learning. Seluruh hak cipta. Tidak boleh disalin, dipindai, atau diduplikasi, seluruhnya atau sebagian. Karena hak elektronik, beberapa konten pihak ketiga mungkin disembunyikan dari eBook dan/atau eChapter.
Tinjauan editorial menganggap bahwa konten apa pun yang disembunyikan tidak berdampak signifikan terhadap pengalaman belajar secara keseluruhan. Cengage Learning berhak menghapus konten tambahan kapan saja jika pembatasan hak berikutnya mengharuskannya.
Kontrol pengambilan/input data 327
KONTROL APLIKASI
Kami akan menanyakan terlebih dahulu apa yang Anda yakini sebagai tujuan utama
aplikasi.
AKTIVITAS 9.1
Buat daftar tujuan utama aplikasi komputer secara umum, dengan mengingat
bahwa tujuan tersebut mengubah data masukan menjadi data dan informasi
lebih lanjut bagi pengguna.
Anda mungkin telah membuat daftar tujuan utama berikut:
• Data yang dikumpulkan sebelum dimasukkan harus asli, akurat dan lengkap,
termasuk otorisasi yang sesuai.
• Data yang diterima sistem harus diproses agar tetap asli, akurat, dan lengkap.
• Data yang disimpan sementara atau permanen harus asli, akurat dan
menyelesaikan.
• Keluaran data/informasi adalah asli, akurat, lengkap, dan masuk ke rekening

penerima yang dituju.
• Semua transaksi dan saldo dapat ditelusuri kembali ke sumbernya dan
meneruskan ke tujuan akhir, sehingga informasi/jejak audit selesai.
Kami telah menggunakan frasa 'asli, akurat dan lengkap' sebanyak empat kali dalam
daftar tujuan kami. Kami mengingatkan Anda bahwa frasa ini berarti bahwa semua
transaksi atau saldo harus didasarkan pada kejadian nyata; misalnya, pesanan penjualan
harus merupakan hasil pesanan nyata dari pelanggan; bahwa saldo piutang usaha
seharusnya merupakan hasil penyerahan barang atau jasa yang nyata (asli). Selain itu,
seluruh item data telah diperhitungkan dengan baik, misalnya faktur penjualan memuat
jumlah yang dibebankan kepada pelanggan berdasarkan harga dan jumlah yang
Kami merujuk kembali ke
disepakati, perhitungan termasuk PPN sudah benar (akurat). Selanjutnya SEMUA data Tabel 7.2 halaman 263
telah diinput dan diolah serta tersedia bagi pengguna, tidak ada satupun yang hilang untuk penjelasan 'asli,
(lengkap). akurat dan lengkap'.
Dalam bab ini kita membahas kontrol aplikasi dengan judul berikut:
• kontrol pengambilan/input data

• kontrol pemrosesan
• kontrol keluaran
• sistem basis data
• perdagangan elektronik.
PENGAMBILAN DATA / KONTROL INPUT

Pada bagian ini kita mempertimbangkan kontrol pada titik di mana data ditangkap pada
batas atau antarmuka sistem dan selanjutnya dimasukkan oleh operator.
Ingatlah bahwa risikonya tinggi jika batasannya terlampaui.
328 Sistem kerja: ide dasar 2
AKTIVITAS 9.2
Seorang petugas penjualan menerima pesanan melalui telepon dari seorang pelanggan, Harry
Smith, yang meminta pengiriman 100 unit produk, dengan harga £5 per unit.
Apa yang sangat berisiko dalam transaksi ini dan bagaimana prosesnya
Apakah ada upaya yang tepat untuk mengurangi risiko ke tingkat yang dapat diterima?
Risiko besarnya adalah Harry Smith akan menerima barang dan tidak membayarnya.
Resiko lainnya adalah pengiriman barang tidak diminta, pengiriman ke alamat yang salah, pengiriman
dengan harga atau syarat yang tidak disepakati, atau janji pengiriman padahal barang tidak tersedia
sehingga mengancam hubungan baik. Tentu saja ada risiko-risiko lain, namun risiko-risiko ini sudah cukup
untuk dihadapi.
Risiko ini dapat dikurangi jika entitas mempunyai sistem untuk mengidentifikasi Harry Smith, untuk
memeriksa pesanan, untuk memeriksa kelayakan kreditnya, untuk menentukan persyaratan penambangan
untuk jenis pelanggannya dan untuk memeriksa ketersediaan inventaris.
Jika Harry Smith sudah menjadi nasabah, dia dapat mengidentifikasi dirinya dengan memberikan rincian
yang hanya diketahui oleh dirinya sendiri, seperti nama gadis ibu, atau kata identifikasi, atau huruf yang
dipilih dalam kata sandi (bank sering kali menggunakan sistem identifikasi seperti ini). Untuk pelanggan
yang sudah ada, sistem mungkin mengharuskan petugas untuk membandingkan saldo terhutang dan batas
kredit. Pelanggan baru mungkin dimintai rincian kartu kredit yang membuktikan bahwa kredit tersedia, atau
mungkin diminta untuk membayar sebelum barang dikirimkan. Petugas harus dapat memeriksa ketersediaan
persediaan dan waktu pengiriman. Risiko-risiko lain yang disebutkan di atas kemungkinan besar
disebabkan oleh pencatatan yang salah. Untuk memperkecil kemungkinan kesalahan seperti itu, format
layar harus dirancang untuk kemudahan penggunaan dan sistem tidak boleh mengizinkan transaksi
dilanjutkan kecuali semua kolom formulir di layar sudah lengkap. Petugas juga harus dilatih untuk
membacakan rincian transaksi kembali kepada pelanggan.
Salinan pesanan dalam hal ini mungkin dikirim melalui email atau dikirim melalui pos ke pelanggan.
Sekarang mari kita pertimbangkan pengambilan data dan kontrol input secara detail.
Kontrol batas
Ini adalah kontrol atas antarmuka antara pengguna dan sistem.
Mereka menjadi lebih penting karena sistem telah didistribusikan ke lokasi-lokasi yang jauh. Pada suatu
waktu kontrol seperti itu tidak begitu diperlukan karena penggunanya sudah dikenal luas, sebagian besar
aktivitas komputasi berlokasi di pusat dan akses dapat dibatasi oleh kontrol fisik seperti pintu yang terkunci.
Ketika pengguna semakin tersebar dan e-commerce menjadi sarana penting dalam menjalankan bisnis,
identitas pengguna perlu ditetapkan, membatasi akses mereka terhadap data dan informasi, serta
memastikan mereka mendapatkan data/informasi yang diinginkan. Ini adalah area yang sangat kompleks
dan kami tidak dapat melakukan lebih dari sekedar memberikan gambaran tentang beberapa kontrol yang
digunakan dan memperluas kontrol yang lebih umum digunakan.
Pengendalian batas mencakup hal-hal berikut:
• Kontrol kriptografi, yang membuat data tidak dapat dibaca kecuali oleh pihak yang berwenang
pengguna.
• Kartu plastik merupakan sarana untuk mengidentifikasi pengguna dan mungkin berisi informasi
tentang mereka, yang membuktikan bahwa mereka asli. Harus ada kontrol atas
permohonan kartu, atas persiapannya, penerbitan dan pembatalannya. Lebih aman jika
digunakan bersama dengan PIN.
• Nomor Identifikasi Pribadi (PIN). Penggunaan PIN akan baik-baik saja
diketahui oleh Anda karena bank dan pengecer memanfaatkannya. Tentu saja, jika PIN tidak
disimpan secara terpisah dari kartu plastik, baik kartu maupun PIN tidak akan memberikan
kontrol yang diperlukan, misalnya jika keduanya hilang di dompet yang sama. Kontrol yang
cermat harus dipertahankan terhadap pembuatan PIN dan perubahannya, terhadap
penerbitan dan penerimaannya oleh pengguna. Kebanyakan sistem hanya mengizinkan
beberapa upaya untuk memasukkan PIN dan ini merupakan kontrol yang baik.
• Tanda tangan digital. Kita sering menandatangani dokumen untuk memberikan persetujuan kepada a
kontrak atau ketika kita mengirim surat. Ini dikenal sebagai tanda tangan analog.
Namun semakin banyak orang yang menggunakan sistem komputer memberikan
persetujuan mereka terhadap dokumen dan kontrak menggunakan tanda tangan digital,
yang dienkripsi dan dapat dibaca oleh seseorang dengan fasilitas yang sesuai ketika dokumen
tersebut diterima.
• Kata sandi dan firewall. Mungkin kontrol yang paling banyak digunakan untuk mencegah atau
membatasi akses adalah kata sandi dan firewall dan kami akan mengomentarinya di
bawah ini:
Kata sandi
Kami mengharapkan sistem kata sandi memiliki fitur berikut:
• Tingkat akses, memberikan nomor identifikasi kepada pengguna, dan status akses yang
memberitahukan data apa yang boleh mereka akses dan fungsi yang dapat mereka lakukan.
Kemungkinan tindakan yang mempengaruhi data adalah 'hanya baca'; 'membaca dan
menambahkan data baru'; 'membaca dan mengubah'; dan 'baca dan hapus'; dan, tentu saja,
'tidak ada akses' atau 'akses ditolak'. Dengan demikian, petugas pesanan penjualan mungkin
diizinkan untuk membaca informasi pada file piutang dagang – misalnya saldo dan batas
kredit – tetapi tidak boleh mengubahnya.
• Kata sandi dengan setidaknya delapan digit alfanumerik, namun kombinasinya mudah dibuat
Ingat.
• Penghindaran kata sandi yang terkait dengan orang yang menggunakannya.

• Pelatihan staf untuk memastikan anggota staf mengetahui bahwa kata sandi harus disimpan
rahasia.
• Perubahan kata sandi secara teratur dan sering.

• Mematikan terminal jika sandi salah dimasukkan (katakanlah) sebanyak tiga kali.
Kontrol akses sangat penting ketika terminal yang jauh digunakan

untuk mengirimkan data ke komputer di lokasi pusat:
(a) Pada suatu waktu terminal disimpan di ruang terpisah, namun saat ini terminal biasanya
berada di meja karyawan untuk digunakan bila diperlukan. Ini berarti bahwa sistem kata
sandi merupakan kontrol penting dalam sistem yang menggunakan terminal jauh.
(b) Pengendalian penting lainnya dalam sistem yang menggunakan terminal adalah membatasi
penggunaannya sehingga, misalnya, beberapa terminal mungkin digunakan untuk
mengakses sistem akuntansi penjualan saja. Hal ini akan mempersulit orang yang tidak
berkepentingan untuk mendapatkan akses ke data rahasia (seperti penggajian) atau data
yang tidak mereka perlukan. (Departemen penerimaan barang tidak perlu mengakses
analisis penjualan, misalnya.)
(c) Teknik yang berguna adalah memiliki sistem yang mencatat terminal mana dan
karyawan mana yang mengakses sistem dan pada jam berapa. Pengendalian tersebut
perlu didukung dengan peninjauan catatan akses oleh orang yang bertanggung
jawab dan penyelidikan yang dilakukan ketika akses berasal dari terminal yang
tidak berwenang atau oleh karyawan yang tidak berwenang.
(d) Pengendalian lebih lanjut yang bermanfaat adalah membatasi penggunaan terminal pada kondisi normal
jam kerja kecuali diizinkan oleh orang yang bertanggung jawab. Hal ini sepertinya tidak
sesuai dalam lingkungan e-commerce dimana fasilitas tersebut mungkin online
selama 24 jam.
Dalam banyak kasus, perusahaan menggunakan sistem telepon nasional untuk

mengirimkan data ke instalasi komputer. Jika hal ini terjadi, kami berharap untuk melihat
kontrol tambahan berikut:
• Nomor telepon yang digunakan harus ex-direktori dan tidak dipublikasikan, sehingga
lebih sulit bagi 'peretas' untuk mendapatkan akses. Fitur ini dapat diperkuat dengan
membuat nomor telepon hanya diketahui oleh perangkat lunak komputer dan tidak
diketahui oleh pengguna terminal. Sistem komputer pusat hanya akan mengizinkan akses
ketika identitas karyawan telah diverifikasi.
• Menyewa jalur pribadi dari operator telepon untuk digunakan oleh organisasi saja dan
tidak digunakan oleh orang lain. Jalur seperti itu akan lebih aman.
• Pembatasan nomor telepon pada bagian tertentu dari sistem komputer sehingga, misalnya,
sistem penjualan hanya dapat diakses menggunakan nomor 'penjualan'.
• Sistem panggilan balik untuk memastikan bahwa panggilan ke sistem komputer utama
adalah asli. Sistem seperti itu akan memutuskan sambungan terminal dan sistem
komputer pusat kemudian akan memanggil kembali terminal tersebut dan
menghubungkannya untuk mencegah akses tidak sah dari lokasi di luar organisasi.
• Jika data dikirimkan melalui saluran telepon, enkripsi mungkin sangat penting.
Firewall
Firewall dibuat dan dipelihara oleh sistem yang dirancang khusus untuk melindungi jaringan
komputer dari gangguan yang tidak sah. Banyak bisnis telah membangun jaringan (dikenal
Intranet manajemen puncak sebagai intranet) untuk menyediakan berbagai layanan seperti email kepada karyawan. Tidak
tidak akan dapat diakses ada keraguan bahwa email telah meningkatkan komunikasi dalam organisasi dan juga
oleh bagian lain dalam organisasi.
memungkinkan transfer data yang mudah antar bagian sistem. Jaringan sering diperluas
untuk mencakup orang-orang dan organisasi di luar organisasi, seperti pelanggan dan
pemasok, dalam hal ini mereka dikenal sebagai ekstranet. Masalah dengan jaringan seperti
ini adalah bahwa mereka mungkin menjadi rentan jika terlalu terbuka terhadap dunia luar.
Data mungkin rusak dari sumber luar, dan perusahaan harus mencari cara untuk melindungi
diri dari gangguan tersebut. Firewall adalah sistem yang mengontrol akses dari atau ke
Internet atau antara dua jaringan atau lebih, bahkan dalam organisasi yang sama, sekaligus
memungkinkan komunikasi bebas di dalam jaringan. Beberapa fitur pengendalian firewall
serupa dengan yang telah kita bahas, seperti memerlukan identifikasi data yang dikirimkan
dan orang atau organisasi yang mengirimkannya. Beberapa jaringan sangat ketat, tidak
mengizinkan transmisi apa pun melalui firewall tanpa mekanisme kontrol yang prima. Namun
hal ini mungkin terlalu membatasi
komunikasi yang efektif, sehingga banyak perusahaan mengadopsi metode terbuka untuk beberapa
bentuk komunikasi dan metode yang lebih ketat ketika data ditransfer atau ketika privasi adalah yang
terpenting.
Inisiasi jejak informasi/audit

Pada titik akses di mana pengguna melintasi batas pada antarmuka pengguna, catatan pertama dari
jejak tersebut harus dibuat. Identitas dan keaslian pengguna akan dicatat terlebih dahulu.
AKTIVITAS 9.3
Mengingat diskusi kita di atas, data apa lagi tentang pengguna dan tindakan terkait yang
harus dicatat?
Sistem harus mencatat data yang aksesnya diminta tetapi juga tindakan yang diambil pengguna
terkait data tersebut (misalnya, petugas penjualan yang memerlukan akses ke pelanggan kredit, rincian
dan ketersediaan inventaris). Sistem juga akan mencatat terminal di mana akses sedang dicari,
sehingga menunjukkan lokasi pengguna. Setelah akses diminta, keputusan akses harus dibuat
catatannya termasuk tingkat aksesnya. Hal lain yang mungkin dicatat adalah jumlah upaya masuk dan
waktu mulai dan selesai. Hal ini tampak sangat logis, namun jelas jika langkah-langkah ini tidak diambil
maka entitas dan auditor akan mengalami kesulitan, bahkan tidak mungkin, untuk merekonstruksi
urutan kejadian dan menentukan apakah keamanan pada antarmuka pengguna memuaskan.
Kontrol masukan
Pengendalian batas dan pengendalian masukan jelas saling terkait, karena pengendalian pada
antarmuka akan membantu memastikan bahwa data yang masuk ke sistem adalah valid. Namun,
subsistem masukan adalah subsistem yang membawa data ke sistem aplikasi untuk diproses. Sistem
aplikasi juga memerlukan program yang benar untuk diverifikasi dan dimuat, sehingga subsistem input
juga bertanggung jawab untuk memastikan validitas perangkat lunak yang digunakan.
Beberapa kontrol input atas data harus ada sebelum data melewatinya
antarmuka pengguna, contohnya adalah:
• Desain dokumentasi sumber. Kami menyarankan di atas bahwa layar harus dirancang dengan
benar untuk mengurangi kesalahan pada antarmuka pengguna. Namun penggunaan dokumen
sumber yang telah dicetak dan diberi nomor sebelumnya serta pemeriksaan urutan
selanjutnya akan membantu kelengkapan pengumpulan – dan pemrosesan selanjutnya –
karena putusnya urutan dapat mengindikasikan hilangnya data masukan.
Fitur desain lainnya mencakup judul dan tata letak yang jelas untuk membantu penyelesaian.
Bidang harus dirancang untuk memastikan bahwa produk, pelanggan, kode pemasok, tanggal
dan sebagainya sudah lengkap dengan standarisasi panjang entri dan menyediakan jumlah
kotak yang sesuai pada formulir. Tujuan penting adalah kemudahan masuk pada keyboard.
Bahkan dokumen yang berasal dari luar organisasi dapat dibuat lebih mudah dibaca dengan
terlebih dahulu menyoroti data-data penting, seperti nomor pesanan, harga, nilai, PPN, dan
sebagainya.
• Desain produk, pelanggan, dan kode lainnya. Kode merupakan sarana penting bagi sistem
aplikasi untuk mengidentifikasi subjek entri data. Jelasnya, kode yang salah akan
mengakibatkan pemrosesan yang tidak akurat, sehingga harus ditemukan cara untuk
memastikan kode tersebut kemungkinan dimasukkan dengan benar – atau bahwa entri
yang salah terdeteksi pada tahap awal. Beberapa di antaranya cukup sederhana, seperti
membuat kode tetap pendek atau mengelompokkan bagian-bagian kode menjadi blok
pendek, karakter alfa, dan karakter numerik secara terpisah, memastikan bahwa kode
tidak memerlukan gerakan tombol shift pada keyboard dan menghindari huruf yang
mungkin disalahartikan sebagai angka.
• Penggunaan angka pengecekan untuk membuat deteksi kesalahan entri lebih mungkin
dilakukan, sehingga memastikan bahwa rincian karyawan yang dimasukkan benar
atau pelanggan yang benar ditagih atau pergerakan inventaris yang benar dicatat.
Digit pemeriksa adalah digit yang termasuk dalam nomor kode dan memiliki hubungan
matematis dengan digit lainnya, yang diperiksa oleh program. Digit pemeriksa harus
dirancang dengan hati-hati karena beberapa jenis kesalahan, seperti transposisi,
mungkin tidak terdeteksi oleh sistem yang lebih sederhana. Selain itu, karena penggunaan
digit pengecekan memerlukan waktu komputasi, banyak perusahaan membatasi
penggunaannya pada bidang yang dianggap penting, seperti kode inventaris.
• Pemeriksaan urutan. Kami mencatat di atas bahwa pemeriksaan urutan memungkinkan

sistem mendeteksi apakah suatu item data hilang. Jelasnya, harus ada sistem untuk
mengalokasikan nomor ke dokumen atau data yang dimasukkan langsung di antarmuka
pengguna. Pemeriksaan urutan oleh subsistem masukan mungkin mengungkapkan item
data yang hilang pada tahap awal, namun pemeriksaan urutan juga penting selama
pemrosesan.
• Uji batas atau kewajaran. Ini adalah kontrol terprogram yang mendeteksi item data yang
tidak memenuhi kriteria tertentu. Misalnya, jika jam kerja dimasukkan sebagai 64 jam dalam
seminggu, bukan 46 jam, sistem masukan mungkin mendeteksi hal ini dengan memeriksa
masukan hingga batas yang telah ditentukan (misalnya) 50 jam dan meminta masuk
kembali.
• Pemeriksaan satu per satu. Beberapa item data sangat penting sehingga perlu diperiksa
secara manual untuk dokumentasi sumber. Contohnya adalah perubahan pada file induk
kepegawaian yang harus benar jika penggajian ingin akurat.
• Kontrol batch. Pengelompokan dokumen dan transaksi adalah cara yang baik
mengendalikan masukan, terutama jika dikombinasikan dengan pengendalian organisasi
yang tepat. Gambar 9.1 menunjukkan sistem batch dokumen sederhana dalam suatu
entitas dengan sistem entri data terpusat.
Bagian kendali data
Pengendalian organisasi dalam entitas ini mencakup transfer data formal antara departemen
bertanggung jawab untuk
persiapan data dan bagian pengendalian data serta verifikasi awal masukan. Dalam sistem
memastikan dokumentasi input
seperti ini kita mengharapkan untuk melihat:
sudah lengkap, diteruskan ke
operator dan total kendali komputer
• Pemisahan departemen pengguna dan departemen komputer.
sesuai dengan total yang telah ditentukan.
Dalam sistem offline dan sistem • Retensi kendali departemen pengguna atas data (dalam sistem basis data
online (bukan real-time), staf jika database diperbarui dari berbagai sumber, hal ini biasanya tidak mungkin dilakukan).
penyiapan data mempunyai Pengendalian dibantu dengan penggunaan total pengendalian yang disiapkan oleh
tanggung jawab utama atas
departemen persiapan data, baik hash, nilai, atau hitungan. Total hash mungkin merupakan
kelengkapan dan keakuratan data
masukan dan harus mempunyai penjumlahan dari jumlah produk berbeda yang terjual tetapi dapat digunakan untuk
keputusan akhir mengenai memeriksa apakah keluaran setelah pemrosesan akurat dan lengkap. Nilai total
adalah
tindakan perbaikan jika total pengendalian tidak sesuai. nilai mata uang dari data yang dimasukkan. Hitungannya adalah
jumlah dokumen dalam batch dan merupakan sarana untuk memastikan bahwa
seluruh dokumen telah diproses. Anda juga akan melihat bahwa dokumen-dokumen
tersebut telah diberi nomor sebelumnya, sehingga memungkinkan program untuk
memeriksa bahwa tidak ada pemutusan urutan. Nomor dokumen akan dimasukkan dengan data lainnya.
• Transfer data secara formal antara departemen persiapan data dan bagian pengendalian
data di departemen komputer, sehingga mengurangi risiko pemrosesan yang tidak
sah.
• Pemeliharaan log kontrol dengan persiapan data dan kontrol data
bagian.
• Investigasi perbedaan antara total pengendalian yang telah ditentukan dan

total aktual pada awalnya oleh bagian pengendalian data tetapi dengan peninjauan
laporan pengecualian dan keputusan tindakan oleh departemen persiapan data.
• Verifikasi awal atas masukan. Dalam sistem non-real time mungkin terdapat jeda antara
input dan pemrosesan, dan validasi input dapat dilakukan sebelum pemrosesan.
GAMBAR 9.1 Antarmuka antara penyiapan data dan ruang komputer
Antarmuka
Persiapan data Ruang komputer
Data Kontrol data

koleksi bagian Operator Pengguna
Resmi
Kontrol total – transfer
hash, nilai, hitungan.
Pengolahan Keluaran
Pra-penomoran dari
dokumen
Kontrol total –
hash, nilai, hitungan.
Masuk
Buku kendali Buku kendali urutan
diparaf oleh diparaf oleh
DP dan DCS DP dan DCS
Dalam sistem basis data, batching tidak dapat digunakan seperti yang ditunjukkan pada
Gambar 9.1, karena data akan dimasukkan oleh sejumlah pengguna yang berbeda, mungkin
di lokasi yang tersebar. Ini berarti pembuat data kehilangan kendali atas data.
Namun, sistem batch tetap dapat digunakan, meskipun batch tersebut mungkin sangat
berbeda sifatnya, yang tidak terdiri dari sekumpulan dokumen melainkan sekumpulan tindakan.
Bisa berupa semua entri data yang dibuat oleh petugas tertentu atau semua entri melalui
terminal tertentu pada siang hari. Panitera akan menyiapkan total kendali transaksi mereka
pada siang hari, dan total kendali ini akan dikirim ke bagian kendali data, bersama dengan
tanggal entri dibuat, untuk setelah kejadian.
perbandingan antara total kendali panitera dan yang dihasilkan oleh subsistem pemrosesan. Jadi,
jika Petugas A telah mengirimkan pesanan penjualan dari terminal di lokasi yang jauh dengan total
hash yang disiapkan sendiri sebesar £10.903, total keluaran untuk Petugas A harus sama. Tentu
saja, Panitera A harus diidentifikasi di antarmuka pengguna. Dalam sistem semacam ini, petugas
input tetap mengendalikan datanya, tetapi hanya jika jumlah total kendali terminal dicatat.
Data masukan harus diverifikasi sesegera mungkin karena memperbaiki kesalahan pada tahap
selanjutnya, misalnya setelah pemrosesan, memerlukan biaya yang mahal, dan sementara itu ada
bahaya bahwa data, baik di database atau di tempat lain, telah rusak. Subsistem masukan harus
memasukkan data melalui proses validasi untuk memeriksa data masukan sebelum melanjutkan ke
pemrosesan akhir. Pemeriksaan rutin harus menghasilkan laporan pengecualian mengenai hal-hal
seperti urutan yang tidak lengkap dan kode produk/pelanggan yang tidak ada. Sistem kemudian harus
meneruskan rincian kesalahan kembali ke pembuat data asli untuk diperbaiki. Dalam sistem yang
lebih modern, subsistem masukan akan melaporkan kesalahan pada saat masuk, memberikan
peringatan suara dan menjelaskan jenis kesalahan (misalnya 'nomor produk tidak valid') di layar.
AKTIVITAS 9.4
Jenis data informasi/audit apa yang ingin Anda lihat dicatat?
Jejak informasi/audit input yang melalui subsistem input sebelum pemrosesan serupa dengan
yang dicatat pada antarmuka data tetapi dengan tambahan data transaksi dan file induk yang akan
diperbarui, jumlah batch yang item datanya dilampirkan, waktu dan tanggal penangkapan dan
sebagainya.
Pada dasarnya, informasi yang cukup diperlukan untuk melacak item data kembali ke sumber dan
meneruskannya ke keluaran.
KONTROL PENGOLAHAN
CPU, memori utama dan sistem operasi
CPU dan memori utama memiliki reputasi keandalan yang tinggi, namun entitas harus memastikan
bahwa elemen-elemennya diuji dari waktu ke waktu dan fasilitas cadangan tersedia bila diperlukan.
Beberapa perusahaan menjalankan dua instalasi komputer yang identik dan mentransfer operasi
dari satu ke yang lain secara teratur. Organisasi lain mempunyai perjanjian dengan entitas dengan
konfigurasi serupa jika terjadi masalah.
Sistem operasi harus mampu mencegah kerusakan data, terutama jika banyak pengguna
menggunakan sistem pada saat yang bersamaan. Jika terjadi kesalahan, misalnya listrik padam
secara tidak terduga, maka operasi harus dikontrol sehingga kehilangan data dan perangkat lunak
dapat diminimalkan. Ia harus melindungi dirinya dari gangguan yang tidak sah; peretas yang cerdik
dapat menipu sistem operasi bahwa mereka adalah pengguna yang sah. Auditor harus memastikan
bahwa entitas memiliki sistem pemantauan untuk mengurangi kemungkinan penyusupan yang tidak
sah sejauh mungkin.
Kontrol pemrosesan 335
Kontrol atas aplikasi

Ada sejumlah hal pengendalian tertentu yang harus diperhatikan terkait pemrosesan. Ini adalah:
(a) Kontinuitas dalam pemrosesan, dengan kontrol run-to-run untuk memastikan kebenarannya
transaksi dan file master telah dipilih untuk diproses. Jadi, jika suatu entitas menyimpan
'transaksi penjualan hingga saat ini' dan 'buku besar piutang dagang', program harus
memeriksa apakah file yang diperbarui adalah file yang diperbarui sebelumnya, sehingga
file 'ayah' harus digunakan, bersama dengan file saat ini. transaksi, untuk menghasilkan
file 'anak' 'transaksi penjualan sampai saat ini' dan 'buku besar piutang dagang'. Jelasnya,
memperbarui file 'kakek' akan menghasilkan hasil yang salah. Salah satu cara untuk
melakukannya adalah dengan mencatat tanggal pemrosesan terakhir dan total kontrol
terkait pada file di akhir setiap proses yang dijalankan. Program pembaruan akan
memeriksa apakah file induk sesuai dengan yang diharapkan dan kemudian
menggunakan total kontrol pada file induk dan file transaksi baru untuk memeriksa
keakuratan pemrosesan. Jika file disimpan di penyimpanan sekunder, seperti disk
eksternal, maka file tersebut harus berisi label eksternal serta pengenal elektronik, seperti
tanggal pembaruan terakhir dan total kontrol. Program ini akan menolak file apa pun
yang pengenal elektroniknya berbeda dari yang diharapkan. Untuk tujuan keamanan, isi
disk dan database dibuang secara berkala dan total kontrol dapat diatur kemudian.
(b) Data pada file induk yang digunakan oleh semua proses transaksi tertentu harus asli,
akurat dan lengkap. Jelasnya, file induk harus mutakhir, namun prosedur otorisasi
harus diterapkan, ditambah dengan pemisahan tugas, saat memperbarui file-file ini.
Misalnya, lebih baik bagi individu di departemen personalia, yang tidak terlibat dalam
persiapan penggajian, untuk memperbarui file induk penggajian. Sangat penting bahwa
file induk asli, akurat dan lengkap sehingga semua entri baru harus diperiksa
keakuratannya setelah entri awal. Total kontrol dapat diatur untuk pengujian setiap kali
file digunakan. Auditor, baik internal maupun eksternal, menguji kelengkapan dan
keakuratan file induk.
(c) Karena pemrosesan dalam sistem komputer dilakukan dengan menggunakan program
instruksi, sangat penting bahwa program diuji pada tahap pengembangan dan secara
berkelanjutan untuk memastikan kinerjanya sesuai rencana. Kesalahan program dikenal
sebagai 'kesalahan sistematik' dan berbahaya karena muncul secara otomatis setiap kali
program dijalankan atau file master digunakan.
(d) Jejak informasi/audit harus mencatat seluruh tindakan pemrosesan sejak data masukan
diterima hingga saat data tersebut dikirim sebagai keluaran.
AKTIVITAS 9.5
Asumsikan pesanan persediaan disiapkan secara otomatis di suatu perusahaan ketika

tingkat persediaan minimum telah tercapai. Jenis data apa yang ingin Anda lihat
dicatat dalam persiapan pesanan pembelian?
Dalam keadaan seperti ini, pencatatan harus mengidentifikasi alasan tindakan, hasil
tindakan dan bagian program yang memicu tindakan tersebut. Kami mengharapkan untuk
melihat catatan keputusan yang logis – jumlah persediaan gratis sebenarnya berada di
bawah jumlah minimum dan juga rincian jumlah pemesanan ulang, jumlah persediaan
gratis baru, pemasok yang dipilih, tanggal, nomor pesanan, dan sebagainya. Subrutin
program yang menyebabkan tindakan tersebut juga harus dicatat.
Jelasnya, auditor yang ingin menggunakan jejak audit yang tercatat harus memiliki a
sarana untuk menginterogasinya dan membuat laporan tentang data yang ingin mereka
Bab 11. lacak. Kita akan membahas penggunaan komputer oleh auditor dalam pengujian
audit nanti, namun harus ada tujuan audit yang jelas ketika melaksanakan pekerjaan
ini. Dalam hal ini mungkin dapat dipastikan bahwa pesanan pembelian yang diterbitkan
telah disahkan dengan benar dan dipicu oleh adanya kebutuhan nyata atas barang
tersebut.
(e) Jika terjadi kegagalan sistem selama pemrosesan, sistem kendali harus melakukannya
memastikan tidak ada data yang hilang atau rusak. Kami yakin Anda semua suatu saat
pernah kehilangan sebagian esai atau karya tulis lainnya karena kegagalan komputer.
Ada beberapa cara untuk melindungi pekerjaan selama penyelesaian – baik dengan
menyimpan secara rutin atau memiliki rutinitas penyimpanan bawaan.
Dimungkinkan untuk menginstal sistem yang akan memberi tahu, jika terjadi kegagalan
pemrosesan, data mana yang berhasil diproses dan mana yang belum.
Auditor ingin memastikan bahwa sistem tersebut dapat diandalkan dan bahwa rincian
pemrosesan yang rusak dan dimulai kembali dicatat dalam informasi/
jejak audit.
(f) Pengendalian pemrosesan lainnya mencakup hal-hal berikut:

• Pemeriksaan urutan. Kita membahas pemeriksaan urutan dalam kontrol input,
namun dalam hal ini tujuannya adalah untuk menjamin kelengkapan data yang diolah.
• Uji batas atau kewajaran. Pengujian ini juga berguna untuk menguji keakuratan data
setelah diproses. Untuk mengambil contoh penggajian lagi, jika upah, setelah
diproses, melebihi jumlah yang telah ditentukan, subsistem pemrosesan akan
menyebabkan item tersebut dicatat pada laporan pengecualian.
• Cast dan cross-cast. Beberapa kelompok item data dapat diuji keakuratannya
dengan memeriksa apakah cetakan silang sesuai dengan cetakan vertikal. Tes
semacam ini dapat dilakukan pada laporan penggajian atau penjualan.
KONTROL KELUARAN
Dua tujuan pengendalian keluaran adalah untuk memastikan bahwa keluaran diproses dengan
benar (asli, akurat dan lengkap) dan didistribusikan kepada mereka yang membutuhkannya.
Aturan dasar distribusi keluaran adalah bahwa informasi diberikan kepada pengguna yang
membutuhkannya untuk pekerjaan mereka dan bahwa pengguna tersebut harus diberi wewenang
secara resmi. Perhatian khusus harus diberikan pada keluaran yang berisi informasi rahasia.
Kami telah menyarankan sejumlah pengendalian untuk memastikan keaslian, keakuratan,

dan kelengkapan masukan dan pemrosesan data. Jelasnya, jika terdapat kontrol akses, kontrol
batch, dan koreksi kesalahan yang cepat, kemungkinan keluaran yang lengkap dan akurat akan
jauh lebih besar. Itu
Sistem basis data 337
Laporan pengecualian adalah jenis keluaran khusus, penting dalam konteks pengendalian. Dalam sistem
modern kita mengharapkan kesalahan dapat dideteksi dan diperbaiki dengan cepat, namun jika koreksi
tertunda, harus ada tindak lanjut yang tepat mengenai alasan penundaan dan penyelidikan kesalahan,
analisisnya, dan konfirmasi bahwa item yang ditolak telah diperbaiki dalam jangka waktu yang wajar. .
Pengendalian penting lainnya adalah akuntansi oleh departemen pengguna untuk semua alat tulis, terutama
jika barang berharga, misalnya alat tulis cek pra-cetak.
Dalam Bab 8, kami mencatat bahwa keputusan mengenai distribusi output harus ditentukan
dibuat pada tahap pengembangan dan didokumentasikan secara lengkap.
AKTIVITAS 9.6
Misalnya Anda menggunakan analisis penjualan bulanan yang diperoleh dari sistem informasi
entitas sebagai salah satu alat untuk menentukan strategi pemasaran.
Menurut Anda apa yang pertama-tama harus Anda lakukan sebelum mengambil tindakan
sehubungan dengan analisis tersebut?
Ini mungkin terdengar jelas, namun pengguna data dan informasi keluaran (dalam hal ini analisis
penjualan) harus dilatih untuk meninjau keluaran jika ada kesalahan yang terlihat jelas.
Hasil sebenarnya mungkin dibandingkan dengan perkiraan atau apa yang menjadi norma untuk kumpulan
data atau informasi tertentu. Demikian pula, total gaji tidak akan terlalu bervariasi dalam kondisi bisnis
normal. Gaji atau upah dalam daftar gaji mungkin terlihat tidak normal, meskipun hal-hal abnormal tersebut
harus diketahui melalui pemeriksaan batas atau kewajaran yang terprogram. Auditor akan tertarik dengan
aktivitas pengguna semacam ini karena aktivitas ini mewakili kontrol lebih lanjut atas keakuratan data dan
efektivitas sistem.
SISTEM DATABASE
Kami telah menyebutkan sistem basis data dari waktu ke waktu, namun sekarang kami merangkum kontrol
basis data yang penting. Basis data dapat didefinisikan sebagai 'kumpulan data yang dibagikan dan
digunakan oleh sejumlah aplikasi berbeda untuk tujuan berbeda'. Kita telah melihat bahwa keuntungan
utama dari sistem basis data adalah sistem ini menyediakan data yang sama kepada semua orang dalam
entitas yang memiliki wewenang untuk mengaksesnya. Namun ada masalah keamanan dan integritas yang
terkait dengan database dan masalah ini kami atasi di bawah ini:
(a) Hilangnya kendali atas data oleh personel penyiapan data. Ini terjadi
dimana database diperbarui dari sejumlah sumber berbeda, seringkali dari lokasi yang jauh.
Dengan demikian, para pembuat data tidak lagi 'memiliki' data yang mereka mulai, sehingga
mengakibatkan hilangnya tanggung jawab dari para pembuat data utama.
AKTIVITAS 9.7
Menurut Anda bagaimana entitas harus membangun kembali kendali? Saat Anda
mempertimbangkan hal ini, asumsikan bahwa subskema pada database berisi data untuk
semua personel di entitas. Sarankan apa yang mungkin menjadi minat auditor dalam bidang ini.
Kami telah mempertimbangkan pemutakhiran file induk personel sebagai contoh

pemeriksaan satu-untuk-satu. Salah satu cara untuk memecahkan masalah pengendalian dalam
sistem basis data adalah dengan memberikan kepemilikan sub skema tertentu kepada pengguna
yang ditunjuk, yang memiliki hak tertentu (seperti membaca, menambah, mengubah, menghapus)
sehubungan dengan data (dalam hal ini data personel yang berdiri). ). Pengguna lain mungkin juga
diizinkan untuk mengakses data dalam sub-skema tetapi dengan hak terbatas, seperti hak 'hanya
baca', atau tidak diizinkan mengakses data dengan karakteristik tertentu, seperti rincian karyawan
dengan gaji melebihi yang ditentukan. jumlah.
(b) Otorisasi setelah kejadian mungkin diperlukan dalam sistem basis data.
Dalam komentar kami mengenai sistem non-database, kami menyarankan agar data masukan harus
diotorisasi sebelum pemrosesan dilakukan. Dalam sistem basis data waktu nyata, hal ini sulit dilakukan
karena data input akan memperbarui basis data dengan segera.
Hanya data valid yang boleh masuk ke database, dan salah satu cara untuk mencapai hal ini adalah
dengan memprogram total dan urutan kendali untuk semua entri dari petugas input individual atau
terminal individual. Jumlah dan urutan pengendalian ini akan diperiksa oleh subsistem masukan dan
sebuah laporan, mungkin berisi daftar lengkap masukan mereka untuk hari tertentu, bersama
dengan total pengendalian, dikembalikan ke panitera terkait. Ini mungkin merupakan fitur rutin
pembaruan data status personel yang kita temui di Kegiatan 8.8. Persetujuan kembali terhadap
pencatatan dikenal sebagai 'otorisasi setelah kejadian'. Auditor harus memastikan bahwa proses
otorisasi ini telah dilaksanakan.
(c) Kekuasaan yang berlebihan berada di tangan administrator basis data. Sebagai data
personel persiapan kehilangan kendali atas data, kendali ini diteruskan ke administrator database.
Dalam sistem yang kecil, administrator basis data dapat terdiri dari satu orang, namun dalam sistem
yang lebih besar dapat diwakili oleh sebuah departemen. Administrator basis data bertanggung
jawab untuk mengelola sistem manajemen basis data, termasuk kontrol akses dan keamanan,
pencadangan, dan pemulihan. Kita melihat di Bab 8 bahwa administrator basis data juga terwakili
dalam komite TI. Untuk mengoperasikan sistem basis data, administrator basis data harus memiliki
pengetahuan mendalam tentang struktur basis data, rincian data yang dibutuhkan oleh program
tertentu, kapan data tersedia dan sebagainya. Dalam kondisi seperti ini, pemisahan tugas menjadi
lebih sulit dicapai. Ada pendapat yang menyatakan bahwa keberadaan perusahaan-perusahaan
besar bisa terancam karena begitu banyak kekuasaan yang berada di tangan kelompok kecil.
Konsekuensinya, auditor mengharapkan adanya pengendalian terhadap personel dalam

departemen administrasi data, termasuk pengawasan terhadap aktivitas mereka, pemisahan tugas,
dan rotasi tugas secara berkala.
Catatan seluruh tindakan personel yang mempengaruhi database harus disimpan dan
pengawasan mencakup peninjauan berkala atas catatan tersebut. Hal ini dapat dibantu dengan
analisis program terhadap intervensi yang dilakukan oleh individu dalam departemen tersebut.
Pengaturan yang tepat harus dibuat untuk mengambil hari libur dan mengambil alih tugas personel
selama masa liburan.
(d) Fitur teknis untuk menjamin keselamatan dalam pemrosesan dapat mengurangi pengendalian. Untuk
Misalnya, dump file dapat dilakukan sebelum pemrosesan sehingga jika terjadi kesalahan,
dimungkinkan untuk 'memutar kembali' ke posisi sebelumnya dan memprosesnya lagi. Tidak perlu
banyak imajinasi untuk menyadari bahwa 'pengembalian' yang tidak sah dapat dengan mudah
mengakibatkan kehancuran atau perubahan data.
perdagangan elektronik 339
(e) Informasi basis data/ jejak audit sangat penting. Jenis catatan yang sama yang kita diskusikan
sehubungan dengan bagian lain dari sistem harus disimpan – semua intervensi yang
mempengaruhi data pada database, nama dan lokasi pengguna yang bersangkutan,
tingkat akses yang diminta dan diberikan, program yang digunakan untuk membaca. ,
menambah, mengubah atau menghapus data, waktu dan tanggal intervensi serta catatan
item data sebelum dan sesudah intervensi.
Kami juga berharap untuk melihat cara membaca keseluruhan jejak audit
dari suatu peristiwa yang mempengaruhi database.
PERDAGANGAN ELEKTRONIK
Kami memperkenalkan Anda pada e-commerce di awal bab ini. Sekarang kita beralih ke
pembahasan bisnis yang dilakukan secara elektronik melalui Internet. Ada banyak sensasi
mengenai e-bisnis dan banyak perusahaan dot.com yang asli bangkrut tanpa menghasilkan
keuntungan apa pun. Namun, ada banyak ruang untuk menghasilkan bisnis melalui Internet. Dalam
beberapa kasus, integrasi sistem dengan mitra bisnis dapat dilakukan untuk memanfaatkan hal-hal
seperti pengaturan pasokan yang tepat waktu. Terdapat arahan UE di bidang ini yang dirancang
untuk memberikan kepastian hukum bagi dunia usaha dan konsumen. Peraturan ini secara Pada saat artikel ini ditulis,
bertahap diberlakukan oleh anggota UE, dan Inggris mengadopsinya dalam Peraturan Perdagangan masih belum jelas apa dampak
Elektronik (EC Directive) tahun 2002. potensial dari Brexit.
Kami tidak akan mempertimbangkan ketentuan-ketentuan dalam arahan ini secara rinci namun
perhatikan bahwa arahan ini mencakup hal-hal berikut: penjualan barang atau jasa kepada bisnis
atau konsumen di Internet atau melalui email; beriklan di Internet atau melalui email; menyampaikan
atau menyimpan konten elektronik untuk pelanggan; atau menyediakan akses ke jaringan
komunikasi. Salah satu persyaratan penting dari Peraturan ini adalah bahwa ketika suatu
pemesanan dilakukan secara elektronik, harus ada pengakuan atas pesanan tersebut melalui
sarana elektronik tanpa penundaan yang tidak semestinya dan informasi yang diberikan tentang
bagaimana mengubah kesalahan input yang dibuat.
Pada bagian ini kami mempertimbangkan risiko bisnis yang dihadapi oleh perusahaan yang
menggunakan Internet dan jaringan publik lainnya dan bagaimana perusahaan berupaya
mengurangi dampaknya. Kami juga mempertimbangkan hal-hal penting bagi auditor.
Sarana komunikasi yang umum melalui Internet adalah email, halaman web, transfer file, ruang
obrolan, dan grup berita. Risiko semakin besar karena keterbukaan Internet. Untuk memahami
risiko dalam konteks ini Anda harus mengetahui bagaimana entitas menggunakan Internet untuk
tujuan bisnis. Berikut empat derajat penggunaan Internet:
1 Menggunakan Internet sebagai sarana untuk menyediakan informasi bagi pihak luar
tentang entitas dan produk serta layanannya.
2 Bertukar informasi dengan pelanggan dan mitra dagang lainnya. Mungkin terdapat
tautan ke informasi lain, dan mesin pencari dapat membantu calon pelanggan
menemukan produk atau layanan tertentu.
3 Menggunakan Internet untuk bertransaksi bisnis, seperti e-shopping. Pada titik ini
mungkin ada kekhawatiran keamanan mengenai hal-hal seperti perlindungan data pribadi.
4 Penggunaan teknologi paling canggih sepenuhnya mengintegrasikan sistem bisnis
dengan e-bisnis yang dilakukan melalui Internet. Perusahaan mungkin mengizinkan
pelanggan untuk memiliki akses ke database, informasi seperti ketersediaan
persediaan, dan rincian produk dan harga. Pengendalian akses seperti yang telah
dibahas akan dianggap penting.
Beberapa jenis bisnis telah memanfaatkan penggunaan Internet dalam perdagangan

lebih banyak dibandingkan yang lain dan oleh karena itu dampak risiko yang terkait lebih besar.
AKTIVITAS 9.8
Dari pengalaman pribadi Anda, sarankan sektor bisnis yang banyak terlibat dalam e-
commerce.
Ada beberapa sektor yang terlibat dalam e-commerce, namun saran Anda mungkin mencakup
perbankan dan jasa keuangan, buku dan rekaman musik, perangkat lunak dan perangkat keras
komputer, serta industri perjalanan dan liburan. Pemerintah pusat di Inggris ingin meningkatkan
penggunaan komunikasi elektronik di pemerintah daerah dan penyampaian laporan pajak. Faktanya,
sebagian besar laporan pajak kini disampaikan secara elektronik.
Strategi manajemen dan risiko bisnis/inheren

Pada derajat 3 dan 4 di atas, manajemen harus memutuskan apakah bisnis yang dilakukan melalui
Internet terpisah dari bisnis utama entitas atau terintegrasi penuh. Jika terintegrasi sepenuhnya,
transaksi Internet akan berdampak langsung pada catatan entitas, misalnya dengan pembaruan segera
pada catatan persediaan, piutang dagang, dan catatan kreditor. Dalam hal ini, risiko bisnis dan risiko
yang melekat akan jauh lebih tinggi. Jadi sangat penting bagi auditor untuk menentukan strategi
manajemen sehubungan dengan e-bisnis dan, yang lebih penting lagi, langkah-langkah apa yang
telah mereka ambil untuk mengidentifikasi risiko dan menerapkan pengendalian untuk mengurangi
dampaknya.
Pengendalian tidak bebas biaya, dan penting bagi manajer untuk memutuskan tingkat risiko apa yang
dapat diterima dalam aktivitas e-commerce dengan menyeimbangkan kerugian yang mungkin timbul
dari potensi risiko terhadap perkiraan biaya pengendalian tambahan dan pengelolaan risiko. Risiko-
risiko tertentu dirinci di bawah ini.
Risiko keamanan
Karena Internet sangat terbuka, perhatian khusus harus diberikan untuk menghindari intervensi pihak
luar untuk tujuan jahat atau keuntungan pribadi. Ancaman khusus terhadap keamanan data dan sistem
mencakup korupsi data dan penghancuran sistem oleh virus dan intervensi peretas. Ada ancaman
nyata terhadap privasi data pribadi, seperti rincian rekening bank dan kartu kredit pelanggan yang
melakukan pembayaran melalui Internet. Kecuali perusahaan memiliki kendali untuk mencegah rincian
tersebut dibaca oleh orang yang tidak berwenang, pihak yang tidak berkepentingan mungkin dapat
memperoleh akses ke dana pelanggan, sehingga entitas menghadapi kerugian karena klaim pelanggan.
Perusahaan yang menjual produk seperti perangkat lunak atau rekaman musik melalui Internet telah
menderita kerugian besar karena pihak luar dapat melanggar hak kekayaan intelektual. Terdapat juga
peningkatan yang mengkhawatirkan dalam jumlah komunikasi yang tidak diinginkan, baik dalam bentuk
materi yang menyinggung atau spam email. Yang terakhir ini bahkan mengancam penggunaan email
sebagai alat komunikasi cepat. Organisasi yang menyediakan situs web untuk digunakan oleh berbagai
organisasi mungkin sangat terancam oleh materi yang menyinggung, karena pembuat undang-undang
berupaya membuat pemilik situs web bertanggung jawab atas materi yang disediakan oleh pihak lain.
Jelasnya, auditor harus menyadari risikonya
E-niaga 341
mempengaruhi perusahaan yang bergerak di bidang e-commerce. Pengendalian untuk mengurangi

dampak risiko ini mencakup kebijakan keamanan, firewall, jaringan pribadi, dan informasi/
jalur audit.
Kebijakan keamanan
Ketika membahas pengendalian internal di Bab 8 kami menyarankan bahwa manajemen memerlukan Lihat halaman 289.
kebijakan yang tegas untuk mengendalikan risiko dan komunikasi filosofi manajemen serta pendekatan
kepada staf sangatlah penting. Dalam konteks diskusi kita saat ini, auditor harus menentukan apakah
entitas mempunyai kebijakan keamanan, yang dikomunikasikan dengan jelas kepada seluruh staf.
Kebijakan tersebut harus didasarkan pada analisis yang cermat terhadap data dan informasi yang
penting bagi entitas dan harus mencakup pernyataan pengendalian yang diperlukan untuk
melindunginya. Banyak, mungkin sebagian besar, kegagalan sistem disebabkan oleh kegagalan
manusia. Misalnya, jika kebijakan keamanan entitas mencakup pelaporan cepat mengenai peretasan
yang berhasil, namun anggota staf tidak terlatih atau terlalu sibuk atau malas untuk melakukannya,
maka ancaman terhadap integritas data akan tinggi. Jelasnya, staf harus mengenali ancaman terhadap
keamanan ketika hal itu terjadi. Kami telah menyebutkan pentingnya kata sandi untuk membatasi
akses, namun keamanan dapat terancam jika kata sandi diketahui publik. Kita semua pernah
mendengar individu yang menulis kata sandi pada catatan yang ditempel di samping VDU karena
mereka tidak dapat mengingatnya. Oleh karena itu, kebijakan keamanan entitas harus mencakup
perancangan kata sandi untuk membantu penarikan kembali dan menjaga jumlah kata sandi seminimal
mungkin, namun dengan perubahan rutin. Kebijakan keamanan juga harus mencakup:
• Menggunakan pedoman penggunaan email untuk mengurangi potensi ancaman terhadap a

reputasi perusahaan dari penggunaan bahasa yang tidak pantas dalam email oleh staf: sudah
menjadi praktik umum untuk menyertakan penafian di akhir setiap email.
• Mewajibkan staf untuk logout jika mereka meninggalkan terminal tanpa pengawasan (untuk
mencegah akses yang tidak sah).
• Pemeriksaan virus terhadap file dari luar entitas (dan pembaruan berkala
perangkat lunak pengecekan virus).
• Mencegah penggunaan salinan perangkat lunak yang tidak sah.
Firewall
Firewall sangat penting dalam lingkungan e-commerce, dan auditor harus memastikan bahwa firewall
tersebut cocok untuk organisasi, dengan pembaruan terus-menerus dan sistem pemantauan rutin
untuk mendeteksi tanda-tanda firewall mungkin dibobol. Auditor harus memeriksa apakah terdapat
sistem untuk melaporkan masalah yang timbul dan melakukan peninjauan independen secara berkala
terhadap kualitas sistem firewall. Tinjauan tersebut dapat dilakukan oleh kelompok standar mutu atau
audit internal. Hal ini harus mencakup penilaian terhadap kemungkinan paparan dan analisis upaya
masuknya individu yang tidak diinginkan.
Beberapa organisasi bahkan mempekerjakan peretas terampil untuk menentukan efektivitas firewall
dan tindakan keamanan lainnya.
Jaringan pribadi, seperti intranet dan ekstranet

Jaringan pribadi yang dilindungi oleh firewall yang aman dapat menjadi cara yang berguna untuk
mengurangi risiko intervensi yang tidak tepat. Intranet dapat menyediakan lingkungan aman di mana
staf entitas dapat berkomunikasi, asalkan firewall
itu sendiri aman. Ekstranet yang melampaui organisasi langsung dan mencakup orang-orang dan
organisasi eksternal, bahkan mungkin pesaing, yang sering berhubungan bisnis dengan organisasi,
dapat sangat berguna karena ini seperti pasar yang diperluas yang hanya memungkinkan
pedagang yang diakui di dalamnya untuk membeli dan menjual. jasa. Penting bagi semua individu
dan organisasi yang diizinkan masuk untuk mematuhi aturan pasar dan bahwa mereka tidak
mengizinkan individu atau organisasi yang tidak berwenang untuk memanjat tembok (melewati
batas ekstranet). Auditor harus menentukan kebijakan entitas untuk menerima individu atau
organisasi ke ekstranet dan mencari tahu kontrol apa yang diterapkan untuk membatasi akses.
Jalur informasi/audit
Kita telah membahas jalur informasi/audit secara panjang lebar sebelumnya, namun jalur tersebut
sama pentingnya dalam lingkungan e-commerce. Auditor harus memastikan bahwa integritas
transaksi dipertahankan dan rincian transaksi dicatat dari awal hingga penutupan. Hal ini sangat
penting ketika e-commerce terintegrasi dengan semua sistem entitas lainnya. Kita berharap untuk
melihat catatan, misalnya, mengapa terjadi pergerakan persediaan atau pergerakan kas, atau
entri dalam catatan kreditur. Jika kontrak dibuat dengan cara elektronik, auditor akan melihat
verifikasi atas sifat tanda tangan elektronik dan tempat kontrak tersebut dianggap mengikat secara
hukum.
Kami membahas masalah hukum dan perpajakan di bawah ini.
Langkah-langkah keamanan lainnya
Lihat halaman 330. Kita telah membahas langkah-langkah keamanan seperti enkripsi data di atas, namun langkah-
langkah ini menjadi sangat penting karena semakin banyak bisnis yang dilakukan melalui Internet.
Banyak e-bisnis bergantung pada penggunaan kartu kredit oleh pelanggan, dan perusahaan harus
mampu mengotentikasi pelanggan dan memeriksa validitas informasi kartu kredit. Terkait dengan
identifikasi dan otentikasi adalah kebutuhan untuk mewajibkan mitra bisnis baru untuk mendaftar
dan memberikan informasi identifikasi dan otentikasi. Penting untuk menetapkan sarana untuk
menghubungi mitra bisnis dan tingkat akses yang boleh mereka miliki.
Sistem tersedia untuk melindungi data pribadi, dan auditor harus menentukan sifatnya,
keandalannya, dan apakah data tersebut diperbarui seiring dengan perubahan keadaan.
Masalah hukum dan perpajakan

ISA 250A – Pertimbangan Peraturan Perundang-undangan dalam Audit Keuangan
Pernyataan dinyatakan dalam paragraf 13:
Auditor harus memperoleh bukti audit yang cukup dan tepat mengenai kepatuhan
terhadap ketentuan peraturan perundang-undangan yang secara umum diakui
mempunyai dampak langsung terhadap penentuan jumlah dan pengungkapan
material dalam laporan keuangan.
Internet bersifat internasional. Transaksi dapat dilakukan oleh warga negara dari suatu negara
dengan warga negara dari negara lain, dan yurisdiksi hukum dimana transaksi tersebut berada
dianggap penting. Untuk membuat masalah menjadi lebih rumit, beberapa transaksi dapat
dilakukan melalui situs web suatu entitas yang berlokasi di negara lain. Salah satu cara untuk
menangani hal-hal tersebut adalah dengan menyatakan pada saat transaksi dilakukan, yurisdiksi
mana, misalnya
perdagangan elektronik 343
yang berlaku di Inggris. Beberapa perusahaan mungkin mencoba membatasi bisnisnya

hanya pada penduduk yurisdiksi hukum tertentu. Jelasnya, auditor harus mengetahui
kebijakan dan prosedur entitas sehubungan dengan kontrak yang dibuat melalui Internet.
Misalnya, harus ada sistem yang memastikan bahwa semua kotak kontrak yang muncul
di layar, termasuk penerimaan oleh pengguna, telah diselesaikan sebelum diterima oleh
sistem. Penting juga untuk menentukan bagaimana entitas memverifikasi keabsahan
tanda tangan elektronik atau digital yang diberikan oleh pihak lain dalam kontrak.
Terkait perpajakan, mungkin terdapat keraguan mengenai yurisdiksi perpajakan mana

yang diperbolehkan mengenakan pajak atas penghasilan yang diperoleh dari suatu
transaksi, termasuk pajak pertambahan nilai. Tentu saja ini bukan pertanyaan baru,
karena perdagangan melintasi batas negara selalu terjadi. Namun, jika transaksi tidak
melibatkan perpindahan barang secara fisik dari satu lokasi ke lokasi lain, dimana
layanan atau produk bersifat digital, mungkin sulit bagi penyedia atau pemerintah untuk
mengetahui di mana pelanggan berada. Auditor harus memastikan bahwa entitas
menerapkan aturan yang konsisten untuk menentukan lokasi transaksi dan undang-
undang perpajakan yang berlaku bagi entitas tersebut. Auditor perlu mempertimbangkan
pengaturan keringanan pajak berganda jika transaksinya tumpang tindih dengan yurisdiksi pajak.
Masalah akuntansi ini berlaku

Masalah bisnis dan akuntansi praktis untuk bisnis selain e-commerce.
Namun, kecuali jejak auditnya jelas
Suatu entitas yang menjalankan bisnis melalui Internet dapat bertindak sebagai prinsipal dan pengaturan kontraknya sama
atau agen. Dalam kasus terakhir, hanya komisi kontrak yang dicatat sebagai pendapatan, jelasnya, mungkin terdapat
sedangkan dalam kasus pertama, penjualan kotor harus dicatat. Auditor harus kurangnya transparansi sehingga
mendiskusikan pengaturan kontrak dengan manajemen dan memastikan status entitas sulit untuk menentukan akuntansi
yang tepat.
jelas dalam pengaturan kontrak dengan pihak ketiga.
Masalah akuntansi lainnya meliputi: perawatan.
• Pemutusan. Auditor harus menentukan kapan transaksi dianggap telah terjadi –

kapan transaksi dilakukan dan kapan barang dan jasa berpindah tangan. Ketentuan
perdagangan harus disepakati sebelum pemesanan dilakukan, termasuk waktu
pembayaran barang atau jasa. Dalam banyak (kebanyakan) kasus, pembayaran
mungkin diperlukan pada saat melakukan pemesanan; jika properti diserahkan
pada saat yang sama (yaitu, sebelum barang atau jasa dikirim ke pelanggan), entitas
mungkin memiliki barang yang benar-benar milik pelanggan. Auditor juga ingin
mengetahui apakah transaksi dihentikan jika kartu kredit pelanggan tidak diterima.
Masalah lain yang tidak dapat dielakkan mungkin adalah penolakan suatu transaksi
atau beberapa persyaratannya oleh pelanggan. Auditor ingin mengetahui apakah
terdapat pengendalian untuk mencegah penolakan setelah kontrak disetujui.
• Kami telah menyebutkan di atas bahwa persyaratan penting dari

Peraturan Perdagangan Elektronik (Petunjuk EC) tahun 2002 menyatakan bahwa
ketika pesanan dilakukan secara elektronik, pesanan tersebut harus diakui secara
elektronik tanpa penundaan yang tidak semestinya dan informasi diberikan
tentang cara mengubah kesalahan input yang dibuat. Auditor harus mengkonfirmasi
pengaturan ini.
• Pengembalian barang dan klaim berdasarkan jaminan produk. Harus ada sistem
yang memungkinkan pengembalian barang yang rusak dan menangani klaim
berdasarkan jaminan produk. Hal ini harus mencakup pemeriksaan bahwa klaim
tersebut dibenarkan berdasarkan ketentuan kontrak dan dalam hal barang
dikembalikan maka pemeriksaan fisik dilakukan.
• Diskon besar-besaran dan penawaran khusus. Auditor akan mendiskusikan pengaturan

kontrak untuk memberikan diskon besar-besaran kepada pelanggan dan kapan
diskon tersebut harus dibayar. Tidak jarang dilakukan penawaran perkenalan, yang
memungkinkan penyediaan barang gratis atau dengan diskon besar. Mungkin ada masalah
penetapan harga persediaan jika nilai realisasi bersih lebih rendah dari biaya.
• Pembayaran selain melalui transfer uang. Terkadang, pemasok mengambil
ruang iklan di situs web suatu entitas dan mengimbangi biaya iklan dengan jumlah yang
menjadi haknya. Sekali lagi, auditor harus mendiskusikan pengaturan kontrak dengan
manajemen.
• Menjelajah. Fitur umum situs web adalah memungkinkan pelanggan menjelajah
sebelum melakukan pemesanan. Auditor berharap untuk melihat pengendalian untuk
memastikan bahwa penelusuran tidak tertukar dengan pemesanan.
• Tindak lanjut transaksi. Harus ada tindak lanjut yang tepat
seluruh aspek transaksi, termasuk instruksi pengiriman barang, bukti pengiriman,
penyesuaian catatan persediaan, penyesuaian catatan kas atau catatan piutang dagang
dan sebagainya. Rincian transaksi harus dikomunikasikan ke bagian lain dari sistem agar
tindakan dan penghitungan yang tepat dapat dilakukan. Rincian ini merupakan bagian
dari jejak audit. Sistem untuk mengontrol tindakan dan pencatatan di bagian lain dari
sistem dikenal sebagai sistem back office, dan sistem ini penting untuk diintegrasikan
dengan antarmuka transaksi e-niaga. Beberapa sistem mengizinkan tindak lanjut otomatis,
namun sering kali detail transaksi memerlukan campur tangan manusia. Pembaruan
otomatis mungkin akan mengurangi masalah batas waktu dan akan membuat
perusahaan lebih mungkin memenuhi kewajiban kinerja dan pengiriman, terutama ketika
permintaan tidak dapat diprediksi.
Internet tidak pernah tidur

Karena Internet ada di seluruh dunia, perusahaan yang bergerak di bidang e-commerce harus
memiliki sistem yang beroperasi secara efisien dan efektif selama 24 jam sehari.
Pelanggan tidak akan mengharapkan situs web ditutup hanya karena saat itu malam hari di
Inggris, dan reputasi entitas akan menurun jika layanan terputus-putus. Hal ini mungkin
mempunyai implikasi terhadap kepegawaian dan berarti harus tersedia teknologi yang dapat
diandalkan. Auditor harus memastikan bahwa sistem cukup kuat untuk bekerja dengan baik
selama periode 24 jam.
Manajemen krisis
Semua bisnis harus memiliki sistem untuk memastikan bahwa kerugian dapat diminimalkan
ketika terjadi kesalahan. Namun, e-commerce bergantung pada teknologi canggih, dan
perusahaan mungkin mengalami kerugian yang dapat memengaruhi status kelangsungan usaha
entitas jika terjadi kegagalan sistem atau infrastruktur. Kegagalan sistem dapat timbul dari
kegagalan server, kerusakan pada disk atau kegagalan perangkat lunak, sedangkan kegagalan
infrastruktur biasanya terjadi di luar kendali entitas, namun bisa jadi merupakan kegagalan yang
signifikan. Kegagalan infrastruktur termasuk pemadaman listrik atau gangguan komunikasi
saluran telepon. Konsekuensi yang mungkin terjadi mencakup hilangnya reputasi, hilangnya
atau rusaknya data dan informasi, serta berkurangnya arus kas positif secara signifikan.
Auditor harus mendiskusikan dengan manajemen langkah-langkah untuk mencegah

kegagalan tersebut dan meminimalkan dampaknya jika terjadi dengan memastikan kelangsungan bisnis.
Pendekatan audit terhadap sistem dan pengendalian 345
Tindakan yang tepat akan mencakup pencadangan data penting, pemasangan pasokan listrik
darurat, peninjauan berkala terhadap kualitas sistem oleh pihak independen, serta pemeliharaan
rutin dan pengujian sistem yang digunakan.
PENDEKATAN AUDIT TERHADAP SISTEM DAN

KONTROL
Pada Bab 8 kami memperkenalkan Anda pada lingkungan pengendalian dan komponen-
komponennya serta pengendalian umum yang terperinci. Kami menjelaskan mengapa auditor
tertarik pada efektivitas pengendalian tersebut dan menyarankan agar auditor mendiskusikan
dengan manajemen pendekatan mereka serta sistem dan tindakan pengendalian yang berlaku.
Diskusi dengan manajemen selalu merupakan cara yang baik untuk mengetahui apa yang
sedang terjadi, namun agar efektif, auditor harus memiliki pendekatan terstruktur untuk memeriksa
sistem dan tujuan yang jelas sebelum mereka memulai diskusi rinci.
Kami menekankan bahwa auditor saat ini cenderung sangat selektif dalam sistem yang mereka
periksa secara rinci.
CATATAN PENTING MENGENAI PENDEKATAN AUDIT TERHADAP SISTEM DAN KONTROL
Pada bab-bab sebelumnya kita telah membahas pendekatan risiko bisnis dalam audit, yang fitur
pentingnya adalah mengidentifikasi area-area yang memiliki risiko signifikan dan memusatkan
perhatian pada area-area tersebut. Aspek praktis yang penting dari pendekatan ini adalah bahwa
auditor selama proses perencanaan mengidentifikasi saldo-saldo dalam laporan keuangan yang
signifikan dan memusatkan pekerjaan rinci mereka pada saldo-saldo tersebut. Konsekuensinya
adalah auditor akan membatasi pekerjaan pada saldo-saldo yang tidak signifikan, seperti kas kecil
atau bidang-bidang yang dianggap memiliki risiko rendah dari sudut pandang auditor, seperti
penggajian, sehingga mungkin lebih mengandalkan tinjauan analitis dan menghentikan pengujian
rinci atas saldo-saldo tersebut. mengendalikan dan mengurangi pengujian substantif terhadap
detail. Kami akan kembali ke masalah ini ketika kami membahas audit saldo tertentu nanti dalam
buku ini, namun Anda harus mengingat catatan ini ketika Anda membaca komentar kami tentang
pengujian sistem di bawah.
Tujuan sistem adalah tujuan audit

Ketika kami mempertimbangkan Kualitas Tinggi Terbatas di Bab 8, kami mencatat bahwa Lihat halaman 299.
penetapan tujuan merupakan elemen penting dalam pengendalian. Tujuan yang kita bahas
cukup luas, namun sekarang kita membahas tujuan sistem secara lebih rinci dan kemudian
beralih ke pembahasan tentang bagaimana auditor menangani sistem, mencatatnya dalam
kertas kerja, dan mengevaluasinya. Anda akan menemukan bahwa tujuan manajemen seringkali
sama atau sangat dekat dengan tujuan audit. Kami menggunakan sistem penjualan untuk
menunjukkan apa yang kami maksud dengan hal ini, dan sekali lagi mencatat bahwa akan
berguna untuk membagi proses menjadi beberapa tahap.
AKTIVITAS 9.9
Identifikasi enam tahap dalam sistem penjualan di mana peristiwa penting terjadi.
Kami menyarankan enam tahapan dalam sistem penjualan adalah sebagai berikut, meskipun
kami menyadari bahwa beberapa tahapan mungkin diselesaikan pada waktu yang sama.
Misalnya, tahap 4, 5 dan 6 mungkin terjadi secara bersamaan:
1 resi pesanan
2 otorisasi pesanan
3 pengiriman barang dan pencatatan dalam catatan persediaan

4 faktur barang yang dikirim dan entri dalam catatan penjualan
5 entri dalam buku besar piutang dagang atau catatan bank
6 entri dalam catatan umum atau nominal.
Entitas tersebut akan mempunyai tujuan untuk semua tahapan ini, yang sebagian besarnya
dapat dilihat dari pembahasan sebelumnya dalam bab ini. Tujuan rinci auditor dibingkai sebagai
pertanyaan kunci, namun sebelum kita membahas tujuan setiap tahapan, mari kita
pertimbangkan terlebih dahulu asersi yang mungkin secara implisit dibuat oleh manajemen
sehubungan dengan penjualan dan angka-angka terkait yang muncul dalam laporan keuangan.
KEGIATAN 9.10
Asumsikan bahwa suatu perusahaan telah mencatat total transaksi berikut. Penjualan
yang tercatat secara kredit adalah £2.500.000, dan penerimaan dari piutang usaha
adalah £1.125.000, sehingga menutup piutang dagang sebesar £1.375.000.
Pernyataan tersirat dasar apa yang menurut Anda dibuat oleh manajemen
mengenai angka-angka ini? Pertimbangkan apakah transaksi dan saldo tersebut
asli, akurat, dan lengkap.
Sekali lagi kami menyebutkan Kami telah beberapa kali mengacu pada pernyataan manajemen, sehingga Anda seharusnya
pentingnya transaksi dan dapat mengidentifikasi beberapa pernyataan yang berkaitan dengan angka-angka di atas.
saldo yang asli, akurat dan
Pernyataan dasarnya kemungkinan besar seperti yang ditunjukkan pada Tabel 9.1. 'Asli' dalam
lengkap dan kami akan
konteks penjualan dan piutang usaha berarti bahwa penjualan telah dilakukan (terjadi atas
melakukannya lagi nanti,
khususnya di Bab 13 hingga 15. nama perusahaan) dan saldo piutang usaha tersebut sah, yaitu merupakan penjualan kredit
yang asli, sehingga mengakibatkan suatu hak yang berkaitan dengan perseroan yang belum
diselesaikan pada akhir tahun. Akurasi berarti bahwa transaksi penjualan dalam setiap kasus
telah dihitung dengan benar dan saldo piutang usaha juga seimbang, dengan mempertimbangkan
potensi penyisihan piutang tak tertagih.
Kelengkapan berarti kami telah mencatat semua penjualan yang dilakukan pada tahun tersebut
piutang usaha telah diidentifikasi dan dicatat dalam catatan akuntansi pada periode yang tepat.
Kita membahas pendekatan audit secara umum ketika kita mempertimbangkan risiko audit
di Bab 6, namun sekarang kita mengkajinya secara lebih rinci. Ingatlah bahwa pendekatan
dasar terhadap area audit apa pun dapat diringkas sebagai berikut:
1 mengidentifikasi komponen-komponennya
2 mengidentifikasi pernyataan-pernyataan yang berkaitan dengan komponen-komponen tersebut
3 mengidentifikasi risiko inheren yang terkait dengan setiap asersi

4 mengidentifikasi kontrol yang terkait dengan komponen
5 memperkirakan tingkat risiko pengendalian
6 menentukan prosedur deteksi audit yang diperlukan untuk mengurangi total risiko audit ke proporsi yang
dapat diterima.
TABEL 9.1 Asersi dalam Kegiatan 9.10 angka
Asli (nyata) Tepat Menyelesaikan
Penjualan (£2.500.000) Penjualan tersebut Transaksi penjualan telah dihitung Semua penjualan telah
merupakan barang yang secara akurat. dicatat. Penjualan
sebenarnya hak miliknya Penjualan telah dicatat pada dicatat dalam akun
telah berpindah kepada periode yang tepat (cut-off). yang tepat.
pihak ketiga. Ketentuan
pengiriman barang telah
disetujui oleh orang
yang bertanggung jawab.
Tanda terima dari pelanggan Uang tunai benar-benar Penerimaan telah dicatat secara Semua kuitansi
(£1.125.000) telah diterima. akurat, dengan mempertimbangkan telah dicatat.
hal-hal seperti diskon dan Penerimaan telah
pertukaran asing. Penerimaan dicatat dalam
telah dicatat di rekening yang benar.
periode yang tepat (cut-off).
Piutang usaha Piutang usaha Piutang usaha merupakan jumlah Semua piutang usaha
(£1.375.000) merupakan jumlah yang tertagih dicatat. Berdagang
yang sebenarnya terutang mampu (penyisihan piutang tak Piutang telah
perusahaan. tertagih dan piutang ragu-ragu adalah diringkas dengan
sesuai). benar
pengungkapan di
Piutang usaha merupakan jumlah
yang terutang pada tanggal neraca laporan keuangan.
(cut-off).
Pendekatan ini relevan apapun sistem yang berlaku, meskipun sistem yang lebih
kompleks memerlukan jenis pengendalian yang berbeda dari sistem yang lebih sederhana.
Jelasnya, High Quality Limited memerlukan kontrol yang berbeda dari entitas besar dengan
database yang diakses dari sejumlah terminal.
KEGIATAN 9.11
Perhatikan pernyataan berikut yang berkaitan dengan penjualan: 'Penjualan

tersebut merupakan barang yang hak miliknya telah berpindah kepada pihak
ketiga'. Hal ini dapat diutarakan kembali sebagai risiko inheren: 'Ada risiko inheren
bahwa penjualan tercatat tidak mewakili barang yang telah diserahkan kepada
pihak ketiga'. Menurut Anda, dalam keadaan apa risiko inheren mungkin tinggi
sehubungan dengan pernyataan ini?
Ada beberapa kemungkinan alasan mengapa risiko inheren bisa jadi tinggi untuk
pernyataan ini. Salah satunya mungkin klien mengalami kondisi perdagangan yang sulit
dan cenderung memasukkan transaksi penjualan untuk meningkatkan profitabilitas.
dan untuk meningkatkan likuiditas nyata. Menambah kredit pelanggan yang tidak ada
(tidak asli) juga akan berdampak pada risiko yang berhubungan dengan angka neraca
piutang usaha. Kita juga dapat melihat pernyataan di atas dalam kaitannya dengan
tahapan alami dalam pembuatan dan pencatatan penjualan.
Gambar 9.2 merupakan gambaran alur yang disederhanakan dari tahapan dasar
dalam sistem penjualan manual. Anggaplah bagan sebagai deskripsi visual aliran dokumen
GAMBAR 9.2 Sistem penjualan: bagan ikhtisar yang disederhanakan
Individu A B C D F G
Penerimaan Otorisasi (kontrol Pengiriman Faktur barang Entri dalam buku Entri secara umum
pesanan penjualan kredit, dll.) barang yang besar penjualan (atau buku besar
dikirim nominal)
A P
Order penjualan
A Dari
B Otorisasi
pelanggan
B Oleh
pejabat yang
bertanggung jawab
C Kepada pelanggan
P
C Catatan
dengan barang
pengiriman
penjualan
D
Kepada pelanggan D Faktur
penjualan
E Entri dalam
jurnal penjualan
E Jurnal F Buku G Buku besar
F Entri dalam
penjualan besar penjualan umum
buku besar penjualan
G Entri dalam
buku besar
Dokumen
A P
P 5 Sudah diberi nomor sebelumnya Pengajuan
Order penjualan
N 5 Bernomor
Pergerakan dokumen Perbandingan

E Jurnal
Rekaman permanen
Arus informasi penjualan
(garis kontinu) dan arus informasi (garis putus-putus). Bagan juga menunjukkan siapa yang melakukan
sesuatu dan di mana dokumen diarsipkan dan, dalam satu contoh, fakta bahwa dua dokumen (pesanan
penjualan dan catatan pengiriman penjualan) dibandingkan sebelum dokumen lain (faktur penjualan)
disiapkan. Ada pemisahan tugas yang jelas dalam sistem ini. Pada dasarnya, yang terjadi adalah orang yang
menerima pesanan penjualan menyiapkan pesanan penjualan yang telah diberi nomor sebelumnya dalam
rangkap tiga ketika pesanan diterima.
Paket pesanan penjualan dikirim ke pengontrol kredit untuk memeriksa kelayakan kredit dan menyetujui
bahwa pelanggan akan diberikan barang sesuai persyaratan yang tercantum dalam pesanan penjualan.
Petugas pesanan penjualan menyimpan salah satu pesanan dan meneruskan satu ke departemen pengiriman
(sebagai otoritas pengiriman) dan satu lagi ke departemen faktur. Ketika barang dikirim, nota pengiriman
penjualan yang telah diberi nomor sebelumnya disiapkan dalam rangkap tiga, satu dikirimkan bersama
barang ke pelanggan, satu disimpan oleh departemen pengiriman dan yang lainnya diserahkan ke
departemen faktur penjualan. Departemen penjualan membandingkan pesanan penjualan dan catatan
pengiriman penjualan untuk memastikan apa yang telah dikirim telah dipesan dan kemudian menyiapkan
faktur penjualan dalam rangkap dua. Satu faktur masuk ke pelanggan dan yang lainnya disimpan dan menjadi
dasar pencatatan dalam jurnal penjualan dan buku besar penjualan dan akhirnya dijumlahkan dalam akun
penjualan dan piutang dagang di buku besar.
KEGIATAN 9.12
Periksa Gambar 9.2 dan identifikasi titik-titik di mana harus ada tindakan pengendalian.
Ada sejumlah titik di mana tindakan pengendalian harus dilakukan. Kamu punya
mungkin mengidentifikasi hal berikut:
• Pesanan penjualan dan catatan pengiriman penjualan diberi nomor sebelumnya secara berurutan
pemeriksaan akan mungkin dilakukan pada titik-titik kritis berikutnya. Misalnya, departemen faktur
harus memeriksa urutan dokumen-dokumen ini sebelum faktur disiapkan.
• Orang yang menerima pesanan penjualan asli dari pelanggan harus memeriksanya dengan cermat
dan memastikan bahwa pesanan tersebut lengkap dan persediaan tersedia sebelum menyiapkan
pesanan penjualan yang telah diberi nomor sebelumnya (ditandatangani oleh petugas pesanan
penjualan).
• Ada pengendalian setelah penerimaan pesanan penjualan saat departemen pengendalian kredit
memeriksa kelayakan kredit sebelum pesanan diteruskan ke departemen pengiriman. Jika pesanan
ditolak pada tahap ini, akan ada pemutusan urutan pesanan penjualan dan departemen faktur harus
diberitahu mengenai jeda tersebut, sehingga menjaga jejak informasi/audit.
• Departemen pengiriman harus memastikan bahwa semua pesanan penjualan dibuat oleh pembuatnya
oleh petugas pesanan penjualan dan pengontrol kredit.
• Pengendalian lainnya mencakup peninjauan jurnal penjualan, buku besar penjualan, dan buku
besar oleh orang independen untuk mengetahui kewajarannya. Akun kendali buku besar
penjualan juga harus disimpan, independen dari siapa pun yang terlibat dalam proses tersebut.
Kami telah mulai menunjukkan kepada Anda bagaimana auditor mencatat sistem sebelum membentuk
pandangan tentang kemanjurannya. Sistem di atas adalah sistem yang murni manual, tapi sekarang
mari kita asumsikan bahwa sistem telah terkomputerisasi. Dalam sistem ini kita berasumsi
bahwa pelanggan, yang ingin membeli barang-barang dalam katalog entitas, menghubungi
salah satu petugas penjualan melalui telepon dan petugas ini memasukkan rincian pesanan
dan pelanggan ke dalam terminal. Pesanan dapat diterima atau ditolak oleh subsistem masukan
(mungkin rincian kartu kredit mencurigakan, atau pelanggan telah melampaui batas kredit). Jika
pesanan ditolak, pelanggan segera diberitahu dan diberitahu bahwa mereka akan menerima
surat penolakan yang memberikan alasan penolakan. Jika pesanan diterima oleh subsistem
masukan, pesanan tersebut akan diteruskan untuk diproses dan keluaran berikut disiapkan:
• instruksi untuk memperbarui catatan pesanan yang diterima dan ditolak

• instruksi untuk menyiapkan faktur penjualan dan memperbarui catatan penjualan dan
akun piutang dagang
• instruksi untuk mengirim barang dan memperbarui catatan inventaris

• instruksi untuk menyiapkan pemberitahuan penolakan pesanan.
Gambar 9.3 menunjukkan cara kerja sistem melalui diagram aliran data.
Dalam sistem ini, begitu banyak hal yang terjadi secara internal sehingga diagram alur dokumen
tidak akan terlalu berguna.
KEGIATAN 9.13
Sekarang lakukan hal yang sama seperti yang Anda lakukan pada Aktivitas 9.12; yaitu,
mengidentifikasi titik-titik di mana harus ada tindakan pengendalian dalam sistem aliran data yang
ditunjukkan pada Gambar 9.3.
Kita telah membahas pengendalian dalam sistem seperti ini pada awal bab ini. Anda mungkin
telah mengidentifikasi hal-hal berikut:
• Pada antarmuka, formulir yang dirancang dengan baik akan muncul di layar untuk diisi
oleh petugas penjualan. Sistem melakukan pemeriksaan kelengkapan dan ini
merupakan fitur penting. Fitur penting lainnya adalah alokasi nomor berurutan pada pesanan
untuk petugas penjualan tertentu sehingga sistem dapat memeriksa kelengkapan
pemrosesan nanti. Petugas juga akan memasukkan rincian identifikasi, sehingga total
pengawasan harian dapat disiapkan untuk mereka.
• Pelanggan harus memberikan informasi identifikasi dan otentikasi. Pelanggan baru akan
memberikan data tentang dirinya yang akan digunakan untuk identifikasi dan otentikasi
di kemudian hari. Mereka mungkin hanya diperbolehkan melakukan pemesanan pada
awalnya jika kartu kredit digunakan untuk pembayaran segera. Kartu kredit akan
diperiksa validitasnya sebelum melanjutkan pemesanan.
• Data pertama untuk informasi/jejak audit akan dicatat ketika petugas penjualan memasukkan
rincian pelanggan dan pesanan pada antarmuka. Semua tindakan selanjutnya juga
harus dicatat.
• Pengendalian untuk memastikan bahwa harga dan persyaratan lainnya sesuai dengan
kebijakan entitas adalah hal yang penting. Data tersebut merupakan elemen penting
dari data tetap dan hanya boleh dimasukkan atau diubah oleh orang yang memiliki
otoritas yang diperlukan.
GAMBAR 9.3 Diagram aliran data: sistem pesanan pelanggan
Pelanggan memberikan rincian

Pelanggan
pribadi dan pesanan kepada petugas
penjualan melalui telepon.
Petugas penjualan memasukkan rincian

di terminal (antarmuka pengguna). Pegawai sales
Subsistem masukan memeriksa

pesanan selesai.
Sistem menghitung jumlah faktur

dan pesanan yang diberitahukan Periksa
pelanggan sedang diproses. pesanan

untuk kelengkapannya
Sistem membandingkan batas kredit
pelanggan dengan saldo buku penjualan Hitung jumlah
yang disesuaikan dengan jumlah faktur
faktur.
Pesanan sedang diproses
Sistem memperbarui catatan
pesanan yang diterima dan catatan
pesanan yang tidak diterima.
Periksa kelayakan
Saldo buku besar
Sistem menyiapkan faktur dan kredit
penjualan dan
memperbarui buku besar penjualan. batas kredit
Departemen faktur penjualan
mengirimkan faktur ke pelanggan.
File
Sistem menyiapkan catatan pengiriman pesanan diterima

dan mengirimkan ke
File pesanan
gudang yang mengirimkan salinannya
bersama barang. tidak diterima
Jika pesanan ditolak, surat pesanan tidak Pengiriman

diterima disiapkan dalam catatan
format standar, memberikan alasan
penolakan dan menyarankan agar saldo Mempersiapkan faktur/catatan pengiriman
terutang harus dibayar. Surat dikirim
ke departemen penjualan untuk
diteruskan
Perbarui
Faktur catatan penjualan,
kepada pelanggan.
buku besar
penjualan +
Orang fisik Surat pesanan
catatan inventaris
atau dokumen tidak diterima Siapkan
surat
pesanan tidak
Data atau diterima
informasi
elektronik
Tindakan
komputer
• Pelanggan diberitahu oleh petugas penjualan mengenai jumlah faktur setelah dihitung. Pelanggan
harus diizinkan untuk menarik diri atau melakukan perubahan pada pesanan pada tahap ini. Ini
adalah tahapan yang penting karena akan memperbesar kemungkinan pesanan bebas dari
kesalahan.
• Batas kredit memainkan peranan penting dalam keputusan kelayakan kredit.

Batasan kredit hanya boleh dimasukkan ke dalam file induk pelanggan oleh orang yang
mempunyai kewenangan yang sesuai.
• Saat menyiapkan faktur dan catatan pengiriman serta memperbarui catatan penjualan, buku
besar piutang dagang, dan catatan inventaris, pengendalian harus ada untuk memastikan
bahwa file yang benar sedang diperbarui (kontrol run-to-run) dan bahwa akun dan inventaris
pelanggan benar catatan diperbarui. Entitas mungkin menggunakan digit cek untuk tujuan ini.
• Total pengendalian yang dihasilkan setelah pemrosesan harus dibandingkan dengan total yang
disiapkan di terminal pegawai penjualan. Ini adalah contoh otorisasi setelah acara.
• Yang terakhir, harus ada peninjauan berkala terhadap keluarannya. Beberapa diantaranya akan
diprogram, seperti pemeriksaan kewajaran dan validitas, dan total pengendalian. Pemeriksaan
urutan pesanan, catatan pengiriman dan faktur penjualan juga harus digunakan. Intervensi
manusia juga harus dilakukan jika hasilnya tidak masuk akal. Oleh karena itu, penelusuran dan
analisis catatan penjualan, peninjauan akun kendali buku besar penjualan, dan catatan
inventaris dapat mengungkapkan hal-hal yang memerlukan penyelidikan. Pengendalian lebih
lanjut atas catatan persediaan adalah pemeriksaan fisik persediaan secara berkala dan
perbandingan kuantitas fisik dengan catatan, diikuti dengan penyelidikan jika terdapat perbedaan
yang signifikan untuk menentukan alasannya.
Mungkin ada kontrol lain dalam sistem seperti ini, namun daftar di atas memberikan gambaran
yang baik tentang kontrol dan alasannya.
Pencatatan sistem akuntansi dan pengendalian

Perusahaan audit yang lebih Sebelum kita melihat sistem pencatatan yang digunakan, Anda akan memahami bahwa pengumpulan
besar mempekerjakan berbagai jenis informasi tentang sistem tersebut dalam praktiknya memerlukan penggunaan kekuatan penyelidikan
pakar yang dapat dipanggil untuk yang besar dan, dalam sistem yang kompleks, juga banyak kemampuan teknis. Informasi dikumpulkan
melakukan pemeriksaan yang secara teknis rumit
dengan bertanya kepada staf entitas bagaimana sistem beroperasi – pergi ke departemen pesanan
daerah.
penjualan, ke toko, ke lantai pabrik dan mengamati prosedur. Dengan demikian auditor mendiskusikan
sistem yang digunakan, tidak hanya dengan analis sistem atau kepala akuntan tetapi juga dengan
staf masukan pada antarmuka, dengan staf pengendalian data dan dengan pengguna yang menerima
keluaran dan mengambil tindakan terhadap laporan pengecualian. Aturan dasarnya adalah auditor
tidak boleh berasumsi bahwa sistem beroperasi sesuai dengan yang diharapkan. Cara praktis untuk
mendekati pekerjaan ini adalah:
1 Cari tahu orang mana yang mengoperasikan sistem melalui penyelidikan.
2 Wawancarai setiap orang, tanyakan apa yang mereka lakukan, dokumen apa yang mereka
siapkan, dokumen apa yang mereka terima dari orang lain selama bekerja dan seberapa
sering mereka melakukan tindakan tertentu. Misalnya, ketika berbicara dengan petugas
penjualan di antarmuka, auditor harus mencari tahu jenis informasi apa yang diterima dari
pelanggan, apakah mereka mempunyai sarana untuk menetapkan total pengendalian
sehubungan dengan data yang telah mereka masukkan, dan
apakah ada perbedaan antara totalnya dan yang dihasilkan oleh sistem. Auditor
dapat menanyakan kepada petugas penjualan data apa tentang diri mereka yang
dimasukkan ketika mereka login, seberapa sering kata sandi diubah, aturan
kerahasiaan seperti apa yang diterapkan dan apakah ada yang salah selama
pemrosesan.
3 Catat berapa banyak salinan setiap dokumen (misalnya, pesanan penjualan, catatan
penjualan, faktur penjualan) yang dibuat dan kepada siapa salinan tersebut
didistribusikan. Cari tahu entri apa yang dibuat dalam catatan permanen sebagai
hasil transaksi dan buatlah jejak informasi/audit. Pada tahap inilah auditor menggunakan
apa yang dikenal sebagai pengujian walk-through, suatu tahap yang melibatkan
pemilihan beberapa transaksi dan menelusurinya melalui sistem dengan tujuan untuk
memahami sistem, mencatatnya, dan melihat apakah entitas tampaknya mempunyai
kinerja yang tepat. kontrol yang berlaku. Pada tahun-tahun berikutnya, penelusuran
dapat dilakukan untuk melihat apakah sistem masih beroperasi seperti sebelumnya. Inilah
yang dikatakan paragraf A20 dari ISA 315 tentang pengujian walk-through pada klien yang sudah ada:
Auditor diharuskan untuk menentukan apakah informasi yang diperoleh pada periode
sebelumnya masih relevan, jika auditor bermaksud menggunakan informasi tersebut untuk
tujuan audit kini. Hal ini karena perubahan lingkungan pengendalian, misalnya, dapat
mempengaruhi relevansi informasi yang diperoleh pada tahun sebelumnya. Untuk menentukan
apakah telah terjadi perubahan yang mungkin berdampak pada relevansi informasi tersebut,
auditor dapat mengajukan permintaan keterangan dan melaksanakan prosedur audit lain yang
sesuai, seperti penelusuran sistem yang relevan.
Ada sejumlah cara yang dilakukan auditor untuk mencatat sistem dan menghubungkannya
kontrol sebelum evaluasinya:
• deskripsi naratif
• deskripsi visual
• kuesioner dan daftar periksa.
Deskripsi naratif
Auditor menyiapkan deskripsi tertulis tentang sistem tersebut, seperti yang kami lakukan saat
kami menjelaskan sistem penerimaan kas Horton Limited (Studi Kasus 8.3) dan kedua sistem
dalam Aktivitas 9.11 dan 9.12. Deskripsi seperti ini dapat berguna dalam sistem kecil namun
penggunaannya terbatas dalam sistem yang kompleks. Namun, deskripsi naratif merupakan
dukungan yang berguna untuk sarana pencatatan lainnya.
Deskripsi visual
Auditor menggunakan beberapa jenis bagan untuk membuat sistem lebih visual dan mudah
dipahami. Ini termasuk:
Bagan organisasi Kita telah melihat bahwa bagan organisasi dapat menjadi fitur penting dari
lingkungan pengendalian. Hal ini menunjukkan aliran wewenang dalam organisasi dan sangat
penting jika pemisahan tugas merupakan sarana pengendalian. Kita melihat pada Gambar
8.6, misalnya, bahwa penempatan kelompok standar kualitas di samping departemen Lihat halaman 314.
komputer, yang keduanya bertanggung jawab kepada direktur sistem informasi, menunjukkan
adanya peran independen yang penting. Kami juga melihat bahwa bagan organisasi County
Hotel mencerminkan kompleksitas fungsi di dalam hotel. Kami memberikan satu peringatan Lihat Gambar 6.2 di halaman 244.
mengenai bagan organisasi – bagan tersebut tidak selalu menunjukkan struktur kekuasaan
yang sebenarnya ada dalam organisasi.
Auditor menggunakan bagan tersebut sebagai panduan namun perlu mencari tahu apakah,
misalnya, kelompok standar mutu benar-benar independen dari departemen komputer.
Atau apakah kepribadian yang kuat di dewan menarik entitas ke arah tertentu, bahkan ketika
orang tersebut tampaknya berada pada level yang sama dengan direktur lainnya.
Diagram alur Diagram alur yang menunjukkan aliran dokumen atau data digunakan secara
luas baik oleh manajemen maupun auditor untuk mendapatkan pemahaman yang lebih baik
tentang sistem dan pengendalian yang diterapkan padanya. Mereka termasuk:
Lihat Gambar 7.5. • Bagan alur jejak informasi/ jejak audit. Dalam sistem manual, penelusuran data relatif mudah,
dan kami menggunakan Studi Kasus Horton untuk menunjukkan apa arti jejak informasi/
audit. Dalam sistem komputer, jauh lebih sulit untuk melacak data dan cara perubahannya,
dan dalam diskusi sebelumnya, kami telah menunjukkan catatan apa yang harus disimpan.
Bagan alur informasi/audit mungkin berguna, khususnya dalam menunjukkan di mana
kerusakan pada jalur tersebut terjadi.
Lihat Gambar 9.2. • Diagram alur dokumen. Kami telah memberikan contoh diagram alur dokumen di awal bab
ini, meskipun dalam bentuk yang agak disederhanakan. Sesuai dengan namanya,
dokumen ini menunjukkan di mana dokumen disiapkan, siapa yang menyiapkannya,
karakteristiknya (misalnya, apakah sudah diberi nomor sebelumnya), di mana dokumen
tersebut diarsipkan, berapa banyak salinan yang disiapkan, ke mana dikirim, tindakan
yang diambil atas dasar dokumen tersebut. , bagaimana dokumen tersebut dimodifikasi
(misalnya ditandatangani dan oleh siapa) dan sebagainya. Deskripsi visual sering kali lebih
mudah dipahami dibandingkan narasi panjang. Namun, kami mencatat bahwa diagram
alur dokumen menjadi kurang digunakan dan kurang bermanfaat, karena begitu
banyak tindakan yang dilakukan oleh orang dan fungsi berbeda kini dilakukan secara
elektronik dan tidak terlihat dengan mata telanjang. Namun hal ini mungkin masih berguna
untuk memahami sistem sebelum dan sesudah komputer serta dimana, seperti yang
masih sering terjadi, sistem belum sepenuhnya terkomputerisasi. Salah satu penulis
menggunakannya secara ekstensif ketika menanyakan staf entitas tentang bagian
mereka dalam sistem, seringkali menemukan bahwa staf sangat mengetahui apa yang
mereka lakukan, namun hanya tahu sedikit tentang bagian lain dari sistem, misalnya,
apa yang terjadi pada sebuah sistem. salinan dokumen setelah lepas dari tangan mereka.
• Diagram aliran data. Bagan ini berguna dalam menentukan apa yang terjadi pada data ketika
dimasukkan pada antarmuka oleh pengguna dan melewati berbagai subsistem. Ketika kita
melihat diagram aliran data untuk entri pesanan penjualan dan pemrosesan selanjutnya,
kita melihat bahwa diagram tersebut dapat diperluas untuk menunjukkan titik kontrol di
mana data dikenakan pemeriksaan dalam satu jenis atau lainnya. Misalnya, sistem
memeriksa kelengkapan pesanan yang dimasukkan pada antarmuka, dan kami
menyarankan kontrol seperti rutinitas identifikasi dan otentikasi untuk membuktikan
kredensial pelanggan. Diagram alur semacam ini akan disiapkan oleh analis sistem dan
pemrogram dan dapat digunakan oleh auditor, asalkan mereka yakin bahwa diagram
tersebut adalah versi yang paling mutakhir. Namun, auditor mungkin terpaksa membuat
Lihat Kegiatan 9.13 dan bagan mereka sendiri berdasarkan dokumentasi entitas dan pengamatan mereka
Gambar 9.3. terhadap sistem, yang didukung oleh pengujian mereka sendiri.
• Diagram alur sistem. Ini juga menunjukkan aliran data melalui suatu sistem tetapi lebih
berkonsentrasi pada cara data dipengaruhi oleh berbagai rutinitas yang diprogram
dan bagaimana kaitannya dengan masukan data lain ke rutinitas dari berbagai media.
Diagram alur tersebut tidak memberi tahu kita banyak tentang logika yang diterapkan
dalam rutinitas, namun memberikan gambaran yang sangat baik dan mungkin disertai
dengan catatan yang menyoroti fitur kontrol utama.
• Diagram alur program. Diagram alur semacam ini menunjukkan pengambilan keputusan internal
program secara rinci, seperti 'Jika jam kerja karyawan melebihi 40 jam, lakukan rutinitas lembur'.
Auditor mungkin memeriksa diagram alur tersebut dan mengujinya untuk memastikan Instruksi program akan lebih
rutinitas berjalan sebagaimana mestinya. Namun, kami tidak melihat diagram alur seperti ini rumit dari ini.
secara detail.
Dalam situasi yang sangat kompleks, diagram alur mungkin merupakan cara terbaik untuk memahaminya
apa yang terjadi dalam suatu organisasi.
Sekarang setelah Anda mengenal diagram alur, kami menyarankan beberapa
kelebihan dan kekurangan teknik tersebut. Keuntungannya meliputi:
1 Membantu pemahaman tentang sistem akuntansi dan pengendalian internal oleh individu berikut:
• orang yang melaksanakan pekerjaan rinci

• orang yang meninjau pekerjaan orang tersebut, termasuk senior, manajer
dan mitra
• staf klien di berbagai tingkatan. Diagram alur adalah sarana yang sangat baik
menjelaskan kepada klien dimana letak kekuatan dan kelemahannya.
2 Untuk menggambar diagram alur dengan baik auditor harus memahami sistem yang digunakan. Oleh
karena itu, ini merupakan teknik yang memaksa auditor untuk memahami pengendalian entitas.
3 Selain mendeteksi kekuatan dan kelemahan, diagram alur juga dapat menunjukkan prosedur atau dokumen
yang tidak diperlukan. Dokumen yang sepertinya tidak digunakan untuk tujuan tertentu bukanlah hal yang aneh.
Kerugiannya meliputi:
1 Diagram alur dapat memakan waktu lama untuk dipersiapkan dan mungkin sangat sulit untuk diubah, meskipun
diagram alur yang terkomputerisasi telah membuat hal ini jauh lebih mudah.
2 Dalam sistem yang sederhana, deskripsi naratif mungkin lebih tepat.
3 Masing-masing perusahaan mungkin memiliki simbol yang seragam, namun terdapat variasi yang cukup besar
tion simbol secara umum.
4 Diagram alur memerlukan pengalaman untuk mempersiapkannya dengan benar dan untuk mengaktifkannya
interpretasi yang tepat. Oleh karena itu, prosedur ini mungkin tidak sesuai jika dilakukan oleh
staf audit yang tidak berpengalaman.
5 Dalam situasi yang kompleks, diagram alur mungkin terlalu sederhana untuk membantu pemahaman
yang sebenarnya.
Kuesioner dan daftar periksa

Meskipun wawancara tidak terstruktur dengan staf klien mempunyai tempatnya, perusahaan audit telah
mengembangkan serangkaian pertanyaan yang telah ditentukan sebelumnya yang, ketika dijawab, akan
memungkinkan auditor untuk membentuk pandangan tentang sistem yang digunakan dengan cara yang lebih logis.
Auditor menggunakan berbagai kuesioner untuk mencatat dan/atau menilai efektivitas sistem:
Kuesioner pengendalian internal (ICQ) ICQ digunakan untuk mencatat rincian sistem. Mereka dapat
berguna dalam merekam sistem yang kecil, dan meskipun tidak terlalu berguna untuk merekam sistem
yang kompleks, Anda harus menyadari sifat dan perannya. Kuesioner yang sesuai untuk sistem
penerimaan kas Horton Limited disajikan pada Gambar 9.4.
Lihat halaman 335.
KEGIATAN 9.14
Perhatikan lagi deskripsi sistem penerimaan kas Horton Limited dan

tanyakan pada diri Anda pertanyaan-pertanyaan berikut setelah Anda
meninjau ICQ pada Gambar 9.4.
•Apakah formulir ini memudahkan pencatatan dan interpretasi sistem

pengiriman uang tunai yang diterima melalui pos?
•Apakah Anda masih setuju dengan analisa sistem yang kami buat diatas?
GAMBAR 9.4 Penerimaan sistem kas
Nama klien: Horton Limited Tanggal: 31 Oktober 2018
Area audit: Penerimaan uang tunai

Audit
Tindakan
TIDAK. Pertanyaan Menjawab Kuat lemah referensi diambil
program
A. Pengumpulan: Pengiriman uang diterima melalui pos
1 Siapa yang membuka surat? Dua orang di
departemen akun.
2 Apakah mereka independen terhadap personel kasir dan buku besar Ya

penjualan?
3 Apakah semua cek diberi stempel 'Tidak dapat dinegosiasikan' dan Ya
diberikan secara terbatas kepada klien segera setelah diterima?
4 Apakah buku penerimaan kas disimpan oleh orang yang membuka

kiriman yang mencatat: (a) cek dan
wesel pos? (b) uang tunai? Ya
Ya
5 Apakah buku penerimaan kas ditandatangani oleh kedua orang Ya

yang membuka surat?
6 Apakah semua uang yang diterima dan disetorkan ke bank utuh? Ya
7 Apakah perbankan dilakukan setiap hari? Ya
8 Apakah buku penerimaan kas diperiksa dengan buku kas Ya,

dan buku pembayaran oleh orang lain selain kasir? Nyatakan oleh petugas akun
siapa.
9 Apakah pencatatan dalam buku kas dibandingkan dengan buku Ya,

pembayaran yang dilakukan oleh orang lain selain kasir? petugas akun
Nyatakan oleh siapa.
10 Siapa nama kasirnya? John Wiston
11 Apakah dia pernah membuat entri dalam catatan selain buku kas TIDAK
atau buku pembayaran?
12 Siapa yang menyiapkan rekonsiliasi bank? John Wiston
13 Jika disiapkan oleh kasir, apakah rekonsiliasinya diperiksa Ya, kepala

oleh orang yang independen? Nyatakan oleh siapa. akuntan
14 Apakah laporan kepada debitur disiapkan setiap bulan dan Ya

dikirimkan oleh orang selain kasir?
Kuat
Kesimpulan keseluruhan
Kami pikir Anda akan setuju bahwa ICQ telah mempermudah pencatatan dan interpretasi
sistem. Catatan khususnya formulir ini dirancang untuk mengingatkan ingatan Anda tentang
hal-hal penting dalam sistem penerimaan kas. Formulir ini mengharapkan Anda untuk
menunjukkan apakah masing-masing bagian dari sistem itu kuat atau lemah, tetapi juga untuk
membentuk kesimpulan keseluruhan. Mungkin terdapat kelemahan dalam sistem, namun
karena adanya kekuatan di bagian lain, maka dapat disimpulkan bahwa sistem secara
keseluruhan adalah kuat.
Kuesioner evaluasi pengendalian internal (ICEQ) ICEQ tidak digunakan untuk mencatat Beberapa kantor auditor masih
sistem tetapi untuk mengevaluasinya setelah dicatat dengan cara lain. Mereka menetapkan menggunakan ICEQ berbasis
kertas dan daftar periksa
tujuan bagi auditor, tujuan ini diutarakan sebagai pertanyaan kunci. Contoh pertanyaan kunci
pemrosesan data elektronik (EDP)/IT
dalam sistem penjualan adalah: 'Apakah sistem persetujuan kredit memastikan bahwa semua (lihat di bawah), namun perusahaan-
pelanggan potensial yang mengajukan pesanan diberikan persetujuan kredit yang sesuai perusahaan besar semakin
sebelum pesanan diterima?' Pertanyaan-pertanyaan kunci ini seringkali hanya dapat dijawab banyak menggunakan informasi yang
dengan mengajukan pertanyaan-pertanyaan lain dan, pada Tabel 9.2, kami menyajikan dihasilkan komputer bersama
dengan sistem pakar untuk
kuesioner yang sesuai yang berisi pertanyaan-pertanyaan kunci dan pertanyaan-pertanyaan
menyoroti area kelemahan yang memerlukan perhatian a
tambahan yang disarankan di bidang penjualan dan debitur.
TABEL 9.2 Pertanyaan kunci dan tambahan dalam sistem penjualan
Tahap Pertanyaan kunci Pertanyaan tambahan

atau komponen
1 Penerimaan pesanan penjualan (a) Apakah orang-orang bertanggung jawab atas persiapan
Apakah semua pesanan diterima dan diproses pesanan penjualan yang tidak bergantung pada pengendalian kredit,
sedemikian rupa sehingga meminimalkan kesalahan penyimpanan persediaan, dan pencatatan transaksi penjualan?
dalam penerimaan pesanan, pengisian pesanan,
penetapan harga, pengiriman, dan persyaratan pembayaran? (b) Apakah mereka adalah orang-orang yang bertanggung jawab yang berwenang untuk
menyiapkan pesanan penjualan?
(c) Apakah formulir standar digunakan untuk mencatat pesanan
hard copy atau di layar?
(d) Jika tidak, apakah ada catatan tertulis mengenai pesanan penjualan
dalam setiap kasus?
(e) Apakah pesanan penjualan diberi nomor sebelumnya atau diberi
nomor secara otomatis oleh sistem komputer?
(f) Apakah petugas pesanan penjualan mengambil langkah-langkah untuk
memastikan bahwa pelanggan tersebut asli?
(g) Apakah petugas pesanan penjualan memastikan bahwa barang
yang dipesan tersedia dalam jumlah dan kualitas yang
diinginkan?
(h) Apakah harga standar, ketentuan pengiriman dan pembayaran terkini
disediakan untuk penggunaan petugas pesanan penjualan?
(i) Apakah pesanan khusus (kualitas, jumlah, harga khusus) disahkan oleh
pejabat yang bertanggung jawab?
(j) Apakah pesanan penjualan disiapkan oleh satu orang
diperiksa oleh orang lain atau dengan program komputer?
(Lanjutan)
TABEL 9.2 Pertanyaan-pertanyaan kunci dan tambahan dalam sistem penjualan (Lanjutan)

atau komponen
2 Kontrol kredit (a) Apakah pengontrol kredit independen terhadap petugas
pesanan penjualan?
Apakah calon pelanggan yang mengirimkan
pesanan penjualan diperiksa kelayakan kreditnya (b) Apakah pelanggan baru yang ingin membeli barang secara kredit
sebelum pesanan diterima? diperiksa kelayakan kreditnya dengan merujuk pada orang
atau organisasi independen atau melalui kartu kredit?
(c) Apakah pesanan dari pelanggan lama diperiksa catatan

pembayarannya, saldo buku besar penjualannya, dan batas
kreditnya?
(d) Apakah batas kredit ditetapkan oleh pejabat yang bertanggung jawab pada
berdasarkan data yang dapat diandalkan?
(e) Apakah persetujuan kredit dibuktikan atas penjualan tersebut

memesan dengan tanda tangan pejabat yang bertanggung jawab
atau dengan kode program?
(f) Apakah pekerjaan petugas pengawas kredit diperiksa oleh orang
lain?
3 Pengiriman barang (a) Apakah departemen gudang/pengiriman di dalam
Apakah barang hanya dikirim ke pelanggan tergantung pada persiapan pesanan penjualan, pengendalian
setelah mendapat izin yang sesuai dari pejabat kredit dan pembuatan faktur?
yang bertanggung jawab di luar gudang dan (b) Apakah petugas gudang mengeluarkan barang dari gudang
departemen pengiriman barang? berdasarkan pesanan yang ditandatangani oleh petugas
pesanan penjualan dan pengontrol kredit yang berwenang
atau berdasarkan catatan pengiriman yang diperoleh dari
sistem komputer yang dikendalikan?
(c) Apakah pengiriman barang dibuktikan dengan dibuatnya nota

pengiriman barang?
(d) Apakah nota pengiriman barang diberi nomor terlebih dahulu atau
diberi nomor secara otomatis oleh sistem komputer?
(e) Apakah total pengendalian mengikuti catatan pengiriman

rutin dibandingkan dengan total yang telah ditentukan?
(f) Apakah dua salinan nota pengiriman barang dikirimkan kepada

pelanggan, dan satu salinan dikembalikan sebagai bukti
penerimaan?
(g) Apakah salinan catatan pengiriman dikirim ke departemen

pengendalian inventaris untuk memperbarui catatan
inventaris atau apakah catatan inventaris diperbarui berdasarkan
catatan pengiriman yang berasal dari sistem komputer
yang dikendalikan?
(h) Apakah catatan inventaris dibandingkan secara periodik dengan

inventaris yang ada dan apakah ada perbedaan yang diselidiki?

atau komponen
4 Faktur barang yang dikirim (a) Apakah faktur penjualan tidak bergantung pada persiapan
Apakah sistem memastikan bahwa semua barang pesanan penjualan, pengendalian kredit, serta
yang dikirim ditagih sesuai harga dan ketentuan departemen gudang dan pengiriman?
yang diizinkan? (b) Apakah faktur penjualan menerima salinannya

pesanan penjualan atau faktur penjualan berasal dari sistem
komputer yang dikendalikan?
(c) Apakah faktur penjualan melakukan pemeriksaan urutan

pesanan penjualan atau apakah sistem komputer yang
terkontrol memeriksa urutan seluruh dokumen, termasuk

pesanan penjualan, catatan pengiriman, dan faktur
penjualan?
(d) Apakah faktur penjualan melakukan pemeriksaan urutan

pada catatan pengiriman barang?
(e) Apakah total pengendalian mengikuti faktur penjualan

rutin dibandingkan dengan total yang telah ditentukan?
(f) Apakah sistem mencocokkan faktur penjualan dengan

catatan pengiriman barang dan pesanan penjualan – dan
mengejar pesanan yang tak tertandingi?
(g) Apakah petugas penagihan memiliki rincian harga, syarat dan

ketentuan terkini, termasuk perjanjian khusus dengan
pelanggan tertentu, dan apakah file induk syarat dan
ketentuan selalu diperbarui secara berkala oleh pejabat
yang bertanggung jawab?
(h) Apakah faktur penjualan diperiksa secara independen

kewajarannya melalui pengiriman?
5 Entri dalam buku besar penjualan (a) Apakah petugas buku besar penjualan tidak bergantung
Apakah semua faktur penjualan dicatat dengan pada persiapan pesanan penjualan, pengendalian kredit,
benar dalam rekening masing-masing pelanggan di departemen perbaikan barang dan faktur penjualan, atau
buku besar penjualan? apakah buku besar penjualan selalu diperbarui dengan
sistem komputer yang terkendali?
(b) Apakah total kendali buku besar penjualan diperiksa

keakuratannya sebelum rutinitas pemutakhiran
diterima?
(c) Apakah akun kendali buku besar penjualan dikelola secara

independen dari petugas buku besar penjualan dan
apakah perbedaan antara daftar saldo buku besar penjualan
yang diambil dan saldo akun kendali diselidiki oleh pejabat

yang bertanggung jawab, atau apakah akun kendali yang
diturunkan dari komputer ditinjau oleh pejabat yang
bertanggung jawab?
(d) Apakah laporan jumlah terutang disiapkan setidaknya setiap

bulan dan dikirimkan ke pelanggan?
(Lanjutan)
360 Sistem bekerja: ide dasar 2

atau komponen
(e) Apakah laporan penuaan telah disiapkan, diperiksa oleh pejabat
yang bertanggung jawab selain petugas buku besar penjualan,
dan apakah ada saldo lama yang diselidiki untuk menentukan
alasan lambatnya pembayaran?
(f) Apakah saldo buku besar penjualan terdiri dari faktur penjualan
yang teridentifikasi dan pergerakan lainnya?
(g) Apakah penyesuaian terhadap akun-akun buku besar penjualan,

seperti penghapusan piutang tak tertagih dan diskonto
disahkan oleh pejabat yang bertanggung jawab selain petugas

buku besar penjualan?
6 Entri dalam buku besar umum (atau nominal). (a) Apakah faktur penjualan diberi kode dengan benar untuk
Apakah semua pendapatan penjualan dan piutang memungkinkan analisis sebagaimana diperlukan oleh
ditentukan, dianalisis, dan dicatat dalam akun dengan manajemen, misalnya berdasarkan wilayah geografis,
benar? jenis produk, dll?
(b) Apakah pejabat yang bertanggung jawab membandingkan

penjualan periode berjalan dengan penjualan periode
sebelumnya pada tahun tersebut dan dengan periode yang
sama pada tahun sebelumnya?
(c) Apakah langkah-langkah diambil untuk memastikan penjualan berjalan baik
dialokasikan pada tahun terjadinya penjualan (yaitu, apakah

pejabat yang bertanggung jawab memeriksa keakuratan batas
antara penjualan/
piutang dan persediaan)?
(d) Apakah pejabat yang bertanggung jawab memeriksa penjualan tersebut
tampak masuk akal jika dilihat dari laba kotor dan rasio relevan
lainnya?
(e) Apakah pejabat yang bertanggung jawab meninjau kolektibilitas

piutang dan apakah penyesuaian dan ketentuan yang tepat
diizinkan oleh pejabat tersebut?
Pemrosesan data elektronik (EDP) atau daftar periksa TI

Meskipun kita berasumsi bahwa sebagian besar perusahaan menggunakan sistem berbasis
komputer, tingkat penggunaannya sangat bervariasi, mulai dari jenis sistem yang digunakan
oleh High Quality Limited, melalui sistem kendali batch tradisional hingga sistem informasi
dan e-commerce yang canggih. Jelasnya auditor harus menemukan jenis teknologi yang
digunakan dan pengendalian umum serta penerapan yang berlaku.
Daftar periksa, yang dikenal sebagai EDP atau daftar periksa TI, telah dikembangkan untuk
membantu auditor menilai kualitas sistem komputer. Kami memberikan contoh EDP/
Daftar periksa TI pada Gambar 9.5, dilengkapi untuk pengendalian umum: pengendalian
pengembangan dan pengendalian organisasi serta keamanan untuk Burbage Limited yang
Lihat halaman 377. sistem penjualannya dijelaskan dalam Studi Kasus 10.4 di Bab 10.
Satu kata terakhir di bagian ini. Dalam praktiknya, kombinasi deskripsi naratif, diagram
alur, dan kuesioner serta daftar periksa akan digunakan. Setiap metode memiliki nilainya.
GAMBAR 9.5 Daftar periksa pengembangan, organisasi, dan keamanan EDP TI (Burbage Limited)
Nama perusahaan: Burbage Limited Akhir tahun: 31 Desember 2018

Bagian 1: Detail instalasi komputer
Bagian 2: Rincian personel departemen komputer
Bagian 3: Detail perangkat keras, termasuk periferal
Bagian 4: Detail media file
Bagian 5: Pengendalian umum dan aplikasi
A. Pengendalian umum: pengendalian pengembangan
Pertanyaan Menjawab Evaluasi Surat manajemen Keputusan

ruang lingkup
Apakah survei pendahuluan dan studi kelayakan 1. Ya, Lemah Ya Lihat catatan
dilakukan untuk semua pengembangan baru dan modifikasi tapi tidak 29.10.2018 keputusan
oleh personel yang berkualifikasi? didokumentasikan ruang
lingkup pada
2. Dalam pembuatan kajian ini dibahas hal-hal sebagai Secara umum Ya
kertas kerja XXX
berikut: OK, namun 29.10.2018
Perlunya sistem baru atau modifikasi? Ya perjanjian
B Tindakan alternatif? Ya formal antara
C Biaya dan manfaat dari semua alternatif? Ya pengguna dan
D Konsultasi dengan departemen pengguna? tidak resmi audit eksternal penting
E Konsultasi dengan auditor internal? Ya
F Konsultasi dengan auditor eksternal? TIDAK
G Skala Waktu? Ya
3. Apakah otorisasi diberikan pada tingkat yang tepat? Ya S
4. Dalam melaksanakan tahap perancangan sistem Umumnya OK Ya

apakah terdapat prosedur tertulis tetapi 29.10.2018
untuk: Perancangan Sistem? Ya pengujian
B Aspek perilaku? TIDAK
Spesifikasi Program C? Ya
Pemrograman D? Ya keseluruhan
Pengujian E? Program sistem perlu lebih diformalkan
F Konversi file? Ya
5. Apakah desain sistem mencakup hal-hal berikut: Lemah karena Ya

Deskripsi Narasi dan diagram alur? Ya tidak cukup 29.10.2018
B Sifat dan bentuk masukan? Ya perhatian
C Deskripsi kontrol input? TIDAK diberikan
D Sifat dan bentuk keluarannya? Ya pada
E Deskripsi kontrol keluaran? TIDAK pengendalian,
F Deskripsi rutinitas pemrosesan, termasuk khususnya validasi
pengendalian terprogram dan pelaporan pengecualian? Ya
G File master? Ya
6. Pemrograman
A Apakah standar untuk spesifikasi program
didirikan secara resmi? Ya S
B Apakah pemrogram secara resmi menerima spesifikasi
program? Secara informal Lemah Ya
C Apakah standar penulisan atau modifikasi 29.10.2018
program ditetapkan untuk mencakup: (i)
Pendekatan pemrograman? (ii) Ya S
Logika pemrograman dan diagram blok? (iii) Standar Ya S
dokumentasi? (iv) Pengendalian Ya S
pemrograman? (v) Standar Sangat terlambat Lihat 5 di atas
pengujian program? (vi) Instruksi Ya S
operator? Ya S
(Lanjutan)
GAMBAR 9.5 Daftar periksa pengembangan, organisasi, dan keamanan EDP TI (Burbage Limited) (Lanjutan)
Pertanyaan Menjawab Surat Manajemen Evaluasi Keputusan
ruang lingkup
7. Pengujian
A Apakah semua program dan amandemen program diuji
menggunakan semua jenis transaksi yang diantisipasi? Ya S
B Apakah semua kontrol terprogram telah diuji untuk

pengoperasian yang benar? Lihat 5 di atas Lihat 5 di atas Lihat 5 di atas
C Apakah hasil pengujian program didokumentasikan secara lengkap

dan dipertahankan? Ya S 29.10.2018
D Apakah programmer memberikan persetujuan tertulis pada

penyelesaian tahap pemrograman? TIDAK Lemah Ya
E Apakah sistem yang lengkap telah diuji secara mendalam oleh 29.10.2018 Ya
analis sistem dan pengguna? TIDAK Lemah
F Apakah sistem baru dijalankan secara paralel dengan sistem lama 29.10.2018
dan apakah hasil langsungnya dibandingkan? Ya S
G Apakah hasil pengujian sistem didokumentasikan dan disimpan

sepenuhnya? Sebagian Lemah Ya
H Apakah analis sistem dan pengguna memberikan persetujuan 29.10.2018 Ya
tertulis pada penyelesaian pengujian sistem? TIDAK Lemah

SAYA
Apakah auditor internal dan/atau eksternal diharuskan menguji 29.10.2018 Ya
pengendalian dan memberikan persetujuan tertulis? TIDAK Lemah

29.10.2018
8. Konversi file: A
Apakah konversi file direncanakan dengan baik? Ya S

B Apakah standar konversi file ditetapkan secara tertulis?
Ya S
C Apakah file yang dikonversi dibandingkan secara detail dengan
file asli dan diselidiki perbedaannya?
Ya S
9. Instruksi operator dan pengguna: A Apakah

semua operator dan pengguna diberikan pelatihan yang memadai
dan tepat waktu? Ya S
B Apakah orang-orang dalam organisasi yang terkena dampak

perubahan sistem selalu mendapat informasi yang baik di Ya
semua tahap? TIDAK Lemah 29.10.2018
10. Peninjauan dan penerimaan akhir: Apakah

orang-orang berikut ini melakukan peninjauan akhir terhadap sistem
baru dan apakah mereka memberikan persetujuan formal secara
tertulis sebelum penerapan: Manajer Operasi?
Ya S
B Perwakilan departemen pengguna? TIDAK Lemah Ya untuk B&C

C Auditor internal/eksternal? TIDAK Lemah 29.10.2018
B. Pengendalian umum: pengendalian organisasi dan keamanan
Pertanyaan Menjawab Surat Manajemen Evaluasi Keputusan

ruang lingkup
1. Organisasi: A Apakah Lihat catatan
departemen TI melapor kepada dewan direksi? mengenai

Ya S keputusan
B Apakah departemen TI independen terhadap pengguna ruang lingkup

departemen yang datanya diproses? Ya S pada kertas kerja XXX
C Apakah ada transfer data formal antara departemen pengguna
dan departemen TI? TIDAK Lemah Ya
D Apakah semua staf di departemen TI memilikinya 29.10.2018
kompetensi yang memadai dan apakah mereka diawasi dengan

baik? Ya S
GAMBAR 9.5 Daftar periksa pengembangan, organisasi, dan keamanan EDP TI (Burbage Limited) (Lanjutan)
Menjawab Evaluasi Surat manajemen Keputusan

Pertanyaan
ruang lingkup
E Apakah ada bagan organisasi untuk departemen TI dan apakah

itu menunjukkan garis wewenang dengan jelas?
Ya S
F Apakah uraian tugas tersedia untuk setiap tingkat staf dan ditinjau
secara berkala? Ya S
G Apakah tugas-tugas berikut ini dipisahkan dalam departemen TI:
(i) Analisis dan TIDAK Lemah Ya
desain sistem? (ii) Pemrograman? (iii) 29.10.2018
Operasi? (iv) Pengendalian?
2. Keamanan lingkungan fisik:

A Apakah bangunan tersebut menampung komputer dan peralatan
lainnya untuk menghindari lantai dan bahaya alam lainnya?
Ya S
B Apakah bangunan terlindung dari orang yang tidak berwenang
pintu masuk?
Ya S
C Apakah tindakan pencegahan kebakaran memadai? Ya S
D Apakah ada langkah-langkah yang diambil untuk memastikan

pasokan listrik yang konstan dan memadai? Ya S
E Apakah perangkat keras diservis dengan baik? Ya S
F Apakah akses ke komputer dibatasi hanya untuk
personel yang berwenang? Ya S
G Apakah ada asuransi komputer yang memadai
instalasi, termasuk jaringan dan periferal? Ya S
3. Keamanan data: A
Apakah salinan program dan dokumentasi disimpan di lokasi
yang aman di luar instalasi TI?
TIDAK Lemah Ya
B Apakah ada perpustakaan program dan file? Ya S 29.10.2018 Ya
C Apakah perpustakaan dikendalikan oleh pustakawan? TIDAK Lemah
D Apakah semua program, file master, dan file catatan transaksi 29.10.2018
semuanya diberi label secara internal dan eksternal?
Ya S
E Apakah salinan cadangan file data disimpan di a
lokasi di luar instalasi komputer? TIDAK Lemah Ya
F Apakah disk magnetik dipertahankan hingga pemrosesan 29.10.2018
ketiga dijalankan setelah pembuatan
(kakek-ayah-anak) dan apakah file hard disk sering dan
teratur dibuang? Ya S
G Apakah akses terhadap data yang disimpan dalam file
komputer ditentukan berdasarkan kebutuhan? Ya S
H Apakah tingkatan akses telah ditentukan: tidak ada akses,

hanya baca, baca dan tambah, baca dan hapus?
Ya S
I Apakah akses dibatasi oleh kata sandi? Ya S
J Apakah kata sandi dirancang dan dilindungi dengan cermat

dan diganti secara teratur? TIDAK Lemah Ya
K Apakah kontrol yang tepat diterapkan untuk mendeteksi 29.10.2018
akses tidak sah dan untuk memungkinkan tindakan balasan?
TIDAK Lemah Ya
L Apakah log konsol dipelihara dan apakah memang demikian Ya S 29.10.2018
ditinjau secara berkala oleh pejabat yang bertanggung jawab? Ya, tapi OK sebisa
M Apakah informasi/jejak audit memadai untuk daftar debiturnya S mungkin buat
memastikan kepatuhan terhadap hukum terhadap kehilangan data? hanya bulanan sesuai keinginan
N Apakah ada asuransi yang memadai terhadap kehilangan data? Ya
O Jika sifat organisasi atau metode pemrosesan menghalangi Ya,
pembagian tugas yang memadai atau akses yang terbatas, apakah pengawasan
S
ada prosedur lain yang berlaku untuk mencegah kehilangan atau yang baik di komputer
manipulasi data? ruang
Catatan 1: 'S' menunjukkan kontrol yang kuat: Catatan 2: Jika daftar periksa ini ada pada sistem pakar, evaluasi awal mungkin disarankan oleh
program komputer, namun harus ditinjau secara manual sebelum kesimpulan akhir dicapai.
Ringkasan •• Pencatatan pertama informasi/jejak berada pada batas dimana

identitas dan keaslian pengguna pertama kali dicatat. Catatan
Kami mempertimbangkan kontrol aplikasi, termasuk yang mencakup semua tindakan yang memengaruhi data.
terkait dengan pengambilan/input data, pemrosesan, •• Subsistem masukan menerima data dan memastikan perangkat lunak
adalah benar.
output, database, dan e-commerce. Kami membahas sifat
•• Kontrol batch didukung oleh organi yang sesuai
dan tujuan kontrol kata sandi dan penggunaan firewall kontrol nasional.
untuk melindungi intranet dan ekstranet. Kami meninjau •• Masukkan data yang diverifikasi sesegera mungkin karena mahal untuk
masalah-masalah tertentu dan kontrol terkait dalam memperbaiki kesalahan di kemudian hari dan data yang disimpan mungkin rusak.
database dan sistem e-commerce. Subsistem masukan harus menghasilkan laporan pengecualian
Sepanjang bab ini, kita telah membahas bagaimana dan meneruskan rincian kesalahan ke pembuat data asli untuk
diperbaiki.
jejak informasi/audit dapat dibuat dan alasan dilakukannya
•• Jejak informasi/audit dipelihara oleh subsistem masukan pada data
hal tersebut. Kami melihat bahwa hal ini pada umumnya transaksi dan file induk yang akan diperbarui.
penting, namun khususnya penting bagi perusahaan yang
bergerak di bidang e-commerce. •• Kontrol pemrosesan mencakup kontrol atas CPU, memori utama dan
Kami membahas pendekatan audit terhadap sistem operasi, serta kontrol atas aplikasi.
pencatatan dan evaluasi sistem dan mempertimbangkan

•• CPU dan memori utama harus diuji secara berkala
kelebihan dan kekurangan berbagai cara pencatatan dan
dan fasilitas cadangan tersedia.
evaluasi.
•• Kontrol atas aplikasi: (a) kontrol run-to-run; (b) identifikasi media
penyimpanan sekunder; (c) data file induk harus asli, akurat dan
lengkap sebelum diproses; (d) program diuji pada tahap
Poin-poin penting dari bab ini pengembangan dan secara berkelanjutan; (e) informasi/jejak audit
diperbarui untuk mencatat semua tindakan pemrosesan sejak data
•• Tujuan umum pengendalian penerapan adalah: (a) data yang masukan diterima hingga waktu dikirim sebagai keluaran; (f)
dikumpulkan adalah asli, akurat, dan lengkap; (b) data yang diterima pemeriksaan urutan; (g) uji batas atau kewajaran; (h) gips dan gips
diolah agar tetap asli, akurat dan lengkap; (c) data yang disimpan silang.
sementara atau permanen adalah asli, akurat dan lengkap; (d) data/
informasi keluaran adalah asli, akurat dan lengkap serta sampai •• Pengendalian keluaran mempunyai dua tujuan: keluaran adalah (a)
pada penerima yang dituju; (e) informasi/ asli, akurat dan lengkap; (b) dibagikan kepada mereka yang
memerlukannya.
jejak audit selesai. •• Sistem basis data menyediakan data yang sama untuk semua
Pengendalian aplikasi meliputi: (a) pengendalian pengambilan/input aplikasi, namun diperlukan kontrol khusus: (a) kepemilikan sub-
data; (b) pengendalian pemrosesan; (c) pengendalian keluaran; (d) skema kepada pengguna yang ditunjuk; (b) otorisasi setelah acara;
pengendalian basis data; (e) pengendalian perdagangan elektronik. (c) pengawasan dan rotasi staf administrasi basis data penting; (d)
•• Kontrol pengambilan/input data mencakup kontrol batas, seperti kata catatan penggunaan yang lengkap; (e) jejak informasi/audit, termasuk
sandi dan firewall. catatan seluruh intervensi.
•• Sistem kata sandi memiliki beberapa fitur berikut: (a) tingkat akses;
(b) paling sedikit delapan digit alfanumerik dan kombinasinya yang •• E-commerce menghadirkan masalah pengendalian tertentu, namun
mudah diingat; (c) menghindari penggunaan kata sandi yang terkait tingkat risikonya bergantung pada cara organisasi menggunakan
dengan pengguna; (d) pelatihan staf tentang menjaga kerahasiaan Internet. Risiko khusus adalah: (a) keamanan; (b) tempat tinggal
kata sandi; (e) perubahan kata sandi secara teratur dan sering; (f) untuk tujuan hukum dan perpajakan; (c) risiko bisnis dan akuntansi;
mematikan terminal ketika kata sandi yang dimasukkan salah. (d) risiko yang timbul dari e-commerce sebagai bisnis 24 jam; (e)
Pengendalian lainnya: (a) membatasi penggunaan terminal pada risiko yang terkait dengan teknologi yang kompleks.
fungsi tertentu; (b) mencatat terminal dan karyawan mana yang

mengakses sistem, yang ditinjau oleh orang yang bertanggung •• Pengendalian untuk mengurangi dampak risiko e-commerce: (a)
jawab; (c) membatasi penggunaan terminal pada jam kerja normal kebijakan keamanan; (b) firewall; (c) jaringan pribadi; (d) jalur
jika memungkinkan. Pengendalian tambahan diperlukan jika sistem informasi/audit.
telepon nasional digunakan untuk mengirimkan data. •• Perusahaan yang bergerak di bidang e-commerce harus memiliki
sistem yang beroperasi secara efisien dan efektif selama 24 jam.
•• Firewall dibuat dan dipelihara oleh sistem yang dirancang khusus
untuk melindungi jaringan komputer dari gangguan yang tidak sah. •• Manajemen krisis mungkin sangat penting dalam
Jaringan mungkin intranet atau ekstranet. Beberapa firewall sangat lingkungan e-niaga.
ketat, namun banyak perusahaan mengadopsi metode terbuka untuk •• Auditor harus memiliki pendekatan terstruktur dengan tujuan yang
beberapa bentuk komunikasi. jelas ketika memeriksa sistem. Tujuan sistem dipecah menjadi
tahapan dan tujuan ditentukan.
Pertanyaan penilaian diri (solusi tersedia bagi siswa) 365
Pendekatan audit terhadap laporan keuangan terdiri dari: (a)

Pertanyaan penilaian diri (solusi tersedia
identifikasi komponen dan asersi terkait, risiko bawaan, dan untuk siswa)
pengendalian; (b) memperkirakan tingkat risiko pengendalian;
(c) penentuan prosedur deteksi audit untuk mengurangi total
9.1 Pertimbangkan pernyataan berikut dan jelaskan
risiko audit.
•• Pengumpulan informasi tentang sistem memerlukan kekuatan mengapa pernyataan tersebut mungkin benar atau salah:
penyelidikan yang besar. Auditor mewawancarai banyak orang (a) ICQ adalah kuesioner yang digunakan untuk
yang terlibat. Pencatatan sistem dapat dilakukan melalui narasi,
mencatat sistem yang digunakan.
deskripsi visual, atau kuesioner dan daftar periksa.
(b) ICQ adalah kuesioner yang digunakan untuk
•• Deskripsi naratif dapat berguna dalam sistem kecil dan mungkin mengevaluasi sistem yang digunakan.
berguna untuk mendukung sarana pencatatan lainnya. (c) ICEQ adalah kuesioner yang digunakan untuk
mencatat sistem yang digunakan.
•• Deskripsi visual meliputi: (a) bagan organisasi; (b) diagram alir, (d) Persyaratan dasar suatu sistem akuntansi
termasuk diagram alir jejak informasi/audit, diagram alir
adalah memenuhi kebutuhan bisnis yang dirancang.
dokumen, diagram alir data, diagram alir sistem, dan diagram
alir program.
•• Keuntungan diagram alur: (a) memungkinkan pemahaman
sistem; (b) memaksa auditor untuk memahami cara entitas (e) Dalam organisasi kecil tidak mungkin mempunyai
mengendalikan; (c) menunjukkan dengan tepat prosedur/ sistem pengendalian internal yang baik.
dokumen yang tidak perlu. Kerugian dari diagram alur: (a)
memerlukan waktu lama untuk mempersiapkan dan
(f) Dalam sistem modern, diagram aliran data
mengubahnya; (b) dalam sistem yang sederhana, deskripsi
naratif mungkin lebih tepat; (c) variasi penggunaan simbol lebih berguna daripada diagram alur
yang cukup besar; (d) mungkin tidak berguna di tangan staf
dokumen.
audit yang tidak berpengalaman; (e) dalam situasi yang 9.2 Asumsikan bahwa Ann Paterson, seorang pelanggan setia,
kompleks, diagram alur mungkin terlalu sederhana.
telah menelepon meminta untuk disuplai dengan tiga
•• Kuesioner dan daftar periksa memungkinkan auditor untuk
membentuk pandangan tentang sistem yang digunakan dengan buku yang baru diterbitkan.
cara yang logis: (a) kuesioner pengendalian internal; (b) Dia berbicara dengan petugas penjualan yang menangani
kuesioner evaluasi pengendalian internal; (c) Daftar periksa EDP/TI. pesanannya. Sarankan kontrol yang harus diterapkan
sebelum pesanannya diterima.
9.3 Dengan asumsi bahwa pesanan diterima dan pembukuan

Bacaan lebih lanjut akan diberikan secara kredit, jelaskan catatan apa yang
akan terpengaruh oleh transaksi tersebut dan rincian
informasi/jejak audit yang harus dicatat.
ISA yang penting dalam bidang ini adalah ISA 315 – Mengidentifikasi
dan Menilai Risiko Kesalahan Pernyataan Material Melalui
Pemahaman Entitas dan Lingkungannya (efektif untuk audit atas 9.4 Pada Tabel 9.2 kami memberi Anda pertanyaan-pertanyaan
laporan keuangan untuk periode yang berakhir pada atau setelah 17 kunci dan tambahan dalam sistem penjualan. Dua
Juni 2016). Anda juga dapat merujuk pada ISA 330 – Respons pertanyaan kunci dalam sistem pembelian adalah:
Auditor terhadap Risiko yang Dinilai (berlaku untuk audit laporan (a) Apakah semua permintaan barang dan jasa
keuangan untuk periode yang berakhir pada atau setelah 15 dimulai dan disetujui oleh pejabat yang
Desember 2017). berwenang dan bertanggung jawab?
(b) Apakah semua pesanan pembelian didasarkan pada
Kami juga telah menyebutkan ISA 250A – Pertimbangan Peraturan permintaan yang sah dan sah, serta apakah
Perundang-undangan dalam Audit Laporan Keuangan (berlaku permintaan tersebut diproses sedemikian rupa
untuk audit atas laporan keuangan yang berakhir pada atau setelah untuk memastikan bahwa harga, kondisi,
tanggal 17 Juni 2016). kuantitas, kualitas, dan pemasok sesuai dengan
bisnis?
Dua teks yang berguna adalah:
Pertanyaan tambahan apa yang mungkin Anda
Rowley, J. (2002) E-bisnis: Prinsip dan Praktek, Basingstoke: ajukan, dengan asumsi bahwa dalam sistem ini pesanan
Palgrave. dibuat secara otomatis oleh sistem komputer?
Weber, R. (1999) Pengendalian dan Audit Sistem Informasi,
New York: Prentice Hall.
Pertanyaan penilaian diri (solusi kekuatan untuk memastikan bahwa daftar gaji
tersedia untuk tutor) tersebut asli, akurat dan lengkap. Jelaskan
apa yang dimaksud dengan 'asli, akurat dan
lengkap' dalam konteks ini.
9.5 Lihat pertanyaan 9.2 dan 9.3 di atas dan jelaskan
bagaimana diagram aliran data akan membantu 9.7 Jelaskan sifat ekstranet dan jelaskan mengapa
auditor memahami cara kerja sistem entri ekstranet dapat menjadi sarana yang berguna
pesanan entitas. untuk mencapai tujuan bisnis. Anda adalah
Mengapa diagram aliran data lebih baik auditor suatu entitas yang menjalankan bisnis
daripada diagram alur dokumen untuk tujuan ini? menggunakan ekstranet. Jelaskan pengendalian
apa yang Anda harapkan berlaku untuk
melindunginya.
9.6 Ditunjukkan pada Gambar 9.6 adalah diagram alur
sistem untuk sistem penggajian produksi.
Jelaskan apa yang terjadi dalam dua rutinitas Solusi tersedia untuk siswa dan Solusi tersedia untuk tutor
'pembaruan file transaksi' dan 'penjalanan gaji'.

Ini dapat ditemukan di situs web pendamping di halaman pelajar/
Selain itu, jelaskan pula jenis pengendalian, baik
bagian dosen.
terprogram maupun manual, yang sebaiknya ada
GAMBAR 9.6 Diagram alur sistem komputer untuk sistem penggajian
Karyawan
Personil
menguasai
perubahan mengajukan
Menguasai
Kecepatan
mengajukan
perubahan
memperbarui
Diperbarui
karyawan
Berkas induk file induk Sosial
cetakan keamanan dan
tabel pajak
Kartu jam Gaji

jam Transaksi berlari
bekerja mengajukan
Lembur Transaksi Diperbarui

transaksi
jam mengajukan
Daftar gaji
mengajukan
memperbarui
Bonusnya Pengecualian
perhitungan Cetakan file laporan
transaksi
Topik diskusi kelas tanpa solusi 367
Topik diskusi kelas tanpa solusi 9.9 Perusahaan audit harus melatih auditor untuk melakukan hal tersebut
menjadi ahli IT di bidang auditing, dibandingkan

mengharapkan ahli IT menjadi auditor. Membahas.
9.8 Apabila perusahaan klien sepenuhnya

mengintegrasikan sistem bisnis dengan e-
commerce yang dilakukan melalui Internet,
masalah khusus akan muncul bagi auditor. Jelaskan
mengapa demikian.

CH 9-Indo-Pert 2

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

CH 9-Indo-Pert 2

Diunggah oleh

Hak Cipta:

Format Tersedia

Machine Translated by Google

Setelah mempelajari bab ini Anda seharusnya mampu:

• Membedakan antara kontrol pengembangan/pemeliharaan sistem dan aplikasi

• Tunjukkan bagaimana auditor memecah sistem menjadi komponen-komponen sebagai bantuan

• Jelaskan bagaimana sistem pencatatan auditor digunakan.

Kontrol pengambilan/input data 327

Anda mungkin telah membuat daftar tujuan utama berikut:

• Keluaran data/informasi adalah asli, akurat, lengkap, dan masuk ke rekening

• kontrol pengambilan/input data

PENGAMBILAN DATA / KONTROL INPUT

328 Sistem kerja: ide dasar 2

Pengendalian batas mencakup hal-hal berikut:

Kontrol pengambilan/input data 329

• Penghindaran kata sandi yang terkait dengan orang yang menggunakannya.

• Perubahan kata sandi secara teratur dan sering.

Kontrol akses sangat penting ketika terminal yang jauh digunakan

330 Sistem kerja: ide dasar 2

Dalam banyak kasus, perusahaan menggunakan sistem telepon nasional untuk

Kontrol pengambilan/input data 331

Inisiasi jejak informasi/audit

332 Sistem kerja: ide dasar 2

• Pemeriksaan urutan. Kami mencatat di atas bahwa pemeriksaan urutan memungkinkan

Kontrol pengambilan/input data 333

• Investigasi perbedaan antara total pengendalian yang telah ditentukan dan

GAMBAR 9.1 Antarmuka antara penyiapan data dan ruang komputer

Persiapan data Ruang komputer

Data Kontrol data

334 Sistem kerja: ide dasar 2

Jenis data informasi/audit apa yang ingin Anda lihat dicatat?

Kontrol pemrosesan 335

Kontrol atas aplikasi

Asumsikan pesanan persediaan disiapkan secara otomatis di suatu perusahaan ketika

336 Sistem kerja: ide dasar 2

(f) Pengendalian pemrosesan lainnya mencakup hal-hal berikut:

Kami telah menyarankan sejumlah pengendalian untuk memastikan keaslian, keakuratan,

Sistem basis data 337

338 Sistem kerja: ide dasar 2

Kami telah mempertimbangkan pemutakhiran file induk personel sebagai contoh

Konsekuensinya, auditor mengharapkan adanya pengendalian terhadap personel dalam

perdagangan elektronik 339

340 Sistem kerja: ide dasar 2

Beberapa jenis bisnis telah memanfaatkan penggunaan Internet dalam perdagangan

Strategi manajemen dan risiko bisnis/inheren

mempengaruhi perusahaan yang bergerak di bidang e-commerce. Pengendalian untuk mengurangi

• Menggunakan pedoman penggunaan email untuk mengurangi potensi ancaman terhadap a

• Mencegah penggunaan salinan perangkat lunak yang tidak sah.

Jaringan pribadi, seperti intranet dan ekstranet

342 Sistem kerja: ide dasar 2

Kami membahas masalah hukum dan perpajakan di bawah ini.

Langkah-langkah keamanan lainnya

Masalah hukum dan perpajakan

perdagangan elektronik 343

yang berlaku di Inggris. Beberapa perusahaan mungkin mencoba membatasi bisnisnya

Terkait perpajakan, mungkin terdapat keraguan mengenai yurisdiksi perpajakan mana

Masalah akuntansi ini berlaku

• Pemutusan. Auditor harus menentukan kapan transaksi dianggap telah terjadi –

• Kami telah menyebutkan di atas bahwa persyaratan penting dari

344 Sistem kerja: ide dasar 2

• Diskon besar-besaran dan penawaran khusus. Auditor akan mendiskusikan pengaturan

Internet tidak pernah tidur

Auditor harus mendiskusikan dengan manajemen langkah-langkah untuk mencegah

Pendekatan audit terhadap sistem dan pengendalian 345

PENDEKATAN AUDIT TERHADAP SISTEM DAN