Download - Dampak Teknologi Informasi Pada Proses Audit
MODUL 11
DAMPAK TEKNOLOGl lNFORMASI PADA PROSES AUDIT
Sasaran yang ingin dicapaiSetelah mempelajari modul ini, diharapkan dapat:1. Menguraikan bagaimana TI meningkatkan pengendalian internal.2. Mengidentifikasi risiko yang muncul dari penggunaan sistem akuntansi berbasis TI.3. Menjelaskan bagaimana pengendalian umum & pengendalian aplikasi mengurangi risiko TI.4. Menjelaskan bagaimana pengendalian umum mempengaruhi pengujian auditor atas pe-
ngendalian aplikasi.5. Menggunakan pendekatan-pendekatan data ujian, simulasi parelel, dan modul audit ter-
tanam saat mengaudit melalui komputer.6. Pengidentifikasi masalah untuk sistem e-commerce dan lingkungan khusus TI.
A. PENDAHULUAN
Modul ini menguji bagaimana pengintegrasian klien atas teknologi informasi (TI)
ke dalam sistem akuntansi mempengaruhi risiko dan pengendalian internal. Pengguna-
an TI dapat meningkatkan pengendalian internal dengan menambahkan prosedur
pengendalian baru yang dilakukan oleh komputer dan dengan menggantikan kendali
manual yang merupakan subyek bagi kesalahan manusia. TI dapat juga memperkenal-
kan risiko yang baru, yang dapat diatur klien melalui implementasi dari kendali yang
dikhususkan untuk lingkungan TI. Modul ini menyoroti risiko yang dikhususkan untuk
lingkungan TI, mengidentifikasikan pengendalian yang dapat diterapkan untuk menun-
juk risiko itu, dan menyoroti bagaimana pengendalian yang terkait dengan TI mempe-
ngaruhi proses audit.
Auditor harus seksama agar tidak terlalu bersandar pada informasi hanya karena
dibuat oleh komputer. Suatu asumsi umum adalah bahwa "informasi adalah benar
sebab komputer yang membuatnya". Terlalu sering, kepereayaan ditempatkan pada
ketelitian yang belum diuji dari keluaran yang dibuat komputer sebab auditor gagal
untuk mengingat bahwa komputer hanya melaksanakan apa yang diprogramkan bagi
mereka. Auditor harus memahami dan menguji kendali berbasis-komputer sebelum
menyimpulkan bahwa informasi yang dibuatkomputer adalah dapat dipercaya. Kita
mulai dengan memusatkan pada bagaimana TI dapat meningkatkan pengendalian
internal.
B. BAGAIMANA TEKNOlOGI INFORMASI MENINGKATKAN PENGENDALIAN INTERNAL
Ketika bisnis tumbuh dan berevolusi, mereka sering meningkatkan mutu sistem TI
mereka untuk menangani secara terns menerus kebutuhan informasi yang makin
meningkat. Penggunaan lingkungan jaringan yang kompleks, internet, dan fungsi TI
terpusat adalah umum dalam bisnis saat ini.
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 1
Peningkatan ke pengendalian internal sebagai hasil pengintegrasian TI ke dalam
sistem akuntansi meliputi yang berikut:
Kendali komputer menggantikan kendali manual. Manfaat yang nyata dari TI, seperti kemampuan untuk menangani volume yang luar biasa dari transaksi bisnis yang rumit secara hemat biaya, menyebabkan organisasi untuk menggunakan TI se-panjang proses pelaporan keuangan mereka. Satu keuntungan TI adalah kemampu-an untuk meningkatkan pengendalian internal dengan menggabungkan kendali yang dilakukan-komputer dalam aktivitas proses transaksi sehari-hari. Menggantikan prosedur manual dengan pengendalian yang diprogramkan yang menggunakan cek dan saldo bagi masing-masing transaksi yang diproses dapat mengurangi kesalahan manusia yang mungkin terjadi dalam lingkungan manual yang tradisional. Suatu sistem TI yang terkendali menawarkan potensi lebih besar untuk mengurangi salah saji karena komputer memroses informasi secara kon-sisten.
Tersedianya informasi dengan mutu lebih tinggi. Sekali manajemen yakin tentang keandalan informasi yang dihasilkan oleh TI, penggunaan manajemen atas informasi itu menawarkan potensi lebih lanjut untuk meningkatkan keputusan manajemen. Pertama-tama, lingkungan TI yang kompleks umumnya diatur secara efektif karena kompleksitas memerlukan organisasi yang efektif, prosedur, dan dokumentasi. Kedua, sistem TI biasanya menyediakan bagi manajemen lebih banyak informasi dengan mutu lebih tinggi dengn lebih cepat dari kebanyakan sistem manual.
C. MENILAI RISIKO DARI TEKNOLOGI INFORMASI
Walaupun TI dapat meningkatkan pengendalian internal perusahaan, ia juga
dapat mempengaruhi risiko pengendalian keseluruhan perusahaan. Banyak risiko yang
berhubungan dengan sistem manual yang dikurangi dan dalam beberapa kasus malah
dihilangkan. Namun, risiko baru yang dikhususkan untuk lingkungan TI telah diciptakan
dan dapat mengarah kepada kerugian besar jika diabaikan. Sebagai contoh, ketidak-
mampuan untuk mendapatkan kembali informasi yang penting karena kegagalan
sistem TI atau penggunaan informasi yang tidak dapat dipercaya oleh karena kesalah-
an pemrosesan yang dihasilkan oleh teknologi itu bisa melumpuhkan organisasi. Risiko
ini mening-katkan kemungkinan salah saji material dalam laporan keuangan yang
harus dipertimbangkan oleh manajemen dan auditor. Yang berikut menyoroti risiko
kunci yang khusus untuk lingkungan TI :
Kepercayaan pada kemampuan berfungsinya perangkat keras dan lunak. Tanpa perlindungan fisik yang sesuai, perangkat keras atau perangkat lunak tidak akan berfungsi.
Jejak audit yang jelas. Sebab sebagian besar informasi dimasukkan secara lang-sung ke dalam komputer, penggunaan TI sering mengurangi atau bahkan meng-hapuskan dokumen sumber dan arsip yang mengijinkan organisasi untuk melacak informasi akuntansi. Dokumen dan arsip ini disebut jejak audit.
Mengurangi keterlibatan manusia. Di dalam banyak lingkungan Tl, karyawan yang berhadapan dengan pemrosesan awal dari transaksi tidak pernah melihat hasil
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 2
akhirnya. Karena itu, mereka sedikit tidak mampu untuk mengidentifikasikan salah saji pemrosesan.
Kesalahan sistematis versus kesalahan acak. Saat organisasi menggantikan pro-sedur manual dengan prosedur berbasis-teknologi, risiko dari kesalahan acak menjadi berkurang. Namun, risiko dari kesalahan sistematis meningkat oleh karena keseragaman pemrosesan komputer. Sekali prosedur diprogramkan ke dalam pe-rangkat lunak komputer, komputer memproses informasi secara konsisten untuk semua transaksi hingga prosedur yang diprogramkan itu diubah.
Akses tidak sah. Sistem akuntansi yang berbasis TI sering mengijinkan akses yang online ke data dalam arsip induk dan arsip lain yang disimpan dalam format elek-tronik. Karena akses yang online dapat terjadi dari banyak poinpoin akses jarak jauh, termasuk pihak eksternal dengan akses melalui internet, ada potensi untuk akses yang tidak sah.
Hilangnya data. Sebagian besar data yang mendasari dalam suatu lingkungan TI disimpan dalam arsip elektronik yang terpusat. Saat data dipusatkan, ada suatu peningkatan risiko kerugian atau kerusakan dari arsip data keseluruhan dengan percabangan yang parah. Ada potensi untuk salah saji laporan keuangan, dan dalam kasus tertentu, organisasi bisa mendatangkan gangguan bisnis yang serius.
Pengurangan pemisahan tugas-tugas. Saat organisasi mengkonversi dari manual ke proses komputer, komputer melaksanakan banyak tugas-tugas yang secara tradi-sional dipisahkan, seperti otorisasi dan tata kearsipan. Oleh karena itu, mengkombi-nasikan aktivitas dari bagian-bagian berbeda dari organisasi ke dalam satu fungsi TI memusatkan tanggungjawab yang secara tradisional terbagi.
Ketiadaan otorisasi yang tradisional. Adalah umum dalam sistem TI lanjutan untuk jenis transaksi tertentu untuk diaktifkan secara otomatis oleh komputer. Contoh meliputi menghitung bunga atas rekening tabungan di bank dan memesan perse-diaan ketika tingkat pesanan yang telah ditentukan sebelumnya telah dicapai.
Kebutuhan akan pengalaman IT. Bahkan ketika perusahaan membeli sistem kompu-ter yang relatif sederhana yang meliputi perangkat lunak yang dibeli, personil dengan pengetahuan dan pengalaman untuk memasang, memelihara, dan meng-gunakan sistem adalah penting. Seperti penggunaan sistem TI yang meningkat dalam organisasi, kebutuhan akan spesialis TI yang berkualitas sering muncul.
D. PENGENDALIAN INTERNAL KHUSUS UNTUK TEKNOLOGI INFORMASI
Untuk menunjuk banyak dari risiko yang berhubungan dengan kepercayaan lebih
besar atas TI, organisasi sering mengimplementasikan pengendalian khusus untuk
fungsi TI. Standar audit menjelaskan dua pengelompokan pengendalian yang utama
untuk sistem TI: pengendalian umum dan pengendalian aplikasi.
Pengendalian umum berhubungan dengan semua aspek dari fungsi TI,
termasuk administrasi; akuisisi dan pemeliharaan perangkat lunak; keamanan fisik dan
enline atas akses ke perangkat keras, perangkat lunak, dan data yang terkait; mem-
backup perencanaan dalam keadaan darurat tak terduga; dan pengendalian perangkat
keras.
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 3
Pengendalian aplikasi berlaku bagi pemrosesan transaksi individual, seperti
pengendalian atas pemrosesan penjualan atau penerimaan kas. Oleh karena itu,
pengendalian aplikasi adalah khusus untuk aplikasi perangkat lunak tertentu dan
biasanya tidak mempengaruhi semua fungsi TI. Pengendalian pemrosesan karenanya
dievaluasi untuk tiap-tiap area audit (rekening atau kelas transaksi) yang dipengaruhi
oleh suatu aplikasi dim ana auditor merencanakan untuk menguran risiko pengen-
dalian yang ditaksir.
Gambar 11.1 Hubungan Antara Pengendalian Umum dan Pengendalian Aplikasi
Seperti yang ditunjukkan dalam Gambar 11-1, pengendalian umum di-rancang
untuk melindungi semua pengendalian aplikasi untuk memastikan bahwa pengendalian
itu efektif. Pengendalian umum yang kuat mengurangi jenis risiko yang dikenali di
kotak di luar bentuk oval pengendalian umum.
Tabel 11-1 menguraikan enam kategori pengendalian umum dan tiga kategori
pengendalian aplikasi, dengan contoh spesifik dari tiap kategori. Dua bagian berikutnya
mendiskusikan masing-masing kategori dari pengendalian umum dan aplikasi secara
lebih detail.
Pengendalian Umum
Auditor biasanya mengevaluasi pengendalian umum diawal audit oleh karena
dampak dari pengendalian umum atas pengendalian aplikasi. Keenam kategori dari
pengendalian umum kini diuji secara lebih detail.
Administrasi dari Fungsi TI. Saat meningkatnya kepercayaan atas fungsi TI
dalam bisnis, mengatur dan mengadministrasi fungsi TI menjadi semakin penting.
Manajemen harus mengalokasikan sumber daya yang cukup untuk mendukung
teknologi.
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 4
Risiko karena perubahan tidak sah atas perangkat
lunak aplikasi
Risiko karena rusaknya sistem
Risiko karena pembaruan arsip induk yang tidak sah
Risiko karena pemrosesan tidak sah
Pengendalian Aplikasi Penerimaan Kas
Pengendalian Aplikasi Siklus Lainnya
Pengendalian Aplikasi Penggajian
Pengendalian Aplikasi Penjualan
PENGENDALIAN UMUM
Pemisahan Tugas-tugas TI. Untuk merespon risiko mengkombinasikan pen-
jagaan tradisional, otorisasi, dan tanggung jawab tata arsip di bawah fungsi TI, organi-
sasi yang terkendali baik merespon dengan memisahkan tugas-tugas kunci di dalam
TI. Suatu perhatian adalah mencegah personil TI memberi otorisasi dan merekam
transaksi untuk menutupi pencurian aset. Perhatian yang lain adalah memperkecil
kesalahan.
Gambar 11.2. Pemisahan Tugas-tugas TI
Tabel 11-1. Kategori dari Pengendalian Umum dan Pengendalian AplikasiJenis
Pengendalian:Kategori
PengendalianContoh Pengendalian :
Pengendalian Umum
Administrasi fungsi TI
Pejabat kepala informasi atau manajer TI melapor kepada manajemen senior dan dewan.
Pemisahan tugas-tugas TI
Tanggungjawab pemrograman, operasional, dan pengendalian data dipisahkan.
Pengembangan sistem
Tim pemakai, analis sistem, dan pemrogram mengembangkan dan secara menyeluruh menguji perangkat lunak.
Keamanan fisik dan online
Akses ke perangkat keras dibatasi, kata sandi dan batas akses ID pemakai kepada perangkat lunak dan arsip data, dan peng-kodean dan firewall melindungi data dan program dari pihak luar.
Backup dan peren-canaan kontinjensi
Rencana back up tertulis disiapkan dan diuji secara teratur se-panjang tahun.
Pengendalian perangkat keras
Kegagalan memori atau hard-drive menyebabkan pesan kesalahan pada monitor.
Pengendalian Aplikasi
Pengendalian masukan
Layar yang telah diformat mendorong personil masukan data untuk memasukan informasi.
Pengendalian pemrosesan
Ujian kewajaran menelaah harga penjualan-unit yang diguna-kan untuk memproses sebuah penjualan.
Pengendalian perangkat keras
Departemen penjualan melakukan ulasan pasca pemrosesan dari transaksi penjualan.
Idealnya, tanggungjawab untuk manajemen TI, pengembangan sistem, opera-
sional, dan pengendalian data hams dipisahkan sebagai berikut:
Manajemen IT. Kekhilafan fungsi TI umumnya adalah tanggung jawab dari CIO atau manajer TI. Individu ini bertanggung jawab atas kekhilafan dari semua fungsi TI untuk memastikan bahwa aktivitas dilaksanakan secara konsisten dengan perenca-naan strategis TI. Sebagai
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 5
Pejabat Kepala Informasi atau Manajer TI
Administrasi Keamanan
Operator Komputer
AdministratorJaringan
Pengembangan Sistem Pengendalian dataOperasional
Analis Sistem
Pemrogram Pengendalian data Masukan/Keluaran
Administrator Database
Pustakawan
tambahan bagi CIO, administrator keamanan memonitor baik akses phisik dan akses online ke perangkat keras, perangkat lunak, dan arsip data dan melaksanakan kelanjutan prosedur investigatif untuk pelanggaran keamanan yang dideteksi.
Pengembangan sistem. Pengembangan dan pembahan ke sistem TI secara umum dikoor-dinir oleh analis sistem yang bertanggung jawab atas keseluruhan perancangan masing-masing sistem aplikasi dan bertindak sebagai hubungan antara personil TI yang bertanggung jawab untuk memrogram aplikasi dan personil di luar fungsi TI yang akan menjadi para pemakai sistem yang utama (seperti personil piutang dagang). Para pemrogram mengem-bangkan bagan alur khusus untuk aplikasi itu, menyiapkan instruksi komputer, program ujian, dan mendokumentasikan hasil berdasarkan pada arahan dari analis sistem.
Operasi. Operasional komputer sehari-hari adalah tanggung jawab dari operator komputer yang bertanggung jawab atas melaksanakan pekerjaan sesuai jadwal pekerjaan yang di-bentuk oleh CIO dan untuk mengawasi konsol komputer untuk pesan tentang efisiensi kom-puter dan kegagalan pemakaian.
Pengendalian data. Personil pengendalian data masukan/keluaran secara independen mem-verifikasi mutu dari masukan dan kewajaran dari keluaran. Untuk organisasi yang meng-gunakan database untuk menyimpan informasi bersama oleh akuntansi dan fungsi yang lain, administrator database bertanggung jawab atas operasional dan keamanan akses dari data-base bersama itu.
Tentu saja, tingkat dari pemisahan tugas-tugas tergantung pada ukuran dan
kompleksitas organisasi. Di dalam banyak perusahaan yang kecil, tidaklah praktis
untuk memisahkan tugas-tugas ke tingkat yang digambarkan dalam Gambar 11-2.
Pengendalian Aplikasi
Pengendalian aplikasi dirancang untuk masing-masing aplikasi perangkat lunak
dan dimaksudkan untuk membantu sebuah perusahaan memenuhi enam sasaran hasil
audit yang terkait dengan transaksi. Walaupun beberapa pengendalian aplikasi mem-
pengaruhi satu atau hanya beberapa sasaran hasil audit yang terkait dengan transaksi,
kebanyakan kendali mencegah atau mendeteksi beberapa jenis salah saji.
Pengendalian aplikasi bisa dilakukan oleh komputer atau oleh manusia. Pengen-
dalian aplikasi yang dilakukan oleh manusia yang berinteraksi dengan komputer sering
dikenal sebagai pengendalian pemakai. Efektivitas dari pengendalian pemakai, seperti
tinjauan ulang dari laporan pengecualian yang dihasilkan-komputer, sering tergantung
pada akurasi dari informasi yang dihasilkan.
Pengendalian Masukan Pengendalian yang dirancang oleh suatu organisasi
untuk memastikan bahwa informasi yang diproses oleh komputer adalah sah, akurat,
dan lengkap disebut pengendalian masukan. Pengendalian masukan adalah kritis
sebab suatu bagian yang besar kesalahan dalam sistem TI yang diakibatkan oleh
kesalahan di dalam memasukan data. Kesalahan dalam masukan mengakibatkan
kesalahan keluaran dengan mengabaikan mutu dari pemrosesan informasi. Pengen-
dalian yang khas yang ditemukan dalam sistem manual terns menjadi penting.
Tabel 11-2. Pengendalian Masukan (Kelompok Data) Batch
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 6
Pengendalian Definisi ContohTotal Keuangan Ringkasan total jumlah field untuk semua catatan
dalam sebuah batch yang melambangkan total yang berarti seperti mata uang atau jumlah
Total dolar dari semua faktur pemasok yang harus dibayar
Total hasl Ringkasan total kode dari semua catatan dalam sebuah batch yang tidak melambangkan total yang berarti
Total semua nomor akun pe-masok untuk faktur pemasok yang harus dibayar
Penghitungan catatan
Ringkasan total catatan fisik dalam sebuah batch Total jumlah faktur pemasok yang akan diproses
Pengendalian Pemrosesan. Pengendalian yang mencegah dan mendeteksi kesalah-
an ketika data transaksi diproses disebut pengendalian pemrosesan. Walaupun pe-
ngendalian umum, terutama pengendalian yang berhubungan dengan pengembangan
sistem dan keamanan, memberikan sebagian pengendalian terbaik untuk memperkecil
kesalahan, pengendalian pemrosesan aplikasi sering ditanamkan di dalam perangkat
lunak untuk mencegah, mendeteksi, dan mengoreksi kesalahan pemrosesan. Tabel
11-3 meliputi contoh dari pengendalian pemrosesan.
Tabel 11-3. Pengendalian Pemrosesan
Jenis Pengenda-lian Pemrosesan
Uraian Contoh
Ujian Validasi Menjamin penggunaan arsip induk, database dan program yang benar dalam prerosesan.
Apakah pemberian label internal pada pita arsip induk penggajian cocok dengan label arsip yang ditunjukkan dalam perangkat lunak aplikasi?
Ujian Rangkaian Menentukan bahwa data yang diberikan untuk pemrosesan berada dalam urutan yang benar.
Apakah arsip transaksi masukan penggajian telah disortir dengan urutan perdepartemen sebelum pemrosesan?
Ujian akurasi aritmetika
Memeriksa akurasi data yang diproses.
Apakah jumlah pebayaran bersih ditambah yang ditahan sama dengan pembayaran kotor untuk seluruh pengga-jian?
Ujian kewajaran data
Menentukan apakah data mele-bihi jumlah yang telah ditentukan
Apakah pembayaran kotor karyawan melebihi 60 jam atau $ 999 untuk seminggu.
Ujian kelengkapan
Menentukan apakah setiap field dalam sebuah catatan/ arsip telah dilengkapi
Apakah nomor, nama karyawan, jumlah jam biasa, jumlah jam lembur, nomro departemen dll, dimasukkan untuk setiap karyawan?
Pengendalian Keluaran Pengendalian yang berpusat pada mendeteksi ke-
salahan setelah pengolahan diselesaikan bukannya pada mencegah kesalahan
disebut pengendalian keluaran. Pengendalian keluaran yang paling utama adalah
tinjauan ulang dari data untuk kewajaran oleh seseorang yang banyak mengetahui
tentang keluaran itu. Para pemakai sering dapat mengidentifikasikan karena mereka
mengetahui jumlah yang kira-kira benar. Sebagai tambahan, rekonsiliasi dari keluaran
yang dihasilkan-komputer ke total pengendalian manual dan perbandingan dari jumlah
unit yang diproses kepada jumlah unit yang disampaikan untuk pemrosesan membantu
mengidentifikasikan kesalahan dalam keluaran.
E. DAMPAK TEKNOLOGI INFORMASI PADA PROSES AUDIT
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 7
Auditor harus memiliki banyak pengetahuan tentang pengendalian ini sebab
mereka bertanggung jawab atas perolehan suatu pemahaman dari pengendalian
internal, termasuk pengendalian umum dan pengendalian aplikasi, dengan mengabaik-
an apakah penggunaan TI oleh klien adalah kompleks atau sederhana. Juga, pe-
ngetahuan tentang pengendalian umum meningkatkan kemampuan auditor untuk ber-
sandar pada pengendalian aplikasi efektif untuk mengurangi risiko pengendalian untuk
sasaran hasil audit yang terkait dengan transaksi. Bagian ini menyoroti bagaimana
pengendalian umum dan pengendalian aplikasi mempengaruhi proses audit.
Pengaruh dari Pengendalian Umum oleh Risiko Pengendalian
Kebanyakan auditor mengevaluasi efektivitas dari pengendalian umum sebelum
mengevaluasi pengendalian aplikasi. Jika pengendalian umumnya tidak efektif, ada
potensi untuk salah saji material pada setiap aplikasi akuntansi yang berbasis kompu-
ter, dengan mengabaikan mutu dari pengendalian aplikasi.
Auditor biasanya memperoleh informasi tentang pengendalian umum dan
aplikasi melalui wawancara dengan personil TI dan para pemakai kunci; pengujian
dokumentasi sistem seperti bagan alur, manual pemakai, permohonan perubahan
program, dan hasil pengujian; dan tinjauan ulang dari daftar pertanyaan terperinci yang
diselesaikan oleh staf TI. Dalam banyak kasus, diinginkan untuk menggunakan
beberapa pendekatan dalam pemahaman pengendalian internal karena masingmasing
menawarkan informasi yang berbeda. Wawancara dengan pejabat kepala informasi
dan analis sistem menyediakan informasi yang bermanfaat tentang pengoperasian
keseluruhan fungsi TI, tingkat dari pengembangan perangkat lunak dan perangkat
keras yang dibuat untuk perangkat lunak aplikasi akuntansi kunci, dan suatu ikhtisar
dari perubahan yang direncanakan. Tinjauan ulang dari program mengubah per-
mintaan dan hasil percobaan sistem adalah bermanfaat dalam mengidentifikasikan
perubahan program dalam perangkat lunak aplikasi. Daftar Pertanyaan berguna untuk
mengidentifikasikan pengendalian internal yang spesifik.
Efek dari Pengendalian TI atas Risiko Pengendalian dan Ujian Substantif
Ingatlah dari bab sebelumnya bahwa auditor menghubungkan kekuatan dan
kelemahan dalam pengendalian internal ke sasaran hasil audit yang terkait dengan
transaksi yang spesifik. Berdasarkan pada kekuatan dan kelemahan itu, auditor menilai
risiko pengendalian untuk masing-masing sasaran audit yang terkait dengan transaksi.
Pendekatan yang sama itu digunakan dalam lingkungan TI, tetapi sekarang auditor
mungkin mampu percaya pada pengendalian aplikasi yang dilakukan oleh komputer
untuk mengurangi risiko pengendalian.
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 8
Auditor biasanya tidak menghubungkan kekuatan dan kelemahan dalam pe-
ngendalian umum ke sasaran hasil audit yang terkait dengan transaksi yang spesifik.
Seperti lingkungan pengendalian, pengendalian umum mempengaruhi sasaran hasil
audit yang terkait dengan transaksi dalam beberapa siklus. Jika pengendalian umum
tidak efektif, kemampuan auditor untuk percaya pada pengendalian aplikasi untuk
mengurangi risiko pengendalian telah dikurangi. Dan sebaliknya, jika pengendalian
umum adalah efektif, itu meningkatkan kemampuan auditor untuk percaya pada pe-
ngendalian aplikasi untuk mengurangi risiko kendali.
Auditor mengidentifikasikan baik pengendalian manual dan pengendalian
aplikasi yang dilakukan komputer dan kelemahan untuk masing-masing sasaran audit
yang terkait dengan transaksi yang menggunakan suatu matriks risiko pengendalian
dalam cara yang hampir sama seperti yang dibahas dalam bab sebelumnya.
Mengaudit dalam Lingkungan TI yang Tidak Terlalu Rumit
Banyak organisasi menggunakan TI untuk memroses transaksi bisnis dan
merancang sistem tersebut sedemikian sehingga dokumen sumber dapat diperoleh
kembali dalam format yang dapat dibaca dan dengan mudah bisa ditelusuri melalui
sistem akuntansi ke keluaran. Dalam kejadian itu, banyak dokumen sumber yang
tradisional seperti pesanan pembelian pelanggan, arsip pengiriman dan penerimaan,
dan faktur penjualan dan pemasok. Perangkat lunak akuntansi yang terkait juga
menghasilkan jurnal dan buku besar tercetak yang mengijinkan auditor untuk melacak
transaksi individu melalui arsip akuntansi. Sebagai tambahan, pengendalian internal
sering meliputi perbandingan klien atas arsip yang dihasilkan-komputer dengan
dokumen sumber.
Dalam situasi ini, penggunaan TI tidak terlalu berdampak pada jejak audit. Biasa-
nya, auditor memperoleh suatu pemahaman dari pengendalian internal dan melak-
sanakan ujian dari pengendalian, ujian substantif transaksi, dan prosedur verifikasi
saldo akun dengan cara yang sama seolah sistem akuntansi seluruhnya manual.
Auditor masih bertanggung jawab untuk memperoleh suatu pemahaman dari pengen-
dalian komputer umum dan aplikasi karena pengetahuan demikian bermanfaat dalam
mengidentifikasikart risiko yang bisa mempengaruhi laporan keuangan. Namun, biasa-
nya auditor tidak melaksanakan ujian pengendalian komputer. Pendekatan audit ini
sering disebut mengaudit di sekitar komputer sebab auditor tidak menggunakan
pengendalian komputer untuk mengurangi risiko pengendalian yang ditaksir.
Mengaudit dalam Lingkungan TI yang Lebih Rumit
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 9
Ketika organisasi memperluas penggunaan TI mereka, pengendalian internal
sering ditanamkan di dalam aplikasi yang hanya terlihat dalam format elektronik. Ketika
dokumen sumber yang tradisional seperti faktur, pesanan pembelian, arsip penagihan,
dan arsip akuntansi seperti jurnal penjualan, daftar persediaan, dan catatan tambahan
piutang dagang adalah hanya dalam format elektronik dibandingkan dengan aslinya
(hard copy), auditor harus mengubah pendekatan ke audit. Pendekatan kepada audit
ini sering disebut mengaudit melalui komputer. Tabel 11-4 berisi contoh yang
menyoroti perbedaan dalam audit disekitar komputer dan audit melalui komputer.
Tabel 11-4. Contoh-Contoh Mengaudit di Sekitar dan Melalui KomputerPengendalian
InternalMengaudit disekitar
Pendekatan KomputerMengaudit Melalui
Pendekatan KomputerKredit disetujui untuk penjualan atas akun
Memilih sebuah sampel transaksi penjualan dari jurnal penjualan dan meperoleh pesanan penjualan pe-langgan yang terkait untuk menentu-kan bahwa ada inisial manajer kredit, yang menunjukan persetujuan pen-jualan atas akun.
Memperoleh sebuah salinan program aplikasi penjualan klien dan arsip induk batas kredit yang terbatas dan memroses sampel data ujian dari transaksi penjualan untuk menentukan apakah perangkat lunak aplikasi dengan tepat menolak transaksi penjualan ujian tersebut yang melebihi jumlah batas kredit pelanggan dan menerima semua transaksi lainnya
Penggajian hanya diproses untuk orang yang saat ini dipekerja kan
Memilih sebuah sampel pengeluaran penggajian dari jurnal penggajian dan memverifikasi dengan menelaah arsip departemen sumber daya manusia bahwa yang akan dibayar memang saat ini dipekerja kan
Membuat arsip data ujian dari nomor ID karya-wan yang sah dan tidak sah dan memroses arsip itu menggunakan salinan terkontrol dari prog-ram aplikasi penggajian klien untuk menentukan bahwa semua nomor ID karyawan yang tidak sah itu ditolak dan semua nomor ID karyawan yang sah diterima.
Total kolom untuk jurnal pengeluaran kas disub total secara otomatis oleh komputer
Memperoleh hasil cetak jurnal penge-luaran kas dan secara manual mem-buat-foot setiap kolom untuk memve-rifikasikan akurasi total kolom yang tercetak.
Memperoleh salinan elektronik dari transaksi jurnal pengeluaran kas dan menggunakan pe-rangkat lunak audit umum untuk memverifika-sikan akurasi total kolom.
Ada tiga kategori dari pengujian strategi ketika mengaudit melalui komputer:
pendekatan data ujian, simulasi paralel, dan pendekatan modul audit tertanam.
Pendekatan Data Ujian. Pendekatan data ujian melibatkan pengolahan data
ujian auditor menggunakan sistem komputer klien dan program aplikasi klien untuk
menentukan apakah pengendalian yang dilakukan-komputer dengan tepat memproses
data ujian itu. Karena auditor merancang data ujian itu, auditor bisa mengidentifikasi-
kan materi ujian mana yang harus diterima atau ditolak oleh sistem klien. Auditor mem-
bandingkan keluaran yang dihasilkan oleh sistem dari ujian data kepada keluaran yang
diharapkan untuk menilai efektivitas dari aplikasi pengendalian internal program.
Gambar 11-3 menggambarkan penggunaan pendekatan data ujian.
Gambar 11-3. Pendekatan Data Ujian
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 10
Ketika menggunakan pendekatan data ujian, ada tiga pertimbangan auditor
yang utama:
1. Data ujian harus meliputi semua kondisi relevan yang ingin diuji auditor. Auditor harus merancang data ujian untuk menguji pengendalian kunci berbasiskomputer yang cenderung dipercayai auditor untuk mengurangi risiko pengendalian.
2. Program aplikasi yang diuji oleh data ujian auditor harus sama dengan yang digunakan klien sepanjang tahun. Satu pendekatan adalah untuk menjalankan data ujian atas dasar kejutan, mungkin secara acak sepanjang tahun, walaupun melakukannya adalah mahal dan meng-habiskan waktu.
3. Data ujian harus dihapuskan dari arsip klien. Jika uji coba perangkat lunak klien melibatkan data ujian pemrosesan selagi secara serempak memroses transaksi klien sebenarnya, auditor harus mengbilangkan data ujian di dalam arsip induk klien ketika pengujian selesai.
Simulasi Paralel. Berbagai perangkat lunak telah tersedia untuk membantu auditor
dalam menentukan efektivitas pengendalian dalam perangkat lunak dan untuk
memperoleh bukti tentang saldo akun yang dalam suatu format elektronik. Auditor
rnenggunakan perangkat lunak yang dikontrol-auditor untuk melaksanakan operasional
paralel kepada perangkat lunak klien dengan menggunakan arsip data yang sama.
Ketiadaan perbedaan di dalam keluaran menunjukan perangkat lunak klien yang
berfungsi secara efektif, sedangkan perbedaan menandai adanya kelemahan poten-
sial. Sebab perangkat lunak auditor dirancang untuk memparalel suatu operasi yang
dilakukan oleh perangkat lunak klien, strategi pengujian ini disebut pengujian simulasi
paralel.
Gambar 11-4. Simulasi Paralel
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 11
Hasil yang diprediksi auditor dari prosedur pengendalian kunci
berdasarkan pada pemahanan pengandalian internal
Arsip Transaksi(Terkontaminasi?)
Arsip Induk
Arsip TransaksiTerkontaminasi
Program Aplikasi (Sistem Batch yang diasumsikan)
Hasil UjianPengendalian
Perbedaan antara hasil sebenarnya dan hasil
yang diprediksi
Auditor membuat Perbandingan
Memasukkan Transaksi Ujian untuk menguji Prosedur
Pengendalian Kunci
Suatu alat yang biasa digunakan oleh auditor untuk melaksanakan pengujian
simulasi paralel adalah perangkat lunak audit umum (generalized audit soft.
ware/GAS), perangkat lunak yang dirancang terutama untuk digunakan auditor.
Perangkat lunak audit yang dibeli, seperti ACL atau IDEA.
Auditor memperoleh salinan dari database klien atau arsip induk dalam format
yang terbaca mesin dan menggunakan perangkat lunak audit umum untuk melaksana-
kan berbagai ujian dari data elektronik klien. Beberapa auditor menggunakan perang-
kat lunak neraca lajur (spreadsheet) untuk melaksanakan ujian simulasi paralel dasar.
Yang lain bisa mengembangkan perangkat lunak audit mereka sendiri. Gambar 11-4
melukiskan simulasi paralel yang khas.
Ada dua keuntungan dari perangkat lunak audit umum. Pertama, relatif lebih
mudah melatih staf audit dalam penggunaannya bahkan bila mereka mempunyai
sedikit pelatihan TI yang terkait dengan audit. Kedua, perangkat lunak audit umum
dapat diterapkan kepada beragam klien dengan penyesuaian yang minimal.
Pendekatan Modul Audit Tertanam Saat menggunakan pendekatan modul
audit tertanam, auditor memasukkan suatu modul audit dalam sistem aplikasi klien
untuk menangkap transaksi dengan karakteristik yang menjadi minat spesifik auditor
itu. Suatu keuntungan yang penting adalah kemampuan auditor menguji secara terus
menerus, membandingkan dengan data ujian dan pendekatan simulasi paralel, yang
dilaksanakan pada titik waktu tertentu. Keuntungan lain dari modul audit tertanam
adalah kemampuan untuk mengidentifikasi semua transaksi yang tidak biasa untuk
evaluasi auditor.
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 12
Auditor menyiapkan sebuah program untuk mensimulasikan semua
atau sebagian dari sistem aplikasi klien
Arsip IndukTransaksi Produksi
Hasil Auditor
Program yang Disiapkan Auditor
Laporan pengecualian memperhatikan perbedaan
Program Sistem Aplikasi Klien
Hasil Klien
Auditor membuat perbandingan antara keluaran sistem aplikasi klien dan keluaran
program yang disiapkan auditor
Tabel 11-5. Penggunaan Umum dari Perangkat Lunak Audit UmumPenggunaan Uraian Contoh
Memverifikasi tingkatan dan pem-buatan foot
Memverifikasikan akurasi perhitung-an klien dengan menghitung informa-si secara independen
Membuat foot neraca saldo piutang dagang
Menguji catalan untuk mutu, keleng-kapan, konsistensi, dan ketepatan
Memindai semua catalan mengguna-kan kriteria tertentu
Menelaah arsip penggajian untuk karyawan yang diberhentikan
Membandingkan data pada arsip terpisah
Menentukan bahwa informasi dalam dua arsip data atau lebih adalah sesuai
Membandingkan perubahan dalam saldo piutang dagang diantara dua tanggal dengan menggunakan pen-jualan dan penerimaan kas dalam arsip transaksi
Meringkaskan atau mengurutkan kembali data dan melaksanakan analisis
Merubah atau mengumpulkan data Mengurutkan kembali item persedia-an dengan lokasi untuk memfasilitasi pengamatan fisik
Memilih sampel audit Memilih sampel dari data yang bisa dibaca mesin
Secara acak memilih piutang agang untuk konfirmasi
Mencetak permintaan konfirmasi Mencetak data dari item sampel yang dipilih untuk pengujian konfirmasi
Mencetak nama pelanggan, alamat, dan informasi saldo akun dari arsip induk
Membandingkan data yang diperoleh melalui prosedur audit lainnya dengan catalan perusahaan
Membandingkan data yang bisa di-baca mesin dengan bukti audit yang dikumpulkan secara manual, yang dirubah ke format yang bisa dibaca mesin
Memperbandingkan tanggapan kon-firmasi dengan arsip induk akun piutang
Auditor boleh menggunakan satu atau suatu kombinasi dari data ujian, simulasi
paralel, dan pendekatan modul audit tertanam. Auditor biasanya menggunakan data
ujian untuk melaksanakan ujian pengendalian dan ujian substantif dari transaksi.
Simulasi paralel sering digunakan untuk pengujian substantif, seperti menghitung
kembali jumlah transaksi dan membuat foot arsip induk catatan tambahan dari saldo
akun. Auditor menggunakan pendekatan modul audit tertanam untuk mengidentifi-
kasikan transaksi tidak biasa untuk pengujian substantif.
F. MASALAH-MASALAH UNTUK LlNGKUNGAN TI YANG BERREDA
Sebagian besar material yang diperkenalkan sampai sekarang menunjuk efek TI
pada proses audit untuk organisasi yang memusatkan fungsi TI. Walaupun semua
organisasi memerlukan suatu lingkungan pengendalian umum yang kuat dengan
mengabaikan struktur dari fungsi TI mereka, beberapa masalah pengendalian umum
bervariasi tergantung pada lingkungan TI. Lima bagian berikut menyoroti masalah TI
untuk klien yang menggunakan komputer mikro, jaringan, sistem database manage-
ment, sistem e-commerce, dan pusat layanan komputer dari luar.
Masalah Untuk Lingkungan Komputer Mikro
Komputer mikro secara luas digunakan dalam banyak bisnis dengan mengabai-
kan ukuran organisasi itu. Umumnya mereka memainkan suatu peran yang penting
untuk bisnis yang kecil dalam memroses atau meneliti data akuntansi melalui
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 13
penggunaan perangkat lunak akuntansi dan neraca lajur elektronik yang dibeli atau
dibuat khusus.
Pengendalian umum dalam perusahaan yang lebih kedl pada umumnya sedikit
kurang efektif dibanding dalam lingkungan TI yang lebih rumit. Seringkali, tidak ada IT
personil yang khusus atau klien bersandar pada keterlibatan berkala konsultan TI
untuk membantu dalam memasang dan memelihara perangkat keras dan lunak.
Seringkali, auditor dari klien yang menggunakan komputer mikro dalam lingkung-
an pengendalian umum yang tidak terlalu canggih melakukan sebagian besar audit
mereka di sekitar komputer. Sistem ini sering menghasilkan jejak audit yang memadai
yang mengijinkan auditor untuk merekonsiliasikan dokumentasi sumber masukan
untuk keluaran.
Namun, bahkan dalam lingkungan TI yang tidak terlalu canggih, ada situasi di
mana bisa bersandar pada pengendalian komputer. Sebagai contoh, program
perangkat lunak dalam komputer mikro dapat diisikan pada hard-drive komputer dalam
format yang tidak mengijinkan perubahan oleh personil klien. Risiko dari perubahan
yang tidak sah di perangkat lunak kemudian menjadi rendah. Sebelum bersandar pada
pengendalian yang dibangun ke dalam perangkat lunak tersebut, auditor harus
mempunyai kepercayaan pada reputasi penjual perangkat lunak untuk mutunya.
Risiko lain dengan komputer mikro adalah bilangnya data dan program oleh
karena virus komputer, yang dapat menyebar ke program lain dan sistem keseluruhan.
Virus tertentu dapat merusak disk arsip atau menutup keseluruhan jaringan komputer.
Memperbarui perangkat lunak pelindung virus secara teratur yang secara terus
menerus menyaring penyebaran virus meningkatkan pengendalian.
Masalah Lingkungan Jaringan
Penggunaan jaringan yang makin meledak yang menghubungkan peralatan
seperti komputer mikro, komputer jangkauan menengah, mainframe, stasiun kerja,
server, dan pencetak sedang mengubah fungsi TI untuk banyak bisnis. Jaringan area
lokal (Local Area Network/LAN) menghubungkan peralatan di dalam lingkungan ba-
ngunan yang kecil atau tunggal dan hanya digunakan untuk tujuan intra perusahaan.
Penggunaan umum LAN adalah untuk memindahkan data dan program dari satu
komputer atau stasiun kerja ke yang lainnya untuk mengijinkan semua alat untuk
berfungsi bersama-sama. Jaringan Area Luas (WIde Area Network/WAN) menghu-
bungkan peralatan dalam daerah geografis yang lebih besar, termasuk operasional
global.
Dalam lingkungan jaringan, perangkat lunak aplikasi dan arsip data digunakan
untuk memroses transaksi yang berada pada server, yang merupakan alat untuk
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 14
mengolah data. Akses ke aplikasi dari komputer mikro atau stasiun-kerja diatur oleh
perangkat lunak server jaringan. Perusahaan seringkali mempunyai beberapa server.
Saat klien mempunyai aplikasi akuntansi yang diproses dalam lingkungan jaring-
an, pemahaman auditor akan pengendalian internal perlu meliputi pengetahuan konfi-
gurasi jaringan, mencakup penempatan dan server, stasiun-kerja, dan komputer yang
dihubungkan satu sama lain, dan pengetahuan perangkat lunak jaringan yang diguna-
kan untuk mengatur sistem. Auditor juga harus memahami tentang pengendalian atas
akses dan perubahan kepada program aplikasi dan arsip data yang ditempatkan pada
server.
Masalah Sistem Manajemen Database
Auditor sering menghadapi aplikasi akuntansi yang menggunakan sistem mana-
jemen database untuk memroses transaksi dan memelihara arsip data. Sistem mana-
jemen database mengijinkan klien untuk menciptakan database yang berisi informasi
yang dapat digunakan bersama dalam berbagai aplikasi. Dalam lingkungan non-
database, masing-masing aplikasi berisi arsip data mereka sendiri, sedangkan dalam
sistem manajemen database, banyak aplikasi berbagi arsip. Klien menerapkan sistem
manajemen database untuk mengurangi kelebihan data, meningkatkan pengendalian
atas data, dan menyediakan informasi yang lebih baik untuk pengambilan keputusan
dengan pengintegrasian informasi seluruh fungsi dan departemen. Sebagai contoh,
data pelanggan, seperti alamat dan nama pelanggan, dapat digunakan bersama di
fungsi penjualan, kredit, akuntansi, pemasaran, dan pengiriman, yang menghasilkan
pengurangan biaya yang penting. Perusahaan sering mengintegrasikan sistem mana-
jemen database ke seluruh organisasi. Program demikian disebut perangkat lunak
perusahaan.
Kendali sering meningkat ketika data dipusatkan dalam sistem manajemen
database dengan penghapusan arsip data yang berlebihan. Namun, sistem mana-
jemen database juga dapat membuat risiko pengendalian internal. Sebagai contoh,
ada risiko yang berhubungan dengan berbagai pemakai, mencakup individu di luar
akuntansi, mengakses dan memperbarui arsip data. Tanpa administrasi database dan
pengendalian akses yang tepat, risiko arsip data yang tidak sah, tidak akurat, dan tidak
sempurna menjadi meningkat. Juga, pemusatan data ke dalam arsip tunggal mening-
katkan pentingnya backup yang sesuai atas informasi data secara teratur.
Auditor dan klien yang menggunakan sistem manajemen database perlu mema-
hami perencanaan klien, organisasi, dan kebijakan dan prosedur untuk menentukan
seberapa baik sistem itu diatur.
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 15
Masalah Untuk Sistem E-commerce
Perusahaan yang menggunakan sistem e-commerce untuk melakukan transaksi
bisnis secara elektronis menghubungkan sistem akuntansi internal mereka ke sistem
yang dipelihara oleh pihak luar, seperti pelanggan dan pemasok. Sebagai hasilnya,
risiko yang dihadapi suatu perusahaan saat terlibat dengan aktivitas e-commerce
sebagian bergantung pada seberapa baik mitra e-commerce-nya mengidentifikasi dan
mengatur risiko dalam sistem TI mereka sendiri. Untuk mengatur risiko interdepen-
densi ini, perusahaan harus memastikan bahwa micra bisnis mereka secara efektif
mengatur risiko sistem TI sebelum melaksanakan bisnis dengan mereka secara
elektronis.
Penggunaan dari sistem e-commerce juga menyingkapkan data perusaha-an
yang sensitip, program, dan perangkat keras terhadap pemotongan yang potensi atau
sabotase oleh pihak luar. Untuk membatasi keterbukaan ini, perusahaan mengguna-
kan firewalls, teknik pengkodean, dan tandatangan digital. Firewall melindungi data,
program, dan sumber daya TI lain dari para pemakai eksternal yang mengakses sistem
melalui jaringan, seperti Internet. Firewall adalah suatu sistem dari perangkat keras
dan lunak yang mengawasi dan mengendalikan aliran komunikasi e-commerce dengan
penyaluran semua hubungan jaringan melalui suatu pintu gerbang pengendalian.
Firewall dapat digunakan untuk memverifikasi pemakai eksternal dari jaringan, mem-
berikan akses yang sah, dan mengarahkan pemakai ke program atau data yang di-
minta.
Perusahaan menggunakan teknik pengkodean untuk melindungi keamanan
komunikasi elektronik sepanjang proses transmisi. Teknik pengkodean didasarkan
pada program komputer yang mengubah suatu pesan standar ke dalam suatu bentuk
kode (encrypted). Penerima dari pesan elektronik itu harus menggunakan suatu
program dekripsi (decryption) untuk memecahkan kode pesan itu. Seringkali teknik
pengkodean kunci publik digunakan dimana satu kunci (kunci publik) digunakan E
untuk menyandi pesan dan kunci yang lain (kunci pribadi) digunakan untuk memecah-
kan kode pesan itu. Kunci publik dibagikan kepada pemakai yang disetujui dari sistem
e-commerce itu dan hanya dapat digunakan untuk menyandikan pesan. Kunci pribadi,
yang digunakan untuk memecahkan kode pesan, menjadi titik utama dari pengendali-
an. Perlindungan kunci pribadi sering menjadi tanggung jawab dan administrator
keamanan TI dan hanya dibagikan ke para pemakai internal dengan otoritas untuk
memecahkan kode pesan itu.
Untuk membantu membuktikan keaslian kebenaran mitra dagang yang melaksa-
nakan bisnis secara elektronik, perusahaan boleh bersandar pada otoritas sertifikasi
eksternal yang memverifikasi sumber dari kunci publik melalui penggunaan tanda
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 16
tangan digital. Suatu otoritas sertifikasi yang dipercaya mengeluarkan suatu sertifikat
digital kepada individu dan perusahaan yang terlibat dalam e-commerce. Tanda tangan
digital berisi nama pemilik dan kunci publiknya. Juga berisi nama dari otoritas sertifikasi
dan tanggal tidak berlakunya sertifikat dan informasi khusus lainnya. Untuk menjamin
keaslian dan integritas, masing-masing tandatangan secara digital ditandatangani oleh
kunci pribadi yang dipelihara oleh otoritas sertifikasi.
Masalah Saat Klien Menggunakan Ti Pihak Luar
Banyak klien membuka beberapa atau semua kebutuhan TI mereka kepada
pusat pelayanan komputer yang independen bukannya memelihara suatu pusat TI in-
ternal. Banyak perusahaan yang lebih kecil membuka fungsi penggajian mereka ke
pihak luar karena penggajian adalah cukup standar dari perusahaan ke perusahaan
dan di sana ada penyedia jasa penggajian yang dapat dipercaya. Perusahaan juga
membuka sistem e-commerce mereka ke penyedia jasa situs Web eksternal. Seperti
semua keputusan menggunakan pihak luar, perusahaan memutuskan apakah akan
menggunakan TI pihak luar atas dasar manfaat-biaya.
Ketika menggunakan pusat jasa komputer pihak luar, klien menyerahkan data
masukan, yang diproses oleh pusat jasa untuk suatu pembayaran (fee), dan mengem-
balikan keluaran yang telah disepakati dan masukan asli. Untuk penggajian, per-
usahaan menyerahkan kartu catatan waktu, tingkat upah, dan W4 kepada pusat jasa.
Pusat jasa mengembalikan cek pembayaran upah, jurnal, dan data masukan setiap
minggu dan W-2 pada akhir tiap tahun. Pusat jasa bertanggung jawab atas peran-
cangan sistem komputer dan menyediakan pengendalian yang memadai untuk
memastikan bahwa pemrosesan dapat dipercaya.
Auditor menghadapi suatu kesukaran ketika memperoleh suatu pemahaman dari
pengendalian internal klien sebab banyak pengendalian itu berada di pusat jasa dan
auditor tidak bisa berasumsi bahwa pengendalian adalah memadai hanya karena
pusat jasa adalah suatu perusahaan independen. Standar audit meminta auditor untuk
mempertimbangkan kebutuhan untuk memahami dan menguji pengendalian pusat jasa
jika aplikasi pusat jasa melibatkan pemrosesan data keuangan yang penting.
Tingkat memperoleh pemahaman dan pengujian pengendalian pusat jasa harus
didasarkan pada kriteria yang sama yang diikuti auditor dalam mengevaluasi pengen-
dalian internal klien. Dalamnya pemahaman itu tergantung pada kompleksitas sistem
dan tingkat dimana auditor berniat untuk menglirangi risiko pengendalian yang dinilai
untuk mengurangi ujian audit substantif. Jika auditor menyimpulkan bahwa keterlibatan
yang aktif dipusat jasa adalah satu-satunya cara melakukan audit, mungkin saja perlu
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 17
untuk memperoleh suatu pemahaman akan pengendalian internal dipusat jasa dan
menguji pengendalian menggunakan data ujian dan ujian pengendalian lainnya.
Dibeberapa tahun terakhir, makin menjadi umum untuk mempunyai auditor inde-
penden memperoleh suatu pemahaman dan menguji pengengdalian internal dari pusat
jasa untuk digunakan oleh semua pelanggan dan auditor independen mereka. Tujuan
penilaian independen ini adalah untuk menyediakan pelanggan pusat jasa dengan
suatu tingkat jaminan yang layak dari ketercukupan pengendalian umum dan aplikasi
milik pusat jasa dan untuk menghapuskan kebutuhan akan audit yang berlebihan oleh
auditor pelanggan. Jika pusat jasa mempunyai banyak pelanggan dan masing-masing
memerlukan suatu pemahaman dari pengendalian internal pusat jasa oleh auditor
inde-penden mereka sendiri, kerepotan dan biaya untuk pusat jasa itu bisa besar.
Ketika auditor independen pusat jasa menyelesaikan pemahaman dan uji coba atas
pengendalian pusat jasa, maka dikeluarkan suatu laporan khusus, yang menunjukan
lingkup dari audit dan kesimpulannya. Kemudian akan menjadi tanggung jawab dari
auditor pelanggan untuk memutuskan tingkat dari kepercayaan pada pusat jasa. SAS
70 (AU 324) seperti dikembangkan oleh SAS 78 dan SAS 88 berisi bimbingan baik
untuk auditor pelanggan dan auditor pusat jasa.
****************
AuditingDrs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan AjarUniversitas Mercu Buana
‘12 18