Penggunaan TI sebagai peran dalam meningkatkan pengendalian internal perusahaan

2. 2
DAFTAR ISI
Halaman Depan............................................................................................................................. i
Daftar isi ....................................................................................................................................... ii
BAB I PENDAHULUAN ...................................................................................................... 1
1.1 Latar Belakang.............................................................................................................. 1
1.2 Rumusan Masalah..........................................................................................................2
1.3 Tujuan dan manfaat penulisan ...................................................................................... 2
1.4 Metode Penulisan.......................................................................................................... 3
1.5 Sitematika Penulisan..................................................................................................... 3
BAB II PEMBAHASAN ....................................................................................................... 4
2.1 Bagaimana Teknologi Informasi Meningkatkan Pengendalian Internal ...................... 4
2.2 Menilai Risiko Teknologi Informasi............................................................................. 5
2.3 Pengendalian Internal Khusus....................................................................................... 8
2.4 Dampak Teknologi Informasi Terhadap Proses Audit ............................................... 19
2.5 Permasalahan Pada Lingkungan TI Yang Berbeda .................................................... 32
BAB III PENUTUP ............................................................................................................. 39
3.1 Kesimpulan ................................................................................................................. 39
3.2 Saran ........................................................................................................................... 39
Daftar Pustaka ............................................................................................................................ 40

3. 3
BAB I
PENDAHULUAN
1.1 Latar Belakang
Klien audit Foster Wellman, Manion’s Department Stores Inc., memasang program
perangkat lunak yang memproses dan menetapkan umur piutang usaha pelanggan. Penetapan
umur itu, yang menunjukan berapa lama piutang pelanggan beredar, sangat berguna bagi
wellman ketika mengevaluasi kolektibilitas atau ketertagihan piutang tersebut.
Karena Wellman tidak mengetahui apakah total umur itu dihitung dengan benar, ia
memutuskan untuk menguji penetapan umur Manion dengan perangkat lunak audit kantornya
sendiri guna menghitung ulang penetapan umur itu, yaitu dengan menggunakan salinan elektonik
dari file data piutang usaha Manion. Ia berpendapat bahwa jika penetapan umur yang dihasilkan
oleh perangkat lunak auditnya cukup sesuai dengan penetapan umur Manion, ia akan memiliki
bukti bahwa penetapan umur yang dilakukan Manion sudah benar.
Wellman terkejut ketika menemukan perbedaan yang material antara perhitungan
penetapan umur yang dilakukannya dengan yang dilakukan manion. Manajer manion dari bagian
teknologi informasi (TI), Rudy Rose, menyelidiki perbedaan itu dan menemukan bahwa
kesalahan programer telah melibatkan desain perangkat lunak manion yang digunakan untuk
menghitung penetapan umur cacat. Hasil ini membuat wellman menambah jumlah pengujian atas
saldo akhir tahun untuk penyisihan piutang tak tertagih.
Bab ini melanjutkan pembahasan pada Bab 10 tentang pengendalian internal dan
bagaimana auditor memahami pengendalian internal, menilai risiko pengendalian, serta
melaksanakan pengujian pengendalian. Bab ini akan membahas bagaimana teknologi informasi
(TI) yang diintegrasikan oleh klien kedalam sistem akuntansi mempengaruhi risiko dan
penegndalian internal.
Penggunaan TI dapat meningkatkan penegendalian internal dengan menambahkan
prosedur pengendalian baru yang dilakukan oleh komputer, dan dengan mengganti pengendalian
manual yang dapat terpengaruh oleh kesalahan manusia. pada saat yang sama, TI dapat juga
menghadirkan risiko baru, yang dapat dikelola klien dengan menggunakan pengendalian yang

4. 4
dikhususkan untuk sistem TI. Bab ini akan menyoroti risiko kusus pada sistem
TI,mengidentifikasi pengendalian yang dapat diimplementasikan untuk mengatasi risiko itu, dan
menjelaskan bagaimana pengendalian yang berkaitan dengan TI mempengaruhi audit.
Auditor tidak dapat bergantung pada informasi hanya karena dihasilkan oleh komputer.
Orang-orang sering berasumsi bahwa “informasi yang dihasilakan komputer selalu benar”,
sayangnya, auditor kadang-kadang bergantung pada keakuratan yang belum teruji dan output
yang dihasilkan komputer karena lupa bahwa komputer hanya melaksanakan apa yang
diprogramkan. Sebelum menyimpulkan bahwa informasi yang dihasilkan komputer dapat
diandalkan, auditor harus memahami dan menguji pengendalian berbasis-komputer tersebut.
1.2 Rumusan Masalah
Untuk mengkaji dan mengulas tentang Dampak Teknologi Informasi Terhadap Proses
Audit, maka diperlukan subpokok bahasan yang saling berhubungan, sehingga penulis membuat
rumusan masalah sebagai berikut:
1) Bagaimana teknologi informasi/TI dapat meningkatkan pengendalian internal?
2) Bagaimana risiko-risiko yang muncul akibat penggunaan sistem akuntansi berbasis
teknologi informasi/TI?
3) Bagaimana pengendalian umum dan pengendalian aplikasi dapat mengurangi risiko-
risiko teknologi informasi/TI?
4) Bagaimana pengendalian umum dapat mempengaruhi pengujian auditor atas
pengendalian aplikasi?
5) Bagaimana pendekatan data pengujian, simulasi paralel, dan modul audit tertanam
ketika mengaudit melalui komputer?
6) Bagaimana masalah-masalah yang terkait pada sistem e-commerce dan sistem
teknologi informasi/TI terspesialisasi lainnya?
1.3 Tujuan dan manfaat penulisan
Pada dasarnya tujuan kami dalam menulis makalah ini, terbagi menjadi 2 bagian yaitu
tujuan khusus dan tujuan umum. Tujuan khusus dalam penulisan makalah ini adalah untuk
memenuhi salah satu tugas mata kuliah “PENGAUDITAN”.

5. 5
Dan tujuan umum dari penulisan makalah ini adalah agar setelah mempelajari bab ini,
pembaca harus mampu untuk:
1) Menguraikan bagaimana teknologi informasi/TI dapat meningkatkan pengendalian
internal.
2) Mengidentifikasi risiko yang muncul akibat dari penggunaan sistem akuntansi
berbasis teknologi informasi/TI.
3) Menjelaskan bagaimana pengendalian umum dan pengendalian aplikasi dapat
mengurangi risiko teknologi informasi/TI.
4) Menguraikan bagaimana pengendalian umum mempengaruhi pengujian auditor atas
pengendalian aplikasi.
5) Menggunakan pendekatan data pengujian, simulasi paralel, dan modul audit tertanam
ketika mengaudit melalui komputer.
6) Mengidentifikasi masalah pada sistem e-commerce dan sistem teknologi informasi/TI
terspesialisasi lainnya.
Manfaat dari penulisan makalah ini adalah untuk meningkatkan pengetahuan penulis dan
pembaca tentang Dampak Teknologi Informasi terhadap Proses Audit dan bagaimana teknologi
informasi dapat mempengaruhi di dalam proses audit.
1.4 Metode Penulisan
Penulis memakai metode studi literatur dan kepustakaan dalam penulisan makalah ini.
Referensi makalah ini bersumber dari buku Auditing dan Jasa Assurance, Edisi Keduabelas Jilid
1, dengan penerbit Erlangga.
1.5 Sitematika Penulisan
Makalah ini disusun menjadi tiga bab, yaitu bab pendahuluan, bab pembahasan, dan bab
penutup. Adapun bab pendahuluan terbagi atas latar belakang, rumusan makalah, tujuan dan
manfaat penulisan, metode penulisan, dan sistematika penulisan. Sedangkan bab pembahasan
dibagi berdasarkan subbab yang berkaitan dengan “Dampak Teknologi Informasi terhadap
Proses Audit”. Terakhir, bab penutup terdiri atas kesimpulan dan saran.

6. 6
BAB II
PEMBAHASAN
2.1 Bagaimana Teknologi Informasi Meningkatkan Pengendalian Internal
Sebagian besar entitas, termasuk perusahaan keluarga berukuran kecil, mengandalkan TI
untuk mencatat dan memproses transaksi bisnis. Akibat kemajuan TI yang luar biasa, perusahaan
yang relatif kecilpun bahkan menggunakan komputer pribadi dengan perangkat lunak akuntansi
komersial untuk menjalankan fungsi akuntansinya. Ketika perusahaan tumbuh dan semakin
membutuhkan informasi, perusahaan itu biasanya meningkatkan sistem TI-nya. Fungsi akuntansi
yang menggunakan jaringan TI yang rumit, internet, dan fungsi TI terpusat sekarang sudah
merupakan hal yang umum.
Mari kita telaah beberapa perubahan pengendalian internal yang diakibatkan oleh
pengintegrasian TI kedalam sistem akuntansi:
 Pengendalian komputer menggantikan pengendalian manual. Manfaat nyata dari TI
adalah kemampuannya untuk menangani sejumlah besar transaksi bisnis yang rumit
secara murah. Karena komputer memproses informasi secara konsisten, sistem TI
dapat mengurangi salah saji dengan mengganti prosedur manual dengan penegndalian
terprogram yang menerapkan penegcekan dan penyeimbangan setiap transaksi yang
di proses. Ini mengurangi kesalahan manusia yang sering terjadi dalam pemprosesan
transaksi secara manual.
Sekarang komputer dapat melakukan banyak aktivitas pengendalian internal
yang sebelumnya dilakukan oleh karyawan, termasuk membandingkan nomor
pelanggan dan produk dengan file induk serta membandingkan jumlah transaksi
penjualan dengan batas kredit yang diprogramkan. Pengendalian keamanan secara
online atas apliaksi, database, dan sistem operasi dapat memperbaiki pemisahan
tugas, yang mengurangi kesempatan untuk melakukan kecurangan.
 Tersedianya informasi yang bermutu lebih tinggi. Aktivitas TI yang kompleks
biasanya dikelola secara efektif karena kerumitan itu memerlukan organisasi,
prosedur, dan dokumentasi yang efektif. Ini biasanya menghasilkan informasi yang
bermutu lebih tinggi bagi manajemen, jauh lebih cepat dari sistem manual. Setelah

7. 7
merasa yakin atas keandalan informasi yang dihasilkan oleh TI, manajemen
cenderung menggunakan informasi tersebut untuk membuat keputusan manajemen
yang lebih baik.
2.2 Menilai Risiko Teknologi Informasi
Meskipun TI dapat meningkatkan pengendalian internal perusahaan, hal itu juga dapat
mempengaruhi risiko pengendalian perusahaan secara keseluruhan. Banyak risiko dalam sistem
manual dapat dikurangi dan dalam beberapa kasus malah dihilangkan. Namun akan tercipta
risiko baru yang spesifik pada sistem TI yang selanjutnya dapat menimbulkan kerugian yang
besar jika diabaikan. Jika sistem TI gagal, organisasi dapat lumpuh karena tidak mampu
mendapatkan kembali informasi atau menggunakan informasi yang tidak andal karena kesalahan
pemprosesan. Risiko ini meningkatkan kemungkinan salah saji yang material dalam laporan
keuangan. Risiko khusus pada sistem TI meliputi:
1. Risiko pada perangkat keras dan data
2. Jejak audit yang berkurang
3. Kebutuhan akan pengalaman TI dan pemisahan tugas TI
Risiko pada Perangkat Keras dan Data Meskipun TI memberikan manfaat pemprosesan yang
signifikan, hal itu juga menciptakan risiko yang unik dalam melindungi perangkat keras dan
data, termasuk potensi munculnya jenis kesalahan baru. Risisko kusus ini mencakup hal-hal
berikut:
 Ketergantungan pada kemampuan berfungsinya perangkat keras dan lunak. Tanpa
perlindungan fisik yang layak, perangkat keras atau perangkat lunak tidak dapat
berfungsi dengan baik. Karena itu, sangat penting untuk melindungi secara fisik
perangkat keras, perangkat lunak, dan data yang terkait dari kerusakan fisik yang
mungkin diakibatkan oleh penggunaan yang tidak semestinya, sabotase, atau kerusakan
lingkungan (seperti api, panas, kelembaban, atau air).
 Kesalahan sistematis versus kesalahan acak. Ketika organisasi mengganti prosedur
manual dengan prosedur berbasis teknologi, risiko kesalahan acak akibat keterlibatan
manusia akan berkurang. Namun, risiko kesalahan sistematis dapat meningkat karena

8. 8
setelah prosedur diprogramkan kedalam perangkat lunak komputer, komputer akan
memproses informasi tentang semua transaksi secara konsisten sampai prosedur yang
diprogramkan itu diubah. Sayangnya, pemprograman perangkat lunak itu akan
mepengaruhi reliabilitas pemprosesan komputer, yang sering kali mengakibatkan salah
saji yang signifikan. Risiko ini meningkat jika sistem itu tidak diprogram untuk
mengenali dan menandai transaksi tidak biasa atau apabila jejak audit transaksi tidak
memadai.
 Akses yang tidak sah. Sistem akuntansi berbasih TI seringkali memungkinkan akses
secara online kedata elektronik dalam file induk, perangkat lunak, dan catatan lainnya.
Karena akses online dapat terjadi dari jarak jauh, termasuk oleh pihak eksternal melalui
internet, mungkin saja terjadi akses yang tidak sah. Tanpa pembatasan online yang tepat
seperti kata sandi dan ID pemakai, aktivitas yang tidak sah dapat dilakukan melalui
komputer, yang mengakibatkan perubahan yang tidak semestinya dalam program
perangkat lunak dan file induk.
 Hilangnya data. Sebagian besar data pada sistem TI disimpan dalam file elektronik yang
terpusat. Ini dapat meningkatkan risiko kehilangan atau kerusakan file data secara
keseluruhan. Hal ini juga mempunyai konsekuensi yang berat, yaitu terjadinya salah saji
dalam laporan keuangan dan dalam kasus tertentu, gangguan yang serius atas operasi
entitas.
Jejak Audit Yang Berkurang Salah saji mungkin tidak terdeteksi dengan meningkatnya TI
akibat hilangnya jejak audit yang nyata, termasuk hilangnya keterlibatan manusia. Selain itu
komputer juga menggantikan jenis otorisasi tradisional dalam banyak sistem TI.
 Visibilitas jejak audit. Karena sebagian besar informasi dimasukkan secara langsung ke
dalam komputer, penggunaan TI sering kali mengurangi atau bahkan meniadakan
dokumen dan catatan sumber yang memungkinkan organisasi untuk menelusuri informasi
akuntansi. Dokumen dan catatan tersebut disebut jejak audit. Karena hilangnya jejak
audit, pengendalian lainnya harus dimasukkan untuk menggantikan kemampuan
tardisional dalam membandingkan informasi maupun dengan data salianan yang tercetak.

9. 9
 Keterlibatan manusia yang berkurang. Dalam banyak sitem TI karyawan yang terlibat
pemesanan awal transaksi tidak pernah melihat hasil akhirnya. Karena itu, mereka kurang
mampu mengidentifikasi salah saji pemprosesan. Walaupun mereka melihat output akhir.
Sering kali sulit untuk mengenali salah saji karena hasilnya sering sangat ringkas. Selain
itu, karyawan juga cenderung memperhatikan output yang dihasilkan melalui penggunaan
teknologi sebagai “benar” karena dihasilkan oleh komputer.
 Tidak adanya otorisasi tradisional. Sistem TI yang sangat canggih sering memprakarsai
jensi transaksi tertentu secara otomatis seperti perhitungan bunga atas rekening tabungan
di bank dan pemesanan persediaan apabila tingkat pesanan yang ditentukan sebelumnya
telah dicapai. Karena itu otorisasi yang tepat tergantung pada prosedur perangkat lunak
dan keakuratan file induk yang digunakan unruk membuat keputusan otorisasi.
Kebutuhan Akan Pengalaman TI dan Pemisahan Tugas Sistem TI mengurangi pemisahan
tugas tradisional (otorisasi, pembukuan, dan penyimpanan) dan menciptakan kebutuhan akan
pengalaman TI tambahan.
 Pemisahan tugas yang berkurang. Apabila organisasi beralih dari sistem manual ke
sistem komputerisasi., komputer akan melaksanakan banyak tugas-tugas yang secara
tradisional dipisahkan, seperti otorisasi dan pembukuan. Penggabungan berbagai
aktivitas dari bagian organisasi yang berbeda ke suatu fungsi TI akan memusatkan
tanggungjawab yang secara tradisional terpisah. Personil TI yang memiliki akses ke
perangkat lunak dan file induk dapat saja mencuri aktiva kecuali tugas-tugas penting
dipisahkan dalam fungsi TI.
 Kebutuhan akan pengalaman TI. Meskipun perusahaan membeli paket perangkat
lunak akuantansi yang dijual di pasaran, perusahaan juga harus merekrut personil
dengan yang memiliki pengetahuan dan pengalaman untuk memasang, memelihara,
serta mengguanakan sistem tersebut. Dengan meningkatnya pengguanaan sistem TI,
kebutuhan akan spesialis TI yang berkualitas juga meningkat. Banyak perusahaan
menciptakan fungsi personil TI secara keseluruhan, sedangkan perusahaan yang lain
mengoutscore manajemen operasi TI. Reliabilitas sistem TI dan informasi yang
dihasilkannya sering tergantung pada kemampuan organisasi untuk memperkerjakan

10. 10
personil atau merekrut konsultan yang memiliki pengetahuan dan pengalaman
teknologi yang sesuai.
2.3 Pengendalian Internal Khusus
Untuk menghadapi banyak risiko yang berkaitan dengan ketergantungan pada TI,
organisiasi sering mengimplementasikan pengendalian khusus atas fungsi TI. Standar auditing
menguraikan dua kategori pengendalian atas sistem TI : yaitu pengendalian umum dan
pengendalian aplikasi.
Pengendalian umum (general controls) diterapkan pada semua aspek fungsi TI,
termasuk administrasi TI, pemisahan tugas TI, pengembangan sistem, keamanan fisik, dan online
atas akses perangkat keras, perangkat lunak, dan data terkait, backup dan perencanaan kontijensi
atas keadaan darurat yang tak terduga, serta pengendalian perangkat keras. Auditor akan
mengevaluasi pengendalian umum untuk perusahaan secara keseluruhan.
Pengendalian aplikasi (application controls) berlaku bagi pemrosesan transaksi seperti
pengendalian atas pemprosesan penjualan atau penerimaan kas. Auditor harus mengevaluasi
pengendalian aplikasi untuk setiap kelas transasksi atau akun dimana auditor berencana
mengurangi resiko pengendalian yang ditetapkan, karena pengendalian TI akan berbeda di antara
kelas-kelas taransaksi dan akun. Pengendalian aplikasinya hanya akan efektif jika penngendalian
umum efektif.
Gambar 12-1 mengilustrasikan hubungan antara pengendalian umun dan pengendalian
aplikasi. Pengendalian umum memberikan kepastian bahwa semua pengendalian aplikasi efektif.
Pengendalian umum yang kuat akan mengurangi jenis risiko yang diidentifikasi dalam kotak
diluar lingkaran pengendalian umum pada gambar 12-1.
Tabel 12-1 menguraikan enam kategori pengendalian umum dan tiga kategori
pengendalian aplikasi, dengan contoh khusus dari setiap kategori. Mari kita telaah kategori
pengendalian umumdan dan aplikasi ini secara lebih terinci.

11. 11
TABEL 12-1 Kategori Pengendalian Umum dan Aplikasi
Jenis Pengendalian Kategori pengendalian Contoh pengendalian
Pengendalian umum Administrasi fungi TI
Pemisahan tugas-tugas TI
Pengembangan sistem
Keamanan fisik dan online
Backup dan perencanaan
kontijensi
Pengendalian perangkat keras
CIO atau manajer melapor kepada
manajemen dan dewan direksi
Tanggung jawab pemrograman, operasi
dan pengendalian di pisahkan
Tim pemakai, analisis sistem, dan
programmer mengembangkan serta
secara menyeluruh menguji perangkat
lunak
Akses ke perangkat keras di batasi,
kata sandi dan ID pemakai membatasi
akses ke perangkat lunak dan file data,
serta pengkodean dan firewall yang
melindungi data serta program dari
pihak luar
Rencana bakcup tertulis disiapkan dan
diuji secara teratur sepanjang tahun
Kegagalan memori atau hard drive
yang menyebabkan pesan yang salah
pada monitor
Pengendalian aplikasi Pengendalian input
Pengendalian pemprosesan
Pengendalian output
Tampilan layar yang telah di format
yang mendorong personil input data
untuk memasukkan informasi.
Pengujian atas kewajaran review harga
jual per unit yang diguunkan untuk
memproses penjualan
Departemen penjelasan melakukan
review pasca pemprosesan transaksi
penjualan.

12. 12
Pengendalian Umum Serupa dengan pengaruh lingkungan pengendalian terhadap komponen
lain dari pengendalian internal yang dibahas pada bab 10, enam kategori pengendalian umum
juga mempengaruhi semua fungsi TI biasanya auditor mengevaluasi pengendalian umum pada
awal audit karena dampaknya terhadap pengendalian aplikasi.
GAMBAR 12-1 Hubungan Antara Pengendalian Umum dan Aplikasi
Administrasi Fungsi TI Sikap dewan direksi dan manajrmrn senior tentang TI mempengaruhi
arti penting TI yang dirasakan dalam suatu organisasi. Pengawasan, alokasi sumber daya dan
keterlibatannya dalam setiap keputusan kunci TI memberikan isyarat tentang pentingnya TI.
Dalam lingkungan yang kompleks, manajemen dapat menetapkan komite pengendalian TI untuk
meembantu memantau kebutuhan teknologi organisasi. Dalam organisasi yang tidak terlalu
Risiko pemrosesan
yang tidak diotorisasi
Risiko pemutakhiran file
induk yang tidak diotorisasi
Risiko perubahan yang tidak di otorisasi
pada perangkat lunak apliaksi
Risiko kerusakan sistem
Pengendalian
Aplikasi
Penerimaan Kas
Pengendalian Aplikasi
Penjualan
Pengendalian
Aplikasi Siklus
lainnya
Pengendalian
Aplikasi penggajian
PENGENDALIAN UMUM

13. 13
kompleks, dewan dapat mengandalkan pada pelaporan reguler oleh CIO atau manajer TI senior
lainnya agar manajemen tetap mendapat informasi. Sebaliknya, apabila fungsi teknologi
didelegasikan secara ekslusif kepada karyawan tingakat yang lebih rendah atau konsultan luar,
ada pesan yang tersirat bahwa TI bukanmerupakan prioritas utama. Ini sering kali menimbulkan
kekurangan staf kekurangan dana, dan fungsi TI yang tidak dikendalikan dengan baik.
Pemisahan Tugas-tugas TI Sebagai respon terhadap risiko menggabungkan tanggnug jawab
penyimpanan tradisional, otorisasi, dan administrasi kedalam fungsi TI, organisasi yang
dikendalikan dengan baik memisahkan tugas-tugas kunci dalam TI. Sebagai contoh tugas-tugas
TI harus dipisahkan untuk mencegah personil TI mengotorisasi dan mencatat transaski untuk
menutupi pencurian aktiva.. gambar 12-2 menunujkkan pemisahan tugas yang ideal. Idealnya,
tanggung jawab atas manajemen TI, pengembangan sistem, operasi dan pengendalian data harus
dipisahkan sebagi berikut :
 Manajemen TI. CIO atau manajer TI harus bertanngung jawab mengawasi fungsi TI
guna memastikan bahwa aktivitasnya telah dilaksanakan sejalan dengan rencana
strategis TI. Seorang administrator keamanan harus memantau baik akses fisik
maupun akses online ke perangkat kras, perangkat lunak, dan file data serta
menyelidiki semua pelanggaran keamanan.
 Pengembangan sistem. Sistem analisis, yang bertangung jawabatas keseluruhan
perancangan setiap sistem aplikasi, mengoordinasikan pengembangan dan peralihan
ke sistem TI oleh personi TI yang bertanggung jawab memprogramkan aplikasi, serta
personil di luar fungsi TI yang merupakan para pemakai utama sistem itu ( contohnya
personil piutang usaha). Para programmer mengembangkan bagan arus khusus untuk
setiap aplikasi baru, menysusn instruksi komputer, menguji program, dan
mendokumentasikan hasilnya.
Para programer tidak boleh mempunyai akses ke data input atau operasi komputer guna
mencegah penyalahgunaan pengetahuannya tentang sistem demi keuntungan pribadi. Mereka
hanya diizinkan bekerja dengan salinan program dan data pengujian sehingga hanya dapat
mengubah perangkat lunak komputer jika sudah memiliki otorisasi yang sah.

14. 14
GAMBAR 12-2 Pemisahan Tugas TI
 Operasi. Operator komputer bertanggung jawab atas operasi komputer sehari-hari sesuai
dengan skedul yang ditetapkan oleh CIO. Mereka juga memantau panel pengendali
komputer menyangkut pesan tentang efisiensi komputer dan kegagalan fungsi.
Seorang pustakawan bertanggung jawab atas pengendalian penggunaan program
komputer, file transaksi, serta catatan dan dokumentasi komputer komputer lainnya. Dia
akan menyerahkan data ini kepada operator hanya bila diotorisasi. Sebagi contoh,
program dan file transaksi diserahkan kepada operator hanya apabila pekerjaan telah
dijadwalkan untuk diproses. Demikian pula, pustakawan akan menyerahkan salinan
pengujian kepada programer hanya setelah disetujui oleh manajemen senior.
Administrator jaringan juga mempengaruhi operasi TI karena mereka bertanggung jawab
atas perencanaan, implementasi, dan penyelenggaraan operasi jaringan server yang
menghubungkan para pemakai dengan berbagai aplikasi serta file data.
 Pengendalian data. Personil pengendalian input/output data secara independen
memverifikasi mutu input dan kelayakan output. Bagi organisasi yang menggunakan
database untuk menyimpan informasi yang digunakan bersama oleh akuntansi dan fungsi
lainnya, administrator database bertanggung jawab atas operasi dan keamanan akses
database bersama itu.
CIO atau Manajer TI
Administrasi Keamanan
Pengembangan Sistem Operasi Pengendalian Data
Analis
Sistem
Programer Operator
Komputer
Pustakawan Administrator
Jaringan
Pengendalian
Input/Output
Administrator
Database

15. 15
Tentu saja, luas pemisahan tugas-tugas bergantung pada ukuran dan kompleksitas
organisasi. Dalam banyak perusahaan kecil, tidaklah praktis memisahkan tugas-tugas seperti
yang diilustrasikan dalam Gambar 12-2.
Pengembangan Sistem Pengembangan Sistem mencakup:
 Membeli perangkat lunak atau mengembangkan sendiri perangkat lunak itu di kantor (in-
house) yang memenuhi kebutuhan organisasi. Kunci untuk mengimplementasikan
perangkat lunak yang tepat adalah melibatkan tim dari personil TI maupun personil non-
TI, termasuk para pemakai utama perangkat lunak itu dan auditor internal. Kombinasi ini
meningkatkan kemungkinan bahwa kebutuhan akan informasi serta perancangan
perangkat lunak dan permasalahan implementasi ditelaah dengan baik. Pelibatan pemakai
juga menghasilkan penerimaan yang lebih baik oleh para pemakai kunci atau utama.
 Menguji semua perangkat lunak guna memastikan bahwa perangkat lunak baru itu
kompatibel dengan perangkat keras dan perangkat lunak yang ada, serta menentukan
apakah perangkat keras dan perangkat lunak itu dapat menangani volume transaksi yang
diinginkan. Apakah perangkat lunak itu dibeli atau dikembangkan secara internal,
pengujian yang ekstensif atas semua perangkat lunak itu dengan data yang realistis
sangatlah penting. Biasanya perusahaan menggunakan satu atau gabungan dari dua
pendekatan pengujian berikut:
1. Pengujian percontohan (pilot testing): Sistem yang baru diimplementasikan pada
satu bagian organisasi sementara lokasi lainnya masih terus mengandalkan sistem
lama.
2. Pengujian paralel: Sistem lama dan baru beroperasi secara simultan dalam semua
lokasi.
Dokumentasi yang tepat atas sistem itu sangat diperlukan bagi semua perangkat lunak
baru dan yang dimodifikasi. Setelah berhasil melewati pengujian dan didokumentasikan,
perangkat lunak itu ditransfer ke pustakawan dengan cara yang terkendali guna memastikan
hanya perangkat lunak yang benar-benar telah diotorisasi yang akhirnya diterima sebagai versi
yang diotorisasi.

16. 16
Keamanan Fisik dan Online Pengendalian fisik atas komputer dan pembatasan online ke
perangkat lunak serta file data terkait mengurangi risiko dilakukannya perubahan yang tidak
diotorisasi ke program dan penggunaan program serta file data yang tepat. Rencana keamanan
harus tertulis dan dipantau secara terus-menerus. Pengendalian keamanan mencakup
pengendalian fisik maupun pengendalian akses online.
 Pengendalian fisik. Pengendalian fisik yang layak atas peralatan komputer dimulai
dengan membatasi akses ke perangkat keras, perangkat lunak, serta backup file data pada
pita magnetik atau disket, hard drive, CD, dan disket eksternal. Contoh umum
pembatasan secara fisik atas penggunaan yang tidak diotorisasi meliputi pencantuman
melalui keypad, sistem badge-entry, kamera keamanan, dan personil keamanan (satpam).
Pengendalian yang lebih canggih hanya mengizinkan akses fisik dan akses online setelah
sidik jari karyawan dibaca atau retina karyawan dipindai dan dicocokkan dengan
database yang telah disahkan. Pengendalian fisik lainnya meliputi pemantauan atas
kesejukan dan kelembaban untuk memastikan bahwa peralatan berfungsi dengan baik.
Peralatan pemadaman kebakaran yang tersedia akan mengurangi kerusakan akibat
kebakaran.
 Pengendalian akses secara online. Penggunaan ID pemakai dan kata sandi yang tepat
akan mengendalikan akses ke perangkat lunak dan file data terkait, yang mengurangi
kemungkinan bahwa perubahan yang tidak diotorisasi dilakukan pada aplikasi perangkat
lunak dan file data. Paket perangkat keamanan tambahan yang terpisah, seperti program
firewall dan enkripsi, dapat dipasang guna meningkatkan keamanan sistem.
Backup dan Perencanaan Kontinjensi Bencana seperti mati listrik, kebakaran, kelembaban
atau panas yang berlebihan, pencemaran air, atau bahkan sabotase mempunyai konsekuensi yang
serius terhadap bisnis yang menggunakan TI. Untuk mencegah hilangnya data selama mati
listrik, banyak perusahaan mengandalkan sumber tenaga cadangan atau backup atau generator
sendiri. Untuk bencana yang lebih serius, organisasi memerlukan backup yang terinci dan
rencana kontinjensi seperti menyimpan semua salinan perangkat lunak dan file data yang sangat
penting atau mengoutsourcing perusahaan yang berspesialisasi dalam mengamankan
penyimpanan data tersebut.

17. 17
Backup dan rencana kontinjensi juga harus mengidentifikasi perangkat keras alternatif
yang dapat digunakan untuk memproses data perusahaan. Perusahaan dengan sistem TI yang
lebih sederhana dapat membeli komputer pengganti dalam keadaan darurat dan memproses
kembali catatan akuntansi dengan menggunakan salinan backup dari perangkat lunak dan file
data. Perusahaan yang lebih besar sering mengadakan kontrak dengan pusat data TI yang
berspesialisasi dalam memberikan akses ke komputer off-site dan jasa TI lainnya untuk
digunakan dalam peristiwa malapetaka TI.
Pengendalian Perangkat Keras Pengendalian perangkat keras (hardware controls) sudah
dipasang dalam peralatan komputer oleh pabrik pembuatnya untuk mendeteksi dan melaporkan
kegagalan peralatan. Auditor akan lebih berkonsentrasi pada bagaimana klien menangani
kesalahan yang diidentifikasi oleh pengendalian perangkat keras ketimbang pada kecukupan
perangkat itu. Tanpa memperhatikan mutu pengendalian perangkat keras, output akan dikoreksi
hanya jika klien telah berusaha menangani kesalahan mesin.
Pengendalian Aplikasi Pengendalian aplikasi dirancang untuk setiap aplikasi perangkat lunak
dan dimaksudkan untuk membantu perusahaan memenuhi enam tujuan audit yang terkait dengan
transaksi yang dibahas pada bab sebelumnya. Walaupun beberapa pengendalian aplikasi
mempengaruhi satu atau hanya beberapa tujuan audit yang terkait dengan transaksi, kebanyakan
pengendalian mencegah atau mendeteksi beberapa jenis salah saji. Pengendalian aplikasi lainnya
bersangkutan dengan tujuan saldo akun serta penyajian dan pengungkapan.
Pengendalian aplikasi dapat dilakukan oleh komputer atau personil klien. Apabila
dilakukan oleh personil klien, hal itu disebut pengendalian manual. Keefektifan pengendalian
manual bargantung pada kompetensi orang-orang yang melaksanakan pengendalian itu dan
kemahiran mereka ketika melaksanakannya. Sebagai contoh, ketika personil departemen kredit
mereview laporan pengecualian yang mengidentifikasi penjualan kredit yang melebihi batas
kredit pelanggan yang diotorisasi, audit harus mengevaluasi baik kemampuan personil tersebut
dalam membuat penilaian maupun menguji keakuratan laporan pengecualian itu. Apabila
pengendalian dilakukan oleh komputer, hal itu disebut dengan pengendalian otomatis
(automated controls). Karena sifat pemrosesan komputer, pengendalian otomatis, jika dirancang
secara tepat, akan menghasilkan operasi pengendalian yang konsisten.

18. 18
Pengendalian aplikasi terdiri dari tiga kategori; input, pemrosesan, dan output. Walaupun
tujuan setiap kategori sama, prosedur untuk memenuhi setiap tujuan itu sangat berbeda. Mari kita
telaah masing-masingnya secara lebih terinci.
Pengendalian Input Pengendalian input dirancang untuk memastikan bahwa informasi yang
dimasukkan kedalam komputer sudah diotorisasi , akurat, dan lengkap. Pengendalian input
sangat penting karena sebagian besar kesalahan dalam sistem TI diakibatkan oleh kesalahan
memasukkan data, sehingga kesalahan input akan menimbulkan kesalahan output tanpa
dipengaruhi oleh mutu pemrosesan informasi. Pengendalian tipikal yang dikembangkan dalam
sistem manual tetap dianggap penting bagi sistem TI, antara lain:
 Otorisasi manajemen atas transaksi.
 Penyiapan dokumen sumber input yang memadai.
 Personil yang kompeten
Pengendalian yang spesifik untuk TI mencakup:
 Layar input yang dirancang secara memadai dengan prompt yang telah diformat untuk
informasi transaksi.
 Daftar menu pull-down dari opsi perangkat lunak yang tersedia.
 Pengujian validasi atas keakuratan input yang dilakukan komputer, seperti validasi nomor
pelanggan terhadap file induk pelanggan.
 Pengendalian input berbasis-online atas aplikasi e-commerce dimana pihak eksternal,
seperti pelanggan dan pemasok, melaksanakan bagian awal dari penginputan transaksi.
 Prosedur koreksi kesalahan segera, untuk menberikan pendeteksian awal dan koreksi
kesalahan input.
 Akumulasi kesalahan kedalam file kesalahan yang selanjutnya ditindaklanjuti oleh
personil input data.
Untuk sistem TI yang mengelompokkan semua transaksi yang serupa kedalam batch,
penggunaan total batch keuangan, total hash, dan total perhitungan record akan membantu
meningkatkan keakuratan serta kelengkapan input. Pengendalian input batch diuraikan dalam
tabel 12-2.

19. 19
TABEL 12-2 Pengendalian input batch
Pengendalian Definisi Contoh
Total keuangan Ikhtisar total jumlah field untuk
semua record dalam batch yang
merupakan total yang berarti
seperti dolar atau jumlah.
Total dolar dari semua faktur
vendor yang harus dibayar.
Total hash Ikhtisar total kode dari semua
record dalam batch yang bukan
merupakan total yang berarti.
Total semua nomor akun vendor
untuk faktur vendor yang harus
dibayar.
Penghitungan record Ikhtisar total record fisik dalam
batch.
Total jumlah faktur vendor yang
harus diproses.
Pengendalian Pemrosesan Pengendalian pemrosesan (processing controls) mencegah dan
mendeteksi kesalahan ketika data transakai diproses. Pengendalian umum terutama pengendalian
yang berhubungan dengan pengembangan sistem dan keamanan, merupakan pengendalian yang
sangat penting guna meminimalkan kesalahan. Pengendalian pemrosesan aplikasi khusus sering
diprogram kedalam perangkat lunak untuk mencegah, mendeteksi, dan mengoreksi kesalahan
pemrosesan, contoh contoh pengendalian pemrosesan diilustrasikan pada Tabel 12-3.

20. 20
TABEL 12-3
Pengendalian pemrosesan
Jenis pengendalian
pemrosesan
Uraian Contoh
Pengujian validasi Memastikan penggunaan file
induk, database, dan program yang
benar dalam pemrosesan
Apakah label internal pada pita file
induk penggajian sesuai dengan label
yang ditunjukkan dalam perangkat lunak
aplikasi?
Pengujian urutan Menentukan bahwa data yang
diserahkan untuk pemrosesan
berada dalam urutan yang benar
Apakah file transaksi input penggajian
telah disortir per departemen sebelum
pemrosesan?
Pengujian
keakuratan
Memeriksa keakuratan data yang
diproses
Apakah jumlah pembayaran bersih
ditambah perhitungan pungutan yang
ditahan sama dengan pembayaran kotor
untuk seluruh penggajian?
Pengujian kelayakan
data
Menentukan apakah data melebihi
jumlah yang telah ditentukan
Apakah pembayaran kotor karyawan
melebihi 60 jam atau $1.999 untuk
seminggu?
Pengujian
kelengkapan
Menentukn bahwa setiap field
dalam satu record telah
diselesaikan
Apakah nomor, nama karyawan, jumlah
jam biasa, jumlah jam biasa, nomor
departemen, dan sebagainya,
dimasukkan untuk setiap karyawan?
Pengendalian Output Pengendalian output berfokus pada mendeteksi kesalahan setelah
pemrosesan diselesaikan, bukan pada mencegah kesalahan. Pengendalian output yang paling
penting adalah review kelayakan data oleh seseorang yang memahami output itu. Para pemakai

21. 21
sering kali mengidentifikasi kesalahan karena mereka mengetahui jumlah yang dinggap benar.
Beberapa pengendalian yang umum untuk mendeteksi kesalahan output mencakup:
 Merekonsiliasi output yang dihasilkan komputer dengan total pengendalian manual.
 Membandingkan jumlah unit yang diproses dengan jumlah unit yang diserahkan
untuk pemrosesan.
 Membandingkan sampel output transaksi dengan dokumen sumber input.
 Memverifikasi tanggal dan waktu pemrosesan untuk mengidentifikasi setiap
pemrosesan yang tidak sesuai urutan.
Untuk output komputer yang sensitif ,seperti cek penggajian, pengendalian dapat
ditingkatkan dengan mengharuskan karyawan memperlihatkan identifikasi karyawan sebelum
menerima ceknya. Selain itu, akses ke output sensitif yang disimpan dalam file elektronik atau
dikirimkan melalui jaringan, termasuk internet, seringkali juga dibatasi dengan kata sandi , ID
pemakai, dan teknik enkripsi.
2.4 Dampak Teknologi Informasi Terhadap Proses Audit
Karena auditor bertanggung jawab untuk memahami pengendalian internal, mereka harus
mengetahui tentang pengendalian umum dan pengendalian aplikasi, tanpa memperhatikan
apakah sistem TI klien kompleks atau sederhana. Pengetahuan tentang pengendalian umum akan
meningkatkan kemampuan auditor dalam menilai dan mengandalkan pengendalian aplikasi yang
efektif untuk mengurangi risiko pengendalian bagi tujuan audit terkait. Bagi auditor perusahaan
publik yang harus menerbitkan pendapat mengenai pengendalian internal atas pelaporan
keuangan, pengetahuan tentang pengendalian umum dan aplikasi sangatlah penting.
Pengaruh Pengendalian Umum terhadap Risiko Pengendalian Auditor harus mengevaluasi
keefektifan pengendalian umum sebelum mengevaluasi pengendalian aplikasi. Seperti
diilustrasikan pada gambar 12-1,pengendalian umum mempunyai pengaruh pervasif terhadap
keefektifan pengendalian aplikasi,sehingga auditor harus mengevaluasi terlebih dahulu
pengendalian tersebut sebelum menyimpulkan apakah pengendalian aplikasi yang sudah efektif.
Pengaruh pengendalian umum terhadap aplikasi keseluruhan sistem Pengendalian umum
yang tidak efektif akan menimbulkan potensi salah saji yang material pada semua aplikasi

22. 22
sistem, tanpa memperhatikan mutu dari setiap pengendalian aplikasi.Sebagai contoh, jika tugas-
tugas TI tidak dipisahkan secara memadai, misalnya operator komputer juga mnjadi programer
dan mempunyai akses ke program serta file komputer,auditor harus memperhatikan adanya
program perangkat lunak yang tidak diotorisasi atau perubahan file data yang dapat
menimbulkan transaksi fiktif atau data yang tidak diotorisasi dan penghilangan akun-akun seperti
penjualan, pembelian, dan gaji.Demikian pula jika auditor mengamati bahwa file data tidak
dilindungi secara memadai,auditor dapat menyimpulkan bahwa risiko kehilangan data yang
signifikan bagi setiap kelas transaksi yang bergantung pada data itu dalam melaksanakan
pengendalian aplikasi. Dalam situasi ini, auditor mungkin perlu memperluas pengujian audit
dalam beberapa area seperti penerimaan kas, pengeluaran, dan penjualan guna memenuhi tujuan
kelengkapan.
Di pihak lain, jika pengendandalian umum dianggap sudah efekttif, auditor akan sangat
bergantung pada pengendalian aplikasi. Kemudian auditor dapat menguji pengendalian aplikasi
menyangkut keefektifan operasinya dan mengandalkan hasilnya untuk mengurangi pengujian
substansif.
Pengaruh pengendalian umum terhadap perubahan perangkat lunak Jika klien mengganti
perangkat lunak aplikasi,hal itu akan mempengaruhi ketergantungaan auditor pada pengendalian
yang terotomatisi. Ketika klien mengganti perngkat lunak, auditor harus mengevaluasi apakah
diperlukan pengujian tambahan. Jika pengendalian umumnya efektif, auditor dapat dengan
mudah mengidentifikasi kapan perubahan perangkat lunak itu dilakukan. Namun bagi
perusahaan yang pengendalian umumnya lemah, mungkin sulit untuk mengidentifikasi
perubahan perangkat lunak. Akibatnya apabila pengendalia umum dianggap lemah, auditor harus
mempertimbangkan pelaksanaan pengujian pengendalian aplikasi selama audit tahun berjalan.
Memahami pengendalian umum klien Biasanya auditor memperoleh informsi tentang
pengendalian umum dan aplikasi melalui cara-cara berikut:
 Wawancara dengan personil TI dan para pemakai kunci
 Memeriksa dokumentasi sistem seperti bagan arus, manual pemakai, permintaan
perubahan program, dan hasil pengujian
 Mereview kuesioner terinci yang diselesaikan oleh staff TI

23. 23
Dalam kebanyakan kasus, auditor harus menggunakan beberapa dari pendekatan tersebut
karena masing-masing memberikan informasi yang berbeda. Sebagai contoh, wawancara dengan
CIO dan analisis sistem menghsilkan informasi yang bermanfaat tentang pengoperasian fungsi
TI secara keseluruhan, luas pengembangan perangkat lunak dan perubahan perangkat keras yang
dilakukan pada perangkat lunak aplikasi akuntansi, serta tinjauan umum atas perubahan yang
direncanakan. Review atas permintaan perubahan program dan hasil pengujian sistem sangat
berguna dalam mengidentifikasi perubahan program perangkat lunak aplikasi. Kuesioner akan
membantu auditor untuk mengidentifikasi pengendalian internal yang khusus.
Pengaruh Pengendalian TI terhadap risiko Pengendalian dan Pengujian Substantif
Pembahasan berikut tentang risiko pengendalian mungkin sudah tidak asing lagi karena audito
mengaitkan pengendalian TI dengan tujuan audit yang mengikuti prinsip-prinsip dan pendekatan
yang sama yang kita bahas dalam Bab 10. Anda mungkin masih ingat bahwa auditor
menghubungkan pengendalian dan defisiensi pengendalian internal dengan tujuan audit khusus.
Berdasarkan pengendalian dan defisiensi tersebut, auditor menilai risiko pengendalian untuk
setiap tujuan audit yang berkaitan. Pendekatan yang sama juga digunakan apabila pengendalian
dilakukan dalam lingkungan TI.
Meningkatkan Pengendalian TI dengan Tujuan Audit yang Berkaitan dengan Transaksi.
Biasanya auditor tidak menghubungkan pengendalian dan defisiensi pengendalian umum dengan
tujuan audit khusus yang berkaitan dengan transaksi. Karena pengendalian umum mempengaruhi
tujuan audit dalam beberapa siklus, maka jika pengendalian umumnya tidak efektif, kemampuan
auditor dalam menggunakan pengendalian aplikasi untuk mengurangi risiko pengendalian pada
semua siklus akan berkurang. Sebaliknya, jika pengendalian umum efektif, kemampuan auditor
dalam menggunakan pengendalian aplikasi pada semua siklus akan meningkat.
Auditor dapat menggunakan matriks risiko pengendalian, sama seperti yang kita bahas
dalam Bab 10, guna membantunya mengidentifikasi pengendalian manual maupun pengendalian
aplikasi yang terotomatisasi dan defisiensi pengendalian bagi setiap tujuan audit yang terkait.
Sebagai contoh, untuk mencegah pembayaran kepada karyawan fiktif, pembandingan nomor
identifikasi karyawan yang telah diinput dalam komputer dengan file induk karyawan dapat
mengurangi risiko pengendalian untuk tujuan keterjadian pada transaksi penggajian. Auditor
juga dapat mengidentifikasi pengendalian manual dan terotomatisasi pada waktu yang sama atau

24. 24
secara terpisah, tetapi tidak boleh mengidentifikasi defisiensi atau menilai risiko pengendalian
sampai kedua jenis pengendalian itu telah diidentifikasi.
Pengaruh Pengendalian Ti Terhadap Pengujian Substantif Setelah mengidentifikasi
pengendalian aplikasi khusus yang dapat untuk mengurangi risiko pengendalian, auditor lalu
mengurangi pengujian substantif. Karena pengendalian aplikasi yang terotomatisasi bersifat
sistematis, hal itu akan memungkinkan auditor mengurangi ukuran sampel yang digunakan untuk
menguji pengendalian tersebut baik dalam audit laporan keuangan maupun audit pengendalian
internal atas pelaporan keuangan. Auditor juga dapat menggunakan pengujian tahun sebelumnya
atas pengendalian yang terotomatisasi, seperti yang dibahas dalam Bab 10, apabila pengendalian
umum efektif dan pengendalian yang terotomatisasi belum diubah sejak pengujian dilakukan
oleh auditor. Audito sering kali menggunakan perangkat lunaknya sendiri untuk menguji
pengendalian bersangkutan. Faktor-faktor tersebut, apabila dikombinasikan, sering manghasilkan
audit yang sangat efektif dan efisien.
Dampak pengendalian umum dan pengendalian aplikasi terhadap audit mungkin bervariasi
tergantung pada tingkat kompleksitas lingkungan TI. Kita akan membahasnya berikut ini.
Auditing dalam Lingkungan TI yang Kurang Kompleks Banyak organisasi yang merancang
dan menggunakan perangkat lunak akuntansi untuk memroses transaksi bisnis sedemikian rupa,
sehingga sumber dokumen dapat diacak kembali dalam format yang dapat dibaca serta dapat
ditelusuri dengan mudah melalui sistem akuntansi ke output. Sistem seperti itu tetap
menggunakan banyak dokumen sumber tradisional seperti pesanan pembelian pelanggan, catatan
pengiriman dan penerimaan, serta faktur penjualan dan vendor. Perangkat lunak tersebut juga
menghasilkan jurnal dan buku besar tercetak yang memungkinkan auditor menelusuri transaksi
melalui catatan akuntansi. Pengendalian internal dalan sistem tersebut sering kali melibatkan
personil klien yang membandingkan catatan yang dihasilkan komputer dengan dokumen sumber.
Dalam situasi ini, penggunaan TI tidak terlalu berdampak terhadap jejak audit. Biasanya,
auditor memahami pengendalian internal dan melakukan pengujian pengendalian, pengujian
substantif atas transaksi, serta prosedur verifikasi saldo akun dengan cara yang sama seperti
dalam sistem akuntansi manual. Auditor juga masih bertanggung jawab untuk memahami
pengendalian umum dan aplikasi, karena pengetahuan semacam ini sangat bermanfaat dalam

25. 25
mengidentifikasi risiko yang dapat mempengaruhi laporan keuangan. Namun, biasanya auditor
tidak melaksankan pengujian atas pengendalian yang terotomatisasi. Pendekatan auditing ini
sering disebut auditing di sekitar komputer (auditing around the computer) karena auditor
tidak menggunakan pengendalian yang terotomatisasi untuk mengurangi penilaian risiko
pengendalian. Sebagai gantinya, auditor menggunakan pengendalian manual untuk mendukung
pengurangan penilaian risiko pengendalian.
Auditor perusahaan yang lebih kecil sering kali mengaudit di sekitar komputer apabila
pengendalian umum kurang efektif ketimbang dalam lingkungan TI yang yang lebih kompleks.
Perusahaan yang lebih kecil sering kali tidak memiliki personil yang kompeten di bidang TI, atau
mengandalkan keterlibatan konsultan TI secara periodik untuk membantu dan memasang dan
memlihara perangkat keras serta perangkat lunak. Tanggung jawab atas fungsi TI sering
dilimpahkan ke departemen pemakai, seperti departemen akuntansi, dimana biasanya terdapat
perangkat keras. Auditing ini sekitar komputer dianggap efektif karena sistem ini sering kali
menghasilkan jejak audit yang mencukupi guna memungkinkan auditor membandingkan
dokumen sumber, seperti faktur vendor dan penjualan, dengan output, dan mungkin ada
pengendalian manual atas proses input dan output yang berjalan efektif guna mencegah serta
mendeteksi salah saji laporan yang material.
Banyak organisasi yang memiliki lingkungan TI yang tidak rumit sering kali sangat
bergantung pada mikrokomputer untuk melakukan fungsi-fungsi sistem akuntansi. Penggunaan
mikrokomputer dapat menimbulkan pertimbangan audit yang unik berikut:
 Ketergantungan yang terbatas pada pengendalian yang terotomatisasi. Bahkan dalam
lingkungan TI yang kurang canggih, pengendalianyang terotomatisasi sering kali dapat
diandalkan.Sebagai contoh, program perangkat lunak mikrokomputer dapat diload pada
hard drive komputer dengan format yang tidak memungkinkan diuban oleh personil
klien, yang membuat risiko perubahan yang tidak diotorisasi dalam perangkat lunak
menjadi rendah. Sebelum mengandalkan pengendalian yang terpasang dalam perangkat
lunak, auditor harus yakin bahwa vendor perangkat lunak itu mempunyai reputasi mutu
yang baik.
 Akses ke file induk. Apabila klien menggunakan mikrokomputer, auditor harus
memperhatikan akses ke file induk oleh orang-orang yang tidak berwenang. Pemisahan

26. 26
tugas yang tepat diantara personil yang memiliki akses pada file induk dan yang
bertanggung jawab atas pemrosesan merupakan hal yang penting. Review oleh pemilik-
manajer yang teratur atas output transaksi dapat meningkatkan pengendalian internal.
 Risiko virus komputer. Virus komputer dapat menyebabkan hilangnya data dan program.
Virus-virus tertentu bahkan dapat merusak file elektronik atau menyebabkan shut down
jaringan komputer secara keseluruhan. Perangkat lunak anti virus yang diupdate secara
teratur untuk menangkal infeksi virus akan meningkatkan pengendalian.
Sebuah perusahaan publik yang menggunakan mikrokomputer dalam proses pelaporan
keuangan dapat mempengaruhi audit pengendalian atas internal pelaporan keuangan. Jika auditor
menyimpulkan bahwa pengendalian umum tidak efektif, pengujian auditor atas pengendalian
aplikasi yang terotomatisasi mungkin perlu meningkatkan. Auditor juga harus
mempertimbangkan implikasi dari tidak adanya pengendalian umum yang efektif terhadap
pendapat mengenai efektivitas pelaksanaan pengendalian internal atas pelaporan keuangan.
Auditing dalam Lingkungan TI yang Lebih Kompleks Jika organisasi memperluas
penggunaan TI, pengendalian internal sering kali disisipkan dalam aplikasi yang hanya tersedia
secara elektronik. Apabila dokumen sumber tradisional seperti faktur, pesanan pembelian,
catatan penagihan dan catatan akuntansi seperti jurnal penjualan, daftar persediaan, dan catatan
tambahan piutang usaha hanya tersedia dalam format elektronik, auditor harus mengubah
pendektan auditingnya. Pendekatan ini sering disebut auditing melalui komputer (auditing
through the computer). Tabel 12-4 mengilustrasikan beberapa perbedaan antara auditing di
sekitar komputer dan auditing melalui komputer.
Auditor menggunakan tiga kategori pendekatan pengujian ketika mengaudit melalui
komputer: pendekatan data pengujian, simulasi paralel, dan pendekatan modul audit tertanam.
Pendekatan Data Pengujian. Dalam pendekatan data pengujian (test data approach), auditor
memroses data pengujiannya sendiri dengan menggunakan sistem komputer klien dan program
aplikasi untuk menentukan apakah pengendalian yang terotomatisasi memroses dengan tepat
data pengujian itu.

27. 27
TABEL 12-4 Contoh-contoh Auditing di sekitar komputer dan melalui komputer
Pengendalian Internal
Pendekatan Auditing di
sekitar komputer
Pendekatan Auditing melalui
computer
Kredit disetujui untuk
penjualan kredit.
Memilih sampel transaksi
penjualan dari jurnal penjualan
dan memperoleh pesanan
penjualan pelanggan yang
berkaitan untuk menentukan
apakah sudah diparaf oleh
manajer kredit, yang
menunjukkan persetujuan atau
penjualan kredit itu.
Memperoleh salinan program aplikasi
penjualan klien dan file induk batas
kredit yang berkaitan serta memroses
sampel data pengujian transaksi
penjualan untuk menentukan apakah
perangkat lunak aplikasi tersebut telak
menolak dengan benar pengujian
transaksi penjualan yang melebihi
jumlah batas kredit pelanggan dan
menerima semua transaksi lainnya.
Penggajian hanya diproses
untuk orang-orang yang
saat ini dipekerjakan
Memilih sampel pengeluaran
penggajian dari jurnal
penggajian dan
memverifikasinya dengan
mereview file bagian SDM
bahwa yang dibayar saat ini
memang dipekerjakan.
Membuat file data pengujian dari
nomor ID karyawan yang sah dan
tidak sah serta memroses file itu
dengan menggunakan salinan program
aplikasi pengkajian klien yang
terkendali untuk menentukan bahwa
semua nomor ID karyawan, yang tidak
sah ditolak dan semua nomorkaryawan
yang sah diterima.
Total kolom untuk jurnal
pengeluaran kas disubtotal
secara otomatis oleh
komputer.
Memperoleh printout jurnal
pengeluaran kas dan secara
manual menjumlahkan setiap
kolom untuk memverifikasi
keakuratan total kolom yang
tercetak.
Memperoleh salinan elektronik
transaksi jurnal pengeluaran kas dan
menggunakan perangkat lunak audit
yang digeneralisasi untuk
memverifikasi keakuratan total kolom.
Auditor merancang pengujian dengan menyertakan transaksi yang harus diterima atau ditolak
oleh sistem klien. Setelah data pengujian diproses pada sistem klien, auditor membandingkan

28. 28
output yang diharapkan untuk menilai keefektifan pengendalian program aplikasi yang
terotomatisasi tersebut. Gambar 12-3 mengilustrasikan penggunaan pendekatan data pengujian.
GAMBAR 12-3 Pendekatan Data Pengujian
Apabila menggunakan pendekatan data pengujian, auditor mempunyai tiga pertimbangan
utama:
1. Data pengujian harus mencakup semua kondisi yang relevan yang ingin diuji auditor.
Auditor harus merancang data pengujian untuk menguji semua pengendalian kunci
Hasil yang Diprediksi Auditor
dari Prosedur Pengendalian
Utama Berdasarkan
Pemahaman
atas Pengendalian Internal
Input Transaksi
Pengujian untuk Menguji
Prosedur Pengendalian
Kunci
File Transaksi
(Tercemar?)
File Induk
Program Aplikasi
(Dengan Asumsi Sistem
Batch)
File Induk yang
Tercemar
Hasil Pengujian
Pengendalian
Auditor
Membuat
Perbandingan
Perbedaan
Antara Hasil
Aktual dan Hasil
yang Diprediksi

29. 29
berbasis –komputer dan memasukkan data yang realistik yang mungkin akan menjadi
bagian dari pemrosesan normal klien,termasuk transaksi sah dan tidak sah.
Sebagai contoh,asumsikan aplikasi pengajian klien berisi pengecekan batas
yang tidak mengizinkan transaksi pengajian yang melebihi 80 jam per minggu. Untuk
menguji pengendalian ini, auditor dapat menyusun transaksi pengajian dalam urutan
79,80, dan 81 jam bagi masing-masing minggu yang dijadikan sampel dan
memprosesnya melalui sistem klien dengan cara yang ditunjukan pada gambar 12-3.
Jika pengendalian atas pengecekan batas berjalan efektif , sistem klien harus menolak
transaksi sebesar 81 jam, dan daftar kesalahan klien harus melaporkan kesalahan
transaksi 81-jam itu.
2. Program aplikasi yang diuji oleh data pengujian auditor harus sama dengan yang
digunakan klien selama tahun berjalan. Salah satu pendekatan adalah menjalankan
data pengujian atas dasar kejutan, mungkin secara acak selama tahun berjalan,
walaupun agak mahal dan menghabiskan waktu. Metode lainnya adalah
mengandalkan pengendalian umum klien pada fungsi pengembangan sistem dan
pustakawan guna memastikan bahwa program yang diuji sama dengan yang
digunakan dalam pemrosesan normal.
3. Data pengujian harus dieliminasi dari catatan klien. Jika auditor memroses data
pengujian sedangkan klien memroses transaksinya sendiri ,auditor harus
menghilangkan data pengujian dalam file induk klien setelah pengujian itu selesai.
Auditor dapat melakukan hal ini dengan mengenbangkan dan memroses data yang
membalik pengaruh data pengujian itu.
Karena kompleksitas dari banyak program perangkat lunak aplikasi klien , auditor yang
menggunakan pendekatan data pengujian sering kali memperoleh bantuan dari spesialis audit
komputer. Banyak kantor akuntan publik yang lebihbesar mempunyai staf yang ditugaskan untuk
membantu menguji pengendalian aplikasi klien.
Simulasi paralel Auditor sering kali menggunakan perangkat lunak yang dikendalikan auditor
untuk melaksanakan operasi yang sama dengan yang dilaksanakan oleh perangkat lunak klien,
dengan mengunakan file data yang juga sama. Tujunnya adalah untuk menentukan keefektifan
pengendalian yang terotomatisasi dan untuk mendapatkan bukti tentang saldo akun eloktronik.

30. 30
Pendekatan pengujian ini disebut pengujian simulasi paralel ( parallel simulation testing).
Gambar 12-4 menyajikan simulasi paralel yang tipikal. Apakah dengan menguji pengendalian
atau saldo akhir, auditor membandingkan output dari perangkat lunak auditor dengan output dari
perangkat lunak klien untuk menguji keefektifan perangkat lunak klien,dan untuk menentukan
apakah saldo klien sudah benar. Berbagai perangkat lunak telah tersedia untuk membantu
auditor.
Biasanya auditor melakukan pengujian simulasi paralel dengan menggunakan perangkat
lunak audit tegenalisasi (generalized audit software- GAS), yaitu program yang dirancang serta
khusus untuk tujuan auditing. Perangkat lunak audit yang tersedia secara komersial seperti ACL
atau IDEA, dapat dengan mudah dioperasikan pada komputer desktop atau leptop auditor.
Auditor akan memperoleh salinan database atau file induk klien dalam format yang terbaca
mesin,da menggunakan perangkat lunak audit tergeneralisasi untuk melaksanakan berbagai
pengujian atas data elektronik klien. Selain GAS beberapa auditor juga menggunakan perangkat
lunak spreadsheet untuk melaksanakan pengujian simulasi paralel yang sederhana. Smentara
yang lain mengembangkan perangkat lunak auditnya sendiri.

31. 31
GAMBAR 12-4 Simulasi Paralel
Perangkat lunak audit tergeneralisasi memiliki tiga keunggulan: relatif mudah mekatih
staf audit untuk menggunakannya ,meskipun mereka hanya mempunai pelathan yang minim
dibidang TI yang berkaitan dengan audit, perangkat lunak tersebut dapat diterapkan pada
berbagai klien dengan penyesuaian yang minimal,da mampu melaksanakan pengujian audit jauh
lebih cepat dan lebih terinci ketimbang menggunakan prosedur manual yang tradisional. Tabel
12-5 menyajikan beberapa penggunaan umum dari perangkat lunak audit tergeneralisasi. Dua
diantaranya akan dibahas secara rinci:
Auditor Melakukan
Perbandingan Antara
Output Sistem Aplikasi
Klien dan Output
Program yang Disussun
Auditor
Transaksi
Produksi
Program
Sistem Aplikasi
Klien
Hasil Auditor
Laporan Pengecualian
Yang menyatakan
Perbedaan
File Induk
Hasil Klien
Program
Yang Disusun
Auditor
Auditor Menyusun
Program untuk
Mensimulasi Semua
Atau Sebagian Sistem
Aplikasi Klien

32. 32
1. Perangkat lunak tergenealisasi digunakan untuk menguji pengendalian yang
terotomatisasi. Auditor akan memperoleh salinan file induk batas kredit pelanggan
,dan kemudian menginstruksikan komputer auditor untuk membuat daftar transaksi
yang melebihi batas kedit pelanggan yang diotorisasi. Auditor kemudian
membandingkan output audit dengan daftar pesanan pelanggan yang ditolak karena
melewati batas kredit yang diotorisasi.
2. Perangkat lunak audit tergeneralisasi digunakan untuk memverifikasi saldo akun
klien. Auditor dapat menggunakan perangkat lunak itu untuk menjumlahkan file
induk piutang usaha pelanggan guna menentukan apakah totalnya sesuai dengan saldo
bukubesar.
TABEL 12-5 Penggunaa Umum dari Perangkat Lunak Audit Tergeneralisasi
Penggunaan Uraian Contoh
Memverifikasi perkalian dan
footing.
Memverifikasi keakuratan
perhitungan klien dengan
menghitung informasi secara
independen.
Memfoot neraca saldo piutang usaha.
Memeriksa catatan tentang
mutu, kelengkapan,
konsistensi, dan kebenaran.
Memindai semua catatan dengan
menggunakan kriteria tertentu.
Mereview file penggalian untuk
karyawan yang berhenti.
Membandingkan data pada
file terpisah.
Menentukan bahwa informasi
dalam dua file data atau lebih
telah selesai.
Membandingkan perubahan saldo
piutang usaha di antara dua tanggal
dengan menggunakan penjualan dan
penerimaan kas pada file transaksi.
Mengikhtisarkan atau
mengurutkan kembali data
dan melaksanakan analisis.
Mengubah atau mengagregatkan
data.
Mengurutkan kembali item persediaan
sesuai lokasi untuk memudahkan
observasi fisik.
Memilih sampel audit. Memilih sampel dari data yang
dapat dibaca mesin.
Secara acak memilih piutang usaha
untuk konfirmasi.
Mencetak permintaan Mencetak data dari item sampel Mencetak nama pelanggan, alamat,

33. 33
konfirmasi. yang dipilih untuk mengujian
informasi.
dan informasi tentang akun dari file
induk.
Membandingkan data yang
diperoleh melalui prosedur
audit lain dengan catatan
perusahaan.
Membandingkan data yang
dapat dibaca mesin dengan bukti
audit yang dikumpulkan secara
manual, yang diubah ke format
yang dapat dibaca mesin.
Membandingkan respons konfirmasi
dengan file induk akun piutang usaha.
Pendekatan modul audit tertanam Ketika mengguakan pendekatan modul audit tertanam
(embedded audit modul approach), auditor menyisipkan modul audit dalam sistem aplikasi klien
untuk mengidentifikasi jenis transaksi tertentu. Sebagai contoh, auditor mungkin ingin
menggunakan modul audit tertanam guna mengidentifikasi semua pebelian yang melebihi
$25.000 untuk ditindaklanjutkan dengan pemeriksaan yang lebih rinci bagi tujuan keterjadian
dan keakuratan yang berkaitan dengantransaksi. Dalam beberapa kasus ,auditor akan menyalin
transaksi yang diidentifikasi pada file data terpisah, dan kemudian mmroses transaksi itu dengan
menggunakan simulasi paaralel untuk menduplikasi fungsi yng dijalankan oleh sistem klien.
Lalu auditor membandingkan output klien dengan output auditor. Perbedaannya dicetak pada
laporan pengecualian untuk ditindaklanjuti oleh auditor.
Pendekatan modul audit tertanam memungkin audit or untuk terus mengaudit transaksi
dengan mengidentifikasi transaksi aktual yang diproses oleh klien yang dibandingkan dengan
data pengujian dengan pendekatan simulasi paralel,yang hanya memperkenankan pengujian sela.
Walaupun dapat menggunakan satu atau setiap kombinasi dai pendekatan pengujian,
biasanya auditor menggunakan:
 Data pengujian untuk melaksanakan pengujian pengendalian dan pengujian substansif
atas transaksi.
 Simulasi paralel untuk pengujian substansif,seperti menghitung ulang jumlah transaksi
dan menjumlahkan file induk catatan tambahan saldo akun.
 Modul audit tertanam untuk mengidentifikasi transaksi tidak biasa bagi pengujian
substansif.

34. 34
2.5 Permasalahan Pada Lingkungan TI Yang Berbeda
Sejauh ini kita telah membahas pengaruh TI terhadap proses audit bagi organisasi yang
memusatkan fungsi TI. Walaupun semua organisasi memerlukan pengendalian umum yang
baik tanpa memperhatikan struktur fungsi TI-nya, beberapa masalah pengendalian umum
bervariasi tergantung pada lingkungan TI. Selanjutnya, kita akan menelaah masalah TI untuk
klien yang menggunakan jaringan, sistem manajemen database, sistem e-commerce, dan pusat
jasa komputer outsource.
Masalah pada Lingkungan Jaringan Meningkatnya penggunaan jaringan yang
menghubungkan peralatan seperti mikro komputer, komputer berukuran menengah,
mainframe, workstation, server, dan printer yang telah mengubah keberadaan TI di banyak
perusahaan. Lokal area network (LAN) menghubungkan peralatan dalam satu atau cluster
bangunan yang kecil dan hanya digunakan dalam satu perusahaan. LAN sering kali digunakan
untuk mentransfer data dan program dari satu komputer atau workstation dengan menggunakan
perangkat lunak sistem jaringan, yang memungkinkan semua peralatan berfungsi secara
bersamaan. Wide area network (WAN) menghubungkan peralatan dalam daerah geografis
yang lebih luas, termasuk operasi global.
Dalam lingkungan jaringan, perangkat lunak aplikasi dan file data yang digunakan
untuk memroses transaksi berada pada beberapa komputer yang saling terhubung. Akses ke
aplikasi dari mikrokomputer atau workstation dikelola oleh perangkat lunak server jaringan.
Bahkan perusahaan kecil dapat mempunyai beberapa server komputer yang saling terhubung
pada suatu jaringan, sementara perusahaan besar dapat mempunyai ratusan server di banyak
lokasi yang terjalin bersama.
Sebagian besar pengendalian umum yang di bahas dalam bab ini diterapkan pada
jaringan klien yang besar, karena dukungan TI dan keterlibatan pemakai tersentralisasi. Bagi
perusahaan lain, lingkungan jaringan menimbulkan masalah pengendalian yang harus
dipertimbangkan auditor dalam merencanakan audit. Sebagai contoh, auditor sering kali
menaikkan risiko pengendalian apabila perusahaan mempunyai jaringan yang terdiri dari
banyak server yang berlokasi di semua bagian organisasi, karena operasi jaringan yang

35. 35
terdesentralisasi sering kali tanpa pengaman dan pengawasan manajemen atas berbagai server
yang terhubung itu.
Sudah lazim bahwa jaringan komputer terdiri dari berbagai gabungan peralatan dan
prosedur, yang mungkin tidak mempunyai opsi keamanan standar. Kurangnya kompabilitas
peralatan di seluruh jaringan dapat terjadi apabila tanggung jawab atas pembelian peralatan dan
perangkat lunak, pemeliharaan, administrasi, dan keamanan fisik sering berada pada kelompok
pemakai utama, bukan pada fungsi TI yang terpusat. Kadang-kadang keamanan jaringan
terancam apabila jaringan itu terdiri dari peralatan dengan fitur-fitur keamanan yang tidak
kompatibel.
Apabila klien mempunyai aplikasi akuntansi yang diproses dalam lingkungan jaringan,
auditor harus mempelajari konfigurasi jaringan, termasuk lokasi server komputer dan
workstation yang saling berhubungan satu sama lain, perangkat lunak jaringan yang digunakan
untuk mengelola sistem, serta pengendalian atas akses dan perubahan program aplikasi serta
file data yang ada pada server. Pengetahuan ini dapat berimplikasi bagi penilaian auditor ketika
merencanakan audit laporan keuangan dan ketika menguji pengendalian dalam audit
pengendalian internal atas pelaporan keuangan.
Masalah pada Sistem Manajemen Database Sistem manajemen database (database
management systems) memungkinkan klien membuat database yang meliputi informasi yang
dapat digunakan bersama dalam banyak aplikasi. Dalam sistem nondatabase, banyak aplikasi
saling berbagi file. Klien mengimplikasikan sistem manajemen database untuk mengurangi
kelebihan data, meningkatkan pengendalian atas data, dan menyediakan informasi yang lebih
baik bagi pengambilan keputusan dengan mengintegrasikan informasi di semua fungsi dan
departemen. Sebagai contoh, data pelanggan, seperti alamat dan nama pelanggan, dapat
digunakan bersama dalam fungsi penjualan, kredit, akuntansi, pemasaran, dan pengiriman,
yang menghasilkan informasi yang konsisten bagi semua pemakai dan pengurangan biaya yang
signifikan. Perusahaan sering kali mengintegrasikan sistem manajemen database ke seluruh
organisasi dengan menggunakan program perangkat lunak perusahaan.
Pengendalian sering kali meningkat apabila data tersentralisasi dalam sistem
manajemen database dengan menghilangkan file data duplikat. Namum, sistem manajemen

36. 36
database juga dapat menimbulkan risiko pengendalian internal. Risiko akan meningkat apabila
semakin banyak pemakai, termasuk individu di luar bagian akuntansi, yang dapat mengakses
dan memperbarui file data. Untuk menanggulangi risiko file data yang tidak diotorisasi, tidak
akurat, dan tidak sempurna, perusahaan harus mengimplementasikan administrasi database dan
pengendalian akses yang tepat. Apabila data tersentralisasi dalam satu sistem tunggal,
perusahaan juga harus memastikan backup data yang tepat secara teratur.
Auditor klien yang menggunakan sistem manajemen database harus memahami
perencanaan, organisasi, dan kebijakan serta prosedur klien untuk menentukan seberapa baik
sistem itu dikelola. Pemahaman ini dapat mempengaruhi penilaian auditor atas risiko
pengendalian dan pendapat auditor tentang keefektifan pelaksanaan pengendalian internal atas
pelaporan keuangan.
Masalah pada Sistem E-commerce Perusahaan yang menggunakan sistem e-commerce untuk
melakukan transaksi bisnis secara elektronis akan menghubungkan sistem akuntansi
internalnya dengan sistem pihak eksternal, seperti pelanggan dan pemasok. Akibatnya, risiko
yang dihadapi suatu perusahaan sebagian bergantung pada seberapa baik mitra e-commerce-
nya mengidentifikasi dan mengelola risiko dalam sistem TI-nya sendiri. Untuk mengelola
risiko interdependensi ini, perusahaan harus memastikan bahwa mitra bisnisnya mengelola
risiko sistem TI sebelum melaksanakan bisnis dengannya secara elektronis. Beberapa jasa
assurance yang dibahas dalam Bab 1, seperti SysTrust, menyediakan informasi yang objektif
tentang reliabilitas sistem TI mitra bisnis.
Penggunaan sistem e-commerce juga membuat data perusahaan yang sensitif, program,
dan perangkat keras terbuka terhadap kemungkinan campur tangan atau sabotase oleh pihak
luar. Untuk membatasi keterbukaan ini, perusahaan menggunakan firewall, teknik enkripsi, dan
tanda tangan digital.
Firewall melindungi data, program, dan sumber daya TI lainnya dari para pemakai
eksternal yang tidak berhak yang mengakses sistem melalui jaringan, seperti internet. Firewall
adalah sistem perangkat keras dan perangkat lunak yang memantau serta mengendalikan aliran
komunikasi e-commerce dengan menyalurkan semua koneksi jaringan melalui pengendalian
yang memverifikasi pemakai eksternal, memberikan akses kepada pemakai yang berhak,

37. 37
menolak akses pada pemakai yang tidak berhak, dan mengarahkan pemakai yang sah ke
program atau data yang diminta.
Teknik enkrpsi (encryption techniques) melindungi keamanan komunikasi elektronik
ketika informasi sedang dikirimkan. Enkripsi yang terkomputerisasi akan mengubah pesan
standar ke dalam suatu bentuk kode (encrypted), yang mengharuskan penerima pesan
elektronik itu menggunakan program dekripsi (decryption) untuk memecahkan kode pesan itu.
Teknik enkripsi kunci publik sering digunakan, di mana satu kunci (kunci publik) digunakan
untuk memecahkan kode pesan itu. Kunci publik dibagikan kepada pemakai yang berhak atas
sistem e-commerce itu. Kunci pribadi hanya dibagikan kepada pemakai internal yang memiliki
otoritas untuk memecahkan kode pesan.
Untuk membuktikan keaslian validitas mitra dagang yang melaksanakan bisnis secara
elektronik, perusahaan dapat mengandalkan otoritas sertifikasi eksternal yang memverifikasi
sumber kunci publik dengan menggunakan tandatangan digital (digital signatures). Otoritas
sertifikasi yang dipercaya akan mengeluarkan suatu sertifikat digital kepada individu dan
perusahaan yang terlibat dalam e-commerce. Tanda tangan digital berisi nama pemilik dan
kunci publiknya. Tanda tangan itu juga berisi nama otoritas sertifikasi dan tanggal kadaluwarsa
sertifikat itu serta informasi khusus lainnya. Untuk menjamin keaslian dan integritas, setiap
tanda tangan yang dilakukan secara digital ditandatangani oleh kunci pribadi yang
diselenggarakan oleh otoritas sertifikasi.
Auditor harus memahami sifat firewall dan pengendalain enkripsi guna memastikan
bahwa hal itu diplementasikan dan panduan secara tepat. Firewall yang kurang memadia
dapatmeningkatkan kemungkinan perubahan yang tidak diotorisasi atas perangkat lunak dan
data. Jadi, auditor mungkir harus menguji aplikasi yang terotomatisasi, yang digunakan untuk
mendukung penilaian resiko pengendalaian di bawah maksimum, belum diubah tanpa
sepengetahuan auditor. Demikian pula, auditor mungkir harus memahami dan menguji
pengendalian enkripsi untuk memahami tujuan transaksi serta saldo akun. Kegagalan untuk
mengenkripsikan transaksi atau dataakun dapat mengakibatkan perubahan jumlah yang
mendukung trasaksi atau saldo akun.

38. 38
Masalah yang Timbul Ketika Klien Mengoutsource TI Banyak klien mengoutsource
beberapa atau semua kebutuhan TI-nya kepada pusat pelayanan (service center) komputer yang
independen, termasuk penyedia jasa aplikasi (application service providers=ASP), dan bukan
menyelenggarakan pusat TI internal. Perusahan yang lebih kecil sering kali mengoutsource
fungsi penggajianya karena penggajian cukup standar dari perusahan ke perusahan, dan juga ada
banyak penyedian jasa penggajian yang andal. Perusahan juga mengoutsurce sistem e-
commerce-nya ke penyedia jasa Website eksterna. Seperti semua keputusan outsorcing,
perusahaan memutuskan apakah akan menggunakan TI atas dasar biaya manfaat.
Apabila mengoutsorcing kepada pusat jasa komputr, klien menyerahkan data input, yang
akan diproses oleh pusat jasa dengan membayar fee tertentu, dan mengembaliakan autput yang
teelah disepakati serta input aslinya. Untuk penggajian, perusahan menyerahkan kartu catatan
waktu, tingkat upah, dan formulir W4 kepada pusat jasa. Pusat jasa lalu mengembalikan cek
penggajian, jurnal, dan data input setiap minggu serta formulir W-2 pada akhir setiap tahun.
Pusat jasa bertanggung jawab untuk merancang sistem komputer dan menyediakan
pengendalikan yang memadi guna memastikan bahwa pemrosesan dapart diandalkan.
Memahami Pengendalian Internal dalam Sistem Outsource auditor menghadapi
kesulitan untuk memahami pengendalian internal klien dalam situasi tersebut karena banyak
pengendalian yang ada di pusat jasa dan auditor tidak mengasumsikan bahwa pengadilan itu
memadai hanya karena pusat jasa tersebut merupakan perusahan independen. Standar auditing
mengharuskan auditor mempertimbangkan kebutuhan untuk memahami kebutuhan dan menguji
pengadilan pusat jasa, jika aplikasi pusat jasa itumelibatkan pemrosesan data keuangan yang
penting. Sebagai contoh, banyak pengendalaian untuk tujuan audit yang berkaitan dengan
trasaksi penggajian berada dalam program perangkat lunak yang diselenggarakan dan didukung
oleh perusahaan jasa penggajian, bukan klien audit.
Untuk memahami dan menguji pengendalian pusat jasa, auditor harus menggunakan
kriteria yang sama dengan yang digunakan dalam mengevaluasi pengendalian internal klien.
Seberapa dalam pemahaman itu tergantung pada kompleksitas sistem dan sampai dimana
penendalian diandalkan untuk mengurangi resiko pengendalian. Seberapa mendalam pemahaman
itu juga bergantung pada sampai dimana pengendalian kunci atas tujuan audit yang berkaitan
dengan trasaksi yang ada pada pusat jasa untuk audit atas pengendalian internal perusahan

39. 39
publik. Jika auditor menyimpulkan bahwa keterlibatan aktif di pusat jasa yang merupakan satu-
satunya cara untuk melakukan audit, munkin perlu memahami pengendalian internal di pusat
jasa menguji pengendalian itu dengan menggunakan data pengujian dan pengujian pengadilan
lainya.
Ketergantunga pada Auditor Pusat Jasa Dalam tahun-tahun terakhir, semakin umum
bagi pusat jasa menugaskan kantor akuntan publik dalam memahami dan menguji pengendalian
internal pusat jasa itu, serta mengeluarkan laporan untuk dingunakan oleh semua pelanggaan dan
auditor independennya. Tujuan penilaian independen ini adalah untuk menyediakan pelanggan
pusat jasa suatu kepastian yang layak tentang memadinya pengendalian umum dan aplikasi pusat
jasa itu, serta untuk menghilangkan kebutuha akan audit yang berlebihan oleh auditor pelanggan.
Jika pusat jasa mempunyai banyak pelanggan dan masing-masing memerlukan pemahaman atas
pengangdalian internal pusat jasa itu oleh auditor independennya sendiri, kesulitan dan biaya
yang akan dihadapi pusat jas itu dapat sangat besar.
SAS 70 (AU 324), sebagaiman diamademenkan oleh SAS 78 dan SAS 80, memberikan
pedoman kepada (1) auditor yang mengeluarkan laporan tentang pengendalian internal organisasi
jasa (auditor pusat jasa) dan (2) auditor organisasi pemakai (auditor pemakai) yang
mengandalkan laporan auditor pusat jasa. Auditor pusat jasa dapat mengeluarkan dua jenis
laporan:
 Laporan tentang pengendalian yang telah diimplementasikan.
 Laporan tentang pengendalian yang telah diimlementasikan dan diuji untuk keefektifan
operasi.
Laporan tentang pengendalian yang telah diimplementasikan akan membantu auditor
memahami pengendalian internal untuk merencanakan audit. Akan tetapi, auditor juga
memerlukan bukti tentang keefektifan pelaksanaan pengendalian untuk menilai resiko
pengandalian, terutama ketika mengaudit pengendalian intrnal atas pelapor keuangan perusahaan
publik. Bukti ini dapat:
 Didasarkan pada laporan auditor pusat jasa tentang pengendalian yang telah
diimlementasikan dan pengujian atas efektivitas oprasi atau pelaksanaanya.
 Berasal dari pengujian pengendalian organisasi pemakai atas aktivitas organisasi jasa.

40. 40
 Diperoleh ketika auditor pemakai melaksanakan pengujian yang tepat pada organisasi
jasa.
Jika auditor pemakai memutuskan untuk menggunakan laporan auditor pusat jasa, tanya-
jawab yang sesuai harus dilakukan menyanggkut reputasi auditor pusat jasa. Standar auditing
menyatakan bahwa auditor pemakai tidak boleh mengacu pada laporan auditor pusat jasa dalam
memberikan pendapat tentang laporan keuangan organisasi pemakai.

41. 41
BAB III
PENUTUP
3.1 KESIMPULAN
Bab ini membahas bagaimana TI mempengaruhi proses audit. Meskipun penggunaan TI
oleh klien dapat meningkatkan pengendalian internal yang meningkat, penggunaan sistem
akuntansi berbasis TI juga menghadirkan resiko baru yang biasanya tidak berkaitan dengan
setem manual tradisiaona. Perusahan uang dikelola dengan baik menyadari resiko baru ini dan
pemerosesannya denga mengimplementasikan pengendalian umum serta aplikasi yang efektif
dalam sistem TI untuk mengurangi dampak risiko tersebut terhadap pelaporan keuangan. Auditor
harus memiliki pengetahuan tentang resiko tersebut dan memahami pengendalian umum serta
aplikasi klien agar dapat merencanakan audit secara efektif. Pengetahuan tentang pengendalian
umum akan memberikan dasar bagi auditor untuk mengendalikan pengendalian aplikasi yang
terotomatisasi, dan dapat mengurangi luas pengujia atas pengendalian kunci yang terotomatisasi
dalam audit laporan keuangan dan pengendalian internal. Beberapa pengujian pengendalian
auditor dapat dilakukan oleh komputer, yang sering kali sebagai cara untuk mencapai audit yang
lebih efektif dan efesien. Ketergantungan pada pengendalian umum dan aplikasi untuk
mengurangai resiko pengendalian mungkin akan berubah apabila klien menggunakan
mikrokomputer, jaringan, sistem manajemen database, sistem e-comerce, dan pusat jasa
komputer yang dioutsource ahli-ahli sistem TI yang terpusat.
3.2 SARAN
Dengan membaca makalah ini, pembaca disarankan agar dapat menambah
pengetahuannya yang berkaitan dengan dampak teknologi informasi terhadap proses
audit. Disamping itu, kami juga mengharapkan kritik dan saran atas penulisan dari makalah,
demi melengkapi dan menjadi bahan pertimbangan pada penulisan-penulisan berikutnya.

42. 42
DAFTAR PUSTAKA
Arens, Alvin A., Randal J. Elder, Mark S. Beasley, Auditing dan Jasa Assurance, Jilid Satu,
Edisi 12 Jakarta: Erlangga, 2008.