MODUL 11 DAMPAK TEKNOLOGl lNFORMASI PADA PROSES AUDIT

Sasaran yang ingin dicapai Setelah mempelajari modul ini, diharapkan dapat: 1. Menguraikan bagaimana TI meningkatkan pengendalian internal. 2. Mengidentifikasi risiko yang muncul dari penggunaan sistem akuntansi berbasis TI. 3. Menjelaskan bagaimana pengendalian umum & pengendalian aplikasi mengurangi risiko TI. 4. Menjelaskan bagaimana pengendalian umum mempengaruhi pengujian auditor atas pengendalian aplikasi. 5. Menggunakan pendekatan-pendekatan data ujian, simulasi parelel, dan modul audit tertanam saat mengaudit melalui komputer. 6. Pengidentifikasi masalah untuk sistem e-commerce dan lingkungan khusus TI.

A. PENDAHULUAN Modul ini menguji bagaimana pengintegrasian klien atas teknologi informasi (TI) ke dalam sistem akuntansi mempengaruhi risiko dan pengendalian internal. Penggunaan TI dapat meningkatkan pengendalian internal dengan menambahkan prosedur pengendalian baru yang dilakukan oleh komputer dan dengan menggantikan kendali manual yang merupakan subyek bagi kesalahan manusia. TI dapat juga memperkenalkan risiko yang baru, yang dapat diatur klien melalui implementasi dari kendali yang dikhususkan untuk lingkungan TI. Modul ini menyoroti risiko yang dikhususkan untuk lingkungan TI, mengidentifikasikan pengendalian yang dapat diterapkan untuk menunjuk risiko itu, dan menyoroti bagaimana pengendalian yang terkait dengan TI mempengaruhi proses audit. Auditor harus seksama agar tidak terlalu bersandar pada informasi hanya karena dibuat oleh komputer. Suatu asumsi umum adalah bahwa "informasi adalah benar sebab komputer yang membuatnya". Terlalu sering, kepereayaan ditempatkan pada ketelitian yang belum diuji dari keluaran yang dibuat komputer sebab auditor gagal untuk mengingat bahwa komputer hanya melaksanakan apa yang diprogramkan bagi mereka. Auditor harus memahami dan menguji kendali berbasis-komputer sebelum menyimpulkan bahwa informasi yang dibuatkomputer adalah dapat dipercaya. Kita mulai dengan memusatkan pada bagaimana TI dapat meningkatkan pengendalian internal.

B. BAGAIMANA TEKNOlOGI INFORMASI MENINGKATKAN PENGENDALIAN

INTERNAL Ketika bisnis tumbuh dan berevolusi, mereka sering meningkatkan mutu sistem TI mereka untuk menangani secara terns menerus kebutuhan informasi yang makin meningkat. Penggunaan lingkungan jaringan yang kompleks, internet, dan fungsi TI terpusat adalah umum dalam bisnis saat ini.

12

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

Peningkatan ke pengendalian internal sebagai hasil pengintegrasian TI ke dalam sistem akuntansi meliputi yang berikut:

Kendali komputer menggantikan kendali manual. Manfaat yang nyata dari TI, seperti
kemampuan untuk menangani volume yang luar biasa dari transaksi bisnis yang rumit secara hemat biaya, menyebabkan organisasi untuk menggunakan TI sepanjang proses pelaporan keuangan mereka. Satu keuntungan TI adalah kemampuan untuk meningkatkan pengendalian internal dengan menggabungkan kendali yang dilakukan-komputer dalam aktivitas proses transaksi sehari-hari. Menggantikan prosedur manual dengan pengendalian yang diprogramkan yang menggunakan cek dan saldo bagi masing-masing transaksi yang diproses dapat mengurangi kesalahan manusia yang mungkin terjadi dalam lingkungan manual yang tradisional. Suatu sistem TI yang terkendali menawarkan potensi lebih besar untuk mengurangi salah saji karena komputer memroses informasi secara kon-sisten. Tersedianya informasi dengan mutu lebih tinggi. Sekali manajemen yakin tentang keandalan informasi yang dihasilkan oleh TI, penggunaan manajemen atas informasi itu menawarkan potensi lebih lanjut untuk meningkatkan keputusan manajemen. Pertama-tama, lingkungan TI yang kompleks umumnya diatur secara efektif karena kompleksitas memerlukan organisasi yang efektif, prosedur, dan dokumentasi. Kedua, sistem TI biasanya menyediakan bagi manajemen lebih banyak informasi dengan mutu lebih tinggi dengn lebih cepat dari kebanyakan sistem manual.

C. MENILAI RISIKO DARI TEKNOLOGI INFORMASI

Walaupun TI dapat meningkatkan pengendalian internal perusahaan, ia juga dapat mempengaruhi risiko pengendalian keseluruhan perusahaan. Banyak risiko yang berhubungan dengan sistem manual yang dikurangi dan dalam beberapa kasus malah dihilangkan. Namun, risiko baru yang dikhususkan untuk lingkungan TI telah diciptakan dan dapat mengarah kepada kerugian besar jika diabaikan. Sebagai contoh, ketidakmampuan untuk mendapatkan kembali informasi yang penting karena kegagalan sistem TI atau penggunaan informasi yang tidak dapat dipercaya oleh karena kesalahan pemrosesan yang dihasilkan oleh teknologi itu bisa melumpuhkan organisasi. Risiko ini mening-katkan kemungkinan salah saji material dalam laporan keuangan yang harus dipertimbangkan oleh manajemen dan auditor. Yang berikut menyoroti risiko kunci yang khusus untuk lingkungan TI :

Kepercayaan pada kemampuan berfungsinya perangkat keras dan lunak. Tanpa

perlindungan fisik yang sesuai, perangkat keras atau perangkat lunak tidak akan berfungsi. Jejak audit yang jelas. Sebab sebagian besar informasi dimasukkan secara langsung ke dalam komputer, penggunaan TI sering mengurangi atau bahkan menghapuskan dokumen sumber dan arsip yang mengijinkan organisasi untuk melacak informasi akuntansi. Dokumen dan arsip ini disebut jejak audit.

12

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

 Mengurangi keterlibatan manusia. Di dalam banyak lingkungan Tl, karyawan yang

berhadapan dengan pemrosesan awal dari transaksi tidak pernah melihat hasil akhirnya. Karena itu, mereka sedikit tidak mampu untuk mengidentifikasikan salah saji pemrosesan. Kesalahan sistematis versus kesalahan acak. Saat organisasi menggantikan prosedur manual dengan prosedur berbasis-teknologi, risiko dari kesalahan acak menjadi berkurang. Namun, risiko dari kesalahan sistematis meningkat oleh karena keseragaman pemrosesan komputer. Sekali prosedur diprogramkan ke dalam perangkat lunak komputer, komputer memproses informasi secara konsisten untuk semua transaksi hingga prosedur yang diprogramkan itu diubah. Akses tidak sah. Sistem akuntansi yang berbasis TI sering mengijinkan akses yang online ke data dalam arsip induk dan arsip lain yang disimpan dalam format elektronik. Karena akses yang online dapat terjadi dari banyak poinpoin akses jarak jauh, termasuk pihak eksternal dengan akses melalui internet, ada potensi untuk akses yang tidak sah. Hilangnya data. Sebagian besar data yang mendasari dalam suatu lingkungan TI disimpan dalam arsip elektronik yang terpusat. Saat data dipusatkan, ada suatu peningkatan risiko kerugian atau kerusakan dari arsip data keseluruhan dengan percabangan yang parah. Ada potensi untuk salah saji laporan keuangan, dan dalam kasus tertentu, organisasi bisa mendatangkan gangguan bisnis yang serius. Pengurangan pemisahan tugas-tugas. Saat organisasi mengkonversi dari manual ke proses komputer, komputer melaksanakan banyak tugas-tugas yang secara tradisional dipisahkan, seperti otorisasi dan tata kearsipan. Oleh karena itu, mengkombinasikan aktivitas dari bagian-bagian berbeda dari organisasi ke dalam satu fungsi TI memusatkan tanggungjawab yang secara tradisional terbagi. Ketiadaan otorisasi yang tradisional. Adalah umum dalam sistem TI lanjutan untuk jenis transaksi tertentu untuk diaktifkan secara otomatis oleh komputer. Contoh meliputi menghitung bunga atas rekening tabungan di bank dan memesan persediaan ketika tingkat pesanan yang telah ditentukan sebelumnya telah dicapai. Kebutuhan akan pengalaman IT. Bahkan ketika perusahaan membeli sistem komputer yang relatif sederhana yang meliputi perangkat lunak yang dibeli, personil dengan pengetahuan dan pengalaman untuk memasang, memelihara, dan menggunakan sistem adalah penting. Seperti penggunaan sistem TI yang meningkat dalam organisasi, kebutuhan akan spesialis TI yang berkualitas sering muncul.

D. PENGENDALIAN INTERNAL KHUSUS UNTUK TEKNOLOGI INFORMASI

Untuk menunjuk banyak dari risiko yang berhubungan dengan kepercayaan lebih besar atas TI, organisasi sering mengimplementasikan pengendalian khusus untuk fungsi TI. Standar audit menjelaskan dua pengelompokan pengendalian yang utama untuk sistem TI: pengendalian umum dan pengendalian aplikasi. Pengendalian umum berhubungan dengan semua aspek dari fungsi TI, termasuk administrasi; akuisisi dan pemeliharaan perangkat lunak; keamanan fisik dan enline atas akses ke perangkat keras, perangkat lunak, dan data yang terkait; mem-

12

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

backup perencanaan dalam keadaan darurat tak terduga; dan pengendalian perangkat keras. Pengendalian aplikasi berlaku bagi pemrosesan transaksi individual, seperti pengendalian atas pemrosesan penjualan atau penerimaan kas. Oleh karena itu, pengendalian aplikasi adalah khusus untuk aplikasi perangkat lunak tertentu dan biasanya tidak mempengaruhi semua fungsi TI. Pengendalian pemrosesan karenanya dievaluasi untuk tiap-tiap area audit (rekening atau kelas transaksi) yang dipengaruhi oleh suatu aplikasi dim ana auditor merencanakan untuk menguran risiko pengendalian yang ditaksir.
Gambar 11.1 Hubungan Antara Pengendalian Umum dan Pengendalian Aplikasi Risiko karena perubahan tidak sah atas perangkat lunak aplikasi Pengendalian Aplikasi Penerimaan Kas Pengendalian Aplikasi Penjualan Pengendalian Aplikasi Siklus Lainnya PENGENDALIAN UMUM Pengendalian Aplikasi Penggajian Risiko karena rusaknya sistem

Risiko karena pembaruan arsip induk yang tidak sah

Risiko karena pemrosesan tidak sah

Seperti yang ditunjukkan dalam Gambar 11-1, pengendalian umum di-rancang untuk melindungi semua pengendalian aplikasi untuk memastikan bahwa pengendalian itu efektif. Pengendalian umum yang kuat mengurangi jenis risiko yang dikenali di kotak di luar bentuk oval pengendalian umum. Tabel 11-1 menguraikan enam kategori pengendalian umum dan tiga kategori pengendalian aplikasi, dengan contoh spesifik dari tiap kategori. Dua bagian berikutnya mendiskusikan masing-masing kategori dari pengendalian umum dan aplikasi secara lebih detail. Pengendalian Umum Auditor biasanya mengevaluasi pengendalian umum diawal audit oleh karena dampak dari pengendalian umum atas pengendalian aplikasi. Keenam kategori dari pengendalian umum kini diuji secara lebih detail. Administrasi dari Fungsi TI. Saat meningkatnya kepercayaan atas fungsi TI dalam bisnis, mengatur dan mengadministrasi fungsi TI menjadi semakin penting.

12

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

Manajemen harus mengalokasikan sumber daya yang cukup untuk mendukung teknologi. Pemisahan Tugas-tugas TI. Untuk merespon risiko mengkombinasikan penjagaan tradisional, otorisasi, dan tanggung jawab tata arsip di bawah fungsi TI, organisasi yang terkendali baik merespon dengan memisahkan tugas-tugas kunci di dalam TI. Suatu perhatian adalah mencegah personil TI memberi otorisasi dan merekam transaksi untuk menutupi pencurian aset. Perhatian yang lain adalah memperkecil kesalahan.
Gambar 11.2. Pemisahan Tugas-tugas TI Pejabat Kepala Informasi atau Manajer TI
Administrasi Keamanan Pengembangan Sistem Analis Sistem Pemrogra m Operasional Pengendalian data Administra tor Database Pengendalian data Masukan/Kelua ran

Pustakawan Administra tor Jaringan

Operator Komputer

Tabel 11-1. Kategori dari Pengendalian Umum dan Pengendalian Aplikasi Jenis Kategori Contoh Pengendalian : Pengendal Pengendali ian: an Pengendalia Administrasi Pejabat kepala informasi atau manajer TI n Umum fungsi TI melapor kepada manajemen senior dan dewan. Pemisahan Tanggungjawab pemrograman, operasional, tugas-tugas dan pengendalian data dipisahkan. TI Pengembang Tim pemakai, analis sistem, dan pemrogram an sistem mengembangkan dan secara menyeluruh menguji perangkat lunak. Keamanan Akses ke perangkat keras dibatasi, kata sandi fisik dan dan batas akses ID pemakai kepada online perangkat lunak dan arsip data, dan pengkodean dan firewall melindungi data dan program dari pihak luar. Backup dan Rencana back up tertulis disiapkan dan diuji peren-canaan secara teratur se-panjang tahun. kontinjensi Pengendalia Kegagalan memori atau hard-drive n perangkat menyebabkan pesan kesalahan pada keras monitor. Pengendalia Pengendalia Layar yang telah diformat mendorong n Aplikasi n masukan personil masukan data untuk memasukan
Auditing Drs. Syamsu Alam SE,Ak,M.Si

12

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

Pengendalia n pemrosesan Pengendalia n perangkat keras

informasi. Ujian kewajaran menelaah harga penjualanunit yang diguna-kan untuk memproses sebuah penjualan. Departemen penjualan melakukan ulasan pasca pemrosesan dari transaksi penjualan.

Idealnya, tanggungjawab untuk manajemen TI, pengembangan sistem, operasional, dan pengendalian data hams dipisahkan sebagai berikut:

Manajemen IT. Kekhilafan fungsi TI umumnya adalah tanggung jawab dari CIO atau manajer
TI. Individu ini bertanggung jawab atas kekhilafan dari semua fungsi TI untuk memastikan bahwa aktivitas dilaksanakan secara konsisten dengan perenca-naan strategis TI. Sebagai tambahan bagi CIO, administrator keamanan memonitor baik akses phisik dan akses online ke perangkat keras, perangkat lunak, dan arsip data dan melaksanakan kelanjutan prosedur investigatif untuk pelanggaran keamanan yang dideteksi.

Pengembangan sistem. Pengembangan dan pembahan ke sistem TI secara umum dikoordinir oleh analis sistem yang bertanggung jawab atas keseluruhan perancangan masingmasing sistem aplikasi dan bertindak sebagai hubungan antara personil TI yang bertanggung jawab untuk memrogram aplikasi dan personil di luar fungsi TI yang akan menjadi para pemakai sistem yang utama (seperti personil piutang dagang). Para pemrogram mengembangkan bagan alur khusus untuk aplikasi itu, menyiapkan instruksi komputer, program ujian, dan mendokumentasikan hasil berdasarkan pada arahan dari analis sistem.

Operasi. Operasional komputer sehari-hari adalah tanggung jawab dari operator komputer
yang bertanggung jawab atas melaksanakan pekerjaan sesuai jadwal pekerjaan yang dibentuk oleh CIO dan untuk mengawasi konsol komputer untuk pesan tentang efisiensi komputer dan kegagalan pemakaian.

Pengendalian data. Personil pengendalian data masukan/keluaran secara independen memverifikasi mutu dari masukan dan kewajaran dari keluaran. Untuk organisasi yang menggunakan database untuk menyimpan informasi bersama oleh akuntansi dan fungsi yang lain, administrator database bertanggung jawab atas operasional dan keamanan akses dari database bersama itu.

Tentu saja, tingkat dari pemisahan tugas-tugas tergantung pada ukuran dan kompleksitas organisasi. Di dalam banyak perusahaan yang kecil, tidaklah praktis untuk memisahkan tugas-tugas ke tingkat yang digambarkan dalam Gambar 11-2. Pengendalian Aplikasi Pengendalian aplikasi dirancang untuk masing-masing aplikasi perangkat lunak dan dimaksudkan untuk membantu sebuah perusahaan memenuhi enam sasaran hasil audit yang terkait dengan transaksi. Walaupun beberapa pengendalian aplikasi mempengaruhi satu atau hanya beberapa sasaran hasil audit yang terkait dengan transaksi, kebanyakan kendali mencegah atau mendeteksi beberapa jenis salah saji. Pengendalian aplikasi bisa dilakukan oleh komputer atau oleh manusia. Pengendalian aplikasi yang dilakukan oleh manusia yang berinteraksi dengan komputer sering

12

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

dikenal sebagai pengendalian pemakai. Efektivitas dari pengendalian pemakai, seperti tinjauan ulang dari laporan pengecualian yang dihasilkan-komputer, sering tergantung pada akurasi dari informasi yang dihasilkan. Pengendalian Masukan Pengendalian yang dirancang oleh suatu organisasi untuk memastikan bahwa informasi yang diproses oleh komputer adalah sah, akurat, dan lengkap disebut pengendalian masukan. Pengendalian masukan adalah kritis sebab suatu bagian yang besar kesalahan dalam sistem TI yang diakibatkan oleh kesalahan di dalam memasukan data. Kesalahan dalam masukan mengakibatkan kesalahan keluaran dengan mengabaikan mutu dari pemrosesan informasi. Pengendalian yang khas yang ditemukan dalam sistem manual terns menjadi penting.
Tabel 11-2. Pengendalian Masukan (Kelompok Data) Batch

Pengendal ian Total Keuangan Total hasl

Definisi Ringkasan total jumlah field untuk semua catatan dalam sebuah batch yang melambangkan total yang berarti seperti mata uang atau jumlah Ringkasan total kode dari semua catatan dalam sebuah batch yang tidak melambangkan total yang berarti Ringkasan total catatan fisik dalam sebuah batch

Contoh Total dolar dari semua faktur pemasok yang harus dibayar Total semua nomor akun pe-masok untuk faktur pemasok yang harus dibayar Total jumlah faktur pemasok yang akan diproses

Penghitung an catatan

Pengendalian Pemrosesan. Pengendalian yang mencegah dan mendeteksi kesalahan ketika data transaksi diproses disebut pengendalian pemrosesan. Walaupun pengendalian umum, terutama pengendalian yang berhubungan dengan pengembangan sistem dan keamanan, memberikan sebagian pengendalian terbaik untuk memperkecil kesalahan, pengendalian pemrosesan aplikasi sering ditanamkan di dalam perangkat lunak untuk mencegah, mendeteksi, dan mengoreksi kesalahan pemrosesan. Tabel 11-3 meliputi contoh dari pengendalian pemrosesan. Tabel 11-3. Pengendalian Pemrosesan
Jenis Pengendalian Pemrosesa n Ujian Validasi Uraian Contoh

Ujian Rangkaian

Menjamin penggunaan arsip induk, database dan program yang benar dalam prerosesan. Menentukan bahwa data yang diberikan untuk pemrosesan berada

Apakah pemberian label internal pada pita arsip induk penggajian cocok dengan label arsip yang ditunjukkan dalam perangkat lunak aplikasi? Apakah arsip transaksi masukan penggajian telah disortir dengan urutan perdepartemen sebelum pemrosesan?

12

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

Ujian akurasi aritmetika Ujian kewajaran data Ujian kelengkapan

dalam urutan yang benar. Memeriksa akurasi data Apakah jumlah pebayaran bersih yang diproses. ditambah yang ditahan sama dengan pembayaran kotor untuk seluruh pengga-jian? Menentukan apakah Apakah pembayaran kotor karyawan data mele-bihi jumlah melebihi 60 jam atau $ 999 untuk yang telah ditentukan seminggu. Menentukan apakah Apakah nomor, nama karyawan, jumlah setiap field dalam jam biasa, jumlah jam lembur, nomro sebuah catatan/ arsip departemen dll, dimasukkan untuk telah dilengkapi setiap karyawan?

Pengendalian Keluaran Pengendalian yang berpusat pada mendeteksi kesalahan setelah pengolahan diselesaikan bukannya pada mencegah kesalahan disebut pengendalian keluaran. Pengendalian keluaran yang paling utama adalah tinjauan ulang dari data untuk kewajaran oleh seseorang yang banyak mengetahui tentang keluaran itu. Para pemakai sering dapat mengidentifikasikan karena mereka mengetahui jumlah yang kira-kira benar. Sebagai tambahan, rekonsiliasi dari keluaran yang dihasilkan-komputer ke total pengendalian manual dan perbandingan dari jumlah unit yang diproses kepada jumlah unit yang disampaikan untuk pemrosesan membantu mengidentifikasikan kesalahan dalam keluaran.

E. DAMPAK TEKNOLOGI INFORMASI PADA PROSES AUDIT

Auditor harus memiliki banyak pengetahuan tentang pengendalian ini sebab mereka bertanggung jawab atas perolehan suatu pemahaman dari pengendalian internal, termasuk pengendalian umum dan pengendalian aplikasi, dengan mengabaikan apakah penggunaan TI oleh klien adalah kompleks atau sederhana. Juga, pengetahuan tentang pengendalian umum meningkatkan kemampuan auditor untuk bersandar pada pengendalian aplikasi efektif untuk mengurangi risiko pengendalian untuk sasaran hasil audit yang terkait dengan transaksi. Bagian ini menyoroti bagaimana pengendalian umum dan pengendalian aplikasi mempengaruhi proses audit. Pengaruh dari Pengendalian Umum oleh Risiko Pengendalian Kebanyakan auditor mengevaluasi efektivitas dari pengendalian umum sebelum mengevaluasi pengendalian aplikasi. Jika pengendalian umumnya tidak efektif, ada potensi untuk salah saji material pada setiap aplikasi akuntansi yang berbasis komputer, dengan mengabaikan mutu dari pengendalian aplikasi. Auditor biasanya memperoleh informasi tentang pengendalian umum dan aplikasi melalui wawancara dengan personil TI dan para pemakai kunci; pengujian dokumentasi sistem seperti bagan alur, manual pemakai, permohonan perubahan
12

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

program, dan hasil pengujian; dan tinjauan ulang dari daftar pertanyaan terperinci yang diselesaikan oleh staf TI. Dalam banyak kasus, diinginkan untuk menggunakan beberapa pendekatan dalam pemahaman pengendalian internal karena masingmasing menawarkan informasi yang berbeda. Wawancara dengan pejabat kepala informasi dan analis sistem menyediakan informasi yang bermanfaat tentang pengoperasian keseluruhan fungsi TI, tingkat dari pengembangan perangkat lunak dan perangkat keras yang dibuat untuk perangkat lunak aplikasi akuntansi kunci, dan suatu ikhtisar dari perubahan yang direncanakan. Tinjauan ulang dari program mengubah permintaan dan hasil percobaan sistem adalah bermanfaat dalam mengidentifikasikan perubahan program dalam perangkat lunak aplikasi. Daftar Pertanyaan berguna untuk mengidentifikasikan pengendalian internal yang spesifik. Efek dari Pengendalian TI atas Risiko Pengendalian dan Ujian Substantif Ingatlah dari bab sebelumnya bahwa auditor menghubungkan kekuatan dan kelemahan dalam pengendalian internal ke sasaran hasil audit yang terkait dengan transaksi yang spesifik. Berdasarkan pada kekuatan dan kelemahan itu, auditor menilai risiko pengendalian untuk masing-masing sasaran audit yang terkait dengan transaksi. Pendekatan yang sama itu digunakan dalam lingkungan TI, tetapi sekarang auditor mungkin mampu percaya pada pengendalian aplikasi yang dilakukan oleh komputer untuk mengurangi risiko pengendalian. Auditor biasanya tidak menghubungkan kekuatan dan kelemahan dalam pengendalian umum ke sasaran hasil audit yang terkait dengan transaksi yang spesifik. Seperti lingkungan pengendalian, pengendalian umum mempengaruhi sasaran hasil audit yang terkait dengan transaksi dalam beberapa siklus. Jika pengendalian umum tidak efektif, kemampuan auditor untuk percaya pada pengendalian aplikasi untuk mengurangi risiko pengendalian telah dikurangi. Dan sebaliknya, jika pengendalian umum adalah efektif, itu meningkatkan kemampuan auditor untuk percaya pada pengendalian aplikasi untuk mengurangi risiko kendali. Auditor mengidentifikasikan baik pengendalian manual dan pengendalian aplikasi yang dilakukan komputer dan kelemahan untuk masing-masing sasaran audit yang terkait dengan transaksi yang menggunakan suatu matriks risiko pengendalian dalam cara yang hampir sama seperti yang dibahas dalam bab sebelumnya. Mengaudit dalam Lingkungan TI yang Tidak Terlalu Rumit Banyak organisasi menggunakan TI untuk memroses transaksi bisnis dan merancang sistem tersebut sedemikian sehingga dokumen sumber dapat diperoleh kembali dalam format yang dapat dibaca dan dengan mudah bisa ditelusuri melalui

12

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

sistem akuntansi ke keluaran. Dalam kejadian itu, banyak dokumen sumber yang tradisional seperti pesanan pembelian pelanggan, arsip pengiriman dan penerimaan, dan faktur penjualan dan pemasok. Perangkat lunak akuntansi yang terkait juga menghasilkan jurnal dan buku besar tercetak yang mengijinkan auditor untuk melacak transaksi individu melalui arsip akuntansi. Sebagai tambahan, pengendalian internal sering meliputi perbandingan klien atas arsip yang dihasilkan-komputer dengan dokumen sumber. Dalam situasi ini, penggunaan TI tidak terlalu berdampak pada jejak audit. Biasanya, auditor memperoleh suatu pemahaman dari pengendalian internal dan melaksanakan ujian dari pengendalian, ujian substantif transaksi, dan prosedur verifikasi saldo akun dengan cara yang sama seolah sistem akuntansi seluruhnya manual. Auditor masih bertanggung jawab untuk memperoleh suatu pemahaman dari pengendalian komputer umum dan aplikasi karena pengetahuan demikian bermanfaat dalam mengidentifikasikart risiko yang bisa mempengaruhi laporan keuangan. Namun, biasanya auditor tidak melaksanakan ujian pengendalian komputer. Pendekatan audit ini sering disebut mengaudit di sekitar komputer sebab auditor tidak menggunakan pengendalian komputer untuk mengurangi risiko pengendalian yang ditaksir. Mengaudit dalam Lingkungan TI yang Lebih Rumit Ketika organisasi memperluas penggunaan TI mereka, pengendalian internal sering ditanamkan di dalam aplikasi yang hanya terlihat dalam format elektronik. Ketika dokumen sumber yang tradisional seperti faktur, pesanan pembelian, arsip penagihan, dan arsip akuntansi seperti jurnal penjualan, daftar persediaan, dan catatan tambahan piutang dagang adalah hanya dalam format elektronik dibandingkan dengan aslinya (hard copy), auditor harus mengubah pendekatan ke audit. Pendekatan kepada audit ini sering disebut mengaudit melalui komputer. Tabel 11-4 berisi contoh yang menyoroti perbedaan dalam audit disekitar komputer dan audit melalui komputer.
Tabel 11-4. Contoh-Contoh Mengaudit di Sekitar dan Melalui Komputer Pengendalian Mengaudit disekitar Mengaudit Melalui Internal Pendekatan Komputer Pendekatan Komputer Kredit disetujui Memilih sebuah sampel Memperoleh sebuah salinan untuk penjualan transaksi penjualan dari program aplikasi penjualan klien atas akun jurnal penjualan dan dan arsip induk batas kredit yang meperoleh pesanan terbatas dan memroses sampel penjualan pe-langgan yang data ujian dari transaksi penjualan terkait untuk menentu-kan untuk menentukan apakah bahwa ada inisial manajer perangkat lunak aplikasi dengan kredit, yang menunjukan tepat menolak transaksi penjualan persetujuan pen-jualan ujian tersebut yang melebihi atas akun. jumlah batas kredit pelanggan dan menerima semua transaksi lainnya

12

10

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

Penggajian hanya diproses untuk orang yang saat ini dipekerja kan

Memilih sebuah sampel pengeluaran penggajian dari jurnal penggajian dan memverifikasi dengan menelaah arsip departemen sumber daya manusia bahwa yang akan dibayar memang saat ini dipekerja kan Memperoleh hasil cetak jurnal penge-luaran kas dan secara manual membuat-foot setiap kolom untuk memve-rifikasikan akurasi total kolom yang tercetak.

Total kolom untuk jurnal pengeluaran kas disub total secara otomatis oleh komputer

Membuat arsip data ujian dari nomor ID karya-wan yang sah dan tidak sah dan memroses arsip itu menggunakan salinan terkontrol dari prog-ram aplikasi penggajian klien untuk menentukan bahwa semua nomor ID karyawan yang tidak sah itu ditolak dan semua nomor ID karyawan yang sah diterima. Memperoleh salinan elektronik dari transaksi jurnal pengeluaran kas dan menggunakan pe-rangkat lunak audit umum untuk memverifika-sikan akurasi total kolom.

Ada tiga kategori dari pengujian strategi ketika mengaudit melalui komputer: pendekatan data ujian, simulasi paralel, dan pendekatan modul audit tertanam. Pendekatan Data Ujian. Pendekatan data ujian melibatkan pengolahan data ujian auditor menggunakan sistem komputer klien dan program aplikasi klien untuk menentukan apakah pengendalian yang dilakukan-komputer dengan tepat memproses data ujian itu. Karena auditor merancang data ujian itu, auditor bisa mengidentifikasikan materi ujian mana yang harus diterima atau ditolak oleh sistem klien. Auditor membandingkan keluaran yang dihasilkan oleh sistem dari ujian data kepada keluaran yang diharapkan untuk menilai efektivitas dari aplikasi pengendalian internal program. Gambar 11-3 menggambarkan penggunaan pendekatan data ujian.

Gambar 11-3. Pendekatan Data Ujian

12

11

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

Arsip Induk

Memasukkan Transaksi Ujian untuk menguji Prosedur Pengendalian Kunci Program Aplikasi (Sistem Batch yang diasumsikan) Hasil Ujian Pengendalian Auditor membuat Perbandinga n Perbedaan antara hasil sebenarnya dan hasil yang diprediksi

Hasil yang diprediksi auditor dari prosedur pengendalian kunci berdasarkan pada pemahanan pengandalian internal Arsip Transaksi (Terkontaminasi ?)

Arsip Transaksi Terkontaminasi

Ketika menggunakan pendekatan data ujian, ada tiga pertimbangan auditor yang utama:
1. Data ujian harus meliputi semua kondisi relevan yang ingin diuji auditor. Auditor harus merancang data ujian untuk menguji pengendalian kunci berbasiskomputer yang cenderung dipercayai auditor untuk mengurangi risiko pengendalian. 2. Program aplikasi yang diuji oleh data ujian auditor harus sama dengan yang digunakan klien sepanjang tahun. Satu pendekatan adalah untuk menjalankan data ujian atas dasar kejutan, mungkin secara acak sepanjang tahun, walaupun melakukannya adalah mahal dan menghabiskan waktu. 3. Data ujian harus dihapuskan dari arsip klien. Jika uji coba perangkat lunak klien melibatkan data ujian pemrosesan selagi secara serempak memroses transaksi klien sebenarnya, auditor harus mengbilangkan data ujian di dalam arsip induk klien ketika pengujian selesai.

Simulasi Paralel. Berbagai perangkat lunak telah tersedia untuk membantu auditor dalam menentukan efektivitas pengendalian dalam perangkat lunak dan untuk memperoleh bukti tentang saldo akun yang dalam suatu format elektronik. Auditor rnenggunakan perangkat lunak yang dikontrol-auditor untuk melaksanakan operasional paralel kepada perangkat lunak klien dengan menggunakan arsip data yang sama. Ketiadaan perbedaan di dalam keluaran menunjukan perangkat lunak klien yang berfungsi secara efektif, sedangkan perbedaan menandai adanya kelemahan potensial. Sebab perangkat lunak auditor dirancang untuk memparalel suatu operasi yang dilakukan oleh perangkat lunak klien, strategi pengujian ini disebut pengujian simulasi paralel.

Gambar 11-4. Simulasi Paralel

12

12

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

Auditor menyiapkan sebuah program untuk mensimulasikan semua atau sebagian dari sistem aplikasi klien

Transaksi Produksi Program yang Disiapkan Auditor Hasil Auditor

Arsip Induk Program Sistem Aplikasi Klien Hasil Klien

Auditor membuat perbandingan antara keluaran sistem aplikasi klien dan keluaran program yang disiapkan auditor Laporan pengecualian memperhatikan perbedaan

Suatu alat yang biasa digunakan oleh auditor untuk melaksanakan pengujian simulasi paralel adalah perangkat lunak audit umum (generalized audit soft. ware/GAS), perangkat lunak yang dirancang terutama untuk digunakan auditor. Perangkat lunak audit yang dibeli, seperti ACL atau IDEA. Auditor memperoleh salinan dari database klien atau arsip induk dalam format yang terbaca mesin dan menggunakan perangkat lunak audit umum untuk melaksanakan berbagai ujian dari data elektronik klien. Beberapa auditor menggunakan perangkat lunak neraca lajur (spreadsheet) untuk melaksanakan ujian simulasi paralel dasar. Yang lain bisa mengembangkan perangkat lunak audit mereka sendiri. Gambar 11-4 melukiskan simulasi paralel yang khas. Ada dua keuntungan dari perangkat lunak audit umum. Pertama, relatif lebih mudah melatih staf audit dalam penggunaannya bahkan bila mereka mempunyai sedikit pelatihan TI yang terkait dengan audit. Kedua, perangkat lunak audit umum dapat diterapkan kepada beragam klien dengan penyesuaian yang minimal. Pendekatan Modul Audit Tertanam Saat menggunakan pendekatan modul audit tertanam, auditor memasukkan suatu modul audit dalam sistem aplikasi klien untuk menangkap transaksi dengan karakteristik yang menjadi minat spesifik auditor itu. Suatu keuntungan yang penting adalah kemampuan auditor menguji secara terus menerus, membandingkan dengan data ujian dan pendekatan simulasi paralel, yang dilaksanakan pada titik waktu tertentu. Keuntungan lain dari modul audit tertanam adalah kemampuan untuk mengidentifikasi semua transaksi yang tidak biasa untuk evaluasi auditor.

12

13

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

Tabel 11-5. Penggunaan Umum dari Perangkat Lunak Audit Umum Penggunaan Uraian Contoh Memverifikasi tingkatan Memverifikasikan akurasi Membuat foot neraca dan pem-buatan foot perhitung-an klien dengan saldo piutang dagang menghitung informa-si secara independen Menguji catalan untuk Memindai semua catalan Menelaah arsip penggajian mutu, kelengkapan, mengguna-kan kriteria untuk karyawan yang konsistensi, dan ketepatan tertentu diberhentikan Membandingkan data pada arsip terpisah Membandingkan perubahan dalam saldo piutang dagang diantara dua tanggal dengan menggunakan pen-jualan dan penerimaan kas dalam arsip transaksi Meringkaskan atau Merubah atau Mengurutkan kembali item mengurutkan kembali data mengumpulkan data persedia-an dengan lokasi dan melaksanakan analisis untuk memfasilitasi pengamatan fisik Memilih sampel audit Memilih sampel dari data Secara acak memilih yang bisa dibaca mesin piutang agang untuk konfirmasi Mencetak permintaan Mencetak data dari item Mencetak nama konfirmasi sampel yang dipilih untuk pelanggan, alamat, dan pengujian konfirmasi informasi saldo akun dari arsip induk Membandingkan data Membandingkan data Memperbandingkan yang diperoleh melalui yang bisa di-baca mesin tanggapan kon-firmasi prosedur audit lainnya dengan bukti audit yang dengan arsip induk akun dengan catalan dikumpulkan secara piutang perusahaan manual, yang dirubah ke format yang bisa dibaca mesin Menentukan bahwa informasi dalam dua arsip data atau lebih adalah sesuai

Auditor boleh menggunakan satu atau suatu kombinasi dari data ujian, simulasi paralel, dan pendekatan modul audit tertanam. Auditor biasanya menggunakan data ujian untuk melaksanakan ujian pengendalian dan ujian substantif dari transaksi. Simulasi paralel sering digunakan untuk pengujian substantif, seperti menghitung kembali jumlah transaksi dan membuat foot arsip induk catatan tambahan dari saldo akun. Auditor menggunakan pendekatan modul audit tertanam untuk mengidentifikasikan transaksi tidak biasa untuk pengujian substantif.

F. MASALAH-MASALAH UNTUK LlNGKUNGAN TI YANG BERREDA

Sebagian besar material yang diperkenalkan sampai sekarang menunjuk efek TI pada proses audit untuk organisasi yang memusatkan fungsi TI. Walaupun semua organisasi memerlukan suatu lingkungan pengendalian umum yang kuat dengan mengabaikan struktur dari fungsi TI mereka, beberapa masalah pengendalian umum bervariasi tergantung pada lingkungan TI. Lima bagian berikut menyoroti masalah TI

12

14

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

untuk klien yang menggunakan komputer mikro, jaringan, sistem database management, sistem e-commerce, dan pusat layanan komputer dari luar. Masalah Untuk Lingkungan Komputer Mikro Komputer mikro secara luas digunakan dalam banyak bisnis dengan mengabaikan ukuran organisasi itu. Umumnya mereka memainkan suatu peran yang penting untuk bisnis yang kecil dalam memroses atau meneliti data akuntansi melalui penggunaan perangkat lunak akuntansi dan neraca lajur elektronik yang dibeli atau dibuat khusus. Pengendalian umum dalam perusahaan yang lebih kedl pada umumnya sedikit kurang efektif dibanding dalam lingkungan TI yang lebih rumit. Seringkali, tidak ada IT personil yang khusus atau klien bersandar pada keterlibatan berkala konsultan TI untuk membantu dalam memasang dan memelihara perangkat keras dan lunak. Seringkali, auditor dari klien yang menggunakan komputer mikro dalam lingkungan pengendalian umum yang tidak terlalu canggih melakukan sebagian besar audit mereka di sekitar komputer. Sistem ini sering menghasilkan jejak audit yang memadai yang mengijinkan auditor untuk merekonsiliasikan dokumentasi sumber masukan untuk keluaran. Namun, bahkan dalam lingkungan TI yang tidak terlalu canggih, ada situasi di mana bisa bersandar pada pengendalian komputer. Sebagai contoh, program perangkat lunak dalam komputer mikro dapat diisikan pada hard-drive komputer dalam format yang tidak mengijinkan perubahan oleh personil klien. Risiko dari perubahan yang tidak sah di perangkat lunak kemudian menjadi rendah. Sebelum bersandar pada pengendalian yang dibangun ke dalam perangkat lunak tersebut, auditor harus mempunyai kepercayaan pada reputasi penjual perangkat lunak untuk mutunya. Risiko lain dengan komputer mikro adalah bilangnya data dan program oleh karena virus komputer, yang dapat menyebar ke program lain dan sistem keseluruhan. Virus tertentu dapat merusak disk arsip atau menutup keseluruhan jaringan komputer. Memperbarui perangkat lunak pelindung virus secara teratur yang secara terus menerus menyaring penyebaran virus meningkatkan pengendalian. Masalah Lingkungan Jaringan Penggunaan jaringan yang makin meledak yang menghubungkan peralatan seperti komputer mikro, komputer jangkauan menengah, mainframe, stasiun kerja, server, dan pencetak sedang mengubah fungsi TI untuk banyak bisnis. Jaringan area lokal (Local Area Network/LAN) menghubungkan peralatan di dalam lingkungan bangunan yang kecil atau tunggal dan hanya digunakan untuk tujuan intra perusahaan.

12

15

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

Penggunaan umum LAN adalah untuk memindahkan data dan program dari satu komputer atau stasiun kerja ke yang lainnya untuk mengijinkan semua alat untuk berfungsi bersama-sama. Jaringan Area Luas (WIde Area Network/WAN) menghubungkan peralatan dalam daerah geografis yang lebih besar, termasuk operasional global. Dalam lingkungan jaringan, perangkat lunak aplikasi dan arsip data digunakan untuk memroses transaksi yang berada pada server, yang merupakan alat untuk mengolah data. Akses ke aplikasi dari komputer mikro atau stasiun-kerja diatur oleh perangkat lunak server jaringan. Perusahaan seringkali mempunyai beberapa server. Saat klien mempunyai aplikasi akuntansi yang diproses dalam lingkungan jaringan, pemahaman auditor akan pengendalian internal perlu meliputi pengetahuan konfigurasi jaringan, mencakup penempatan dan server, stasiun-kerja, dan komputer yang dihubungkan satu sama lain, dan pengetahuan perangkat lunak jaringan yang digunakan untuk mengatur sistem. Auditor juga harus memahami tentang pengendalian atas akses dan perubahan kepada program aplikasi dan arsip data yang ditempatkan pada server. Masalah Sistem Manajemen Database Auditor sering menghadapi aplikasi akuntansi yang menggunakan sistem manajemen database untuk memroses transaksi dan memelihara arsip data. Sistem manajemen database mengijinkan klien untuk menciptakan database yang berisi informasi yang dapat digunakan bersama dalam berbagai aplikasi. Dalam lingkungan nondatabase, masing-masing aplikasi berisi arsip data mereka sendiri, sedangkan dalam sistem manajemen database, banyak aplikasi berbagi arsip. Klien menerapkan sistem manajemen database untuk mengurangi kelebihan data, meningkatkan pengendalian atas data, dan menyediakan informasi yang lebih baik untuk pengambilan keputusan dengan pengintegrasian informasi seluruh fungsi dan departemen. Sebagai contoh, data pelanggan, seperti alamat dan nama pelanggan, dapat digunakan bersama di fungsi penjualan, kredit, akuntansi, pemasaran, dan pengiriman, yang menghasilkan pengurangan biaya yang penting. Perusahaan sering mengintegrasikan sistem manajemen database ke seluruh organisasi. Program demikian disebut perangkat lunak perusahaan. Kendali sering meningkat ketika data dipusatkan dalam sistem manajemen database dengan penghapusan arsip data yang berlebihan. Namun, sistem manajemen database juga dapat membuat risiko pengendalian internal. Sebagai contoh, ada risiko yang berhubungan dengan berbagai pemakai, mencakup individu di luar akuntansi, mengakses dan memperbarui arsip data. Tanpa administrasi database dan

12

16

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

pengendalian akses yang tepat, risiko arsip data yang tidak sah, tidak akurat, dan tidak sempurna menjadi meningkat. Juga, pemusatan data ke dalam arsip tunggal meningkatkan pentingnya backup yang sesuai atas informasi data secara teratur. Auditor dan klien yang menggunakan sistem manajemen database perlu memahami perencanaan klien, organisasi, dan kebijakan dan prosedur untuk menentukan seberapa baik sistem itu diatur. Masalah Untuk Sistem E-commerce Perusahaan yang menggunakan sistem e-commerce untuk melakukan transaksi bisnis secara elektronis menghubungkan sistem akuntansi internal mereka ke sistem yang dipelihara oleh pihak luar, seperti pelanggan dan pemasok. Sebagai hasilnya, risiko yang dihadapi suatu perusahaan saat terlibat dengan aktivitas e-commerce sebagian bergantung pada seberapa baik mitra e-commerce-nya mengidentifikasi dan mengatur risiko dalam sistem TI mereka sendiri. Untuk mengatur risiko interdependensi ini, perusahaan harus memastikan bahwa micra bisnis mereka secara efektif mengatur risiko sistem TI sebelum melaksanakan bisnis dengan mereka secara elektronis. Penggunaan dari sistem e-commerce juga menyingkapkan data perusaha-an yang sensitip, program, dan perangkat keras terhadap pemotongan yang potensi atau sabotase oleh pihak luar. Untuk membatasi keterbukaan ini, perusahaan menggunakan firewalls, teknik pengkodean, dan tandatangan digital. Firewall melindungi data, program, dan sumber daya TI lain dari para pemakai eksternal yang mengakses sistem melalui jaringan, seperti Internet. Firewall adalah suatu sistem dari perangkat keras dan lunak yang mengawasi dan mengendalikan aliran komunikasi e-commerce dengan penyaluran semua hubungan jaringan melalui suatu pintu gerbang pengendalian. Firewall dapat digunakan untuk memverifikasi pemakai eksternal dari jaringan, memberikan akses yang sah, dan mengarahkan pemakai ke program atau data yang diminta. Perusahaan menggunakan teknik pengkodean untuk melindungi keamanan komunikasi elektronik sepanjang proses transmisi. Teknik pengkodean didasarkan pada program komputer yang mengubah suatu pesan standar ke dalam suatu bentuk kode (encrypted). Penerima dari pesan elektronik itu harus menggunakan suatu program dekripsi (decryption) untuk memecahkan kode pesan itu. Seringkali teknik pengkodean kunci publik digunakan dimana satu kunci (kunci publik) digunakan E untuk menyandi pesan dan kunci yang lain (kunci pribadi) digunakan untuk memecahkan kode pesan itu. Kunci publik dibagikan kepada pemakai yang disetujui dari sistem e-commerce itu dan hanya dapat digunakan untuk menyandikan pesan. Kunci pribadi,

12

17

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

yang digunakan untuk memecahkan kode pesan, menjadi titik utama dari pengendalian. Perlindungan kunci pribadi sering menjadi tanggung jawab dan administrator keamanan TI dan hanya dibagikan ke para pemakai internal dengan otoritas untuk memecahkan kode pesan itu. Untuk membantu membuktikan keaslian kebenaran mitra dagang yang melaksanakan bisnis secara elektronik, perusahaan boleh bersandar pada otoritas sertifikasi eksternal yang memverifikasi sumber dari kunci publik melalui penggunaan tanda tangan digital. Suatu otoritas sertifikasi yang dipercaya mengeluarkan suatu sertifikat digital kepada individu dan perusahaan yang terlibat dalam e-commerce. Tanda tangan digital berisi nama pemilik dan kunci publiknya. Juga berisi nama dari otoritas sertifikasi dan tanggal tidak berlakunya sertifikat dan informasi khusus lainnya. Untuk menjamin keaslian dan integritas, masing-masing tandatangan secara digital ditandatangani oleh kunci pribadi yang dipelihara oleh otoritas sertifikasi. Masalah Saat Klien Menggunakan Ti Pihak Luar Banyak klien membuka beberapa atau semua kebutuhan TI mereka kepada pusat pelayanan komputer yang independen bukannya memelihara suatu pusat TI internal. Banyak perusahaan yang lebih kecil membuka fungsi penggajian mereka ke pihak luar karena penggajian adalah cukup standar dari perusahaan ke perusahaan dan di sana ada penyedia jasa penggajian yang dapat dipercaya. Perusahaan juga membuka sistem e-commerce mereka ke penyedia jasa situs Web eksternal. Seperti semua keputusan menggunakan pihak luar, perusahaan memutuskan apakah akan menggunakan TI pihak luar atas dasar manfaat-biaya. Ketika menggunakan pusat jasa komputer pihak luar, klien menyerahkan data masukan, yang diproses oleh pusat jasa untuk suatu pembayaran (fee), dan mengembalikan keluaran yang telah disepakati dan masukan asli. Untuk penggajian, perusahaan menyerahkan kartu catatan waktu, tingkat upah, dan W4 kepada pusat jasa. Pusat jasa mengembalikan cek pembayaran upah, jurnal, dan data masukan setiap minggu dan W-2 pada akhir tiap tahun. Pusat jasa bertanggung jawab atas perancangan sistem komputer dan menyediakan pengendalian yang memadai untuk memastikan bahwa pemrosesan dapat dipercaya. Auditor menghadapi suatu kesukaran ketika memperoleh suatu pemahaman dari pengendalian internal klien sebab banyak pengendalian itu berada di pusat jasa dan auditor tidak bisa berasumsi bahwa pengendalian adalah memadai hanya karena pusat jasa adalah suatu perusahaan independen. Standar audit meminta auditor untuk mempertimbangkan kebutuhan untuk memahami dan menguji pengendalian pusat jasa jika aplikasi pusat jasa melibatkan pemrosesan data keuangan yang penting.
Auditing Drs. Syamsu Alam SE,Ak,M.Si
Pusat Pengembangan Bahan Ajar Universitas Mercu Buana

12

18

Tingkat memperoleh pemahaman dan pengujian pengendalian pusat jasa harus didasarkan pada kriteria yang sama yang diikuti auditor dalam mengevaluasi pengendalian internal klien. Dalamnya pemahaman itu tergantung pada kompleksitas sistem dan tingkat dimana auditor berniat untuk menglirangi risiko pengendalian yang dinilai untuk mengurangi ujian audit substantif. Jika auditor menyimpulkan bahwa keterlibatan yang aktif dipusat jasa adalah satu-satunya cara melakukan audit, mungkin saja perlu untuk memperoleh suatu pemahaman akan pengendalian internal dipusat jasa dan menguji pengendalian menggunakan data ujian dan ujian pengendalian lainnya. Dibeberapa tahun terakhir, makin menjadi umum untuk mempunyai auditor independen memperoleh suatu pemahaman dan menguji pengengdalian internal dari pusat jasa untuk digunakan oleh semua pelanggan dan auditor independen mereka. Tujuan penilaian independen ini adalah untuk menyediakan pelanggan pusat jasa dengan suatu tingkat jaminan yang layak dari ketercukupan pengendalian umum dan aplikasi milik pusat jasa dan untuk menghapuskan kebutuhan akan audit yang berlebihan oleh auditor pelanggan. Jika pusat jasa mempunyai banyak pelanggan dan masing-masing memerlukan suatu pemahaman dari pengendalian internal pusat jasa oleh auditor inde-penden mereka sendiri, kerepotan dan biaya untuk pusat jasa itu bisa besar. Ketika auditor independen pusat jasa menyelesaikan pemahaman dan uji coba atas pengendalian pusat jasa, maka dikeluarkan suatu laporan khusus, yang menunjukan lingkup dari audit dan kesimpulannya. Kemudian akan menjadi tanggung jawab dari auditor pelanggan untuk memutuskan tingkat dari kepercayaan pada pusat jasa. SAS 70 (AU 324) seperti dikembangkan oleh SAS 78 dan SAS 88 berisi bimbingan baik untuk auditor pelanggan dan auditor pusat jasa.

****************

12

19

Auditing Drs. Syamsu Alam SE,Ak,M.Si

Pusat Pengembangan Bahan Ajar Universitas Mercu Buana