MODUL PERKULIAHAN

Auditing
PDE
Mengaudit Fail-Fail
Komputer dan Database
Fakultas
Ekonomi dan
Bisnis

Program
Studi
Akuntansi

Tatap
Muka

11

Kode MK

Disusun Oleh

32049

Bambang Subiyanto, S.E., M.A.k.

Abstract

Kompetensi

Tujuan
chapter
ini
adalah
memberikan
penjelasan
ke
mahasiswa dalam meng-audit failfail computer dan database

Mahasiswa mengerti langkah

langkah yang perlu dilakukan dalam
meng-audit fail-fail computer dan
database
dengan
tanpa
menggunakan
fail
data,
menggunakan
real
data
dan
menggunakan data simulasi

Mengaudit Fail-fail Komputer dan

Database
Pendahuluan
Pada Bab 2 disebutkan bahwa yang dimaksud dengan

Fail

adalah beberapa

rekord yang berkaitan, yang dapat diorganisasikan menjadi salah satu dari empat
metode penyimpanan (empat struktur fail), yaitu (1) struktur fail sekuensial, (2)
struktur fail acak atau struktur fail langsung, (3) struktur fail sekuensial berindeks,
dan (4) struktur fail organisasi daftar. Sementara itu

Database

(atau kadang-kadang

juga ditulis data base) didefinisikan sebagai kelompok fail yang disimpan bersama
untuk digunakan oleh beberapa aplikasi. Bagi auditor, fail-fail atau database merupakan
bukti-bukti pembukuan seperti yang dihasilkan dalam metode PDE lainnya (misalnya yang
dilakukan secara manual), sehingga menjadi kewajiban pula baginya untuk membuktikan
kewajaran catatan-catatan tersebut.
Apabila fail-fail atau database tersebut dapat dicetak (dalam bentuk print-out) maka
hal ini menjadi persis seperti mengaudit dalam sistem manual, sehingga secara teoritis
auditor dapat mengaplikasikan semua teknik audit konvensional. Auditor tentunya akan
menganggap mengaudit fail dan atau database semacam itu sebagai hal yang mudah
karena prosedur-prosedur audit dalam sistem manual dapat diterapkan. Akan tetapi tidak
jarang fail-fail dan database disimpan di tempat yang hanya dapat dibaca oleh komputer
sehingga auditor tidak mungkin lagi dapat menerapkan ancangan audit sekitar komputer.
Ancangan audit dengan komputer menjadi keharusan karena ia memerlukan
komputer dan program tertentu untuk dapat membaca fail-fail dan atau database
tersebut. Dalam hal ini metode pengolahan data tertentu membuat auditor menghadapi
kondisi dan standar audit yang berbeda pula. Fail mungkin terdapat pada organisasi dan
pengolahan data yang berdiri sendiri ataupun terintegrasi, sedangkan database akan selalu
berkonotasi pada organisasi pengolahan data yang terintegrasi. Dengan demikian
ketentuan-ketentuan dalam SA Seksi 343 Lingkungan Sistem Informasi KomputerKomputer Mikro Berdiri Sendiri, SA Seksi 344 Lingkungan Sistem Informasi Komputer
On-line Computer System dan SA Seksi 345 Lingkungan Sistem Informasi Komputer
Database System dapat diterapkan. Padahal, komputer personal dapat difungsikan
untuk maksud-maksud yang tercakup dalam tiga standar tersebut, yaitu apabila tidak
digunakan sebagai jaringan suatu komputer personal yang berfungsi sebagai server maka
komputer personal dapat digunakan sebagai suatu workstation yang berdiri sendiri (yang
1
4

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

berarti berlaku SA Seksi 343), sedangkan apabila berfungsi sebagai server maka
komputer personal tersebut dapat memiliki hard disk dalam kapasitas yang cukup untuk
dijadikan sebagai pusat data dan tersedianya modem maupun jaringan LAN memungkinkan
untuk server tersebut berfungsi dalam sistem on-line (yang berarti berlaku SA Seksi 344
dan SA Seksi 345 dan tidak berlakunya SA Seksi 343).
Adanya perubahan teknologi dalam komputer personal tersebut menyebabkan
pembahasan dalam Bab ini akan difokuskan pada beberapa masalah audit yang
berkaitan dengan fail-fail dan atau database seperti pengujian terhadap pengendalian,
pengujian substansif serta teknik audit berbantuan komputer (TABK) yang tersedia
bagi auditor untuk mengaudit fail-fail dan database tersebut dengan memfokuskan
pada sistem off-line.

Pengujian Pengendalian
Pengujian pengendalian dalam audit terhadap fail-fail komputer dan database
pada dasarnya dimaksudkan untuk menguji bagaimana akses terhadap fail-fail tersebut,
untuk menjamin kelangsungan operasi, serta untuk membuktikan kesesuaian antara isi
fail tersebut dengan prosedur-prosedur pengendalian yang diharapkan. Akan tetapi
masalah lain yang perlu diperhatikan auditor adalah tanggung jawab terhadap data, yang
juga berkaitan dengan organisasi pengolahan data. Dalam komputerisasi oleh pemakai
akhir (end-user computing) yang menggunakan komputer personal, maka masing-masing
pemakai adalah pemilik dari data yang akan diaudit. Sementara itu dalam database data
hanya dibuat satu kali dan digunakan oleh banyak pemakai. Dalam hal ini tidak ada pemakai
yang dapat dikatakan sebagai pihak yang bertanggung jawab terhadap suatu data tertentu.
Sebagai contoh, suatu nomor persediaan tertentu dapat diakses oleh departemen
pembelian, produksi, atau departemen akuntansi. Oleh sebab itu kebenaran dan integritas
data persediaan tersebut tidak dapat dikatakan tanggung jawab salah satu dari departemendepartemen tersebut apabila data tersebut ditambah, diubah atau dihapus oleh satu atau
lebih para penggunanya (departemen-departemen tersebut). Tanpa adanya tanggung
jawab terhadap fail dan atau database maka akan timbul kemungkinan pengendalian
yang lemah terhadap fail dan atau database tersebut karena apabila timbul persoalan
dengan fail dan atau database maka masing-masing departemen akan merasa tidak
bertanggung jawab apabila manajer tidak menunjuk satu atau kelompok orang untuk
mengatasinya. Karena itu dalam audit program, auditor perlu menentukan apakah ada
fungsi Administratur Database yang terpisah dari fungsi pengembangan sistem dan

1
4

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

operasi, dan apabila fungsi tersebut tidak terpisah maka auditor perlu menentukan dan
menilai kecukupan tanggung jawab pengendalian data yang digunakan oleh banyak pihak
(shared database).
Untuk mengatasi persoalan seperti disebutkan di atas serta untuk menetapkan
tanggung jawab terhadap data, maka biasanya ditunjuk seorang Administratur Database
(databse administrator) yang mempunyai tanggung jawab untuk memenuhi setiap
permintaan untuk mengubah penyajian data, menghapus unsur-unsur atau kategori data,
ataupun melakukan modifikasi terhadap akses ke database. Ia juga bertanggung jawab
terhadap pengorganisasian data dan piranti lunak pengendalian yang terdapat di dalam
struktur database file. Meskipun demikian keberadaan administratur database juga
menimbulkan masalah baru, khususnya dari segi pengendalian. Hal ini disebabkan karena
kewenangan yang dimilikinya sedemikan besar padahal perkembangan teknologi informasi
dewasa ini begitu pesat.

Weber

menyebutkan adanya tiga jenis masalah yang dapat

timbul dalam pengelolaan database yang terkait dengan administratur database sebagai
berikut :
1. Kinerja yang buruk dari administratur database dapat membahayakan
penjagaan terhadap aktiva, integritas data, efektivitas sistem serta sasaran
efisiensi sistem.
2. Kewenangan yang dimiliki oleh administratur database dapat merusak
pengendalian intern yang utama. Karena administratur database dapat
memberikan akses kepada siapa saja, maka apabila pekerjaan administratur
database ini tidak dikontrol maka ia dapat memberikan akses kepada orang
yang tidak semestinya sehingga dapat merusak sistem atau pengendalian
intern.
3. Tersedianya alat-alat atau piranti keras dan piranti lunak dewasa ini
memungkinkan pula terjadinya pelanggaran terhadap sistem pengendalian
intern. Sebagai contoh, tersedianya program untuk membuka kata sandi dapat
digunakan untuk membuka kata sandi yang harus senantiasa dijaga
kerahasiaannya.
Oleh sebab itu manajemen perlu menciptakan pengendalian yang dapat mencegah
timbulnya penyalahgunaan wewenang oleh Administratur Database. Salah satunya adalah
dengan mempekerjakan orang yang dapat dipercaya. Cara lain adalah dengan
mengharuskan Administratur Database untuk mengikuti pelatihan yang terkait dengan
teknologi informasi guna menyesuaikan dengan kondisi teknologi informasi yang mutakhir,
termasuk metode pengendalian yang ada.

1
4

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

Sebagaimana disebutkan sebelumnya, dalam audit terdapat fail-fail komputer dan

database. Pengujian pengendalian diarahkan untuk mengakses risiko pengendalian dengan
mengarahkan perhatian pada:
1. Pengendalian terhadap akses ke fail-fail dan database
2. Jaminan kelangsungan operasi
3. Kesesuaian antara isi fail tersebut dengan prosedur-prosedur pengendalian
yang diharapkan.
Uraian mengenai ketiganya tampak pada subbagian-subbagian berikut ini. Sementara
itu istilah mengakses risiko pengendalian digunakan untuk menjelaskan mengenai proses
pengevaluasian dan penilaian tentang seberapa efektif pengendalian yang dimiliki oleh
auditan dalam mencegah dan mendeteksi kesalahan penyalahgunaan. Proses ini mencakup
identifikasi atas pengendalian-pengendalian tertentu yang mengurangi kemungkinan
terjadinya kesalahan dan penyalahgunaan bila hal itu terjadi dan tidak terdeteksi atau
dikoreksi dengan segera. Dengan demikian maka auditor dapat menilai apakah
pengendalian auditor intern dapat menghasilkan informasi yang handal serta dapat
menjaga aktiva dan integritas data. Semakin baik pengendalian intern suatu satuan usaha
maka semakin kecil kemungkinan terjadinya kesalahan dan penyalahgunaan, atau bila
terjadi kesalahan dan atau penyalahgunaan maka pengendalian intern satuan usaha
tersebut akan dengan segera mendeteksinya.
Bagi auditor, pengendalian intern yang baik berarti akan memperkecil risiko
audit karena salah satu komponen dari risiko audit adalah risiko pengendalian.
Apabila auditor menggunakan rumus dalam menentukan besarnya sampel yang akan
diaudit, maka karena risiko yang harus dihadapi auditor merupakan unsur pembilang dalam
rumus tersebut, bila unsur-unsur yang lain tetap berarti besarnya sampel akan menjadi lebih
kecil. Demikian pula sebaliknya, semakin jelek pengendalian intern auditan maka akan
semakin besar jumlah sampel yang harus diaudit. Sebagaimana dikatakan oleh Ikatan
Akuntansi Indonesia (IAI), apabila auditor tidak meletakan kepercayaannya terhadap
pengendalian

databse

system,

ia

akan

mempertimbangkan

apakah

dengan

melaksanakan pengujian substansif tambahan terhadap semua aplikasi akuntansi

signifikan yang menggunakan database akan mencapai tujuan auditnya, karena
pengendailan pengelolaan database yang tidak memadai tidak dapat selalu
dikompensasikan dengan pengendalian oleh pemakai secara individual.
Dalam organisasi pengolahan data end-user computing atau lingkungan komputer mikro,
IAI menyatakan bahwa auditor dapat menganggap risiko pengendalian dalam sistem ini
adalah tinggi dan karenanya auditor tidak perlu melakukan review terhadap

1
4

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

pengendalian umum SIK atau pengendaian aplikasi SIK, namun lebih memusatkan
usaha audit ke pengujian substansif pada atau mendekati akhir tahun. Hal ini
memerlukan lebih banyak pemeriksaan fisik dan konfirmasi aktiva, lebih banyak pengujian
rinci, ukuran sampel yang lebih besar dan penggunaan lebih banyak teknik audit berbantuan
komputer, bilamana perlu.

Aktivitas yang Diperkenankan

Apabila manajemen membuat ketentuan bahwa tidak semua orang di dalam
organisasi boleh menggunakan fail dan database, maka hal ini menunjukkan adanya
pengendalian terhadap akses. Pengendalian akses antara lain meliputi penggunaan kata
sandi serta penggunaan jenis-jenis kunci tertentu. Dalam pengendalian kata sandi ini IAI
menyatakan perlunya prosedur yang memadai untuk mengubah password, penjagaan
kerahasiaan password dan pelaksanaan review dan penyelidikan terhadap usaha
untuk melanggar keamanan.
Meskipun demikian, dua akses pengendalian itu saja belumlah cukup. Harus pula
ada pengendalian yang membatasi pekerjaan apa saja yang boleh dilakukan oleh mereka
yang dapat mengakses. Dalam pembatasan akses ini terdapat empat alternatif bagi seorang
personil, yaitu :
1.
2.
3.
4.

Dapat membaca data saja.

Dapat membaca dan menambahkan data.
Dapat membaca dan megubah data.
Dapat membaca dan menghapus data.

Selain itu manajer perlu mempertimbangkan pengendalian lain yang mendukung.

Definisi database yang disebutkan sebelumnya menyiratkan adanya penggunaan data oleh
beberapa aplikasi dan beberapa pemakai. Adanya pengendalian lain yang mendukung
bertujuan agar apabila seorang pemakai sedang menggunakan suatu data maka pemakai
lain tidak dapat mempengaruhinya. Sebagaimana disebutkan sebelumnya, penggunaan
database oleh lebih dari satu pemakai tidak selamanya mengindikasikan adanya jaringan
on-line tetapi bisa juga secara off-line, misalnya dalam hal local area network (LAN) atau
komunikasi antar komputer tanpa menggunakan modem. Dalam contoh suatu organisasi
yang menjadikan persediaan dapat diakses oleh departemen pembelian, produksi,
penjualan atau departemen akuntansi, maka jenis pengendalian ini memungkinkan untuk
menjaga kebenaran dan integritas data persediaan karena apabila data tengah dikurangi
oleh departemen penjualan karena adanya transaksi penjualan, maka data tersebut pada

1
4

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

saat yang bersamaan tidak dapat ditambah oleh departemen produksi dengan selesainya
proses pembuatan atau proses produksi jenis persediaan tersebut sebelum proses
pengurangan oleh departemen penjualan tersebut dianggap selesai
Untuk mengatasai masalah ketidaksesuaian akses tersebut manajer memerlukan
pengendalian yang dapat dilakukan dengan beberapa cara yang oleh Weber disebut dengan
istilah pengendalian simultan (concurrency control), yaitu dapat berbentuk file locking,
record locking, field locking ataupun dengan menggunakan program pengolahan
basis data (database management systems).
Bagi auditor masalah ini juga penting karena isi fail akan digunakannya untuk melakukan
pengujian substansif dan juga sekaligus pengujian pengendalian. Apabila isi fail tersebut
teryata tidak handal misalnya tidak adanya kesesuaian akses sehingga mengganggu
transaksi penjualan, maka kepercayaannya terhadap pengendalian tersebut sudah pasti
akan berkurang, atau bahkan ia dapat menyalahkan hasil pengolahan komputer tersebut
karena tidak sesuai dengan yang sebenarnya. Dengan kata lain pengendalian dalam hal ini
bertujuan untuk memberikan jaminan bahwa hasil PDE adalah benar.

Kelangsungan Operasi
Dalam sistem database, sistem pencatatan aktivitas (transaction log) dapat
digunakan untuk menjaga kelangsungan operasi organisasi yang bersangkutan karena
dengan pencatatan ini dimungkinkan untuk memperbaiki kesalahan yang terjadi dengan
cara memproses kembali salinan cadangan database yang dibandingkan dengan semua
transaksi yang telah dicatat dan diproses sejak salinan cadangan tersebut dibuat. Beberapa
penulis menggunakan istilah audit trail control untuk menjelaskan mengenai jenis
pengendalian ini, dengan tujuan untuk mengetahui kronologi kejadian baik terhadap definisi
data maupun terhadap database itu sendiri sehingga dapat dketahui pembuatannya, akses,
modifikasi ataupun penghapusan yang dilakukan terhadap definisi data maupun database.
Selain itu, isi dari database tersebut juga perlu dicatat, baik sebelum maupun
sesudah terjadinya perubahan terhadap database yang bersangkutan, di samping
mencatat data transaksi yang menyebabkan terjadinya perubahan tersebut. Konsep kakekayah-anak (grandfather-father-son concept) merupakan salah satu bentuk dari upaya
untuk mempertahankan kelangsungan operasi satuan usaha karena dengan salinan
fail cadangan ayah maka auditan dapat merekonstruksi fail anak dengan hanya
menambah atau membukukan kembali transaksi sejak awal hingga transaksi hari ini.
1
4

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

Dengan demikian apabila hari ini auditan mengalami musibah maka manajemen masih
memungkinkan untuk tetap melaksanakan fungsinya karena catatan mengenai aktivitas
organisasinya dapat direkonstruksi tanpa harus memulai kembali dari awal.
Bagi auditor, catatan-catatan tersebut harus pula dapat diakses karena menunjukkan
sejarah transaksi yang terjadi: sebelum kejadian, aktivitas yang mengakibatkan
perubahan, dan sesudah kejadian, auditor tentunya ingin membuktikan kebenaran
dari isi database itu sendiri. Dari konsep kakek-ayah-anak (grandfather-father-son
concept) pada contoh di atas, auditor juga dapat menguji kebenaran data transaksi hari ini
misalnya dengan cara membandingkan antara fail ayah dengan fail anak karena selisih
antara kedua fail tersebut menggambarkan mengenai transaksi hari ini. Demikian pula
selisih antara fail kakek dengan fail ayah yang menggambarkan mengenai transaksi pada
hari kemarin.
Metode lain yang dapat digunakan untuk menjaga kelangsungan operasi organisasi
dengan menempatkan salinan cadangan di tempat terpisah sehingga apabila terjadi
bencana terhadap fail dan atau database asli maka masih tersedia fail dan atau database di
tempat lain. Dengan demikian kelangsungan operasi peusahaan dapat tetap terjamin.

Basalamah,

menguraikan tiga metode penyimpanan salinan cadangan di tempat yang

terpisah sebagai beikut:

1. Pencadangan sepenuhnya.
Dalam metode ini tempat penyimpanan yang digunakan kondisinya sudah siap pakai
dengan peralatan piranti keras dan piranti lunak sistem yang lengkap. Hanya saja
belum ada personil, program, dan fail datanya.
2. Pencadangan tidak sepenuhnya.
Dalam metode ini tempat penyimpanan yang digunakan kondisinya belum
meyediakan komputer, atau kalaupun tersedia, CPU-nya biasanya lebih kecil. Alasan
tidak menempatkan komputer dalam metode ini adalah karena biasanya komputer
mudah untuk diperoleh sewaktu-waktu, sehingga dirasakan lebih menguntungkan
dengan cara demikian (membelinya bila perlu) dibandingkan dengan membelinya
saat ini tapi akan dibiarkan menganggur sampai benar-benar diperlukan. Alasan lain
yang juga berkaitan dengan penghematan adalah bahwa biasanya komputer itulah
yang merupakan komponen biaya yang tebesar.
3. Pencadangan seperlunya.
Dalam metode ini perlengkapan yang ada di tempat penyimpanan salinan cadangan
tersebut hanyalah yang bersifat pokok saja seperti kabel-kabel listrik, pengatur suhu
udara (AC), dan sebagainya yang diperlukan untuk mengoperasikan PDE. Tempat ini
1
4

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

siap untuk menerima peralatan yang diperlukan tetapi peralatan itu sendiri belum
ada.

Kesesuaian

Isi

Fail

dengan

Prosedur

Pengendalian

yang

Diharapkan
Isi dari fail dan database juga memberikan bukti adanya kesesuaian dengan ketentuan
yang dibuat oleh manajemen seperti unsur-unsur data yang menyebutkan batas
maksimum kredit yang dapat diberikan kepada pelanggan, otorisasi yang benar,
klasifikasi akun, pencatatan jurnal yang sesuai dengan waktunya, dan sebagainya.
Dengan membandingkan antara isi fail dan database mengenai ketentuan-ketentuan
manajemen ini dengan yang sebenarnya terjadi maka auditor dapat menilai apakah telah
terjadi penyimpangan atau kesalahan pemrosesan sehingga merupakan salah satu langkah
dalam pengujian pengendalian.
Contoh dari pengujian pengendalian dalam hal kesesuaian antara isi fail dengan
prosedur pengendalian yang diharapkan ini misalnya adalah apabila auditor ingin menguji
apakah pejabat yang berwenang untuk memberikan otorisasi kredit telah bekerja
sebagaimana mestinya. Apabila pejabat A hanya berwenang untuk memberikan kredit
hingga senilai Rp 20 juta, sedangkan pinjaman senilai lebih dari Rp 20 juta diberikan oleh
pejabat B atau apabila pejabat A sedang cuti, maka auditor dapat membuktikan setidaktidaknya lima hal sebagai berikut :
1. Apakah ada kredit yang tidak disetujui oleh kedua pejabat tersebut?
2. Adapakah ada kredfit yang besarnya sampai dengan Rp 20 juta yang tidak
disetujui oleh pejabat A? bila ada, apakah ada persetujuan tersebut diberikan
pejabat A sedang mengambil cuti?
3. Apakah ada kredit yang besarnya di atas Rp 20 juta yang tidak disetujui oleh
pejabat B?
4. Apakah ada krdit yang besarnya di atas Rp 20 juta yang disetujui oleh pejabat A?
5. Apakah ada kredit yang besarnya sampai dengan Rp 20 juta yang disetujui oleh
pejabat B? bila ada, apakah ada persetujuan tersebut diberikan pejabat A sedang
mengambil cuit?
Jawaban-jawaban atas kelima pertanyaan di atas dapat memberikan indikasi bagi
auditor mengenai kelemahan atas pengendalian yang ada. Sebagai contoh, apabila ada
kredit yang tidak disetujui oleh kedua pejabat tersebut berarti ada kebocoran karena
yang berwenang untuk memberikan otorisasi adalah kedua pejabat tersebut, yaitu A

1
4

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

dan B. otorisasi oleh orang lain dapat mengindikasikan adanya manipulasi atau
pemberian kredit yang tidak sesuai dengan ketentuan yang berlaku. Demikian pula
apabila terjadi pemberian kredit yang besarnya di atas Rp 20 juta yang disetujui oleh
pejabat A.

Pengujian Substantif
Pangujian substansif adalah pengujian yang bermaksud mensahihkan (memvalidasi)
keakuratan nilai-nilai transaksi, besarnya kesalahan moneter yang terjadi serta saldo-saldo
yang ada. Pengujian ini dilakukan dengan prosedur analitis serta pengujian langsung
terhadap transaksi dan saldo-saldo. Beberapa teknik audit berbantuan komputer (TABK)
dapat digunakan untuk melakukan pengujian substansif ini, yang antara lain dapat
membantu auditor untuk mengetahui apakah ada nilai-nilai yang dihilangkan, yang salah
diklasifikasikan atau yang salah periode akutansinya, di samping dapat pula untuk menguji
kebenaran penjumlahan dan rekonsiliasi.

Sebagaimana ditemukan oleh

Elder, Beasley, dan Arens , pengujian

substansif

bertujuan untuk menentukan apakah enam tujuan audit yang terkait dengan suatu transaksi
telah terpenuhi, yaitu (1) eksistensi, (2) kelengkapan, (3) akurasi, (4) klasifikasi, (5)
ketepatan waktu pencatatan sesuai periode akuntansinya, serta (6) ketepatan
pembukuan dan pengikhtisarannya. Dengan TABK keenam tujuan ini jauh lebih mudah
untuk dilakukan. Sebagai contoh, dalam pemeriksaan atas persediaan maka TABK antara
lain dapat digunakan untuk menentukan pos-pos mana yang akan diuji dengan memilih
sampel secara acak dari fail persediaan per tanggal perhitungan tersebut.
Selain itu, fungsi filter dan atau IF pada program spreadsheet dapat pula digunakan
untuk memenuhi keenam tujuan audit sebagaimana dikemukakan oleh Elder, Beasley, dan
Arens tersebut, baik untuk membandingkan lebih dari satu fail ataupun lebih dari satu
lembar kerja (worksheet).

Audit atas Isi Fail dan Database

Apabila dalam audit konvensional auditor dapat langsung memeriksa bukti-bukti yang
secara fisik dapat dilihat karena jelasnya jejak audit, dalam audit pengolahan data
elektronik, tidak selamanya auditor dapat memperoleh bukti fisik atas isi dari fail dan
1
4

10

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

databse yang harus diauditnya. Karena itu audit atas isi fail dan database, baik untuk
tujuan pengujian pengendalian maupun untuk tujuan pengujian substansif, dapat dilakukan
oleh auditor dengan menggunakan tiga alternatif, yaitu (1) tidak memerlukan fail data
(nonprocessing of file data), (2) dengan mengolah atau menggunakan data yang
sebenarnya (processing of actual file data), atau (3) dengan menggunakan data
simulasi (processing of simulated file data). Uraian mengenai ketiga alternatif tersebut
tampak pada subbagian-subbagian berikut ini.

Tanpa Memeriksa Fail Data

Dalam pengujian pengendalian, alternatif ini dapat digunakan apabila fail-fail tersebut
disimpan di dalam media penyimpanan yang memungkinkan bagi auditor untuk memeriksa
secara visual. Sebagai contoh, apabila manajemen untuk menggunakan pengendalian
akses dalam bentuk kata sandi dengan tujuan agar pemilik kata sandi saja yang
dapat mengakses fail, database, dan atau field tertentu saja dari database tersebut,
maka auditor dapat mengujinya dengan misalnya memasukkan kata sandi yang
salah. Apabila tidak berhasil maka hal ini menunjukkan beroperasinya kata sandi
tersebut. Selain itu, auditor setelah meminta ijin dari auditan untuk memperoleh kata sandi
yang benar, maka dengan menggunakan kata sandi yang benar tersebut auditor dapat pula
menguji untuk membaca, menambahkan data baru, mengubah data dan menghapus data
untuk mengetahui apakah seluruh bagian dapat melakukan hal yang demikian ataukah
hanya personil-personil tertentu yang dapat melakukannya. Artinya, apabila auditor
meminta ijin untuk hanya membaca data saja, maka dengan ijin tersebut auditor mencoba
untuk mengubah data atau melakukan hal lainnya yang hanya tidak membaca data saja.
Demikian pula dengan pekerjaan-pekerjaan lainnya

sebagaimana disebutkan

sebelumnya seperti membaca dan menambahkan data baru, membaca dan

mengubah data, serta membaca dan menghapus data. Apabila tidak berhasil maka
auditor dapat menyimpulkan bahwa hanya personil-personil tertentu saja yang dapat
melakukan pekerjaan-pekerjaan tertentu tersebut sesuai dengan yang dikehendaki
oleh manajemen dimana hal ini berarti pengendalian atas akses yang diujinya
tersebut sudah berjalan sbagaimana mestinya.
Sementara itu dalam pengujian substansif auditor dapat menggunakan alternatif
pertama ini dengan cara memeriksa hasil cetakan fail-fail tersebut. Hal ini bisa
dilakukan apabila masih memungkinkan untuk mencetak fail-fail dan database
tersebut, dalam arti cetakannya masih dapat dikategorikan sebagai wajar atau tidak

1
4

11

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

terlalu banyak. Apabila jumlah cetakannya terlalu banyak atau tidak wajar, maka
alternaif ini menjadi tidak layak atau tidak feasible atau dapat dikatakan sebagai
datanya tidak dapat dicetak.
Dengan semakin kompleksnya bisnis auditan serta pesatnya perkembangan teknologi
yang sedemikian besar mempengaruhi proses pengolahan data auditan, alternatif untuk
tidak memeriksa fail data ini bisa meningkatkan risiko audit akibat, antara lain, auditor tidak
memahami proses bisnis yang sebenarnya (risiko bawaan) ataupun salah memilih prosedur
(risiko deteksi). Meskipun demikian, alternatif ini sering digunakan oleh auditor karena
biayanya yang relatif murah, tidak memerlukan waktu sebanyak kedua alternatif lainnya,
serta mudahnya memahami konsep-konsep alternatif ini.
Sementara itu auditor dapat memutuskan untuk tidak menggunakan alternatif ini
terutama apabila jumlah cetakannya sangat banyak sehingga tidak lagi feasible, di samping
karena beberapa alasan sebagai berikut :
1. Apabila tidak ada atau tidak berfungsinya pengendalian di semua kondisi operasi.
2. Apabila tidak ada kepastian bahwa pengendalian-pengendalian atau fail-fail yang
diuji memang benar-benar ada dan bukan salinan yang palsu yang sengaja
diberikan kepada auditor agar dianggap digunakan oleh organisasi yang
bersangkutan.
3. Sulitnya memahami beberapa teknik pengendalian akses fail yang sifatnya rumit.
4. Apbila auditor tidak yakin apakah hasil cetakan tersebut berasal dari fail-fail yang
sebenarnya ada.

Menggunakan Data yang Sebenarnya

Sebagaimana dalam alternatif pertama, alternatif kedua ini juga digunakan oleh auditor
untuk melakukan pengujian pengendalian dan pengujian substansif. Dalam pengujian
pengendalian, penggunaan data yang sebenar-benarnya dapat memberikan informasi
kepada auditor mengenai efektivitas pengendalian yang tampak dalam fail-fail produksi
seperti otorisasi yang memadai, klasifikasi akun yang sesuai, periode pencatatan yang
beroperasi secara efektif, dan sebagainya. Hal yang perlu diperhatikan oleh auditor
apabila ingin menggunakan cara ini adalah bahwa auditor sebaiknya bekerja dengan kopy
dari fail, akan tetapi apabila memungkinkan karena metode pengolahan data auditan adalah
secara on-line, maka setelah auditor selesai dengan pekerjaannya maka ia harus
menghapus semua data dummy yang dimasukkannya ke dalam sistem (kecuali data real

1
4

12

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

yang memang harus dibukukan ke dalam sistem yang ingin dibuktikan kebenarannya),
karena hal tersebut akan merusak integritas dan kebenaran data auditan.
Sementara itu dalam pengujian substansif auditor dapat menggunakan beberapa cara
sebagai berikut :
1. Dengan menggunakan program utilitas (utility program).
Yang dimaksud dengan program utilitas yaitu program yang digunakan oleh entitas
untuk melaksanakan fungsi pengolahan umum seperti penyortasian, pembuatan, dan
pencetakan file. Program ini umumnya dirancang untuk tujuan audit dan, oleh karena
itu, mungkin tidak memiliki kemampuan seperti pehitungan record secara otomatis
(automatic record count) atau total kontrol (control totals). Program utilitas ini dapat
digunakan, misalnya, dalam mengaudit fail persediaan yang menggunakan sistem
terus-menerus (perpetual).
2. Dengan menggunakan program yang dibuat dengan tujuan khusus (custom
designed program atau purpose-written program).
Program yang dibuat dengan tujuan khusus maksudnya adalah program yang
dirancang untuk melaksanakan tugas audit dalam keadaan khusus. Program ini
dapat disiapkan oleh auditor, oleh entitas, atau oleh pemrogram luar yang ditugasi
oleh auditor. Teknik-teknik audit berbantuan komputer selain yang dikategorikan
sebagai program pemeriksaan umum pada dasarnya dapat dikategorikan sebagai
program yang dibuat dengan tujuan khusus.
3. Dengan menggunakan program pemeriksaan umum (generalized audit
software atau GAS)
Yang dimaksud dengan program pemeriksaan umum adalah program yang
dirancang untuk melaksanakan fungsi-fungsi pengolahan data tertentu yang
berkaitan dengan pekerjaan audit seperti memilih sampel secara statistik,
menganalisis transaksi-transaksi tertentu serta menguji apakah ada akun yang
melebihi batas kredit maksimal dan seagainya. Di samping itu, auditor juga
merekonstruksi laporan keuangan dengan cara menggabung-gabungkan jumlah
masing-masing akun yang ada dalam bagan perkiraan (chart of accounts) menjadi
satu kesatuan yang lain.
Program pemeriksaan umum seperti ACL dapat melaksanakan banyak pekerjaan
audit karena program ini mempunyai beberapa fitur. Sementara itu program
spreadsheet seperti Microsoft Excel dapat juga digunakan untuk melakukan
pekerjaan-pekerjaan audit tersebut kecuali melakukan pekerjaan sampling dengan
metode tertentu sepeti metode satuan mata uang (monetary unit sampling) karena
memang desain Microsoft Excel bukanlah khusus untuk audit melainkan fungsi
umum spreadsheet yang dimanfaatkan oleh auditor untuk membantu melaksanakan
sebagian pekerjaan audit.
1
4

13

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

Alternatif penggunaan data yang sebenarnya (alternatif kedua) ini sering digunakan oleh
auditor karena alasan-alasan sebagai berikut :
1. Bukti-bukti

yang

dikumpulkan

didasarkan

pada

kondisi

operasi

yang

sebenarnya.
2. Auditor dapat menggunakan data yang telah ada karena telah dibuat oleh
auditan sehingga tidak perlu lagi menciptakan data semacam itu.
Akan tetapi auditor mungkin juga memutuskan untuk tidak menggunakan alternatif
kedua ini karena alasan-alasan sebagai berikut :
1. Aktivitas bisnis satuan usaha yang diaudit mungkin jadi terganggu karena failfailnya harus ditempatkan di tempat yang dikendalikan oleh auditor agar dapat
diketahui integrasinya. Dalam sistem on-line hal ini akan sangat terasa, terlebih
apabila auditan menggunakan file locking untuk membatasi akses.
2. Fail data yang dianalisis mungkin tidak mencakup semua pengendalian yang
diinginkan audior.
3. Auditor mungkin tidak dapat menentukan apakah fail yang diuji tersebut
merupakan fail yang benar-benar digunakan dalam pengolahan data auditan.
Hal ini mungkin disebabkan karena auditor mendapatkan kopy fail dari auditan
sehingga auditor tidak mengetahui bagaimana proses pengkopy-an fail
tersebut.
4. Auditor harus benar-benar memahami operasi pengolahan data auditan
sehingga pengujian-pengujian dapat dilakukan atau dipantau sebagaimana
mestinya.
5. Auditor mungkin ingin mengetahui mengenai fail yang rusak secara tidak
sengaja.

Menggunakan Data Simulasi

Alternatif ketiga, pengujian dengan menggunakan data simulasi, dimaksudkan untuk
mengetahui efektifitas operasional pengendalian-pengendalian dari bukti-bukti yang ada di
dalam data simulasi, di samping untuk memperoleh bukti mengenai keakuratan lojik
pemrosesan program yang bersangkutan. Tujuan dari pengujian dengan data simulasi
adalah seperti tujuan dalam alternatif kedua. Hal ini disebabkan karena efektivitas
beberapa pengendalian yang terprogram dapat diketahui baik dengan menguji
programnya ataupun failnya.

1
4

14

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id

Alasan penggunaan alternatif ini biasanya adalah karena auditor dapat mengurangi
jumlah rekord yang harus diproses, di samping auditor dapat menguji setiap jenis
pengendalian yang menarik minatnya. Sementara itu alasan auditor tidak dapat
menggunakan alternatif ini adalah karena kesulitan auditor untuk menciptakan fail-fail
pengujian yang diperlukan. Selain itu, hanya kondisi-kondisi yang diketahui keberadaannya
saja yang dapat diuji.
Teknik-teknik yang dapat dilakukan oleh auditor dalam alternatif ketiga ini antara lain
adalah dengan menggunakan metode integrated test facility (ITF).

DAFTAR PUSTAKA:
Anies Said. M. Basalamah, STAN, Auditing PDE Dengan Standar IAI, Penerbit
Usaha Kami, Depok, Edisi Kelima, 2011.
Sanyoto Gondodiyoto, Audit Sistem Informasi + Pendekatan CobiT, Penerbit
Mitra Wacana Media, Jakarta, Edisi Revisi, 2007

1
4

15

Auditing PDE
Bambang Subiyanto, S.E., M.A.k.

Pusat Bahan Ajar dan eLearning

http://www.mercubuana.ac.id