Professional Documents
Culture Documents
C. Pengendalian Internal Khusus Atas Teknologi Infomasi. Standar auditing menguraikan dua kategori pengendalian atas sistem TI, yaitu pengendalian umum dan pengendalian aplikasi. 1. Pengendalian umum (general controls) diterapkan pada semua aspek fungsi TI, termasuk administrasi TI; pemisahan tugas TI; pengembangan sistem; keamanan fisik dan online atas akses ke perangkat keras, perangkat lunak, dan data terkait; backup dan perencanaan kontinjensi atas keadaan darurat yang tak terduga; serta pengendalian perangkat keras. Auditor akan mengevaluasi pengendalian umum untuk perusahaan secara keseluruhan. 2. Pengendalian aplikasi (application controls) berlaku bagi pemrosesan transaksi, seperti pengendalian atas pemrosesan penjualan atau penerimaan kas. Auditor hams mengevaluasi pengendalian aplikasi untuk setiap kelas transaksi atau akun di mana auditor berencana mengurangi risiko pengendalian yang ditetapkan, karena pengendalian TI akan berbeda di antara kelas-kelas transaksi dan akun. Pengendalian aplikasi hanya akan efektif jika pengendalian umuni efektif.
3. Memahami pengendalian umum klien. Biasanya auditor memperoleh informasi tentang pengendalian umum dan aplikasi melalui cara-cara berikut: a. Wawancara dengan personil TI dan para pemakai kunci. b. Memeriksa dokumentasi system seperti bagan arus, manual pemakai, permintaan perubahan program, dan hasil pengujian. c. Mereview kuesioner terinci yang diselesaikan oleh staf TI
4. Mengaitkan pengendalian TI dengan tujuan audit yang berkaitan dengan transaksi. Pengendalian umum mempengaruhi tujuan audit dalam beberapa siklus, maka jika pengendalian umumnya tidak efektif, kemampuan auditor dalam menggunakan pengendalian aplikasi untuk mengurangi risiko pengendalian pada semua siklus akan
5. Pengaruh pengendalian TI terhadap pengujian substantive. Setelah mengidentifikasi pengendalian aplikasi khusus yang dapat digunakan untuk mengurangi risiko pengendalian, auditor lalu mengurangi pengujian substantive. Karena pengendalian aplikasi yang terotomatisasi bersifat sistematis, hal itu akan memungkinkan auditor mengurangi ukuran sample yang digunakan untuk menguji pengendalian tersebut baik dalam audit laporan keuangan maupun audit pengendalian internal atas pelaporan keuangan. Banyak organisasi sering kali sangat bergantung pada mikrokomputer untuk melakukan fungsi-fungsi system akuntansi. Penggunaan mikrokomputer dapat menimbulkan beberapa pertimbangan audit antara lain: 1. Ketergantungan yang terbatas pada pengendalian yang terotomatisasi. 2. Akses ke file induk. 3. Risiko virus computer.
Tiga pendekatan pengujian yang digunakan oleh auditor ketika mengaudit melalui computer antara lain:
A. Pendekatan data pengujian. Dalam pendekatan ini auditor memroses data pengujiannya sendiri dengan menggunakan system computer klien dan program aplikasi untuk menentukan apakah pengendalian yang terotomatisasi memroses dengan tepat data pengujian itu. Pendekatan ini memiliki tiga pertimbangan utama yaitu: 1. Data pengujian harus mencakup semua kondisi yang relevan yang ingin diuji auditor. Auditor harus merancang data pengujian untuk menguji semua pengendalian kunci berbasis computer dan memasukan data yang realistic yang mungkin akan menjadi bagian dari pemrosesan normal klien, termasuk transaksi sah dan tidak sah. 2. Program aplikasi yang diuji oleh data pengujian auditor harus sama dengan yang digunakan klien selama tahun berjalan. Salah satu pendekatan adalah menjalankan data pengujian atas dasar kejutan, mungkin secara acak selama tahun berjalan, walaupun agak mahal dan menghabiskan waktu. 3. Data pengujian harus dieliminasi dari catatan klien. Jika auditor memroses data pengujian sedangkan klien memroses transaksinya sendiri, auditor harus menghilangkan data pengujian dalam file induk klien setelah pengujian itu selesai.
B. Simulasi parallel. Auditor seringkali menggunakan perangkat lunak yang dikendalikan auditor untuk melaksanakan operasi yang sama dengan yang dilaksanakan oleh perangkat lunak klien, dengan menggunakan file data yang juga sama. Tujuannya adalah untuk menentukan keefektifan pengendalian yang terotomatisasi dan untuk mendapatkan bukti tentang saldo akun elektronik. Pendekatan ini disebut pengujian simulasi parallel. Biasanya auditor melakukan pengujian simulasi parallel dengan menggunakan perangkat lunak audit tergeneralisasi, yaitu program yang dirancang secara khusus untuk tujuan auditing. Perangkat lunak audit tergeneralisasi memiliki tiga keunggulan yaitu: 1. Relative mudah melatih staf audit untuk menggunakannya, meskipun mereka hanya mempunyai pelatihan yang minim di bidang TI yang berkaitan dengan audit. 2. Perangkat lunak tersebut dapat diterapkan pada berbagai klien dengan penyesuaian yang minimal. 3. Mampu melaksanakan pengujian audit jauh lebih cepat dan lebih terinci ketimbang menggunakan prosedur manual yang tradisional.
C. Pendekatan modul audit tertanam. Ketika menggunakan pendekatan ini, auditor menyisipkan modul audit dalam system aplikasi klien untuk mengidentifikasi jenis transaksi tertentu. Sebagai contoh, auditor mungkin ingin menggunakan modul audit tertanam guna mengidentifikasi semua pembelian yang melebihi $25.000 untuk ditindak lanjuti dengan pemeriksaan yang lebih terinci bagi tujuan keterjadian dan keakuratan yang berkaitan dengan transaksi. Pendekatan modul audit tertanam memungkinkan auditor untuk terus mengaudit transaksi dengan mengidentifikasi transaksi actual yang diproses oleh klien yang dibandingkan dengan data pengujian dan pendekatan simulasi parallel. Walaupun dapat menggunakan satu atau setiap kombinasi dari pendekatan pengujian, biasanya auditor menggunakan: 1. Data pengujian untuk melaksanakan pengujian pengendalian dan pengujian substantive atas transaksi. 2. Simulasi parallel untuk pengujian substantive, seperti menghitung ulang jumlah transaksi dan menjumlahkan file induk catatan tambahan saldo akun. 3. Modul audit tertanam untuk mengidentifikasi transaksi tidak biasa bagi pengujian substantive.
3. Masalah pada system E-commerce. Penggunaan system e-commerce juga membuat data perusahaan yang sensitive, program, dan perangkat keras terbuka terhadap kemungkinan campur tangan atau sabotase oleh pihak luar. Untuk membatasi keterbukaan ini, perusahaan menggunakan firewall, teknik enkripsi, dan tanda tangan digital. 1. Firewall adalah system perangkat keras dan perangkat lunak yang memantau serta mengendalikan aliran komunikasi e-commerce dengan menyalurkan semua koneksi jaringan melalui pengendalian yang memverifikasi pemakai eksternal, memberikan akses kepada pemakai yang berhak, menolak akses pada pemakai yang tidak berhak, dan mengarahkan pemakai yang sah ke program atau data yang diminta. 2. Teknik enkripsi melindungi keamanan komunikasi elektronik ketika informasi yang sedang dikirimkan. 3. Tanda tangan digital adalah untuk membuktikan keaslian validitas mitra dagang yang melaksanakan bisnis secara elektronik.
4. Masalah yang timbul ketika klien mengoutsource TI. Banyak klien mengoutsource beberapa atau semua kebutuhan TI-nya kepada pusat pelayanan computer yang independen, termasuk penyedia jasa aplikasi, dan bukan menyelenggarakan pusat TI internal. Perusahaan juga mengoutsource system e-commerce nya ke penyedia jasa website eksternal. Dalam memahami pengendalian internal dalam system outsource auditor menghadapi kesulitan untuk memamhami pengendalian internal klien dalam situasi tersebut karena banyaknya pengendalian yang ada di pusat jasa dan auditor tidak dapat mengasumsikan bahwa pengendalian itu memadai hanya karena pusa jasa tersebut merupakan perusahaan independen. Standar auditing mengharuskan auditor mempertimbangkan kebutuhan untuk memahami dan menguji pengendalian pusat jasa, jika aplikasi pusat jasa itu melibatkan pemrosesan data keuangan yang penting. Sebagai contoh, banyak pengendalian untuk tujuan audit yang berkaitan dengan transaksi penggajian berada dalam program perangkat lunak yang diselenggarakan dan didukung oleh perusahaan jasa penggajian, bukan klien audit.