DAMPAK TEKNOLOGI INFORMASI TERHADAP PROSES AUDIT

A. Teknologi Informasi Meningkatkan Pengendalian Internal

Beberapa perubahan pengendalian internal yang diakibatkan oleh pengintegrasian TI ke dalam system akuntansi : 1. Pengendalian computer menggantikan pengendalian manual. Karena computer memproses informasi secara konsisten, system TI dapat mengurangi salah saji dengan mengganti prosedur manual dengan pengendalian terprogram yang menerapkan pengecekan dan penyeimbangan setiap transaksi yang diproses. Ini mengurangi kesalahan manusia yang sering terjadi dalam memproses transaksi secara manual. 2. Tersedianya informasi yang bermutu lebih tinggi. Aktivitas TI yang kompleks biasanya dikelola secara efektif karena kerumitan itu memerlukan organisasi, prosedur, dan dokumentasi yang efektif. Ini biasanya menghasilkan informasi yang bermutu lebih tinggi bagi manajemen, jauh lebih cepat dari system manual.

B. Menilai Risiko Teknologi Informasi

Banyak risiko dalam system manual dapat dikurangi dan dalam beberapa kasus malah dihilangkan. Namun, akan tercipta resiko baru yang spesifik pada system TI yang selanjutnya dapat menimbulkan kerugian yang besar jika diabaikan. Risiko khusus pada system TI meliputi: 1. Risiko pada perangkat keras dan data 2. Jejak audit yang berkurang 3. Kebutuhan akan pengalaman TI dan pemisahan tugas TI

1. Risiko pada perangkat keras dan data

a. Ketergantungan pada kemampuan berfungsinya perangkat keras dan lunak. Tanpa perlindungan fisik yang layak, perangkat keras atau perangkat lunak tidak dapat berfungsi dengan baik. b. Kesalahan sistematis versus kesalahan acak. Resiko kesalahan sistematis dapat meningkat karena setelah prosedur diprogramkan ke dalam perangkat lunak computer, computer akan memproses informasi tentang semua transaksi secara konsisten sampai prosedur yang diprogramkan itu diubah. c. Akses yang tidak sah. Karena akses online ke data elektronik dalam file induk, perangkat lunak dan catatan lainnya dapat terjadi dari jarak jauh, termasuk oleh pihak eksternal melalui internet, mungkin saja terjadi akses yang tidak sah. d. Hilangnya data. Sebagian besar data pada system TI disimpan dalam file elektronik yang terpusat. Ini dapat meningkatkan resiko kehilangan atau kerusakan file data secara keseluruhan.

2. Jejak audit yang berkurang

a. Visibilitas jejak audit. Karena sebagian besar informasi dimasukkan secara langsung ke dalam computer, penggunaan TI sering kali mengurangi bahkan meniadakan dokumen dan catatan sumber yang memungkinkan organisasi untuk menelusuri informasi akuntansi. b. Keterlibatan manusia yang berkurang. Dalam banyak system TI, karyawan yang terlibat dengan pemprosesan awal transaksi tidak pernah melihat hasil akhirnya. Karena itu, mereka kurang mampu mengidentifikasi salah saji pemrosesan. c. Tidak adanya otorisasi tradisional. System TI yang sangat canggih sering memprakarsai jenis transaksi tertentu secara otomatis. Karena itu, otorisasi yang tepat tergantung pada prosedur perangkat lunak dan keakuratan file induk yang digunakan untuk membuat keputusan otorisasi.

3. Kebutuhan akan pengalaman TI dan pemisahan tugas TI

a. Pemisahan tugas yang berkurang. Apabila organisasi beralih dari system manual ke system komputerisasi, computer akan melaksanakan banyak tugas-tugas yang secara tradisional dipisahkan, seperti otorisasi dan pembukuan. b. Kebutuhan akan pengalaman TI. Meskipun perusahaan membeli paket perangkat lunak akuntansi yang dijual di pasaran, perusahaan juga harus merekrut personil yang memiliki pengetahuan dan pengalaman untuk memasang, memelihara, serta menggunakan system tersebut.

C. Pengendalian Internal Khusus Atas Teknologi Infomasi. Standar auditing menguraikan dua kategori pengendalian atas sistem TI, yaitu pengendalian umum dan pengendalian aplikasi. 1. Pengendalian umum (general controls) diterapkan pada semua aspek fungsi TI, termasuk administrasi TI; pemisahan tugas TI; pengembangan sistem; keamanan fisik dan online atas akses ke perangkat keras, perangkat lunak, dan data terkait; backup dan perencanaan kontinjensi atas keadaan darurat yang tak terduga; serta pengendalian perangkat keras. Auditor akan mengevaluasi pengendalian umum untuk perusahaan secara keseluruhan. 2. Pengendalian aplikasi (application controls) berlaku bagi pemrosesan transaksi, seperti pengendalian atas pemrosesan penjualan atau penerimaan kas. Auditor hams mengevaluasi pengendalian aplikasi untuk setiap kelas transaksi atau akun di mana auditor berencana mengurangi risiko pengendalian yang ditetapkan, karena pengendalian TI akan berbeda di antara kelas-kelas transaksi dan akun. Pengendalian aplikasi hanya akan efektif jika pengendalian umuni efektif.

D. Dampak Teknologi Informasi Terhadap Proses Audit

1. Pengaruh pengendalian umum terhadap aplikasi keseluruhan system. Pengendalian umum yang tidak efektif akan menimbulkan potensi salah saji yang material pada semua aplikasi system, tanpa memperhatikan mutu dari setiap pengendalian aplikasi. Sebagai contoh, jika tugas-tugas TI tidak dipisahkan secara memadai, auditor harus memperhatikan adanya program perangkat lunak yang tidak diotorisasi atau perubahan file data yang dapat menimbulkan transaksi fiktif atau data yang tidak diotorisasi dan penghilangan akun-akun seperti penjualan, pembelian, dan gaji. 2. Pengaruh pengendalian umum terhadap perubahan perangkat lunak. Jika klien mengganti perangkat lunak aplikasi, hal itu akan mempengaruhi ketergantungan auditor pada pengendalian yang terotomatisasi. Ketika klien mengganti perangkat lunak, auditor harus mengevaluasi apakah diperlukan pengujian tambahan.

3. Memahami pengendalian umum klien. Biasanya auditor memperoleh informasi tentang pengendalian umum dan aplikasi melalui cara-cara berikut: a. Wawancara dengan personil TI dan para pemakai kunci. b. Memeriksa dokumentasi system seperti bagan arus, manual pemakai, permintaan perubahan program, dan hasil pengujian. c. Mereview kuesioner terinci yang diselesaikan oleh staf TI

4. Mengaitkan pengendalian TI dengan tujuan audit yang berkaitan dengan transaksi. Pengendalian umum mempengaruhi tujuan audit dalam beberapa siklus, maka jika pengendalian umumnya tidak efektif, kemampuan auditor dalam menggunakan pengendalian aplikasi untuk mengurangi risiko pengendalian pada semua siklus akan

5. Pengaruh pengendalian TI terhadap pengujian substantive. Setelah mengidentifikasi pengendalian aplikasi khusus yang dapat digunakan untuk mengurangi risiko pengendalian, auditor lalu mengurangi pengujian substantive. Karena pengendalian aplikasi yang terotomatisasi bersifat sistematis, hal itu akan memungkinkan auditor mengurangi ukuran sample yang digunakan untuk menguji pengendalian tersebut baik dalam audit laporan keuangan maupun audit pengendalian internal atas pelaporan keuangan. Banyak organisasi sering kali sangat bergantung pada mikrokomputer untuk melakukan fungsi-fungsi system akuntansi. Penggunaan mikrokomputer dapat menimbulkan beberapa pertimbangan audit antara lain: 1. Ketergantungan yang terbatas pada pengendalian yang terotomatisasi. 2. Akses ke file induk. 3. Risiko virus computer.

Tiga pendekatan pengujian yang digunakan oleh auditor ketika mengaudit melalui computer antara lain:
A. Pendekatan data pengujian. Dalam pendekatan ini auditor memroses data pengujiannya sendiri dengan menggunakan system computer klien dan program aplikasi untuk menentukan apakah pengendalian yang terotomatisasi memroses dengan tepat data pengujian itu. Pendekatan ini memiliki tiga pertimbangan utama yaitu: 1. Data pengujian harus mencakup semua kondisi yang relevan yang ingin diuji auditor. Auditor harus merancang data pengujian untuk menguji semua pengendalian kunci berbasis computer dan memasukan data yang realistic yang mungkin akan menjadi bagian dari pemrosesan normal klien, termasuk transaksi sah dan tidak sah. 2. Program aplikasi yang diuji oleh data pengujian auditor harus sama dengan yang digunakan klien selama tahun berjalan. Salah satu pendekatan adalah menjalankan data pengujian atas dasar kejutan, mungkin secara acak selama tahun berjalan, walaupun agak mahal dan menghabiskan waktu. 3. Data pengujian harus dieliminasi dari catatan klien. Jika auditor memroses data pengujian sedangkan klien memroses transaksinya sendiri, auditor harus menghilangkan data pengujian dalam file induk klien setelah pengujian itu selesai.

B. Simulasi parallel. Auditor seringkali menggunakan perangkat lunak yang dikendalikan auditor untuk melaksanakan operasi yang sama dengan yang dilaksanakan oleh perangkat lunak klien, dengan menggunakan file data yang juga sama. Tujuannya adalah untuk menentukan keefektifan pengendalian yang terotomatisasi dan untuk mendapatkan bukti tentang saldo akun elektronik. Pendekatan ini disebut pengujian simulasi parallel. Biasanya auditor melakukan pengujian simulasi parallel dengan menggunakan perangkat lunak audit tergeneralisasi, yaitu program yang dirancang secara khusus untuk tujuan auditing. Perangkat lunak audit tergeneralisasi memiliki tiga keunggulan yaitu: 1. Relative mudah melatih staf audit untuk menggunakannya, meskipun mereka hanya mempunyai pelatihan yang minim di bidang TI yang berkaitan dengan audit. 2. Perangkat lunak tersebut dapat diterapkan pada berbagai klien dengan penyesuaian yang minimal. 3. Mampu melaksanakan pengujian audit jauh lebih cepat dan lebih terinci ketimbang menggunakan prosedur manual yang tradisional.

C. Pendekatan modul audit tertanam. Ketika menggunakan pendekatan ini, auditor menyisipkan modul audit dalam system aplikasi klien untuk mengidentifikasi jenis transaksi tertentu. Sebagai contoh, auditor mungkin ingin menggunakan modul audit tertanam guna mengidentifikasi semua pembelian yang melebihi $25.000 untuk ditindak lanjuti dengan pemeriksaan yang lebih terinci bagi tujuan keterjadian dan keakuratan yang berkaitan dengan transaksi. Pendekatan modul audit tertanam memungkinkan auditor untuk terus mengaudit transaksi dengan mengidentifikasi transaksi actual yang diproses oleh klien yang dibandingkan dengan data pengujian dan pendekatan simulasi parallel. Walaupun dapat menggunakan satu atau setiap kombinasi dari pendekatan pengujian, biasanya auditor menggunakan: 1. Data pengujian untuk melaksanakan pengujian pengendalian dan pengujian substantive atas transaksi. 2. Simulasi parallel untuk pengujian substantive, seperti menghitung ulang jumlah transaksi dan menjumlahkan file induk catatan tambahan saldo akun. 3. Modul audit tertanam untuk mengidentifikasi transaksi tidak biasa bagi pengujian substantive.

E. Permasalahan Pada Lingkungan TI Yang Berbeda.

1. Masalah pada lingkungan jaringan. Apabila klien mempunyai aplikasi akuntansi yang diproses dalam lingkungan jaringan, auditor harus mempelajari konfigurasi jaringan, termasuk lokasi server computer dan workstation yang saling terhubung satu sama lain, perangkat lunak jaringan yang digunakan untuk mengelola system, serta pengendalian atas akses dan perubahan program aplikasi serta file data yang ada pada server. Pengetahuan ini dapat berimplikasi bagi penilaian risiko pengendalian auditor ketika merencanakan audit laporan keuangan dan ketika menguji pengendalian dalam audit pengendalian internal atas laporan keuangan. 2. Masalah pada system manajemen database. Klien mengimplementasikan system manajemen database untuk mengurangi kelebihan data, meningkatkan pengendalian atas data, dan menyediakan informasi yang lebih baik bagi pengambilan keputusan dengan mengintegrasikan informasi disemua fungsi dan departemen. Auditor klien yang menggunakan system manajemen database harus memahami perencanaan, organisasi, dan kebijakan serta prosedur klien untuk menentukan seberapa baik system itu dikelola. Pemahaman ini dapat mempengaruhi penilaian auditor atas risiko pengendalian dan pendapat auditor tentang keefektifan pelaksanaan pengendalian internal atas pelaporan keuangan.

3. Masalah pada system E-commerce. Penggunaan system e-commerce juga membuat data perusahaan yang sensitive, program, dan perangkat keras terbuka terhadap kemungkinan campur tangan atau sabotase oleh pihak luar. Untuk membatasi keterbukaan ini, perusahaan menggunakan firewall, teknik enkripsi, dan tanda tangan digital. 1. Firewall adalah system perangkat keras dan perangkat lunak yang memantau serta mengendalikan aliran komunikasi e-commerce dengan menyalurkan semua koneksi jaringan melalui pengendalian yang memverifikasi pemakai eksternal, memberikan akses kepada pemakai yang berhak, menolak akses pada pemakai yang tidak berhak, dan mengarahkan pemakai yang sah ke program atau data yang diminta. 2. Teknik enkripsi melindungi keamanan komunikasi elektronik ketika informasi yang sedang dikirimkan. 3. Tanda tangan digital adalah untuk membuktikan keaslian validitas mitra dagang yang melaksanakan bisnis secara elektronik.

4. Masalah yang timbul ketika klien mengoutsource TI. Banyak klien mengoutsource beberapa atau semua kebutuhan TI-nya kepada pusat pelayanan computer yang independen, termasuk penyedia jasa aplikasi, dan bukan menyelenggarakan pusat TI internal. Perusahaan juga mengoutsource system e-commerce nya ke penyedia jasa website eksternal. Dalam memahami pengendalian internal dalam system outsource auditor menghadapi kesulitan untuk memamhami pengendalian internal klien dalam situasi tersebut karena banyaknya pengendalian yang ada di pusat jasa dan auditor tidak dapat mengasumsikan bahwa pengendalian itu memadai hanya karena pusa jasa tersebut merupakan perusahaan independen. Standar auditing mengharuskan auditor mempertimbangkan kebutuhan untuk memahami dan menguji pengendalian pusat jasa, jika aplikasi pusat jasa itu melibatkan pemrosesan data keuangan yang penting. Sebagai contoh, banyak pengendalian untuk tujuan audit yang berkaitan dengan transaksi penggajian berada dalam program perangkat lunak yang diselenggarakan dan didukung oleh perusahaan jasa penggajian, bukan klien audit.