1

Audit Laporan Keuangan Berbasis

Teknologi Informasi

Seminar Pemeriksaan Akuntansi

Dosen: Abubakar Azhary SE., Ak., M.Acc.

Ardilla Hasni (8335116618)

Muhammad Izzan Mursyidan (8335116620)

Ardi Baharuddin (8335118299)

Syifa Aulia (8335118326)

Ruth Citra Permata (8335118330)

Kelas Non RegularProgram Studi S1 Akuntansi

Fakultas Ekonomi Universitas Negeri Jakarta2014

2

Kata Pengantar

Puji syukur kehadirat Tuhan Yang Maha Esa karena atas rahmat-Nya kami dapat menyelesaikan makalah berjudul Audit Laporan Keuangan Berbasis Teknologi Informasi ini dapat terselesaikan dengan baik.

Penulisan makalah ini sesuai dengan tujuan instruksional khusus Mata Kuliah Konsentrasi Seminar Pemeriksaan Akuntansi, Program Studi S1 Akuntansi, Jurusan Akuntansi, Fakultas Ekonomi, Universitas Negeri Jakarta.

Penulisan makalah ini dapat terselesaikan karena adanya bantuan dari berbagai pihak. Untuk itu, kami mengucapkan terima kasih kepada :

1. Bapak Abubakar Azhary SE., Ak., M.Acc. selaku dosen pembimbing,2. kedua orang tua yang telah memberikan dukungan serta doanya,3. teman-teman Konsentrasi Pemeriksaan Akuntansi Non-Regular 2011 sebagai

tempat untuk berdiskusi dan bertukar pikiran.

Kami menyadari bahwa makalah ini masih banyak kekurangan dan kelemahannya, baik dalam isi maupun sistematikanya. Hal ini disebabkan oleh keterbatasan pengetahuan dan wawasan kami. Oleh sebab itu, kami sangat mengharapkan kritik dan saran untuk menyempurnakan makalah ini.

Akhirnya, kami mengharapkan semoga makalah ini dapat memberikan manfaat.

Jakarta, Oktober 2014

3

Daftar Isi

Kata Pengantar 2

Daftar Isi 3

Daftar Gambar 5

Daftar Tabel 6

BAB 1 PENDAHULUAN 7

1.1 Latar Belakang 7

1.2 Manfaat Penulisan 8

1.3 Tujuan Penulisan 8

1.4 Rumusan Masalah 8

1.5 Metodologi Penulisan 9

BAB 2 PEMBAHASAN 10

2.1 Audit Berbasis TI 10

2.1.1 Pengertian Audit Berbasis TI 10

2.1.2 Pentingnya Audit Berbasis TI 10

2.1.3 Metode Audit Komputer 12

2.2 Pengendalian Intern atas Pengelolaan Komputer 13

2.2.1 Pengendalian Umum 14

2.2.1 Pengendalian Aplikasi 19

2.3 Teknik Audit Berbantuan Komputer (Computer Assisted Auditint Techniques/CAATs)21

2.3.1 Pengujian dengan Data Simulasi (Test Data) 21

2.3.2 Pemanfaatn Fasilitas Pengujian Secara Terpadu (Integrated Test Facilities) 22

2.3.3 Simulasi Paralel 23

2.3.4 Perangkat Lunak Audit 24

2.3.5 Kegiatan Audit Terprogram (Embeded Audit) 24

2.3.6 Metode Tracing Software 25

2.3.7 Metode Pemetaan (Mapping) 25

2.4 Pengaruh TI pada Proses Audit26

2.4.1 Perencanaan (Planning) 27

4

2.4.1.1 Penjadwalan Audit 28

2.4.1.2 Manajemen SDM Audit 28

2.4.1.3 Referensi Audit 29

2.4.1.4 Pendidikan dan Pelatihan Auditor 29

2.4.2 Penilaian Risiko 29

2.4.3 Pengujian (Testing) 32

2.5 Isu-Isu Audit dalam Lingkungan TI yang Berbeda 37

2.5.1 Lingkungan Jaringan 37

2.5.2 Database Management System 38

2.5.3 Siste E-Commerce 39

2.5.4 Outsourcing Fungsi TI 40

2.5.4.1 Risiko Inheren pada Audit TI 43

2.5.4.2 Pengaruh Audit pada Outsourcing TI 45

2.5.4.3 Studi Kasus: Outsourcing TI oleh PT. Pertamina 47

BAB 3 PENUTUP 48

3.1 Kesimpulan 48

3.2 Saran 49

Daftar Pustaka50

5

DAFTAR GAMBAR

Gambar 1. The need of control and audit of computer ............................................................ 8

Gambar 2. Hubungan antara Pengendalian Umum dengan Pengendalian Aplikasi .............. 11

Gambar 3. Pemisahan Tugas-tugas TI ................................................................................... 13

Gambar 4. Simulasi Paralel .................................................................................................... 31

Gambar 5. Pendekatan Data Ujian ......................................................................................... 32

Gambar 6. Tinjauan SAS 70 .................................................................................................. 46

6

DAFTAR TABEL

Tabel 1. Contoh-Contoh Mengaudit di Sekitar dan Melalu Komputer .................................. 30

Tabel 2. Penggunaan Umum dari Perangkat Lunak Audit Umum ......................................... 33

7

BAB 1

PENDAHULUAN

1.1 Latar Belakang

Teknologi komputer telah berkembang sangat cepat, bahkan lebih cepat dari perkiraan sebagian besar orang, dan sangat berpengaruh terhadap kehidupan modern. Fungsi komputer saat ini tidak hanya dapat membantu menyimpan data, mengetik, dan membuka file. Kini perkembangan komputer juga telah mempengaruhi beberapa pola kerja para professional termasuk para pemeriksa (auditor) dalam menjalankan profesinya. Hal tersebut terjadi karena perusahaan/organisasi yang menjadi objek pemeriksaan para auditor ini, telah menggunakan komputer sebagai pengolah datanya. Seperti sistem pembukuan perusahaan, penggajian, penghitungan persediaan, dsb. Semua telah tekomputerisasi dan menjadi sebuah database dalam suatu perusahaan. Hal inilah yang mendorong para pemeriksa keuangan (auditor) untuk memahami lebih jauh tentang komputerisasi atau pengolahan data secara elektronik sehingga dalam mengolah data client seorang auditor tidak perlu lagi mengolah,mencari, dan merekap data perusahaan secara manual yang akan memakan waktu lama, dengan adanya pemrosesan data elektronik atau (electronic data processing) / (EDP) seorang auditor dapat mengolah data secara cepat dan tepat sehingga dapat memaksimalkan proses kerja seorang auditor.

Dalam pemrosesan data elektronik (EDP) proses utama yang dilakukan adalah proses input masukan, penyimpanan, pengolahan yang mencakup kalkulasi, klasifikasi, manipulasi data, dan pengendalian. dari apa yang dilakukan dalam PDE diatas maka dalam memeriksa (audit) hendaklah meliputi keseluruhan kegiatan tersebut yang tentu saja mengharuskan pemeriksa (auditor untuk memehami konsep-konsep EDP. Dengan demikian seorang pemeriksa (auditor) selain dituntut untuk menguasai ilmu pemeriksaan (auditing), juga dituntut untuk menguasai ilmu komputer yng menjadi dasar ilmu pemrosesan data elektronik (EDP).

Peranan komputer selain membawa pengaruh yang baik dalam kinerja audit seperti ketelitian dan kecepatan dalam bekerja, juga dapat membawa implikasi buruk terhadap lingkungannya, beberapa hal yang harus diperhatikan auditor terkait dampak buruk tersebut, antara lain :

1. Sikap sebagian orang yang selalu menganggap bahwa dengan bekerja dengan komputer, maka output kerja yang dihasilkan akan maksimal dan tidak ada yang salah, padahal hal ini belum tentu benar karena dengan menggunakan komputer pun banyak dari para auditor yang lalai, tidak teliti, dsb yang mengakibatkan proses pemeriksaan yang salah.

2. Penyalahgunaan komputer oleh orang-orang yang lebih ahli, dengan berbagai macam jenis dan tujuan, hal ini sering disebut sebagai kejahatan komputer

3. Pengerusakan dan sabotase dari orang-orang yang tidak bertanggung jawab.

8

Pemeriksaan PDE bertujuan untuk memberikan opini (pernyataan) terhadap sistem informasi yang terkomputerisasi. Di sini, eriksa harus menilai apakah sumber daya telah digunakan secara efisien dan ekonomis, apakah semua kekayaan asset dilindungi dengan baik,. Dengan kata lain, pemeriksa harus dapat menyatakan apakah sistem informasi yang terkomputerisasi telah terselenggara dengan efektif dan efisen. Selain itu, pemeriksaan EDP juga harus dapat meberikan perbaikan pada suatu perusahaan atau organisasi dalam bidang pengamanan asset-aset pemrograman data, integritas data, efektivitas sistem pemrosesan data dan efisensi sistem pemrosesan data.

Melihat pentingnya penggunaan komputer dalam banyak hal terutama membantu kegiatan pemeriksa (auditor) dalam melaksanakan kegiatan kerja mereka dengan menggunakan pemrosesan data elektronik (EDP), maka penyampaian dan pembuatan makalah ini perlu dilakukan untuk memberikan informasi lebih kepada calon-calon auditor agar mereka memahami seperti apa proses dari EDP itu, apa saja kegunaan pemeriksaan dengan EDP, hal apa saja yang harus dihindarkan dalam penggunaan EDP, dsb.

1.2 Manfaat Penulisan

Manfaat penulisan makalah ini adalah :

1. Untuk penulis :

Sebagai sarana membagi ilmu kepada pembaca agar pembaca lebih mengetahui mengenai pemeriksaan (Audit) dengan pemrosesan data elektronik (electronic data processing) / (EDP), seperti apa proses dari EDP itu, apa saja kegunaan pemeriksaan dengan EDP, hal apa saja yang harus dihindarkan dalam penggunaan EDP, dsb.

2. Untuk pembaca :

Dapat menambah pengetahuan dan informasi mengenai pemeriksaan (Audit) dengan pemrosesan data elektronik (electronic data processing) / (EDP).

1.3 Tujuan Penulisan

Tujuan dari penulisan makalah ilmiah ini adalah untuk menjelaskan pemeriksaan mengenai (Audit) dengan pemrosesan data elektronik (electronic data processing) (EDP).hal yang dijelaskan seperti, apa maksud dari Audit Berbasis TI, bagaimana Pengendalian Intern atas Pengelolaan Komputer, apa saja Teknik Audit Berbantuan Komputer (Computer Assisted Auditint Techniques/CAATs), dsb.

1.4 Rumusan Masalah

Berdasarkan latar belakang diatas rumusan masalah yang dapat dirumuskan adalah sebagai berikut :

1. Jelaskanlah secara lengkap maksud dari Audit Berbasis TI ?

9

2. Sebutkan dan jelaskan pengendalian Intern atas Pengelolaan Komputer?

3. Sebutkan dan jelaskan Teknik Audit Berbantuan Komputer (Computer Assisted Auditint Techniques/CAATs)?

4. Apa saja Pengaruh TI pada Proses Audit? Jelaskan !

5. Sebutkan dan jelaskan Isu-Isu Lain yang Berhubungan dengan Audit TI ?

1.5 Metodelogi Penulisan

Penulisan dan penyelesaian makalah ini menggunakan bahan-bahan atau referensi dari sumber sekunder yaitu sumber-sumber yang dikutip maupun yang diambil dari dari media internet, artikel dan buku.

10

BAB 2

PEMBAHASAN

2.1 Audit Berbasis TI

2.1.1 Pengertian Audit Berbasis TI

Penggunaan komputer dalam berbagai bidang kehidupan berdampak terhadap sistem akuntansi, kontrol , dan audit. Teknologi informasi berdampak terhadap rancangan sistem akuntansi yang semula dilaksanakan secara manual dan sekarang semua sudah terkomputerisasi. Hal tersebut menyebabkan perbedaan dalam risiko yang dihadapi, sistem pengendalian intern, dan audit. Auditor laporan keuangan yang melakukan test of control dan subtantive test terhadap data akuntansi akan menjadi lebih sulit karena auditor harus menguji program dan file komputer.

Istilah audit TI atau computer audit kini lebih sering disebut dengan audit sistem informasi. Pengertian computer audit ialah proses pengumpulan dan pengevaluasian bukti-bukti untuk menentukan apakah suatu sistem aplikasi komputerisasi telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, semua aktiva dilindungi baik/tidak disalahgunakan serta terjaminnya integritas data, keandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer.1

Pada awalnya EDP audit dilakukan hanya dalam rangka audit laporan keuangan. Dalam perkembangannya, semakin penting dan semakin besar investasi dalam TI menyebabkan organisasi merasakan perlunya audit operasional terhadap fungsi TI-nya. Secara umum audit TI dimaksudkan untuk mengevaluasi tingkat kesesuaian antara sistem informasi dengan prosedur bisnis perusahaan, untuk mengetahui apakah suatu sistem informasi telah didesain dan diimplementasikan secara efektif, efisien dan ekonomis, memiliki mekanisme pengamanan aset, serta menjamin integritas data yang memadai.

2.1.2 Pentingnya Audit Berbasis TI

Audit sangat diperlukan karena akuntan yang melakukan audit laporan keuangan harus memahami dan menguji sistem dan pengendalian internnya, dan dalam rangka memeriksa data akuntansi. Selain alasan tersebut, audit TI diperlukan sehubungan dengan risiko yang tinggi di bidang sistem berbasis teknologi informasi. Audit didorong oleh kesadaran mutu dan kenyataan adanya faktor-faktor yang mendorong perlunya sumber daya informasi yang dikelola dengan baik karena perannya yang sangat penting dan mahal. Faktor-faktor yang mendorong pentingnya kontrol dan audit TI (Weber, 1999, p.6) antara lain:

1 Sanyoto Gandodiyoto, Audit Sistem Informasi + Pendekatan CobIT Edisi Revisi, (Jakarta:Mitra Wacana Media, 2007), hlm. 442

11

a. Mendeteksi agar komputer tidak dikelola secara kurang terarah, tidak ada visi, misi, perencanaan teknologi informasi, pimpinan organisasi kurang peduli, tidak ada pelatihan dan pola karier personil yang baik, dan sebagainya.

b. Mendeteksi risiko kehilangan data

c. Mendeteksi risiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputerisasi salah/lambat/tidak lengkap

d. Menjaga aset perusahaan, khususnya aset sistem informasi

e. Mendeteksi risiko error komputer

f. Mendeteksi risiko penyalahgunaan komputer

g. Menjaga kerahasiaan, sistem infoemasi berbasis teknologi informasi hendaknya mempunyai kemampuan untuk memproteksi data, aman, dan terjaga privasi para penggunanya.

h. Meningkatkan pengendalian evolusi penggunaan komputer, yaitu jangan sampai suatu organisasi/perusahaan melakukan komputerisasi secara tidak terkendali sehingga terjadi pemborosan-pemborosan atau tingkat keamanan yang kurang memadai.2

Gambar 1. The need of control and audit of computer3

2.1.3 Metode Audit Komputer2 Ibid, hlm. 623 Ibid, hlm. 63

12

Audit around the computer

Auditing sekitar komputer dapat dilakukan jika dokumen sumber tersedia dalam bahasa non mesin, dokumen-dokumen disimpan dengan cara yang memungkinkan pengalokasiannya untuk tujuan auditing, outputnya memuat detail yang memadai yang memungkinkan auditor menelusuri suatu transasksi dari dokumen sumber ke output atau sebaliknya.

Dalam metode ini, pelaksanaan penelaahan pengendalian intern dan pengujian atas transasksi serta prosedur verifikasi saldo perkiraan sama dengan yang dilaksanakan pada sistem pengolahan biasa, tidak ada usaha menguji efektivitas pengendalian pada departemen EDP. Dalam hal ini, auditor memandang sistem dan program komputer sebagai “blackbox” dan hanya menelaah dokumen input-output.4 Data input diseleksi dan diuji, dibandingkan dengan hasil outputnya, jika cocok, sah, dan akurat, maka pengendalian intern dapat dikatakan berjalan dengan baik dan auditor dapat mengambil kesimpulan tentang kualitas pemrosesan data yang dilakukan klien dan memberikan opini.

Keunggulan metode ini adalah pelaksanaan audit yang lebih sederhana dan auditor yang memiliki pengetahuan minimal dibidang komputer dapat dilatih dengan mudah untuk melaksanakan audit. Kelemahan metode ini adalah jika kondisi (user requirements) berubah, sistem perlu di re-desain dan perlu penyesuaian program-program, sehingga auditor perlu menilai ulang apakah sistem masih berjalan baik.5

Audit through the computer

Auditing melalui komputer lebih ditekankan pada pengujian sistem komputer daripada pengujian output komputer. Auditor menguji dan menilai efektivitas prosedur pengendalian operasi dan program komputer serta ketepatan proses dalam komputer. Hal ini dilakukan dengan menelaah dan mengesahkan sumber transaksi dan langsung menguji program logika serta program pengendalian komputer.6 Selain itu, auditor juga dapat meminta penjelasan dari para teknisi komputer mengenai spesifikasi sistem dan/atau program yang diaudit. Dalam pengujian substantif, auditor memeriksa file/data komputer. Apabila auditor menggunakan alat bantu software audit, besar kecilnya peran penggunaan komputer dalam audit tergantung pada kompleksitas dari sistem komputerisasi perusahaan yang diaudit. Penggunaannya dapat sederhana atau lebih rumit.

Keunggulan metode ini adalah bahwa auditor memiliki kemampuan yang besar dan efektif dalam melakukan pengujian terhadap sistem komputer, hasil kerjanya lebih dapat dipercaya dan sistem memiliki kemampuan untuk menghadapi perubahan lingkungan. Sedangkan kelemahan sistem ini terletak pada biaya yang sangat besar dan memerlukan tenaga ahli yang berpengalaman.7

Audit with the computer

4 Sukrisno Agoes, AUDITING Petunjuk Praktis Pemeriksaan Akuntan oleh Akuntan Publik Edisi 4 – Buku 2, (Jakarta:Salemba Empat, 2013), hlm. 2465 Gandodiyoto, Op.Cit., hlm. 4516 Agoes, Loc.Cit.7 Gandodiyoto, Op.Cit., hlm. 453

13

Dalam metode ini, audit dilakukan dengan mengunakan komputer dan software untuk mengotomatiskan prosedur pelaksananan audit.8 Audit with the computer adalah pendekatan audit dengan menggunakan bantuan komputer dalam berbagai bentuk, misalnya: pengetikan laporan, penjadwalan, penyusunan rencana kerja audit, penyusunan kertas kerja pemeriksaan, dan lainnya.9 Dalam metode ini dikenal juga teknik audit berbantuan komputer, yaitu menggunakan komputer dalam audit evidence collection

Pendekatan audit dengan berbantuan komputer sangat bermanfaat, khususnya dalam pengujian substantif atas file dan record perusahaan. Software audit yang digunakan merupakan program komputer yang dipakai auditor untuk membantu pengujian dan evaluasi keandalan record/data/file perusahaan.10

2.2 Pengendalian Intern atas Pengelolaan Komputer

Menurut SPAP dalam SA Seksi 314.4 No. 05-09 pengendalian intern atas pengelolaan komputer, yang dapat membantu pencapaian tujuan pengendalian intern secara keseluruhan, mencakup prosedur manual (pengendalian umum) maupun prosedur yang didesain dalam program komputer (pengendalian aplikasi).

Pengendalian umum berhubungan dengan semua aspek dari fungsi TI, termasuk administrasi; akuisisi dan pemeliharaan perangkat lunak; keamanan atas akses ke perangkat keras, perangkat lunak, dan data yang terkait; mem-backup perencanaan dalam keadaan darurat tak terduga; dan pengendalian perangkat keras.

Pengendalian aplikasi berlaku bagi pemrosesan transaksi individual, seperti pengendalian atas pemrosesan penjualan atau penerimaan kas. Oleh karena itu, pengendalian aplikasi adalah khusus untuk aplikasi perangkat lunak tertentu dan biasanya tidak mempengaruhi semua fungsi TI. Pengendalian pemrosesan karenanya dievaluasi untuk tiap-tiap area audit (rekening atau kelas transaksi) yang dipengaruhi oleh suatu aplikasi di mana auditor merencanakan untuk mengurangi risiko pengendalian yang ditaksir.

8 Agoes, Loc.Cit.9 Gandodiyoto, Op.Cit., hlm. 25410 Ibid, hlm. 255

14

Gambar 2. Hubungan antara Pengendalian Umum dengan Pengendalian Aplikasi11

Prosedur pengendalian manual dan komputer terdiri atas berikut ini

2.2.1 Pengendalian Umum

Pengedalian umum adalah kebijakan dan prosedur yang berhubungan dengan banyak aplikasi dan mendukung fungsi efektivitas pada pengendalian aplikasi. Pengendalian tersebut mencakup mainframe, mini-frame dan lingkungan pengguna akhir. Lingkungan pengguna akhir merujuk kepada situasi di mana pengguna sistem komputer terlibat dalam seluruh tahap pengembangan sistem. Pengendalian TI umum yang menjaga integritas informasi dan keamanan data mencakup pengendalian terhadap:

Pusat data dan operasi jaringan,

Akuisisi, perubahan, dan pemeliharaan sistem perangkat lunak,

Perubahan program,

Keamanan akses,

Akuisisi, pengembangan, dan pemeliharaan sistem aplikasi (ISA 315 (Redrafted)).12

Pengendalian menyeluruh yang berdampak terhadap lingkungan EDP terdiri atas:

11 Syamsu Alam, "Modul 11: Dampak Teknologi Informasi pada Proses Audit", Scribd, (https://www.scribd.com/doc/139227658/Dampak-Teknologi-Informasi-Pada-Proses-Audit), diakses 8 Oktober 2014, hlm. 4.12 Peter Byrne, “Auditing in A Computer-Based”, ACCA, (http://www.accaglobal.com/content/dam/acca/global/pdf/sa_aug09_byrne.pdf), diakses 8 Oktober 2014, hlm. 1.

15

1. Pengendalian Organisasi

Pengendalian ini bertujuan untuk memenuhi pengendalian intern berupa

a. pemisahan tugas yang memadai untuk mencegah adanya ketidakocokan fungsi personel EDP dalam departemen dan antara departemen EDP dengan pemakai;

b. pencegahan akses tidak sah terhadap peralatan komputer, program, dan file data oleh karyawan EDP maupun pemakai.

Pengendalian ini juga menyangkut pemisahan fungsi dalam departemen EDP dan antara departemen EDP dengan pemakai. Kelemahan dalam pengendalian ini biasanya memengaruhi semua aplikasi EDP.

Beberapa hal yang harus diperhatikan dalam pengendalian ini adalah:

a. penggabungan antara fungsi sistem analisis, pemrogram, dan operasi dalam satu orang akan menyebabkan mudahnya orang tersebut melakukan dan menyembunyikan kesalahan;

b. departemen EDP harus berdiri independen dari departemen pemakai, dengan demikian manajer EDP harus melapor pada orang/atasan yang tidak terlibat langung dalam otorisasi transaksi untuk pemrosesan komputer;

c. personel EDP seharusnya tidak mengotorisasi atau menandatangani transaksi atau mempunyai hak atas hasil aset.

Idealnya untuk tanggungjawab bagi manajemen TI, pengembangan sistem, operasional, dan pengendalian data harus dipisahkan sebagai berikut

Manajemen TI

Kekhilafan fungsi TI umumnya adalah tanggung jawab dari CIO atau manajer TI. Individu ini bertanggung jawab atas kekhilafan dari semua fungsi TI untuk memastikan bahwa aktivitas dilaksanakan secara konsisten dengan perencanaan strategis TI. Sebagai tambahan bagi CIO, administrator keamanan memonitor baik akses fisik dan akses online ke perangkat keras keras, perangkat lunak, dan arsip data dan melaksanakan kelanjutan prosedur investigatif untuk pelanggaran keamanan yang dideteksi.

Pengembangan sistem

16

Pengembangan dan penambahan ke sistem TI secara umum dikoordinasi oleh analis sistem yang bertanggung jawab atas keseluruhan perancangan masing-masing sistem aplikasi dan bertindak sebagai hubungan antara personil TI yang bertanggungjawab untuk memprogram aplikasi dan personil di luar fungsi TI yang akan menjadi para pemakai sistem utama (seperti personil piutang dagang). Para pemrogram mengembangkan bagan alur khusus untuk aplikasi itu, menyiapkan instruksi komputer, program ujian, dan mendokumentasikan hasil berdasarkan pada arahan dari analis sistem.

Operasional

Operasional komputer sehari-hari adalah tanggung jawab dari operator komputer yang bertanggung jawab atas pelaksanaan pekerjaan sesuai jadwal pekerjaan yang dibentuk oleh CIO dan untuk mengawasi konsol komputer untuk pesan tentang efisiensi komputer dan kegagalan pemakaian.

Pengendalian data

Personil pengendalian data masukan/keluaran secara independen memverifikasi mutu dari masukan dan kewajaran keluaran. Untuk organisasi yang menggunakan database untuk menyimpan informasi bersama oleh akuntansi dan fungsi lain, administrator bertanggungjawab atas operasional dan keamanan akses dari data-data bersama itu.13

Gambar 3. Pemisahan Tugas-tugas TI14

13 Alvin A. Arens, Randall J. Elder, Mark S. Beasly, Auditing and Assurancec Service: An Integrated Approach 14th - Global Edition, (Essex:Pearson Education Inc., 2012), hlm. 396.14 Alam, Op.Cit., hlm. 5.

17

Tentu saja, tingkat dari pemisahan tugas-tugas tergantung paada ukuran dan kompleksitas organisasi. Di dalam banyak perusahaan kecil, tidaklah praktis untuk memisahkan tugas-tugas ke tingkat yang digambarkan sebelumnya. Namun jika perencanaan organisasi tidak menyediakan pemisahan tugas atas fungsi-fungsi tersebut, auditor akan menghadapi masalah serius mengenai kebenaran dan kewajaran dari hasil pemrosesan komputer.

2. Pengendalian Administratif

Manfaat dan tujuan pengendalian intern yang ingin dicapai dari pengendalian ini adalah sebagai berikut.

a. Memberikan kerangka untuk mencapai tujuan sistem informasi secara keseluruhan, memberikan arah pengembangan sistem informasi, dan menggambarkan sumber-sumber daya yang diperlukan melalui pembuatan rencana induk (master plan).

b. Menyediakan seperangkat prosedur yang menggambarkan tindakan-tindakan yang harus diambil dalam keadaan darurat, misalnya jika sistem komputer gagal, rusak, atau bencana lainnya melalui pembuatan rencana tidak terduga (contingency plan). Tujuannya agar keberlanjutan operasi tetap terjamin, contohnya melalui uji prosedur data cadangan (testing of back-up procedures) dan perlindungan terhadap kebakaran dan banjir.

c. Menyediakan pelatihan dan pengarahan bagi karyawan, penyaringan dan seleksi karyawan sehingga menghasilkan personel komputer yang andal dan kompeten.

d. Memberikan kesatuan standar dalam pengembangan, operasi, dan pemeliharaan sistem komputer sehingga kekacauan dan kegagalan dapat ditekan. Tanpa adanya bentuk standar, departemen EDP akan mengalami inefisiensi operasi, inefektivitas pengembangan sistem dan ketidakmampuan untuk meneruskan sistem dalam hal terjadi penggantian karyawan. Beberapa standar formal yang harus ada meliputi prosedur pengembangan sistem, dokumentasi aplikasi, dokumentasi operasi, serta schedule komputer.

3. Pengendalian pengembangan dan pemeliharaan sistem

Pengendalian tarhadap pengembangan aplikasi seperti standar yang baik terhadap sistem desain dan penulisan program, dokumentasi yang baik, uji prosedur (penggunaan uji data untuk mengidentifikasi

18

eror kode program, pilot running, dan parallel running dari sistem lama dan baru).15

Pengendalian pengembangan sistem berhubungan dengan:

a. Review, pengujian, dan pengesahan sistem baru;

b. Pengendalian instalasi dan pemeliharaan sistem software

c. Pengendalian atas perubahan program;

d. Prosedur dokumentasi.

Prosedur berikut ini akan membantu dalam memberikan pengendalian yang memadai:

a. desain sistem harus melibatkan departemen pemakai, akuntansi dan internal auditor,

b. setiap sistem harus tertulis secara spesifik serta di-review dan disetujui oleh manajemen dan pemakai;

c. pengujian sistem harus dilakukan dengan kerja sama antara pemakai dan personal EDP;

d. manajer EDP, data base administrator, pemakai, dan top management harus memberikan persetujuan akhir atas sebuah sistem baru sebelum dioperasikan;

e. perubahan dan perbaikan program harus disetujui sebelum diimplementasikan untuk menentukan apakah mereka telah diotorisasi, diuji, dan didokumentasikan.

4. Pengendalian hardware dan software

Teknologi komputer modern telah mencapai tingkat kepercayaan yang tinggi dalam peralatan komputer. Kategori dari pengendalian ini meliputi:

a. dual read, input data akan dibaca dua kali dan kedua bacaan tersebut dibandingkan;

b. parity check, data diproses oleh komputer dengan menggunakan aturan bit (binary digit 0 atau 1);

c. echo check, tes echo merupakan pemindahan data yang diterima device output kembali ke unit sumber untuk dibandingkan dengan data asli;

15 Byrne, Op.Cit., hlm. 3.

19

d. read after write; komputer membaca ulang data setelah dicatat di dalam storage atau output device, dan menguji data dengan membandingkannya pada sumber asli.

Untuk mencapai hasil maksimum dari pengendalian ini, ada dua persyaratan utama yang harus dipenuhi.

a. Harus ada program pencegahan yang dibangun dalam hardware.

b. Pengendalian atas perubahan sistem software harus sejalan dengan pengembangan sistem dan pengendalian dokumentasi yang dijelaskan di atas.

5. Pengendalian dokumentasi

Pengendalian dokumentasi berhubungan dengan dokumen dan catatan yang dirancang oleh perusahaan untuk menggambarkan aktivitas pemrosesan komputer. Dokumentasi yang dimaksud meliputi:

a. penjelasan dan flow chart dari sistem dan program;

b. instruksi operasi untuk operator komputer;

c. prosedur pengendalian yang harus diikuti oleh operator dan pemakai;

d. uraian dan sampel dari input dan output yang diminta.

6. Pengendalian keamanan

Pengendalian akses atas file programPengendalian akses seharusnya mencegah penggunaan secara tidak sah dalam departemen EDP, data files, dan program komputer. Pengendalian spesifik meliputi penyelamatan fisik maupun prosedur.

2.2.2 Pengendalian Aplikasi

Pengendalian aplikasi merupakan prosedur manual atau otomatis yang khusus beroperasi pada tingkat proses bisnis dan digunakan pada pemrosesan transaksi oleh pengguna individu. Pengendalian aplikasi dapat bersifat preventif dan detektif dan didesain untuk menjamin integritas pencatatan akuntansi. Oleh karena itu, pengendalian ini berhubungan dengan tugas spesifik yang disajikan oleh komputer.

Jenis pengendalian ini didesain untuk memberikan jaminan bahwa pencatatan, pemrosesan, dan pelaporan data oleh EDP disajikan dengan wajar. Pengendalian ini menjamin bahwa transaksi yang terjadi

20

diautorisasi, dicatat dan diproses secara lengkap dan akurat. Pengendalian aplikasi berlaku pada pekerjaan pemrosesan data seperti penjualan, pemelian dan proesdur penggajian, serta biasanya dibagi kedalam beberapa kategori:

1. Pengendalian Input

Pengendalian input didesain untuk memberikan jaminan bahwa data yang diterima untuk diproses telah:

a. diotorisasi secara sah, setiap pemasukan transaksi harus diotorisasi dan disetujui sehubungan dengan otorisasi manajemen umum dan khusus;

b. diubah ke bentuk yang dapat dibaca oleh komputer, pengendalian ini dilakukan untuk memastikan bahwa (a) data telah dimasukkan dengan benar dan (b) data yang dikonversi adalah valid atau sah;

c. data dapat dipertanggungjawabkan (pengendalian diperlukan untuk meyakinkakn bahwa input data tidak hilang, ditambah, diduplikasi, atau berubah selama perpindahan antara langkah proses atau antardepartemen);

d. melalui koreksi kesalahan, koreksi dan perbaikan kembali data yang salah sangat vital dalam keakuratan catatan akuntansi.

Contoh yang paling umum dari pengendalian program terhadap akurasi dan kelengkapan pada input adalah edit checks (validasi data) saat perangkat lunak menguji data pada transaksi dengan melakukan:

reasonableness check, seperti gaji bersih dan gaji kotor

existence check, contoh melihat eksistensi sebuah akun supplier

character check, bahwa tidak ada karakter alfabet pada field angka invoice penjualan

range check, bahwa tidak ada gaji mingguan karyawan yang melebih $2.00

check digit, bahwa tdak ada karakter tambahan yang ditambahkan pada field akun referensi pada faktur penjualan untuk mendeteksi kesalahan seperti kesalahan transposisi selama input.

2. Pengendalian pemrosesan

Jenis pengendalian ini dirancang untuk memberikan jaminan bahwa pemrosesan komputer telah dilakukan sesuai dengan tujuan untuk

21

aplikasi termaksud. Artinya, semua transaksi yang diproses telah diotorisasi, transaksi yang tidak diotorisasi akan ditolak dan tidak ada transaksi tanpa otorisasi yang ditambah. Contoh dari pengendalian yang diprogram terhadap pemrosesan adalah run-to-run control. Total dari satu pemrosesan, ditambah dengan total dari pemrosesan yang kedua, harus sama dengan hasil dari pemrosesan yang kedua. Contohnya, saldo awal pada buku besar piutang ditambah faktur penjualan (processing run 1) dikurangi cek yang diterima (processing run 2) seharusnya sama dengan saldo akhir pada buku besar piutang.16

Pengendalian pemrosesan mempunyai banyak bentuk tetapi kebanyakan telah diprogram dalam software aplikasi yang digunakan, antara lain:

a. programmed checks untuk mendeteksi hilang atau tidak terprosesnya data;

b. programmed checks untuk menguji perhitungan aritmatika;

c. programmed checks untuk menjamin ketetapan posting.

3. Pengendalian Output

Pengendalian output dirancang untuk memastikan bahwa hasil pemrosesan adalah benar dan hanya personel yang memiliki hak yang menerima output. Ketepatan hasil pemrosesan meliputi file terbaru dan hasil cetakan printer.

Prosedur pengendalian ouput adalah sebagai berikut.

1. penyeleksian segera atas output untuk mendeteksi kesalahan yang terjadi.

2. Output harus segera diserahkan ke bagian kontrol dan didistribusikan oleh orang-orang yang berwenang kepada pemakai output yang berhak.

3. Output control total direkonsiliasi input control total untuk memastikan bahwa tidak ada data yang hilang atau ditambah selama proses atau transmisi data.

4. Semua formuir yang penting seperti faktur tagihan, pembayaran harus dipranomori dan dipertanggungjawabkan.

5. Output yang sangat sensitif, yang tidak boleh diketahui oleh karyawan pusat komputer, harus dihasilkan oleh alat output yang diletakkan pada tempat yang aman, di luar komputer.

16 Byrne, Op.Cit., hlm. 2.

22

6. Menetapkan prosedur yang menghubungkan pemakai jasa komputer dengan “data control group”, untuk memberikan feedback (umpan balik) melalaui kesalahan-kesalahan yang telah terjadi.17

4. Pengendalian Master File

Bertujuan untuk menjamin integritas yang terus menerus pada data yang dimiliki master files. Sangat penting untuk memastikan kontrol keamanan yang ketat diterapkan pada seluruh master file (ACCA, 2011).

Kontrol tersebut meliputi

Penggunaan password untuk membatasi akses terhadap master file data

Penetapan prosedur yang sesuai mengenai amendemen data, terdiri dari pemisahan tugas dan autoritas yang dibatasi pada individu yang bertanggung jawab.

Pengecekan regular pada data master file.

Processing control terhadap pembaruan master file, termasuk penggunaan penghitungan catatan (record count) dan control total.18

Contoh pengendalian master file meliputi pengecekan satu per satu terhadap perubahan pada master file, seperti perubahan harga konsumen diuji terhadap sebuah daftar yang telah diautorisasi. Sebuah printout harian master file seperti master file gaji dapat dikirim per bulannya ke departemen pegawai untuk memastikan karyawan terdaftar di catatan karyawan.

2.3 Teknik Audit Berbantuan Komputer / Computer Assisted Auditint Techniques (CAATs)

2.3.1 Pengujian dengan data simulasi/Test data

Teknik ini sering dipakai karena dianggap paling efektif. Pemeriksa dapat langsung memeriksa sistem pengolahan dengan menggunakan transaksi simulasi sebagai bahan pengujian. Beberapa program aplikasi diuji kemampuannya dalam memroses data hingga dapat diketahui apakah program berjalan secara benar atau ditemukan kesalahan atau

17 Agoes, Op.Cit., hlm. 245.

18 Brian Pine, “Specific aspects of auditing in a computer-based environment”, ACCA, (http://www.accaglobal.com/content/dam/acca/global/pdf/sa_jan11_CAATs.pdf), diakses 8 Oktober

23

peyimpangan. Dengan melakukan pengujian data akan didapat bukti yang konkret mengenai keandalan program/sistem dalam memroses suatu transaksi.19

Hal-hal yang perlu dipersiapkan oleh pemeriksa dalam melakukan pengujian meliputi transaksi yang dipakai untuk pengujian dan berkas induk pengujian. Pemeriksa harus melakukan pengujian secara ketat atas prosedur pengujian agar dapat mempertahankan indepedensinnya.

Cara yang dilakukan auditor dalam pelaksanaan audit dengan metode data uji adalah auditor men-generate dummy data, kemudian diproses dengan sistem aplikasi dan komputer yang ada di auditee. Data uji yang dibuat auditor harus mencakup seluruh kemungkinan transaksi yang tidak sah atau salah agar dapat ditentukan apakah program komputer yang diuji bereaksi dengan tepat terhadap berbagai kesalahan dengan cara memeriksa daftar kesalahan dan perincian keluaran yang dihasilkan dari data pengujian. Data uji biasanya sengaja dibuat salah oleh auditor dan ia telah memperkirakan bahwa seharusnya komputer akan mendeteksi kesalahan itu. Jika ternyata pada expected result yang ia perhitungkan ternyata tidak terjadi, berarti ada sesuatu yang salah pada program aplikasi.

Teknik test data dapat menguji proses yang terjadi di komputer dengan perkiraan output berdasarkan input yang dipersiapkan (error), relatif simple, cepat, serta relatif murah. Kelebihan lain ialah teknik ini hanya memerlukan sedikit keahlian teknis komputer dari auditor, tetapi sering dapat menghasilkan temuan yang bagus, dan dengan sedikit modifikasi, data masih dapat digunakan pada audit yang akan datang.20 Pengujian yang dilakukan dengan data uji ialah untuk mengetahui apakah program komputer sudah bekerja dengan baik.

Sedangkan kelemahan dalam metode ini bisa di bagi menjadi dua, yaitu pertama, walaupun dibuat dengan data generator software, tidak mungkin data dapat mencakup semua kemungkinan kesalahan. Suatu aplikasi sudah kita cek dengan data yang sengaja dibuat salah dan kita sudah yakin bahwa program sudah cukup handal, ternyata tetap ada jenis kesalahan lain yang terjadi yang tidak dapat dideteksi oleh program. Kedua, auditor sulit menyakini dengan yakin apakah program yang di-test memang betul-betul program yang digunakan secara operasional atau bukan. Sulit mengetahui apakah program merupakan versi produksi atau versi pengembangan.21

2.3.2 Pemanfaatan Falisitas Pengujian Secara Terpadu / Integrated Test Fasilities (ITF)

Teknik ini merupakan perluasan dari teknik pengujain data. Traksaksi simulasi digabung dengan transaksi sebenarnya dengan cara memberikan suatu kode khusus. Pemeriksa dapat membandingkan hasil pengujian dengan ketentuan yang telah ditetapkan sebelumnya. Dengan demikian pemeriksa dapat menilai keandalan program aplikasi dan mengetahui

19 Agoes, Op.Cit., hlm. 24820 Audit sistem informasi hal 62621 Ibid hal 627

24

apakah program aplikasi telah dilengkapi dengan pendekteksian kesalahan. Teknik ini sangat cocok untuk sistem pengolahan online maupun batch processing.22

ITF digunakan untuk menguji sistem aplikasi dengan data tes pada saat komputer dioperasikan dalam kegiatan rutin pada organisasi/perusahaan yang diaudit. Pada ITF, pemeriksaan atau tes sistem komputerisasi dilaksanakan secara kontinyu dan simultan antara pelaksanaan tes dan real processing run. Dalam ITF auditor harus membuat dummy data dan diproses bersamaan dengan real data yang memang saat itu sedang diolah. Perlu dicatat bahwa persiapan dan pelaksanaan tes harus sedemikian rupa sehingga operator tidak mengetahui bahwa pada saat ini sedang dilakukan audit. Sistem ITF ini sering dilakukan pada bidang aplikasi: order entry, purchasing, payroll, account receivable, dan sebagainya.

Keunggulan teknik ini adalah ITF hanya memerlukan sedikit keahlian teknis komputer, biaya relatif murah, dapat dilakukan mendadak, dan auditor dapat memeriksa sistem aplikasi yang sebenarnya digunakan. Kelemahan teknik ini adalah auditor harus sangat hati-hati karena sistem dan data yang digunakan adalah live system dan actual data.23

2.3.3 Simulasi paralel

Teknik simulasi pemrosesan secara paralel dilaksanakan dengan : client’s data, auditor software”24. Maksudnya ialah pelaksanaan pemeriksaan dilakukan terhadap data sesungguhnya (data auditee yang di copy) dan diproses dengan software atau bahkan komputer auditor. Data real ini sebelumnya diproses seperi kegiatan rutin biasanya yang ada di pada komputer auditee, selanjutnya data dicopy dan diproses ulang pada komputer auditor. Laporan yang dihasilkan simulasi dibandingkan oleh auditor dengan laporan yang dihasilkan oleh pemrosesan rutin perusahaan: jika terjadi perbedaan, asumsinya perbedaan tersebut menunjukan bahwa software perusahaan tidak memroses data sesuai dengan spesifikasi yang ada. Pada dasarnya sistem ini dapat dibedakan dalam dua cara25, yaitu:

a. Parallel simulation. Auditor akan meminjam data dan diproses pada komputer auditor, tetapi dengan sistem simulasi yaitu sistem yang dibuat sendiri oleh auditor dengan spesifikasi yang sama dengan aslinya/yang ada di auditee

b. Parallel processing. Auditor akan meminjam data dan diproses pada komputernya auditor dengan sistem aplikasi yang juga dicopy dari komputer auditee.

Keunggulan metode simulasi paralel adalah audit dilakukan pada komputernya auditor /komputer lain/ bukan yang sedang diaudit, sehingga diperoleh keyakinan akan status sistem komputerisasi tersebut lebih akurat. Selain itu auditor memperoleh keyakinan lebih tinggi karena dengan sistem simulasi kalau ada hal-hal yang tidak dapat terdeteksi dengan uji coba saja, maka akan diketahui karena dicoba dengan sistem yang lain. Sedangkan kelemahan dalam teknik ini adalah program yang akan dipakai simulasi oleh auditor perlu dibuat terlebih dahulu, dan mungkin memakan waktu dan biaya yang relatif mahal serta auditor harus 22 Agoes, Loc.Cit.23 Gandodiyoto, Op.Cit., hlm. 63324 Ibid., hlm. 62925 Ibid.

25

mempunyai keahlian komputer yang cukup kompeten untuk dapat menelusuri kembali perbedaan anatara dua hasil.

2.3.4 Perangkat Lunak Audit

Perangkat lunak terdiri dari software yang digunakan oleh auditor sebagai bagian atau dukungan teknis pengumpulan bahan bukti audit dalam prosedur auditnya. Software audit mencakup program-program komputer yang memungkinkan komputer digunakan sebagai alat audit yang digunakan untuk mengumpulkan dan mengolah data audit yang signifikan dari sistem informasi perusahaan. Komputer diprogram untuk dapat membaca, memilih, mengekstrak, dan mensortir data dari file-file komputer. Dengan memakai perangkat lunak yang disusun khusus untuk pemeriksaan, pemeriksa dapat menguji keandalan dokumentasi dan berkas suatu objek pemeriksaan. Beberapa audit software yang biasa dipakai antara lain: generalized audit software (GAS), audit command language (ACL), audassist, idea-y.

GAS adalah perangkat lunak yang dirancang secara khusus untuk mendukung penggunaan teknologi informasi dalam auditing.26 Sebagian besar paket-paket GAS serupa penggunaanya. Pemakai, pertama kali harus mendefinisikan tujuan-tujuan dan rencana penggunaan perangkat lunak. Auditor harus membuat bagan arus tugas pemrosesan yang akan dicapai. Ini berarti diperlukan pengenalan mengenai kemampuan paket yang akan digunakan. Jika aplikasi telah direncanakan, langkah selanjutnya adalah membuat kode untuk pemrosesan. Pembuatan kode harus dilakukan dalam tiga area umum. Area pertama adalah menspesifikasikan karakteristik-karakteristik data dari file yang akan di proses. Area kedua adalah menspesifikasikan langkah-langkah pemrosesan yang akan dilakukan. Area ketiga dan terkahir adalah menspesifikasikan isi dan format keluaran. Setelah diberi kode, maka dilakukan entri, diverifikasi oleh auditor dan disampaikan sesuai dengan file audit yang akan diproses.

Perangkat lunak audit terdiri dari:

a. Program paket (package programs). Program komputer yang dirancang untuk melaksanakan fungsi pengolahan data yang mencakup pembacaan file komputer, pemilihan informasi, pelaksanan perhitungan, pembuatan file data, dan pencetakan laporan dalam suatu format yang telah ditentukan oleh auditor.

b. Program khusus (purpose-written programs). Program komputer yang dirancang untuk melaksanakan tugas audit dalam keadaan khusus.

c. Program utilitas (utility programs). Software sistem yang digunakan dalam pengumpulan bukti. Program yang digunakan oleh perusahaan untuk melaksanakan fungsi pengolahan umum.27

26 Ibid., hlm. 64527 Ibid., hlm. 646

26

2.3.5 Kegiatan Audit Terprogram (Embedded Audit Modules)

Pemeriksa dapat memasang suatu modul atau program pemeriksaan kedalam program aplikasi untuk memantau secara otomatis sehingga dapat terhimpun data untuk keperluan pemeriksaan. Transaksi yang diolah oleh program aplikasi kemudian akan dicek oleh modul pemeriksaan yang telah dipasang ke dalam program aplikasi yang selanjutnya akan dicatat ke dalam suatu log pemerikasan. Pemeriksa dapat menyimpulkan apakah program aplikasi berjalan dengan baik tanpa adanya penyimpangan dari catatan log yang dicetak secara berkala.28

Teknik ini memberikan manfaat antara lain:

a. Dalam pemberitahuan real-time. Transaksi terpilih atau akses yang terdeteksi dipergunakan pada sebuah terminal auditor pada saat ditangkap oleh modul audit

b. Dalam pelabelan modul audit melabeli transaksi dengan petunjuk khusus, sehingga data mengenai pemrosesan bisa dikumpulkan

c. Dalam snapshotting, modul audit menangkap isi bidang penyimpanan primer pada titik-titik terpilih dalam pemrosesan transaksi terpilih oleh program yang bersangkutan. Snapshot membantu auditor menemukan kesalahan dalam logika program29

Keunggulan teknik audit ini antara lain data mengenai transaksi yang penting untuk diaudit mudah diperoleh, memungkinkan semua pemrosesan dipantau, serta dapat mendeteksi dan mencatat kemungkinan penyalahgunaan wewenang mengakses file induk untuk memasukan data transaksi palsu atau membatalkan parameter pemrosesan. Kelemahan teknik ini adalah memerlukan tambahan waktu untuk memroses transaksi, perancangan dan implementasi modul biasanya mahal, dan memerlukan pengamanan yang lebih ketat.30

2.3.6 Metode Tracing Software

Pemeriksa dapat melakukan penelusuran terhadap suatu program aplikasi untuk menguji keandalan kebenaran data masukan dalam pengujian ketaatan. Dengan metode ini pemeriksa mencetak daftar instruksi program yang dijalankan sehingga dapat ditelusuri apakah suatu instruksi telah dijalankan selama proses.31

2.3.7 Metode Pemetaan (Mapping)

Pemogram dapat memasukan kode-kode tertentu yang tidak dikehendaki yang disiapkan kedalam program untuk kepentingnya. Dengan metode ini dapat ditunjukan suatu bagian program aplikasi yang dimasuki pada saat dijalankan sehingga dapat diketahui bagian mana dari program tersebut yang sedang melakukan proses dan bagian mana yang tidak sedang melakukan proses. Dengan diketahuinya bagian-bagian yang sedang bekerja dan bagian-

28 Agoes, Op.Cit., hlm. 24929 Gandodiyoto, Op.Cit., hlm. 64230 Audit sistem informasi hal 64731 Sukrisno 249

27

bagian yang tidak sedang bekerja tersebut maka dapat dipisahkan kode-kode yang tidak dikehendaki tadi kemudian menghapusnya.32

Keunggulan metode ini ialah auditor dapat memberikan usulan perbaikan terhadap suatu program karena program tersebut kurang bermanfaat.33 Dengan demikian, jika perbaikan dilakukan maka komputer akan dapat dioperasikan dengan lebih efisien. Kelemahan dari metode ini adalah biaya pengadaan software yang relatif mahal dan perlu waktu pelatihan serta kemahiran tertentu untuk dapat memanfaatkannya.

2.4 Pengaruh TI Pada Proses Audit

Pada general audit (audit laporan keuangan), mungkin perlu dilakukan audit teknologi informasi dalam rangka test of controls dan substantive test sebagai bagian dari kewajiban manajemen untuk memberikan akuntabilitas kepada para stockholder dan stakeholder sesuai ketentuan hukum atau peraturan-peraturan otoritas (misalnya BAPEPAM di Indonesia, atau SEC di Amerika). Audit TI pada audit laporan keuangan menjadi makin penting perannya, antara lain karena kaitannya dengan Sarbanas Oxley 2002 di Amerika.

Para auditor bertanggung jawab untuk mendapatkan pemahaman atas pengendalian internal, mereka harus memiliki pengetahuan mengenai pengendalian internal umum dan aplikasi, apakah klien menggunakan TI yang sederhana atau yang kompleks. Pengetahuan akan pengendalian umum meningkatkan pengendalian aplikasi yang efektif untuk mengurangi risiko pengendalian untuk tujuan audit yang terkait.Bagian ini menyoroti bagaimana pengendalian umum dan pengendalian aplikasi mempengaruhi proses audit.

Penggunaan teknologi informasi dapat meningkatkan pengendalian internal dengan menambahkan prosedur pengendalian baru yang dilakukan oleh komputer dan dengan mengganti pengendalian yang biasanya dilakukan secara manual yang rentan terhadap kesalahan manusia. Di saat yang sama, TI dapat menimbulkan risiko-risiko baru yang dapat diatasi klien dengan menggunakan pengendalian khusus terhadap sistem TI. Beberapa perubahan dalam pengendalian internal yang disebabkan oleh integrasi TI ke dalam sistem akuntansi:

a) Pengendalian internal menggantikan pengendalian manual. Keunggulan yang paling tampak dalam TI adalah kemampuan untuk menangani transaksi bisnis yang komplek dalam jumlah yang besar dengan efisien. Karena komputer memproses informasi secara konsisten, sistem TI dapat mengurangi salah saji dengan mengganti prosedur yang biasanya dilakukan secara manual dengan pengendalian-pengendalian yang terprogram yang menerapkan fungsi saling mengawasi dan mengontrol (check and balance). Untuk setiap transaksi yang diproses.

b) Menyediakan informasi dengan kualitas yang lebih tinggi. Aktivitas-aktivitas TI yang kompleks biasanya diatur secara efektif karena kompleksitas mengharuskan adanya pengaturan, prosedur, dan dokumentasi yang efektif. Hal tersebut biasanya

32 Ibid.33 Gandodiyoto, Loc.Cit.

28

menghasilkan informasi yang kualitasnya lebih tinggi serta lebih cepat bagi manajemen perusahaan. Jika manajemen yakin bahwa informasi yang dihasilkan oleh TI tersebut dapat diandalkan, manajemen akan menggunakan informasi tersebut untuk keputusan-keputusan manajemen yang lebih baik.

Prosedur yang lazim dilaksanakan pada audit laporan keuangan adalah sebagai berikut :

a) Perencanaan pemeriksaan : pemahaman sistem informasi akuntansi untuk pelaksanaan transaksi

b) Pemahaman sistem dan struktur pengendalian internnya: penentuan kemungkinan salah saji dalam tiap tahap pelaksaan transaksi, penentuan aktivitas pengendalian untuk deteksi salah saji, penentuan prosedur audit untuk deteksi efektivitas pengendalian intern, penyusunan program audit (rencana kerja audit)

c) Pengumpulan bukti audit

d) Pengujian ketaatan (evaluasi pengendalian intern) dan pengujian substantif

e) Komunikasi hasil pemeriksaan.34

Masih menyesuaikan dengan kelima prosedur yang lazim dilakukan seperti yang tercantum di atas, dalam audit berbasis teknologi informasi terdapat tiga prosedur penting yang perlu menjadi fokus auditor :

2.4.1 Perencanaan (Planning)

Lampiran dari ISA 300 (Redrafted) menyatakan efek teknologi informasi pada prosedur audit, termasuk ketersediaan data dan penggunaan yang diharapkan dari audit dengan teknik bantuan komputer sebagai salah satu karakteristik audit yang perlu dipertimbangkan dalam mengembangkan keseluruhan strategi audit.35 Langkah pertama dalam perencanaan audit adalah untuk menetapkan ruang lingkup dan tujuan pemeriksaan.36 Pada audit laporan keuangan, pemeriksaan dilakukan oleh auditor (akuntan) ekstern dan independen terhadap laporan keuangan perusahaan, ditujukan kepada para pemegang saham pihak lain terkait. Tujuan audit untuk menilai kelayakan atau kewajaran (fairness) laporan keuangan yang disajikan oleh perusahaan.

Sebelum melaksanakan pekerjaan audit, terlebih dahulu auditor internal harus menyusun rencana audit secara sistematis. Rencana audit tersebut berfungsi sebagai:37

a. Pedoman pelaksanaan audit,

b. Dasar untuk menyusun anggaran,

34 Gondodiyoto, Op.Cit., hlm. 46335 Byrne, Op.Cit., hlm. 536 Gondodiyoto, Op. Cit., hlm. 464 37 Kurniawan Budi Raharjo, “Perencanaan Audit”, (http://kurniawanbudi04.wordpress.com/2013/01/14/perencanaan-audit/), diakses 8 Oktober 2014

29

c. Alat untuk memperoleh partisipasi manajemen,

d. Alat untuk menetapkan standar,

e. Alat pengendalian, dan

f. Bahan pertimbangan bagi akuntan publik yang diberi penugasan oleh perusahaan.

Pembahasan mengenai pemanfaatan TI dalam perencanaan audit pada bagian ini akan lebih mengarah kepada Manajemen audit yang dilakukan untuk menjamin kesesuaian pelaksanaan audit dengan standar audit dan peraturan yang ada serta untuk menjamin agar audit dapat dilaksanakan secara efektif dan efisien. Banyak komponen dalam mengelola suatu audit yang dapat kita tingkatkan efektifitas dan efisiensinya dengan memanfaatkan TI.

Berikut ini adalah beberapan contoh pemanfaatan TI dalam manajemen audit :

2.4.1.1 Penjadwalan Audit

Berdasarkan hasil analisis awal atas resiko dan pengendalian intern auditor kemudian akan menyusun rencana auditnya. Penyusunan rencana audit ini dapat berupa perencanaan audit untuk satu periode tertentu atau perencanaan untuk setiap audit itu sendiri. Dalam menyusun suatu rencana audit biasanya auditor harus mempertimbangkan sumber daya audit yang dimilikinya dibandingkan dengan kebutuhan auditnya. Jika jumlah kebutuhan audit dan sumber daya audit yang harus dikelola oleh auditor cukup banyak maka proses ini tentunya akan cukup menyulitkan jika dilakukan dengan cara manual tanpa bantuan TI. Saat ini sudah cukup banyak solusi TI yang dapat dimanfaatkan untuk melakukan perencanaan audit, baik yang khusus dirancang untuk kegiatan audit maupun yang dirancang untuk penjadwalan kegiatan secara umum.

2.4.1.2 Manajemen SDM Audit

Dalam mengelola audit kita perlu melihat auditor sebagai suatu sumber daya yang perlu dikelola dengan baik, mulai dari rekrutmen sampai dengan terminasi. Dengan meningkatnya jumlah auditor kita serta berkembang tingkat keahliannya mereka maka kita perlu memanfaatkan solusi TI dalam mengelola SDM audit, terutama dalam mengelola keahlian dan kemampuan yang dimiliki auditor untuk menjamin bahwa keahlian tersebut tetap dapat dipertahankan dan menjadi aset perusahaan. Terdapat cukup banyak solusi TI yang tersedia dapat membantu kita dalam mengelola SDM audit yang ada. Beberapa fitur yang sangat bermanfaat dari solusi yang ada adalah terdapatnya database mengenai keahlian auditor yang sangat membantu kita dalam proses pengalokasian tugas audit berdasarkan keahlian. Database ini juga dapat membantu kita dalam merencanakan program pendidikan profesi berkelanjutan (continuing professional education) bagi para auditor.

30

2.4.1.3 Referensi Audit

Untuk dapat merencanakan dan melaksanakan suatu audit yang dapat memberikan nilai lebih bagi klien maka auditor harus referensi yang cukup mengenai audit yang akan dilaksanakan. Beberapa hal penting yang perlu dijadikan referensi bagi auditor adalah mengenai resiko dan international best practices yang terkait dengan bidang industri klien, serta referensi mengenai penugasan audit yang sejenis yang pernah dilakukan oleh auditor sendiri maupun oleh pihak lain. Banyak solusi TI yang telah dapat digunakan oleh auditor untuk menyusun suatu perpustakaan referensi audit secara elektronis. Dengan memiliki solusi TI untuk menyimpan referensi audit ini auditor akan mampu untuk meningkatkan keunggulan kompetitifnya dan akan memberikan suatu nilai lebih bagi klien.

2.4.1.4 Pendidikan & Pelatihan Auditor

Setiap auditor biasanya diharuskan untuk mengikuti suatu program pelatihan profesi lanjutan (PPL) selama beberapa jam setiap tahunnya. Hal ini diharuskan untuk mempertahankan dan mengembangkan kemampuan auditor. Dengan memanfaatkan solusi TI yang ada maka pendidikan dan pelatihan auditor kini dapat dilaksanakan dengan lebih efisien dan tidak mengganggu waktu kerjanya. Banyak solusi TI yang menawarkan pelatihan berbasis TI dimana auditor dapat mengatur sendiri jadwalnya untuk membaca materi dan mengerjakan soal-soal latihan yang sudah diintegrasikan dalam suatu aplikasi yang dapat dipasang dikomputer auditor. Beberapa solusi TI juga menwarkan ujian langsung dari komputer auditor dan auditor hanya cukup mengirimkan hasilnya secara elektronis kepada penyelenggara ujian. Dengan memanfaatkan solusi TI untuk melakukan pendidikan dan pelatihan bagi auditor diharapkan dapat dicapai PPL yang berkesinambungan dengan biaya yang lebih ekonomis. Perusahaan juga dapat mengembangkan sendiri program pendidikan dan pelatihan auditornya dan mengintegrasikannya dalam suatu solusi TI untuk menjamin keseragaman metode pelatihan serta kesesuaian keahlian untuk suatu tingkatan jabatan auditor.

2.4.2 Penilaian Resiko

“Auditor harus memperoleh pemahaman mengenai kontrol internal yang relevan dengan audit.” Hal tersebut tercantum dalam ISA 315. Catatan aplikasi untuk ISA 315 mengidentifikasi sistem informasi sebagai salah satu dari lima komponen pengendalian internal. Hal ini mengharuskan auditor untuk mendapatkan pemahaman akan sistem informasi, termasuk prosedur dalam TI dan sistem manual. Dengan kata lain, jika auditor bergantung pada pengendalian internal dalam menilai risiko pada tingkat asersi, dia perlu memahami dan menguji kontrol, apakah kontrol tersebut manual atau otomatis.38 Auditor sering menggunakan pertanyaan Internal Control

38 Byrne, Loc. Cit.

31

Evaluation (ICE) untuk mengidentifikasi kekuatan dan kelemahan dalam pengendalian internal. Pertanyaan tetap sama - tetapi dalam menjawabnya, auditor harus mempertimbangkan baik dari segi kontrol manual maupun otomatis. Misalnya, saat menjawab pertanyaan ICE, 'bisakah kewajiban terjadi namun tidak dicatat? ', auditor perlu mempertimbangkan kontrol manual, seperti pencocokan barang yang diterima dengan catatan faktur pembelian. Kemudian juga mempertimbangkan kontrol aplikasi, seperti urutan program pemeriksaan pada faktur pembelian. Operasi kontrol batch total, baik diprogram atau dilakukan secara manual, akan juga relevan untuk pertanyaan ini.

Walaupun TI dapat meningkatkan pengendalian internal perusahaan, ia juga dapat mempengaruhi risiko pengendalian keseluruhan perusahaan. Banyak risiko yang berhubungan dengan sistem manual yang dikurangi dan dalam beberapa kasus malah dihilangkan. Namun, risiko baru yang dikhususkan untuk lingkungan TI telah diciptakan dan dapat mengarah kepada kerugian besar jika diabaikan. Sebagai contoh, ketidakmampuan untuk mendapatkan kembali informasi yang penting karena kegagalan sistem TI atau penggunaan informasi yang tidak dapat dipercaya oleh karena kesalahan pemrosesan yang dihasilkan oleh teknologi itu bisa melumpuhkan organisasi. risiko ini meningkatkan kemungkinan salah saji material dalam laporan keuangan yang harus dipertimbangkan oleh manajemen dan auditor. Yang berikut menyoroti risiko kunci yang khusus untuk lingkaran TI :39

1. Risiko terhadap perangkat keras (hardware) dan data.

Meskipun TI memiliki keunggulan dalam pemrosesan secara signifikan, TI juga dapat

menciptakan risiko-risiko yang khas dalam melindungi perangkat keras dan data, dan juga potensial memunculkan jenis-jenis kesalahan yang baru, berikut ini risiko-risiko khusus tersebut:

a) Ketergantungan terhadap kemampuan kerja perangkat keras (hardware) dan perangkat lunas (Software). Tanpa memberikan perlindungan fisik yang tepat, perangkat keras dan lunak mungkin tidak dapat berfungsi atau tidak berfungsi dengan benar. Sehingga sangat penting untuk memberikan perlindungan fisik yang disebabkan oleh penggunaan yang tidak tepat, sabotase, atau kerusakan lingkungan (misal dari api, air, lembab, dan panas).

b) Kesalahan sistematis dan kesalahan acak. Ketika perusahaan mengganti prosedur manual dengan prosedur berbasis TI, risiko kesalahan acak akibat dari keterlibatan manusia dapat berkurang.

c) Akses yang tidak diotorisasi. Sistem akuntansi berbasis TI sering kali memungkinkan akses secara online terhadap data dalam arsip utama, perangkat lunak dan catatan-catatan lainnya. Karena akses online dapat dilakukan dari jarak jauh termasuk oleh pihak eksternal melalui internet,

39 Arens, Op.Cit., hlm. 392.

32

terdapat potensi akses yang tidak sah. Tanpa adanya pembatasan online yang tepat seperti penggunaan kata sandi dan identifikasi pengguna, aktivitas yang tidak sah dapat dilakukan melalui komputer, yang berakibat pada perubahan yang tidak tepat dalam program perangkat lunak dan arsip-arsip utama.

d) Kehilangan data. Banyak data dalam sistem TI yang disimpan dalam arsip elektronik yang terpusat. Hal ini meningkatkan risiko kehilangan atau kerusakan seluruh arsip data. Hal tersebut memiliki dampak yang sangat serius, dengan potensi salah saji dalam laporan keuangan bahkan dalam beberapa kasus mengakibatkan gangguan serius terhadap kegiatan operasional perusahaan secara keseluruhan.

2. Berkurangnya jejak audit

Salah saji mungkin tidak dapat dideteksi dengan meningkatnya penggunaan TI karena hilangnya jejak audit yang nyata, dan juga berkurangnya keterlibatan manusia. Selain itu, komputer menggantikan beberapa jenis otorisasi tradisional dalam banyak sistem TI:

a) Kejelasan jejak audit (visibility of audit trail). Karena banyak informasi yang dimasukkan secara langsung ke dalam komputer, penggunaan TI sering kali mengurangi atau bahkan menghilangkan dokumen-dokumen sumber dan catatan-catatan yang memungkinkan organisasi untuk menelusuri informasi akuntansi tersebut. Dokumen dan catatan tersebut dinamakan jejak audit. Karena tidak adanya jejak audit pengendaalian lain harus dimasukkan untuk menggantikan kemampuan tradisional untuk membandingkan informasi output dengan data di atas kertas.

b) Berkurangnya keterlibatan manusia. Dalam banyak sistem TI, para pegawai yang menangani pemrosesan awal transaksi tidak pernah melihat hasil akhirnya. Sehingga mereka kurang mampu untuk mengidentifikasikan salah saji dalam pemrosesan. Bahkan jika mereka dapat melihat hasil akhirnya sekalipun, sering kali sulit untuk mengenali adanya salah saji karena hasilnya sering kali sudah diiktisarkan dengan sangat ringkas. Selain itu, para pegawai cenderung menganggap output yang dihasilkan dari penggunaan TI itu “benar” karena diproses oleh program komputer.

c) Kurangnya otorisasi tradisional. Sistem TI yang maju sering kali dapat mengerjakan beberapa jenis transaksi secara otomatis, seperti menghitung bunga untuk rekening tabungan dan pemesanan persediaan ketika tingkat pemesanan kembali yang telah ditetapkan telah tercapai. Sehingga otorisasi yang tepat bergantung pada perangkat lunak dan arsip utama yang akurat yang digunakan untuk membuat keputusan otorisasi.

33

3. Kebutuhan akan pengalaman di bidang TI dan pemisahan tugas-tugas TI.

Sistem TI mengurangi pemisahan tugas tradisional (otorisasi, pembukuan, dan penyimpanan) dan menciptakan suatu kebutuhan tambahan akan pengalaman di bidang TI:

a) Berkurangnya pemisahan tugas. Ketika suatu organisasi berubah dari proses manual ke proses komputer, komputer melakukan banyak tugas yang sebelumnya secara tradisional dipisahkan, misalnya otorisasi dan pembukuan. Menggabungkan aktivitas-aktivitas dari beberapa bagian organisasi ke dalam satu fungsi TI akan memusatkan tanggung jawab yang sebelumnya dipisahkan.

b) Kebutuhan akan pengalaman di bidang TI. Meskipun perusahaan membeli paket perangkat lunak akuntansi yang sederhana, sangat penting bagi perusahaan untuk memiliki pegawai yang memiliki pengetahuan dan pengalaman untuk memasang, memelihara dan menggunakan sistem tersebut. Ketika penggunaan sistem TI meningkat, kebutuhan akan ahli di bidang TI akan meningkat pula.

2.4.3. Pengujian (Testing)

“Auditor harus merancang dan melakukan prosedur audit lebih lanjut yang sifat, waktu dan luasnya didasarkan pada respon terhadap risiko dinilai dari salah saji yang material di tingkat asersi atau penilaian.” Hal tercantum dalam ISA 330. Pernyataan ini berlaku terlepas dari sistem akuntansi, dan auditor akan merancang kepatuhan dan pengujian substantif yang mencerminkan kekuatan dan kelemahan dari sistem. Ketika pengujian komputer sistem informasi, auditor cenderung menggunakan campuran manual dan tes pemeriksaan dengan bantuan komputer.40

Ketika organisasi memperluas penggunaan TI mereka, pengendalian internal sering ditanamkan di dalam aplikasi yang hanya terlihat dalam format elektronik. Ketika dokumen sumber yang tradisional seperti faktur, pesanan pembelian, arsip penagihan, dan arsip akuntansi seperti jurnal penjualan, daftar persediaan, dan catatan tambahan piutang dagang adalah hanya dalam format elektronik dibandingkan dengan aslinya (hard copy), auditor harus mengubah pendekatan ke audit. Pendekatan kepada audit ini sering disebut mengaudit melalui komputer. Tabel 1 berisi contoh yang menyoroti perbedaan dalam audit disekitar komputer dan audit melalui komputer.

40 Byrne, Loc. Cit.

34

Tabel 1. Contoh-Contoh Mengaudit di Sekitar dan Melalu Komputer41

Pada bagian 2.3 sebelumnya telah dijelaskan mengenai teknik audit berbantuan, pada bagian ini digunakan 3 instrumen dari kedelapan teknik tersebut untuk pengujian. Ada tiga kategori dari pengujian strategi ketika mengaudit melalui komputer: pendekatan data ujian, simulasi paralel, dan pendekatan modul audit tertanam.

Pendekatan Data Ujian. Pendekatan data ujian melibatkan pengolahan data ujian auditor menggunakan sistem komputer klien dan program aplikasi klien untuk menentukan apakah pengendalian yang dilakukan-komputer dengan tepat memproses data ujian itu. Karena auditor merancang data ujian itu, auditor bisa mengidentifikasi-kan materi ujian mana yang harus diterima atau ditolak oleh sistem klien. Auditor mem-bandingkan keluaran yang dihasilkan oleh sistem dari ujian data kepada keluaran yang diharapkan untuk menilai efektivitas dari aplikasi pengendalian internal program. Gambar 4 menggambarkan penggunaan pendekatan data ujian.

41 Alam, Op.Cit., hlm. 10

35

Gambar 4. Pendekatan Data Ujian42

Ketika menggunakan pendekatan data ujian, ada tiga pertimbangan auditor yang utama:

1. Data ujian harus meliputi semua kondisi relevan yang ingin diuji auditor. Auditor harus merancang data ujian untuk menguji pengendalian kunci berbasiskomputer yang cenderung dipercayai auditor untuk mengurangi risiko pengendalian.

2. Program aplikasi yang diuji oleh data ujian auditor harus sama dengan yang digunakan klien sepanjang tahun. Satu pendekatan adalah untuk menjalankan data ujian atas dasar kejutan, mungkin secara acak sepanjang tahun, walaupun melakukannya adalah mahal dan meng-habiskan waktu.

3. Data ujian harus dihapuskan dari arsip klien. Jika uji coba perangkat lunak klien melibatkan data ujian pemrosesan selagi secara serempak memroses transaksi klien sebenarnya, auditor harus mengbilangkan data ujian di dalam arsip induk klien ketika pengujian selesai.

Simulasi Paralel. Berbagai perangkat lunak telah tersedia untuk membantu auditor dalam menentukan efektivitas pengendalian dalam perangkat lunak dan untuk memperoleh bukti tentang saldo akun yang dalam suatu format elektronik. Auditor rnenggunakan perangkat lunak yang dikontrol-auditor untuk melaksanakan operasional paralel kepada perangkat lunak klien dengan menggunakan arsip data yang sama. Ketiadaan perbedaan di dalam keluaran menunjukan perangkat lunak klien yang berfungsi secara efektif, sedangkan perbedaan menandai adanya kelemahan poten-sial. Sebab perangkat lunak auditor dirancang untuk memparalel suatu operasi yang dilakukan oleh perangkat lunak klien, strategi pengujian ini disebut Pengujian Simulasi Paralel.

42 Ibid., hlm. 11

36

Gambar 5. Simulasi Paralel43

Suatu alat yang biasa digunakan oleh auditor untuk melaksanakan pengujian simulasi paralel adalah perangkat lunak audit umum (generalized audit soft. ware/GAS), perangkat lunak yang dirancang terutama untuk digunakan auditor. Perangkat lunak audit yang dibeli, seperti ACL atau IDEA.

Auditor memperoleh salinan dari database klien atau arsip induk dalam format yang terbaca mesin dan menggunakan perangkat lunak audit umum untuk melaksana-kan berbagai ujian dari data elektronik klien. Beberapa auditor menggunakan perang-kat lunak neraca lajur (spreadsheet) untuk melaksanakan ujian simulasi paralel dasar. Yang lain bisa mengembangkan perangkat lunak audit mereka sendiri. Gambar 5 melukiskan simulasi paralel yang khas.

Ada dua keuntungan dari perangkat lunak audit umum. Pertama, relatif lebih mudah melatih staf audit dalam penggunaannya bahkan bila mereka mempunyai sedikit pelatihan TI yang terkait dengan audit. Kedua, perangkat lunak audit umum dapat diterapkan kepada beragam klien dengan penyesuaian yang minimal.

Pendekatan Modul Audit Tertanam Saat menggunakan pendekatan modul audit tertanam, auditor memasukkan suatu modul audit dalam sistem aplikasi klien untuk menangkap transaksi dengan karakteristik yang menjadi minat spesifik auditor itu. Suatu keuntungan yang penting adalah kemampuan auditor menguji secara terus menerus, membandingkan dengan data ujian dan pendekatan simulasi paralel, yang dilaksanakan pada titik waktu tertentu. Keuntungan lain dari modul audit tertanam adalah kemampuan untuk mengidentifikasi semua transaksi yang tidak biasa untuk evaluasi auditor.

43 Ibid., hlm. 12

37

Tabel 2. Penggunaan Umum dari Perangkat Lunak Audit Umum44

Auditor boleh menggunakan satu atau suatu kombinasi dari data ujian, simulasi paralel, dan pendekatan modul audit tertanam. Auditor biasanya menggunakan data ujian untuk melaksanakan ujian pengendalian dan ujian substantif dari transaksi. Simulasi paralel sering digunakan untuk pengujian substantif, seperti menghitung kembali jumlah transaksi dan membuat foot arsip induk catatan tambahan dari saldo akun. Auditor menggunakan pendekatan modul audit tertanam untuk mengidentifi-kasikan transaksi tidak biasa untuk pengujian substantif.

Setelah bukti-bukti audit dikumpulkan, auditor mengevaluasi bukti audit tersebut sesuai dengan tujuan dari audit dan kemudian :

1. Dilakukan test of controls yang bertujuan untuk mengetahui apakah pengendalian yang ada telah dilakukan sesuai dengan prosedur yang telah ditetapkan, dengan melakukan pemeriksaan, inspeksi dan observasi prosedur-prosedur kontrol untuk mendapat kesimpulan apakah sistem telah mempunyai kontrol internal yang baik.

2. Dilakukan substantive test, yang terdiri dari :

a. Test of Transactions yang bertujuan untuk mengevaluasi apakah terdapat kekeliruan atau kesalahan dalam pemrosesan transaksi yang menyebabkan ketidak-akuratan informasi keuangan. Dalam audit keuangan terhadap sistem akuntansi berbasis komputer, contoh pengujian transaksi ini adalah dengan melakukan pemeriksaan bahwa transaksi sudah dengan tepat di-record ke dalam file transaksi akuntansi.

44 Ibid., hlm. 13

38

b. Test of balances or overall results yang bertujuan untuk menjamin laporan keuangan yang dihasilkan adalah benar dan akurat, misalnya piutang pada neraca. Pengujian dilakukan dengan memeriksa apakah saldo suatu account (rekening) telah sesuai. Teknik audit dapat dilakukan dengan mengirimkan surat konfirmasi ke debitur, dan jawaban debitur membuktikan apakah hutang menurut pengakuannya sudah sesuai dengan saldo buku pembantu piutang. Sedangkan dalam audit keuangan terhadap sistem akuntansi berbasis TI, pengujian saldo dilakukan dengan memeriksa master-field database sistem komputerisasi.

Bukti-bukti yang telah dikumpulkan dan dievaluasi tersebut digunakan untuk mendukung kesimpulan (temuan positif maupun negatif) mengenai kegiatan operasi, pengendalian intern atau informasi keuangan yang diaudit. Jika bukti-bukti tersebut kurang meyakinkan dan memerlukan bukti-bukti lain, maka auditor akan merencanakan dan melaksanakan prosedur-prosedur tambahan sampai terkumpul bukti yang cukup untuk mendukung keyakinannya dalam menarik kesimpulan hasil pemeriksaan yang terbaik (tepat dan obyektif).

2.5 Isu-Isu Audit dalam Lingkungan TI yang Berbeda

Sejauh ini, pembahasan berfokus pada efek TI pada proses audit untuk organisasi/perusahaan yang memusatkan fungsi TI-nya. Meskipun semua organisasi perlu Pengendalian Umum yang baik terlepas dari struktur fungsi TI mereka, beberapa isu pengendalian umum bervariasi tergantung pada lingkungan TI itus endiri. Selanjutnya, pembahasan berfokus pada isu-isu untuk lingkungan TI yang berbeda, yaitu: penggunaan jaringan, database management systems, sistem e-commerce, dan outsourcing TI.

2.5.1 Lingkungan Jaringan45

Dalam jaringan, perangkat lunak dan file data yang digunakan untuk memproses transaksi tersedia pada beberapa komputer yang terhubung bersama-sama. Akses ke aplikasi dari komputer desktop dikelola oleh perangkat lunak server jaringan. Bahkan perusahaan kecil sekalipun dapat memiliki beberapa server komputer yang sama-sama terhubung dalam jaringan, sementara perusahaan besar mungkin memiliki ratusan server yang sama-sama terubung dalam puluhan haringan.

Sebagian pengendalian umum yang dibahas sebeumnya berlaku untuk jaringan yang besar karena dukungan TI dan keterlibatan user bersifat terpusat. Untuk perusahaan ain, isu pengendalian jaringan ini muncuh sehingga auditor harus mempertimbangkannya dalam perencanaan audit. Misalnya, auditor sering meningkatkan control risk ketika perusahaan memiliki jaringan yang terdiri dari server-server yang berlakosi di berbagai bagian persahaan, karena pada jaringan yang bersifat desentralisasi seperti ini sering terjadi kurangnya keamanan dan pengawasan manajemen di berbagai server yang terhubung.

Biasanya jaringan yang terdiri dari berbagai kombinasi peralatan dan prosedur tidak memiliki opsi standar keamanan. Kurangnya kompabilitas peralatan di dalam jaringan bisa terjadi ketika tugas untuk membeli peralatan dan perangkat lunak, pemeliharaan, administrasi, dan keamanan fisik berada di kelompok pengguna utama, bukannya di fungsi TI terpusat. 45 Arens, Op.Cit., hlm. 406

39

Kadang-kadang keamanan jaringan menjadi longgar ketika jaringan terdiri dari peralatan dengan fitur keamanan yang tidak kompatibel.

Ketika klien memiliki aplikasi akuntansi yang diproses di jaringan, auditor harus memahami konfigurasi jaringannya, termasuk lokasi server komputer dan workstation yang terhubung satu sama lain, perangkat lunak jaringan yang digunakan untuk mengelola siste, dan kontrol atas akses dan perubahan ke program aplikasi dan file data yang berlokasi di server. Pemahaman ini mungkin memiliki implikasi terhadap penilaian control risk oleh auditor ketika melakukan perencanaan audit laporan keuangan dan ketika melakukan test of control pada audit pengendalian intern atas laporan keuangan.

2.5.2 Database Management System46

Auditor sering menghadapi aplikasi akuntansi yang menggunakan sistem manajemen database untuk memroses transaksi dan memelihara arsip data. Sistem manajemen database mengijinkan klien untuk menciptakan database yang berisi informasi yang dapat digunakan bersama dalam berbagai aplikasi. Dalam lingkungan nondatabase, masing-masing aplikasi berisi arsip data mereka sendiri, sedangkan dalam sistem manajemen database, banyak aplikasi berbagi arsip. Klien menerapkan sistem manajemen database untuk mengurangi kelebihan data, meningkatkan pengendalian atas data, dan menyediakan informasi yang lebih baik untuk pengambilan keputusan dengan pengintegrasian informasi seluruh fungsi dan departemen. Sebagai contoh, data pelanggan, seperti alamat dan nama pelanggan, dapat digunakan bersama di fungsi penjualan, kredit, akuntansi, pemasaran, dan pengiriman, yang menghasilkan pengurangan biaya yang penting. Perusahaan sering mengintegrasikan sistem manajemen database ke seluruh organisasi. Program demikian disebut perangkat lunak perusahaan.

Kendali sering meningkat ketika data dipusatkan dalam sistem manajemen database dengan penghapusan arsip data yang berlebihan. Namun, sistem manajemen database juga dapat membuat risiko pengendalian internal. Sebagai contoh, ada risiko yang berhubungan dengan berbagai pemakai, mencakup individu di luar akuntansi, mengakses dan memperbarui arsip data. Tanpa administrasi database dan pengendalian akses yang tepat, risiko arsip data yang tidak sah, tidak akurat, dan tidak sempurna menjadi meningkat. Juga, pemusatan data ke dalam arsip tunggal meningkatkan pentingnya backup yang sesuai atas informasi data secara teratur.

Auditor dan klien yang menggunakan sistem manajemen database perlu memahami perencanaan klien, organisasi, dan kebijakan dan prosedur untuk menentukan seberapa baik sistem itu diatur.

46 Ibid., hlm. 407-408

40

2.5.3 Sistem E-Commerce47

Perusahaan yang menggunakan sistem e-commerce melakukan transaksi bisnis secara elektronis dengan menghubungkan sistem akuntansi internal mereka ke sistem yang dipelihara oleh pihak luar, seperti pelanggan dan pemasok. Sebagai hasilnya, risiko yang dihadapi suatu perusahaan saat terlibat dengan aktivitas e-commerce sebagian bergantung pada seberapa baik mitra e-commerce-nya mengidentifikasi dan mengatur risiko dalam sistem TI mereka sendiri. Untuk mengatur risiko interdependensi ini, perusahaan harus memastikan bahwa micra bisnis mereka secara efektif mengatur risiko sistem TI sebelum melaksanakan bisnis dengan mereka secara elektronis.

Penggunaan dari sistem e-commerce juga menyingkapkan data perusaha-an yang sensitip, program, dan perangkat keras terhadap pemotongan yang potensi atau sabotase oleh pihak luar. Untuk membatasi keterbukaan ini, perusahaan menggunakan firewalls, teknik pengkodean, dan tandatangan digital.

Firewall melindungi data, program, dan sumber daya TI lain dari para pemakai eksternal yang mengakses sistem melalui jaringan, seperti Internet. Firewall adalah suatu sistem dari perangkat keras dan lunak yang mengawasi dan mengendalikan aliran komunikasi e-commerce dengan penyaluran semua hubungan jaringan melalui suatu pintu gerbang pengendalian. Firewall dapat digunakan untuk memverifikasi pemakai eksternal dari jaringan, memberikan akses yang sah, dan mengarahkan pemakai ke program atau data yang diminta.

Perusahaan menggunakan teknik pengkodean untuk melindungi keamanan komunikasi elektronik sepanjang proses transmisi. Teknik pengkodean didasarkan pada program komputer yang mengubah suatu pesan standar ke dalam suatu bentuk kode (encrypted). Penerima dari pesan elektronik itu harus menggunakan suatu program dekripsi (decryption) untuk memecahkan kode pesan itu. Seringkali teknik pengkodean kunci publik digunakan dimana satu kunci (kunci publik) digunakan E untuk menyandi pesan dan kunci yang lain (kunci pribadi) digunakan untuk memecahkan kode pesan itu. Kunci publik dibagikan kepada pemakai yang disetujui dari sistem e-commerce itu dan hanya dapat digunakan untuk menyandikan pesan. Kunci pribadi, yang digunakan untuk memecahkan kode pesan, menjadi titik utama dari pengendalian. Perlindungan kunci pribadi sering menjadi tanggung jawab dan administrator keamanan TI dan hanya dibagikan ke para pemakai internal dengan otoritas untuk memecahkan kode pesan itu.

Untuk membantu membuktikan keaslian kebenaran mitra dagang yang melaksanakan bisnis secara elektronik, perusahaan boleh bersandar pada otoritas sertifikasi eksternal yang memverifikasi sumber dari kunci publik melalui penggunaan tanda tangan digital. Suatu otoritas sertifikasi yang dipercaya mengeluarkan suatu sertifikat digital kepada individu dan perusahaan yang terlibat dalam e-commerce. Tanda tangan digital berisi nama pemilik dan kunci publiknya. Juga berisi nama dari otoritas sertifikasi dan tanggal tidak berlakunya sertifikat dan informasi khusus lainnya. Untuk menjamin keaslian dan integritas, masing-

47 Ibid.

41

masing tandatangan secara digital ditandatangani oleh kunci pribadi yang dipelihara oleh otoritas sertifikasi.

Auditor harus memahami sifat firewall dan enkripsi untuk memastikan bahwa keduanya telah dilaksanakan dan diawasi dengan benar. Sebuah firewall yang tidak memadai dapat meningkatkan kemungkinan perbahan tanpa otorisasi (tidak sah) terhadap perangkat lunak dan data. Dengan demikian, auditor mungkin perlu untuk menguji kontrol seputar penggunaan firewall untuk memastikan bahwa pengendalian aplikasi otomatis digunakan untuk mendukung contol risk dibawah maksimum belum berubah tanpa sepengetahuan auditor. Demikian pula, auditor mungkin perlu untuk memahami tes kontrol enkripsi untuk memenuhi tujuan saldo transaksi dan rekening. Kegagalan untuk mengenkripsi data transaksi atau rekening memadai dapat mengakibatkan perubahan dalam jumlah transaksi atau saldo rekening pendukung.

2.5.4 Outsourcing Fungsi TI48

Biaya, risiko, dan tanggung jawab yang terkait dengan pemeliharaan fungsi TI perusahaan yang efektif bersifat signifikan. Oleh karena itu banyak eksekutif telah memilih untuk melakukan outsourcing fungsi TI mereka kepada vendor pihak ketiga untuk mengambil alih tanggung jawab atas pengelolaan aset TI dan staf dan untuk pengiriman layanan TI seperti data entry, data center operations, applications development, applications maintenance, dan network management. Manfaat yang sering diambil dari outsourcing TI termasuk peningkatan kinerja core business, meningkatkan kinerja TI (karena keahlian vendor), dan mengurangi biaya TI. Dengan memindahkan fasilitas TI offshore ke daerah tenaga kerja murah dan / atau melalui skala ekonomi (dengan menggabungkan pekerjaan beberapa klien), vendor dapat melakukan fungsi outsourcing lebih murah dibandingkan perusahaan klien. Penghematan biaya yang dihasilkan kemudian diteruskan ke organisasi klien. Selain itu, banyak pengaturan outsourcing TI melibatkan penjualan aset TI perusahaan klien (baik manusia dan mesin) untuk vendor, yang perusahaan kliennya kemudian menyewakan kembali. Transaksi ini mengakibatkan satu kali kas infus signifikan bagi perusahaan..

Logika yang mendasari outsourcing TI adalah teori core competency, yang berpendapat bahwa organisasi harus fokus secara eksklusif pada kompetensi core business, sementara itu memungkinkan outsourcing vendor untuk secara efisien mengelola daerah non-core business seperti fungsi TI. Premis ini, bagaimanapun, mengabaikan perbedaan penting antara komoditas dan aset TI yang spesifik.

Commodity IT assets tidak bersifat unik untuk suatu organisasi tertentu, dengan demikian mudah diperoleh di pasar. Hal ini mencakup: manajemen jaringan, operasi sistem, pemeliharaan server, dan fungsi help-desk. Specific IT assets, sebaliknya, bersifat unik untuk organisasi dan mendukung tujuan strategisnya. Karena sifat istimewa mereka, specific assets memiliki sedikit nilai di luar penggunaannya saat ini. Aset tersebut dapat berwujud (peralatan komputer), intelektual (program komputer), atau manusia. Contoh specific assets meliputi

48 Jamess A. Hall, Information Technology Auditing 3rd Ed., (USA:South-Western Cengange Learning, 2011), hlm. 57

42

pengembangan sistem, pemeliharaan aplikasi, data warehousing, dan karyawan sangat terampil dilatih untuk menggunakan perangkat lunak organisasi.

Teori Transaction Cost Economics bertentangan teori core competency, yaitu dengan mengatakan bahwa perusahaan harus mempertahankan non-core Specific IT assets mereka secara in-house. Karena sifat esoteris mereka, Specific IT assets tidak dapat dengan mudah diganti setelah mereka memutuskan kontrak outsourcing. Oleh karena itu, jika organisasi harus memutuskan untuk membatalkan kontrak outsourcing dengan vendor, mungkin perusahaan tidak dapat kembali ke keadaan pra-outsource-nya. Di sisi lain, teori TCE mendukung outsourcing Commodity IT assets yang mudah diganti atau diperoleh dari vendor alternatif.

Tentu, persepsi CEO mengengai apa yang merupakan Commodity IT assets memainkan peran penting dalam keputusan outsourcing TI. Sering kali ini datang ke permasalahan definisi dan interpretasi. Sebagai contoh, sebagian besar CEO akan mendefinisikan fungsi TI mereka sebagai non-core Commodity, kecuali mereka berada dalam bisnis pengembangan dan menjual aplikasi TI. Akibatnya, keyakinan bahwa semua TI bisa, dan harus, dikelola oleh perusahaan jasa besar cenderung untuk menang. Kesalahpahaman tersebut mencerminkan, sebagian, baik kurangnya pendidikan eksekutif dan penyebaran informasi yang salah mengenai kebajikan dan keterbatasan outsourcing TI.

Disis lain, Outsourcing Outsourcing teknologi informasi (TI) diprediksi bakal menjadi tren di kalangan korporat. Pergeseran telah terjadi di kalangan perusahaan, dari memiliki hardware, software menuju ke managed services. Perkembangan tersebut juga ditunjang oleh berbagai hal. Menurut data IDC lebih dari separuh perusahaan di kawasan Asia Pasifik kecuali Jepang khawatir dengan operasi data center. Sebanyak 54% fasilitas data center mereka telah berusia tua karena rata-rata dibangun di era 90-an. Sebanyak 33% dari perusahaan yang disurvei juga mengalami masalah dengan keterbatasan tempat termasuk untuk sistem pengkabelan, sedangkan 20% di antaranya tidak memiliki kapasitas yang cukup untuk pendinginan. Adapun sebanyak 17% tak memiliki sumber daya listrik yang mencukupi. Penelitian itu dilakukan dengan melibatkan 400 eksekutif C-suite seperti CIO, CTO, CMO, LoB dan CFO di Asia Tenggara. Survei tersebut juga menyebutkan pengeluaran terbesar TI perusahaan untuk keamanan dan kelangsungan bisnis. Salah satu tantangan terbesar yang dihadapi korporat saat ini adalah perkembangan teknologi yang semakin pesat. Kebanyakan perusahaan itu juga tidak memiliki sistem keamanan terbaru yang sangat krusial untuk perusahaan.49

49 Galih Kurniawan, “OUTSOURCING TI akan Jadi Tren”, Bisnis Indonesia, (http://manajemen.bisnis.com/read/20130613/56/144836/outsourcing-ti-akan-jadi-tren), diakses 9 Oktober 2014

43

Kelebihan Outsourcing TI

Terdapat keuntungan-keuntungan yang dirasakan perusahaan apabila melakukan outsourcing TI, antara lain50:

a) Perusahaan dapat fokus pada core business-nya dengan tetap menikmati nilai-nilai positif dari sistem dan teknologi informasi.

b) Teknologi yang maju. TI outsourcing memberikan akses kepada organisasi klien berupa kemajuan teknologi dan pengalaman personil.

c) Waktu yang digunakan menjadi lebih singkat untuk pengadaan sumber daya TI

d) Mengurangi biaya dari pengadaan fungsi TI di perusahaan

e) Jasa yang diberikan oleh outsourcer lebih berkualitas dibandingkan dikerjakan sendiri secara internal, karena outsourcer memang spesialisasi dan ahli di bidang tersebut.

Kelemahan Outsourcing TI51

a) Kehilangan kendali terhadap SI dan data karena bisa saja pihak outsourcer menjual data dan informasi perusahaan ke pesaing.

b) Adanya perbedaan kompensasi dan manfaat antara tenaga kerja internal dengan tenaga kerja outsourcing.

c) Mengurangi keunggulan kompetitif perusahaan karena pihak outsourcer tidak dapat diharapkan untuk menyediakan semua kebutuhan perusahaan karena harus memikirkan klien lainnya juga.

d) Jika menandatangani kontrak outsourcing yang berjangka lebih dari 3 tahun, maka dapat mengurangi fleksibilitas seandainya kebutuhan bisnis berubah atau perkembangan teknologi yang menciptakan peluang baru dan adanya penurunan harga, maka perusahaan harus merundingkan kembali kontraknya dengan pihak outsourcer.

e) Ketergantungan dengan perusahaan pengembang SI akan terbentuk karena perusahaan kurang memahami SI/TI yang dikembangkan pihak outsourcer sehingga sulit untuk mengembangkan atau melakukan inovasi secara internal di masa mendatang.

2.5.4.1 Risiko Inheren pada Audit TI52

50 Adi Furqon, “Auditing IT Governance Controls F0174 – Audit Laporan Keuangan Berbasis Komputer”, academia.edu, (https://www.academia.edu/5022403/AUDITING_IT_GOVERNANCE_CONTROLS_F0174_-_Audit_Laporan_Keuangan_Berbasis_Komputer_Disusun_oleh), diakses 9 Oktober 201451 Linda Fitrina Hasnam, "Penerapan Sistem Informasi Secara Outsourcing, Insourcing, dan Co-Sourcing", (http://linda45e.blogstudent.mb.ipb.ac.id/files/2014/02/Penerapan-Sistem-Informasi-berdasarkan-Outsourcing-Insourcing-dan-Co-sourcing4.docx) , diakses pada 11 Oktober 2014, hlm. 6.52 Hall, Op.Cit., hlm. 58

44

Peristiwa outsourcing TI bersekala besar adalah usaha yang berisiko, sebagian karena ukuran transaksi keuangannya, tetapi juga karena sifatnya. Tingkat risiko ini terkait dengan tingkat kekhususan aset outsourcing tersebut. Bagian berikut ini menguraikan beberapa masalah yang terdokumentasi dengan baik.

Kegagalan untuk Perform

Setelah sebuah perusahaan klien telah melakukan outsourcing Specific IT assets, kinerjanya menjadi berhubungan dengan kinerja vendor. Implikasi negatif dari ketergantungan tersebut diilustrasikan dalam masalah keuangan yang telah melanda vendor outsourcing perusahaan besar Electronic Data Systems Corp (EDS). Dalam upaya pemotongan biaya, EDS memberherntikan tujuh ribu karyawan, yang berdampak pada kemampuan EDS untuk melayani klien lain. Menyusul harga saham yang rendah selama, pemegang saham EDS mengajukan gugatan class-action terhadap perusahaan. Jelas, saat vendor mengalami masalah keuangan dan hukum serius, hal itu juga mengancam kelangsungan hidup klien mereka juga.

Eksploitasi oleh Vendor

Outsourcing TI bersekala besar melibatkan pengalihan specific asset milik vendor,' seperti desain, pengembangan, dan pemeliharaan aplikasi bisnis yang unik yang sangat penting untuk kelangsungan hidup organisasi. Specific assets, bernilai untuk klien, tetapi bernilai kecil bagi vendor bahkan tidak bernilai saat organisasi klien menuju kebangkrutan. Karena vendor mengasumsikan risiko dengan mengakuisisi aset dan tidak mencapai skala ekonomis dengan menggunakan aset tersebut di tempat lain, organisasi klien akan membayar premi untuk mentransfer fungsi tersebut kepada pihak ketiga. Selanjutnya, setelah perusahaan klien melepas spesific assets, akan muncul ketergantungan terhadap vendor. Vendor dapat memanfaatkan ketergantungan ini dengan menaikkan tarif jasa. Sejalan dengan kebutuhan TI klien yang berkembang dari waktu ke waktu di luar ketentuan kontrak awal, akan muncul risiko bahwa jasa baru atau jasa tambahan akan dinegoisasikan pada harga premium. Ketergantungan ini dapat mengancam fleksibiltas jangka panjang, kelincahan, dan daya saing klien dan hasilnya ketergantungan terhadap vendor yang lebih besar.

Biaya Outsourcing melebihi Manfaatnya

Outsourcing TI telah dikritik dengan alasan munculnya biaya-biaya tak terduga dan manfaat yang diharapkan sepenuhnya tidak terealisasi. Salah satu survey menunjukan bahwa 47% dari 66 perusahaan melaporkan bahwa biaya Outsourcing TI melebihi manfaat dari Outsourcing itu sendiri. Salah satu alasannya adalah klien seringkali gagal untuk mengantisipasi biaya untuk menseleksi vendor, kontrak, dan transisi operasional TI kepada vendor.

Mengurangi Keamanan

Informasi yang diberikan ke vendor TI beda negara akan memunculkan pertanyaan unik dan serius mengenai pengendalian internal dan perlindungan data pribadi yang

45

bersifat sensitif. Ketika sistem keuangan perusahaan dikembangakan dan di-host di luar negeri, serta kode program dikembangkan melalu antarmuka dengan jaringan perusahaan vendor, perusahaan klien berisiko kehillangan kendali atas infromasi mereka. Perusahaan-perusahaan besar bergantung pada standar keamanan dari vendor, kebijakan data akses, dan undang-undang privasi dari negara klien (tuan rumah). Sebagai contoh, seorang wanita di Pakistan memperoleh data medis pasien yang bersifat sensitif dari University of California Medical Center di San Francisco. Dia memperoleh akses ke data medis yang dimiliki vendor tempat ia bekerja. Wanita itu mengancam akan mempublikasikan catatan tersebut di internet apabila ia tidak mendapatkan kenaikan gaji. Terorisme di Asia dan Timur Tengah menimbukan kekhawatiran keaman tambahan bagi perusahaan yang melakukan outsourcing TI beda negara. Misalnya, pada tanggal 5 Maret 2005, polisi di Delhi, India, menangkap tersangka teroris yang berencana untuk menyerang perusahaan vendor TI di Banglore, India.

Hilangnya Keuntungan Strategis

Outsourcing TI dapat memengaruhi ketidaksesuaian antara perencanaan strategis TI perusahaan dengan fungsi perencanaan bisnisnya. Organisasi yang menggunakan TI secara strategis harus menyesuaikan strategi bisnis dan strategi TI atau mengambil risiko penurunan kinerja. Untuk mendorong penyesuaian tersebut, perusahaan membutuhkan manajer dan Chief Information Officers (CIO) yang memiliki pengetahuan bisnis yang kuat. Sebuah survey menemukan bahwa dari 213 manajer TI di industri jasa keuangan setuju bahwa kepemimpinan TI sebuah perusahaan berkaitan erat dengan strategi kompetitif perusahaan. Memang beberapa pihak lainnya berpendapat bahwa kompetensi seorang CIO lebih penting daripada kompetensi TI mereka dalam memfasilitasi penyesuaian strategis.

Untuk mencapai kesesuaian antara strategi bisnis dengan strategi TI, diperlukan hubungan kerja yang erat antara manajemen perusahaan dengan manajemen TI. Bagaimanapun hal in sulit dicapai ketika perencanaan TI secara geografis didistribusikan beda negara, atau bahkan dalam 1 negara pun. Selanjutnya, karena justifikasi keuangan untuk outsourcing TI bergantung pada apakah vendor mencapai skala ekonomis ata tidak, vendor secara alami didorong untuk terus mencari solusi umum yang dapat digunakan ke banyak klien sekaligus, daripada mencari solusi unik untuk masing-masing klien. Inilah yang mendasari ketidak-konsistenan antara outsourcing Ti dengan upaya mengejar keuntungan strategis klien.

Secara garis besar resiko-resiko yang mungkin terjadi bila perusahaan meng-outsource fungsi TI-nya, antara lain53:

a. Performa dari sumber daya TI dapat gagal karena itu semua bergantung pada vendor atau penyedia layanan

b. Dapat terjadi ketidakseimbangan biaya dengan manfaat yang dirasakan

53 Furqon, Op.Cit., hlm. 23

46

c. Resiko terhadap keamanan data perusahaan, dimana TI outsource sangat berhubungan dengan data perusahaan

d. Rentan dapat ditiru oleh pesaing lain bila aplikasi yang dioutsourcingkan adalah aplikasi strategik

e. Kegagalan dalam keselarasan strategi antara perencanaan TI dengan perencanaan bisnis perusahaan secara keseluruhan

f. Adanya kecenderungan outsourcer untuk merahasiakan sistem yang digunakan dalam membangun sistem informasi bagi pelanggannya agar jasanya tetap digunakan.

2.5.4.2 Pengaruh Audit Pada Oursourcing TI54

Pihak manajemen dapat melakukan outsourcing fungsi TI organisasi mereka, tetapi mereka tidak dapat meng-outsourcing tanggung jawab manajemen mereka dibawah SOC untuk memastikan pengendalian TI yang memadai. PCAOB secara spesifik menyatakan dalam Standar Audit No. 2 : ‘The use of a service organization does not reduce management’s responsibility to maintain effective internal control over financial reporting. Rather, user management should evaluate controls at the service organization, as well as related controls at the user company, when making its assessment about internal control over financial reporting.’’ Oleh sebab itu, jika auditor mengaudir perusahaan klien yang melakukan outsourcing TI-nya kepada vendor sehingga proses transaksi, host data kunci, dan kinerja layanan lainnya dilakukan oleh vendor, maka auditor harus melakukan evaluasi pada pengendalian vendor terhadap klien atau alternatifnya adalah mendapatakan laporan auditor dari vendor tersebut (SAS No. 70).

Statement on Auditing Standard No. 70 (SAS 70) adalah standar definitif dimana perusahaan klien auditor dapat memperoleh pengatahuan bahwa kontrol pada vendor sudah cukup untuk mencegah atau mendeteksi kesalahan material yang dapat mempengaruhi laporan keuangan klien audit. Laporan SAS 70 yang disiapkan oleh auditor vendor, membuktikan kecukupan pengendalian intern vendor. Ini berarti sebuah vendor outsoircing dapat memperoleh laporan audit tunggal yang nantinya dapat digunakan oleh auditor perusahaan klien, dengan demikian auditor perusahaan klien tidak perlu melakukan audit pada pengendalian intern dari vendor.

54 Hall, Op.Cit., hlm. 59-60

47

Gambar 6. Tinjauan SAS 7055

Gambar diatas mengilustrasikan bagaimana laporan SAS 70 bekerja dalam kaitannya dengan vendor, perusahaan klien, dan auditor dari masing-masing pihak. Perusahaan vendor outsourcing melayani klien 1,2,3, dan 4 dengan berbagai layanan TI. Kontrol internal atas layanan outsourcing berada di lokasi penjual. Kontrol internal tersebut diaudit oleh auditor vendor, pihak yang mengungkapkan opini dan mengeluarkan laporan SAS 70 tentang kecukupan kontrol. Masing-masing perusahaan klien diaudit oleh auditor yang berbeda yaitu A,B,C, dan D, masing-masing auditor tersebut mengandalkan laporan SAS 70 dari vendor dan dengan demikuan tidak terdorong untuk secara individual menguji kontrol vendor. Mengingat bahwa vendor mungkin memiliki ratusan atau bahkan ribuan klien, pengujian individu di bawah SOX akan sangat mengganggu operasi vendor, mahal untuk klien, dan tidak praktis.

Auditor mengeluarkan dua jenis laporan SAS 70. Laporan SAS 70 Tipe I melaporakan kurangnya ketelitian pada laporan dan mengomentari hanya pada kesesuaian/keselarasan desain kontrol. Laporan SAS 70 Tipe II membahas lebih lanjut dan menilai apakah kontrol beroperasi secara efektif berdasarkan tes-tes yang dilakukan oleh auditor di perusahaan vendor. Sebagian besar laporan SAS 70 yang diterbitkan adalah yang Tipe II. Karena Section 404 mensyaratkan test of controls yang eksplisit, laporan SAS 70 Tipe I tidak terlalu berguna pasca SOX terjadi.

2.5.4.3 Studi Kasus: Outsourcing TI oleh PT. Pertamina56

55 Ibid.56 Atmadiputra, Loc.Cit.

48

Sebagai salah satu perusahaan terbesar di Indonesia yang bergerak dalam bidang pengolahan minyak dan gas bumi, PT. Pertamina meningkatkan daya saing bisnisnya dengan menggunakan suatu sistem informasi yang mengitegrasikan seluruh aktifitas bisnis perusahaan yang disebut dengan Enterprise Resource Planning atau ERP. Sistem informasi ini merupakan kunci dari segala aktifitas dan kegiatan yang dilakukan oleh PT. Pertamina mulai dari absen pegawai, komunikasai, transaksi perusahaan, hingga cuti dan gaji pegawai terintegrasi oleh sistem ini. Kurangnya sumber daya PT. Pertamina dalam pengadaan sistem ERP membuat perusahaan tersebut melakukan outsourcing sistem informasi ERP. Dalam penerapan outsourcing tersebut PT. Pertamina menggunakan software MySAP, dari vendor bernama SAP, sebagai program ERP mereka. SAP (Systems, Applications & Products in Data Processing) adalah perusahaan perangkat lunak multinasional yang berpusat di Jerman57.

MySAP merupakan salah satu aplikasi praktis ERP yang terbesar di dunia. Saat ini penggunaan sistem ERP dengan label MySAP di terapkan hampir disemua perusahaan negara di Indonesia. MySAP dipilih oleh PT. Pertamina sebagai outsourcing sistem informasi berupa ERP karena kemudahan dan kepraktisan penggunaannya bagi karyawan PT. Pertamina.

Kebijakan PT. Pertamina dalam melakukan outsourcing sistem informasi ERP berupa MySAP dilakukan dengan pembayaran loyalti untuk subscribe atau berlangganan software MySAP yang dihitung bedasarkan pada jumlah akun setiap tahunnya. Jumlah akun tersebut merupakan jumlah total karyawan PT. Pertamina yang terkait dengan aktifitas internal dan eksternal perusahaan, sehingga PT. Pertamina harus menyediakan anggaran dana yang cukup besar setiap tahunnya untuk membayar loyalti sistem informasi ERP tersebut.

Keterbatasan kemampuan dan sumber daya PT. Pertamina dalam pengadaan sistem informasi ERP tersebut membuat PT. Pertamina bergantung kepada software MySAP sebagai tulang punggung segala aktifitas transaksi perusahaan. Untuk itu sejak akhir tahun 2008 PT. Pertamina membentuk divisi khusus TI-nya yang dikenal dengan CSS atau Corporate Shared Service. Layanan CSS terdiri atas 3 (tiga) pilar utama yaitu ITO (Infrastructure & Technology Outsourcing services), APO (Apprication & Programming Outsourcing services), dan BPO (Business Process Outsourcing services) serta gabungan ketiganya sebagai Total ICT Based Outsourcing Services58. Harapannya CSS akan terus mengembangkan berbagai metode sistem ERP pribadi perusahaan sehingga kedepannya didapat sistem ERP yang paling cocok dengan kegiatan PT. Pertamina tanpa harus berlangganan dan membayar loyalti, namun rencana tersebut masih sebatas tingkat pengembangan.

57 ______, "SAP SE", Wikipedia, (http://en.wikipedia.org/wiki/SAP_SE), diakses 10 Oktober 201458 Ahmad Bambang, "IT’s Shared Service Organization: Sebuah alternatif model Outsourcing", Scribd, (https://www.scribd.com/doc/51154614/IT-SSO-Alternatif-Outsourcing), diakses 8 Oktober 2014, hlm.2

49

BAB 3

PENUTUP

3.1 Kesimpulan

Perkembangan komputer telah membawa banyak perubahan. Terutama dalam hal mempengaruhi beberapa pola kerja para professional yang menjadikan komputer sebagai salah satu alat bantu kerja agar menjadikan suatu pekerjaan menjadi lebih mudah dikerjakan. Salah satu nya adalah para pemeriksa (auditor) yang melakukan pemeriksaan (audit) dengan pemrosesan data secara elektronik (EDP) atau yang lebih dikenal sebagai audit TI.

Walaupun penggunaan TI dapat meningkatkan pengendalian intern perusahaan, penggunaan Sistem Akuntansi berbasi TI memunculkan risiko baru yang tidak terkait dengan sistem akuntansi manual (tradisional). Perusahaan yang dikelola dengan baik dapat mengenali risiko-risiko ini dan menanggapinya dengan menerapkan Pengendalian Umum dan Pengendalian Aplikasi yang efektif dalam Sistem TI nya untuk mengurangi dampak risiko-risiko ini pada pelaporan keuangan. Auditor harus memiliki pengetahuan tentang risiko ini dan mendapatkan pemahaman mengenai Pengendalian Umum dan Pengendalian Aplikasi klien agar dapat mempuat perencanaan audit yang efektif. Pengentahuan mengenai Pengendalian Umum memberikan dasar bagi audito untuk mengandalkan Pengendalian Aplikasi otomatis dan dapat mengurani tingkat pengujian pada kunci otomatis dalam audit laporan keuangan dan audit pengendalian intern.

Beberapa pengujian kontrol yang dilakukan auditor dapat dilakukan oleh komputer, sebagai cara untuk mencapai audit yang lebih efektif dan efisien. Dengan mengandalkan Pengendalian Umum dan Pengendalian Aplikasi untuk mengurangi risiko, bisa saja berubah ketika klien menggunakan komputer desktop, jaringan, sistem database manajemen, sistem e-commerce, dan outsourcing layanan TI dibandingkan dengan sistem TI terpusat (insource).

Oleh sebab itu, pemrosesan data secara elektronik ini merupakan salah satu hal yang harus dikuasai oleh seorang auditor untuk membantu dan memudahkan proses kerja mereka, selain mereka juga harus menguasai prosedur dalam menjalankan audit secara benar.

50

3.2 Saran

Selain harus menguasai prosedur audit yang benar seorang auditor sebaiknya juga harus menguasai pemrosesan data secara elektronik untuk membantu dan memudahkan proses kerja mereka. Karena saat ini setiap perusahaan tidak lagi menyimpan data-data penting mereka dalam kertas file, melainkan menyimpannya dalam bentuk data komputer. Selain itu auditor juga harus memahami etika profesi mereka.

Daftar Pustaka

Agoes, Sukrisno. AUDITING Petunjuk Praktis Pemeriksaan Akuntan oleh Akuntan Publik Edisi 4 - Buku 2. Jakarta: Salemba Empat, 2013.

Alam, Syamsu. “Dampak Teknologi Informasi Pada Proses Audit.” Scribd. 3 May 2013. https://www.scribd.com/doc/139227658/Dampak-Teknologi-Informasi-Pada-Proses-Audit (diakses October 8, 2014).

Atmadiputra, Andhi Reza. Penerapan Outsourcing Sistem Informasi di PT. Pertamina. 20 Maret 2014. http://reza51.blogstudent.mb.ipb.ac.id/2014/03/20/penerapan-outsourcing-sistem-informasi-di-pt-pertamina/ (diakses Oktober 9, 2014).

Bambang, Ahmad. “IT’s Shared Service Organization: Sebuah alternatif model Outsourcing.” Scribd. 20 Maret 2011. https://www.scribd.com/doc/51154614/IT-SSO-Alternatif-Outsourcing (diakses Oktober 8, 2014).

Byrne, Peter. “Auditing in a computer-based environment.” ACCA. Agustus 2009. http://www.accaglobal.com/content/dam/acca/global/pdf/sa_aug09_byrne.pdf (diakses Oktober 8, 2014).

Furqon, Adi. “Auditing IT Governance Controls F0174 – Audit Laporan Keuangan Berbasis Komputer.” academia.edu. t.thn. https://www.academia.edu/5022403/AUDITING_IT_GOVERNANCE_CONTROLS_F0174_-_Audit_Laporan_Keuangan_Berbasis_Komputer_Disusun_oleh (diakses Oktober 8, 2014).

Gondodiyoto, Sanyoto. Audit Sistem Informasi + Pendekatan CobIT Edisi Revisi. Disunting oleh Henny Hendarti. Jakarta: Mitra Wacana Media, 2007.

Hall, James A. Information Technology Auditing 3rd International Edition. USA: South-Western Cengange Learning, 2011.

Hasnam, Linda Fitrina. “Penerapan Sistem Informasi Secara Outsourcing, Insourcing, dan Co-sourcing.” Februari 2014. http://linda45e.blogstudent.mb.ipb.ac.id/files/2014/02/Penerapan-Sistem-Informasi-berdasarkan-Outsourcing-Insourcing-dan-Co-sourcing4.docx (diakses Oktober 11, 2014).

Kurniawan, Galih. OUTSOURCING TI akan Jadi Tren. Disunting oleh Sutarno. 13 Juni 2013. http://manajemen.bisnis.com/read/20130613/56/144836/outsourcing-ti-akan-jadi-tren (diakses Oktober 9, 2014).

Pine, Brian. “Specific Aspects Of Auditing In A Computer-Based Environment.” ACCA. Januari 2011.

http://www.accaglobal.com/content/dam/acca/global/pdf/sa_jan11_CAATs.pdf (diakses Oktober 8, 2014).

Raharjo, Kurniawan Budi. Perencanaan Audit. 14 Januari 2013. http://kurniawanbudi04.wordpress.com/2013/01/14/perencanaan-audit/ (diakses Oktober 9, 2014).

“SAP SE.” Wikipedia. t.thn. http://en.wikipedia.org/wiki/SAP_SE (diakses Oktober 10, 2014).