17
BAB II
KAJIAN PUSTAKA, KERANGKA PEMIKIRAN DAN HIPOTESIS
2.1 Kajian Pustaka
Teori yang akan dikaji pada Bab II ini adalah teori yang berkaitan dengan
auditing, diantaranya tentang kompetensi auditor eksternal, due professional care
auditor eksternal, kantor akuntan publik, teknologi informasi, audit teknologi
informasi.
2.1.1 Pengertian Akuntansi
Menurut Ely dan Dewi (2009:2) yang dimaksud dengan akuntansi adalah:
“Akuntansi adalah proses mengenali, mengukur, dan mengkomunikasikan
informasi ekonomi untuk memperoleh pertimbangan dan keputusan yang
tepat oleh pemakai informasi yang bersangkutan.”
18
Menurut Arens, et al. (2014:6) yang dimaksud dengan akuntansi adalah:
“Accounting is the recording, clasisifying, and summarizing of economic
events in a logical manager for the purpose of providing financial information
for decision making.”
Sedangkan menurut Bodnar dan Hopwood (2014:1) yang dimaksud akuntansi
dalam lingkungan teknologi informasi adalah:
“Accounting Information System (AIS) is a collection of resource, such as
people and equipment, designed to transform financial and other data into
information. This is information is communicated to a wide variety for
decision makers. Accounting information system perform this transformation
whether they are essentially manual systems or thoroughy computerized.”
Masih menurut Arens, et al. (2014:6) menyatakan tentang keahlian yang harus
dimiliki oleh akuntan sebagai berikut:
“Accountants must have a through understanding of the principles and rules
that provide the basis for preparing the accounting information. In addition,
accountants must develop a system to make sure that the entity’s economic
events are properly recorded on a timely basis and at a reasonable cost.”
Dari pengertian akuntansi diatas dapat diketahui bahwa akuntansi merupakan
kegiatan pencatatan, pengklasifikasian, dan pengikhtisiaran dari peristiwa ekonomi
yang terjadi pada suatu entitas.
19
2.1.2 Auditing
Auditing merupakan kegiatan pemeriksaan dan pengujian suatu pernyataan,
pelaksanaan dari kegiatan yang dilakukan oleh pihak independen guna memberikan
suatu pendapat. Pihak yang melaksanakan auditing disebut dengan auditor.
Pengertian auditing semakin berkembang sesuai dengan kebutuhan yang meningkat
akan hasil pelaksanaan auditing.
Auditing Menurut Arens, et al. (2014:4) adalah sebagai berikut :
“Auditing is the accumulation and evaluation of evidence about information
to determine and report on the degree of correspondence between the
information and established criteria. Auditing should be done by a competent
independent person.”
Menurut Agoes (2012:3), dalam “Auditing (Audit Akuntan Oleh Kantor
Akuntan Publik)” pengertian auditing adalah sebagai berikut:
“Auditing adalah suatu audit yang dilakukan secara kritis dan sistematis oleh
pihak yang indpependen, terhadap laporan keuangan yang telah disusun oleh
manajemen, beserta catatan-catatan pembukuan dan bukti-bukti
pendukungnya, dengan tujuan untuk dapat memberikan pendapat mengenai
kewajaran laporan keuangan tersebut”.
Sedangkan menurut Timothy J. Louwers, et al. (2013:4) mendefinisikan
auditing adalah:
“Auditing is a systematic process of objectively obtaining and evaluating
evidence regarding assertions about economic actions and events to ascertain
the degree of correspondence between the assertions and established criteria
and communicating the results to interested users.”
20
Pengertian lain mengenai Auditing dijelaskan oleh Halim (2015:1), yang
menyatakan bahwa yang dimaksud dengan Auditing adalah:
“Suatu proses sistematis untuk menghimpun dan mengevaluasi bukti-bukti
secara objektif mengenai asersi-asersi tentang berbagai tindakan dan kejadian
ekonomi untuk menentukan tingkat kesesuaian antara asersi-asersi tersebut
dengan kriteria yang telah ditentukan dan menyampaikan hasilnya kepada
pemakai yang berkepentingan.”
Menurut Sukrisno Agoes dan Jan Hoesada (2012:45) menjelaskan bahwa ada
beberapa karakteristik dalam hal auditing, seperti:
1. “Informasi yang dapat diukur dan kriteria yang telah ditetapkan.
2. Entitas ekonomi.
3. Aktivitas mengumpulkan dan mengevaluasi bahan bukti.
4. Independen dan kompetensi auditor pelaksana.
5. Pelaporan audit.”
Berdasarkan definisi auditing diatas dapat disimpulkan beberapa hal penting
terkait dengan auditing, dimana yang diaudit atau diperiksa adalah laporan keuangan
yang telah disusun oleh manajemen beserta catatan-catatan pembukuannya.
Pemeriksaan dilakukan secara kritis dan sistematis untuk memperoleh serta
mengevaluasi bukti secara objektif mengenai asersi-asersi kegiatan dan peristiwa
ekonomi. Pemeriksaan dilakukan oleh pihak yang berkompeten dan independen yaitu
akuntan publik. Hasil dari pemeriksaan tersebut dapat memberikan pendapat
mengenai kewajaran laporan keuangan yang diperiksa agar dapat memberikan
informasi yang dapat dimanfaatkan oleh para pemakai laporan keuangan.
21
2.1.2.1 Jenis-jenis Auditing
Menurut Agoes (2012:4), dalam “Auditing (Petunjuk Praktis Pemeriksaan
Akuntan oleh Akuntan Publik)” jenis audit dapat ditinjau dari luasnya pemeriksaan
dan jenis pemeriksaannya. Maka dari pernyataan tersebut dapat diuraikan sebagai
berikut:
1. “Jenis Audit Ditinjau dari Luasnya Pemeriksaan:
a. Pemeriksaan Umum (General Audit)
Suatu pemeriksaan umum atas laporan keuangan yang dilakukan oleh
KAP independen dengan tujuan untuk bisa memberikan pendapat
mengenai kewajaran laporan keuangan secara keseluruhan.
Pemeriksaan tersebut harus dilakukan sesuai dengan Standar
Profesional Akuntan Publik atau ISA atau Panduan Audit Entitas Bisnis
Kecil dan memperhatikan Kode Etik Akuntan Indonesia, Kode Etik
Profesi Akuntan Publik serta Standar Pengendalian Mutu.
a. Pemeriksaan Khusus (Special Audit)
Suatu pemeriksaan terbatas (sesuai dengan permintaan auditee) yang
dilakukan oleh KAP yang independen, dan pada akhir pemeriksaannya
auditor tidak perlu memberikan pendapat terhadap kewajaran laporan
keuangan secara keseluruhan. Pendapat yang diberikan terbatas pada
pos atau masalah tertentu yang diperiksa, karena prosedur audit yang
dilakukan juga terbatas.
2. Jenis Audit Ditinjau dari Jenis Pemeriksaan:
a. Manajemen Audit (Operational Audit)
Suatu pemeriksaan terhadap kegiatan operasi suatu perusahaan,
termasuk kebijakan akuntansi dan kebijakan operasional yang telah
ditentukan oleh manajemen, untuk mengetahui apakah kegiatan operasi
tersebut sudah dilakukan secara efektif, efisien dan ekonomis.
b. Pemeriksaan Ketaatan (Compliance Audit)
Pemeriksaan yang dilakukan untuk mengetahui apakah perusahaan
sudah menaati peraturan-peraturan dan kebijakan-kebijakan yang
berlaku, baik yang ditetapkan oleh pihak intern perusahaan
(manajemen, dewan komisaris) maupun pihak eksternal (Pemerintah,
Bapepam LK, Bank Indonesia, Direktorat Jenderal Pajak, dan lain-
lain). Pemeriksaan bisa dilakukan baik oleh KAP maupun Bagian
Internal Audit.
22
c. Pemeriksaan Intern (Internal Audit)
Pemeriksaan yang dilakukan oleh bagian internal audit perusahaan,
baik terhadap laporan keuangan dan catatan akuntansi perusahaan,
maupun ketaatan terhadap kebijakan manajemen yang telah ditentukan
d. Computer Audit
Pemeriksaan oleh KAP terhadap perusahaan yang memproses data
akuntansinya dengan menggunakan Electronic Data Processing (EDP)
System.
2.1.2.2 Jenis-Jenis Auditor
Menurut Arens, et al. (2014:15) jenis-jenis auditor yang umum terbagi ke
dalam empat jenis, yaitu:
1. “Certified Public Accounting Firm
Certified public accounting firms are for auditing the published historical
financial statements of all publicly traded companies, most other
reasonably large companies, and many smaller companies and
noncommercial.
2. Government accountability office auditors
A government accountability office auditors is an auditor working for the
U.S Government Accountability Office (GAO), a nonpartisan agency in the
legislative branch of the federal government. Headed by the controller
general, the GAO reports to and is responsible solely to congress. The
GAO’s primary responsibility is to perform the audit function for congress,
and it has many of the same audit responsibilities as a CPA firm.
3. Internal Revenue Agents
The IRS, under the direction of the commissioner of internal revenue, is
responsible for enforcing the federal tax laws as they have been defined by
congress and interepted by the courts. A mayor responsibility of the IRS is
to audit taxpayers’ returns to determined whether they have complied with
the tax laws.
4. Internal Auditor
Internal auditor are employed by the all types of organizations to audit for
management, much as the GAO does for congress. Internal auditor’s
responsibilities vary considerably, depending on the employer. Some
internal audit staffs consist of only one or two employess doing routine
compliance auditing. Other internal audit staffs may have more than 100
employess who have diverse responsibilities, including many outside the
accounting area. Many internal auditors are involved in operational
auditing or have expertise in evaluating computer system.”
23
2.1.3 Kantor Akuntan Publik (KAP)
Menurut Undang-undang No.5 Tahun 2011 tentang Akuntan Publik,
Kantor Akuntan Publik (KAP) adalah badan usaha yang didirikan berdasarkan
ketentuan peraturan perundang-undangan dan mendapatkan mendapatkan izin usaha
berdasarkan undang-undang ini.
Menurut Pasal 18 Undang-undang No.5 tahun 2011 tentang Kantor
Akuntan Publik (KAP) akan diberikan apabila pemohonan memenuhi persyaratan
sebagai berikut:
1. Izin KAP diberikan oleh Menteri
2. Syarat mendapatkan izin usaha sebagaimana dimaksud pada ayat (1)
adalah sebagai berikut:
a. Mempunyai kantor atau tempat untuk menjalankan usaha yang
berdomisili di wilayah Negara Kesatuan Republik Indonesia;
b. Memiliki Nomor Pokok Wajib Pajak Badan untuk KAP yang
berbentuk usaha persekutuan perdata dan firma atau Nomor Pokok
Wajib Pajak Pribadi untuk KAP yang berbentuk usaha
perseorangan;
c. Mempunyai paling sedikit 2 (dua) orang tenaga kerja profesional
pemeriksa di bidang akuntansi;
d. Memiliki rancangan sistem pengendalian mutu;
e. Membuat surat pernyataan dengan bermaterai cukup bagi bentuk
usaha perseorangan dengan mencantumkan paling sedikit;
24
1) Alamat akuntan publik;
2) Nama dan domisili kantor;dan
3) Maksud dan tujuan pendirian kantor;
f. Memiliki akta pendirian yang dibuat oleh dan dihadapkan notaris
bagi bentuk usaha sebagaimana dimaksud dengan Pasal 12 ayat (1)
huruf b, huruf c, atau huruf d, yang paling sedikit mencantumkan:
1) Nama rekan;
2) Alamat rekan;
3) Bentuk usaha;
4) Nama dan domisili usaha;
5) Maksud dan tujuan pendirian kantor;
6) Hak dan kewajiban sebagai rekan; dan
7) Penyelesaian sengketa dalam hal terjadi perselisihan diantara
rekan.
3. Ketentuan lebih lanjut mengenai persyaratan dan tata cara perizinan
dimaksud pada ayat (2) diatur dalam peraturan menteri.
Untuk menjalani profesi akuntan publik harus memiliki register akuntan
yang dikeluarkan oleh Departemen Keuangan RI. Menurut Peraturan Menteri
Keuangan Nomor 25/PMK.01/.2014 tentang Akuntan Beregister Negara. Dalam
pasal 1 aturan tersebut menjelaskan bahwa akuntan adalah seseorang yang telah
terdaftar pada register Negara akuntan yang diselenggarakan oleh Menteri. Register
Negara akuntan adalah suatu daftar yang memuat nomor dan nama orang yang berhak
25
menyandang gelar akuntan sesuai dengan peraturan Menteri (Halim, 2015:15).
Nomor register akuntan diperoleh dengan persyaratan sebagai berikut:
a. Lulus pendidikan profesi akuntansi atau lulus ujian sertifikasi akuntan
profesional;
b. Berpengalaman di bidang akuntansi; dan
c. Sebagai anggota Asosiasi Profesi Akuntan.
2.1.3.1 Hierarki Kantor Akuntan Publik
Auditor independen atau auditor eksternal melaksanakan kegiatannya
dibawah suatu kantor akuntan publik. Menurut Halim (2015:17-18), hierarki staff
organisasi kantor akuntan publik pada umumnya adalah sebagai berikut:
1. “Partner, merupakan top legal client relantionship yang bertugas me-
review pekerjaan audit, menandatangani laporan audit, menyetujui
masalah fee dan penagihannya, dan penanggungjawab atas segala hal
yang berkaitan dengan pekerjaan audit.
2. Manager, merupakan staf yang banyak berhubungan dengan klien,
mengawasi langsung pelaksanaan tugas-tugas audit, mer-review lebih
rinci terhadap pekerjaan audit, dan melakukan penagihan atas fee.
3. Akuntan senior, merupakan staf yang bertanggungjawab langsung
terhadap perencanaan dan pelaksanaan pekerjaan audit, dan me-review
pekerjaan para akuntan yunior yang dibawahinya.
4. Akuntan yunior, merupakan staf pelaksana langsung dan
bertanggungjawab atas pekerjaan lapangan. Para yunior ini
penugasannya dapat berupa bagian-bagian dari pekerjaan audit, dan
bahkan bila memungkinkan memberikan pendapat atas bagian yang
diperiksa.”
26
2.1.3.2 Jasa Assurance yang Diberikan Kantor Akuntan Publik
Menurut Hall dan Singleton (2007:7), yang dimaksud dengan jasa assurance
adalah:
“Jasa assurance adalah layanan profesional yang didesain untuk
meningkatkan kualitas informasi, secara keuangan dan non keuangan yang
digunakan oleh para pengambil keputusan.”
Menurut Arens et al (2014:8), yang dimaksud dengan jasa assurance ialah:
“Assurance service is an independen professional service that improves the
quality of information for decision maker. Such services are valued because
the assurance provider is independen and perceived as being unbiased with
respect to the information examined.”
Sedangkan menurut Timothy J.Louwers, et al. (2013:8), yang dimaksud
dengan jasa assurance adalah:
“ Assurance service as independen professional services that improve the
quality of information, or its context for decision makers.”
Dari seluruh pengertian tersebut kita dapat mengetahui bahwa jasa assurance
sangat erat kaitannya dengan peningkatan informasi bagi para pengambil keputusan,
dan dapat dilakukan oleh akuntan publik atau oleh berbagai profesional lainnya. Oleh
karena itu kantor akuntan publik selain memberikan jasa audit laporan keuangan,
kantor akuntan publik juga dapat memberikan jasa assurance dan non assurance
kepada para pemakai jasa penyedia.
27
2.1.3.3 Jasa Atestasi yang Diberikan Kantor Akuntan Publik
Menurut Arens, et al. (2014:9), Attestation service is a type of assurance in
which the CPA firm issues a report about the realibility of an assertion that is made
by another party. Masih menurut Arens, et al. (2014:11-18) jasa atestasi itu dibagi
menjadi lima kategori:
1. “Audit of Historical Financial Statements.
In audit of historical financial statement, management asserts that the
statements are fairly stated in accordance with apllicable U.S or
international accounting standards. An audit of these statements is a
form of attestation service in which the auditor issues a written report
expressing an opinion about whether the financial statements are fairly
stated in accordance with the applicable accounting standards.
2. Audit of Internal Control over Financial Reporting.
For an audit of internal control control over financial reporting, assert
that internal controls have been developed and implemented following
well established criteria. The act also requires auditors to attest to the
effectiviness of internal control over financial reporting.
3. Review of Historical Financial Statements
For a review of historical financial statements, management assert that
the statements are fairly stated in accordance with accounting
standards, the same as for audit. A review is often adequate to meet
financial statement user’s needs.
4. Attestation Services on Information Technology
For attestations on information technology, management makes various
assertions about reliability and security of electronic information. Many
business functions, such as ordering and making payment, are
conducted over the internet or directly between computers using
electronic data interchange (EDI). As transactions and information are
shared online and in realtime, businesspeople demand even greater
assurances about information, transaction, and the security protecting
them. WebTrust and SysTrust are examples of attestation services
developed to address these assurances needs.
WebTrust services. The AICPA and the Canadian Institute of Chartered Accountants (CICA) jointly created the WebTrust
attestation services. CPA firms that are licensed by the AICPA to
perform this services provide assurances to users of website
through the CPA‟s electronic Webtrust seal displayed on the
28
website. This seal assures the user that the website owner has meet
established criteria related to business practice, transaction
integrity, and information processes.
SysTrust services. The AICPA and CICA jointly created the SysTrust attestation service to evaluate and test system reliability
in areas such as security and data integrity. Whereas the WebTrust
assurances service is primarily designed to provide assurance to
third party users of a website, SysTrust service might be done by
CPA‟s to provide assurance to management the board of director,
or third parties about the realibility of information systems used to
generated real-time information.
5. Other Attestation Services
CPA‟s provide numerous other attestation services. Many of these
service are natural extensions of the audit of historical financial
statements, as users seek independent assurances about other types
information. In each case, the organization being audited must provide
an assertion before the CPA can provide the attestation. Example other
attestation services is controls over and risks related to investments
including policies related to derivaties, mystery shopping, assess risks of
accumulation, distribution, and storage of digital information, fraud and
illegal acts risks assessment, compliance with trading policies and
procedures, compliance with entertainment royalty agreements, ISO
9000 certifications, corporate responsibility and suitainability.”
Menurut Hall dan Singleton (2007:7) yang dimaksud dengan jasa atestasi
adalah:
“Atestasi adalah perjanjian di mana seorang praktisi yang dikontrak untuk
mengeluarkan sebuah komunikasi tertulis yang menyatakan suatu kesimpulan
mengenai keandalan sebuah penilaian tertulis yang merupakan tanggung
jawab pihak lainnya.”
Sedangkan menurut Halim (2015:20) yang dimaksud dengan jasa atestasi
adalah:
“Jasa atestasi adalah suatu pernyataan pendapat atau pertimbangan seseorang
yang independen dan kompeten mengenai kesesuaian, dalam segala hal yang
signifikan, asersi suatu entitas dengan kriteria yang telah ditetapkan. Ada 4
jenis jasa atestasi yang dapat diberikan oleh suatu kantor akuntan publik,
yaitu: audit, pemeriksaan (examination), penelaahan (review) dan prosedur
yang disepakati bersama (agreed-upon procedures).”
29
Selain itu menurut Halim (2015:21) ada 3 jenis jasa non atestasi yang dapat
diberikan oleh kantor akuntan publik, berikut jasa non atestasi yang bisa diberikan
oleh kantor akuntan publik:
“Jasa Akuntansi Jasa akuntansi dapat diberikan melalui aktivitas pencatatan, penjurnalan,
posting, jurnal penyesuaian dan penyusunan laporan keuangan klien (jasa
kompilasi) serta perancangan sistem akuntansi klien.
Jasa Perpajakan
Jasa perpajakan meliputi pengisian surat laporan pajak, dan perencanaan
pajak. Selain itu dapat bertindak juga sebagai penasehat dalam masalah
perpajakan dan melakukan pembelaan bila perusahaan yang menerima
jasa sedang mengalami permasalahan dengan Kantor Pajak.
Jasa Konsultasi Manajemen Jasa konsultasi manajemen atau management advisory services (MAS)
merupakan fungsi pemberian konsultasi dengan memberikan saran dan
bantuan teknis kepada klien untuk peningkatan penggunaan kemampuan
dan sumber daya untuk mencapai tujuan perusahaan klien.”
Dari beberapa pengertian diatas dapat dipahami bahwa yang dimaksud dengan
jasa atestasi adalah jasa yang dapat diberikan oleh kantor akuntan publik kepada klien
(auditee) untuk menilai keandalan, kesesuaian asersi klien (auditee). Selain itu kantor
akuntan publik juga dapat memberikan jasa non atestasi/jasa atestasi lain kepada klien
(auditee), yaitu jasa akuntansi, jasa perpajakan, dan jasa konsultasi manajemen.
30
2.1.4 Kompetensi Auditor Eksternal
2.1.4.1 Pengertian Kompetensi
Menurut standar umum pertama (SA seksi 210 dalam SPAP 2011)
menyebutkan bahwa audit harus dilaksanakan oleh seorang atau lebih yang memiliki
keahlian dan pelatihan teknis yang cukup, sebagai auditor kompetensi berkaitan
dengan keahlian profesional yang dimiliki oleh auditor sebagai hasil dari pendidikan
formal, ujian profesional maupun keikutsertaan dalam pelatihan, seminar, simposium.
Pengertian mengenai kompetensi tersebut hampir sama dengan pernyataan
Tuanakotta, Theodorus M (2011:64) yang menyatakan bahwa Kompetensi
merupakan keahlian seorang auditor yang diperoleh dari pengetahuan, pengalaman,
dan pelatihan.
Menurut general standards yang dikeluarkan oleh AICPA dalam Arens, et al.
(2014:34), dijelaskan bahwa seorang auditor harus memiliki kompetensi didalam
memberikan jasa auditnya, berikut general standards menurut AICPA yang berkaitan
dengan Adequate Technical Training and Proficiency:
“The first general standard is normally interpreted as requiring the auditor
to have the formal education in auditing and accounting, adequate practical
experience for the work being performed, and continuing professional
education. Recent court cases clearly demonstrate that auditors must be
technically qualified and experience in those industries in which their audit
clients are engaged.”
31
Sedangkan menurut Timothy J. Louwers, et al. (2013:43), menyatakan bahwa
kompetensi adalah:
“Competence begin with education in accounting because auditors hold
themselves out as experts in accounting standards, financial reporting, and
auditing. In addition to university-level education prior to beginning their
careers, auditors are also required to participate in countinuing professional
education throughout their careers to ensure that their knowledge keeps pace
with changes in accounting and auditing professional. In fact one of the
important requirements for maintaining a CPA license is sufficient continuing
professional education, and another important is a dimension of experience.”
Dari berbagai definisi dan penjelasan mengenai kompetensi, dapat kita pahami
bahwa seorang auditor didalam memberikan jasa auditnya harus dibekali dengan
kompetensi yang cukup. Kompetensi tersebut dapat diperoleh dari pendidikan formal
audit dan akuntansi, pendidikan berkelanjutan profesi audit, pelatihan maupun
seminar serta pengalaman audit yang telah dilakukan oleh auditor.
2.1.4.2 Elemen-elemen Kompetensi Auditor
Menurut Timothy J. Louwers, et al. (2013:43) elemen dalam pembentukan
kompetensi seorang auditor adalah sebagai berikut:
1. “Education
education in accounting because auditors hold themselves out as experts
in accounting standards, financial reporting, and auditing. In addition to
university-level education prior to beginning their careers.
2. Continuing Professional Education
auditors are also required to participate in countinuing professional
education throughout their careers to ensure that their knowledge keeps
pace with changes in accounting and auditing professional.
3. Experience
Another important dimension is experience, which is gained with hands-
on practice and on-the-job training. An important component of this
experience is the ability to develop and apply professional judgement in
real-world audit situation. These situation include various judgement
related to gathering evidence related to to the fairness of an entity’s
32
financial statement and evaluating whether that evidence indicates that
the financial statements are prepared accounting principles.”
2.1.4.3 Kompetensi Auditor Teknologi Informasi
Dalam hal audit berbasis teknologi informasi yang menggunakan komputer
dan jaringan internet, memerlukan kompetensi yang berbeda dibandingkan dengan
audit yang biasa diberikan oleh seorang auditor. Menurut Agoes dan Hoesada
(2012:48-49), bahwa kompetensi minimum yang harus dimiliki oleh auditor
dilingkungan teknologi informasi ialah sebagai berikut:
1. “Pengetahuan dasar-dasar komputer dan fungsi komputer secara umum.
2. Pengetahuan dasar tentang sistem operasi dan perangkat lunak.
3. Pemahaman tentang pengolahan file dan struktur data.
4. Kemampuan bekerja dengan perangkat audit.
5. Kemampuan mer-review sistem dokumentasi.
6. Pengetahuan dasar tentang pengendalian internal Sistem Informasi
Komputer (SIK).
7. Pengetahuan memadai dalam pengembangan rencana audit dan supervisi
pelaksanaan audit dalam lingkungan SIK (IAI 2001:335.3).
8. Pemahaman dinamika perkembangan perubahan sistem dan program
dalam suatu entitas.”
Menurut SPAP SA seksi 331 paragraf 07 dan SPAP SA seksi 335 paragraf 03
dan paragraph 04 (2011) tentang keahlian dan kompetensi audit berbasis teknologi
dijelaskan bahwa kompetensi dan keahlian yang harus dimiliki oleh seorang auditor
yang memberikan jasa audit teknologi informasi ialah sebagai berikut:
Menurut SPAP SA seksi 331 Paragraf 07 (2011)
“Auditor harus memperoleh pengetahuan mengenai hal-hal yang berkaitan
dengan sifat bisnis satuan usaha, organisasinya dan karakteristik operasinya.
Hal tersebut mencangkup sebagai contoh tipe bisnis, tipe produk dan jasa,
struktur modal, pihak yang mempunyai hubungan istimewa, lokasi dan
33
metode produksi, distribusi dan kompensasinya. Auditor juga harus
mempertimbangkan hal-hal yang mempengaruhi industry tempat operasi
satuan usaha seperti kondisi ekonomi, peraturan pemerintah serta perubahan
teknologi, yang berpengaruh terhadap auditnya. Hal lain harus
dipertimbangkan auditor adalah praktek akuntansi yang berlaku umum dalam
industri, kondisi persaingan, dan jika tersedia, tren keuangan dan rasio
keuangan.”
Menurut SPAP SA seksi 335 Paragraf 03 (2011)
“Bila melaksanakan audit dalam pengolahan data elektronik, auditor harus
memiliki pemahaman memadai mengenai perangkat keras, perangkat lunak
dan sistem pengolahan komputer untuk merencanakan penugasan dan ia harus
memahami bagaimana dampak pengolahan komputer untuk merencanakan
penugasan dan ia harus memahami bagaimana dampak pengolahan data
elektronik terhadap prosedur yang digunakan oleh auditor dalam memperoleh
pemahaman dan melakukan prosedur audit, termasuk prosedur audit, termasuk
penggunaan teknik audit berbantu komputer (computer-assisted audit
techniques).”
Menurut SPAP SA seksi 335 Paragraf 04 (2011)
“Auditor harus pula memiliki pengetahuan pengolahan data elektronik
memadai untuk menetapkan prosedur audit, tergantung atas pendekatan audit
yang digunakan (audit around computer and through computer).”
Sedangkan menurut Halim (2015:316), kompetensi audit dilingkungan
teknologi informasi adalah:
“Pengetahuan dan kemampuan auditor yang diperlukan bergantung pada
kompleksitas PDE dan tanggung jawab auditor yang diperlukan. Adapun
pertimbangan yang harus auditor lakukan dalam audit teknologi informasi
adalah: luas penggunaan komputer klien, kompleksitas operasi komputer
klien, organisasi kegiatan pemprosesan komputer, ketersediaan data dalam
hard copy dan computer-readable form dan penggunaan TABK (Teknik
Audit Berbantuan Komputer) untuk meningkatkan efisiensi pelaksanaan
prosedur auditing.”
34
Dari beberapa penjelasan diatas dapat dipahami bahwa auditor dilingkungan
teknologi informasi harus memiliki kompetensi yang cukup baik terutama dalam
pengetahuan mengenai perangkat keras, perangkat lunak dan sistem pengolahan
komputer, kompleksitas operasi komputer yang digunakan oleh klien (auditee), serta
dapat menggunakan TABK (Teknik Audit Berbantuan Komputer) dalam
melaksanakan auditnya.
2.1.5 Due Professional Care
Menurut Agoes dan Hoesada (2012:22), bahwa yang dimaksud dengan due
professional care adalah:
“Kemahiran professional harus digunakan secara cermat dan seksama
umumnya, kewaspadaan bernuansa kecurigaan professional yang sehat
(skeptisme) khususnya, lebih khusus lagi selalu mempertimbangkan
kemungkinan pelanggaran dan kecurangan dalam pelaporan dan laporan
keuangan untuk menyampaikan kesimpulan audit dengan keyakinan memadai
sesuai kebenaran.”
Menurut Arens, et al. (2014:35) yang dimaksud dengan due professional care
adalah:
“Due professional care it mean that auditor’s are professionals responsible
for fulfilling their duties diligently and carefully. Due care include
consideration of the completeness of the audit documentation, the sufficiency
of the audit evidence, and the appropriateness of the audit report. As
professionals, auditors must not act negligently or in bad faith, but they are
not expected to be infallible.”
35
Dari pengertian diatas dapat dipahami bahwa due professional care berkaitan
dengan ketekunan dan kehati-hatian yang harus dimiliki oleh seorang auditor,
ketekunan dan kehati-hatian tersebut menyangkut dalam hal pertimbangan
kelengkapan dokumentasi audit, kecukupan bukti audit dan kesesuaian laporan audit.
Auditor diharapkan tidak melakukan kelalaian atau itikad buruk, tetapi mereka tidak
dituntut untuk menjadi sempurna.
Menurut Timothy J.Louwers, et al. (2013:45), menjelaskan bahwa yang
dimaksud dengan due professional care adalah:
“Due care reflects a level of performance that would be exercised by
reasonable auditor’s in similar circumstances. This standard is often referred
to as that of a prudent auditor, auditor are expected to possess the skills and
knowledge of others in their profession but are not expected to be infallible.
This aspect relates to the competence and capabilities of the auditor to
perform the engagement and issue appropriate reports. One specific element
of due care noted by the standards is the need for auditor’s to plan and
perform the audit with an appropriate level of professional skepticism.”
Dari pengertian mengenai due professional care yang diterangkan oleh
Timothy J.Louwer, et al dapat kita pahami bahwa due professional care berkaitan
dengan keterampilan dan pengetahuan seorang auditor didalam melakukan jasa
audit/perikatan dan didalam mengeluarkan laporan hasil audit, salah satu hal yang
harus dimiliki oleh seorang auditor terkait dengan due professional care adalah
skeptisisme profesional.
36
Menurut Halim (2015:34), yang dimaksud dengan due professional care
ialah:
“Setiap anggota harus melaksanakan jasa profesionalnya dengan kehati-hatian
, kompetensi, dan ketekunan, serta mempunyai kewajiban untuk
mempertahankan pengetahuan dan keterampilan profesional pada tingkat yang
diperlukan untuk memastikan bahwa klien atau pemberi kerja memperoleh
manfaat dari jasa profesionalnya yang kompeten berdasarkan perkembangan
praktik, legislasi, dan teknik yang paling muktahir.”
Sedangkan menurut PSA No. 4 SPAP, kecermatan dan keseksamaan dalam
penggunaan kemahiran profesional menuntut auditor untuk melaksanakan
skeptisisme profesional, yaitu suatu sikap auditor yang berpikir kritis terhadap bukti
audit dengan selalu mempertanyakan dan melakukan evaluasi terhadap bukti audit
tersebut.
Dari seluruh pengertian diatas dapat disimpulkan bahwa due professional care
adalah sikap cermat, ketekunan, kehati-hatian dan seksama yang harus dimiliki oleh
seorang auditor didalam setiap pemberian jasa auditnya. Due professional care
dianggap hal yang cukup penting karena dari 10 kelemahan audit di SEC Amerika
Serikat 1987-1997, kegagalan menerapkan due professional care berada di posisi ke
2 (71 % kasus) dari 10 kelemahan audit SEC dan professional skepticism berada di
posisi ke 3 (60 % kasus) dari 10 kelemahan audit SEC (Tuanakotta, 2013:215). Oleh
karena itu Kecermatan dan kesaksamaan auditor yang jujur dituntut agar aktivitas
audit dan perilaku profesional tidak berdampak merugikan orang lain, kepedulian
akan kerusakan masyarakat akibat kekurangcermatan audit yang diseimbangkan
dengan keperluan menghindari risiko audit itu sendiri (Agoes dan Hoesada, 2012:22).
37
Kecermatan profesional/due professional care memberi jaminan bahwa
standar profesi minimum terpenuhi, menumbuhkan kejujuran profesional, kepedulian
dampak sosial, dan pelaporan indikasi kecurangan secara serta-merta berdampak pada
peningkatan nilai ekonomis jasa audit dan citra profesi audit (Agoes dan Hoesada,
2012:27). Due professional care merupakan hal yang penting yang harus diterapkan
setiap auditor baik oleh akuntan publik maupun oleh seluruh auditor dalam
melaksanakan pekerjaan profesionalnya agar dicapai kualitas audit yang memadai.
Due professional care menyangkut dua aspek, yaitu professional
skepticism/skeptisisme profesional dan reasonable assurance/keyakinan yang
memadai (SAS No.1 AU section 230).
2.1.5.1 Professional Skepticism/Skeptisisme profesional
Menurut Timothy J.Louwers, et al (2013:45), menjelaskan bahwa yang
dimaksud dengan professional skepticism adalah:
“Professional skepticism is a state of mind that characterized by appropriate
questioning and a critical assessment of audit evidence. When exbiting
professional skepticism, auditors do not assume that management is
dishonest, nor they assume that management is unquestionably honest.”
Dari pengertian diatas dapat dipahami bahwa yang dimaksud dengan
professional skepticism/skeptisisme profesional adalah sikap selalu mempertanyakan
dan kritis terhadap bukti audit ketika menjalankan proses audit, sikap skeptisisme
profesional seorang auditor tidak boleh mengasumsikan bahwa manajemen
perusahaan tidak jujur atau mengasumsikan bahwa manajemen perusahaan diragukan
kejujurannya.
38
The International Federation of Accountannts (IFAC) defines professional
skepticism in term of evidence assessment when it states that:
“Skepticism means the auditor makes a critical assessment, with a
questioning mind of the validity of audit evidence obtained and is alert to
audit evidence that contradicts or brings into question the realibility of
documents and response to inquiries and other information obtained from
management and those charged with governance.” (ISA 200.16)
Dari penjelasan diatas dapat dipahami bahwa dengan memiliki sikap
skeptisisme berarti auditor membuat penilaian yang kritis dengan pikiran yang selalu
bertanya mengenai validitas dari bukti audit yang telah diperoleh dan mewasdai
setiap bukti yang menimbulkan kontradiksi atau ketidakjelasan realibilitas dokumen
dan selalu menanyakan setiap informasi yang diperoleh dari manajemen dan pihak
lain selaku penanggung jawab. Tuanakotta (2011:78), menjelaskan unsur-unsur
dalam pengertian professional skepticism menurut IFAC adalah sebagai berikut:
1. “ A critical assessment (ada penilaian yang kritis, tidak menerima begitu
saja).
2. With a questioning mind (dengan cara berpikir yang terus-menerus
bertanya dan mempertanyakan).
3. Of the validity of audit evidence obtained (kesahihan dari bukti audit yang
diperoleh).
4. Alert to audit evidence that contradicts (waspada terhadap bukti audit
yang kontradiktif).
5. Brings into question the reliability of documents and responses to
inquiries and other information (mempertanyakan keandalan dokumen
dan jawaban atas pertanyaan serta informasi lain).
6. Obtained from management and those charge with governance ( yang
diperoleh dari manajemen dan mereka yang berwenang dalam pengelolaan
perusahaan).”
39
Sedangkan penjelasan yang berkaitan dengan professional skepticism menurut
SAS No.1 (AU section 230) adalah sebagai berikut :
“Due professional care requires the auditor to exercise professional
skepticism. Professional skepticism is an attitude that include a questioning
mind and a critical assessment of audit evidence. The auditor uses the
knowledge, skill, and ability called for by the profession of public accounting
to diligently perform, in good faith and with integrity, the gathering and
objective evaluation of evidence.”
Maksud dari penjelasan diatas adalah kemahiran profesional dengan cermat
dan seksama menuntut auditor untuk melaksanakan skeptisisme profesional.
Skeptisisme profesional adalah sikap yang mencakup pikiran yang selalu
mempertanyakan dan melakukan evaluasi secara kritis bukti audit. Auditor
menggunakan pengetahuan, keterampilan, dan kemampuan yang dituntut oleh profesi
akuntan publik untuk melaksanakan dengan cermat dan seksama, dengan maksud
baik dan integritas, pengumpulan dan penilaian bukti audit secara objektif. Oleh
karena itu auditor dalam melaksanakan tugas audit harus menggunakan sikap
skeptisisme professional (Abdul Halim, 2015:84).
2.1.5.2 Reasonable Assurance/Kepastian yang Memadai
SAS No.104 (AU Section 230.10) menjelaskan mengenai reasonable
assurance adalah:
“When exercising due professional care, the auditor must plan and perform
the audit to obtain sufficient appropriate audit evidence so that audit risk will
be limited to a low level that is, in his or her professional judgment,
appropriate for expressing an opinion on financial statements. The high, but
not absolute, level of assurance that is intended to be obtained by the auditor
is expressed in the auditor’s report as obtaining reasonable assurance about
whether the financial statement are free of material misstatement (whether
caused by error or fraud). Absolute assurance is not attainable because of the
40
nature of audit evidence and the characteristics of fraud. Therefore, an audit
conducted in accordance with generally accepted auditing standards may not
detected a material misstatement.”
Dari standar diatas dapat dipahami bahwa ketika menjalankan kemahiran
profesional dengan cermat dan seksama, auditor harus merencanakan dan
melaksanaan audit untuk memperoleh bukti audit yang cukup tepat dengan begitu
resiko audit dapat dikurangi sampai pada level yang paling rendah, menurut
pertimbangan profesionalnya sesuai untuk menyatakan pendapat atas laporan
keuangan. Tingkat kepastian yang tinggi namun tidak mutlak, tingkat kepastian yang
dimaksudkan yang diperoleh oleh auditor diungkapkan dalam laporan auditor sebagai
keyakinan yang memadai tentang apakah laporan keuangan yang bebas dari salah saji
(apakah karena kekeliruan atau kecurangan). Kepastian mutlak tidak dapat dicapai
karena sifat bukti audit dan karakteristik kecurangan. Oleh karena itu, walaupun audit
dilakukan sesuai dengan standard auditing masih mungkin menyebabkan tidak
terdeteksi salah saji material.
Sedangkan Tuanakota (2011:162), memaknai reasonable assurance adalah
sebagai berikut:
1. “Dalam kaitannya dengan laporan audit: auditor bekerja dengan batas-
batas ekonomis (economic limits). Agar bermanfaat secara ekonomis,
perumusan audit opinion harus dilakukan dalam waktu yang layak dan
dengan biaya yang layak. Auditor harus membuat keputusan (tentunya
dengan melaksanakan professional judgment). Apakah bukti-bukti yang
tersedia dalam batas waktu dan biaya tersebut sudah cukup untuk
memberikan opini.
41
2. Dalam kaitannya dengan pengendalian intern: bagaimana pun baiknya
pengendalian intern dirancang dan dioperasikan, ia tidak akan dapat
menjamin sepenuhnya bahwa tujuan entitas tersebut dipenuhi, karena
adanya kelemahan bawaan (inherent limitations) dalam semua
pengendalian intern.”
2.1.6 Technology Information/Teknologi Informasi
2.1.6.1 Pengertian Information Technology/Teknologi Infomasi
Menurut Rainer dan Cegielski (2012:5), yang dimaksud dengan information
technology adalah:
“Information technology relates to any computer-based tool that people use
to work with information and information processing needs of an
organization.”
Menurut Sutarman (2012:13), yang dimaksud dengan Information Technology
(IT)/Teknologi Informasi sebagai berikut :
„‟Teknologi informasi adalah suatu studi, perancangan, pengembangan,
implementasi, dukungan atau manajemen sistem informasi berbasis komputer,
khususnya aplikasi perangkat lunak dan perangkat keras.‟‟
Menurut Turban dan Volonino (2012:8), yang dimaksud dengan information
technology adalah:
“Information technology in its narrow definition, refers to the technological
side of an information system. Often the term information technology is used
interchange ably with information system.”
42
Menurut Bodnar dan Hopwood (2014:15), information technology/technologi
informasi adalah:
“Information technology include computers, but also includes other
technologies used to process information. Technologies such as machine-
readable bar codes, scanning devices, communications protocols, and
standards such as ANSI X.12 are essential to quick-response system.”
Menurut Sutabri (2014:3), yang dimaksud dengan teknologi informasi adalah
„‟Suatu teknologi yang digunakan untuk mengolah data, termasuk
memproses, mendapatkan, menyusun, menyimpan, memanipulasi data dalam
berbagai cara untuk menghasilkan informasi yang berkualitas, yaitu
informasi yang relevan, akurat dan tepat waktu,yang digunakan untuk
keperluan pribadi, bisnis dan pemerintahan dan merupakan informasi yang
strategis untuk pengambil keputusan.‟‟
Dari beberapa pengertian diatas mengenai information technology/teknologi
informasi dapat dipahami bahwa yang dimaksud dengan information
technology/teknologi informasi adalah penggunaan teknologi komputer dalam
memproses/mengolah suatu data menjadi suatu informasi yang berguna dalam
pengambilan suatu keputusan.
2.1.6.2 Tujuan dan Fungsi Teknologi Informasi
Menurut Sutarman (2012:17) , tujuan dari teknologi informasi adalah sebagai
berikut :
1. “Untuk memecahkan masalah
2. Untuk membuka kreativitas dan
3. Untuk meningkatkan efektivitas dan efisiensi dalam melakukan
pekerjaan.”
43
Sedangkan fungsi teknologi informasi menurut Sutarman (2012:18) adalah
sebagai berikut :
1. “Menangkap (Capture)
2. Mengolah (Processing)
Mengkompilasikan catatan rinci dari aktivitas, misalnya menerima input
dari keyboard, scanner, mic, dan sebagainya. Mengolah atau memproses
data masukan yang diterima untuk menjadi informasi, pengolahan atau
pemrosesan data dapat berupa konversi (pengubahan data kebentuk lain),
analisis (analisis kondisi), perhitungan (kalkulasi), sintesis
(penggabungan) segala bentuk data dan informasi.
a. Data processing, memproses dan mengolah data menjadi suatu
informasi.
b. Information processing, suatu aktivitas komputer yang memproses
dan mengolah suatu tipe atau bentuk dari informasi dan
mengubahnya menjadi tipe atau bentuk dari informasi.
c. Multimedia system, suatu sistem komputer yang dapat memproses
berbagai tipe atau bentuk dari informasi secara bersamaan
(simultan).
3. Menghasilkan (Generating)
Menghasilkan atau mengorganisasikan informasi ke dalam bentuk yang
berguna. Misalnya : laporan, table, grafik, dan sebagainya.
4. Menyimpan (Storage)
Merekam atau menyimpan dan informasi dalam suatu media yang dapat
digunakan untuk keperluan lainnya. Misalnya disimpan ke harddisk, tape,
disket, compact disc (CD) dan sebagainya.
5. Mencari kembali (Retrieval)
Menelusuri, mendapatkan kembali informasi atau menyalin (copy) data
dan informasi yang sudah tersimpan, misalnya mencari supplier yang
sudah lunas dan sebagainya.
6. Transmisi (Transmission)
Mengirimkan data dan informasi dari suatu lokasi ke lokasi lain melalui
jaringan komputer. Misalnya mengirimkan data penjualan dari user A ke
user lainnya dan sebagainya.”
44
2.1.6.3 Komponen Teknologi Informasi
Menurut Agoes dan Hoesada (2012:234-235), ada beberapa komponen dalam
teknologi informasi, berikut komponen-komponen dalam teknologi informasi:
1. “System and Applications
Bagian ini mewakili bagaimana data diproses melalui aplikasi perangkat
lunak komputer yang dikelola melalui suatu sistem yang biasannya terdiri
atas tingkatan hierarkis yang mengikuti aturan bisnis yang berlaku di
organisasi yang menggunakannya. Dengan demikian, proses auditnya
sendiri akan meliputi verifikasi terhadap sistem dan aplikasinya apakah
andal, efisien, serta memiliki control yang melekat untuk memastikan
kebenaran, keandalan, kecepatan maupun keamanan pada saat pengiriman,
pemprosesan serta pengeluaran informasi di setiap tingkatan kegiatan
sistem.
2. Information Processing Facilities
Information processing facilities merupakan komponen yang terkait
dengan fasilitas-fasilitas yang digunakan untuk mengolah informasi pada
setiap organisasi. Hal ini biasannya terkait dengan perangkat keras,
misalnya scanner, komputer server, formulir, dan sebagainya. Dalam
komponen teknologi informasi ini, dilakukan verifikasi untuk memastikan
kecepatan, ketepatan, dan tingkat efisiensi dari aplikasi-aplikasi berada
dalam kondisi normal serta dibawah kemungkinan adanya potensi
kerusakan atas gangguan.
3. System Development
Bagian dari proses pembangunan maupun pengembangan dari sistem yang
sudah ada dalam suatu organisasi sesuai dengan tujuan-tujuan
aktifitasnya. Proses audit pada komponen ini ditunjukan untuk
memverifikasi apakah setiap sistem yang sedang dalam proses
pengembangan sesuai dengan tujuan atau pedoman atau arahan atau visi
atau misi dari organisasi penggunannya. Selain itu, proses audit pada
bagian ini juga ditujukan untuk memastikan apakah selama proses
pengembangan sistem sesuai dengan standar-standar yang secara umum
digunakan dalam pengembangan sistem.
4. Management of IT and Enterprise Architecture
Pengelolaan atas teknologi informasi serta arsitektur seluruh lingkup
internal organisasi yang disesuaikan dengan struktur dan prosedur yang
ditetapkan oleh manajemen adalah sangat penting. Pentingnya, hal
tersebut memerlukan proses audit yang dilaksanakan untuk memastikan
apakah segenap lingkungan atau komponen organisasi dalam pemprosesan
informasinya dilakukan secara terkendali dan efisien.
45
5. Client atau Server, Telecommunications, Intranet, and Extranets
Komputer, peralatan telekomunikasi, sistem jaringan komunikasi data
elektonik (intranet dan extranet), serta perangkat-perangkat keras
pengolahan data elektronik lainnya adalah komponen dari sebuah
teknologi informasi. Audit dibagian ini menjadi penting untuk melakukan
verifikasi atas seperangkat pengendalian pada infrastruktur perangkat
keras yang digunakan dalam pemprosesan serta komunikasi data secara
elektronik dalam suatu sistem jaringan yang terintegrasi.”
2.1.6.4 Information System/Sistem Informasi
Menurut Hall (2011:7), yang dimaksud dengan information system adalah
sebagai berikut:
“Information system is the set of formal procedures by which data are
collected, processesd into information, and distributed to users.”
Menurut Rainer dan Cegielski (2011:12), yang dimaksud dengan information
system adalah sebagai berikut:
“Information system collects, process, stores, analyzes, and disseminates
information for s specific purpose. It has been said that the purpose of
information system is to get right information to right people, at the right
time, in the right amount, and the right amount, and in the right format.”
Menurut Turban dan Volonino (2012:8), yang dimaksud dengan information
system adalah:
“Information system is collects, processes, stores, analyzes, and distributed
information for a specific purpose or objective.”
46
Menurut Bodnar dan Hopwood (2014:3), yang dimaksud dengan information
system adalah:
“The term information system suggests the uses of information technology
(IT) in an organization to provide information to users. A computer-based
information system is a collection of computer hardware and software
designed to transform data into useful information.”
Several types of computer-based information system (Bodnar dan Hopwood,
2014:3-4), are:
1. “Electronic Data Processing (EDP)
EDP is the use of IT to perform an organization’s transaction’s
transaction-oriented data processing. EDP is a fundamental AIS
application in every organization. Data concerning sales transaction,
purchase transaction, cash receipts and cash payments transactions, and
all other financial transactions that an organization understakes must be
accurately recorded, processed, and stored if the organization is to be
suistainable. As computer technology has become commonplace, the term
data processing (DP) has same meaning as EDP.
2. Management information System (MIS)
MIS describe the uses of IT to provide decision-oriented information to
managers. An MIS provides a wide variety of information beyond that
which is associated with DP in organizations. An MIS recognize that
managers within an organization use and require information in decision
making and that computer-based information system can assist in
providing information to managers.
3. Decision Support System (DSS)
In DSS data are processed into a decision-making format for the end user.
A DSS requires the use of decision models and specialized database and
differs significantly from a DP system. A DSS is directed at serving ad
hoc, specific, non-routine information requests by management. DP
system serve routine, recurring, general information needs. A DSS is
designed for specific types of decisions for specific users.
4. Expert System (ES)
An ES is a knowledge-based information system that uses its knowledge
about specific application area to acts as an expert consultant to end
users. Like DSS, an ES requires the use of decision models and specialized
database. Unlike DSS, an ES also requires the development of a
knowledge base the special knowledge that an expert possesses in the
decision area and inference engine the process by wich the expert make a
47
decision. An ES attempts to replicate the decisions that would be made by
an expert human decision maker in the same decision situatin. An ES
differs from a DSS in that a DSS assist a user in making a decision,
whereas an ES make decision.
5. Executive Information System (EIS)
An EIS is tailored to the strategic information needs of the top level
management. Much of the information used by top level management
comes from sources other than an organization’s information systems.
Examples are meetings, memos, television, periodicals, and social
activities. Some information must be processed by the organization’s
information system; however, an EIS provides top level management with
easy access to selective information that has been processed by the
organization’s information system. This selective information concerns the
key factors that top level management has identified as being critical to
organization’s success. Actual versus projected market share for product
groups and budget versus actual profit and loss data for divisions might
be key success factors for a top level executive.
6. Accounting information System
Analogous to the preceding definitions, we might define an AIS as a
computer based system designed to transform accounting data into
information. However, we use the term accounting information system
more broadly to include the use of IT, transaction processing cycles, and
the development of information system.”
2.1.6.5 Pemprosesan Data Elektronik
Menurut Agoes (2013:238), yang dimaksud dengan Electronic Data
Processing adalah:
“EDP adalah seperangkat alat elektonik yang dapat dipakai untuk memproses
data/fakta.”
Menurut Halim (2015:300), yang dimaksud dengan pengolahan data
elektronik adalah:
“Sistem PDE (pemprosesan data elektronis) atau EDP (electronic data
processing) adalah sistem pemprosesan data yang menggunakan teknologi
telekomunikasi dan komputer.”
48
Sistem PDE merupakan salah satu hasil pengembangan teknologi yang
penting. Menurut Halim (2015:300-303), ada empat komponen sistem PDE, yaitu:
1. “Perangkat Keras (Hardware) Komputer
Hardware merupakan peralatan fisik yang digunakan dalam sistem PDE.
Konfigurasi hardware berisi lima komponen, yaitu:
a. Central Processing Unit (CPU).
b. Peralatan input (input device).
c. Peralatan output.
d. Peralatan komunikasi komputer.
e. Secondary storage.
2. Perangkat Lunak (Software) Komputer
Perangkat lunak komputer yang terkait dengan sistem PDE, adalah system
software dan application software. Perangkat lunak sistem melaksanakan
fungsi umum yang harus ada agar komputer dapat beroperasi dan
mengolah data sebagaimana mestinya. Perangkat lunak sistem terdiri atas:
a. Sistem operasi, sistem operasi meliputi berbagai instruksi yang
tersimpan dalam komputer, yang bertugas untuk mengoperasikan
komputer.
b. Program utility (utility program) yang berfungsi untuk melaksanakan
tugas-tugas pemasukan, pengeluaran dan penggorganisasian data.
c. Compliers dan assemblers yang berfungsi untuk mengubah instruksi
yang ada dalam bahasa program menjadi bahasa mesin.
d. Sistem manajemen basis data atau database management system yang
digunakan perusahaan untuk mengelola dan memanfaatkan database.
Program ini mengelola dan mengendalikan file data secara independen
dengan program aplikasi.
3. Metode Pengorganisasian Data
Metode organisasi data merupakan cara bagaimana data di organisasi
dalam file komputer. Ada dua jenis metode pengorganisasian data yang
dapat digunakan, yaitu:
a. Traditional file method
Pada metode ini, master file dan file transaksi dipisahkan untuk setiap
aplikasi akuntansi atau siklus transaksi yang berbeda. Oleh karena itu,
data dalam file hanya dapat diakses oleh satu program aplikasi yang
dirancang untuk data tersebut. Apabila dua program aplikasi yang
berbeda memerlukan data yang sama, maka dua file yang sama harus
dibuat. Hal ini mengakibatkan hubungan yang terstruktur antara satu
file dengan file lainnya sehingga sering terjadi duplikasi data.
49
b. Database Method
Database method merupakan metode organisasi data yang didasarkan
pada kemampuan data dalam file untuk diakses langsung oleh
berbagai program aplikasi. Apabila dua program aplikasi yang berbeda
memerlukan data yang sama, maka cukup diperlukan satu file yang
berisi data yang sama. Metode ini dapat mencegah duplikasi data,
metode ini menerapkan sistem data terpusat dalam suatu database
yang dapat saling bertukar data antarpengguna.
4. Metode Pemprosesan Data
Ada tiga jenis metode pemprosesan data yang dapat digunakan, yaitu:
a. Batch Entry/Batch Processing
Pada metode batch entry/batch processing, data transaksi yang ada
dikumpulkan dalam suatu batch atau kelompok. Setelah itu, data yang
ada dalam kelompok tersebut dimasukan sekaligus ke dalam komputer
untuk diproses bersama-sama, pemasukan data tersebut dilakukan
pada saat tertentu, pemasukan data biasanya digunakan dengan
menggunakan card reader yang membaca kartu plong, kemudian data
tersebut diubah bentuknya ke dalam bentuk yang dapat dibaca oleh
komputer atau machine readable form.
b. On-Line Entry/Batch Processing
Pada metode on-line entry/batch processing, data transaksi uang
terjadi langsung dimasukan melalui terminal, tetapi tidak langsung
proses. Data yang dimasukkan melalui terminal, disimpan terlebih
dahulu dalam suatu file transaksi menunggu saat pemprosesan.
Validitas transaksi akan diverifikasi terlebih dahulu sebelum dicatat
dalam file transaksi. Pengolahan data yang menggunakan batch
processing dilakukan sekaligus oleh komputer.
c. On-Line Entry/On-line Processing
Pada metode on-line entry/on-line processing, data transaksi yang
terjadi langsung dimasukkan melalui terminal untuk langsung
diproses. Terminal tidak hanya merupakan alat input data, tetapi juga
merupakan alat output data. Terminal merupakan alat output data
karena hasil pengolahan data transaksi yang dimasukkan dapat segera
tampak pada layar komputer. Begitu data dimasukkan melalui
terminal, validitas transaksi akan langsung diverifikasi. Apabila data
tersebut valid, maka data langsung diproses. Apabila data tersebut
valid, maka data tidak diproses dan kesalahan yang terjadi akan
disampaikan melalui tampilan layar komputer.”
50
2.1.6.6 Manfaat Adanya Teknologi Informasi bagi Perusahaan
Several change in internal control resulting from the integration of IT into
accounting system (Arens, et al.2014:372) are:
1. “Computer Controls Replace Manual Controls
The obvious benefit of IT is the ability to handle large amounts of complex
business transactions cost effectively. Because computers process
information consistently, IT systems can potentially reduce misstatements
by replacing manual procedures with automated controls that apply
checks and balances to each processed transaction. This reduces the
human errors that often occur in manually processed transactions.
2. Higher Quality Information is Available
Complex IT activities are usually administered effectively because the
complexity requires effective organization, procedures, and
documentation. This typically results in providing management with more
and high quality information, faster than manual system, once
management is confident that information produced by IT is reliable,
management is likely to use the information for better management
decisions.”
2.1.6.7 Resiko Teknologi Informasi
Although IT can improve a company’s internal control. It can also affect the
company’s overall control risk. Many risks in manual system are reduced and in
some cases eliminated. However, there are risks a specific to IT systems that can lead
to substantial losses if ignored. If IT system fail, organizations can be paralyzed by
the inability to retrieve information or by the use of unreliable information caused by
processing errors. These risks increase the likelihood of material misstatements in
financial statement (Arens, et al. 2014:372).
Specific risks to IT system (Arens, et al. 2014:372) include:
1. “Risks to hardware and data
Although IT provides significants processing benefit, it also creates risks
in protecting hardware and data, as well as introducing potential for new
types of errors. Specific risks include the following:
Reliance on the functioning capabilities of hardware and software. Without proper physical protection, hardware of software may not
function or may function improperly. Therefore, it is critical to
physically protect hardware, software, and related data from physical
damage that might result from inappropriate use, sabotage, or
environmental damage (such as fire, heat, humidity, or water).
51
Systematic versus random errors. When organizations replace manual procedures with technology based procedures, the risk of random
error from human involvement decreases. However, the risk of
systematic error increase because once procedures are programmed
into computer software, the computer software information
consistently for all transaction until the programed procedures are
charge. Unfortunately, flaws in software programming and changes to
that software affect the reliability of computer processing, often
resulting in many significant misstatement. The risk is increased if the
system is not programmed to recognize and flag unusual transactions
or when transaction audit trail are inadequate.
Unauthorized access. IT-based accounting system often allow online
access to electronic data in master file, software, and other records.
Because online access can occur from remote access points, including
by external parties with remote access through the internet, there is
potential for illegitimate access. Without proper online restrictions
such as passwords and user IDs, unauthorized activity may be initiated
through the computer, resulting in improper changes in software
programs and master file.
Loss of data. Much of the data in an IT system are stored in centralized electronic files. This increase the risk of loss or destruction
of entire data files. This has severe ramifications, with the potential for
misstated financial statements and in certain cases, serious
interruption of the entity’s operations.
2. Reduced audit trail
Misstatement may not be detected with the increased use of IT due to the
of a visible audit trail, as well as reduced human involvement, in
addition, the computer replaces traditional types of authorizations in
many IT system.
Visibility of audit trail. Because much of the information is entered directly into the computer, the use of IT often reduces or even
eliminates source documents and records that allow the organization
to trace accounting information. These documents and records are
called the audit trail.
Reduced human involvement. In many IT system, employess who deal with the initial processing of transaction never see the final results.
Therefore, they are less able to identify processing misstatement. Even
if they see the final output, it is often difficult to recognize
misstatements because underlying calculations are not visible and the
results are often highly summarized. Also, employess tend to regard
output generated throught the use of technology as “correct” because
a computer produced it.
52
Lack of the traditional authorization. Advance IT system can often initiate transaction automatically, such as calculating interest on
saving accounts and ordering inventory when pres specified order
levels are reached. Therefore, proper authorization depends on
software procedures and accurate master files used to make the
authorization.
3. Need for IT experience and separation of IT duties
IT system reduce the traditional separation of duties (authorization,
keeping, and custody) and create a need for additional IT experience.
Reduced separation of duties. Computers do many duties that were
traditionally segregated, such as authorization and record keeping.
Combining activities from different parts of the organization into one
IT function centralizes responsibilities that were traditionally divided.
IT personnel with access to software and master files may be able to
steal assets unless key duties are segregated within the IT function.
Need for IT experience. Even when companies purchase simple off the shelf accounting software packages, it is important to have personal
with knowledge and experience to install, maintan, and uses the
system. As the use of IT system increase, the need for qualified IT
specialists increase. Many companies create an entire function of IT
operations. The realibilty of an IT system and the information it
generates often depends on the ability of the organization to employe
personnel on hire consultants with appropriate technology knowledge
and experience.”
Sedangkan menurut Hall and Singleton (2007:313-315) , resiko bisnis terbagi
menjadi 2, yaitu:
“Resiko Internal Terdapat sejumlah resiko yang berhubungan dengan jaringan, terutama
internet. Akan tetapi, hal yang mengejutkan adalah kebanyakan aktivitas
yang merusak tidak berasal dari luar, akan tetapi berasal dari orang dalam
dan kegagalan sistem biasa. Karyawan yang kecewa, karyawan yang baru
saja diberhentikan, pelaku penipuan, bekas kontraktor atau konsultan, dan
pihak lainnya kadang ingin balas dendam dan termotivasi untuk
melakukan serangan yang merusak atas perusahaan lamanya. Berikut
resiko lain dari bisnis yang ditimbulkan dari dalam internal perusahaan itu
sendiri:
53
a. Kecelakaan/kegagalan sistem
Salah satu jenis risiko lainnya berhubungan dengan ketersediaan
sistem atau kerusakan sistem, hingga kegagalan sistem adalah
alasan umum atas timbulnya masalah.
b. Akuntabilitas yang Tidak Efektif
Kebanyakan auditor internal mengetahui bahwa meskipun banyak
kebijakan telah dikembangkan dengan niat yang baik, dan banyak
prosedur yang efektif telah dibuat dengan baik, penyebab utama
pengendalian yang tidak efektif sering kali berupa kurangnya
tanggung jawab dalam memastikan bahwa prosedur tersebut bekerja
dengan baik.
c. Aktivitas Kejahatan
Salah satu aspek serius dari risiko internal berasal dari karyawan
perusahaan entitas itu sendiri, terutama yang bermotivasi balas
dendam ke perusahaan.
d. Kecurangan
Kecurangan keuangan baru-baru ini membuat masyarakat
menyadari cakupan kecurangan dalam bisnis ini. Jadi, terdapat
resiko yang signifikan bahwa karyawan akan menggunakan
teknologi untuk melakukan kecurangan dalam bentuk kejahatan
dunia maya.
Resiko Eksternal Berikut resiko-resiko yang dihadirkan oleh pihak eksternal perusahaan:
a. Pelanggar
Pelanggar dapat dibagi ke dalam tiga atau empat kelompok: hacker
(dan juga hacker bertopi putih), cracker, dan script kiddies.
- Hacker
Hacker dulu digunakan untuk menggambarkan mereka yang
berbakat di bidang TI hingga dapat “membajak” kode dan
menjalankan sistem operasi kriptik. Kini istilah hacker
digunakan untuk semua jenis pelanggaran TI.
- Hacker topi putih
Hacker berpengalaman yang dipekerjakan perusahaan untuk
berperan sebagai penjahat dengan tujuan mengungkapkan
berbagai kelemahan dalam sistem jaringan dan konektivitas
internet perusahaan.
- Cracker
Cracker masuk ke dalam sistem dengan tujuan untuk “mencuri,
merusak, atau menghancurkan.”
- Script kiddies
Script kiddies dihubungkan cracker dan hacker karena mereka
mendapatkan kode tertulis melalui hacker atau cracker topi
54
hitam dan menggunakan jaringan serta pengetahuan internet
dasar untuk menjalankan script atau kode untuk membuat
kerusakan atau untuk membahayakan target, kadang dengan
tujuan untuk mendapatkan “publikasi instan” sebagai motifnya.
b. Virus
Resiko eksternal yang paling besar ialah berasal dari virus yang
menyerang perusahaan.
c. Terorisme Dunia Maya/Kejahatan Dunia Maya
Risiko terorisme dunia maya sangat tinggi untuk beberapa jenis
perusahaan, tetapi untuk semua bisnis yang terkoneksi ke internet,
resiko ini selalu ada.”
2.1.6.8 Pengendalian Internal Khusus atas Teknologi Informasi
To address many of the risks associated with reliance on IT, organizations
often implement specific IT controls. Auditing standards describe two categories of
controls for IT system (Arens, et al, 2014:374-380).
1. “General controls, apply to all aspects of the IT function, six categories of
general controls have an an entity wide effect on all IT Function.
a. Administration of The IT Function
The board of director’s and senior management’s attitude about IT
affect the perceived importance of IT within organization. Their
oversight, resource allocation, and involvement in key IT decision
each signal the importance of IT. In complex environment,
management may establish IT steering committees to help monitor the
organization’s technology needs. The board may rely on regular
reporting by a chief information officer (CIO) or other senior IT
manager to keep management informed. In contrast, when
management assigns technology issues exclusively to lower level
employess or outside consultants, an implied message is sent that IT is
not a high priority. The result is often an understaffed, underfunded,
and poorly controlled IT function.
b. Separation of IT Duties
To respond to the risk of combining traditional authorization, and
record keeping responsibilities by the having computer perform those
tasks, well controlled organizations respond by separating key duties
within IT. Ideally, responsibilities for IT management, systems
development, operations, and data control should be separated as
follow:
55
IT management. The CIO or IT managers should be responsible for oversight of the IT function to ensure that activities are carried
out consistent with the IT strategic plan.
System development. System analysts, who are responsible for the
overall design of each application system, coordinate the
development and changes to IT systems by IT personnel responsible
for programming the application and personel outside IT who will
be the primary system users (such as accounts receivable personel).
Operations. Computer operators are responsible for the day to day operations of the computer following schedule established by the
CIO. They also monitor computer consoles for message about
computer efficiency and malfunctions.
Data control. Data input/output control personnel independently verify the quality of input and the reasonableness of output.
c. System Development. System development include:
Purchasing software or developing in house software that meets the organization’s needs. A key to implementing the right software is to
involve a team of both IT and non IT personel, including key users
of the the software and internal auditors.
Testing all software to ensure that the new software is compatible
with existing hardware and software and determine whether the
hardware and software can handle the needed volume of
transaction. Whether software is purchased or developed internally,
extensive testing of all software with realistic data is critical.
d. Phsical and Online Security. Physical controls over computers and
restrictions to online software and related data file decrease the risk
of unauthorized changes to programs and improper use of programs
and data files. Security plans should be in writing and monitored.
Security controls include both physical controls and oonline access
controls.
Physical control. Proper physical controls over computer equipment restrict access to hardware, software, and backup data
files on magnetic tapes or disks, hard drives, CDs, and include
keypad entrances, badge entry systems, security cameras, and
security personnel.
Online access control. Proper user IDs and passwords control access to software and related data files, reducing the likelihood
that unauthorized changes are made to software applications and
data files.
e. Backup and Contingency Planning. Planning failures, fire, excessive
heat or humidity, water damage, or even sabotage can have serious
consequences to businesses using IT. To prevent data loss during
56
power outages, many companies rely on battery backups or site
generators. For more serious disasters, organizations need detailed
backup and contingcy plan such as off site storage of critical software
and data files or outsourcing to firms that specialize in secure data
storage. Backup and contingency plans should also identify alternative
hardware that can be used to process company data.
f. Hardware controls. Hardware controls are built into computer
equipment by manufactures to detect and report equipment failures.
Auditors are more concerned with how the client handles error
identified by the hardware controls than with ther adequacy.
Regardless of the quality of hardware controls, output will be
corrected only if the client has provided for handling machine errors.
2. Application Control
Apply to processing transaction such as controls over the processing of
sales or cash receipts. application controls fall into three categories:
a. Input Control. Input control are designed to ensure that the
information entered into the computer is authorized, accurate, and
complete. They are critical because a large portion of errors in IT
systems result from data entry errors and, of course. Regardless of the
quality of information processing, input error result in output errors.
b. Processing Controls. Processing controls prevent and detected errors
while transaction data are processed. General control, especially
controls related to systems development and security, provide
essential control for minimizing errors. Specific application
processing controls are often programmed into software to prevent,
detected, and correct processing errors.
c. Output Control. Output control focus on detecting errors after
processing is completed, rather than on preventing errors. The most
important ouput control is review of the data for reasonableness by
someone knowledgeable about the output. Users can often identify
errors because they know the approximate correct amounts. Several
common controls for detecting errors in output include:
Reconcile computer produced output to manual controls totals.
Compare the number of units processed to the number of units submitted for processing.
Compare a sample of transaction output to input source documents.
Verify dates and times of processing to identify any out of sequence processing.”
57
2.1.6.9 Dampak Teknologi Informasi terhadap Proses Audit
Menurut Agoes dan Hoesada (2012:2012), dampak teknologi informasi
terhadap audit adalah:
“Jika komputer digunakan untuk mengolah data akuntansi dan keuangan,
auditor perlu memahami konsep dan terminologi pengolahan data dan
pengendalian untuk berkomunikasi dengan personalia EDP mengenai
aktivitas-aktivitas dan sistem yang terkomputerisasi.”
Menurut Agoes (2013:238), dampak teknologi informasi terhadap proses
audit adalah:
“Perkembangan komputer juga berpengaruh pada pola kerja pemeriksa
(auditor) dalam menjalankan profesinya. Hal tersebut terjadi karena
perusahaan/organisasi menjadi objek pemeriksaan telah menggunakan
komputer sebagai pengolah datanya. Sistem pembukuan, penggajian,
persedian, dan sebagainya banyak yang telah terkomputerisasi, sehingga
mendorong pemeriksa untuk memahami lebih jauh tentang komputer atau
pengolahan data secara elektronik.”
Menurut Arens, et al. (2014:380), dampak teknologi informasi terhadap
proses audit adalah:
“Because auditors are responsible for obtaining an understanding of internal
control, they must be knowledgeable about general and application controls,
whether the client’s use of IT is simple or complex. Knowledge of general
controls increase the auditor’s ability to assess and rely on effective
application controls to reduce controls to reduce control risk for related audit
objectives. For public company auditor who must issue an opinion on
internal control over financial reporting, knowledge of both general and
application IT controls is essential.”
58
Sedangkan menurut Halim (2015:299), dampak teknologi informasi terhadap
proses audit adalah:
1. “Pengenalan komputer dalam setiap pengelolaan informasi mempunya
pengaruh yang signifikan terhadap pengendalian intern serta terhadap
auditor yang mengkaji dan menilai sistem pengendalian tersebut.
2. Penyimpanan informasi dalam komputer memungkinkan komputer
digunakan untuk mengaudit informasi dalam komputer yang diinginkan.”
Dari beberapa penjelasan diatas dapat kita pahami bahwa dampak teknologi
informasi bagi proses audit adalah perubahan lingkungan perusahaan yang
menggunakan komputerisasi didalam pengolahan datanya sehingga auditor
memerlukan pemahaman mengenai teknologi informasi klien (auditee). Teknologi
Informasi (TI) akan melanjutkan dampak dramatis secara virtual pada setiap fase
audit, dari program audit yang dihasilkan audit sampai software audit yang mampu
untuk menguji keseluruhan data klien, teknologi sangat esensial untuk akuntan dalam
memahami proses bisnis klien dan dihubungkan dengan lingkungan audit yang
paperless (Nugroho, 2011). Dalam sistem akuntansi yang sudah terkomputerisasi,
bukti-bukti yang dihasilkan mempunyai karakteristik yang berbeda dengan akuntansi
tradisional atau manual. Bukti elektronis dapat berisi empat bentuk dasar informasi:
teks, data, video, dan suara. Seperti halnya bukti-bukti tradisional, bukti elektronis
dapat meningkatkan masalah yang berkaitan dengan keandalan, kelengkapan,
maupun integritas bukti dan juga menuntut lebih banyak kebutuhan pengendalian
dibandingkan dengan bukti tradisional. Namun, bukti elektronis dalam sistem EDP
tersebut belum tentu diperlukan untuk mengganti bukti tradisional dalam setiap
sistem.
59
Auditing Procedures Study (APS) dari AICPA mendefinisikan bukti
elektronis sebagai informasi yang dikirimkan, diproses, dipelihara atau diakses oleh
alat elektronis dan digunakan oleh auditor untuk mengevaluasi asersi laporan
keuangan. Bukti elektronis menambah dimensi baru pertimbangan bagi auditor,
misalnya mengenai keandalan sistem yang menghasilkan dan memproses bukti yang
bersangkutan.
Menurut Halim (2015:306), ada beberapa karakteristik perbedaan antara bukti
tradisional dan bukti elektronik, berikut perbedaan karakteristiknya:
1. “Kesulitan modifikasi
a. Bukti tradisional
Sulit untuk dirubah atau dimodifikasi. Oleh karenanya sangat
beralasan jika modifikasi semacam ini umumnya dipelajari dalam
audit.
b. Bukti elektronis
Lebih mudah untuk dirubah atau dimodifikasi dan lebih sulit dideteksi,
sehingga pengendalian intern memainkan peranan kunci dalam
mendeteksi perubahan.
2. Kredibilitas prima facie
a. Bukti tradisional
Dokumen kertas mempunyai tingkat kredibiltas yang tinggi.
b. Bukti elektronis
Kredibilitas sangat tergantung pada keefektivan struktur pengendalian
intern.
3. Kelengkapan dokumen
a. Bukti tradisional
Bukti kertas umumnya meliputi semua transaksi penting.
b. Bukti elektronis
Bukti elektronis dapat menyembunyikan bukti dengan kode atau
referensi silang pada field lain.
4. Bukti persetujuan
a. Bukti tradisional
Kerta bukti persetujuan diletakkan pada bagian paling atas dokumen
asli.
60
b. Bukti elektronis
Persetujuan elektronis mungkin tidak dapat dilihat dan dapat
dimunculkan dengan menekan salah satu tombol pada keyboard.
5. Kemudahan penggunaan
a. Bukti tradisional
Bukti kertas tidak memerlukan alat khusus dalam mengevaluasi
maupun memahaminya.
b. Bukti elektronis
Bukti elektronis memerlukan pengetahuan khusus mengenai teknik
ekstraksi data untuk mengevaluasi dan memahaminya.
6. Kejelasan
a. Bukti tradisional
Bukti kertas kerja biasannya jelas dan memunculkan kesimpulannya
yang sama oleh yang berbeda.
b. Bukti elektronis
Bukti elektronis tidak begitu jelas dan akan dapat memunculkan
kesimpulan auditor yang berbeda, tergantung pada prosedur yang
digunakan dan pengendalian uang yang diterapkan.”
2.1.7 Countinuos Auditing
Traditional audit has been obsolete so that there are three facts, that show or
least support IT. First, that we have entered the era of technology where every aspect
of life has been dominated by technology and even harder to find the aspects of life
that do not have the technology. Business has also experienced a fundamental
transformation into the digital age, second now almost all the transaction done
automatically without involving humans as well as the data storage and documents
themselves have been made in electronic form, the third the enterprise resource
planning (ERP) has been widely used so the activity and the data become large and
complex as well as scattered everywell (Antonio, 2014). Many business processes are
dominated by IT/IS applications:therefore CA is able to provide timely, reliable
information, capable to reduce audit cycle thus results in costs savings and
promotote positive social impacts. In this regard, CA is perceived as a technical
solution to address the needs of suitainability in information systems auditing. The
features of CA the integration of suitainability into the audit works may be
accomplished through a continuous auditing approach cum continuous monitoring,
in which features CA actually tied to suitainability goals and targets (Rahman et al,
2014).
61
Dengan banyaknya keterbatasan traditional audit dalam audit perusahaan
yang menggunakan teknologi informasi dalam kegiatan bisnisnya dan keuntungan
dalam penggunaan continuous audit maka terjadi pergeseran audit dalam lingkungan
teknologi informasi dari traditional auditing menjadi countinous auditing.
Menurut Mainardi (2011:2), yang dimaksud dengan continuous auditing
adalah:
“countinous auditing is one of the many tools within the internal audit
profession to provide reasonable assurance that the control structure
surrounding the operational environment is:suitably designed, established
and operating is intended.”
Menurut CICA dan AICPA yang dimaksud dengan countinous auditing
adalah:
“Countinous audit is a methodology that enables independent auditors to
provide written assurance on a subject matter, for which an entity’s
management is responsible, using a series of auditors report issued virtually
simultaneous with, or a short period of time after, the occurrence of event
underlying the subject matter.”
Menurut ISACA yang dimaksud dengan countinous auditing adalah:
“Countinous auditing has been defined as a methodology or framework that
enables auditor (external and internal) to provide written results on the
subject matter using one or a series of reports issued simultaneously. The
ability to report on events in a real time or near real time environment can
provide significant benefits to the users of audit report. Countinous auditing is
therefore designed to enable auditors to report on subject matter within a
much shorter timeframe than under the traditional model.
Dari beberapa pengertian diatas mengenai countinous auditing dapat dipahami
bahwa countionous auditing adalah metode audit yang digunakan oleh auditor (baik
internal auditor maupun eksternal auditor) untuk memberikan assurance mengenai
62
suatu subject menggunakan satu atau serangkaian laporan yang dilaporkan secara
bersamaan. CA digunakan untuk melaporkan peristiwa secara real-time/jangka
pendek sehingga para pengguna dari laporan akan mendapatkan keuntungan dari
hasil audit. CA tools provide real time data which is massive in amount, CA allows
performing controls on real-time basis thus increase the overall effectiveness of
internal control system (Aslan and Kaya, 2014). CA achieve suistainability strategic
objective in IS auditing is perceived to have advance to auditors and have great
impacts upon the process of IS auditing. Implementing audit procedures and audit
assurance as a whole ( Rahman, et al, 2014).
2.1.8 Audit Information Technology/Audit Teknologi Informasi
2.1.8.1 Pengertian Audit Information Technology/Audit Teknologi Informasi
Menurut Senft dan Gallegos (2009:4), yang dimaksud dengan audit
information technology adalah:
“IT audit is an integral part of the audit function because it support the
auditor’s judgement on the information processed by computer systems.”
Menurut Agoes dan Hoesada (2012:47), yang dimaksud dengan audit
teknologi informasi adalah:
“Audit teknologi informasi atau information system (IS) audit adalah bentuk
pengawasan dan pengendalian dari infrastruktur teknologi informasi secara
menyeluruh.
63
Menurut Bodnar dan Hopwood (2014:412), yang dimaksud dengan audit
information system auditing adalah:
“The term information systems auditing is commonly used to describe two
different types of IT-related activity. One use of the term is to describe the
process of reviewing and evaluating the internal controls in an electronic
data processing (EDP) system. The other general use of the term is to
describe use of the computer by an auditor to perform some audit work that
otherwise would have to be done manually.”
Sedangkan menurut Devale dan Kulkarni (2015) menjelaskan bahwa yang
dimaksud dengan audit information technology adalah:
“IS audit is defined as an audit that encompasses a whole or partial review
and evaluation of automated information processing system, related non
automated processes and the interfaces between them. This definition
provides a very board ambit for an IS audit and covers a review of all or any
aspect of the IT environment from development, from planning to monitoring
and from acquisition to delivery. An IS audit is expected to provide
reasonable assurance to the management on quality (effectiveness, efficiency
and economy), external IT (confidentiality, integrity and availability), and
fiduciary (compliance and realibility).”
Dari beberapa pengertian diatas dapat dipahami bahwa yang dimaksud dengan
audit teknologi informasi/information system audit adalah pemeriksaan/pengendalian/
pengawasan yang dilakukan oleh auditor IT mengenai seluruh aspek teknologi
informasi yang digunakan oleh perusahaan.
2.1.8.2 Komponen Audit Teknologi Informasi
Audit TI mencangkup sedikitnya enam komponen yang sangat esensial, antara
lain pendefinisian tujuan perusahaan, penentuan isu, tujuan dan perspektif bisnis
antara penanggung jawab bagian dengan bagian IT, review terhadap pengorganisasian
bagian TI yang meliputi perencanaan proyek, status dan prioritasnya, staffing levels,
64
belanja TI dan IT change process management, assestment infrastruktur teknologi,
assessment aplikasi bisnis, serta temuan-temuan dan laporan rekomendasi. Subjek
audit TI lebih berfokus pada keamanan, keandalan, kinerja, dan kemampuan
mengelola. Masalah tidak hanya mencangkup keamanan file servers dan penerapan
metode cadangan, melainkan juga penerapan standar tertentu seperti C-ICT.
Keandalan meliputi penerapan RAID V disk subsystem untuk server dengan critical
applications dan prosedur penyimpanan data di file server dengan critical
applications dan prosedur penyimpanan data di file server, bukan di drive local C.
Kinerja mencangkup persoalan standarisasi PC, penggunaan LAN, serta cadangan
yang sesuai dengan beban kerja. Sementara itu, kemampuan mengelola menyangkut
penerapan standar tertentu dan pendokumentasian secara teratur dan
berkesinambungan (Agoes dan Hoesada, 2012:234).
2.1.8.3 Audit Teknologi Informasi
Pada dasarnya, audit TI dapat dibedakan menjadi dua kategori, yaitu
pengendalian aplikasi (application control) dan pengendalian umum (general
control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di
dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi
yang digunakan untuk melakukan pemprosesan data. Sementara itu, tujuan
pengendalian aplikasi dimaksudkan untuk memastikan bahwa data diinput secara
benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang
memadai atas output yang dihasilkan. Audit sistem informasi mendukung tujuan
audit tradisional, yaitu tujuan atestasi yang menfokuskan pada pengamanan asset dan
65
integritas data, serta tujuan manajemen yang tidak hanya meliputi tujuan atestasi,
tetapi juga tujuan efektivitas dan efisisiensi. Ada beberapa aspek yang diperiksa pada
audit sistem teknologi informasi:audit secara keseluruhan menyangkut efektivitas,
efisiensi, availability sytem, reliability, confidentiality, dan integrity, serta aspek
security (Agoes dan Hoesada, 2012:226).
Menurut Hall (2011:10-11), ada beberapa tahapan dalam melakukan audit
teknologi informasi, yaitu:
1. “Audit Planning
The first step in the IT audit is audit planning. Before auditor can
determine the nature and extent of the tests to perform, he or she must
gain a through understanding of the client’s business. A major part of this
phase of the audit is the analysis of audit risk. The auditor’s objective is to
obtain suffiencent information about the firm to plan the other phases of
the audit. The risk analysis incorporate an overwiew of the organization’s
internal controls. During the review of controls, the auditor attempts to
understand the organization’s policies, practice, and the structure. Of the
audit, the auditor also identifies the financially significant applications
and attempts to understand the controls over the primary transactions that
are the processed by these applications. The techniques for gathering the
evidence at this phase include conducting questionares, interviewing
management, reviewing systems documentation, and the observing
acctivties. During this process, the auditor must identifies principal
exposure and the controls that attempt to reduce these exposure. Having
done so, the auditor proceeds to the next phase, where he or she test the
controls for compliance with presestablished standards.
2. Test of Control
The objective of the test of controls phase is to determine whether
adequate internal controls are in place and functioning properly. To
accomplish this, the auditor performs various tests of controls. The
evidence gathering techniques used is this phase may include both manual
techniques and specialized computer audit techniques. At the conclusion
of the test of the control phase, the auditor must asses the quality of the
internal controls by assigning a level of control risk. As previously
explained, the degree of reliance that the auditor can ascribe to internal
controls will affect the nature and extent of substantive testing that needs
to be performed.
66
3. Substantive Testing
The third phase of the audit process focuses on financial data. This phase
involves a detailed investigation of specific account balances and
transaction through what are called substantive tests. Some substantive
tests are physical labour intensive activities, such as accounting cash,
accounting inventories in the warehouse, and verifying the exixtence of
stock certificates in a safe. In IT environment, the data needed to perform
substantive tests (such as account balances and names and addresses of
individual customer) are contained in data files that often must be
extracted using computer assisted audit tools and techniques (CAATs)
software. “
Sedangkan menurut Agoes dan Hoesada (2012:235-236), ada beberapa tahap
dalam pelaksanaan pemeriksaan audit berbasis teknologi, berikut tahapan-tahapan
yang perlu dilakukan oleh auditor:
1. “Planning
Pada tahapan ini, lakukan perencanaan menyeluruh atas hal-hal mendasar,
seperti fokus komponen yang akan diaudit, framework yang akan
digunakan sebagai pedoman pelaksanaan audit, kebutuhan sumber daya
yang diperlukan, hasil akhir yang diinginkan dari proses audit, jadwal
kegiatan, rencana anggaran biaya jika menggunakan jasa pihak lainnya.
2. Studying and evaluating Control
Pada tahap ini, setelah kita mempelajari bagaimana kondisi dari objek
audit. Secara mendasar, fokus dari audit biasanya adalah kemampuan
pengendalian/control atas objek tersebut. Kemudian, dari hasil analisis
tersebut disusun evaluasi atasnya.
3. Testing and Evaluating Controls
Setelah mempelajari dan mengevaluasi hasil analisisnya, tahap berikutnya
adalah melakukan serangkaian pengujian atas objek audit kita. Pengujian
tersebut tentunya menggunakan standar-standar baku berdasarkan
framework yang sudah ditetapkan sebelumnya untuk digunakan dalam
proses audit. Sama halnya dengan tahapan sebelumnya, inti dari proses
audit adalah melakukan telaah uji atas kemampuan pengendalian atas
setiap aspek dari sumber daya teknologi informasi yang ada berdasarkan
batasan-batasan yang sudah disepakati sebelumnya. Kemudian, hasil dari
pengujian tersebut dievaluasi untuk disusun dalam laporan pemeriksaan.
4. Reporting
Seluruh tahapan yang telah dilakukan sebelumnya dalam proses audit
sistem informasi, kemudian didokumentasikan dalam suatu laporan hasil
audit.
67
5. Follow-up
Kemudian, hasil dari laporan pemeriksaan atau audit ditindaklanjuti
sebagai acuan para pemegang kebijakan di setiap tingkatan manajemen
organisasi dalam menentukan arah pengembangan dari penerapan
teknologi informasi di organisasi tersebut.”
2.1.8.4 Tipe Aktivitas Pengujian Audit Teknologi Information
Menurut Akmal dan Hadi (2010:17), ada beberapa jenis aktivitas audit yang
dilakukan oleh auditor teknologi informasi berdasarkan luas penggunaan komputer
dan data yang dihasilkan, yaitu:
1. “Audit di Sekitar Komputer
Jenis audit ini dilakukan oleh auditor terhadap hardcopy yang dihasilkan
konputer, sedangkan komputernya tidak disentuh.
2. Audit dengan Komputer
Jenis audit ini ditinjau dari auditornya yang menggunakan bantuan
komputer dalam melakukan audit. Karena itu, organisasi yang diaudit
mungkin belum menggunakan komputer tetapi auditor dalam melakukan
audit dibantu oleh komputer, yaitu ketika menyusun kertas kerja
pemeriksaan dan laporan hasil audit.
3. Audit melalui Komputer
Ini merupakan jenis audit yang dilakukan terhadap organisasi yang telah
menggunakan komputer dalam memproses informasinya, baik secara
sempit dan sederhana maupun secara luas dan canggih.
4. Teknik Audit Berbantuan Komputer (Computer Assisted Audit
Techniques/CAATs)
Ini merupakan jenis audit yang dilakukan dengan bantuan software
komputer baik yang dibuat sendiri ataupun program paket yang disebut
GAS (General Audit Software). Teknik ini digunakan baik pada audit
dengan komputer dan audit melalui komputer.”
The term information systems auditing is commonly used to describe two
different types of IT-related activity. One use of the term is to describe the process of
reviewing and evaluating the internal controls in an electronic data processing
(EDP) system. This type of activitity is normally undertaken compliance testing and
might be describe as auditing throught the computer. The other general use of the
term is to describe use of the computer by an auditor to perform some audit work that
otherwise would have to be done manually. This type of activity is normally
undertaken during substantive of testing of account balances and might be described
68
as auditing with the computer (Bodnar and Hopwood, 2014:412-415).
1. “Auditing Through The Computer
Audit through the computer may be defined as the verification of controls
in a computerized system. General controls are relevant to the
information systems them selves, as well as to the systems development
aspect of IT. Application controls are related to specific computer
application systems. A thorought information systems audit involves
verifying both general and application controls in a computerized system.
2. Auditing with The Computer
Auditing with the computer is the process of using IT in auditing. IT is
used to perform audit work that otherwiswe would have to be done
manually. The use of IT bu auditors is no longer optional. Most of data
that auditors must evaluate are already in electronic format. It is senseless
to convert wlwctronic data to a parer format strictly for audit purpose.
Furthermore, auditing it self is not immune to competitive pressures to be
more productive. The use of IT is essential to increase the effectiveness
and efficiency.”
Sedangkan menurut Halim (2015:318), beberapa jenis aktivitas audit yang
dilakukan oleh auditor teknologi informasi, yaitu:
1. “Auditing Around The Computer
Selain dengan menggunakan komputer dalam pengujian pengendalian
auditor juga dapat melakukan pengujian dengan metode auditing around
the computer. Metode penggujian dalam metode ini adalah sama dengan
sama dengan pengendalian pada sistem manual. Cara ini digunakan
apabila auditor hanya menggunakan pemahaman SPI yang tidak terkait
dengan sistem PDE dalam menentukan resiko pengendalian.
2. Auditing Through The Computer
Auditing through the computer mencakup penggunaan TBAK atau Teknik
Berbantuan Audit Berbantuan Komputer/CAATs. SPAP seksi 327 par 2
menyebutkan beberapa manfaat TBAK, seperti berikut:
1. Tidak adanya dokumen sumber atau tidak adanya jejak audit, dapat
mengharuskan auditor menggunakan TBAK. TBAK digunakan untuk
melaksanakan pengujian substantif dan pengujian pengendalian.
2. TBAK dapat meningkatkan efektivitas dan efisiensi prosedur audit.
Penggunaan TABK/CAATs untuk penggujian pengendalian sangat
dianjurkan terutama apabila ada kondisi:
a. Pengendalian intern yang signifikan built up pada program komputer.
b. Tidak ada jejak transaksi yang memadai.
c. Pengujian mencangkup atas data yang sangat besar.
69
Ada 3 pendekatan yang dapat dilakukan auditor untuk melaksanakan
prosedur audit dengan komputer atau TABK. Ketiga pendekatan meliputi:
a. Test Data Approach
Tujuan pendekatan pengujian data adalah untuk menentukan apakah
klien dapat menangani transaksi secara tepat. Pengujian ini meliputi
juga pengujian kemampuan program komputer untuk menolak
penerimaan dan pengolahan transaksi yang tidak valid. Pada
pendekatan ini, pertama kali auditor mempersiapkan data rekaan
auditor sebagai data penguji. Seiring dengan itu, auditor perlu
memepersiapkan program klien, kemudian data rekaan dimasukan
dalam program klien. Auditor menggunakan komputer klien maupun
klien maupun komputer auditor untuk mengolah data rekaan dengan
program klien. Setelah itu, auditor akan memperoleh hasil output
komputer. Hasil output komputer ini kemudian dibandingkan dengan
output yang diharapkan.
b. Integrated Test Facility Approach
Pada metode ini, auditor perlu membuat suatu model perusahaan.
merupakan abstraksi dunia nyata. Jadi, auditor menciptakan suatu
subsistem kecil, seperti tiruan perusahaan yang mini atau divisi, dalam
sistem PDE klien. Auditor kemudian memasukkan data transaksi
penguji pada sistem bersama-sama dengan data aktual. Data penguji
dan data aktual klien diproses bersama-sama oleh sistem klien. Data
penguji harus mencangkup jenis data yang salah atau tidak valid, dan
data yang valid. Kemudian, output yang dihasilkan komputer
dibandingkan dengan hasil yang diharapkan auditor. Setelah tahap
pembandingan tersebut selesai, auditor kemudian menghapus seluruh
data transaksi penguji.
c. Pararell Simulation Approach
Tujuan pendekatan pengujian data adalah untuk menguji akurasi atau
output yang dihasilkan sistem klien. Pada pendekatan ini, pertama kali
auditor meminta data aktual klien pada klien. Auditor kemudian
memasukkan data aktual klien sebagai input pada software program
milik auditor. Auditor menggunakan komputer miliknya untuk
mengolah data aktual klien dengan program milik auditor. Setelah itu,
auditor akan memperoleh hasil output program milik komputer.
Komputer ini kemudian dibandingkan dengan output aktual klien.
3. Auditing With The Computer
Merupakan perkembangan terakhir dalam sistem PDE. Pada tahap ini,
auditor sudah menggunakan komputer dalam berbagai aspek pekerjaan
audit, misalnya untuk meneliti mengkaji data, mengakses file, memanggil
records, mengekstraksi sampel statistik dan melakukan pengujian
perhitungan.”
70
2.1.8.5 Software Auditing
Auditor dapat menggunakan berbagai macam paket perangkat lunak atau
software audit dalam melaksanakan audit. Satu jenis perangkat lunak dalam auditing
yang umum dipakai adalah generalized audit software. Di samping itu, ada beberapa
software yang dapat mendukung pelaksanaan audit, baik secara langsung maupun
tidak langsung (Halim, 2015:323-325). Berikut contoh software audit:
1. Generalized Audit Software (GAS)
Generalized audit software (GAS) merupakan penggunaan komputer
untuk melaksanakan tugas atau prosedur pengujian audit secara
independen terhadap record klien. GAS berisi sejumlah program
komputer yang bersama-sama melaksanakan berbagai macam fungsi
pengolahan data. GAS dikembangkan suatu Kantor Akuntan Publik untuk
dipakai pada berbagai audit atas klien maupun tahun audit yang berbeda.
Cara kerja generalized audit software meliputi beberapa langkah berikut:
a. Menentukan tujuan audit dan pengujian yang akan dilaksanakan.
Tujuan tersebut berupa penjumlahan suatu file data, pemilihan sample
secara random, verifikasi perhitungan klien, membandingkan data pada
dua file terpisah, dan sebagainya.
b. Menentukan kelayakan penggunaan generalized audit software pada
sistem PDE klien. Penentuan layak tidaknya penggunaan generalized
audit software.
c. Merancang aplikasi, yang meliputi logika aplikasi, perhitungan, dam
format output.
d. Pembuatan kode (coding), hasil perancangan aplikasi kemudian
dibuatkan kode (coded) pada kertas kerja auditor pada bahasa
generalized audit software (GAS) sederhana.
e. Key entry. Kertas kerja berkode kemudian dimasukkan program
bersama dengan Gas dan file data klien.
f. Pemprosesan. Pada tahap ini GAS memproses aplikasi data file klien
aktual, menelaah hasilnya.
GAS dapat diterapkan pada pengujian pengendalian maupun pengujian
substantif. Contoh penggunaan GAS pada pengujian pengendalian adalah
seperti perbandingan harga jual barang dagangan antara file faktur
penjualan yang terkomputerisasi, dengan master file yang berisi data
harga yang terautorisasi. Perbandingan ini disusun untuk menentukan
frekuensi harga yang tak terautorisasi. GAS juga dapat diterapkan pada
pengujian substantif. Contoh penggunaan GAS pada pengujian subtantif
71
adalah seperti pemilihan atau seleksi dan pencetakan sampel audit,
menguji perhitungan dan membuat perhitungan.
2. Commercial General use Software
Commercial general use software merupakan penggunaan perangkat
lunak yang relatif sederhana dan mudah dioperasikan. Perangkat lunak
ini mudah didapatkan dengan harga yang ringan. Contoh perangkat
komersial yang banyak dipakai adalah electronic spreadsheet atau
pengolah angka, dan pengolah kata atau word processor.
2.1.9 Penelitian Terdahulu
Beberapa penelitian yang telah dilakukan, yang berkaitan dengan kompetensi
auditor eksternal, due professional care terhadap audit teknologi informasi, yaitu
sebagai berikut:
Tabel 2.1
Penelitian Terdahulu
No Peneliti Judul Hasil
Penelitian
Persamaan Perbedaan
1 Nurul Dewi
Ayuni,
Skripsi
(2008)
Pengaruh
Pendidikan,
Pelatihan,
dan
Pengalaman
Auditor
terhadap
Kualitas
Audit atas
sistem
informasi
berbasis
komputer
Pendidikan dan
Pelatihan
berpengaruh
positif terhadap
kualitas audit
atas sistem
informasi
berbasis
komputer
sedangkan
pengaruh
Pengalaman
berpengaruh
negatif terhadap
Variabel X
sama akan
tetapi dalam
penelitian ini
saya
mengambil
kompetensi
yang
didalamnya
terdapat
dimensi
pendidikan,
pelatihan
dan
Variabel Y
yang
berbeda
karena
dalam
penelitian
saya hanya
meneliti
bagaimana
audit
teknologi
informasi.
72
kualitas audit
atas informasi
berbasis
komputer.
pengalaman.
2 Jayanti
Octavia,
Jurnal (2013)
Pengaruh
Keahlian
Auditor
Eksternal
terhadap
Audit E-
Commerce (
5 KAP di
Bandung)
Adanya
pengaruh yang
signifikan antara
keahlian auditor
eksternal
terhadap audit e-
commerce
sebesar 59,4%.
Variabel X1
termasuk
didalamnya
ada keahlian.
Tidak ada
variabel X2,
dan Y yang
berbeda,
karena
dalam
penelitian
saya ada X2
yaitu due
professional
care dan Y
adalah audit
teknologi
informasi.
3 Fajar Aris
Munandar,
skripsi (2011)
Pengaruh
Kompetensi
Auditor
mengenai E-
Commerce
terhadap
Pengumpula
n Bukti
Audit
Berbasis
EDP Audit
pada Kantor
Akuntan
Publik.
Kompetensi
auditor
mengenai e-
commerce
berpengaruh
terhadap
pengumpulan
bukti audit
berbasis EDP
audit dengan
nilai korelasi
0,725 yang
diinterpretasikan
kuat.
Variabel X1
memiliki
kesamaan
yaitu
kompetensi
mengenai e-
commerce,
e-commerce
termasuk
bagian audit
teknologi
informasi.
Tidak ada
variabel X2,
dan Y yang
berbeda,
karena
dalam
penelitian
saya ada X2
yaitu due
professional
care dan Y
adalah audit
teknologi
informasi.
4 Islahuzzaman
, jurnal
(2009)
Dampak
Teknologi
Informasi
terhadap
Audit
Laporan
Keuangan
Auditor harus
memiliki
pengetahuan
dan pemahaman
yang cukup
tentang TI
khususnya audit
TI dan
pengendalian
umum serta
Hasil
penelitian
islahuzzama
n
menjelaskan
kompetensi
auditor di
lingkungan
TI yang
sama dengan
Tidak ada
variabel X2,
dan Y yang
berbeda,
karena
dalam
penelitian
saya ada X2
yaitu due
professional
73
aplikasi klien
agar dapat
merencanakan
audit secara
efektif.
X1
penelitian
ini.
care dan Y
adalah audit
teknologi
informasi.
5 Putu Saka
Sumarsana
Putra dan
Naniek
Noviari,
Jurnal (2013)
Pemanfaatan
Teknologi
Informasi,
Kepercayaan,
dan
Kompetensi
pada
Penerapan
Teknik Audit
Sekitar
Komputer
Pemanfaatan
teknologi
informasi,
kepercayaan,
dan kompetensi
auditor memiliki
pengaruh positif
pada penerapan
teknik audit
sekitar
komputer pada
Kantor Akuntan
Publik di Bali.
Hasil
penelitian ini
menjelaskan
kompetensi
auditor di
lingkungan
TI yang
sama dengan
X1
penelitian
ini.
6 Pande Made
Putra
Wedantha
dan Ni Luh
Sari
Widhiyati,
jurnal (2016)
Pengaruh
kemanfaatan,
kemudahan
Pemakai dan
Kompetensi
Auditor pada
Keberhasilan
Penerapan
Teknik Audit
Berbantu
Komputer.
Kemanfaatan ,
kemudahan
pemakaian,
kompetensi
auditor
berpengaruh
positif dan
signifikan pada
keberhasilan
penerapan
teknik audit
berbantu
komputer di
Bali
Hasil
penelitian ini
menjelaskan
kompetensi
auditor di
lingkungan
TI yang
sama dengan
X1
penelitian
ini.
7 Frederick
Gallagos dan
Anna Carlin,
jurnal (2004)
Best Practice
in Due
Professional
Care: An IT
Audit
Perspective
Due
Professional
Care merupakan
komponen
penting dari
audit termasuk
audit TI, due
professional
care berfungsi
sebagai
74
landasan untuk
memastikan
bahwa klien
menerima high
quality review.
8 Joseph F
Brazel dan
Christopher P
Agoglia,
jurnal (2007)
An
Examination
of Auditor
Planning
Judgements
in a Complex
Accounting
Information
System
Environment
Hasil penilitian
ini ialah auditor
harus sensitif
terhadap
kompetensinya
dalam
memberikan
computer
assurance
specilialist
(CAS) di
lingkungan
sistem akuntansi
yang kompleks.
9 Alexandra
Kanellou dan
Charalambos
Spathis,
jurnal (2011)
Auditing in
Enterprise
System
Environment
: A Synthesis
Hasil penelitian
ini adalah
auditor perlu
meningkatkan
keterampilan
dan
pengetahuan
mereka agar
mampu
menangani bukti
elektronik
secara efektif.
Selain itu,
dengan adanya
kebutuhan akan
internal control
dan keamanan
data elektronik
maka auditor IS
perlu
meningkatkan
keterampilan
dan
75
pengetahuannya
.
10 Aidi Ahmi
dan Simon
Kent, Jurnal
(2013)
The
utilization of
generalized
Audit
Software
(GAS) by
External
Auditors
Dalam
lingkungan
Audit
Teknologi,
penggunaan
GAS oleh
auditor eksternal
di United
Kingdom masih
sangat rendah.
Hal tersebut
karena beberapa
faktor
diantaranya
karna
pengetahuan
dan pengalaman
auditor dalam
hal audit
komputerisasi,
biaya yang
cukup besar
serta masih
banyak auditor
yang tidak
mengetahui
tentang
penggunaan
GAS di
lingkungan
audit teknologi
informasi.
11 A.B. Devale
dan DR.R.V.
Kulkarni,
jurnal (2015)
A Role Of
Knowledge
Based System
in
Information
Dalam audit
teknologi
informasi
diperlukan
auditor dengan
kompetensi
yang cukup
dalam hal
76
mengaudit
teknologi
informasi serta
dalam
penggunaan
Sofware Audit
terutama
CATTs
diperlukan
kehati-hatian
dalam
perencanaan
audit dan
perlunya auditor
menggunakan
due professional
carenya.
2.2 Kerangka Pemikiran
Globalisasi meningkatkan interaksi bisnis antar Negara, khususnya transaksi
perdagangan. Setiap Negara tekoneksi satu sama lain, mengadakan kesepakatan
perjanjian perdagangan bebas secara internasional melalui lembaga seperti WTO atau
melakukan perjanjian perdagangan regional melalui kesepakatan dengan beberapa
Negara, seperti ACFTA, G-20, OPEC, dan APEC. Intinya, globalisasi adalah
keniscayaan dan bagian dari proses perkembangan suatu Negara untuk mencapai
tujuan internasional secara bersama-sama, khususnya untuk menambah nilai tambah
dan pertumbuhan ekonomi berkualitas, mengurangi tingkat tingkat buta huruf,
kemiskinan, gizi buruk, ketahanan pangan dan energi. Perkembangan yang sangat
pesat juga diperlihatkan dengan semakin canggih dan terkoneksinya aktivitas atau
77
kegiatan finansial, produksi, investasi, dan perdagangan yang telah mendorong
tingkat ketergantungan (dependency) antar Negara, korporasi kelas kecil, menengah
atau besar, serta individu, sehingga terbentuk pola interaksi yang kompleks disertai
tingkat persaiangan tinggi.
Salah satu faktor pendorong globalisasi adalah keberadaan teknologi
informasi (TI) yang memungkinkan korporasi/individu saling berhubungan tanpa
dibatasi oleh batas-batas Negara, sehingga dunia seolah-olah menjadi datar (RPP
Kementerian Perdagangan Republik Indonesia). Perkembangan teknologi informasi
tersebut dalam beberapa dasarwarsa terakhir sangat berdampak pada proses bisnis
yang dilakukan oleh perusahaan. Perusahaan atau organisasi cenderung
memanfaatkan teknologi untuk meningkatkan efisiensi yang bertujuan untuk
mendongkrak pendapatan dan memperbaiki kinerja.
Dengan digunakannya TI diseluruh organisasi maka pengolahan data
organisasi akan lebih efektif dan efisien. Pengolahan data dengan menggunakan
bantuan komputer (computer based information system) ini digunakan untuk
memproses sejumlah transaksi dengan cepat dan terintegrasi, dapat mengambil dan
menyimpan data dalam jumlah yang besar, dapat mengurangi kesalahan secara
matematis, dan menghasilkan laporan dalam berbagai bentuk dengan tepat waktu.
Penggunaan teknologi informasi memberikan dampak bagai dua mata uang bagi
perusahaan, di satu sisi perusahaan mendapatkan dampak positif dari penggunaan
teknologi informasi dalam kegiatan bisnisnya akan tetapi di satu sisi lain penggunaan
teknologi memberikan dampak negatif juga bagi perusahaan karena semakin
78
meningkatkatnya kerawanan dari pengembangan sistem informasi tersebut bagi
keamanan perusahaan.
Resiko yang mungkin terjadi akibat kerawanan teknologi informasi/sistem
informasi bagi perusahaan adalah kehilangan data, kesalahan pengambilan keputusan,
resiko kebocoran data, penyalahgunaan komputer, kerugian akibat kesalahan proses
perhitungan, tingginya nilai investasi perangkat keras dan perangkat lunak komputer
(Agoes dan Hoesada, 2012:231-232). Dengan adanya resiko penggunaan teknologi
informasi, maka diperlukan audit sistem informasi yang pada dasarnya ialah
pengujian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu.
Kemudian , berdasarkan pengujian auditor akan memberikan rekomendasi perbaikan
yang diperlukan (Agoes dan Hoesada, 2012:233)
Audit atas lingkungan teknologi informasi/sistem informasi dapat dilakukan
oleh bagian pengendalian internal perusahaan yang dilakukan oleh fungsi TI atau
auditor internal, akan tetapi jika dibutuhkan opini publik tentang kesiapan sistem
tersebut, maka perusahaan dapat menggunakan jasa kantor akuntan publik. Kantor
akuntan publik dapat memberikan jasa assurance didalam memberikan kepastian
informasi mengenai realibilitas sistem informasi yang digunakan oleh perusahaan
tersebut. Jasa assurance yang dimaksud ialah jasa atestasi, dimana menurut Arens, et
al (2014:9), Attestation service is a type of assurance in which the CPA firm issues a
report about the realibility of an assertion that is made by another party. Jasa atestasi
yang bisa digunakan oleh perusahaan adalah attestation services on information
technology.
79
Dalam memberikan jasa audit yang berkaitan dengan teknologi informasi ini
akuntan publik harus memiliki kompetensi dan due professional care didalam
memberikan jasa audit teknologi ini, hal ini sesuai dengan SPAP SA seksi 335
paragraf 03 dan paragraf 04 tentang keahlian dan kompetensi, PSA no 4 tentang
standar utama, dan ISACA IS 1005 tentang due professional care, berikut
penjelasannya:
Paragraf 03
Bila melaksanakan audit dalam pengolahan data elektronik, auditor harus
memiliki pemahaman yang memadai mengenai perangkat keras, perangkat
lunak dan sistem pengolahan komputer untuk merencanakan penugasan dan ia
harus memahami bagaimana dampak pengolahan komputer untuk merencakan
penugasan dan ia harus memahami bagaimana dampak pengolahan data
elektronik terhadap prosedur yang digunakan oleh auditor dalam memperoleh
pemahaman dan melakukan prosedur audit, termasuk prosedur audit,
termasuk penggunaan teknik audit berbantu komputer (computer-assisted
audit technologies).
Paragraf 04
Auditor harus pula memiliki pengetahuan pengolahan data elektronik
memadai untuk menetapkan prosedur audit,tergantung atas pendekatan audit
yang digunakan (audit around computer and through computer).
PSA No.4 Standar Utama menjelaskan bahwa:
Audit harus dilaksanakan oleh seorang atau lebih yang memiliki keahlian dan
pelatihan teknis yang cukup sebagai auditor.
Dalam standar umum pertama menegaskan bahwa betapa pun tingginya
kemampuan seseorang dalam bidang-bidang lain, termasuk dalam bidang bisnis dan
keuangan, ia tidak dapat memenuhi persyaratan yang dimaksudkan dalam standar
80
audit ini, jika ia tidak memiliki pendidikan serta pengalaman yang memadai dalam
bidang auditing. Pencapaian keahlian audit dimulai dengan pendidikan formalnya
yang diperluas melalui pengalaman-pengalaman selanjutnya dalam praktik audit.
Dalam ISACA IS 1005 Due Profesional Care dijelaskan bahwa seorang audit
yang memberikan jasa audit teknologi informasi harus:
IS audit and assurance professional should:
Perform engagement with integrity and care.
Demonstrate sufficient understanding and competency to achieve
engagement objectives.
Maintan professional skepticism throughout the engagement.
Maintain professional competency by keeping informed of and complying with development in professional standards.
Communicate with team member their roles and responsibilities and ensure the team’s adherence to the appropriate standards in
conducting engagements.
Address all concern encountered with relevan stakeholder throughout
the engagement.
Maintain effective communications with relevan stakeholders throughout the engagement.
2.2.1 Pengaruh Kompetensi terhadap Audit Teknologi Informasi
Kompetensi auditor adalah kualifikasi yang dibutuhkan oleh auditor untuk
melaksanakan audit dengan benar. Dalam melaksanakan audit, seorang auditor harus
memiliki mutu personal yang baik, memiliki pendidikan formal dibidang auditing dan
akuntansi, pengetahuan yang memadai, pengalaman praktik yang memadai serta
keahlian khusus dibidangnya. Dalam melaksanakan audit teknologi informasi para
auditor diharapkan memiliki pengetahuan, pemahaman, pengalaman dan keahlian
mengenai teknologi informasi, meskipun pengetahuan tersebut diluar dari disiplin
81
ilmu.
Penelitian yang dilakukan oleh Fajar (2011) tentang Pengaruh Kompetensi
Auditor Mengenai E-Commerce terhadap Pengumpulan Bukti Audit Berbasis EDP
Audit pada Akuntan Publik memberikan hasil bahwa kompetensi sangat diperlukan
dalam audit e-commerce terutama dalam pengumpulan bukti dengan koefisien
korelasi sebesar 0,725 sedangkan koefisien determinasi menunjukan bahwa kualitas
audit dipengaruhi oleh kompetensi auditor sebesar 52,56 % dan sisanya 47,44%
dipengaruhi variable lain. Itu berarti kompetensi auditor memberikan dampak yang
cukup besar dalam hal audit e-commerce (termasuk kedalam lingkungan teknologi
informasi), penelitian lain mengenai kompetensi auditor dalam lingkungan audit
teknologi informasi yang dilakukan oleh Wedantha dan Widhiyani (2016) tentang
Pengaruh Kemanfaatan, Kemudahan Pemakai dan Kompetensi Auditor Eksternal
pada Keberhasilan Penerapan Teknik Audit Berbantu Komputer, dari penelitian ini
diketahui bahwa semakin tinggi kompetensi auditor maka semakin tinggi
keberhasilan penerapan teknik audit berbantu komputer yang dilakukan auditor dalam
mengaudit laporan keuangan dilingkungan teknologi informasi.
Agoes dan Hoesada (2012:226), menyatakan bahwa:
“Penugasan audit sistem informasi ini harus dilakukan oleh orang-orang yang
berkompeten serta dapat diselesaikan tepat waktu.”
Halim (2015:299), menyatakan bahwa:
“Auditor harus mempelajari audit dengan menggunakan komputer untuk
mengimbangi kemajuan teknologi pengolahan data dan kemajuan informasi
82
keuangan yang diterapkan kliennya.”
Sedangkan Arens, et al (2014:380), menyatakan bahwa:
“Because auditors are responsible for obtaining an understanding of internal
control, they must be knowledgeable about general and application controls,
whether the client’s use of IT is simple or complex. Knowledge of general
controls increase the auditor’s ability to assess and rely on effective
application controls to reduce controls to reduce control risk for related audit
objectives. For public company auditor who must issue an opinion on
internal control over financial reporting, knowledge of both general and
application IT controls is essential.”
Baik dari hasil penelitian yang telah dilakukan sebelumnya maupun dari
definisi yang telah ada maka sampai pada pemahaman penulis bahwa kompetensi
auditor mempengaruhi audit teknologi informasi, kompetensi auditor tentang
teknologi informasi akan meningkatkan kemampuan auditor dalam mengaudit
teknologi informasi klien (auditee).
2.2.2 Pengaruh Due Professional Care terhadap Audit Teknologi Informasi
Audit teknologi informasi menuntut auditor untuk melakukan perubahan pada
prosedur dan teknik yang digunakan dalam melakukan tugas auditnya hal tersebut
karena dengan penggunaan teknologi informasi ini akan mengakibatkan perubahan
cara pengumpulan data serta pengolahan data yang terkomputerisasi yang membuat
auditor harus melakukan analisis yang semakin meningkat dan kompleks (Putra dan
Noviari, 2013). Dengan penggunaan teknologi informasi ini juga akan membuat bukti
tertulis berkurang sehingga seorang auditor harus memahami akses rutin ke dalam
sistem, sistem otorisasi dan organisasi serta memahami bagaimana sistem bekerja
melakukan perhitungan.
83
Penelitian Frederick Gallagos and Anna Carlin (2004) tentang Best Practice
in Due Professional Care: An IT Audit Perspective memberikan hasil bahwa Due
professional care serves as a foundation to ensure that the client a high quality
review, in the post Sarbanes-Oxley Act era, their practice of due professional care is
critical in establishing public confidence in business. Penelitian lain mengenai due
professional care dalam audit teknologi informasi dilakukan Devale dan Kulkarni
(2015) tentang A Role Of Knowledge Based System In Information System Audit yang
memberikan hasil bahwa Computer Aided Audit Techniques may produce a large
proportion of the audit evidence developed on IS audits and, as a result, the IS
auditor should carefully plan for and exhibit due professional care in the use of
Computer Aided Audit Techniques.
Menurut standar ISACA IS 1005:
“IS audit and assurance professionals shall exercise due professional care,
including observance of applicable professional audit standards, in planning,
performing and reporting on the results of engagements.”
Agoes dan Hoesada (2012:227), menyatakan bahwa :
“Bagaimanapun auditor sistem informasi harus dapat menggunakan
pertimbangan profesional ketika menggunakan guidance dan procedure dalam
audit sistem informasi.”
Baik dari hasil penelitian yang telah dilakukan sebelumnya maupun dari
standard dari ISACA dan definisi yang telah ada maka sampai pada pemahaman
84
penulis bahwa due professional care auditor mempengaruhi audit teknologi
informasi, karena dengan adanya due professional care maka auditor teknologi akan
menggunakan prinsip kehati-hatian dan kecermatan dalam pemberian assurance audit
teknologi informasi klien (auditee).
2.2.3 Pengaruh Kompetensi dan Due Professional CareTerhadap Audit
Teknologi Informasi
Menurut Senft dan Gallagos (2009:58), pentingnya kompetensi dan due
professional care bagi auditor teknologi informasi adalah:
“When IT auditors attain their certificate information system auditor (CISA),
they also subscribe to a Code Of Professional Ethics is code applies to not
only the professional conduct but also the personal conduct of IT auditors. It
requires that the ISACA standards are adhered to, confidentiality is
maintained, any illegal or improper activities are reported, the auditors
competence is maintained, due care is used in the course of the audit, the
results of audit work is communicated, and high standards of conduct and
character are maintained.”
Dari pernyataan senft dan gallagos tersebut dapat dipahami bahwa ketika
auditor teknologi informasi yang memiliki sertifikat dari CISA maka auditor tersebut
harus mematuhi kode professional sebagai auditor teknologi informasi, dalam kode
profesional tersebut seorang auditor teknologi informasi perlu menjaga
kompetensinya, penggunaan due professional care dalam pelaksanaan audit teknologi
informasi, penggunaan komunikasi yang baik mengenai hasil audit dan penggunaan
standar yang tinggi yang harus dijaga auditor teknologi informasi dalam menjalankan
tugas audit teknologi informasi.
85
Gambar 2.1
Kerangka Pemikiran
Landasan Teori
1. Hall and Singleton (2007)
2. Akmal dan Hadi (2010)
3. James Hall (2011)
4. M Tuanakaota (2011)
5. Agoes dan Hoesada (2012)
6. Sukrisno Agoes (2012)
7. Louwers, Timothy, et al. (2013)
8. Arens, et al. (2014)
9. Bodnar dan Hopwood (2014)
10.Halim (2015)
Referensi
1. James Hall (2011)
2. Agoes dan Hoesada (2012)
3. Sukrisno Agoes (2012)
4. Arens, et al (2014)
5. Bodnar dan Hopwood (2014)
Data Penelitian
1. Auditor yang pernah melakukan audit
teknologi informasi di KAP Bandung.
2. Faktor-faktor yang mempengaruhi
audit teknologi informasi
3. Kuesioner dari 52 Responden
Premis
1. SPAP 2011; CICA 1999
2. Devale and kulkarni (2015); Aslan and
Kaya (2014)
3. Brazel and Christopher (2007);
Izlahuzzaman (2009); Aris (2011);
Putu dan Noviari (2013)
4. Frederick and Anna (2004); AICPA,
1972, SA 230; IFAC 2010, ISA 200;
ISACA, 2012, IS 1005
Kompetensi
Due
Professional
Care
Audit Teknologi
Informasi
Hipotesis 1 Hipotesis 3 Hipotesis 2
Referensi
1. Moch Nazir (2011)
2. Singgih Santoso (2012)
3. Sugiyono (2013)
4. Sunyoto (2013)
Analisis Data
Validitas dan Realibilitas,
Uji Asumsi Klasik, Uji
Regresi Liniear Berganda,
Uji t dan F dengan SPSS 23
86
2.3 Hipotesis
Berdasarkan uraian diatas penulis mencoba mengemukakan hipotesis sebagai
berikut:
H1 : Kompetensi Auditor Eksternal Berpengaruh terhadap Audit Teknologi Informasi.
H2 : Due Profesional Care Auditor Eksternal Berpengaruh terhadap Audit Teknologi
Informasi.
H3: Kompetensi dan Due Profesional Care Auditor Eksternal Berpengaruh terhadap
Audit Teknologi Informasi.