kami yang bertandatangan dibawah ini menyatakan bahwa RMK / tugas terlampir adalah murni hasil pekerjaan kami sendiri. Tidak ada pekerjaan orang lain yang saya / kami gunakan tanpa menyebutkan sumbernya.Materi ini tidak/ belum pernah disajikan/ digunakan sebagai bahan untuk tugas pada mata ajaran lain kecuali kami menyerahkan dengan jelas bahwa kami menggunakannya.kami memahami bahwa tugas yang saya/ kami kumpulkan ini dapat diperbanyak dan atau dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.Mata Kuliah: Audit Keuangan NegaraJudul RMK/ Makalah/ Tugas: Penyusunan Laporan Keuangan Tanggal: 29 Desember 2014Dosen: DR. H. M. Rasuli, SE., M.SI., Ak., CANama: Raymond Bernardus T

NIM: 1202154383Nama: Rizki Agus Putra

NIM: 1202135376

Pengertian Auditing

Auditing adalah sebuah proses sistematis yang dilakukan oleh seseorang yang memiliki kompetensi dan bersikap independen mengenai perolehan dan penilaian atas bukti secara objektif. Kegiatan ini dilakukan dengan pengumpulan dan penilaian atas bukti-bukti informasi yang dapat dikuantifikasikan dan terkait pada suatu entitas ekonomi tertentu berkenaan dengan pernyataan mengenai tindakan-tindakan dan kejadian-kejadian ekonomi. Tujuan kegiatan auditing ini adalah menentukan tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan serta untuk mengkomunikasikan hasil-hasilnya kepada pihak-pihak yang berkepentingan. Pelaksanaan audit yang dilakukan pada perusahaan yang belum menggunakan sistem komputer sebagai alat bantu utama pengolahan data disebut dengan istilah auditing konvensional. Sebaliknya, untuk perusahaan yang unsur utama pengolahan datanya telah menggunakan komputer disebut dengan audit PDE atau EDP audit.

EDP Audit

Electronic Data Processing (EDP) auditing is the process of collecting and evaluating evidence to determine whether a computer system safeguards assets, maintains data integrity, achieves organizational goals effectively, and consumes resources efficiently. [Weber, 1989, p. 8-9].

Atau dalam Bahasa Indonesia, EDP audit adalah suatu proses pengumpulan dan evaluasi bukti untuk menetapkan apakah sistem (pembukuan) komputer dapat mengamankan harta, menjaga integritas data, tujuan organisasi dapat tercapai dengan efektif dengan penggunaan sumber-sumber daya secara efisien.

Dari pengertian diatas maka dapat diambil point pentingnya :Mendukung pencapaian tujuan yang ingin dicapai oleh audit tradisional :

Membuktikan tujuan (untuk auditor eksternal) yang dapat mengamankan harta

dan integritas data sebagai pusatnya.Manajemen tujuan (untuk auditor internal) yang mencakup tidak hanya menegaskan tujuan tetapi juga tujuan yang efektive dan efisien.

Sumber-sumber daya yang digunakan oleh organisasi untuk mencapai tujuan yang lebih baik.

Pengendalian pada sistem pengolahan data yang terkomputerisasi, melibatkan pengendalian berikut ini:

Pengendalian umum meliputi: organisasi pusat pengolahan data, prosedur dan

standar untuk perubahan program, pengembangan sistem dan pengoperasianfasilitas data.Pengendalian aplikasi digunakan untuk mengatur keakurasian dan kesatuan data yang diproses dalam suatu aplikasi komputer yang spesifik agar dapat mencapai tujuannya secara efektif dan efisien. Sasaran utama dari pengendalian aplikasi adalah menjaga keakurasian dari sistem output, data files, dan pencatatan transaksi.

Pada perusahaan yang menggunakan system Informasi yang terkomputerisasi sangat penting untuk mengetahui apakah sistem computer mampu mengamankan asset, memelihara kebenaran data, maupun mencapai tujuan organisasi perusahaan secara efektif dan menggunakan aktiva penisahaan secara hemat. Menurut Arens, terdapat tiga pendekatan auditing pada EDP audit, yaitu audit sekitar komputer (auditing around the computer), audit melalui komputer (auditing through the computer), dan audit berbantuan komputer (auditing with computer). Auditing around the computer adalah audit terhadap penyelenggaraan sistem informasi komputer tanpa menggunakan kemampuan peralatan itu sendiri, pemrosesan dalam komputer dianggap benar, apa yang ada dalam komputer dianggap sebagai black box sehingga audit hanya dilakukan di sekitar box tersebut. Pendekatan ini memfokuskan pada input dan output. Jika dalam pemeriksaan output menyatakan hasil yang benar dari seperangkat input pada sistem pemrosesan, maka operasi pemrosesan transaksi dianggap benar. Ketika organisasi memperluas penggunaan TI mereka pengendalian internal sering ditanamkan di dalam aplikasi yang hanya terlihat dalam format elektronik. Ketika dokumen sumber yang tradisional, seperti faktur, pesanan pembelian, arsip penagihan, dan arsip akuntansi, seperti jurnal penjualan, daftar persediaan, dan lain-lain hanya dalam format elektronik auditor harus mengubah pendekatan audit.Pendekatan ini sering disebut dengan auditing through the computer. Ada tiga kategori pengujian dari pengujian strategi ketika mengaudit melalui komputer, yaitu pendekatan data ujian, simulasi pararel, dan pendekatan modul audit tertanam. Pada auditing with computer untuk membantu pelaksanaan keseluruhan program pengauditan digunakan mikro komputer. Auditing with computer dimaksudkan untuk melakukan otomatisasi terhadap proses pengauditan. Mikro komputer akan mentransformasi beberapa fungsi audit. Auditing with computer menggunakan software untuk melaksanakan pengujian terhadap pengendalian intern organisasi klien (termasuk compliance test) dan pengujian substantif terhadap catatan dan file klien.Berdasarkan uraian di atas, terlihat bahwa auditing with computer mengarah pada penerapan expert system di dunia pengauditan. Expert system adalah program komputer yang berciri intensif-pengetahuan yang menangkap keahlian manusia dalam wilayah pengetahuan yang terbatas. Pada expert system pengetahuan manusia dimodelkan atau direpresentasikan dalam satu cara yang bisa diproses oleh komputer. Kondisi-kondisi dalam penyusunan laporan keuangan dieksekusi dalam konstruksi IF-THEN. Jika kondisi adalah benar (true), maka suatu tindakan dilakukan.

Tahap-Tahap Audit EDP

Pemeriksaan Pendahuluan

Audit terhadap susunan, struktur, prosedur dan cara kerja sistem komputer yang ada dalam perusahaan/organisasi. Auditor dapat memutuskan apakah audit akan diteruskan atau tidak.

Pemeriksaan Rinci

Memahami stuktur pengendalian yang diterapkan. Auditor harus mendapatkan pengetahuan tentang sistem akuntansi untuk memperoleh pemahaman atas lingkungan pengendalian secara menyeluruh dan aliran transaksi. Auditor harus dapat menilai apakah pengendalian yang diterapkan memadai atau tidak.

Pengujian Kesesuaian

Menguji apakah struktur pengendalian dijalankan sebagaimana mestinya atau tidak. Pengujian dapat dilakukan dengan COMPUTER ASSITED EVIDANCE COLLECTION TECHNIQUES (CAECTs).

Pengujian Kebenaran Bukti (substantive test)

Mendapatkan bukti yang cukup kompeten, sehingga auditor dapat memutuskan apakah resiko yang material dapat terjadi atau tidak selama pemrosesan data di komputer. Tahapan pengujian:Mengidentifikasi kesalahan dalam pemrosesan data

Menilai kualitas data

Mengidentifikasi ketidakkonsistenan data

Membandingkan data dengan perhitungan fisik

Konfirmasi data dengan sumber-sumber dari luar perusahaan

Penilaian Umum atas Hasil Pengujian

Auditor diharapkan telah dapat memberikan penilaian apakah bukti yang diperoleh dapat atau tidak mendukung informasi yang diaudit. Hasil penilaian tersebut akan menjadi dasar bagi auditor untuk menyiapkan pendapatnya dalam laporan auditan.

Keahlian Auditor EDP

Keahlian minimum seorang auditor EDP adalah sbb:Pengetahuan dasar-dasar komputer dan fungsi komputer secara umum

Pengetahuan dasar sistem operasi (operating system) dan perangkat lunak

Pemahaman tentang teknik pengolahan file dan struktur data

Kemampuan bekerja dengan perangkat lunak audit

Kemampuan mereview sistem dokumentasi

Pengetahuan dasar tentang pengendalian PDE

Pengetahuan yang memadai ttg perancangan audit dan supervisi pelaksanaan audit

dalam lingkungan PDE

Pemahaman dinamika perkembangan dan perubahan sistem dan program dalam

suatu perusahaan

Penerapan norma pemeriksaan

Penerapan sistem EDP dalam pemrosesan data mengharuskan keterangan khusus pada 3 norma yang ada didalam Norma Pemeriksaan Akuntan :

1. Norma Umum yang pertama

Norma umum yang pertama ini mensyaratkan bahwa pemeriksaan harus dilakukan oleh personil yang mempunyai latihan teknis yang cukup dan pendidikan sebagai auditor. Hal ini berarti auditor harus mampu memahami dan mengevaluasi sistem yang ada, terutama pengendalian akuntansinya.Tingkat pemahaman/pengetahuan ini tergantung pada kompleksitas sistem EDP. Personil tersebut adalah :

Anggota staf pemeriksaAhli pemeriksaan komputerPenasihat manajemen untuk masalah EDP yang profesional

2. Norma pelaksanaan yang pertama

Norma ini menyatakan bahwa pemeriksaan harus direncanakan dan jika digunakan asisten harus diawasi. Dalam merencanakanPenggunaan asisten yang ahli dalam pemriksaan dengan komputer untuk meningkatkan efesiensi.

3. Norma pelaksanaan yang kedua

Norma ini mensyaratkan pemahaman terhadap struktur pengendalian intern digunakan untuk perencanaan pemeriksaan dan menentukan waktu, sifat serta luas pemeriksaan. Pada dasarnya, metodologi untuk memahami norma pelaksanaan yang kedua dalam sistem EDP sama seperti pada sistem manual. Akibat pemakaian sistem EDP pada tahap metodologi dijelaskan pada bagian dibawah ini :

a. Memahami sistem pengendalian intern EDPPemahaman atas struktur pengendali intern EDP harus mencakup pengendalian umum dan dan pengendalian aplikasi. Sifat dan tingkat pemahaman struktur pengendalian intern ini bervariasi sesuai dengan ukuran dan kompleksitas sistem EDP. Untuk memperoleh pemahaman tersebut auditor perlu mengerti hal-hal berikut :Kelompok transaksi pada operasi perusahaan yang diproses dengan sistem EDP dan penting untuk laporan keuangan.Catatan bukti pendukung informasi, rekening khusus dalam laporan keuangan yzng diproses dan dilaporakan oleh sistem EDP.Bagaimana komputer digunakan untuk memproses data, dari awal sampai akhir sdalam laporan keuangan .Jenis kesalahan yang sering terjadiPemahaman auditor terhadap struktur pengendalian EDP seharusnya didokumentasikan dalam kertas kerja. Informasi yang didokumentasikan tergantung ukuran dan kompleksitas struktur pengendalian. Dokumentasi bila dalam bentuk kuissioner yang lengkap.

Pengaruh EDP Terhadap Penilaian Auditor Atas Resiko Pengendalian

Dalam lingkungan sistem informasi akuntansi yang berbasis computer diperlukan pengendalian tambahan selain pengendalian secara umum seperti yang telah diuraikan di atas. Pengendalian tambahan tersebut adalah pengendalian umum (general controls) dan pengendalian aplikasi (application controls). Dalam bagian berikut diuraikan pengaruh EDP terhadap pengendalian dan jejak audit ( audit trail), pengendalian umum (general controls) dan pengendalian aplikasi (application controls), penilaian resiko pengendalian dan pengujian pengendalian (tests of controls) Pengaruh EDP terhadap Pengendalian EDP mempengaruhi sistem pemrosesan data akuntansi. EDP menyebabkan perubahan dalam sistem akuntansi sehingga mempengaruhi karakteristik pengendalian. Perubahan pada sistem akuntansi dan karakteristik pengendalian mempengaruhi jejak audit (audit trail). Berikut beberapa contoh pengaruh EDP terhadap pemrosesan data akuntansi.

Aktivitas yang sebelumnya terdesentralisasi dan dilakukan oleh beberapa tenaga administrasi dengan adanya komputer akan tersentralisasi dalam suatu program komputer. Contoh, sebuah program penghitungan gaji akan menggantikan tugas pegawai yang menghitung gaji kotor, pegawai yang menghitung pajak penghasilan karyawan, pegawai yang menulis cek, pegawai yang membuat dan memposting ke buku besar dan pegawai yang memverifikasi seluruh kegiatan tersebut.

Hilangnya jejak audit karena semakin sedikitnya dokumen yang terlibat dalam suatu transaksi. Tersimpannya prosedur, program dan data dalam suatu computer menuntut auditor percaya terhadap komputer dan program untuk melihat langkahlangkah pemrosesan dan data yang terkait. Semakin berkurangnya orang yang terlibat dalam pemrosesan data akuntansi karena adanya komputer, mengurangi pemeriksaan secara visual untuk mendeteksi kesalahan dibandingkan dengan pemrosesan secara manual. Apabila suatu program salah maka program tersebut akan menyebabkan pemrosesan data yang salah secara sistematis dan berlangsung cepat. Dengan adanya pengaruh EDP tersebut maka elemen struktur pengendalian harus dikaji ulang. Contoh, konsep pemisahan fungsi dalam sistem manual mungkin akan tergabung dalam satu program komputer. Seseorang akan dapat meng-access ke dalam suatu program dan file dan melakukan perubahan-perubahan tanpa terdeteksi.

Masalah berikutnya adalah otorisasi transaksi. Beberapa program mungkin akan mengotorisasi transaksi secara otomatis. Jejak Audit (audit trail) Suatu Sistem EDP Jejak Audit (audit trail) didefinisikan sebagai catatan yang memungkinkan sebuah transaksi dapat ditelusur dari dokumen sumber menuju ke sebuah ringkasan total (laporan keuangan) atau sebaliknya yaitu menyediakan jejak sebuah jumlah ringkasan total kembali menuju dokumen sumbernya. Catatan ini meliputi dokumen sumber, jurnal, buku besar, kertas kerja dan catatan lain pada sebuah sistem manual, magnetic tapes, disket dan print out sebuah sistem komputer.

Meskipun umumnya jejak audit digunakan oleh auditor pada saat pemeriksaan untuk memperoleh bukti pemeriksaan, manajemen juga berkepentingan terhadap jejak audit. Jejak audit membantu manajemen untuk menanggapi pertanyaan dari pelanggan, supplier, dan pemerintah atas status pembayaran, pelunasan, pengiriman dan perpajakan.

Sebuah sistem EDP dapat mempengaruhi jejak audit sebagai berikut:

Dokumen sumber, terekam dalam sebuah machine-readable input medium yang sulit untuk di-access tanpa menggunakan bantuan komputer. Contoh perusahaan yang mempunyai sistem manual, dimana setiap time card dikirim ke lokasi yang terpusat untuk proses pengggajian. Komputer mengubah ke sistem on-line dimana data dimasukkan ke komputer melalui terminal. Time card dapat diisi dari 22 lokasi yang terdesentralisasi.

Dalam beberapa sistem, dokumen sumber dapat dielimininasikan melalui penggunaan direct input devices. Contoh, seorang salesman dapat meng-input setiap order pesanan ke dalam komputer dari pada menulis pesanan penjualan secara lengkap.

Fungsi buku besar digantikan dengan master file

Setiap pemrosesan data tidak harus menyediakan daftar transaksi atau jurnal.

Tidak selalu diperlukan penyediaan output berupa print out secara rutin untuk catatan-catatan masa lalu. File-file dapat disimpan pada media komputer dan laporan hanya disediakan untuk informasi yang bersifat pengecualian.

File-file disimpan pada sebuah magnetic medium yang tidak dapat dibaca kecuali dengan bantuan komputer dan program. Contoh file persediaan disimpan pada magnetic tape memerlukan penggunaan komputer dan sebuah program untuk printout atau analisis.

Urutan pencatatan dan aktivitas pemrosesan sulit untuk diamati karena banyak yang dilakukan oleh komputer. Pengendalian Umum (General Controls) dan Pengendalian Aplikasi (Application Controls).

Pengendalian tambahan diperlukan apabila komputer digunakan sebagai alat pemrosesan data. Pengendalian tambahan ini digunakan untuk merespon pengaruh EDP dalam pemrosesan data. Pengendalian tambahan tersebut dikenal dengan Pengendalian Umum (General Controls) dan Pengendalian Aplikasi (Application Controls). Pengendalian Umum memiliki pengaruh pervasif ( pervasive effect), yang berarti jika pengendalian ini lemah maka akan memberikan pengaruh yang jelek terhadap pengendalian aplikasi. Karena alasan inilah maka Auditor akan memeriksa pengendalian aplikasi jika hasil penilaian terhadap pengendalian umum menunjukkan hasil yang lemah. Pengendalian Aplikasi didefinisikan sebagai pengendalian yang terkait dengan tugas aplikasi yang dilakukan oleh komputer.

Pengendalian Umum meliputi :

Pengendalian Organisasi, Praktik Personalia, Standar Prosedur Operasional

Pengendalian Pengembangan Sistem dan Pengendalian Dokumen

Pengendalian Hardware dan Sistem Software

Pengendalian Sistem Pengamanan.

Pengendalian Aplikasi meliputi:

Pengendalian Data Capture dan Batch Data Entry

Pengendalian On-Line Entry, Processing dan Output.

Pengendalian organisasi (organization controls) meliputi pemisahan fungsi antara pemakai (user) dengan bagian EDP dan pemisahan fungsi di dalam bagian EDP itu sendiri. Hal-hal yang perlu dikaji antara lain: apakah bagian EDP merupakan bagian dari bagian akuntansi atau merupakan bagian tersendiri, apakah ada pemisahan yang tegas antara system analis, programmer dan operator. Praktik personalia (personnel practices) meliputi pengendalian yang seharusnya ada yang terkait dengan fungsi personalia, yaitu rekruitmen, pelatihan, promosi jabatan, penggajian dan sebagainya. Praktik personalia ini perlu dikaji karena bagaimanapun baiknya sebuah sistem apabila orang-orang yang terlibat tidak memilki kompetensi dan moral yang baik maka tujuan sistem tersebut tidak akan tercapai. Standar prosedur operasional (standard operating procedures) perlu dilakukan pengendalian untuk menjamin bahwa prosedur operasional suatu sistem mudah dimengerti dan dapat dilaksanakan dengan baik oleh semua orang yang terlibat dalam sistem tersebut. Pengendalian ini akhirnya akan mengurangi kesalahan yang diakibatkan oleh ketidakmengertian terhadap prosedur operasional.

Pengendalian pengembangan sistem dan dokumen (systems development anddocumentation controls) diperlukan untuk menjamin bahwa sistem yang dikembangkan dan diimplementasikan akan sesuai dengan kebutuhan dan tujuan organisasi. Selanjutnya system yang diimplementasikan dipastikan sudah melalui serangkaian uji coba yang memadai. Pengendalian dokumen menjamin bahwa system yang ada telah didokumentasikan dengan benar dan dokumen telah disimpan dengan baik. Dokumen yang dikendalikan meliputi system document, program document, operation document dan user document.

Pengendalian hardware dan sistem software (hardware and systems software controls) dilakukan agar kesalahan dalam pemrosesan data yang diakibatkan oleh kerusakan hardware dan sistem software tidak terjadi. Hal ini terjadi karena secara mekanik suatu komputer tidak akan terlepas dari adanya kerusakan. Pengendalian sistem pengamanan (system security controls) dilakukan agar hanya orang-orang yang berwenang yang dapat meng-access dan mengoperasikan system sehingga modifikasi terhadap program atau file tidak terjadi. System security melindungi fasilitas komputer, peralatan, program dan data dari kerusakan yang diakibatkan oleh lingkungan dan manusia.Pengendalian aplikasi meliputi pengendalian terhadap proses data yang dilakukan oleh komputer. Pengendalian tersebut mulai dari data capture, data entry, data processing dan output. Pengendalian terhadap data capture dan data entry untuk menjamin bahwa data yang dimasukkan ke dalam sistem adalah benar dan valid. Pengendalian terhadap data processing dilakukan untuk menjamin bahwa data yang telah di-input kedalam komputer terproses dengan benar sesuai dengan program yang digunakan. Pengendalian output dilakukan untuk menjamin bahwa setiap output yang dihasilkan oleh sistem akan diterima hanya oleh orang yang berwenang.

Standar profesional akuntan publik menyatakan bahwa pekerjaan audit harus dilakukan oleh seorang auditor atau lebih, yang memiliki keahlian dan pelatihan teknis yang cukup sebagai seorang auditor. Namun, untuk keperluan EDP audit, maka auditor yang bersangkutan selain memiliki keahlian audit dan akuntansi juga harus memiliki keahlian komputer. Lebih-lebih jika auditor akan melakukan audit yang through dan within the computer.

Tes pengendalian dengan komputer dilakukan dengan metode-metode berikut :

a) Simulasi paralel

Data aktual klien diproses dengan auditor controlled software program kemudioan hasilnya dibandingkan dengan laporan klien. Metode ini sering disebut dengan controlled reprosesing atau modeling sebab data aktual perusahaan diproses kembali dengan menggunakan program lunak yang dikendalikan dengan auditor (Auditor-controlled software program).Program ini dirancang untuk mereproduksi atau membuat simulasi pemrosesan data klien sesungguhnya. Hasil pemrosesan kembali ini akan dibandingkan dengan hasil yang dimiliki oleh klien. Manfaat yang diproleh dengan menggunakan metode ini adalah sebagai berikut :Karena data sesungguhnya yang digunakan maka auditor dapat memeriksa transaksi melalui penelusuran (tracing) kedokumen sumber dan persetujuannya.

Ukuran sampel dapat diperbesar dengan penambahan biaya yang relatif lebih kecil.

Auditor dapat secara bebas melakukan tes.

Jika simulasi paralel dilakukan, auditor harus menentukan data yang dipilih untuk simulasi tersebut telah mawakili transaksi klien yang sesungguhnya. Selain itu juga perlu dipertimbangkan kemampuan program yang dipakai oleh auditor.

b. Tes data

Ini menggunakan model transaksi yang dibuat oleh auditor kemudian diproses dengan menggunakan program komputer klien dibawah pengawasan auditor. Data yang akan dites adalah data yang valid dan invalid. Hasil pemrosesan ini kemudian dibandingkan dengan hasil yang diharapkan auditor untuk menentukan apakah pengendalian telah berkerja dengan efektif. Metode ini relatif mudah, cepat dan tidak terlalu mahal. Namun demikian, metode ini mengandung kelemahan-kelemahan antara lain :Tidak ada pengujian dokumen sesungguhnya yang diproses

Operator komputer mengetahui saat tes data sedang dilaksdankan sehingga dapat mengurangi validitas output

Ruang lingkup pengujian terbatas pada imajenasi auditor dan pengetahuannya terhadap pengendalian aplikasi.

c. Tes Terpadu

Metode ini menyerupai tes data tetapi model yang diproses meliputi model transaksi dan master file. Prosesnya juga dilakukan bersama dengan yang aktual. Output yang dihasilkan akan dibandingkan dengan output yang diharapkan oleh auditor.

Penilaian Resiko Pengendalian

Penilaian auditor terhadap resiko pengendalian dipengaruhi oleh pengendalian EDP dan jejak audit. Pendekatan umum dalam penilaian resiko pengendalian melibatkan pengertian yang mendalam terhadap struktur pengendalian, test of controls dan menentukan strategi audit. Dalam melakukan prosedur ini auditor harus menilai pengendalian yang terkait dengan penggunaan komputer sebagai alat pemrosesan data. Pemeriksaan komputer memerlukan penilaian pengendalian dalam dua area di luar komputer yaitu :

Auditor harus menilai pengendalian dalam semua aplikasi yang digunakan. Penilaian ini dilakukan baik secara manual, mekanik maupun dengan bantuan komputer.

Auditor harus menilai pengendalian yang terdapat di bagian EDP dan bagian pemakai (user). Penilaian ini meliputi evaluasi atas pengendalian EDP dan pengendalian user. Pengendalian EDP meliputi pengendalian yang dilakukan oleh personel EDP atau komputer itu sendiri dalam melakukan input, process dan output. Dalam menilai resiko pengendalian, auditor memiliki tiga alternatif dalam kegiatannya yaitu:

Auditor menyimpulkan bahwa resiko pengendalian cukup rendah sebagai dasar untuk membatasi pengujian substantif. Auditor kemudian akan merancang pengujian substantif berdasarkan kesimpulan resiko pengendalian yang rendah ini.

Auditor menyimpulkan bahwa resiko pengendalian adalah tinggi karena pengendalian-pengendalian yang terkait dengan EDP adalah lemah. Karena auditor menyimpulkan bahwa pengendalian EDP lemah maka auditor tidak akan melakukan pengujian terhadap pengendalian (test of controls) tetapi langsung melakukan substantive test.

Auditor memutuskan untuk tidak melakukan penilaian resiko pengendalian karena pengendalian EDP kuat dan pekerjaan tambahan untuk menilai resiko tersebut dalam biaya tidak efektif. Selain menilai resiko pengendalian, auditor EDP juga akan menilai user controls dan hubungan antara user controls dan EDP controls untuk masing-masing aplikasi.

Ada beberapa alasan auditor memutuskan untuk menilai user controls yaitu:

Auditor menyimpulkan bahwa fokus terhadap user controls akan lebih efisien biayanya daripada fokus pada EDP controls. Auditor memfokuskan pada user controls sesudah menyimpulkan bahwa EDP controls adalah lemah. Auditor menyimpulkan bahwa gabungan antara user controls dan EDP controls adalah pendekatan terbaik untuk menentukan keseluruhan resiko pengendalian.

Perbandingan Fokus Internal Control antara CoBIT, eSAC dan COSO

Konsep serta framework yang terkait dengan internal control yang populer saat ini yaitu CoBIT, eSAC dan COSO terdapat perbedaan dan persamaan di dalamnya. Hal tersebut ditinjau dari setidaknya 7 (tujuh) elemen yaitu fokus pengguna utama, sudut pandang atas internal control, tujuan yang ingin dicapai dari sebuah internal control, komponen/domain, fokus pengendalian, evaluasi atas internal control, pertanggungjawaban atas sistem pengendalian. Berikut ini tinjauan perbedaan maupun persamaan dari masing-masing framework:

CoBIT

Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem informasi.

Sudut pandang atas internal control adalah kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi.

Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang berlaku.

Komponen/domain yang dituju adalah perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian.

Fokus pengendalian dari CoBIT adalah sisi teknologi informasi.

Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan.

Pertanggungjawaban atas sistem pengendalian dari CoBIT ditujukan kepada manajemen.

Esac

Fokus Pengguna Utama adalah auditor.

Sudut pandang atas internal control adalah kesatuan beberapa proses yang terbagi atas bagian sistem dan sumber daya manusia.

Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yanga efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku.

Komponen/domain yang dituju adalah pengendalian atas lingkungan serta prosedur pengendalian sistem baik secara manual maupun otomatis.

Fokus pengendalian dari eSAC adalah sisi teknologi informasi.

Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan.

Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada manajemen.

COSO

Fokus Pengguna Utama adalah manajemen.

Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.

Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku.

Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.

Fokus pengendalian dari eSAC adalah keseluruhan entitas.

Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu.

Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada manajemen. Jika melihat dari hal-hal tersebut maka dapat dilihat adanya persamaan sebagai berikut:

Seluruh tujuan dari framework CoBIT, eSAC dan COSO adalah pengendalian serta pengawasan atas proses dan lingkungan. Pertanggungjawaban ditujukan kepada manajemen. Seluruh sistem pelaporan dan prosedur wajib mengikuti aturan yang berlaku. *) Seluruh data disarikan dari berbagai sumber