Auditing PDE. Mengaudit Fail-Fail. computer dan database MODUL PERKULIAHAN

Transkripsi

1 MODUL PERKULIAHAN Auditing PDE Mengaudit Fail-Fail Komputer dan Database Fakultas Ekonomi dan Bisnis Program Studi Akuntansi Tatap Kode MK Disusun Oleh Muka Abstract Tujuan chapter ini adalah memberikan penjelasan ke mahasiswa dalam meng-audit failfail computer dan database Kompetensi Mahasiswa mengerti langkah langkah yang perlu dilakukan dalam meng-audit fail-fail computer dan database dengan tanpa menggunakan fail data, menggunakan real data dan menggunakan data simulasi

2 Mengaudit Fail-fail Komputer dan Database Pendahuluan Pada Bab 2 disebutkan bahwa yang dimaksud dengan Fail adalah beberapa rekord yang berkaitan, yang dapat diorganisasikan menjadi salah satu dari empat metode penyimpanan (empat struktur fail), yaitu (1) struktur fail sekuensial, (2) struktur fail acak atau struktur fail langsung, (3) struktur fail sekuensial berindeks, dan () struktur fail organisasi daftar. Sementara itu Database (atau kadang-kadang juga ditulis data base) didefinisikan sebagai kelompok fail yang disimpan bersama untuk digunakan oleh beberapa aplikasi. Bagi auditor, fail-fail atau database merupakan bukti-bukti pembukuan seperti yang dihasilkan dalam metode PDE lainnya (misalnya yang dilakukan secara manual), sehingga menjadi kewajiban pula baginya untuk membuktikan kewajaran catatan-catatan tersebut. Apabila fail-fail atau database tersebut dapat dicetak (dalam bentuk print-out) maka hal ini menjadi persis seperti mengaudit dalam sistem manual, sehingga secara teoritis auditor dapat mengaplikasikan semua teknik audit konvensional. Auditor tentunya akan menganggap mengaudit fail dan atau database semacam itu sebagai hal yang mudah karena prosedur-prosedur audit dalam sistem manual dapat diterapkan. Akan tetapi tidak jarang fail-fail dan database disimpan di tempat yang hanya dapat dibaca oleh komputer sehingga auditor tidak mungkin lagi dapat menerapkan ancangan audit sekitar komputer. Ancangan audit dengan komputer menjadi keharusan karena ia memerlukan komputer dan program tertentu untuk dapat membaca fail-fail dan atau database tersebut. Dalam hal ini metode pengolahan data tertentu membuat auditor menghadapi kondisi dan standar audit yang berbeda pula. Fail mungkin terdapat pada organisasi dan pengolahan data yang berdiri sendiri ataupun terintegrasi, sedangkan database akan selalu berkonotasi pada organisasi pengolahan data yang terintegrasi. Dengan demikian ketentuan-ketentuan dalam SA Seksi 33 Lingkungan Sistem Informasi Komputer- Komputer Mikro Berdiri Sendiri, SA Seksi 3 Lingkungan Sistem Informasi Komputer On-line Computer System dan SA Seksi 35 Lingkungan Sistem Informasi Komputer Database System dapat diterapkan. Padahal, komputer personal dapat difungsikan untuk maksud-maksud yang tercakup dalam tiga standar tersebut, yaitu apabila tidak digunakan sebagai jaringan suatu komputer personal yang berfungsi sebagai server maka komputer personal dapat digunakan sebagai suatu workstation yang berdiri sendiri (yang 2

3 berarti berlaku SA Seksi 33), sedangkan apabila berfungsi sebagai server maka komputer personal tersebut dapat memiliki hard disk dalam kapasitas yang cukup untuk dijadikan sebagai pusat data dan tersedianya modem maupun jaringan LAN memungkinkan untuk server tersebut berfungsi dalam sistem on-line (yang berarti berlaku SA Seksi 3 dan SA Seksi 35 dan tidak berlakunya SA Seksi 33). Adanya perubahan teknologi dalam komputer personal tersebut menyebabkan pembahasan dalam Bab ini akan difokuskan pada beberapa masalah audit yang berkaitan dengan fail-fail dan atau database seperti pengujian terhadap pengendalian, pengujian substansif serta teknik audit berbantuan komputer (TABK) yang tersedia bagi auditor untuk mengaudit fail-fail dan database tersebut dengan memfokuskan pada sistem off-line. Pengujian Pengendalian Pengujian pengendalian dalam audit terhadap fail-fail komputer dan database pada dasarnya dimaksudkan untuk menguji bagaimana akses terhadap fail-fail tersebut, untuk menjamin kelangsungan operasi, serta untuk membuktikan kesesuaian antara isi fail tersebut dengan prosedur-prosedur pengendalian yang diharapkan. Akan tetapi masalah lain yang perlu diperhatikan auditor adalah tanggung jawab terhadap data, yang juga berkaitan dengan organisasi pengolahan data. Dalam komputerisasi oleh pemakai akhir (end-user computing) yang menggunakan komputer personal, maka masing-masing pemakai adalah pemilik dari data yang akan diaudit. Sementara itu dalam database data hanya dibuat satu kali dan digunakan oleh banyak pemakai. Dalam hal ini tidak ada pemakai yang dapat dikatakan sebagai pihak yang bertanggung jawab terhadap suatu data tertentu. Sebagai contoh, suatu nomor persediaan tertentu dapat diakses oleh departemen pembelian, produksi, atau departemen akuntansi. Oleh sebab itu kebenaran dan integritas data persediaan tersebut tidak dapat dikatakan tanggung jawab salah satu dari departemendepartemen tersebut apabila data tersebut ditambah, diubah atau dihapus oleh satu atau lebih para penggunanya (departemen-departemen tersebut). Tanpa adanya tanggung jawab terhadap fail dan atau database maka akan timbul kemungkinan pengendalian yang lemah terhadap fail dan atau database tersebut karena apabila timbul persoalan dengan fail dan atau database maka masing-masing departemen akan merasa tidak bertanggung jawab apabila manajer tidak menunjuk satu atau kelompok orang untuk mengatasinya. Karena itu dalam audit program, auditor perlu menentukan apakah ada fungsi Administratur Database yang terpisah dari fungsi pengembangan sistem dan 3

4 operasi, dan apabila fungsi tersebut tidak terpisah maka auditor perlu menentukan dan menilai kecukupan tanggung jawab pengendalian data yang digunakan oleh banyak pihak (shared database). Untuk mengatasi persoalan seperti disebutkan di atas serta untuk menetapkan tanggung jawab terhadap data, maka biasanya ditunjuk seorang Administratur Database (databse administrator) yang mempunyai tanggung jawab untuk memenuhi setiap permintaan untuk mengubah penyajian data, menghapus unsur-unsur atau kategori data, ataupun melakukan modifikasi terhadap akses ke database. Ia juga bertanggung jawab terhadap pengorganisasian data dan piranti lunak pengendalian yang terdapat di dalam struktur database file. Meskipun demikian keberadaan administratur database juga menimbulkan masalah baru, khususnya dari segi pengendalian. Hal ini disebabkan karena kewenangan yang dimilikinya sedemikan besar padahal perkembangan teknologi informasi dewasa ini begitu pesat. Weber menyebutkan adanya tiga jenis masalah yang dapat timbul dalam pengelolaan database yang terkait dengan administratur database sebagai berikut : 1. Kinerja yang buruk dari administratur database dapat membahayakan penjagaan terhadap aktiva, integritas data, efektivitas sistem serta sasaran efisiensi sistem. 2. Kewenangan yang dimiliki oleh administratur database dapat merusak pengendalian intern yang utama. Karena administratur database dapat memberikan akses kepada siapa saja, maka apabila pekerjaan administratur database ini tidak dikontrol maka ia dapat memberikan akses kepada orang yang tidak semestinya sehingga dapat merusak sistem atau pengendalian intern. 3. Tersedianya alat-alat atau piranti keras dan piranti lunak dewasa ini memungkinkan pula terjadinya pelanggaran terhadap sistem pengendalian intern. Sebagai contoh, tersedianya program untuk membuka kata sandi dapat digunakan untuk membuka kata sandi yang harus senantiasa dijaga kerahasiaannya. Oleh sebab itu manajemen perlu menciptakan pengendalian yang dapat mencegah timbulnya penyalahgunaan wewenang oleh Administratur Database. Salah satunya adalah dengan mempekerjakan orang yang dapat dipercaya. Cara lain adalah dengan mengharuskan Administratur Database untuk mengikuti pelatihan yang terkait dengan teknologi informasi guna menyesuaikan dengan kondisi teknologi informasi yang mutakhir, termasuk metode pengendalian yang ada.

5 Sebagaimana disebutkan sebelumnya, dalam audit terdapat fail-fail komputer dan database. Pengujian pengendalian diarahkan untuk mengakses risiko pengendalian dengan mengarahkan perhatian pada: 1. Pengendalian terhadap akses ke fail-fail dan database 2. Jaminan kelangsungan operasi 3. Kesesuaian antara isi fail tersebut dengan prosedur-prosedur pengendalian yang diharapkan. Uraian mengenai ketiganya tampak pada subbagian-subbagian berikut ini. Sementara itu istilah mengakses risiko pengendalian digunakan untuk menjelaskan mengenai proses pengevaluasian dan penilaian tentang seberapa efektif pengendalian yang dimiliki oleh auditan dalam mencegah dan mendeteksi kesalahan penyalahgunaan. Proses ini mencakup identifikasi atas pengendalian-pengendalian tertentu yang mengurangi kemungkinan terjadinya kesalahan dan penyalahgunaan bila hal itu terjadi dan tidak terdeteksi atau dikoreksi dengan segera. Dengan demikian maka auditor dapat menilai apakah pengendalian auditor intern dapat menghasilkan informasi yang handal serta dapat menjaga aktiva dan integritas data. Semakin baik pengendalian intern suatu satuan usaha maka semakin kecil kemungkinan terjadinya kesalahan dan penyalahgunaan, atau bila terjadi kesalahan dan atau penyalahgunaan maka pengendalian intern satuan usaha tersebut akan dengan segera mendeteksinya. Bagi auditor, pengendalian intern yang baik berarti akan memperkecil risiko audit karena salah satu komponen dari risiko audit adalah risiko pengendalian. Apabila auditor menggunakan rumus dalam menentukan besarnya sampel yang akan diaudit, maka karena risiko yang harus dihadapi auditor merupakan unsur pembilang dalam rumus tersebut, bila unsur-unsur yang lain tetap berarti besarnya sampel akan menjadi lebih kecil. Demikian pula sebaliknya, semakin jelek pengendalian intern auditan maka akan semakin besar jumlah sampel yang harus diaudit. Sebagaimana dikatakan oleh Ikatan Akuntansi Indonesia (IAI), apabila auditor tidak meletakan kepercayaannya terhadap pengendalian databse system, ia akan mempertimbangkan apakah dengan melaksanakan pengujian substansif tambahan terhadap semua aplikasi akuntansi signifikan yang menggunakan database akan mencapai tujuan auditnya, karena pengendailan pengelolaan database yang tidak memadai tidak dapat selalu dikompensasikan dengan pengendalian oleh pemakai secara individual. Dalam organisasi pengolahan data end-user computing atau lingkungan komputer mikro, IAI menyatakan bahwa auditor dapat menganggap risiko pengendalian dalam sistem ini adalah tinggi dan karenanya auditor tidak perlu melakukan review terhadap 5

6 pengendalian umum SIK atau pengendaian aplikasi SIK, namun lebih memusatkan usaha audit ke pengujian substansif pada atau mendekati akhir tahun. Hal ini memerlukan lebih banyak pemeriksaan fisik dan konfirmasi aktiva, lebih banyak pengujian rinci, ukuran sampel yang lebih besar dan penggunaan lebih banyak teknik audit berbantuan komputer, bilamana perlu. Aktivitas yang Diperkenankan Apabila manajemen membuat ketentuan bahwa tidak semua orang di dalam organisasi boleh menggunakan fail dan database, maka hal ini menunjukkan adanya pengendalian terhadap akses. Pengendalian akses antara lain meliputi penggunaan kata sandi serta penggunaan jenis-jenis kunci tertentu. Dalam pengendalian kata sandi ini IAI menyatakan perlunya prosedur yang memadai untuk mengubah password, penjagaan kerahasiaan password dan pelaksanaan review dan penyelidikan terhadap usaha untuk melanggar keamanan. Meskipun demikian, dua akses pengendalian itu saja belumlah cukup. Harus pula ada pengendalian yang membatasi pekerjaan apa saja yang boleh dilakukan oleh mereka yang dapat mengakses. Dalam pembatasan akses ini terdapat empat alternatif bagi seorang personil, yaitu : 1. Dapat membaca data saja. 2. Dapat membaca dan menambahkan data. 3. Dapat membaca dan megubah data.. Dapat membaca dan menghapus data. Selain itu manajer perlu mempertimbangkan pengendalian lain yang mendukung. Definisi database yang disebutkan sebelumnya menyiratkan adanya penggunaan data oleh beberapa aplikasi dan beberapa pemakai. Adanya pengendalian lain yang mendukung bertujuan agar apabila seorang pemakai sedang menggunakan suatu data maka pemakai lain tidak dapat mempengaruhinya. Sebagaimana disebutkan sebelumnya, penggunaan database oleh lebih dari satu pemakai tidak selamanya mengindikasikan adanya jaringan on-line tetapi bisa juga secara off-line, misalnya dalam hal local area network (LAN) atau komunikasi antar komputer tanpa menggunakan modem. Dalam contoh suatu organisasi yang menjadikan persediaan dapat diakses oleh departemen pembelian, produksi, penjualan atau departemen akuntansi, maka jenis pengendalian ini memungkinkan untuk menjaga kebenaran dan integritas data persediaan karena apabila data tengah dikurangi oleh departemen penjualan karena adanya transaksi penjualan, maka data tersebut pada 6

7 saat yang bersamaan tidak dapat ditambah oleh departemen produksi dengan selesainya proses pembuatan atau proses produksi jenis persediaan tersebut sebelum proses pengurangan oleh departemen penjualan tersebut dianggap selesai Untuk mengatasai masalah ketidaksesuaian akses tersebut manajer memerlukan pengendalian yang dapat dilakukan dengan beberapa cara yang oleh Weber disebut dengan istilah pengendalian simultan (concurrency control), yaitu dapat berbentuk file locking, record locking, field locking ataupun dengan menggunakan program pengolahan basis data (database management systems). Bagi auditor masalah ini juga penting karena isi fail akan digunakannya untuk melakukan pengujian substansif dan juga sekaligus pengujian pengendalian. Apabila isi fail tersebut teryata tidak handal misalnya tidak adanya kesesuaian akses sehingga mengganggu transaksi penjualan, maka kepercayaannya terhadap pengendalian tersebut sudah pasti akan berkurang, atau bahkan ia dapat menyalahkan hasil pengolahan komputer tersebut karena tidak sesuai dengan yang sebenarnya. Dengan kata lain pengendalian dalam hal ini bertujuan untuk memberikan jaminan bahwa hasil PDE adalah benar. Kelangsungan Operasi Dalam sistem database, sistem pencatatan aktivitas (transaction log) dapat digunakan untuk menjaga kelangsungan operasi organisasi yang bersangkutan karena dengan pencatatan ini dimungkinkan untuk memperbaiki kesalahan yang terjadi dengan cara memproses kembali salinan cadangan database yang dibandingkan dengan semua transaksi yang telah dicatat dan diproses sejak salinan cadangan tersebut dibuat. Beberapa penulis menggunakan istilah audit trail control untuk menjelaskan mengenai jenis pengendalian ini, dengan tujuan untuk mengetahui kronologi kejadian baik terhadap definisi data maupun terhadap database itu sendiri sehingga dapat dketahui pembuatannya, akses, modifikasi ataupun penghapusan yang dilakukan terhadap definisi data maupun database. Selain itu, isi dari database tersebut juga perlu dicatat, baik sebelum maupun sesudah terjadinya perubahan terhadap database yang bersangkutan, di samping mencatat data transaksi yang menyebabkan terjadinya perubahan tersebut. Konsep kakekayah-anak (grandfather-father-son concept) merupakan salah satu bentuk dari upaya untuk mempertahankan kelangsungan operasi satuan usaha karena dengan salinan fail cadangan ayah maka auditan dapat merekonstruksi fail anak dengan hanya menambah atau membukukan kembali transaksi sejak awal hingga transaksi hari ini. 7

8 Dengan demikian apabila hari ini auditan mengalami musibah maka manajemen masih memungkinkan untuk tetap melaksanakan fungsinya karena catatan mengenai aktivitas organisasinya dapat direkonstruksi tanpa harus memulai kembali dari awal. Bagi auditor, catatan-catatan tersebut harus pula dapat diakses karena menunjukkan sejarah transaksi yang terjadi: sebelum kejadian, aktivitas yang mengakibatkan perubahan, dan sesudah kejadian, auditor tentunya ingin membuktikan kebenaran dari isi database itu sendiri. Dari konsep kakek-ayah-anak (grandfather-father-son concept) pada contoh di atas, auditor juga dapat menguji kebenaran data transaksi hari ini misalnya dengan cara membandingkan antara fail ayah dengan fail anak karena selisih antara kedua fail tersebut menggambarkan mengenai transaksi hari ini. Demikian pula selisih antara fail kakek dengan fail ayah yang menggambarkan mengenai transaksi pada hari kemarin. Metode lain yang dapat digunakan untuk menjaga kelangsungan operasi organisasi dengan menempatkan salinan cadangan di tempat terpisah sehingga apabila terjadi bencana terhadap fail dan atau database asli maka masih tersedia fail dan atau database di tempat lain. Dengan demikian kelangsungan operasi peusahaan dapat tetap terjamin. Basalamah, menguraikan tiga metode penyimpanan salinan cadangan di tempat yang terpisah sebagai beikut: 1. Pencadangan sepenuhnya. Dalam metode ini tempat penyimpanan yang digunakan kondisinya sudah siap pakai dengan peralatan piranti keras dan piranti lunak sistem yang lengkap. Hanya saja belum ada personil, program, dan fail datanya. 2. Pencadangan tidak sepenuhnya. Dalam metode ini tempat penyimpanan yang digunakan kondisinya belum meyediakan komputer, atau kalaupun tersedia, CPU-nya biasanya lebih kecil. Alasan tidak menempatkan komputer dalam metode ini adalah karena biasanya komputer mudah untuk diperoleh sewaktu-waktu, sehingga dirasakan lebih menguntungkan dengan cara demikian (membelinya bila perlu) dibandingkan dengan membelinya saat ini tapi akan dibiarkan menganggur sampai benar-benar diperlukan. Alasan lain yang juga berkaitan dengan penghematan adalah bahwa biasanya komputer itulah yang merupakan komponen biaya yang tebesar. 3. Pencadangan seperlunya. Dalam metode ini perlengkapan yang ada di tempat penyimpanan salinan cadangan tersebut hanyalah yang bersifat pokok saja seperti kabel-kabel listrik, pengatur suhu udara (AC), dan sebagainya yang diperlukan untuk mengoperasikan PDE. Tempat ini 8

9 siap untuk menerima peralatan yang diperlukan tetapi peralatan itu sendiri belum ada. Kesesuaian Isi Fail dengan Prosedur Pengendalian yang Diharapkan Isi dari fail dan database juga memberikan bukti adanya kesesuaian dengan ketentuan yang dibuat oleh manajemen seperti unsur-unsur data yang menyebutkan batas maksimum kredit yang dapat diberikan kepada pelanggan, otorisasi yang benar, klasifikasi akun, pencatatan jurnal yang sesuai dengan waktunya, dan sebagainya. Dengan membandingkan antara isi fail dan database mengenai ketentuan-ketentuan manajemen ini dengan yang sebenarnya terjadi maka auditor dapat menilai apakah telah terjadi penyimpangan atau kesalahan pemrosesan sehingga merupakan salah satu langkah dalam pengujian pengendalian. Contoh dari pengujian pengendalian dalam hal kesesuaian antara isi fail dengan prosedur pengendalian yang diharapkan ini misalnya adalah apabila auditor ingin menguji apakah pejabat yang berwenang untuk memberikan otorisasi kredit telah bekerja sebagaimana mestinya. Apabila pejabat A hanya berwenang untuk memberikan kredit hingga senilai Rp 20 juta, sedangkan pinjaman senilai lebih dari Rp 20 juta diberikan oleh pejabat B atau apabila pejabat A sedang cuti, maka auditor dapat membuktikan setidaktidaknya lima hal sebagai berikut : 1. Apakah ada kredit yang tidak disetujui oleh kedua pejabat tersebut? 2. Adapakah ada kredfit yang besarnya sampai dengan Rp 20 juta yang tidak disetujui oleh pejabat A? bila ada, apakah ada persetujuan tersebut diberikan pejabat A sedang mengambil cuti? 3. Apakah ada kredit yang besarnya di atas Rp 20 juta yang tidak disetujui oleh pejabat B?. Apakah ada krdit yang besarnya di atas Rp 20 juta yang disetujui oleh pejabat A? 5. Apakah ada kredit yang besarnya sampai dengan Rp 20 juta yang disetujui oleh pejabat B? bila ada, apakah ada persetujuan tersebut diberikan pejabat A sedang mengambil cuit? Jawaban-jawaban atas kelima pertanyaan di atas dapat memberikan indikasi bagi auditor mengenai kelemahan atas pengendalian yang ada. Sebagai contoh, apabila ada kredit yang tidak disetujui oleh kedua pejabat tersebut berarti ada kebocoran karena yang berwenang untuk memberikan otorisasi adalah kedua pejabat tersebut, yaitu A 9

10 dan B. otorisasi oleh orang lain dapat mengindikasikan adanya manipulasi atau pemberian kredit yang tidak sesuai dengan ketentuan yang berlaku. Demikian pula apabila terjadi pemberian kredit yang besarnya di atas Rp 20 juta yang disetujui oleh pejabat A. Pengujian Substantif Pangujian substansif adalah pengujian yang bermaksud mensahihkan (memvalidasi) keakuratan nilai-nilai transaksi, besarnya kesalahan moneter yang terjadi serta saldo-saldo yang ada. Pengujian ini dilakukan dengan prosedur analitis serta pengujian langsung terhadap transaksi dan saldo-saldo. Beberapa teknik audit berbantuan komputer (TABK) dapat digunakan untuk melakukan pengujian substansif ini, yang antara lain dapat membantu auditor untuk mengetahui apakah ada nilai-nilai yang dihilangkan, yang salah diklasifikasikan atau yang salah periode akutansinya, di samping dapat pula untuk menguji kebenaran penjumlahan dan rekonsiliasi. Sebagaimana ditemukan oleh Elder, Beasley, dan Arens, pengujian substansif bertujuan untuk menentukan apakah enam tujuan audit yang terkait dengan suatu transaksi telah terpenuhi, yaitu (1) eksistensi, (2) kelengkapan, (3) akurasi, () klasifikasi, (5) ketepatan waktu pencatatan sesuai periode akuntansinya, serta (6) ketepatan pembukuan dan pengikhtisarannya. Dengan TABK keenam tujuan ini jauh lebih mudah untuk dilakukan. Sebagai contoh, dalam pemeriksaan atas persediaan maka TABK antara lain dapat digunakan untuk menentukan pos-pos mana yang akan diuji dengan memilih sampel secara acak dari fail persediaan per tanggal perhitungan tersebut. Selain itu, fungsi filter dan atau IF pada program spreadsheet dapat pula digunakan untuk memenuhi keenam tujuan audit sebagaimana dikemukakan oleh Elder, Beasley, dan Arens tersebut, baik untuk membandingkan lebih dari satu fail ataupun lebih dari satu lembar kerja (worksheet). Audit atas Isi Fail dan Database Apabila dalam audit konvensional auditor dapat langsung memeriksa bukti-bukti yang secara fisik dapat dilihat karena jelasnya jejak audit, dalam audit pengolahan data elektronik, tidak selamanya auditor dapat memperoleh bukti fisik atas isi dari fail dan 10

11 databse yang harus diauditnya. Karena itu audit atas isi fail dan database, baik untuk tujuan pengujian pengendalian maupun untuk tujuan pengujian substansif, dapat dilakukan oleh auditor dengan menggunakan tiga alternatif, yaitu (1) tidak memerlukan fail data (nonprocessing of file data), (2) dengan mengolah atau menggunakan data yang sebenarnya (processing of actual file data), atau (3) dengan menggunakan data simulasi (processing of simulated file data). Uraian mengenai ketiga alternatif tersebut tampak pada subbagian-subbagian berikut ini. Tanpa Memeriksa Fail Data Dalam pengujian pengendalian, alternatif ini dapat digunakan apabila fail-fail tersebut disimpan di dalam media penyimpanan yang memungkinkan bagi auditor untuk memeriksa secara visual. Sebagai contoh, apabila manajemen untuk menggunakan pengendalian akses dalam bentuk kata sandi dengan tujuan agar pemilik kata sandi saja yang dapat mengakses fail, database, dan atau field tertentu saja dari database tersebut, maka auditor dapat mengujinya dengan misalnya memasukkan kata sandi yang salah. Apabila tidak berhasil maka hal ini menunjukkan beroperasinya kata sandi tersebut. Selain itu, auditor setelah meminta ijin dari auditan untuk memperoleh kata sandi yang benar, maka dengan menggunakan kata sandi yang benar tersebut auditor dapat pula menguji untuk membaca, menambahkan data baru, mengubah data dan menghapus data untuk mengetahui apakah seluruh bagian dapat melakukan hal yang demikian ataukah hanya personil-personil tertentu yang dapat melakukannya. Artinya, apabila auditor meminta ijin untuk hanya membaca data saja, maka dengan ijin tersebut auditor mencoba untuk mengubah data atau melakukan hal lainnya yang hanya tidak membaca data saja. Demikian pula dengan pekerjaan-pekerjaan lainnya sebagaimana disebutkan sebelumnya seperti membaca dan menambahkan data baru, membaca dan mengubah data, serta membaca dan menghapus data. Apabila tidak berhasil maka auditor dapat menyimpulkan bahwa hanya personil-personil tertentu saja yang dapat melakukan pekerjaan-pekerjaan tertentu tersebut sesuai dengan yang dikehendaki oleh manajemen dimana hal ini berarti pengendalian atas akses yang diujinya tersebut sudah berjalan sbagaimana mestinya. Sementara itu dalam pengujian substansif auditor dapat menggunakan alternatif pertama ini dengan cara memeriksa hasil cetakan fail-fail tersebut. Hal ini bisa dilakukan apabila masih memungkinkan untuk mencetak fail-fail dan database tersebut, dalam arti cetakannya masih dapat dikategorikan sebagai wajar atau tidak 11

12 terlalu banyak. Apabila jumlah cetakannya terlalu banyak atau tidak wajar, maka alternaif ini menjadi tidak layak atau tidak feasible atau dapat dikatakan sebagai datanya tidak dapat dicetak. Dengan semakin kompleksnya bisnis auditan serta pesatnya perkembangan teknologi yang sedemikian besar mempengaruhi proses pengolahan data auditan, alternatif untuk tidak memeriksa fail data ini bisa meningkatkan risiko audit akibat, antara lain, auditor tidak memahami proses bisnis yang sebenarnya (risiko bawaan) ataupun salah memilih prosedur (risiko deteksi). Meskipun demikian, alternatif ini sering digunakan oleh auditor karena biayanya yang relatif murah, tidak memerlukan waktu sebanyak kedua alternatif lainnya, serta mudahnya memahami konsep-konsep alternatif ini. Sementara itu auditor dapat memutuskan untuk tidak menggunakan alternatif ini terutama apabila jumlah cetakannya sangat banyak sehingga tidak lagi feasible, di samping karena beberapa alasan sebagai berikut : 1. Apabila tidak ada atau tidak berfungsinya pengendalian di semua kondisi operasi. 2. Apabila tidak ada kepastian bahwa pengendalian-pengendalian atau fail-fail yang diuji memang benar-benar ada dan bukan salinan yang palsu yang sengaja diberikan kepada auditor agar dianggap digunakan oleh organisasi yang bersangkutan. 3. Sulitnya memahami beberapa teknik pengendalian akses fail yang sifatnya rumit.. Apbila auditor tidak yakin apakah hasil cetakan tersebut berasal dari fail-fail yang sebenarnya ada. Menggunakan Data yang Sebenarnya Sebagaimana dalam alternatif pertama, alternatif kedua ini juga digunakan oleh auditor untuk melakukan pengujian pengendalian dan pengujian substansif. Dalam pengujian pengendalian, penggunaan data yang sebenar-benarnya dapat memberikan informasi kepada auditor mengenai efektivitas pengendalian yang tampak dalam fail-fail produksi seperti otorisasi yang memadai, klasifikasi akun yang sesuai, periode pencatatan yang beroperasi secara efektif, dan sebagainya. Hal yang perlu diperhatikan oleh auditor apabila ingin menggunakan cara ini adalah bahwa auditor sebaiknya bekerja dengan kopy dari fail, akan tetapi apabila memungkinkan karena metode pengolahan data auditan adalah secara on-line, maka setelah auditor selesai dengan pekerjaannya maka ia harus menghapus semua data dummy yang dimasukkannya ke dalam sistem (kecuali data real 12

13 yang memang harus dibukukan ke dalam sistem yang ingin dibuktikan kebenarannya), karena hal tersebut akan merusak integritas dan kebenaran data auditan. Sementara itu dalam pengujian substansif auditor dapat menggunakan beberapa cara sebagai berikut : 1. Dengan menggunakan program utilitas (utility program). Yang dimaksud dengan program utilitas yaitu program yang digunakan oleh entitas untuk melaksanakan fungsi pengolahan umum seperti penyortasian, pembuatan, dan pencetakan file. Program ini umumnya dirancang untuk tujuan audit dan, oleh karena itu, mungkin tidak memiliki kemampuan seperti pehitungan record secara otomatis (automatic record count) atau total kontrol (control totals). Program utilitas ini dapat digunakan, misalnya, dalam mengaudit fail persediaan yang menggunakan sistem terus-menerus (perpetual). 2. Dengan menggunakan program yang dibuat dengan tujuan khusus (custom designed program atau purpose-written program). Program yang dibuat dengan tujuan khusus maksudnya adalah program yang dirancang untuk melaksanakan tugas audit dalam keadaan khusus. Program ini dapat disiapkan oleh auditor, oleh entitas, atau oleh pemrogram luar yang ditugasi oleh auditor. Teknik-teknik audit berbantuan komputer selain yang dikategorikan sebagai program pemeriksaan umum pada dasarnya dapat dikategorikan sebagai program yang dibuat dengan tujuan khusus. 3. Dengan menggunakan program pemeriksaan umum (generalized audit software atau GAS) Yang dimaksud dengan program pemeriksaan umum adalah program yang dirancang untuk melaksanakan fungsi-fungsi pengolahan data tertentu yang berkaitan dengan pekerjaan audit seperti memilih sampel secara statistik, menganalisis transaksi-transaksi tertentu serta menguji apakah ada akun yang melebihi batas kredit maksimal dan seagainya. Di samping itu, auditor juga merekonstruksi laporan keuangan dengan cara menggabung-gabungkan jumlah masing-masing akun yang ada dalam bagan perkiraan (chart of accounts) menjadi satu kesatuan yang lain. Program pemeriksaan umum seperti ACL dapat melaksanakan banyak pekerjaan audit karena program ini mempunyai beberapa fitur. Sementara itu program spreadsheet seperti Microsoft Excel dapat juga digunakan untuk melakukan pekerjaan-pekerjaan audit tersebut kecuali melakukan pekerjaan sampling dengan metode tertentu sepeti metode satuan mata uang (monetary unit sampling) karena memang desain Microsoft Excel bukanlah khusus untuk audit melainkan fungsi umum spreadsheet yang dimanfaatkan oleh auditor untuk membantu melaksanakan sebagian pekerjaan audit. 13

14 Alternatif penggunaan data yang sebenarnya (alternatif kedua) ini sering digunakan oleh auditor karena alasan-alasan sebagai berikut : 1. Bukti-bukti yang dikumpulkan didasarkan pada kondisi operasi yang sebenarnya. 2. Auditor dapat menggunakan data yang telah ada karena telah dibuat oleh auditan sehingga tidak perlu lagi menciptakan data semacam itu. Akan tetapi auditor mungkin juga memutuskan untuk tidak menggunakan alternatif kedua ini karena alasan-alasan sebagai berikut : 1. Aktivitas bisnis satuan usaha yang diaudit mungkin jadi terganggu karena failfailnya harus ditempatkan di tempat yang dikendalikan oleh auditor agar dapat diketahui integrasinya. Dalam sistem on-line hal ini akan sangat terasa, terlebih apabila auditan menggunakan file locking untuk membatasi akses. 2. Fail data yang dianalisis mungkin tidak mencakup semua pengendalian yang diinginkan audior. 3. Auditor mungkin tidak dapat menentukan apakah fail yang diuji tersebut merupakan fail yang benar-benar digunakan dalam pengolahan data auditan. Hal ini mungkin disebabkan karena auditor mendapatkan kopy fail dari auditan sehingga auditor tidak mengetahui bagaimana proses pengkopy-an fail tersebut.. Auditor harus benar-benar memahami operasi pengolahan data auditan sehingga pengujian-pengujian dapat dilakukan atau dipantau sebagaimana mestinya. 5. Auditor mungkin ingin mengetahui mengenai fail yang rusak secara tidak sengaja. Menggunakan Data Simulasi Alternatif ketiga, pengujian dengan menggunakan data simulasi, dimaksudkan untuk mengetahui efektifitas operasional pengendalian-pengendalian dari bukti-bukti yang ada di dalam data simulasi, di samping untuk memperoleh bukti mengenai keakuratan lojik pemrosesan program yang bersangkutan. Tujuan dari pengujian dengan data simulasi adalah seperti tujuan dalam alternatif kedua. Hal ini disebabkan karena efektivitas beberapa pengendalian yang terprogram dapat diketahui baik dengan menguji programnya ataupun failnya. 1

15 Alasan penggunaan alternatif ini biasanya adalah karena auditor dapat mengurangi jumlah rekord yang harus diproses, di samping auditor dapat menguji setiap jenis pengendalian yang menarik minatnya. Sementara itu alasan auditor tidak dapat menggunakan alternatif ini adalah karena kesulitan auditor untuk menciptakan fail-fail pengujian yang diperlukan. Selain itu, hanya kondisi-kondisi yang diketahui keberadaannya saja yang dapat diuji. Teknik-teknik yang dapat dilakukan oleh auditor dalam alternatif ketiga ini antara lain adalah dengan menggunakan metode integrated test facility (ITF). DAFTAR PUSTAKA: Anies Said. M. Basalamah, STAN, Dengan Standar IAI, Penerbit Usaha Kami, Depok, Edisi Kelima, Sanyoto Gondodiyoto, Audit Sistem Informasi + Pendekatan CobiT, Penerbit Mitra Wacana Media, Jakarta, Edisi Revisi,