BAB II KAJIAN PUSTAKA, KERANGKA PEMIKIRAN DAN HIPOTESIS

BAB II KAJIAN PUSTAKA, KERANGKA PEMIKIRAN DAN HIPOTESIS

2.1

Kajian Pustaka Teori yang akan dikaji pada Bab II ini adalah teori yang berkaitan dengan

auditing, diantaranya tentang kompetensi auditor eksternal, due professional care auditor eksternal, kantor akuntan publik, teknologi informasi, audit teknologi informasi. 2.1.1

Pengertian Akuntansi Menurut Ely dan Dewi (2009:2) yang dimaksud dengan akuntansi adalah: “Akuntansi adalah proses mengenali, mengukur, dan mengkomunikasikan informasi ekonomi untuk memperoleh pertimbangan dan keputusan yang tepat oleh pemakai informasi yang bersangkutan.”

17

18

Menurut Arens, et al. (2014:6) yang dimaksud dengan akuntansi adalah: “Accounting is the recording, clasisifying, and summarizing of economic events in a logical manager for the purpose of providing financial information for decision making.” Sedangkan menurut Bodnar dan Hopwood (2014:1) yang dimaksud akuntansi dalam lingkungan teknologi informasi adalah: “Accounting Information System (AIS) is a collection of resource, such as people and equipment, designed to transform financial and other data into information. This is information is communicated to a wide variety for decision makers. Accounting information system perform this transformation whether they are essentially manual systems or thoroughy computerized.” Masih menurut Arens, et al. (2014:6) menyatakan tentang keahlian yang harus dimiliki oleh akuntan sebagai berikut: “Accountants must have a through understanding of the principles and rules that provide the basis for preparing the accounting information. In addition, accountants must develop a system to make sure that the entity’s economic events are properly recorded on a timely basis and at a reasonable cost.” Dari pengertian akuntansi diatas dapat diketahui bahwa akuntansi merupakan kegiatan pencatatan, pengklasifikasian, dan pengikhtisiaran dari peristiwa ekonomi yang terjadi pada suatu entitas.

19

2.1.2

Auditing Auditing merupakan kegiatan pemeriksaan dan pengujian suatu pernyataan,

pelaksanaan dari kegiatan yang dilakukan oleh pihak independen guna memberikan suatu pendapat. Pihak yang melaksanakan auditing disebut dengan auditor. Pengertian auditing semakin berkembang sesuai dengan kebutuhan yang meningkat akan hasil pelaksanaan auditing. Auditing Menurut Arens, et al. (2014:4) adalah sebagai berikut : “Auditing is the accumulation and evaluation of evidence about information to determine and report on the degree of correspondence between the information and established criteria. Auditing should be done by a competent independent person.” Menurut Agoes (2012:3), dalam “Auditing (Audit Akuntan Oleh Kantor Akuntan Publik)” pengertian auditing adalah sebagai berikut: “Auditing adalah suatu audit yang dilakukan secara kritis dan sistematis oleh pihak yang indpependen, terhadap laporan keuangan yang telah disusun oleh manajemen, beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat memberikan pendapat mengenai kewajaran laporan keuangan tersebut”. Sedangkan menurut Timothy J. Louwers, et al. (2013:4) mendefinisikan auditing adalah: “Auditing is a systematic process of objectively obtaining and evaluating evidence regarding assertions about economic actions and events to ascertain the degree of correspondence between the assertions and established criteria and communicating the results to interested users.”

20

Pengertian lain mengenai Auditing dijelaskan oleh Halim (2015:1), yang menyatakan bahwa yang dimaksud dengan Auditing adalah: “Suatu proses sistematis untuk menghimpun dan mengevaluasi bukti-bukti secara objektif mengenai asersi-asersi tentang berbagai tindakan dan kejadian ekonomi untuk menentukan tingkat kesesuaian antara asersi-asersi tersebut dengan kriteria yang telah ditentukan dan menyampaikan hasilnya kepada pemakai yang berkepentingan.” Menurut Sukrisno Agoes dan Jan Hoesada (2012:45) menjelaskan bahwa ada beberapa karakteristik dalam hal auditing, seperti: 1. 2. 3. 4. 5.

“Informasi yang dapat diukur dan kriteria yang telah ditetapkan. Entitas ekonomi. Aktivitas mengumpulkan dan mengevaluasi bahan bukti. Independen dan kompetensi auditor pelaksana. Pelaporan audit.”

Berdasarkan definisi auditing diatas dapat disimpulkan beberapa hal penting terkait dengan auditing, dimana yang diaudit atau diperiksa adalah laporan keuangan yang telah disusun oleh manajemen beserta catatan-catatan pembukuannya. Pemeriksaan dilakukan secara kritis dan sistematis untuk memperoleh serta mengevaluasi bukti secara objektif mengenai asersi-asersi kegiatan dan peristiwa ekonomi. Pemeriksaan dilakukan oleh pihak yang berkompeten dan independen yaitu akuntan publik. Hasil dari pemeriksaan tersebut dapat memberikan pendapat mengenai kewajaran laporan keuangan

yang diperiksa agar dapat

informasi yang dapat dimanfaatkan oleh para pemakai laporan keuangan.

memberikan

21

2.1.2.1

Jenis-jenis Auditing Menurut Agoes (2012:4), dalam “Auditing (Petunjuk Praktis Pemeriksaan

Akuntan oleh Akuntan Publik)” jenis audit dapat ditinjau dari luasnya pemeriksaan dan jenis pemeriksaannya. Maka dari pernyataan tersebut dapat diuraikan sebagai berikut: 1. “Jenis Audit Ditinjau dari Luasnya Pemeriksaan: a. Pemeriksaan Umum (General Audit) Suatu pemeriksaan umum atas laporan keuangan yang dilakukan oleh KAP independen dengan tujuan untuk bisa memberikan pendapat mengenai kewajaran laporan keuangan secara keseluruhan. Pemeriksaan tersebut harus dilakukan sesuai dengan Standar Profesional Akuntan Publik atau ISA atau Panduan Audit Entitas Bisnis Kecil dan memperhatikan Kode Etik Akuntan Indonesia, Kode Etik Profesi Akuntan Publik serta Standar Pengendalian Mutu. a. Pemeriksaan Khusus (Special Audit) Suatu pemeriksaan terbatas (sesuai dengan permintaan auditee) yang dilakukan oleh KAP yang independen, dan pada akhir pemeriksaannya auditor tidak perlu memberikan pendapat terhadap kewajaran laporan keuangan secara keseluruhan. Pendapat yang diberikan terbatas pada pos atau masalah tertentu yang diperiksa, karena prosedur audit yang dilakukan juga terbatas. 2. Jenis Audit Ditinjau dari Jenis Pemeriksaan: a. Manajemen Audit (Operational Audit) Suatu pemeriksaan terhadap kegiatan operasi suatu perusahaan, termasuk kebijakan akuntansi dan kebijakan operasional yang telah ditentukan oleh manajemen, untuk mengetahui apakah kegiatan operasi tersebut sudah dilakukan secara efektif, efisien dan ekonomis. b. Pemeriksaan Ketaatan (Compliance Audit) Pemeriksaan yang dilakukan untuk mengetahui apakah perusahaan sudah menaati peraturan-peraturan dan kebijakan-kebijakan yang berlaku, baik yang ditetapkan oleh pihak intern perusahaan (manajemen, dewan komisaris) maupun pihak eksternal (Pemerintah, Bapepam LK, Bank Indonesia, Direktorat Jenderal Pajak, dan lainlain). Pemeriksaan bisa dilakukan baik oleh KAP maupun Bagian Internal Audit.

22

c. Pemeriksaan Intern (Internal Audit) Pemeriksaan yang dilakukan oleh bagian internal audit perusahaan, baik terhadap laporan keuangan dan catatan akuntansi perusahaan, maupun ketaatan terhadap kebijakan manajemen yang telah ditentukan d. Computer Audit Pemeriksaan oleh KAP terhadap perusahaan yang memproses data akuntansinya dengan menggunakan Electronic Data Processing (EDP) System. 2.1.2.2

Jenis-Jenis Auditor Menurut Arens, et al. (2014:15) jenis-jenis auditor yang umum terbagi ke

dalam empat jenis, yaitu: 1. “Certified Public Accounting Firm Certified public accounting firms are for auditing the published historical financial statements of all publicly traded companies, most other reasonably large companies, and many smaller companies and noncommercial. 2. Government accountability office auditors A government accountability office auditors is an auditor working for the U.S Government Accountability Office (GAO), a nonpartisan agency in the legislative branch of the federal government. Headed by the controller general, the GAO reports to and is responsible solely to congress. The GAO’s primary responsibility is to perform the audit function for congress, and it has many of the same audit responsibilities as a CPA firm. 3. Internal Revenue Agents The IRS, under the direction of the commissioner of internal revenue, is responsible for enforcing the federal tax laws as they have been defined by congress and interepted by the courts. A mayor responsibility of the IRS is to audit taxpayers’ returns to determined whether they have complied with the tax laws. 4. Internal Auditor Internal auditor are employed by the all types of organizations to audit for management, much as the GAO does for congress. Internal auditor’s responsibilities vary considerably, depending on the employer. Some internal audit staffs consist of only one or two employess doing routine compliance auditing. Other internal audit staffs may have more than 100 employess who have diverse responsibilities, including many outside the accounting area. Many internal auditors are involved in operational auditing or have expertise in evaluating computer system.”

23

2.1.3

Kantor Akuntan Publik (KAP) Menurut Undang-undang No.5 Tahun 2011 tentang Akuntan Publik,

Kantor Akuntan Publik (KAP) adalah badan usaha yang didirikan berdasarkan ketentuan peraturan perundang-undangan dan mendapatkan mendapatkan izin usaha berdasarkan undang-undang ini. Menurut Pasal 18 Undang-undang No.5 tahun 2011 tentang Kantor Akuntan Publik (KAP) akan diberikan apabila pemohonan memenuhi persyaratan sebagai berikut: 1.

Izin KAP diberikan oleh Menteri

2.

Syarat mendapatkan izin usaha sebagaimana dimaksud pada ayat (1) adalah sebagai berikut: a.

Mempunyai kantor atau tempat untuk menjalankan usaha yang berdomisili di wilayah Negara Kesatuan Republik Indonesia;

b.

Memiliki Nomor Pokok Wajib Pajak Badan untuk KAP yang berbentuk usaha persekutuan perdata dan firma atau Nomor Pokok Wajib Pajak Pribadi untuk KAP yang berbentuk usaha perseorangan;

c.

Mempunyai paling sedikit 2 (dua) orang tenaga kerja profesional pemeriksa di bidang akuntansi;

d.

Memiliki rancangan sistem pengendalian mutu;

e.

Membuat surat pernyataan dengan bermaterai cukup bagi bentuk usaha perseorangan dengan mencantumkan paling sedikit;

24

1) Alamat akuntan publik; 2) Nama dan domisili kantor;dan 3) Maksud dan tujuan pendirian kantor; f. Memiliki akta pendirian yang dibuat oleh dan dihadapkan notaris bagi bentuk usaha sebagaimana dimaksud dengan Pasal 12 ayat (1) huruf b, huruf c, atau huruf d, yang paling sedikit mencantumkan: 1)

Nama rekan;

2)

Alamat rekan;

3)

Bentuk usaha;

4)

Nama dan domisili usaha;

5)

Maksud dan tujuan pendirian kantor;

6)

Hak dan kewajiban sebagai rekan; dan

7) Penyelesaian sengketa dalam hal terjadi perselisihan diantara rekan. 3.

Ketentuan lebih lanjut mengenai persyaratan dan tata cara perizinan dimaksud pada ayat (2) diatur dalam peraturan menteri.

Untuk menjalani profesi akuntan publik harus memiliki register akuntan yang dikeluarkan oleh Departemen Keuangan RI. Menurut Peraturan Menteri Keuangan Nomor 25/PMK.01/.2014 tentang Akuntan Beregister Negara. Dalam pasal 1 aturan tersebut menjelaskan bahwa akuntan adalah seseorang yang telah terdaftar pada register Negara akuntan yang diselenggarakan oleh Menteri. Register Negara akuntan adalah suatu daftar yang memuat nomor dan nama orang yang berhak

25

menyandang gelar akuntan sesuai dengan peraturan Menteri (Halim, 2015:15). Nomor register akuntan diperoleh dengan persyaratan sebagai berikut: a. Lulus pendidikan profesi akuntansi atau lulus ujian sertifikasi akuntan profesional; b. Berpengalaman di bidang akuntansi; dan c. Sebagai anggota Asosiasi Profesi Akuntan. 2.1.3.1

Hierarki Kantor Akuntan Publik Auditor independen atau auditor eksternal melaksanakan kegiatannya

dibawah suatu kantor akuntan publik. Menurut Halim (2015:17-18), hierarki staff organisasi kantor akuntan publik pada umumnya adalah sebagai berikut: “Partner, merupakan top legal client relantionship yang bertugas mereview pekerjaan audit, menandatangani laporan audit, menyetujui masalah fee dan penagihannya, dan penanggungjawab atas segala hal yang berkaitan dengan pekerjaan audit. 2. Manager, merupakan staf yang banyak berhubungan dengan klien, mengawasi langsung pelaksanaan tugas-tugas audit, mer-review lebih rinci terhadap pekerjaan audit, dan melakukan penagihan atas fee. 3. Akuntan senior, merupakan staf yang bertanggungjawab langsung terhadap perencanaan dan pelaksanaan pekerjaan audit, dan me-review pekerjaan para akuntan yunior yang dibawahinya. 4. Akuntan yunior, merupakan staf pelaksana langsung dan bertanggungjawab atas pekerjaan lapangan. Para yunior ini penugasannya dapat berupa bagian-bagian dari pekerjaan audit, dan bahkan bila memungkinkan memberikan pendapat atas bagian yang diperiksa.” 1.

26

2.1.3.2 Jasa Assurance yang Diberikan Kantor Akuntan Publik Menurut Hall dan Singleton (2007:7), yang dimaksud dengan jasa assurance adalah: “Jasa

assurance

adalah

layanan

profesional

yang

didesain

untuk

meningkatkan kualitas informasi, secara keuangan dan non keuangan yang digunakan oleh para pengambil keputusan.” Menurut Arens et al (2014:8), yang dimaksud dengan jasa assurance ialah: “Assurance service is an independen professional service that improves the quality of information for decision maker. Such services are valued because the assurance provider is independen and perceived as being unbiased with respect to the information examined.” Sedangkan menurut Timothy J.Louwers, et al. (2013:8), yang dimaksud dengan jasa assurance adalah: “ Assurance service as independen professional services that improve the quality of information, or its context for decision makers.” Dari seluruh pengertian tersebut kita dapat mengetahui bahwa jasa assurance sangat erat kaitannya dengan peningkatan informasi bagi para pengambil keputusan, dan dapat dilakukan oleh akuntan publik atau oleh berbagai profesional lainnya. Oleh karena itu kantor akuntan publik selain memberikan jasa audit laporan keuangan, kantor akuntan publik juga dapat memberikan jasa assurance dan non assurance kepada para pemakai jasa penyedia.

27

2.1.3.3 Jasa Atestasi yang Diberikan Kantor Akuntan Publik Menurut Arens, et al. (2014:9), Attestation service is a type of assurance in which the CPA firm issues a report about the realibility of an assertion that is made by another party. Masih menurut Arens, et al. (2014:11-18) jasa atestasi itu dibagi menjadi lima kategori: 1.

2.

3.

4.

“Audit of Historical Financial Statements. In audit of historical financial statement, management asserts that the statements are fairly stated in accordance with apllicable U.S or international accounting standards. An audit of these statements is a form of attestation service in which the auditor issues a written report expressing an opinion about whether the financial statements are fairly stated in accordance with the applicable accounting standards. Audit of Internal Control over Financial Reporting. For an audit of internal control control over financial reporting, assert that internal controls have been developed and implemented following well established criteria. The act also requires auditors to attest to the effectiviness of internal control over financial reporting. Review of Historical Financial Statements For a review of historical financial statements, management assert that the statements are fairly stated in accordance with accounting standards, the same as for audit. A review is often adequate to meet financial statement user’s needs. Attestation Services on Information Technology For attestations on information technology, management makes various assertions about reliability and security of electronic information. Many business functions, such as ordering and making payment, are conducted over the internet or directly between computers using electronic data interchange (EDI). As transactions and information are shared online and in realtime, businesspeople demand even greater assurances about information, transaction, and the security protecting them. WebTrust and SysTrust are examples of attestation services developed to address these assurances needs. WebTrust services. The AICPA and the Canadian Institute of Chartered Accountants (CICA) jointly created the WebTrust attestation services. CPA firms that are licensed by the AICPA to perform this services provide assurances to users of website through the CPA‟s electronic Webtrust seal displayed on the

28

5.

website. This seal assures the user that the website owner has meet established criteria related to business practice, transaction integrity, and information processes. SysTrust services. The AICPA and CICA jointly created the SysTrust attestation service to evaluate and test system reliability in areas such as security and data integrity. Whereas the WebTrust assurances service is primarily designed to provide assurance to third party users of a website, SysTrust service might be done by CPA‟s to provide assurance to management the board of director, or third parties about the realibility of information systems used to generated real-time information. Other Attestation Services CPA‟s provide numerous other attestation services. Many of these service are natural extensions of the audit of historical financial statements, as users seek independent assurances about other types information. In each case, the organization being audited must provide an assertion before the CPA can provide the attestation. Example other attestation services is controls over and risks related to investments including policies related to derivaties, mystery shopping, assess risks of accumulation, distribution, and storage of digital information, fraud and illegal acts risks assessment, compliance with trading policies and procedures, compliance with entertainment royalty agreements, ISO 9000 certifications, corporate responsibility and suitainability.”

Menurut Hall dan Singleton (2007:7) yang dimaksud dengan jasa atestasi adalah: “Atestasi adalah perjanjian di mana seorang praktisi yang dikontrak untuk mengeluarkan sebuah komunikasi tertulis yang menyatakan suatu kesimpulan mengenai keandalan sebuah penilaian tertulis yang merupakan tanggung jawab pihak lainnya.” Sedangkan menurut Halim (2015:20) yang dimaksud dengan jasa atestasi adalah: “Jasa atestasi adalah suatu pernyataan pendapat atau pertimbangan seseorang yang independen dan kompeten mengenai kesesuaian, dalam segala hal yang signifikan, asersi suatu entitas dengan kriteria yang telah ditetapkan. Ada 4 jenis jasa atestasi yang dapat diberikan oleh suatu kantor akuntan publik, yaitu: audit, pemeriksaan (examination), penelaahan (review) dan prosedur yang disepakati bersama (agreed-upon procedures).”

29

Selain itu menurut Halim (2015:21) ada 3 jenis jasa non atestasi yang dapat diberikan oleh kantor akuntan publik, berikut jasa non atestasi yang bisa diberikan oleh kantor akuntan publik: “Jasa Akuntansi Jasa akuntansi dapat diberikan melalui aktivitas pencatatan, penjurnalan, posting, jurnal penyesuaian dan penyusunan laporan keuangan klien (jasa kompilasi) serta perancangan sistem akuntansi klien. Jasa Perpajakan Jasa perpajakan meliputi pengisian surat laporan pajak, dan perencanaan pajak. Selain itu dapat bertindak juga sebagai penasehat dalam masalah perpajakan dan melakukan pembelaan bila perusahaan yang menerima jasa sedang mengalami permasalahan dengan Kantor Pajak. Jasa Konsultasi Manajemen Jasa konsultasi manajemen atau management advisory services (MAS) merupakan fungsi pemberian konsultasi dengan memberikan saran dan bantuan teknis kepada klien untuk peningkatan penggunaan kemampuan dan sumber daya untuk mencapai tujuan perusahaan klien.” Dari beberapa pengertian diatas dapat dipahami bahwa yang dimaksud dengan jasa atestasi adalah jasa yang dapat diberikan oleh kantor akuntan publik kepada klien (auditee) untuk menilai keandalan, kesesuaian asersi klien (auditee). Selain itu kantor akuntan publik juga dapat memberikan jasa non atestasi/jasa atestasi lain kepada klien (auditee), yaitu jasa akuntansi, jasa perpajakan, dan jasa konsultasi manajemen.

30

2.1.4

Kompetensi Auditor Eksternal

2.1.4.1 Pengertian Kompetensi Menurut standar umum pertama (SA seksi 210 dalam SPAP 2011) menyebutkan bahwa audit harus dilaksanakan oleh seorang atau lebih yang memiliki keahlian dan pelatihan teknis yang cukup, sebagai auditor kompetensi berkaitan dengan keahlian profesional yang dimiliki oleh auditor sebagai hasil dari pendidikan formal, ujian profesional maupun keikutsertaan dalam pelatihan, seminar, simposium. Pengertian mengenai kompetensi tersebut hampir sama dengan pernyataan Tuanakotta, Theodorus M (2011:64) yang menyatakan bahwa Kompetensi merupakan keahlian seorang auditor yang diperoleh dari pengetahuan, pengalaman, dan pelatihan. Menurut general standards yang dikeluarkan oleh AICPA dalam Arens, et al. (2014:34), dijelaskan bahwa seorang auditor harus memiliki kompetensi didalam memberikan jasa auditnya, berikut general standards menurut AICPA yang berkaitan dengan Adequate Technical Training and Proficiency: “The first general standard is normally interpreted as requiring the auditor to have the formal education in auditing and accounting, adequate practical experience for the work being performed, and continuing professional education. Recent court cases clearly demonstrate that auditors must be technically qualified and experience in those industries in which their audit clients are engaged.”

31

Sedangkan menurut Timothy J. Louwers, et al. (2013:43), menyatakan bahwa kompetensi adalah: “Competence begin with education in accounting because auditors hold themselves out as experts in accounting standards, financial reporting, and auditing. In addition to university-level education prior to beginning their careers, auditors are also required to participate in countinuing professional education throughout their careers to ensure that their knowledge keeps pace with changes in accounting and auditing professional. In fact one of the important requirements for maintaining a CPA license is sufficient continuing professional education, and another important is a dimension of experience.” Dari berbagai definisi dan penjelasan mengenai kompetensi, dapat kita pahami bahwa seorang auditor didalam memberikan jasa auditnya harus dibekali dengan kompetensi yang cukup. Kompetensi tersebut dapat diperoleh dari pendidikan formal audit dan akuntansi, pendidikan berkelanjutan profesi audit, pelatihan maupun seminar serta pengalaman audit yang telah dilakukan oleh auditor. 2.1.4.2 Elemen-elemen Kompetensi Auditor Menurut Timothy J. Louwers, et al. (2013:43) elemen dalam pembentukan kompetensi seorang auditor adalah sebagai berikut: 1. “Education education in accounting because auditors hold themselves out as experts in accounting standards, financial reporting, and auditing. In addition to university-level education prior to beginning their careers. 2. Continuing Professional Education auditors are also required to participate in countinuing professional education throughout their careers to ensure that their knowledge keeps pace with changes in accounting and auditing professional. 3. Experience Another important dimension is experience, which is gained with handson practice and on-the-job training. An important component of this experience is the ability to develop and apply professional judgement in real-world audit situation. These situation include various judgement related to gathering evidence related to to the fairness of an entity’s

32

financial statement and evaluating whether that evidence indicates that the financial statements are prepared accounting principles.”

2.1.4.3 Kompetensi Auditor Teknologi Informasi Dalam hal audit berbasis teknologi informasi yang menggunakan komputer dan jaringan internet, memerlukan kompetensi yang berbeda dibandingkan dengan audit yang biasa diberikan oleh seorang auditor. Menurut Agoes dan Hoesada (2012:48-49), bahwa kompetensi minimum yang harus dimiliki oleh auditor dilingkungan teknologi informasi ialah sebagai berikut: “Pengetahuan dasar-dasar komputer dan fungsi komputer secara umum. Pengetahuan dasar tentang sistem operasi dan perangkat lunak. Pemahaman tentang pengolahan file dan struktur data. Kemampuan bekerja dengan perangkat audit. Kemampuan mer-review sistem dokumentasi. Pengetahuan dasar tentang pengendalian internal Sistem Informasi Komputer (SIK). 7. Pengetahuan memadai dalam pengembangan rencana audit dan supervisi pelaksanaan audit dalam lingkungan SIK (IAI 2001:335.3). 8. Pemahaman dinamika perkembangan perubahan sistem dan program dalam suatu entitas.” 1. 2. 3. 4. 5. 6.

Menurut SPAP SA seksi 331 paragraf 07 dan SPAP SA seksi 335 paragraf 03 dan paragraph 04 (2011) tentang keahlian dan kompetensi audit berbasis teknologi dijelaskan bahwa kompetensi dan keahlian yang harus dimiliki oleh seorang auditor yang memberikan jasa audit teknologi informasi ialah sebagai berikut: Menurut SPAP SA seksi 331 Paragraf 07 (2011) “Auditor harus memperoleh pengetahuan mengenai hal-hal yang berkaitan dengan sifat bisnis satuan usaha, organisasinya dan karakteristik operasinya. Hal tersebut mencangkup sebagai contoh tipe bisnis, tipe produk dan jasa, struktur modal, pihak yang mempunyai hubungan istimewa, lokasi dan

33

metode produksi, distribusi dan kompensasinya. Auditor juga harus mempertimbangkan hal-hal yang mempengaruhi industry tempat operasi satuan usaha seperti kondisi ekonomi, peraturan pemerintah serta perubahan teknologi, yang berpengaruh terhadap auditnya. Hal lain harus dipertimbangkan auditor adalah praktek akuntansi yang berlaku umum dalam industri, kondisi persaingan, dan jika tersedia, tren keuangan dan rasio keuangan.” Menurut SPAP SA seksi 335 Paragraf 03 (2011) “Bila melaksanakan audit dalam pengolahan data elektronik, auditor harus memiliki pemahaman memadai mengenai perangkat keras, perangkat lunak dan sistem pengolahan komputer untuk merencanakan penugasan dan ia harus memahami bagaimana dampak pengolahan komputer untuk merencanakan penugasan dan ia harus memahami bagaimana dampak pengolahan data elektronik terhadap prosedur yang digunakan oleh auditor dalam memperoleh pemahaman dan melakukan prosedur audit, termasuk prosedur audit, termasuk penggunaan teknik audit berbantu komputer (computer-assisted audit techniques).” Menurut SPAP SA seksi 335 Paragraf 04 (2011) “Auditor harus pula memiliki pengetahuan

pengolahan data elektronik

memadai untuk menetapkan prosedur audit, tergantung atas pendekatan audit yang digunakan (audit around computer and through computer).” Sedangkan menurut Halim (2015:316), kompetensi audit dilingkungan teknologi informasi adalah: “Pengetahuan dan kemampuan auditor yang diperlukan bergantung pada kompleksitas PDE dan tanggung jawab auditor yang diperlukan. Adapun pertimbangan yang harus auditor lakukan dalam audit teknologi informasi adalah: luas penggunaan komputer klien, kompleksitas operasi komputer klien, organisasi kegiatan pemprosesan komputer, ketersediaan data dalam hard copy dan computer-readable form dan penggunaan TABK (Teknik Audit Berbantuan Komputer) untuk meningkatkan efisiensi pelaksanaan prosedur auditing.”

34

Dari beberapa penjelasan diatas dapat dipahami bahwa auditor dilingkungan teknologi informasi harus memiliki kompetensi yang cukup baik terutama dalam pengetahuan mengenai perangkat keras, perangkat lunak dan sistem pengolahan komputer, kompleksitas operasi komputer yang digunakan oleh klien (auditee), serta dapat

menggunakan

TABK (Teknik

Audit

Berbantuan

Komputer)

dalam

melaksanakan auditnya.

2.1.5

Due Professional Care Menurut Agoes dan Hoesada (2012:22), bahwa yang dimaksud dengan due

professional care adalah: “Kemahiran professional harus digunakan secara cermat dan seksama umumnya, kewaspadaan bernuansa kecurigaan professional yang sehat (skeptisme) khususnya, lebih khusus lagi selalu mempertimbangkan kemungkinan pelanggaran dan kecurangan dalam pelaporan dan laporan keuangan untuk menyampaikan kesimpulan audit dengan keyakinan memadai sesuai kebenaran.” Menurut Arens, et al. (2014:35) yang dimaksud dengan due professional care adalah: “Due professional care it mean that auditor’s are professionals responsible for fulfilling their duties diligently and carefully. Due care include consideration of the completeness of the audit documentation, the sufficiency of the audit evidence, and the appropriateness of the audit report. As professionals, auditors must not act negligently or in bad faith, but they are not expected to be infallible.”

35

Dari pengertian diatas dapat dipahami bahwa due professional care berkaitan dengan ketekunan dan kehati-hatian yang harus dimiliki oleh seorang auditor, ketekunan dan kehati-hatian tersebut menyangkut dalam hal pertimbangan kelengkapan dokumentasi audit, kecukupan bukti audit dan kesesuaian laporan audit. Auditor diharapkan tidak melakukan kelalaian atau itikad buruk, tetapi mereka tidak dituntut untuk menjadi sempurna. Menurut Timothy J.Louwers, et al. (2013:45), menjelaskan bahwa yang dimaksud dengan due professional care adalah: “Due care reflects a level of performance that would be exercised by reasonable auditor’s in similar circumstances. This standard is often referred to as that of a prudent auditor, auditor are expected to possess the skills and knowledge of others in their profession but are not expected to be infallible. This aspect relates to the competence and capabilities of the auditor to perform the engagement and issue appropriate reports. One specific element of due care noted by the standards is the need for auditor’s to plan and perform the audit with an appropriate level of professional skepticism.” Dari pengertian mengenai due professional care yang diterangkan oleh Timothy J.Louwer, et al dapat kita pahami bahwa due professional care berkaitan dengan keterampilan dan pengetahuan seorang auditor didalam melakukan jasa audit/perikatan dan didalam mengeluarkan laporan hasil audit, salah satu hal yang harus dimiliki oleh seorang auditor terkait dengan due professional care adalah skeptisisme profesional.

36

Menurut Halim (2015:34), yang dimaksud dengan due professional care ialah: “Setiap anggota harus melaksanakan jasa profesionalnya dengan kehati-hatian , kompetensi, dan ketekunan, serta mempunyai kewajiban untuk mempertahankan pengetahuan dan keterampilan profesional pada tingkat yang diperlukan untuk memastikan bahwa klien atau pemberi kerja memperoleh manfaat dari jasa profesionalnya yang kompeten berdasarkan perkembangan praktik, legislasi, dan teknik yang paling muktahir.” Sedangkan menurut PSA No. 4 SPAP, kecermatan dan keseksamaan dalam penggunaan

kemahiran

profesional

menuntut

auditor

untuk

melaksanakan

skeptisisme profesional, yaitu suatu sikap auditor yang berpikir kritis terhadap bukti audit dengan selalu mempertanyakan dan melakukan evaluasi terhadap bukti audit tersebut. Dari seluruh pengertian diatas dapat disimpulkan bahwa due professional care adalah sikap cermat, ketekunan, kehati-hatian dan seksama yang harus dimiliki oleh seorang auditor didalam setiap pemberian jasa auditnya. Due professional care dianggap hal yang cukup penting karena dari 10 kelemahan audit di SEC Amerika Serikat 1987-1997, kegagalan menerapkan due professional care berada di posisi ke 2 (71 % kasus) dari 10 kelemahan audit SEC dan professional skepticism berada di posisi ke 3 (60 % kasus) dari 10 kelemahan audit SEC (Tuanakotta, 2013:215). Oleh karena itu Kecermatan dan kesaksamaan auditor yang jujur dituntut agar aktivitas audit dan perilaku profesional tidak berdampak merugikan orang lain, kepedulian akan kerusakan masyarakat akibat kekurangcermatan audit yang diseimbangkan dengan keperluan menghindari risiko audit itu sendiri (Agoes dan Hoesada, 2012:22).

37

Kecermatan profesional/due professional care memberi jaminan bahwa standar profesi minimum terpenuhi, menumbuhkan kejujuran profesional, kepedulian dampak sosial, dan pelaporan indikasi kecurangan secara serta-merta berdampak pada peningkatan nilai ekonomis jasa audit dan citra profesi audit (Agoes dan Hoesada, 2012:27). Due professional care merupakan hal yang penting yang harus diterapkan setiap auditor baik oleh akuntan publik maupun oleh seluruh auditor dalam melaksanakan pekerjaan profesionalnya agar dicapai kualitas audit yang memadai. Due

professional

care

menyangkut

dua

aspek,

yaitu

professional

skepticism/skeptisisme profesional dan reasonable assurance/keyakinan yang memadai (SAS No.1 AU section 230). 2.1.5.1 Professional Skepticism/Skeptisisme profesional Menurut Timothy J.Louwers, et al (2013:45), menjelaskan bahwa yang dimaksud dengan professional skepticism adalah: “Professional skepticism is a state of mind that characterized by appropriate questioning and a critical assessment of audit evidence. When exbiting professional skepticism, auditors do not assume that management is dishonest, nor they assume that management is unquestionably honest.” Dari pengertian diatas dapat dipahami bahwa yang dimaksud dengan professional skepticism/skeptisisme profesional adalah sikap selalu mempertanyakan dan kritis terhadap bukti audit ketika menjalankan proses audit, sikap skeptisisme profesional seorang auditor tidak boleh mengasumsikan bahwa manajemen perusahaan tidak jujur atau mengasumsikan bahwa manajemen perusahaan diragukan kejujurannya.

38

The International Federation of Accountannts (IFAC) defines professional skepticism in term of evidence assessment when it states that: “Skepticism means the auditor makes a critical assessment, with a questioning mind of the validity of audit evidence obtained and is alert to audit evidence that contradicts or brings into question the realibility of documents and response to inquiries and other information obtained from management and those charged with governance.” (ISA 200.16) Dari penjelasan diatas dapat dipahami bahwa dengan memiliki sikap skeptisisme berarti auditor membuat penilaian yang kritis dengan pikiran yang selalu bertanya mengenai validitas dari bukti audit yang telah diperoleh dan mewasdai setiap bukti yang menimbulkan kontradiksi atau ketidakjelasan realibilitas dokumen dan selalu menanyakan setiap informasi yang diperoleh dari manajemen dan pihak lain selaku penanggung jawab. Tuanakotta (2011:78), menjelaskan unsur-unsur dalam pengertian professional skepticism menurut IFAC adalah sebagai berikut: 1. “ A critical assessment (ada penilaian yang kritis, tidak menerima begitu saja). 2. With a questioning mind (dengan cara berpikir yang terus-menerus bertanya dan mempertanyakan). 3. Of the validity of audit evidence obtained (kesahihan dari bukti audit yang diperoleh). 4. Alert to audit evidence that contradicts (waspada terhadap bukti audit yang kontradiktif). 5. Brings into question the reliability of documents and responses to inquiries and other information (mempertanyakan keandalan dokumen dan jawaban atas pertanyaan serta informasi lain). 6. Obtained from management and those charge with governance ( yang diperoleh dari manajemen dan mereka yang berwenang dalam pengelolaan perusahaan).”

39

Sedangkan penjelasan yang berkaitan dengan professional skepticism menurut SAS No.1 (AU section 230) adalah sebagai berikut : “Due professional care requires the auditor to exercise professional skepticism. Professional skepticism is an attitude that include a questioning mind and a critical assessment of audit evidence. The auditor uses the knowledge, skill, and ability called for by the profession of public accounting to diligently perform, in good faith and with integrity, the gathering and objective evaluation of evidence.” Maksud dari penjelasan diatas adalah kemahiran profesional dengan cermat dan seksama menuntut auditor untuk melaksanakan skeptisisme profesional. Skeptisisme profesional adalah sikap yang mencakup pikiran yang selalu mempertanyakan dan melakukan evaluasi secara kritis bukti audit. Auditor menggunakan pengetahuan, keterampilan, dan kemampuan yang dituntut oleh profesi akuntan publik untuk melaksanakan dengan cermat dan seksama, dengan maksud baik dan integritas, pengumpulan dan penilaian bukti audit secara objektif. Oleh karena itu auditor dalam melaksanakan tugas audit harus menggunakan sikap skeptisisme professional (Abdul Halim, 2015:84). 2.1.5.2 Reasonable Assurance/Kepastian yang Memadai SAS No.104 (AU Section 230.10) menjelaskan mengenai reasonable assurance adalah: “When exercising due professional care, the auditor must plan and perform the audit to obtain sufficient appropriate audit evidence so that audit risk will be limited to a low level that is, in his or her professional judgment, appropriate for expressing an opinion on financial statements. The high, but not absolute, level of assurance that is intended to be obtained by the auditor is expressed in the auditor’s report as obtaining reasonable assurance about whether the financial statement are free of material misstatement (whether caused by error or fraud). Absolute assurance is not attainable because of the

40

nature of audit evidence and the characteristics of fraud. Therefore, an audit conducted in accordance with generally accepted auditing standards may not detected a material misstatement.” Dari standar diatas dapat dipahami bahwa ketika menjalankan kemahiran profesional dengan cermat dan seksama, auditor harus merencanakan dan melaksanaan audit untuk memperoleh bukti audit yang cukup tepat dengan begitu resiko audit dapat dikurangi sampai pada level yang paling rendah, menurut pertimbangan profesionalnya sesuai untuk menyatakan pendapat atas laporan keuangan. Tingkat kepastian yang tinggi namun tidak mutlak, tingkat kepastian yang dimaksudkan yang diperoleh oleh auditor diungkapkan dalam laporan auditor sebagai keyakinan yang memadai tentang apakah laporan keuangan yang bebas dari salah saji (apakah karena kekeliruan atau kecurangan). Kepastian mutlak tidak dapat dicapai karena sifat bukti audit dan karakteristik kecurangan. Oleh karena itu, walaupun audit dilakukan sesuai dengan standard auditing masih mungkin menyebabkan tidak terdeteksi salah saji material. Sedangkan Tuanakota (2011:162), memaknai reasonable assurance adalah sebagai berikut: 1. “Dalam kaitannya dengan laporan audit: auditor bekerja dengan batasbatas ekonomis (economic limits). Agar bermanfaat secara ekonomis, perumusan audit opinion harus dilakukan dalam waktu yang layak dan dengan biaya yang layak. Auditor harus membuat keputusan (tentunya dengan melaksanakan professional judgment). Apakah bukti-bukti yang tersedia dalam batas waktu dan biaya tersebut sudah cukup untuk memberikan opini.

41

2. Dalam kaitannya dengan pengendalian intern: bagaimana pun baiknya pengendalian intern dirancang dan dioperasikan, ia tidak akan dapat menjamin sepenuhnya bahwa tujuan entitas tersebut dipenuhi, karena adanya kelemahan bawaan (inherent limitations) dalam semua pengendalian intern.”

2.1.6

Technology Information/Teknologi Informasi

2.1.6.1 Pengertian Information Technology/Teknologi Infomasi Menurut Rainer dan Cegielski (2012:5), yang dimaksud dengan information technology adalah: “Information technology relates to any computer-based tool that people use to work with information and information processing needs of an organization.” Menurut Sutarman (2012:13), yang dimaksud dengan Information Technology (IT)/Teknologi Informasi sebagai berikut : „‟Teknologi informasi adalah suatu studi, perancangan, pengembangan, implementasi, dukungan atau manajemen sistem informasi berbasis komputer, khususnya aplikasi perangkat lunak dan perangkat keras.‟‟ Menurut Turban dan Volonino (2012:8), yang dimaksud dengan information technology adalah: “Information technology in its narrow definition, refers to the technological side of an information system. Often the term information technology is used interchange ably with information system.”

42

Menurut Bodnar dan Hopwood (2014:15), information technology/technologi informasi adalah: “Information technology include computers, but also includes other technologies used to process information. Technologies such as machinereadable bar codes, scanning devices, communications protocols, and standards such as ANSI X.12 are essential to quick-response system.” Menurut Sutabri (2014:3), yang dimaksud dengan teknologi informasi adalah „‟Suatu teknologi yang digunakan untuk mengolah data, termasuk memproses, mendapatkan, menyusun, menyimpan, memanipulasi data dalam berbagai cara untuk menghasilkan informasi yang berkualitas, yaitu informasi yang relevan, akurat dan tepat waktu,yang digunakan untuk keperluan pribadi, bisnis dan pemerintahan dan merupakan informasi yang strategis untuk pengambil keputusan.‟‟ Dari beberapa pengertian diatas mengenai information technology/teknologi informasi

dapat

dipahami

bahwa

yang

dimaksud

dengan

information

technology/teknologi informasi adalah penggunaan teknologi komputer dalam memproses/mengolah suatu data menjadi suatu informasi yang berguna dalam pengambilan suatu keputusan. 2.1.6.2 Tujuan dan Fungsi Teknologi Informasi Menurut Sutarman (2012:17) , tujuan dari teknologi informasi adalah sebagai berikut : 1. “Untuk memecahkan masalah 2. Untuk membuka kreativitas dan 3. Untuk meningkatkan efektivitas dan efisiensi pekerjaan.”

dalam

melakukan

43

Sedangkan fungsi teknologi informasi menurut Sutarman (2012:18) adalah sebagai berikut : 1. “Menangkap (Capture) 2. Mengolah (Processing) Mengkompilasikan catatan rinci dari aktivitas, misalnya menerima input dari keyboard, scanner, mic, dan sebagainya. Mengolah atau memproses data masukan yang diterima untuk menjadi informasi, pengolahan atau pemrosesan data dapat berupa konversi (pengubahan data kebentuk lain), analisis (analisis kondisi), perhitungan (kalkulasi), sintesis (penggabungan) segala bentuk data dan informasi. a. Data processing, memproses dan mengolah data menjadi suatu informasi. b. Information processing, suatu aktivitas komputer yang memproses dan mengolah suatu tipe atau bentuk dari informasi dan mengubahnya menjadi tipe atau bentuk dari informasi. c. Multimedia system, suatu sistem komputer yang dapat memproses berbagai tipe atau bentuk dari informasi secara bersamaan (simultan). 3. Menghasilkan (Generating) Menghasilkan atau mengorganisasikan informasi ke dalam bentuk yang berguna. Misalnya : laporan, table, grafik, dan sebagainya. 4. Menyimpan (Storage) Merekam atau menyimpan dan informasi dalam suatu media yang dapat digunakan untuk keperluan lainnya. Misalnya disimpan ke harddisk, tape, disket, compact disc (CD) dan sebagainya. 5. Mencari kembali (Retrieval) Menelusuri, mendapatkan kembali informasi atau menyalin (copy) data dan informasi yang sudah tersimpan, misalnya mencari supplier yang sudah lunas dan sebagainya. 6. Transmisi (Transmission) Mengirimkan data dan informasi dari suatu lokasi ke lokasi lain melalui jaringan komputer. Misalnya mengirimkan data penjualan dari user A ke user lainnya dan sebagainya.”

44

2.1.6.3 Komponen Teknologi Informasi Menurut Agoes dan Hoesada (2012:234-235), ada beberapa komponen dalam teknologi informasi, berikut komponen-komponen dalam teknologi informasi: 1. “System and Applications Bagian ini mewakili bagaimana data diproses melalui aplikasi perangkat lunak komputer yang dikelola melalui suatu sistem yang biasannya terdiri atas tingkatan hierarkis yang mengikuti aturan bisnis yang berlaku di organisasi yang menggunakannya. Dengan demikian, proses auditnya sendiri akan meliputi verifikasi terhadap sistem dan aplikasinya apakah andal, efisien, serta memiliki control yang melekat untuk memastikan kebenaran, keandalan, kecepatan maupun keamanan pada saat pengiriman, pemprosesan serta pengeluaran informasi di setiap tingkatan kegiatan sistem. 2. Information Processing Facilities Information processing facilities merupakan komponen yang terkait dengan fasilitas-fasilitas yang digunakan untuk mengolah informasi pada setiap organisasi. Hal ini biasannya terkait dengan perangkat keras, misalnya scanner, komputer server, formulir, dan sebagainya. Dalam komponen teknologi informasi ini, dilakukan verifikasi untuk memastikan kecepatan, ketepatan, dan tingkat efisiensi dari aplikasi-aplikasi berada dalam kondisi normal serta dibawah kemungkinan adanya potensi kerusakan atas gangguan. 3. System Development Bagian dari proses pembangunan maupun pengembangan dari sistem yang sudah ada dalam suatu organisasi sesuai dengan tujuan-tujuan aktifitasnya. Proses audit pada komponen ini ditunjukan untuk memverifikasi apakah setiap sistem yang sedang dalam proses pengembangan sesuai dengan tujuan atau pedoman atau arahan atau visi atau misi dari organisasi penggunannya. Selain itu, proses audit pada bagian ini juga ditujukan untuk memastikan apakah selama proses pengembangan sistem sesuai dengan standar-standar yang secara umum digunakan dalam pengembangan sistem. 4. Management of IT and Enterprise Architecture Pengelolaan atas teknologi informasi serta arsitektur seluruh lingkup internal organisasi yang disesuaikan dengan struktur dan prosedur yang ditetapkan oleh manajemen adalah sangat penting. Pentingnya, hal tersebut memerlukan proses audit yang dilaksanakan untuk memastikan apakah segenap lingkungan atau komponen organisasi dalam pemprosesan informasinya dilakukan secara terkendali dan efisien.

45

5. Client atau Server, Telecommunications, Intranet, and Extranets Komputer, peralatan telekomunikasi, sistem jaringan komunikasi data elektonik (intranet dan extranet), serta perangkat-perangkat keras pengolahan data elektronik lainnya adalah komponen dari sebuah teknologi informasi. Audit dibagian ini menjadi penting untuk melakukan verifikasi atas seperangkat pengendalian pada infrastruktur perangkat keras yang digunakan dalam pemprosesan serta komunikasi data secara elektronik dalam suatu sistem jaringan yang terintegrasi.” 2.1.6.4 Information System/Sistem Informasi Menurut Hall (2011:7), yang dimaksud dengan information system adalah sebagai berikut: “Information system is the set of formal procedures by which data are collected, processesd into information, and distributed to users.” Menurut Rainer dan Cegielski (2011:12), yang dimaksud dengan information system adalah sebagai berikut: “Information system collects, process, stores, analyzes, and disseminates information for s specific purpose. It has been said that the purpose of information system is to get right information to right people, at the right time, in the right amount, and the right amount, and in the right format.” Menurut Turban dan Volonino (2012:8), yang dimaksud dengan information system adalah: “Information system is collects, processes, stores, analyzes, and distributed information for a specific purpose or objective.”

46

Menurut Bodnar dan Hopwood (2014:3), yang dimaksud dengan information system adalah: “The term information system suggests the uses of information technology (IT) in an organization to provide information to users. A computer-based information system is a collection of computer hardware and software designed to transform data into useful information.” Several types of computer-based information system (Bodnar dan Hopwood, 2014:3-4), are: 1. “Electronic Data Processing (EDP) EDP is the use of IT to perform an organization’s transaction’s transaction-oriented data processing. EDP is a fundamental AIS application in every organization. Data concerning sales transaction, purchase transaction, cash receipts and cash payments transactions, and all other financial transactions that an organization understakes must be accurately recorded, processed, and stored if the organization is to be suistainable. As computer technology has become commonplace, the term data processing (DP) has same meaning as EDP. 2. Management information System (MIS) MIS describe the uses of IT to provide decision-oriented information to managers. An MIS provides a wide variety of information beyond that which is associated with DP in organizations. An MIS recognize that managers within an organization use and require information in decision making and that computer-based information system can assist in providing information to managers. 3. Decision Support System (DSS) In DSS data are processed into a decision-making format for the end user. A DSS requires the use of decision models and specialized database and differs significantly from a DP system. A DSS is directed at serving ad hoc, specific, non-routine information requests by management. DP system serve routine, recurring, general information needs. A DSS is designed for specific types of decisions for specific users. 4. Expert System (ES) An ES is a knowledge-based information system that uses its knowledge about specific application area to acts as an expert consultant to end users. Like DSS, an ES requires the use of decision models and specialized database. Unlike DSS, an ES also requires the development of a knowledge base the special knowledge that an expert possesses in the decision area and inference engine the process by wich the expert make a

47

decision. An ES attempts to replicate the decisions that would be made by an expert human decision maker in the same decision situatin. An ES differs from a DSS in that a DSS assist a user in making a decision, whereas an ES make decision. 5. Executive Information System (EIS) An EIS is tailored to the strategic information needs of the top level management. Much of the information used by top level management comes from sources other than an organization’s information systems. Examples are meetings, memos, television, periodicals, and social activities. Some information must be processed by the organization’s information system; however, an EIS provides top level management with easy access to selective information that has been processed by the organization’s information system. This selective information concerns the key factors that top level management has identified as being critical to organization’s success. Actual versus projected market share for product groups and budget versus actual profit and loss data for divisions might be key success factors for a top level executive. 6. Accounting information System Analogous to the preceding definitions, we might define an AIS as a computer based system designed to transform accounting data into information. However, we use the term accounting information system more broadly to include the use of IT, transaction processing cycles, and the development of information system.” 2.1.6.5 Pemprosesan Data Elektronik Menurut Agoes (2013:238), yang dimaksud dengan Electronic Data Processing adalah: “EDP adalah seperangkat alat elektonik yang dapat dipakai untuk memproses data/fakta.” Menurut Halim (2015:300), yang dimaksud dengan pengolahan data elektronik adalah: “Sistem PDE (pemprosesan data elektronis) atau EDP (electronic data processing) adalah sistem pemprosesan data yang menggunakan teknologi telekomunikasi dan komputer.”

48

Sistem PDE merupakan salah satu hasil pengembangan teknologi yang penting. Menurut Halim (2015:300-303), ada empat komponen sistem PDE, yaitu: 1. “Perangkat Keras (Hardware) Komputer Hardware merupakan peralatan fisik yang digunakan dalam sistem PDE. Konfigurasi hardware berisi lima komponen, yaitu: a. Central Processing Unit (CPU). b. Peralatan input (input device). c. Peralatan output. d. Peralatan komunikasi komputer. e. Secondary storage. 2. Perangkat Lunak (Software) Komputer Perangkat lunak komputer yang terkait dengan sistem PDE, adalah system software dan application software. Perangkat lunak sistem melaksanakan fungsi umum yang harus ada agar komputer dapat beroperasi dan mengolah data sebagaimana mestinya. Perangkat lunak sistem terdiri atas: a. Sistem operasi, sistem operasi meliputi berbagai instruksi yang tersimpan dalam komputer, yang bertugas untuk mengoperasikan komputer. b. Program utility (utility program) yang berfungsi untuk melaksanakan tugas-tugas pemasukan, pengeluaran dan penggorganisasian data. c. Compliers dan assemblers yang berfungsi untuk mengubah instruksi yang ada dalam bahasa program menjadi bahasa mesin. d. Sistem manajemen basis data atau database management system yang digunakan perusahaan untuk mengelola dan memanfaatkan database. Program ini mengelola dan mengendalikan file data secara independen dengan program aplikasi. 3. Metode Pengorganisasian Data Metode organisasi data merupakan cara bagaimana data di organisasi dalam file komputer. Ada dua jenis metode pengorganisasian data yang dapat digunakan, yaitu: a. Traditional file method Pada metode ini, master file dan file transaksi dipisahkan untuk setiap aplikasi akuntansi atau siklus transaksi yang berbeda. Oleh karena itu, data dalam file hanya dapat diakses oleh satu program aplikasi yang dirancang untuk data tersebut. Apabila dua program aplikasi yang berbeda memerlukan data yang sama, maka dua file yang sama harus dibuat. Hal ini mengakibatkan hubungan yang terstruktur antara satu file dengan file lainnya sehingga sering terjadi duplikasi data.

49

b. Database Method Database method merupakan metode organisasi data yang didasarkan pada kemampuan data dalam file untuk diakses langsung oleh berbagai program aplikasi. Apabila dua program aplikasi yang berbeda memerlukan data yang sama, maka cukup diperlukan satu file yang berisi data yang sama. Metode ini dapat mencegah duplikasi data, metode ini menerapkan sistem data terpusat dalam suatu database yang dapat saling bertukar data antarpengguna. 4. Metode Pemprosesan Data Ada tiga jenis metode pemprosesan data yang dapat digunakan, yaitu: a. Batch Entry/Batch Processing Pada metode batch entry/batch processing, data transaksi yang ada dikumpulkan dalam suatu batch atau kelompok. Setelah itu, data yang ada dalam kelompok tersebut dimasukan sekaligus ke dalam komputer untuk diproses bersama-sama, pemasukan data tersebut dilakukan pada saat tertentu, pemasukan data biasanya digunakan dengan menggunakan card reader yang membaca kartu plong, kemudian data tersebut diubah bentuknya ke dalam bentuk yang dapat dibaca oleh komputer atau machine readable form. b. On-Line Entry/Batch Processing Pada metode on-line entry/batch processing, data transaksi uang terjadi langsung dimasukan melalui terminal, tetapi tidak langsung proses. Data yang dimasukkan melalui terminal, disimpan terlebih dahulu dalam suatu file transaksi menunggu saat pemprosesan. Validitas transaksi akan diverifikasi terlebih dahulu sebelum dicatat dalam file transaksi. Pengolahan data yang menggunakan batch processing dilakukan sekaligus oleh komputer. c. On-Line Entry/On-line Processing Pada metode on-line entry/on-line processing, data transaksi yang terjadi langsung dimasukkan melalui terminal untuk langsung diproses. Terminal tidak hanya merupakan alat input data, tetapi juga merupakan alat output data. Terminal merupakan alat output data karena hasil pengolahan data transaksi yang dimasukkan dapat segera tampak pada layar komputer. Begitu data dimasukkan melalui terminal, validitas transaksi akan langsung diverifikasi. Apabila data tersebut valid, maka data langsung diproses. Apabila data tersebut valid, maka data tidak diproses dan kesalahan yang terjadi akan disampaikan melalui tampilan layar komputer.”

50

2.1.6.6 Manfaat Adanya Teknologi Informasi bagi Perusahaan Several change in internal control resulting from the integration of IT into accounting system (Arens, et al.2014:372) are: 1. “Computer Controls Replace Manual Controls The obvious benefit of IT is the ability to handle large amounts of complex business transactions cost effectively. Because computers process information consistently, IT systems can potentially reduce misstatements by replacing manual procedures with automated controls that apply checks and balances to each processed transaction. This reduces the human errors that often occur in manually processed transactions. 2. Higher Quality Information is Available Complex IT activities are usually administered effectively because the complexity requires effective organization, procedures, and documentation. This typically results in providing management with more and high quality information, faster than manual system, once management is confident that information produced by IT is reliable, management is likely to use the information for better management decisions.” 2.1.6.7 Resiko Teknologi Informasi Although IT can improve a company’s internal control. It can also affect the company’s overall control risk. Many risks in manual system are reduced and in some cases eliminated. However, there are risks a specific to IT systems that can lead to substantial losses if ignored. If IT system fail, organizations can be paralyzed by the inability to retrieve information or by the use of unreliable information caused by processing errors. These risks increase the likelihood of material misstatements in financial statement (Arens, et al. 2014:372). Specific risks to IT system (Arens, et al. 2014:372) include: 1. “Risks to hardware and data Although IT provides significants processing benefit, it also creates risks in protecting hardware and data, as well as introducing potential for new types of errors. Specific risks include the following: Reliance on the functioning capabilities of hardware and software. Without proper physical protection, hardware of software may not function or may function improperly. Therefore, it is critical to physically protect hardware, software, and related data from physical damage that might result from inappropriate use, sabotage, or environmental damage (such as fire, heat, humidity, or water).

51

Systematic versus random errors. When organizations replace manual procedures with technology based procedures, the risk of random error from human involvement decreases. However, the risk of systematic error increase because once procedures are programmed into computer software, the computer software information consistently for all transaction until the programed procedures are charge. Unfortunately, flaws in software programming and changes to that software affect the reliability of computer processing, often resulting in many significant misstatement. The risk is increased if the system is not programmed to recognize and flag unusual transactions or when transaction audit trail are inadequate. Unauthorized access. IT-based accounting system often allow online access to electronic data in master file, software, and other records. Because online access can occur from remote access points, including by external parties with remote access through the internet, there is potential for illegitimate access. Without proper online restrictions such as passwords and user IDs, unauthorized activity may be initiated through the computer, resulting in improper changes in software programs and master file. Loss of data. Much of the data in an IT system are stored in centralized electronic files. This increase the risk of loss or destruction of entire data files. This has severe ramifications, with the potential for misstated financial statements and in certain cases, serious interruption of the entity’s operations. 2. Reduced audit trail Misstatement may not be detected with the increased use of IT due to the of a visible audit trail, as well as reduced human involvement, in addition, the computer replaces traditional types of authorizations in many IT system. Visibility of audit trail. Because much of the information is entered directly into the computer, the use of IT often reduces or even eliminates source documents and records that allow the organization to trace accounting information. These documents and records are called the audit trail. Reduced human involvement. In many IT system, employess who deal with the initial processing of transaction never see the final results. Therefore, they are less able to identify processing misstatement. Even if they see the final output, it is often difficult to recognize misstatements because underlying calculations are not visible and the results are often highly summarized. Also, employess tend to regard output generated throught the use of technology as “correct” because a computer produced it.

52

Lack of the traditional authorization. Advance IT system can often initiate transaction automatically, such as calculating interest on saving accounts and ordering inventory when pres specified order levels are reached. Therefore, proper authorization depends on software procedures and accurate master files used to make the authorization. 3. Need for IT experience and separation of IT duties IT system reduce the traditional separation of duties (authorization, keeping, and custody) and create a need for additional IT experience. Reduced separation of duties. Computers do many duties that were traditionally segregated, such as authorization and record keeping. Combining activities from different parts of the organization into one IT function centralizes responsibilities that were traditionally divided. IT personnel with access to software and master files may be able to steal assets unless key duties are segregated within the IT function. Need for IT experience. Even when companies purchase simple off the shelf accounting software packages, it is important to have personal with knowledge and experience to install, maintan, and uses the system. As the use of IT system increase, the need for qualified IT specialists increase. Many companies create an entire function of IT operations. The realibilty of an IT system and the information it generates often depends on the ability of the organization to employe personnel on hire consultants with appropriate technology knowledge and experience.” Sedangkan menurut Hall and Singleton (2007:313-315) , resiko bisnis terbagi menjadi 2, yaitu: “Resiko Internal Terdapat sejumlah resiko yang berhubungan dengan jaringan, terutama internet. Akan tetapi, hal yang mengejutkan adalah kebanyakan aktivitas yang merusak tidak berasal dari luar, akan tetapi berasal dari orang dalam dan kegagalan sistem biasa. Karyawan yang kecewa, karyawan yang baru saja diberhentikan, pelaku penipuan, bekas kontraktor atau konsultan, dan pihak lainnya kadang ingin balas dendam dan termotivasi untuk melakukan serangan yang merusak atas perusahaan lamanya. Berikut resiko lain dari bisnis yang ditimbulkan dari dalam internal perusahaan itu sendiri:

53

a. Kecelakaan/kegagalan sistem Salah satu jenis risiko lainnya berhubungan dengan ketersediaan sistem atau kerusakan sistem, hingga kegagalan sistem adalah alasan umum atas timbulnya masalah. b. Akuntabilitas yang Tidak Efektif Kebanyakan auditor internal mengetahui bahwa meskipun banyak kebijakan telah dikembangkan dengan niat yang baik, dan banyak prosedur yang efektif telah dibuat dengan baik, penyebab utama pengendalian yang tidak efektif sering kali berupa kurangnya tanggung jawab dalam memastikan bahwa prosedur tersebut bekerja dengan baik. c. Aktivitas Kejahatan Salah satu aspek serius dari risiko internal berasal dari karyawan perusahaan entitas itu sendiri, terutama yang bermotivasi balas dendam ke perusahaan. d. Kecurangan Kecurangan keuangan baru-baru ini membuat masyarakat menyadari cakupan kecurangan dalam bisnis ini. Jadi, terdapat resiko yang signifikan bahwa karyawan akan menggunakan teknologi untuk melakukan kecurangan dalam bentuk kejahatan dunia maya. Resiko Eksternal Berikut resiko-resiko yang dihadirkan oleh pihak eksternal perusahaan: a. Pelanggar Pelanggar dapat dibagi ke dalam tiga atau empat kelompok: hacker (dan juga hacker bertopi putih), cracker, dan script kiddies. - Hacker Hacker dulu digunakan untuk menggambarkan mereka yang berbakat di bidang TI hingga dapat “membajak” kode dan menjalankan sistem operasi kriptik. Kini istilah hacker digunakan untuk semua jenis pelanggaran TI. - Hacker topi putih Hacker berpengalaman yang dipekerjakan perusahaan untuk berperan sebagai penjahat dengan tujuan mengungkapkan berbagai kelemahan dalam sistem jaringan dan konektivitas internet perusahaan. - Cracker Cracker masuk ke dalam sistem dengan tujuan untuk “mencuri, merusak, atau menghancurkan.” - Script kiddies Script kiddies dihubungkan cracker dan hacker karena mereka mendapatkan kode tertulis melalui hacker atau cracker topi

54

hitam dan menggunakan jaringan serta pengetahuan internet dasar untuk menjalankan script atau kode untuk membuat kerusakan atau untuk membahayakan target, kadang dengan tujuan untuk mendapatkan “publikasi instan” sebagai motifnya. b. Virus Resiko eksternal yang paling besar ialah berasal dari virus yang menyerang perusahaan. c. Terorisme Dunia Maya/Kejahatan Dunia Maya Risiko terorisme dunia maya sangat tinggi untuk beberapa jenis perusahaan, tetapi untuk semua bisnis yang terkoneksi ke internet, resiko ini selalu ada.”

2.1.6.8 Pengendalian Internal Khusus atas Teknologi Informasi To address many of the risks associated with reliance on IT, organizations often implement specific IT controls. Auditing standards describe two categories of controls for IT system (Arens, et al, 2014:374-380). 1. “General controls, apply to all aspects of the IT function, six categories of general controls have an an entity wide effect on all IT Function. a. Administration of The IT Function The board of director’s and senior management’s attitude about IT affect the perceived importance of IT within organization. Their oversight, resource allocation, and involvement in key IT decision each signal the importance of IT. In complex environment, management may establish IT steering committees to help monitor the organization’s technology needs. The board may rely on regular reporting by a chief information officer (CIO) or other senior IT manager to keep management informed. In contrast, when management assigns technology issues exclusively to lower level employess or outside consultants, an implied message is sent that IT is not a high priority. The result is often an understaffed, underfunded, and poorly controlled IT function. b. Separation of IT Duties To respond to the risk of combining traditional authorization, and record keeping responsibilities by the having computer perform those tasks, well controlled organizations respond by separating key duties within IT. Ideally, responsibilities for IT management, systems development, operations, and data control should be separated as follow:

55

IT management. The CIO or IT managers should be responsible for oversight of the IT function to ensure that activities are carried out consistent with the IT strategic plan. System development. System analysts, who are responsible for the overall design of each application system, coordinate the development and changes to IT systems by IT personnel responsible for programming the application and personel outside IT who will be the primary system users (such as accounts receivable personel). Operations. Computer operators are responsible for the day to day operations of the computer following schedule established by the CIO. They also monitor computer consoles for message about computer efficiency and malfunctions. Data control. Data input/output control personnel independently verify the quality of input and the reasonableness of output. c. System Development. System development include: Purchasing software or developing in house software that meets the organization’s needs. A key to implementing the right software is to involve a team of both IT and non IT personel, including key users of the the software and internal auditors. Testing all software to ensure that the new software is compatible with existing hardware and software and determine whether the hardware and software can handle the needed volume of transaction. Whether software is purchased or developed internally, extensive testing of all software with realistic data is critical. d. Phsical and Online Security. Physical controls over computers and restrictions to online software and related data file decrease the risk of unauthorized changes to programs and improper use of programs and data files. Security plans should be in writing and monitored. Security controls include both physical controls and oonline access controls. Physical control. Proper physical controls over computer equipment restrict access to hardware, software, and backup data files on magnetic tapes or disks, hard drives, CDs, and include keypad entrances, badge entry systems, security cameras, and security personnel. Online access control. Proper user IDs and passwords control access to software and related data files, reducing the likelihood that unauthorized changes are made to software applications and data files. e. Backup and Contingency Planning. Planning failures, fire, excessive heat or humidity, water damage, or even sabotage can have serious consequences to businesses using IT. To prevent data loss during

56

power outages, many companies rely on battery backups or site generators. For more serious disasters, organizations need detailed backup and contingcy plan such as off site storage of critical software and data files or outsourcing to firms that specialize in secure data storage. Backup and contingency plans should also identify alternative hardware that can be used to process company data. f. Hardware controls. Hardware controls are built into computer equipment by manufactures to detect and report equipment failures. Auditors are more concerned with how the client handles error identified by the hardware controls than with ther adequacy. Regardless of the quality of hardware controls, output will be corrected only if the client has provided for handling machine errors. 2. Application Control Apply to processing transaction such as controls over the processing of sales or cash receipts. application controls fall into three categories: a. Input Control. Input control are designed to ensure that the information entered into the computer is authorized, accurate, and complete. They are critical because a large portion of errors in IT systems result from data entry errors and, of course. Regardless of the quality of information processing, input error result in output errors. b. Processing Controls. Processing controls prevent and detected errors while transaction data are processed. General control, especially controls related to systems development and security, provide essential control for minimizing errors. Specific application processing controls are often programmed into software to prevent, detected, and correct processing errors. c. Output Control. Output control focus on detecting errors after processing is completed, rather than on preventing errors. The most important ouput control is review of the data for reasonableness by someone knowledgeable about the output. Users can often identify errors because they know the approximate correct amounts. Several common controls for detecting errors in output include: Reconcile computer produced output to manual controls totals. Compare the number of units processed to the number of units submitted for processing. Compare a sample of transaction output to input source documents. Verify dates and times of processing to identify any out of sequence processing.”

57

2.1.6.9 Dampak Teknologi Informasi terhadap Proses Audit Menurut Agoes dan Hoesada (2012:2012), dampak teknologi informasi terhadap audit adalah: “Jika komputer digunakan untuk mengolah data akuntansi dan keuangan, auditor perlu memahami konsep dan terminologi pengolahan data dan pengendalian untuk berkomunikasi dengan personalia EDP mengenai aktivitas-aktivitas dan sistem yang terkomputerisasi.” Menurut Agoes (2013:238), dampak teknologi informasi terhadap proses audit adalah: “Perkembangan komputer juga berpengaruh pada pola kerja pemeriksa (auditor) dalam menjalankan profesinya. Hal tersebut terjadi karena perusahaan/organisasi menjadi objek pemeriksaan telah menggunakan komputer sebagai pengolah datanya. Sistem pembukuan, penggajian, persedian, dan sebagainya banyak yang telah terkomputerisasi, sehingga mendorong pemeriksa untuk memahami lebih jauh tentang komputer atau pengolahan data secara elektronik.” Menurut Arens, et al. (2014:380), dampak teknologi informasi terhadap proses audit adalah: “Because auditors are responsible for obtaining an understanding of internal control, they must be knowledgeable about general and application controls, whether the client’s use of IT is simple or complex. Knowledge of general controls increase the auditor’s ability to assess and rely on effective application controls to reduce controls to reduce control risk for related audit objectives. For public company auditor who must issue an opinion on internal control over financial reporting, knowledge of both general and application IT controls is essential.”

58

Sedangkan menurut Halim (2015:299), dampak teknologi informasi terhadap proses audit adalah: 1. “Pengenalan komputer dalam setiap pengelolaan informasi mempunya pengaruh yang signifikan terhadap pengendalian intern serta terhadap auditor yang mengkaji dan menilai sistem pengendalian tersebut. 2. Penyimpanan informasi dalam komputer memungkinkan komputer digunakan untuk mengaudit informasi dalam komputer yang diinginkan.” Dari beberapa penjelasan diatas dapat kita pahami bahwa dampak teknologi informasi bagi proses audit adalah perubahan lingkungan perusahaan yang menggunakan komputerisasi didalam pengolahan datanya sehingga auditor memerlukan pemahaman mengenai teknologi informasi klien (auditee). Teknologi Informasi (TI) akan melanjutkan dampak dramatis secara virtual pada setiap fase audit, dari program audit yang dihasilkan audit sampai software audit yang mampu untuk menguji keseluruhan data klien, teknologi sangat esensial untuk akuntan dalam memahami proses bisnis klien dan dihubungkan dengan lingkungan audit yang paperless (Nugroho, 2011). Dalam sistem akuntansi yang sudah terkomputerisasi, bukti-bukti yang dihasilkan mempunyai karakteristik yang berbeda dengan akuntansi tradisional atau manual. Bukti elektronis dapat berisi empat bentuk dasar informasi: teks, data, video, dan suara. Seperti halnya bukti-bukti tradisional, bukti elektronis dapat meningkatkan masalah yang berkaitan dengan keandalan, kelengkapan, maupun integritas bukti dan juga menuntut lebih banyak kebutuhan pengendalian dibandingkan dengan bukti tradisional. Namun, bukti elektronis dalam sistem EDP tersebut belum tentu diperlukan untuk mengganti bukti tradisional dalam setiap sistem.

59

Auditing Procedures Study (APS) dari AICPA mendefinisikan bukti elektronis sebagai informasi yang dikirimkan, diproses, dipelihara atau diakses oleh alat elektronis dan digunakan oleh auditor untuk mengevaluasi asersi laporan keuangan. Bukti elektronis menambah dimensi baru pertimbangan bagi auditor, misalnya mengenai keandalan sistem yang menghasilkan dan memproses bukti yang bersangkutan. Menurut Halim (2015:306), ada beberapa karakteristik perbedaan antara bukti tradisional dan bukti elektronik, berikut perbedaan karakteristiknya: 1. “Kesulitan modifikasi a. Bukti tradisional Sulit untuk dirubah atau dimodifikasi. Oleh karenanya sangat beralasan jika modifikasi semacam ini umumnya dipelajari dalam audit. b. Bukti elektronis Lebih mudah untuk dirubah atau dimodifikasi dan lebih sulit dideteksi, sehingga pengendalian intern memainkan peranan kunci dalam mendeteksi perubahan. 2. Kredibilitas prima facie a. Bukti tradisional Dokumen kertas mempunyai tingkat kredibiltas yang tinggi. b. Bukti elektronis Kredibilitas sangat tergantung pada keefektivan struktur pengendalian intern. 3. Kelengkapan dokumen a. Bukti tradisional Bukti kertas umumnya meliputi semua transaksi penting. b. Bukti elektronis Bukti elektronis dapat menyembunyikan bukti dengan kode atau referensi silang pada field lain. 4. Bukti persetujuan a. Bukti tradisional Kerta bukti persetujuan diletakkan pada bagian paling atas dokumen asli.

60

b. Bukti elektronis Persetujuan elektronis mungkin tidak dapat dilihat dan dapat dimunculkan dengan menekan salah satu tombol pada keyboard. 5. Kemudahan penggunaan a. Bukti tradisional Bukti kertas tidak memerlukan alat khusus dalam mengevaluasi maupun memahaminya. b. Bukti elektronis Bukti elektronis memerlukan pengetahuan khusus mengenai teknik ekstraksi data untuk mengevaluasi dan memahaminya. 6. Kejelasan a. Bukti tradisional Bukti kertas kerja biasannya jelas dan memunculkan kesimpulannya yang sama oleh yang berbeda. b. Bukti elektronis Bukti elektronis tidak begitu jelas dan akan dapat memunculkan kesimpulan auditor yang berbeda, tergantung pada prosedur yang digunakan dan pengendalian uang yang diterapkan.”

2.1.7

Countinuos Auditing

Traditional audit has been obsolete so that there are three facts, that show or least support IT. First, that we have entered the era of technology where every aspect of life has been dominated by technology and even harder to find the aspects of life that do not have the technology. Business has also experienced a fundamental transformation into the digital age, second now almost all the transaction done automatically without involving humans as well as the data storage and documents themselves have been made in electronic form, the third the enterprise resource planning (ERP) has been widely used so the activity and the data become large and complex as well as scattered everywell (Antonio, 2014). Many business processes are dominated by IT/IS applications:therefore CA is able to provide timely, reliable information, capable to reduce audit cycle thus results in costs savings and promotote positive social impacts. In this regard, CA is perceived as a technical solution to address the needs of suitainability in information systems auditing. The features of CA the integration of suitainability into the audit works may be accomplished through a continuous auditing approach cum continuous monitoring, in which features CA actually tied to suitainability goals and targets (Rahman et al, 2014).

61

Dengan banyaknya keterbatasan traditional audit dalam audit perusahaan yang menggunakan teknologi informasi dalam kegiatan bisnisnya dan keuntungan dalam penggunaan continuous audit maka terjadi pergeseran audit dalam lingkungan teknologi informasi dari traditional auditing menjadi countinous auditing. Menurut Mainardi (2011:2), yang dimaksud dengan continuous auditing adalah: “countinous auditing is one of the many tools within the internal audit profession to provide reasonable assurance that the control structure surrounding the operational environment is:suitably designed, established and operating is intended.” Menurut CICA dan AICPA yang dimaksud dengan countinous auditing adalah: “Countinous audit is a methodology that enables independent auditors to provide written assurance on a subject matter, for which an entity’s management is responsible, using a series of auditors report issued virtually simultaneous with, or a short period of time after, the occurrence of event underlying the subject matter.” Menurut ISACA yang dimaksud dengan countinous auditing adalah: “Countinous auditing has been defined as a methodology or framework that enables auditor (external and internal) to provide written results on the subject matter using one or a series of reports issued simultaneously. The ability to report on events in a real time or near real time environment can provide significant benefits to the users of audit report. Countinous auditing is therefore designed to enable auditors to report on subject matter within a much shorter timeframe than under the traditional model. Dari beberapa pengertian diatas mengenai countinous auditing dapat dipahami bahwa countionous auditing adalah metode audit yang digunakan oleh auditor (baik internal auditor maupun eksternal auditor) untuk memberikan assurance mengenai

62

suatu subject menggunakan satu atau serangkaian laporan yang dilaporkan secara bersamaan. CA digunakan untuk melaporkan peristiwa secara real-time/jangka pendek sehingga para pengguna dari laporan akan mendapatkan keuntungan dari hasil audit. CA tools provide real time data which is massive in amount, CA allows performing controls on real-time basis thus increase the overall effectiveness of internal control system (Aslan and Kaya, 2014). CA achieve suistainability strategic objective in IS auditing is perceived to have advance to auditors and have great impacts upon the process of IS auditing. Implementing audit procedures and audit assurance as a whole ( Rahman, et al, 2014).

2.1.8

Audit Information Technology/Audit Teknologi Informasi

2.1.8.1 Pengertian Audit Information Technology/Audit Teknologi Informasi Menurut Senft dan Gallegos (2009:4), yang dimaksud dengan audit information technology adalah: “IT audit is an integral part of the audit function because it support the auditor’s judgement on the information processed by computer systems.” Menurut Agoes dan Hoesada (2012:47), yang dimaksud dengan audit teknologi informasi adalah: “Audit teknologi informasi atau information system (IS) audit adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh.

63

Menurut Bodnar dan Hopwood (2014:412), yang dimaksud dengan audit information system auditing adalah: “The term information systems auditing is commonly used to describe two different types of IT-related activity. One use of the term is to describe the process of reviewing and evaluating the internal controls in an electronic data processing (EDP) system. The other general use of the term is to describe use of the computer by an auditor to perform some audit work that otherwise would have to be done manually.” Sedangkan menurut Devale dan Kulkarni (2015) menjelaskan bahwa yang dimaksud dengan audit information technology adalah: “IS audit is defined as an audit that encompasses a whole or partial review and evaluation of automated information processing system, related non automated processes and the interfaces between them. This definition provides a very board ambit for an IS audit and covers a review of all or any aspect of the IT environment from development, from planning to monitoring and from acquisition to delivery. An IS audit is expected to provide reasonable assurance to the management on quality (effectiveness, efficiency and economy), external IT (confidentiality, integrity and availability), and fiduciary (compliance and realibility).” Dari beberapa pengertian diatas dapat dipahami bahwa yang dimaksud dengan audit teknologi informasi/information system audit adalah pemeriksaan/pengendalian/ pengawasan yang dilakukan oleh auditor IT mengenai seluruh aspek teknologi informasi yang digunakan oleh perusahaan. 2.1.8.2 Komponen Audit Teknologi Informasi Audit TI mencangkup sedikitnya enam komponen yang sangat esensial, antara lain pendefinisian tujuan perusahaan, penentuan isu, tujuan dan perspektif bisnis antara penanggung jawab bagian dengan bagian IT, review terhadap pengorganisasian bagian TI yang meliputi perencanaan proyek, status dan prioritasnya, staffing levels,

64

belanja TI dan IT change process management, assestment infrastruktur teknologi, assessment aplikasi bisnis, serta temuan-temuan dan laporan rekomendasi. Subjek audit TI lebih berfokus pada keamanan, keandalan, kinerja, dan kemampuan mengelola. Masalah tidak hanya mencangkup keamanan file servers dan penerapan metode cadangan, melainkan juga penerapan standar tertentu seperti C-ICT. Keandalan meliputi penerapan RAID V disk subsystem untuk server dengan critical applications dan prosedur penyimpanan data di file server dengan critical applications dan prosedur penyimpanan data di file server, bukan di drive local C. Kinerja mencangkup persoalan standarisasi PC, penggunaan LAN, serta cadangan yang sesuai dengan beban kerja. Sementara itu, kemampuan mengelola menyangkut penerapan

standar

tertentu

dan

pendokumentasian

secara

teratur

dan

berkesinambungan (Agoes dan Hoesada, 2012:234). 2.1.8.3 Audit Teknologi Informasi Pada dasarnya, audit TI dapat dibedakan menjadi dua kategori, yaitu pengendalian aplikasi (application control) dan pengendalian umum (general control). Tujuan pengendalian umum lebih menjamin integritas data yang terdapat di dalam sistem komputer dan sekaligus meyakinkan integritas program atau aplikasi yang digunakan untuk melakukan pemprosesan data. Sementara itu, tujuan pengendalian aplikasi dimaksudkan untuk memastikan bahwa data diinput secara benar ke dalam aplikasi, diproses secara benar, dan terdapat pengendalian yang memadai atas output yang dihasilkan. Audit sistem informasi mendukung tujuan audit tradisional, yaitu tujuan atestasi yang menfokuskan pada pengamanan asset dan

65

integritas data, serta tujuan manajemen yang tidak hanya meliputi tujuan atestasi, tetapi juga tujuan efektivitas dan efisisiensi. Ada beberapa aspek yang diperiksa pada audit sistem teknologi informasi:audit secara keseluruhan menyangkut efektivitas, efisiensi, availability sytem, reliability, confidentiality, dan integrity, serta aspek security (Agoes dan Hoesada, 2012:226). Menurut Hall (2011:10-11), ada beberapa tahapan dalam melakukan audit teknologi informasi, yaitu: 1. “Audit Planning The first step in the IT audit is audit planning. Before auditor can determine the nature and extent of the tests to perform, he or she must gain a through understanding of the client’s business. A major part of this phase of the audit is the analysis of audit risk. The auditor’s objective is to obtain suffiencent information about the firm to plan the other phases of the audit. The risk analysis incorporate an overwiew of the organization’s internal controls. During the review of controls, the auditor attempts to understand the organization’s policies, practice, and the structure. Of the audit, the auditor also identifies the financially significant applications and attempts to understand the controls over the primary transactions that are the processed by these applications. The techniques for gathering the evidence at this phase include conducting questionares, interviewing management, reviewing systems documentation, and the observing acctivties. During this process, the auditor must identifies principal exposure and the controls that attempt to reduce these exposure. Having done so, the auditor proceeds to the next phase, where he or she test the controls for compliance with presestablished standards. 2. Test of Control The objective of the test of controls phase is to determine whether adequate internal controls are in place and functioning properly. To accomplish this, the auditor performs various tests of controls. The evidence gathering techniques used is this phase may include both manual techniques and specialized computer audit techniques. At the conclusion of the test of the control phase, the auditor must asses the quality of the internal controls by assigning a level of control risk. As previously explained, the degree of reliance that the auditor can ascribe to internal controls will affect the nature and extent of substantive testing that needs to be performed.

66

3. Substantive Testing The third phase of the audit process focuses on financial data. This phase involves a detailed investigation of specific account balances and transaction through what are called substantive tests. Some substantive tests are physical labour intensive activities, such as accounting cash, accounting inventories in the warehouse, and verifying the exixtence of stock certificates in a safe. In IT environment, the data needed to perform substantive tests (such as account balances and names and addresses of individual customer) are contained in data files that often must be extracted using computer assisted audit tools and techniques (CAATs) software. “ Sedangkan menurut Agoes dan Hoesada (2012:235-236), ada beberapa tahap dalam pelaksanaan pemeriksaan audit berbasis teknologi, berikut tahapan-tahapan yang perlu dilakukan oleh auditor: 1. “Planning Pada tahapan ini, lakukan perencanaan menyeluruh atas hal-hal mendasar, seperti fokus komponen yang akan diaudit, framework yang akan digunakan sebagai pedoman pelaksanaan audit, kebutuhan sumber daya yang diperlukan, hasil akhir yang diinginkan dari proses audit, jadwal kegiatan, rencana anggaran biaya jika menggunakan jasa pihak lainnya. 2. Studying and evaluating Control Pada tahap ini, setelah kita mempelajari bagaimana kondisi dari objek audit. Secara mendasar, fokus dari audit biasanya adalah kemampuan pengendalian/control atas objek tersebut. Kemudian, dari hasil analisis tersebut disusun evaluasi atasnya. 3. Testing and Evaluating Controls Setelah mempelajari dan mengevaluasi hasil analisisnya, tahap berikutnya adalah melakukan serangkaian pengujian atas objek audit kita. Pengujian tersebut tentunya menggunakan standar-standar baku berdasarkan framework yang sudah ditetapkan sebelumnya untuk digunakan dalam proses audit. Sama halnya dengan tahapan sebelumnya, inti dari proses audit adalah melakukan telaah uji atas kemampuan pengendalian atas setiap aspek dari sumber daya teknologi informasi yang ada berdasarkan batasan-batasan yang sudah disepakati sebelumnya. Kemudian, hasil dari pengujian tersebut dievaluasi untuk disusun dalam laporan pemeriksaan. 4. Reporting Seluruh tahapan yang telah dilakukan sebelumnya dalam proses audit sistem informasi, kemudian didokumentasikan dalam suatu laporan hasil audit.

67

5. Follow-up Kemudian, hasil dari laporan pemeriksaan atau audit ditindaklanjuti sebagai acuan para pemegang kebijakan di setiap tingkatan manajemen organisasi dalam menentukan arah pengembangan dari penerapan teknologi informasi di organisasi tersebut.”

2.1.8.4 Tipe Aktivitas Pengujian Audit Teknologi Information Menurut Akmal dan Hadi (2010:17), ada beberapa jenis aktivitas audit yang dilakukan oleh auditor teknologi informasi berdasarkan luas penggunaan komputer dan data yang dihasilkan, yaitu: 1. “Audit di Sekitar Komputer Jenis audit ini dilakukan oleh auditor terhadap hardcopy yang dihasilkan konputer, sedangkan komputernya tidak disentuh. 2. Audit dengan Komputer Jenis audit ini ditinjau dari auditornya yang menggunakan bantuan komputer dalam melakukan audit. Karena itu, organisasi yang diaudit mungkin belum menggunakan komputer tetapi auditor dalam melakukan audit dibantu oleh komputer, yaitu ketika menyusun kertas kerja pemeriksaan dan laporan hasil audit. 3. Audit melalui Komputer Ini merupakan jenis audit yang dilakukan terhadap organisasi yang telah menggunakan komputer dalam memproses informasinya, baik secara sempit dan sederhana maupun secara luas dan canggih. 4. Teknik Audit Berbantuan Komputer (Computer Assisted Audit Techniques/CAATs) Ini merupakan jenis audit yang dilakukan dengan bantuan software komputer baik yang dibuat sendiri ataupun program paket yang disebut GAS (General Audit Software). Teknik ini digunakan baik pada audit dengan komputer dan audit melalui komputer.” The term information systems auditing is commonly used to describe two different types of IT-related activity. One use of the term is to describe the process of reviewing and evaluating the internal controls in an electronic data processing (EDP) system. This type of activitity is normally undertaken compliance testing and might be describe as auditing throught the computer. The other general use of the term is to describe use of the computer by an auditor to perform some audit work that otherwise would have to be done manually. This type of activity is normally undertaken during substantive of testing of account balances and might be described

68

as auditing with the computer (Bodnar and Hopwood, 2014:412-415). 1. “Auditing Through The Computer Audit through the computer may be defined as the verification of controls in a computerized system. General controls are relevant to the information systems them selves, as well as to the systems development aspect of IT. Application controls are related to specific computer application systems. A thorought information systems audit involves verifying both general and application controls in a computerized system. 2. Auditing with The Computer Auditing with the computer is the process of using IT in auditing. IT is used to perform audit work that otherwiswe would have to be done manually. The use of IT bu auditors is no longer optional. Most of data that auditors must evaluate are already in electronic format. It is senseless to convert wlwctronic data to a parer format strictly for audit purpose. Furthermore, auditing it self is not immune to competitive pressures to be more productive. The use of IT is essential to increase the effectiveness and efficiency.” Sedangkan menurut Halim (2015:318), beberapa jenis aktivitas audit yang dilakukan oleh auditor teknologi informasi, yaitu: 1. “Auditing Around The Computer Selain dengan menggunakan komputer dalam pengujian pengendalian auditor juga dapat melakukan pengujian dengan metode auditing around the computer. Metode penggujian dalam metode ini adalah sama dengan sama dengan pengendalian pada sistem manual. Cara ini digunakan apabila auditor hanya menggunakan pemahaman SPI yang tidak terkait dengan sistem PDE dalam menentukan resiko pengendalian. 2. Auditing Through The Computer Auditing through the computer mencakup penggunaan TBAK atau Teknik Berbantuan Audit Berbantuan Komputer/CAATs. SPAP seksi 327 par 2 menyebutkan beberapa manfaat TBAK, seperti berikut: 1. Tidak adanya dokumen sumber atau tidak adanya jejak audit, dapat mengharuskan auditor menggunakan TBAK. TBAK digunakan untuk melaksanakan pengujian substantif dan pengujian pengendalian. 2. TBAK dapat meningkatkan efektivitas dan efisiensi prosedur audit. Penggunaan TABK/CAATs untuk penggujian pengendalian sangat dianjurkan terutama apabila ada kondisi: a. Pengendalian intern yang signifikan built up pada program komputer. b. Tidak ada jejak transaksi yang memadai. c. Pengujian mencangkup atas data yang sangat besar.

69

Ada 3 pendekatan yang dapat dilakukan auditor untuk melaksanakan prosedur audit dengan komputer atau TABK. Ketiga pendekatan meliputi: a. Test Data Approach Tujuan pendekatan pengujian data adalah untuk menentukan apakah klien dapat menangani transaksi secara tepat. Pengujian ini meliputi juga pengujian kemampuan program komputer untuk menolak penerimaan dan pengolahan transaksi yang tidak valid. Pada pendekatan ini, pertama kali auditor mempersiapkan data rekaan auditor sebagai data penguji. Seiring dengan itu, auditor perlu memepersiapkan program klien, kemudian data rekaan dimasukan dalam program klien. Auditor menggunakan komputer klien maupun klien maupun komputer auditor untuk mengolah data rekaan dengan program klien. Setelah itu, auditor akan memperoleh hasil output komputer. Hasil output komputer ini kemudian dibandingkan dengan output yang diharapkan. b. Integrated Test Facility Approach Pada metode ini, auditor perlu membuat suatu model perusahaan. merupakan abstraksi dunia nyata. Jadi, auditor menciptakan suatu subsistem kecil, seperti tiruan perusahaan yang mini atau divisi, dalam sistem PDE klien. Auditor kemudian memasukkan data transaksi penguji pada sistem bersama-sama dengan data aktual. Data penguji dan data aktual klien diproses bersama-sama oleh sistem klien. Data penguji harus mencangkup jenis data yang salah atau tidak valid, dan data yang valid. Kemudian, output yang dihasilkan komputer dibandingkan dengan hasil yang diharapkan auditor. Setelah tahap pembandingan tersebut selesai, auditor kemudian menghapus seluruh data transaksi penguji. c. Pararell Simulation Approach Tujuan pendekatan pengujian data adalah untuk menguji akurasi atau output yang dihasilkan sistem klien. Pada pendekatan ini, pertama kali auditor meminta data aktual klien pada klien. Auditor kemudian memasukkan data aktual klien sebagai input pada software program milik auditor. Auditor menggunakan komputer miliknya untuk mengolah data aktual klien dengan program milik auditor. Setelah itu, auditor akan memperoleh hasil output program milik komputer. Komputer ini kemudian dibandingkan dengan output aktual klien. 3. Auditing With The Computer Merupakan perkembangan terakhir dalam sistem PDE. Pada tahap ini, auditor sudah menggunakan komputer dalam berbagai aspek pekerjaan audit, misalnya untuk meneliti mengkaji data, mengakses file, memanggil records, mengekstraksi sampel statistik dan melakukan pengujian perhitungan.”

70

2.1.8.5 Software Auditing Auditor dapat menggunakan berbagai macam paket perangkat lunak atau software audit dalam melaksanakan audit. Satu jenis perangkat lunak dalam auditing yang umum dipakai adalah generalized audit software. Di samping itu, ada beberapa software yang dapat mendukung pelaksanaan audit, baik secara langsung maupun tidak langsung (Halim, 2015:323-325). Berikut contoh software audit: 1. Generalized Audit Software (GAS) Generalized audit software (GAS) merupakan penggunaan komputer untuk melaksanakan tugas atau prosedur pengujian audit secara independen terhadap record klien. GAS berisi sejumlah program komputer yang bersama-sama melaksanakan berbagai macam fungsi pengolahan data. GAS dikembangkan suatu Kantor Akuntan Publik untuk dipakai pada berbagai audit atas klien maupun tahun audit yang berbeda. Cara kerja generalized audit software meliputi beberapa langkah berikut: a. Menentukan tujuan audit dan pengujian yang akan dilaksanakan. Tujuan tersebut berupa penjumlahan suatu file data, pemilihan sample secara random, verifikasi perhitungan klien, membandingkan data pada dua file terpisah, dan sebagainya. b. Menentukan kelayakan penggunaan generalized audit software pada sistem PDE klien. Penentuan layak tidaknya penggunaan generalized audit software. c. Merancang aplikasi, yang meliputi logika aplikasi, perhitungan, dam format output. d. Pembuatan kode (coding), hasil perancangan aplikasi kemudian dibuatkan kode (coded) pada kertas kerja auditor pada bahasa generalized audit software (GAS) sederhana. e. Key entry. Kertas kerja berkode kemudian dimasukkan program bersama dengan Gas dan file data klien. f. Pemprosesan. Pada tahap ini GAS memproses aplikasi data file klien aktual, menelaah hasilnya. GAS dapat diterapkan pada pengujian pengendalian maupun pengujian substantif. Contoh penggunaan GAS pada pengujian pengendalian adalah seperti perbandingan harga jual barang dagangan antara file faktur penjualan yang terkomputerisasi, dengan master file yang berisi data harga yang terautorisasi. Perbandingan ini disusun untuk menentukan frekuensi harga yang tak terautorisasi. GAS juga dapat diterapkan pada pengujian substantif. Contoh penggunaan GAS pada pengujian subtantif

71

adalah seperti pemilihan atau seleksi dan pencetakan sampel audit, menguji perhitungan dan membuat perhitungan. 2. Commercial General use Software Commercial general use software merupakan penggunaan perangkat lunak yang relatif sederhana dan mudah dioperasikan. Perangkat lunak ini mudah didapatkan dengan harga yang ringan. Contoh perangkat komersial yang banyak dipakai adalah electronic spreadsheet atau pengolah angka, dan pengolah kata atau word processor.

2.1.9

Penelitian Terdahulu Beberapa penelitian yang telah dilakukan, yang berkaitan dengan kompetensi

auditor eksternal, due professional care terhadap audit teknologi informasi, yaitu sebagai berikut:

No

Peneliti

Tabel 2.1 Penelitian Terdahulu Judul Hasil

Persamaan

Perbedaan

Variabel X sama akan tetapi dalam penelitian ini saya mengambil kompetensi yang didalamnya terdapat dimensi pendidikan, pelatihan dan

Variabel Y yang berbeda karena dalam penelitian saya hanya meneliti bagaimana audit teknologi informasi.

Penelitian 1

Nurul Dewi Ayuni, Skripsi (2008)

Pengaruh Pendidikan, Pelatihan, dan Pengalaman Auditor terhadap Kualitas Audit atas sistem informasi berbasis komputer

Pendidikan dan Pelatihan berpengaruh positif terhadap kualitas audit atas sistem informasi berbasis komputer sedangkan pengaruh Pengalaman berpengaruh negatif terhadap

72

2

Jayanti Octavia, Jurnal (2013)

Pengaruh Keahlian Auditor Eksternal terhadap Audit ECommerce ( 5 KAP di Bandung)

3

Fajar Aris Munandar, skripsi (2011)

4

Islahuzzaman , jurnal (2009)

Pengaruh Kompetensi Auditor mengenai ECommerce terhadap Pengumpula n Bukti Audit Berbasis EDP Audit pada Kantor Akuntan Publik. Dampak Teknologi Informasi terhadap Audit Laporan Keuangan

kualitas audit atas informasi berbasis komputer. Adanya pengaruh yang signifikan antara keahlian auditor eksternal terhadap audit ecommerce sebesar 59,4%.

pengalaman.

Variabel X1 termasuk didalamnya ada keahlian.

Tidak ada variabel X2, dan Y yang berbeda, karena dalam penelitian saya ada X2 yaitu due professional care dan Y adalah audit teknologi informasi. Kompetensi Variabel X1 Tidak ada auditor memiliki variabel X2, mengenai ekesamaan dan Y yang commerce yaitu berbeda, berpengaruh kompetensi karena terhadap mengenai e- dalam pengumpulan commerce, penelitian bukti audit e-commerce saya ada X2 berbasis EDP termasuk yaitu due audit dengan bagian audit professional nilai korelasi teknologi care dan Y 0,725 yang informasi. adalah audit diinterpretasikan teknologi kuat. informasi. Auditor harus Hasil Tidak ada memiliki penelitian variabel X2, pengetahuan islahuzzama dan Y yang dan pemahaman n berbeda, yang cukup menjelaskan karena tentang TI kompetensi dalam khususnya audit auditor di penelitian TI dan lingkungan saya ada X2 pengendalian TI yang yaitu due umum serta sama dengan professional

73

5

6

7

Putu Saka Sumarsana Putra dan Naniek Noviari, Jurnal (2013)

Pande Made Putra Wedantha dan Ni Luh Sari Widhiyati, jurnal (2016)

Frederick Gallagos dan Anna Carlin, jurnal (2004)

aplikasi klien agar dapat merencanakan audit secara efektif. Pemanfaatan Pemanfaatan Teknologi teknologi Informasi, informasi, Kepercayaan, kepercayaan, dan dan kompetensi Kompetensi auditor memiliki pada pengaruh positif Penerapan pada penerapan Teknik Audit teknik audit Sekitar sekitar Komputer komputer pada Kantor Akuntan Publik di Bali. Pengaruh Kemanfaatan , kemanfaatan, kemudahan kemudahan pemakaian, Pemakai dan kompetensi Kompetensi auditor Auditor pada berpengaruh Keberhasilan positif dan Penerapan signifikan pada Teknik Audit keberhasilan Berbantu penerapan Komputer. teknik audit berbantu komputer di Bali Best Practice Due in Due Professional Professional Care merupakan Care: An IT komponen Audit penting dari Perspective audit termasuk audit TI, due professional care berfungsi sebagai

X1 penelitian ini.

Hasil penelitian ini menjelaskan kompetensi auditor di lingkungan TI yang sama dengan X1 penelitian ini.

Hasil penelitian ini menjelaskan kompetensi auditor di lingkungan TI yang sama dengan X1 penelitian ini.

care dan Y adalah audit teknologi informasi.

74

8

Joseph F Brazel dan Christopher P Agoglia, jurnal (2007)

An Examination of Auditor Planning Judgements in a Complex Accounting Information System Environment

9

Alexandra Kanellou dan Charalambos Spathis, jurnal (2011)

Auditing in Enterprise System Environment : A Synthesis

landasan untuk memastikan bahwa klien menerima high quality review. Hasil penilitian ini ialah auditor harus sensitif terhadap kompetensinya dalam memberikan computer assurance specilialist (CAS) di lingkungan sistem akuntansi yang kompleks. Hasil penelitian ini adalah auditor perlu meningkatkan keterampilan dan pengetahuan mereka agar mampu menangani bukti elektronik secara efektif. Selain itu, dengan adanya kebutuhan akan internal control dan keamanan data elektronik maka auditor IS perlu meningkatkan keterampilan dan

75

10

Aidi Ahmi dan Simon Kent, Jurnal (2013)

11

A.B. Devale dan DR.R.V. Kulkarni, jurnal (2015)

pengetahuannya . The Dalam utilization of lingkungan generalized Audit Audit Teknologi, Software penggunaan (GAS) by GAS oleh External auditor eksternal Auditors di United Kingdom masih sangat rendah. Hal tersebut karena beberapa faktor diantaranya karna pengetahuan dan pengalaman auditor dalam hal audit komputerisasi, biaya yang cukup besar serta masih banyak auditor yang tidak mengetahui tentang penggunaan GAS di lingkungan audit teknologi informasi. A Role Of Dalam audit Knowledge teknologi Based System informasi in diperlukan Information auditor dengan kompetensi yang cukup dalam hal

76

mengaudit teknologi informasi serta dalam penggunaan Sofware Audit terutama CATTs diperlukan kehati-hatian dalam perencanaan audit dan perlunya auditor menggunakan due professional carenya.

2.2

Kerangka Pemikiran Globalisasi meningkatkan interaksi bisnis antar Negara, khususnya transaksi

perdagangan. Setiap Negara tekoneksi satu sama lain, mengadakan kesepakatan perjanjian perdagangan bebas secara internasional melalui lembaga seperti WTO atau melakukan perjanjian perdagangan regional melalui kesepakatan dengan beberapa Negara, seperti ACFTA, G-20, OPEC, dan APEC. Intinya, globalisasi adalah keniscayaan dan bagian dari proses perkembangan suatu Negara untuk mencapai tujuan internasional secara bersama-sama, khususnya untuk menambah nilai tambah dan pertumbuhan ekonomi berkualitas, mengurangi tingkat tingkat buta huruf, kemiskinan, gizi buruk, ketahanan pangan dan energi. Perkembangan yang sangat pesat juga diperlihatkan dengan semakin canggih dan terkoneksinya aktivitas atau

77

kegiatan finansial, produksi, investasi, dan perdagangan yang telah mendorong tingkat ketergantungan (dependency) antar Negara, korporasi kelas kecil, menengah atau besar, serta individu, sehingga terbentuk pola interaksi yang kompleks disertai tingkat persaiangan tinggi. Salah satu faktor pendorong globalisasi adalah keberadaan teknologi informasi (TI) yang memungkinkan korporasi/individu saling berhubungan tanpa dibatasi oleh batas-batas Negara, sehingga dunia seolah-olah menjadi datar (RPP Kementerian Perdagangan Republik Indonesia). Perkembangan teknologi informasi tersebut dalam beberapa dasarwarsa terakhir sangat berdampak pada proses bisnis yang

dilakukan

oleh

perusahaan.

Perusahaan

atau

organisasi

cenderung

memanfaatkan teknologi untuk meningkatkan efisiensi yang bertujuan untuk mendongkrak pendapatan dan memperbaiki kinerja. Dengan digunakannya TI diseluruh organisasi maka pengolahan data organisasi akan lebih efektif dan efisien. Pengolahan data dengan menggunakan bantuan komputer (computer based information system) ini digunakan untuk memproses sejumlah transaksi dengan cepat dan terintegrasi, dapat mengambil dan menyimpan data dalam jumlah yang besar, dapat mengurangi kesalahan secara matematis, dan menghasilkan laporan dalam berbagai bentuk dengan tepat waktu. Penggunaan teknologi informasi memberikan dampak bagai dua mata uang bagi perusahaan, di satu sisi perusahaan mendapatkan dampak positif dari penggunaan teknologi informasi dalam kegiatan bisnisnya akan tetapi di satu sisi lain penggunaan teknologi memberikan dampak negatif juga bagi perusahaan karena semakin

78

meningkatkatnya kerawanan dari pengembangan sistem informasi tersebut bagi keamanan perusahaan. Resiko yang mungkin terjadi akibat kerawanan teknologi informasi/sistem informasi bagi perusahaan adalah kehilangan data, kesalahan pengambilan keputusan, resiko kebocoran data, penyalahgunaan komputer, kerugian akibat kesalahan proses perhitungan, tingginya nilai investasi perangkat keras dan perangkat lunak komputer (Agoes dan Hoesada, 2012:231-232). Dengan adanya resiko penggunaan teknologi informasi, maka diperlukan audit sistem informasi yang pada dasarnya ialah pengujian (assurance) tentang kesiapan sistem berdasarkan kriteria tertentu. Kemudian , berdasarkan pengujian auditor akan memberikan rekomendasi perbaikan yang diperlukan (Agoes dan Hoesada, 2012:233) Audit atas lingkungan teknologi informasi/sistem informasi dapat dilakukan oleh bagian pengendalian internal perusahaan yang dilakukan oleh fungsi TI atau auditor internal, akan tetapi jika dibutuhkan opini publik tentang kesiapan sistem tersebut, maka perusahaan dapat menggunakan jasa kantor akuntan publik. Kantor akuntan publik dapat memberikan jasa assurance didalam memberikan kepastian informasi mengenai realibilitas sistem informasi yang digunakan oleh perusahaan tersebut. Jasa assurance yang dimaksud ialah jasa atestasi, dimana menurut Arens, et al (2014:9), Attestation service is a type of assurance in which the CPA firm issues a report about the realibility of an assertion that is made by another party. Jasa atestasi yang bisa digunakan oleh perusahaan adalah attestation services on information technology.

79

Dalam memberikan jasa audit yang berkaitan dengan teknologi informasi ini akuntan publik harus memiliki kompetensi dan due professional care didalam memberikan jasa audit teknologi ini, hal ini sesuai dengan SPAP SA seksi 335 paragraf 03 dan paragraf 04 tentang keahlian dan kompetensi, PSA no 4 tentang standar utama, dan ISACA IS 1005 tentang due professional care, berikut penjelasannya: Paragraf 03 Bila melaksanakan audit dalam pengolahan data elektronik, auditor harus memiliki pemahaman yang memadai mengenai perangkat keras, perangkat lunak dan sistem pengolahan komputer untuk merencanakan penugasan dan ia harus memahami bagaimana dampak pengolahan komputer untuk merencakan penugasan dan ia harus memahami bagaimana dampak pengolahan data elektronik terhadap prosedur yang digunakan oleh auditor dalam memperoleh pemahaman dan melakukan prosedur audit, termasuk prosedur audit, termasuk penggunaan teknik audit berbantu komputer (computer-assisted audit technologies). Paragraf 04 Auditor harus pula memiliki pengetahuan pengolahan data elektronik memadai untuk menetapkan prosedur audit,tergantung atas pendekatan audit yang digunakan (audit around computer and through computer). PSA No.4 Standar Utama menjelaskan bahwa: Audit harus dilaksanakan oleh seorang atau lebih yang memiliki keahlian dan pelatihan teknis yang cukup sebagai auditor. Dalam standar umum pertama menegaskan bahwa betapa pun tingginya kemampuan seseorang dalam bidang-bidang lain, termasuk dalam bidang bisnis dan keuangan, ia tidak dapat memenuhi persyaratan yang dimaksudkan dalam standar

80

audit ini, jika ia tidak memiliki pendidikan serta pengalaman yang memadai dalam bidang auditing. Pencapaian keahlian audit dimulai dengan pendidikan formalnya yang diperluas melalui pengalaman-pengalaman selanjutnya dalam praktik audit. Dalam ISACA IS 1005 Due Profesional Care dijelaskan bahwa seorang audit yang memberikan jasa audit teknologi informasi harus: IS audit and assurance professional should: Perform engagement with integrity and care. Demonstrate sufficient understanding and competency to achieve engagement objectives. Maintan professional skepticism throughout the engagement. Maintain professional competency by keeping informed of and complying with development in professional standards. Communicate with team member their roles and responsibilities and ensure the team’s adherence to the appropriate standards in conducting engagements. Address all concern encountered with relevan stakeholder throughout the engagement. Maintain effective communications with relevan stakeholders throughout the engagement.

2.2.1

Pengaruh Kompetensi terhadap Audit Teknologi Informasi Kompetensi auditor adalah kualifikasi yang dibutuhkan oleh auditor untuk

melaksanakan audit dengan benar. Dalam melaksanakan audit, seorang auditor harus memiliki mutu personal yang baik, memiliki pendidikan formal dibidang auditing dan akuntansi, pengetahuan yang memadai, pengalaman praktik yang memadai serta keahlian khusus dibidangnya. Dalam melaksanakan audit teknologi informasi para auditor diharapkan memiliki pengetahuan, pemahaman, pengalaman dan keahlian mengenai teknologi informasi, meskipun pengetahuan tersebut diluar dari disiplin

81

ilmu. Penelitian yang dilakukan oleh Fajar (2011) tentang Pengaruh Kompetensi Auditor Mengenai E-Commerce terhadap Pengumpulan Bukti Audit Berbasis EDP Audit pada Akuntan Publik memberikan hasil bahwa kompetensi sangat diperlukan dalam audit e-commerce terutama dalam pengumpulan bukti dengan koefisien korelasi sebesar 0,725 sedangkan koefisien determinasi menunjukan bahwa kualitas audit dipengaruhi oleh kompetensi auditor sebesar 52,56 % dan sisanya 47,44% dipengaruhi variable lain. Itu berarti kompetensi auditor memberikan dampak yang cukup besar dalam hal audit e-commerce (termasuk kedalam lingkungan teknologi informasi), penelitian lain mengenai kompetensi auditor dalam lingkungan audit teknologi informasi yang dilakukan oleh Wedantha dan Widhiyani (2016) tentang Pengaruh Kemanfaatan, Kemudahan Pemakai dan Kompetensi Auditor Eksternal pada Keberhasilan Penerapan Teknik Audit Berbantu Komputer, dari penelitian ini diketahui bahwa semakin tinggi kompetensi auditor maka semakin tinggi keberhasilan penerapan teknik audit berbantu komputer yang dilakukan auditor dalam mengaudit laporan keuangan dilingkungan teknologi informasi. Agoes dan Hoesada (2012:226), menyatakan bahwa: “Penugasan audit sistem informasi ini harus dilakukan oleh orang-orang yang berkompeten serta dapat diselesaikan tepat waktu.” Halim (2015:299), menyatakan bahwa: “Auditor harus mempelajari audit dengan menggunakan komputer untuk mengimbangi kemajuan teknologi pengolahan data dan kemajuan informasi

82

keuangan yang diterapkan kliennya.” Sedangkan Arens, et al (2014:380), menyatakan bahwa: “Because auditors are responsible for obtaining an understanding of internal control, they must be knowledgeable about general and application controls, whether the client’s use of IT is simple or complex. Knowledge of general controls increase the auditor’s ability to assess and rely on effective application controls to reduce controls to reduce control risk for related audit objectives. For public company auditor who must issue an opinion on internal control over financial reporting, knowledge of both general and application IT controls is essential.” Baik dari hasil penelitian yang telah dilakukan sebelumnya maupun dari definisi yang telah ada maka sampai pada pemahaman penulis bahwa kompetensi auditor mempengaruhi audit teknologi informasi, kompetensi auditor tentang teknologi informasi akan meningkatkan kemampuan auditor dalam mengaudit teknologi informasi klien (auditee). 2.2.2

Pengaruh Due Professional Care terhadap Audit Teknologi Informasi Audit teknologi informasi menuntut auditor untuk melakukan perubahan pada

prosedur dan teknik yang digunakan dalam melakukan tugas auditnya hal tersebut karena dengan penggunaan teknologi informasi ini akan mengakibatkan perubahan cara pengumpulan data serta pengolahan data yang terkomputerisasi yang membuat auditor harus melakukan analisis yang semakin meningkat dan kompleks (Putra dan Noviari, 2013). Dengan penggunaan teknologi informasi ini juga akan membuat bukti tertulis berkurang sehingga seorang auditor harus memahami akses rutin ke dalam sistem, sistem otorisasi dan organisasi serta memahami bagaimana sistem bekerja melakukan perhitungan.

83

Penelitian Frederick Gallagos and Anna Carlin (2004) tentang Best Practice in Due Professional Care: An IT Audit Perspective memberikan hasil bahwa Due professional care serves as a foundation to ensure that the client a high quality review, in the post Sarbanes-Oxley Act era, their practice of due professional care is critical in establishing public confidence in business. Penelitian lain mengenai due professional care dalam audit teknologi informasi dilakukan Devale dan Kulkarni (2015) tentang A Role Of Knowledge Based System In Information System Audit yang memberikan hasil bahwa Computer Aided Audit Techniques may produce a large proportion of the audit evidence developed on IS audits and, as a result, the IS auditor should carefully plan for and exhibit due professional care in the use of Computer Aided Audit Techniques. Menurut standar ISACA IS 1005: “IS audit and assurance professionals shall exercise due professional care, including observance of applicable professional audit standards, in planning, performing and reporting on the results of engagements.” Agoes dan Hoesada (2012:227), menyatakan bahwa : “Bagaimanapun auditor sistem informasi harus dapat menggunakan pertimbangan profesional ketika menggunakan guidance dan procedure dalam audit sistem informasi.” Baik dari hasil penelitian yang telah dilakukan sebelumnya maupun dari standard dari ISACA dan definisi yang telah ada maka sampai pada pemahaman

84

penulis bahwa due professional care auditor mempengaruhi audit teknologi informasi, karena dengan adanya due professional care maka auditor teknologi akan menggunakan prinsip kehati-hatian dan kecermatan dalam pemberian assurance audit teknologi informasi klien (auditee). 2.2.3 Pengaruh Kompetensi dan Due Professional CareTerhadap Audit Teknologi Informasi Menurut Senft dan Gallagos (2009:58), pentingnya kompetensi dan due professional care bagi auditor teknologi informasi adalah: “When IT auditors attain their certificate information system auditor (CISA), they also subscribe to a Code Of Professional Ethics is code applies to not only the professional conduct but also the personal conduct of IT auditors. It requires that the ISACA standards are adhered to, confidentiality is maintained, any illegal or improper activities are reported, the auditors competence is maintained, due care is used in the course of the audit, the results of audit work is communicated, and high standards of conduct and character are maintained.” Dari pernyataan senft dan gallagos tersebut dapat dipahami bahwa ketika auditor teknologi informasi yang memiliki sertifikat dari CISA maka auditor tersebut harus mematuhi kode professional sebagai auditor teknologi informasi, dalam kode profesional

tersebut

seorang

auditor

teknologi

informasi

perlu

menjaga

kompetensinya, penggunaan due professional care dalam pelaksanaan audit teknologi informasi, penggunaan komunikasi yang baik mengenai hasil audit dan penggunaan standar yang tinggi yang harus dijaga auditor teknologi informasi dalam menjalankan tugas audit teknologi informasi.

85

Landasan Teori 1. Hall and Singleton (2007) 2. Akmal dan Hadi (2010) 3. James Hall (2011) 4. M Tuanakaota (2011) 5. Agoes dan Hoesada (2012) 6. Sukrisno Agoes (2012) 7. Louwers, Timothy, et al. (2013) 8. Arens, et al. (2014) 9. Bodnar dan Hopwood (2014) 10.Halim (2015) Data Penelitian Referensi 1. 2. 3. 4. 5.

1. Auditor yang pernah melakukan audit teknologi informasi di KAP Bandung. 2. Faktor-faktor yang mempengaruhi audit teknologi informasi 3. Kuesioner dari 52 Responden

James Hall (2011) Agoes dan Hoesada (2012) Sukrisno Agoes (2012) Arens, et al (2014) Bodnar dan Hopwood (2014)

Premis 1. SPAP 2011; CICA 1999 2. Devale and kulkarni (2015); Aslan and Kaya (2014) 3. Brazel and Christopher (2007); Izlahuzzaman (2009); Aris (2011); Putu dan Noviari (2013) 4. Frederick and Anna (2004); AICPA, 1972, SA 230; IFAC 2010, ISA 200; ISACA, 2012, IS 1005

Kompetensi Due Professional Care

Hipotesis 1

Referensi 1. 2. 3. 4.

Audit Teknologi Informasi

Hipotesis 2

Hipotesis 3

Analisis Data

Moch Nazir (2011) Singgih Santoso (2012) Sugiyono (2013) Sunyoto (2013)

Validitas dan Realibilitas, Uji Asumsi Klasik, Uji Regresi Liniear Berganda, Uji t dan F dengan SPSS 23

Gambar 2.1 Kerangka Pemikiran

86

2.3

Hipotesis Berdasarkan uraian diatas penulis mencoba mengemukakan hipotesis sebagai

berikut: H1 : Kompetensi Auditor Eksternal Berpengaruh terhadap Audit Teknologi Informasi. H2 : Due Profesional Care Auditor Eksternal Berpengaruh terhadap Audit Teknologi Informasi. H3: Kompetensi dan Due Profesional Care Auditor Eksternal Berpengaruh terhadap Audit Teknologi Informasi.