BAB 6 MENGEMBANGKAN KEMAMPUAN CAATT
6.5 Dukungan Sistem Informasi untuk Audit
Organisasi audit yang ingin memperoleh manfaat maksimal dari otomatisasi, harus memiliki, atau memperoleh, tingkat keahlian yang berfungsi dengan teknologi informasi (TI) termasuk perangkat keras dan perangkat lunak. Organisasi audit tidak dapat mengandalkan konsultan atau pemrogram luar dari area pemrosesan data. Tumpukan panjang di dalam toko pemrosesan data terlalu sering masih menjadi norma.
Manajemen audit juga harus sangat memperhatikan masalah independensi audit.
Ketergantungan pada pemrogram dari luar organisasi audit dapat membahayakan
independensi hasil audit. Investigasi terhadap potensi kesalahan atau audit sensitif lainnya dapat menimbulkan kekhawatiran akan kerahasiaan. Karena audit mungkin memiliki persyaratan unik, atau kebutuhan untuk menggabungkan informasi dari berbagai sistem (menggabungkan data mainframe dan komputer mikro), keterampilan yang diperlukan mungkin berada di luar area pemrograman tradisional, membuat ketergantungan pada pemrogram sistem menjadi pilihan yang bahkan kurang layak.
Mengingat sifat pemrosesan terdesentralisasi saat ini, pemrogram yang bertang gung jawab atas sistem penggajian mungkin memiliki sedikit atau tidak sama sekali pengalaman dengan perangkat lunak yang digunakan untuk sistem personalia. Perusahaan mungkin memiliki sistem Enterprise Resource Planning (ERP) serta beberapa sistem warisan. Oleh karena itu, jika tim audit ingin mengekstrak semua catatan personel untuk membandingkan informasi dengan sistem penggajian, mungkin sulit untuk menemukan seseorang dalam organisasi dengan kombinasi keterampilan yang diperlukan. Akibatnya, keahlian itu harus berada di tangan individu dalam organisasi audit. Ini juga akan memungkinkan audit untuk mencari peluang baru untuk audit penggunaan teknologi, tidak hanya untuk mengotomatisasi apa yang sebelumnya dilakukan secara manual.
Pengenalan, implementasi, dan dukungan CAATT yang berhasil dalam audit akan membutuhkan kombinasi keahlian audit dan TI. Ada dua pendekatan dasar untuk mencapai hal ini: (1) mendatangkan ahli pemrograman dan mengembangkan keterampilan audit mereka atau (2) mengembangkan keterampilan sistem informasi (SI) di auditor. Menggunakan spesialis SI akan membuat beberapa kemajuan dalam mengotomatisasi fungsi audit, tetapi ada risiko banyak peluang yang terlewatkan. Pakar pemrograman sering tidak memiliki apresiasi yang cukup terhadap peran audit dan, oleh karena itu, mungkin kehilangan kesempatan untuk menerapkan CAATT pada audit. Di sebagian besar organisasi yang telah menerapkan CAATT, tantangan terbesar adalah identifikasi area di mana alat dan teknik otomatis dapat, atau seharusnya, diterapkan, tetapi tidak. Area tradisional, seperti keuangan, mungkin dilayani dengan baik, tetapi area nontradisional diabaikan karena penerapan teknologi untuk audit mungkin tidak terlihat pada awalnya. Atau, tingkat keterampilan auditor SI dan pilihan untuk mengembangkan keterampilan IS dapat berjalan dan berhasil. Auditor SI mungkin sudah memiliki pengalaman yang signifikan dengan beberapa aplikasi klien dan sudah memahami tujuan dan sasaran departemen audit.
Pendekatan mana pun yang dipilih, hasilnya harus menghasilkan SI dan keterampilan audit yang ada pada satu atau dua individu dalam organisasi audit. Kombinasi keterampilan ini akan memungkinkan mereka untuk memeriksa informasi elektronik dengan perspektif auditor tentang potensi penggunaan dan pandangan analis tentang cara mengekstrak, menganalisis, dan menggunakan informasi. Banyak organisasi audit telah memformalkan fungsi dukungan informasi dengan membuat bagian ISAM dalam organisasi audit. Grup ini berbeda dari grup audit SI karena beroperasi sebagai layanan pendukung untuk seluruh organisasi audit. Bagian ISAM harus terdiri dari staf dengan keterampilan IS yang sangat baik dan pengalaman audit.
Tujuan utama dari ISAM adalah untuk:
• Menyediakan auditor internal dalam organisasi audit dengan panduan dan bantuan dalam memperoleh dan menganalisis informasi otomatis yang diperlukan untuk merencanakan, melaksanakan, dan melaporkan audit secara efektif dan efisien
• Memberikan umpan balik kepada manajemen senior dalam organisasi audit tentang integritas analisis data yang dilakukan oleh staf audit
ISAM juga akan melakukan analisis yang lebih kompleks atas permintaan dan mempromosikan perencanaan, pelaksanaan, dan pelaporan audit yang lebih efektif dan efisien. Biaya sumber daya dukungan TI tidak berlebihan. Dalam satu organisasi audit, dua orang mendukung persyaratan informasi dari 70 auditor. Grup ini lebih dari sekadar membayar untuk dirinya sendiri, memperkenalkan peningkatan produktivitas di semua fase proses audit.
Studi Kasus 42: Perubahan Peran Auditor IS
Seorang auditor IS dipekerjakan terutama untuk melakukan audit sistem komputer perusahaan. Sebagai tugas sekunder, auditor IS mendukung tujuh auditor lapangan dengan persyaratan informasi mereka. Dukungan ini, termasuk mengembangkan aplikasi perangkat lunak audit ad hoc dan standar, sangat meningkatkan produktivitas auditor lapangan dalam waktu yang sangat singkat. Selain itu, setelah auditor SI memberikan informasi penting kepada auditor lapangan yang tidak tersedia sebelumnya karena terkubur dalam file data, pengontrol memperhatikan perubahan dan mengajukan beberapa pertanyaan. Manajemen audit juga menyatakan minatnya untuk mentransfer pengetahuan auditor SI ke auditor lapangan.
Setelah dia melatih auditor lapangan dalam penggunaan perangkat lunak audit, dia mengembangkan aplikasi standar untuk pengontrol dengan perangkat lunak audit intuitif yang sama. Ini memberikan pengontrol dengan informasi penting yang sebelumnya tidak diketahui. Faktanya, pengontrol menjadi begitu terinformasi sehingga CEO dan ketua dewan memperhatikan dan menanyakan alasan di balik keadaan pencerahan baru yang mengejutkan ini.
Hasil akhir: Auditor SI sekarang bekerja pada Sistem Informasi Eksekutif (EIS) yang didasarkan pada aplikasi perangkat lunak audit. EIS akan menyediakan akses ke semua data elektronik di perusahaan dan akan dapat diakses oleh manajemen senior dan manajemen audit. Manajemen audit juga telah meresmikan fungsi dukungan informasi yang disediakan oleh auditor SI, menjadikan tugas ini sebagai posisi penuh waktu.
Seperti yang ditunjukkan dalam Studi Kasus 42, sementara jumlah orang yang dibutuhkan untuk mendukung fungsi ISAM tidak besar, tingkat individu dalam kelompok harus cukup tinggi untuk memungkinkan mereka melakukan tugas-tugas yang diperlukan. Posisi ini tidak dapat dikelola di tingkat auditor junior. Staf ISAM akan diminta untuk mempertanyakan rencana analisis yang dikembangkan oleh pemimpin tim, untuk melakukan tinjauan jaminan kualitas analisis yang dilakukan oleh tim audit, untuk mendorong penggunaan CAATTs oleh departemen audit, untuk menjadi proaktif dan berpikiran maju, dan memiliki pandangan yang baik tentang ke mana organisasi audit mencoba untuk pergi dalam hal otomatisasi dan bagaimana menuju ke sana dari sini.
Agar dapat mengembangkan lingkungan yang mendukung pembuatan dan implementasi CAATT, ISAM perlu memenuhi beberapa tujuan. Awalnya, waktu staf dalam fungsi ISAM akan dibagi sebagai berikut:
• 30% memberikan dukungan dan saran berkelanjutan dalam menentukan kriteria untuk populasi audit dan mengidentifikasi kemungkinan sumber informasi untuk memenuhi persyaratan audit
• 25% membangun laporan standar, melakukan pengunduhan dan mengembangkan teknik baru, memperoleh akses ke sumber informasi baru, dan mengevaluasi alat dan teknik perangkat lunak audit baru
• 20% melakukan analisis kompleks file data klien dan mengembangkan pemahaman yang baik tentang data untuk mendukung tujuan audit tertentu
• 25% melakukan tinjauan jaminan kualitas atas analisis yang dilakukan oleh berbagai tim audit
Seiring penggunaan CAATT menjadi lebih diterima dan diintegrasikan ke dalam proses audit, persentase waktu staf akan berubah. Lebih sedikit waktu akan dihabiskan untuk memberikan dukungan dan saran dan lebih banyak waktu akan dihabiskan untuk melakukan analisis yang kompleks. Idealnya, akan ada peralihan dari analisis yang digerakkan oleh staf ISAM ke analisis yang digerakkan oleh auditor.
Organisasi audit harus mengembangkan strategi yang berpusat pada pendekatan empat cabang untuk dukungan informasi dengan:
1. Penyediaan CAATT standar untuk digunakan oleh auditor dengan sedikit atau tanpa pengalaman IS
2. Pengembangan antarmuka yang mudah digunakan untuk memberikan auditor akses mudah ke mainframe dan pengembangan sistem berbasis menu untuk memungkinkan auditor melakukan analisis mereka sendiri dan mencetak laporan mereka sendiri 3. Penyediaan data dan alat untuk auditor yang akan memberi mereka kendali atas data
dan kemampuan untuk melakukan analisis mereka sendiri. Ini termasuk fasilitas untuk mengunduh data dari mainframe ke mikrokomputer.
4. Penyediaan jasa staf audit khusus untuk melakukan analisis yang rumit dan melakukan tinjauan Penjaminan Mutu atas nama organisasi audit
ISAM didirikan sebagai titik fokus untuk dukungan dan keahlian sistem informasi. Kelompok ini diharapkan memainkan peran kunci dalam menegosiasikan akses ke sistem informasi.
Sebagai hasil dari campuran SI dan keterampilan audit, ISAM dapat menghasilkan peningkatan yang signifikan dalam analisis data otomatis untuk tujuan audit dan pengurangan waktu penyelesaian. Staf audit tidak akan lagi berurusan langsung dengan pemrogram, yang mungkin memiliki kecenderungan untuk mengkodekan permintaan persis seperti yang disajikan oleh auditor, daripada menawarkan saran yang terkait dengan tujuan audit. Biasanya, auditor cenderung tidak memiliki pengetahuan yang cukup tentang aplikasi dan teknologi, dan pemrogram memiliki sedikit atau tidak memiliki pengetahuan tentang metodologi audit atau area fungsional yang ditinjau. Akibatnya, programmer dapat menambahkan nilai tambahan terbatas pada proses. Staf ISAM, bagaimanapun, akan dapat menawarkan perbaikan terkait audit, mengajukan pertanyaan yang sesuai kepada auditor yang meminta laporan atau data untuk memastikan bahwa permintaan tersebut tidak hanya dipenuhi, tetapi juga relevan dengan audit yang bersangkutan. Selanjutnya, karena ISAM adalah bagian dari departemen audit, independensi dipertahankan dan pengetahuan yang diperoleh tetap berada di departemen audit.