BAB I

PENDAHULUAN
A. Latar Belakang
Kemajuan teknologi informasi telah mengubah cara perusahaan dalam
mengumpulkan data, memproses dan melaporkan informasi keuangan Oleh
karena itu auditor akan banyak menemukan lingkungan dimana data tersimpan
lebih banyak dalam media elektronik dibanding media kertas. Auditor harus
menentukan bagaimana perusahaan menggunakan system teknologi informasi
untuk menginisiasi, mencatat, memproses dan melaporkan transaksi dalam
laporan keuangan. Dalam pemeriksaan, auditor seharusnya memiliki pemahaman
yang tinggi dalam menggunakan sebuah teknik akuntansi berbasis komputer.
Teknik ini dikenal dengan Teknik Audit Berbantuan Komputer (TABK) atau
Computer Assisted Audit Techniques (CAATs). Auditing adalah pengumpulan
dan penilaian bukti mengenai informasi untuk menentukan dan melaporkan
mengenai tingkat kesesuaian antara informasi tersebut dengan kriteria yang telah
ditetapkan, dilakukan oleh orang yang kompeten dan independen. (Elder, dkk,
2008:4).
Agung Budi Laksono (2009) membagi pendekatan audit yang berkaitan
dengan komputer menjadi tiga jenis, yaitu:
1. Auditing around the computer, yaitu mentrasir balik (trace-back) hasil
olahan komputer antara lain output ke bukti dasarnya antara lain input
tanpa melihat prosesnya.
2. Auditing with the computer, pendekatan ini menitikberatkan pada
penggunaan komputer sebagai alat bantu audit. Alat bantu audit ini berupa
komputer dilengkapi dengan software audit umum (generale audit
software, biasa disingkat GAS). Contoh GAS antara lain ACL (Audit
Command Language), IDEA (Interactive Data Extraction and Analysis)
dan lain- lain.
3. Auditing throught the computer, auditor harus memperlakukan komputer
sebagai target audit dan melakukan audit throught atau memasuki area
program. Oleh sebab itu pendekatan Auditing throught the computer
termasuk juga dalam CAATs (Computer Assist ed Audit Technique ) yaitu
teknik audit berbantuan computer (TABK).
1

Secara umum, Teknik Audit Berbantuan Komputer (TABK) atau Computer

Assisted Audit Technique Tools (CAATT) adalah setiap penggunaan teknologi
informasi sebagai alat bantu dalam kegiatan audit. TABK/CAATT dapat juga
didefinisikan sebagai penggunaan perangkat dan teknik untuk mengaudit aplikasi
komputer serta mengambil dan menganalisa data.
Menurut Saryana (2003) definisi TABK yaitu: perangkat dan teknik yang
digunakan untuk menguji (baik secara langsung maupun tidak langsung) logika
internal dari suatu aplikasi komputer yang digunakan untuk mengolah data.
B. Rumusan Masalah
Dari Latar Belakang diatas maka terdapat rumusan masalah sebagai berikut :
1.
2.
3.
4.

Apakah definisi CAATT?

Apa saja yang terdapat pada Pengendalian Aplikasi ?
Bagaimana Menguji Pengendalian Aplikasi Komputer?
Apa saja Alat dan Teknik Audit Berbantuan Komputer untuk Menguji
Pengendalian?

C. Tujuan
Dilihat dari rumusan masalah diatas, maka tujuan pembuatan makalah ini
adalah sebagai berikut :
1. Untuk mengetahui definisi CAATT bagi pembaca dan bagi penulis
khususnya.
2. Untuk mengetahui apa saja yang terdapat pada Pengendalian Aplikasi bagi
pembaca dan bagi penulis khususnya.
3. Untuk mengetahui cara Menguji Pengendalian Aplikasi Komputer bagi
pembaca dan bagi penulis khususnya.
4. Untuk mengetahui Alat dan Teknik Audit Berbantuan Komputer untuk
Menguji Pengendalian bagi pembaca dan bagi penulis khususnya.

BAB II
PEMBAHASAN
A. Definisi

Computer Assisted Audit Technique Tools (CAATT) adalah setiap

penggunaan teknologi informasi sebagai alat bantu dalam kegiatan audit.CAATT
dapat juga didefinisikan sebagai penggunaan perangkat dan teknik untuk
mengaudit aplikasi komputer serta mengambil dan menganalisa data. Dengan kata
lain CAATT merupakan perangkat dan teknik yang digunakan untuk menguji
(baik secara langsung maupun tidak langsung) logika internal dari suatu aplikasi
komputer yang digunakan untuk mengolah data.
B. Pengendalian Aplikasi
Audit berbantuan computer (Computer Assisted Audit Technique Tools
(CAATT)) untuk melakukan berbagai pengujian pengendalian aplikasi serta
ekstraksi data. Pengendalian ini terbagi ke dalam tiga kategori umum yaitu
pengendalian input (input controls), pengendalian pemrosesan (processing
controls), dan pengendalian output (output controls).
I. Pengendalian Aplikasi (Application Controls)
Pengendalian aplikasi yaitu berbagai prosedur yang terprogram yang
didesain untuk menangani berbagai macam potensi eksposur yang mengancam
aplikasi-aplikasi tertentu seperti penggajian, pembelian, dan pengeluaran kas.
Pengedalian aplikasi ini terdiri dari 3 bagian, yaitu pengendalian input,
pengendalian proses dan pengendalian output.
i.

Pengendalian Input (Input Controls)

Komponen pengumpulan data dari sistem informasi bertanggung
jawab untuk membawa data ke dalam sistem untuk diproses.
Pengendalian input pada tahap ini dirancang untuk memastikan bahwa
transaksi tersebut valid, akurat, dan lengkap. Berbagai prosedur input
data dapat dipicu sumber dokumen (batch) atau input langsung (real
time).
Input sumber dokumen memerlukan keterlibatan manusia dan rentan
terhadap kesalahan administrasi. Beberapa jenis kesalahan yang
dimasukkan pada dokumen sumber tidak dapat dideteksi dan dikoreksi
selama tahap input data. Menangani permasalahan ini mungkin
memerlukan pelacakan transaksi kembali ke sumbernya (seperti
3

menghubungi pelanggan) untuk memperbaiki kesalahan. Sedangkan

input

langsung

menggunakan

teknik

editing

real-time

untuk

mengidentifikasi dan memperbaiki kesalahan dengan segera, sehingga

secara signifikan mengurangi jumlah kesalahan yang masuk ke dalam
sistem.
1. Kelas Pengendalian Input
Agar penyajian lebih nyaman dan agar pembahasan lebih
terstruktur maka pengendalian input dibagi ke dalam kelas-kelas umum
berikut ini :
a. Pengendalian dokumen sumber
Pengendalian harus dilakukan dengan hati-hati terhadap
dokumen sumber fisik dalam sistem yang menggunakannya untuk
memulai transaksi. Penipuan dokumen sumber dapat digunakan
untuk memindahkan aset dari perusahaan.Misalnya, seorang
individu yang mempunyai akses pesanan pembelian dan laporan
penerimaan dapat membuat transaksi pembelian kepada pemasok
fiktif. Jika dokumen-dokumen tersebut dimasukkan ke dalam aliran
pengolahan data, bersama dengan faktur vendor palsu itu, sistem
dapat memproses dokumen-dokumen ini seolah-olah sebuah
transaksi yang sah telah terjadi. Tanpa adanya kontrol kompensasi
lain untuk mendeteksi jenis penipuan, sistem akan membuat akun
hutang dan kemudian menulis cek dalam pembayaran.
Untuk mengendalikan eksposur jenis ini maka perusahaan
harus mengimplementasikan berbagai prosedur pengendalian atas
dokumen sumber dengan memperhitungkan setiap dokumen,
seperti dijelaskan dibawah ini :
1) Menggunakan dokumen sumber yang diberi nomor terlebih
dahulu. Nomor tersebut menunjukan urutan angka di setiap
dokumen. Nomor pada dokumen sumber memungkinkan
akuntansi yang akurat atas penggunaan dokumen dan
pelacakan jejak audit.
2) Memakai dokumen sumber secara berurutan. Dokumen
harus didistribusikan dan digunakan secara berurutan. Hal
4

ini membutuhkan penjagaan fisik yang memadai. Ketika

tidak digunakan dokumen tersebut harus dikunci dan akses
menuju dokumen sumber hanya untuk orang-orang tertentu.
3) Melakukan Audit berkala pada dokumen sumber.
Melakukan rekonsiliasi urutan angka dokumen dilakukan
untuk meidentifikasi berbagai dokumen sumber yang
hilang. Auditor harus membandingkan berbagai jumlah
dokumen yang digunakan hingga saat ini dengan yang
tersisa didalam file ditambah yang dibatalkan karena
kesalahan. Semua dokumen tersebut harus dilaporkan
kepada manajemen. Hal ini harus dilakukan secara berkala.
b. Pengendalian pengkodean data
Pengendalian pengodean data adalah pemeriksaan integritas
kode data yang digunakan dalam pemrosesan. Nomer akan seorang
pelanggan, nomor barang persediaan, dan daftar akun adalah
contoh dari kode data. Terdapat tiga jenis kesalahan dalam hal
pengodean data, yaitu kesalahan transkripsi, kesalahan transposisi
tunggal, dan kesalahan transposisi jamak. Kesalahan transkripsi
dibagi kedalam tiga jenis kategori,yaitu :
1) Kesalahan penambahan terjadi ketika angka atau karakter
tambahan ditambahkan ke dalam kode. Misal, nomor barang
persediaan 83276 dicatat sebagai 8327666.
2) Kesalahan pemotongan terjadi ketika sebuah angka atau
karakter dipindahkan dari akhir kode. Dalam kesalahan jenis
ini barang persediaan diatas akan dicatat sebagai 8327.
3) Kesalahan subtitusi adalah penggantian satu angka dalam
sebuah kode dengan angka lainnya. Contoh, nomor kode 83276
dicatat sebagai 83266.
Sedangkan untuk kesalahan transposisi tunggal terjadi
ketika dua angka yang berurutan terbalik. Contoh, 83276 dicatat
38276. Kesalahan transposisi jamak terjadi ketika angka-angka
yang tidak berurutan terbalik. Contoh, kode 83276 dicatat 87236.

Kesalahan transkripsi maupun kesalahan transposisi apapun

dapat menyebabkan masalah serius dalam pemrosesan data jika
tidak terdeteksi.
c. Pengendalian Batch
Pengendalian batch adalah metode yang tidak efektif dalam
mengelola volume data transaksi yang besar dalam sistem. Tujuan
dari pengendalian ini adalah merekonsiliasi output yang dihasilkan
oleh sistem dengan input yang dimasukan ke dalam sistem terkait.
Pengendalian ini memberikan kepastian bahwa :
Semua record dalam batch diproses
Tidak ada record yang diproses lebih dari satu kali.
Adanya jejak audit transaksi mulai dari tahap input, pemrosesan,
hingga output sistem.
Untuk mencapai tujuan tersebut maka dibutuhkan beberapa
kelompok jeis input yang hamper sama atas berbagai transaksi
dalam bentuk batch dan kemudian mengendalikan batch tersebut
selama pemrosesan data. Digunakan dua dokumen untuk
melakukan pekerjaan ini, yaitu sebuah lembar transmisi batch dan
daftar pengendali batch.
d. Pengendalian validasi
Pengendalian input validasi dimaksudkan untuk mendeteksi
kesalahan pada data transaksi sebelum diproses. Prosedur validasi
adalah prosedur yang paling efektif ketika dilakukan dekat dengan
sumber dari transaksi yang mungkin terjadi. Tetapi, berdasar pada
tipe penggunaan CBIS, validasi input dapat dilakukan pada
berbagai poin dari sistem.
Ada 3 level pengendalian validasi input yaitu:
1) Field Interrogation (Pemeriksaan field)
Field interrogation melibatkan prosedur program yang
memeriksa karakter data pada field.
Terdapat beberapa tipe keadaan pada penggunaan field
integorration yaitu:
a) Missing data check, digunakan untuk memeriksa isi field
untuk mengisi bagian yang kosong.
6

b) Numeric alphabetic data check, menentukan form yang

benar pada sebuah field
c) Zero Value Check, digunakan untuk memeriksa field khusus
diisi dengan nol.
d) Limit Check, menentukan jika nilai pada field melebihi batas
yang ditetapkan.
e) Range check, menentukan batasan tertingi & terendah untuk
memeriksa nilai data.
f) Validity check, membandingkan nilai sebenarnya terhadap
nilai yang cocok. Pengendalian ini untuk memeriksa kode
transaksi, kependekan bagian atau kode keahlian karyawan.
g) Check digit, mengendalikan identifikasi masalah serangan
kunci dengan menguji validasi kode internal.
2) Record Interrogation
Prosedur pemeriksaan record mengesahkan seluruh record
dengan memeriksa hubungan timbale balik antar nilai field.
Beberapa tipe penguian adalalah sebagai berikut:
a) Reasonableness checks menentukan jika nilai pada sebuah
field yang sudah melalui tes batasan dan tes susunan sudah
layak ketika diseimbangkan dengan field data yang lain
pada record
b) Sign Check adalah pengujian untuk melihat jika tanda dari
sebuah field benar untuk tipe record yang sedang diproses.
c) Sequence Check digunakan untuk menentukan jika record
melebihi urutan.
3) File interrogation
Tujuan dari tahapan ini untuk memastikan file yang benar
sudah diproses oleh sistem. Pengendalian ini penting dilakukan
pada file master, yang berisi record permanen perusahaan, jika
file ini rusak atau dihilangkan, maka akan sulit diganti.
Beberapa bagian dari file interrogation adalah:
7

a) Internal label check, memeriksa bahwa file yang diproses

adalah satu-satunya program yang dipakai.
b) Version check, digunakan untuk memeriksa versi file yang
diproses adalah benar.
c) An Expiration date check mencegah file dihapus sebelum
kadarluasa , untuk mencegah kerusakan file yang aktif
karena kesalahan, sistem pertama kali memeriksa tanggal
kadarluada yang terdapat pada label. Jika periodenya belum
kadarluasa, sistem akan menghasilkan pesan kesalahan dan
menggagalkan prosedur yang salah. Pengendalian tanggal
kadarluasa

merupakan

pilihan.

Panjangnya

waktu

dispesifikasi oleh program.

e. Perbaikan kesalahan input
Ketika kesalahan didetekdi dalam batch, kesalahan tersebut
harud diperbaiki dan record terkait harus diserahkan ulang untuk
pemrosesan ulang. Proses ini haruslah merupakan proses terkendali
untuk memastikan bahwa perbaikan teah ditangani secara
menyeluruh dan benar. Terdapat tiga teknik umum untuk
menanggulangi kesalahan:
1) Memperbaiki segera
Setelah mendeteksi adanya kesalahan ketik atau hubingan yang
tidak logis, sistem seharusnya menghentikan prosedur entri
data sampai pengguna memperbaiki kesalahan tersebut.
2) Membuat file kesalahan
Pada akhir prosedur validasi, record yang ditandai sebagi
kesalahan akan dikeluarkan dari batch dan dimasukkan ke
dalam file sementara, sampai kesalahan tersebut diperiksa.
3) Menolak batch terkait
Beberapa bentuk kesalahan berkaitan dengan batch terkait
secara keseluruhan sehingga tidak dapat dengan jelas
dihubungkan dengan record tertentu. Salah satu contoh dari
8

kesalahan jenis ini adalah ketidaksamaan dalam total

pengendali batch.
Kesalahan betch adalah salah satu alasan untuk menjaga
ukuran batch tetap dalam ukuran yang mudah dikelola. Record
yang terlalu sedikit dalam suatu batch dapat membuat pemrosesan
menjadi tidak efisien, sedangkan bila terlalu banyak membuat
deteksi kesalahan sulit dilakukan, hingga menyebabakan gangguan
bisnis lebih besar daripada kjika batch terkait ditolak, dan juga
meningkatkan kemungkinan terjadinya berbagai kesalahan saat
menghitung total pengendalian batch.
ii.

Pengendalian Proses
Setelah menyelesaikan proses input, transaksi akan masuk dalam
tahap pemrosesan. Pengendalian proses terbagi menjadi 3 kategori
yaitu:
1. Run to run controls
Run to run control memakai bentuk batch untuk melihat bagaimana
tiap fungsi bergerak dari suatu prosedur pemrograman ke prosedur
yang lain. Run to run controls ini untuk memastikan bahwa tiap
langkah pada sistem pemrosesan bagian secara benar dan lengkap.
Beberapa alat pemrosesan dapat tersiri dari pemisahan pengendalian
record yang dibuat pada saat input data.
Pengunaan spesifik dari run to run controls adalah sebagai berikut:
1. Recalculate control totals
Setelah beberapa operasi utama dalam proses dan setelah setiap
bagian berjalan, sejumlah nilai uang dihitung totalnya dan setiap
record perhitungan diakumulasikan dan dibandingkan untuk
mencocokkan nilai yang disimpan pada pengendalian control.
Jika record pada bagian batch tersebut hilang, tidak terproses
atau pemrosesan lebih dari satu kali maka akan diketahui
dengan adanya ketidaksesuaian antara beberapa bagian tersebut.
2. Transaction codes
Kode transaksi dari tiap record pada bagian batch dibandingkan
dengan kode transaksi yang terdapat pada record pengendalian. Hal

ini memastikan hanya tipe file yang sesuai dari transaksi yang akan
diproses.
3. Sequence check
Pada sistem yang menggunakan beberapa file master, urutan record
transaksi pada bagian batch tidak selamanya benar dan dapat
diproses dengan lengkap. Ketika dokumen ini diproses maka harus
diurutkan pada urutan dari file master yang digunakan pada tiap
langkah. Pengendalian beberapa rekening ini (sequence check)
membandingkan beberapa record pada bagian batch dengan record
sebelumnya untuk memastikan bahwa pengurutan data berjalan
iii.

tepat.
Pengendalian Output
Pengendalian output memastikan bahwa output sistem tidak
hilang, tidak teratur, tidak rusak, dan kerahasiaannya tidak terganggu.
Sebagai contoh, sebuah rekening dihasilkan dari pengeluaran kas
perusahaan hilang, tidak teratur ataupun dirusak. Karena hal tersebut
akun perdagangan dan tagihan lainnya dapat tidak terbayar. Hal ini
dapat merusak citra perusahaan, dan hasilnya kehilangan kepercayaan,
kehilangan bunga, bahkan tuntutan hukuman.
Jika kerahasiaan dari beberapa output terganggu, perusahaan
dapat mengkompromikan tujuan bisnis dengan bagian perusahaan
ataupun melakukan pembongkaran secara legal. Contoh dari
terbukanya kerahasiaan perusahaan diantaranya penyingkapan rahasia
perdagangan, lamanya mendapatkan hak paten dan hasil riset pasar
ataupun terbukanya data kesehatan pasien pada sebuah rumah sakit.
Secara umum sistem batch rentan untuk dibongkar dan
membutuhkan pengendalian yang lebih efektif dibandingkan dengan
sistem real-time. Pada bagian ini kita akan memeriksa eksposur output
dan pengendalian untuk kedua metode tersebut.

1.

Controlling Batch System Output

Sistem batch biasanya menghasilkan output pada form
hardcopy, yang membutuhkan keterlibatan secara tipikal dari perantara
dalam produksi dan distribusinya.
10

Output dicetak dari printer oleh operator computer, dipisahkan

ke dalam lembaran-lembaran dan dipisahkan dari laporan lain, dilihat
kembali kebenarannya oleh pegawai control. Dan kemudian data
dikirim melalui ke bagian-bagian kantor untuk pengguna terakhir.
Setiap tahapan dalam proses ini merupakan poin eksposur yang
potensial dimana output tersebut dapat dilihat, dicuri, dijiplak, dan
tidak menggambarkan keadaaan sebenarnya. Sebuah tambahan
eksposur ada ketika pemrosesan atau pencetakan mengalami kesalahan
dan menghasilkan output yang tidak dapat diterima oleh pengguna
terakhir.
Berikut ini adalah teknik-teknik untuk mengendalikan setiap
fase dalam proses output. Perlu diingat bahwa tidak semua teknik ini
perlu untuk diterapkan pada setiap bagian dari hasil output oleh sistem.
Yang selalu diperhatikan adalah bahwa pengendalian dilakukan pada
basis cost-benefit yang ditentukan oleh sensitifitas data pada laporan.
a. Output Spooling
Pada operasi pemrosesan data berskala besar, alat output seperti
printer dapat tertimbun oleh banyak program secara bersamaan
yang menuntut kemampuan printer yang terdapat. Timbunan ini
dapat menyebabkan kemacetan yang dapat menimbulkan kerugian
pada sistem. Aplikasi yang menunggu untuk diprint pada akhirnya
mengambil alih memori dari computer dan menghalangi aplikasiaplikasi lain dari aliran proses input lain. Untuk mengurangi
kesulitan ini, aplikasi biasanya disesuaikan untuk mengatur
outputnya ke dalam dalam disc magnetic file daripada ke printer.
Cara ini disebut dengan output spooling. Kemudian, jika printer
telah siap, maka output file dapat di print melalui printer.
b. Bursting
Ketika laporan output dipindahkan dari printer, maka akan
dilakukan tahap pembukaan laporan untuk memisahkan tiap jenis
halaman. Yang menjadi perhatian di sini adalah kemungkinan
pegawai bursting membuat salinan yang ilegal dari laporan
11

tersebut, memindahkan halaman dari laporan, atau membaca data

yang sensitif. Pengendalian yang utama eksposur ini adalah
melakukan pengawasan. Untuk laporan yang sangat sensitif,
bursting dapat dilakukan oleh pengguna terakhir.
c. Waste
Output komputer yang tidak terpakai dan menjadi sampah dapat
menjadi eksposur yang potensial. Dalam hal ini sangat penting
untuk membuang laporan tersebut besserta salinan karbon dari
multipart paper pada waktu bursting. Hal ini karena komputer
kriminal dapat mengetahui dan mencari laporan tersebut jika output
tersebut diperlakukan secara sembrono. Jika penjahat dapat
mengambil output tersebut ia bisa saja mengetahui hasil riset pasar,
rating kredit pelanggan, ataupun rahasia perdagangan lainnya.
Selanjutnya mereka dapat menjualnya kepada perusahaan pesaing.
Komputer waste juga merupakan sumber dari data teknikal seperti
password dan tabel penting lainnya, jika dapat diakses penjahat
maka mereka dapat merusak data yang sensitif.
d. Data control
Pada beberapa perusahaan, kelompok kontrol data bertanggung
jawab untuk memastikan keakuratan dari hasil output sebelum
didistribusikan ke pengguna. Otomatis, petugas kontrol data akan
melihat semua bagian pengendalian batch untuk memeriksa
keseimbangan, memeriksa bagian dari laporan untuk memstikan
tidak rusak,tidak terbaca,atau ada data yang hilang. Tapi untuk data
yang sangat sensitif maka dapat dilakukan oleh end user.
e. Report distribution
Resiko

utama

ketika

pendistribusian

laporan

mencakup

hilangnya laporan, dirusak, atau kesalahan pengaturan ketika

berpindah ke pengguna. Untuk mencegah ini pemberian nomor
atau nama penerima pada laporan dapat dilakukan. Untuk distribusi
data yang sensitif teknik yang digunakan adalah :

12

1) laporan dapat diletakan di kotak suran yang aman dan hanya

pengguna yang tahu kuncinya.
2) pengguna perlu juga untuk menghadap ke pusat distribusi dan
menandai laporan.
3) petugas keamanan atau kurir khusus dapat mengirim report/
laporan ke pengguna.
f. End User Controls
Yang pertama kali harus dilakukan pada laporan ketika sampai
ke tangan pengguna adalah diperiksa kembali beberapa kesalahan
yang tidak diperiksa oleh petugas kontrol data. Pengguna
merupakan posisi terbaik untuk mengidentifikasi kesalahan yang
fatal pada laporan yang ditutup karena pengontrolan total yang
tidak seimbang. Deteksi kesalahan oleh pengguna harus dilaporkan
pada bagian manajemen servis yang tepat. Kesalahan tersebut dapat
berupa kesalahan desain sistem, prosedur yang salah, kesalahan
karena kecelakaan selama perbaikan sistem,atau akses ilegal ke file
data atau program.

2.

Controlling Real-Time System Output

Sistem real-time mengatur outputnya ke layar komputer
pengguna,

terminal,

atau

printer. Metode

pendistribusian

ini

mengeliminasi macam-macam parantara dalam perjalanan dari

komputer pusat ke pengguna dan mengurangi mengurangi macammacam eksposur. Ancaman utama dari output real-time yaitu output
tersebut dapat ditahan, diganggu, dirusak, atau dihilangkan selama
melewati link komunikasi. Ancaman ini berasal dari dua tipe eksposur
yang pertama eksposur dari gangguan peralatan dan yang kedua dari
aktifitas gerakan-gerakannya. Hal ini menyebabkan komputer penjahat
dapat menangkap pesan output antara pengirim dan penerima

13

C. Pengujian aplikasi
Teknik-teknik pengujian pengendalian menyediakan informasi mengenai
akurasi dan kelengkapan proses aplikasi. Dalam pengujian ini terdapat dua
pendekatan umum yaitu pendekatan black-box (around-computer) dan white-box
(melalui pendekatan komputer).
1. Pendekatan Black Box (Black-Box Approach)
Auditor melakukan pengujian dengan black-box tidak bergantung
pada satu pengetahuan yang terperinci dari logika internal aplikasi.
Sebaliknya, mereka berusaha untuk memahami karakteristik fungsional
aplikasi dengan menganalisis diagram alur dan mewawancarai personil
yang berpengetahuan dalam organisasi klien. Dengan pemahaman tentang
fungsi aplikasi, auditor menguji aplikasi dengan melakukan rekonsiliasi
transaksi input produksi yang diproses oleh aplikasi dengan hasil output.
Hasil output dianalisis untuk memverifikasi kepatuhan aplikasi dengan
persyaratan fungsionalnya.
Keuntungan dari pendekatan black-box adalah bahwa aplikasi tidak
perlu dihapus dari layanan dan dapat diuji secara langsung. Pendekatan ini
layak untuk pengujian aplikasi yang relatif sederhana. Namun, untuk
aplikasi kompleks yang melakukan berbagai operasi dan menghasilkan
output multi memerlukan pendekatan pengujian lebih fokus untuk
memberikan auditor dengan bukti integritas aplikasi.
2. Pendekatan White-Box (white-box approach )
Pendekatan White-Box bergantung pada pemahaman mendalam tentang
logika internal aplikasi yang sedang diuji. Pendekatan ini mencakup
beberapa teknik untuk pengujian logika aplikasi langsung. Teknik ini
menggunakan nomor kecil transaksi pengujian yang khusus diciptakan
untuk memverifikasi aspek khusus dari logika aplikasi dan kontrol.Dengan
cara ini, auditor dapat melakukan pengujian yang tepat, dengan
mengetahui variabel, dan mendapatkan hasil yang dapat dibandingkan
secara objektif. Beberapa jenis yang lebih umum dari pengujian
pengendalian meliputi:
14

1) Uji Keaslian (authenticity test), memverifikasi bahwa individu,

prosedur pemrograman, atau pesan (seperti transmisi EDI) untuk
mengakses sistem telah otentik. Pengujian Keaslian mencakup ID
pengguna, sandi, kode vendor yang valid, dan tabel otoritas.
2) Uji Akurasi (accuracy test), menjamin sistem melakukan proses
hanya data yang nilainya sesuai dengan toleransi tertentu.
Contohnya termasuk berbagai tes,seperti field test dan tes batas.
3) Uji Kelengkapan (completeness test), mengidentifikasi data yang
hilang dalam satu catatan data dan seluruh catatan yang hilang dari
batch. Jenis-jenis pengujian yang dilakukan adalah uji lapangan, uji
urutan catatan, total hash, dan total kontrol.
4) Uji Redundansi (redundancy test), memastikan bahwa proses setiap
record hanya dilakukan sekali. kontrol Redundancy mencakup
rekonsiliasi total batch, jumlah catatan, total hash, dan total kontrol.
5) Uji Akses (Access test),menjamin bahwa aplikasi yang berwenang
mencegah pengguna dari akses yang tidak sah ke data. Akses
kontrol termasuk password, tabel otoritas, prosedur yang ditetapkan
pengguna, enkripsi data, dan kontrol kesimpulan.
6) Uji Jejak Audit (audit trail test), menjamin bahwa aplikasi
menciptakan jejak audit yang memadai. Hal ini mencakup bukti
bahwa record aplikasi semua transaksi berada pada catatan
transaksi, posting nilai data ke rekening yang sesuai, menghasilkan
daftar transaksi yang lengkap, dan menghasilkan file error dan
laporan untuk semua pengecualian.
7) Uji Kesalahan Pembulatan (rounding error test), memverifikasi
kebenaran prosedur pembulatan. Kesalahan pembulatan terjadi
dalam informasi akuntansi ketika tingkat ketepatan yang digunakan
dalam perhitungan lebih besar daripada yang digunakan dalam
pelaporan. Sebagai contoh, perhitungan bunga pada saldo rekening
bank mungkin memiliki ketepatan hingga lima angka dibelakang
koma, sementara dalam laporan saldo hanya dibutuhkan dua angka
dibelakang koma. Jika tiga angka sisanya di belakang koma
15

dibuang begitu saja, maka nilai bunga total yang dihitung untuk
saldo total akun terkait tidak akan sama dengan jumlah
perhitungannya secara individual. Program pembulatan sangat
rentan terhadap penipuan salami. Sepuluh penipuan Salami tidak
hanya mempengaruhi sejumlah besar korban, tetapi juga kerugian
bagi setiap material. Kasus salami ini bisanya terjadi dalam dunia
perbankan, dimana sang programmer menambahkan program
khusus dalam sistem yang ada untuk melakukan transfer atas
pencurian bunga nasabah senilai 0.1%. Kita bisa bayangkan, jika
nasabah berjumlah 1 juta nasabah.
8) Sistem operasi audit trail dan perangkat lunak audit dapat
mendeteksi aktivitas berkas yang berlebihan. Dalam kasus
penipuan salami, akan ada ribuan entri ke rekening pribadi kriminal
komputer yang dapat terdeteksi dengan cara ini. Seorang
pemrogram mungkin pandai menyamar kegiatan ini dengan
menyalurkan entri ini melalui beberapa rekening sementara
menengah, yang kemudian dikirim ke sejumlah kecil rekening
menengah dan akhirnya ke rekening pribadi programmer. Dengan
menggunakan banyak tingkat akun pada cara ini, kegiatan ke
rekening tunggal berkurang dan mungkin tidak terdeteksi oleh
perangkat lunak audit. Akan ada jejak, tetapi dapat menjadi rumit.
Seorang auditor terampil juga dapat menggunakan perangkat lunak
audit untuk mendeteksi keberadaan rekening antara tidak sah
digunakan sedemikian penipuan.
D. Alat dan Teknik

Audit Berbantuan Komputer untuk Menguji

Pengendalian
Untuk menggambarkan bagaimana pengendalian aplikasi diuji, bagian ini
menggambarkan lima pendekatan CAATT yaitu:
A. Test Data Method
Uji metode data digunakan untuk membangun integritas aplikasi dengan
pengolahan set khusus yang disiapkan melalui aplikasi produksi yang sedang
16

diperiksa. Hasil uji masing-masing dibandingkan dengan harapan yang telah

ditentukan untuk mendapatkan evaluasi obyektif dari logika aplikasi dan
efektivitas kontrol. Untuk melakukan teknik uji data, auditor harus
memperoleh salinan dari versi aplikasi saat ini. Selain itu, tes transaksi file
dan file uji master harus diciptakan.
Transaksi dapat masuk ke dalam sistem dari tape magnetik, disk, atau
melalui terminal input. Hasil dari uji coba akan berada dalam bentuk laporan
output rutin, daftar transaksi, dan laporan kesalahan. Selain itu, auditor harus
meninjau file update master untuk menentukan bahwa saldo account telah
benar diperbarui. Hasil uji kemudian dibandingkan dengan hasil yang
diharapkan auditor untuk menentukan apakah aplikasi berfungsi dengan
benar. Perbandingan ini dapat dilakukan secara manual atau melalui
perangkat lunak komputer khusus.
Ketika membuat data pengujian, auditor harus menyiapkan kelengkapan
dari transaksi yang valid dan tidak valid. Jika data uji tidak lengkap, auditor
mungkin gagal untuk memeriksa logika aplikasi dan rutinitas pengecekan
error. Uji transaksi harus menguji setiap kemungkinan kesalahan input, proses
logis, dan ketidak aturan.
Pengetahuan tentang logika internal aplikasi yang cukup untuk membuat
data uji membutuhkan investasi waktu yang besar. Namun, efisiensi dari hal
ini

dapat

ditingkatkan

melalui

perencanaan

yang

hati-hati

selama

pengembangan sistem. Auditor harus menyimpan data uji yang digunakan

untuk menguji modul program selama tahap pelaksanaan SDLC untuk
penggunaan di waktu yang akan datang.
Keuntungan dari Teknik Pengujian Data
Ada 3 keuntungan utama dari teknik pengujian data. Pertama, pengujian
dengan computer, kemudian memberikan auditor bukti-bukti yang jelas
mengenai fungsi-fungsi aplikasi.Kedua, jika perencanaan tepat, langkah
pengujian data dapat dikerjakan dengan sedikit gangguan pada operasi
organisasi. Ketiga, hanya memerlukan sedikit keahlian computer dalam
mengaudit.
Kekurangan dari Teknik Pengujian Data
17

Kerugian dari semua teknik pengujian data adalah pertama, auditor harus
mengandalkan pegawai servis computer untuk memperoleh sebuah salinan
aplikasi untuk pengujian. Hal ini membawa risiko bahwa pelayanan computer
mungkin disengaja atau tidak disengaja memberikan auditor aplikasi dengan
versi yang salah dan mungkin mengurangi bukti audit yang terpercaya.
Kekurangan yang kedua adalah menyediakan grafik integritas aplikasi
hanya pada satu waktu. Mereka tidak menyediakan sebuah cara yang sesuai
dari bukti-bukti tentang fungsional aplikasi yang terus-menerus. Tidak ada
bukti bahwa audit telah dilakukan.
Sedangkan kekurangan yang ketiga adalah relative tingginya harga
implementasi. Biaya tersebut tidak efisien karena hasilnya masuh dalam
proses audit. Seorang auditor bahkan mungkin banyak menghabiskan waktu
untuk memahami program logika dan untuk membuat pengujian data.
B. The Integrated Test Facility (ITF)
Pendekatan ini adalah teknik otomatis yang memungkinkan auditor
untuk menguji sebuah aplikasi dan mengendalikannya selama proses
operasi normal. ITF merupakan satu atau lebih modul audit yang didesain
ke dalam aplikasi selama proses pengembangan sistem.
Pada penambahannya, database ITF dummy atau pengujian record
file master dengan file yang logis. Beberapa perusahaan membuat dummy
untuk pengujian transaksi yang dipusatkan. Selama operasi normal,
pengujian transaksi digabungkan ke dalam aliran input dalam transaksi
regular dan diproses pada file dari dummy perusahaan.
Modul audit ITF didesain untuk membedakan transaksi ITF dan
produksi data sehari-hari. Salah satu penggunaan paling sederhana dan
yang paling biasa digunakan adalah untuk meletakan susunan unik dari
nilai kunci secara eksklusif untuk transaksi ITF. Sebagai contoh, pada
sistem pemrosesan pesanan penjualan, nomor akun antara 2000 dan 2100
dapat dipesan untuk transaksi ITF dan tidak akan ditandai untuk akun
pelanggan actual.
Kelebihan Integrated Test Facility

18

Teknik ITF mempunyai dua kelebihan utama. Yang pertama, ITF

mendukung pengawasan yang sedang berjalan dari pengendalian yang
dibutuhkan oleh SAS 78. Kedua, aplikasi dengan ITF dapat menjadikan
pengujian lebih ekonomis tanpa memnggangu operasi pengguna dan tanpa
campur tangan pegawai servis computer. Jadi ITF meningkatkan efisiensi
dari audit dan menambah tingkat kepercayaan dari bukti audit yang
dikumpulkan.
Kelemahan Integrated Test Facility
Kelemahan utama dari ITF yaitu adanya kesempatan potensial untuk
menghilangkan file data organisasi dengan uji data. Sebuah langkah harus
dilakukan untuk memastikan uji transaksi ITF tidak mempengaruhi
laporan keuangan dari jumlah transaksi yang tidak sesuai dengan transaksi
yang sah. Masalah ini dapat diperbaiki dengan dua cara. Pertama,
mengatur catatan yang diproses untuk menghapus pengaruh ITF dari
keseimbangan akun jurnal umum. Kedua, file data dapat ditinjau oleh
software khusus yang dapat menghapus transaksi ITF.
C. Parallel Simulation
Pendekatan ini mengharuskan auditor untuk membuat suatu program
yang menyimulasikan fungsi utama tertentu dari aplikasi yang sedang
diuji. Program simulasi dapat ditulis dalam berbagai bahasa pemrograman.
Langkah-langkah untuk pembuatan pengujian simulasi parallel adalah
sebagai berikut :
1) Auditor harus benar-benar memahami aplikasi untuk melakukan review
dokumentasi yang tepat dan lengkap dari aplikasi yang dibutuhkan
untuk membangun sebuah simulasi yang akurat.
2) Auditor selanjutnya harus mengidentifikasi proses dan pengendalian
pada aplikasi yang rawan untuk diaudit. Ini adalah proses
disimulasikan.
3) Auditor membuat aplikasi melalui 4GL atau Generalized audit Software
(GAS)
4) Auditor menjalankan program simulasi menggunakan transaksi yang
dipilih dan fle master untuk menghasilkan sekumpulan hasil.
19

5) Terakhir, auditor mengevaluasi dan menggabungkan hasil uji dengan

hasil yang dihasilkan pada proses sebelumnya.
Auditor harus berhati-hati untuk mengevaluasi dan menggabungkan
hasil uji dengan hasil produksi. Jika ada perbadaan maka perbedaan output
tersebut dapat disebabkan oleh dua hal yaitu, pertama, program simulasi
yang mentah dan kedua, kecurangan yang sesungguhnya terjadi dalam
proses ataupun pengendalian aplikasi.yang dapat terlihat oleh program
simulasi.

BAB III
PENUTUP
A. Kesimpulan
Audit berbantuan computer (Computer Assisted Audit Technique Tools
(CAATT)) untuk melakukan berbagai pengujian pengendalian aplikasi serta
ekstraksi data. Diawali dengan pengendalian aplikasi yang didalamnya mencakup
pengendalian input, pengendalian proses, dan pengendalian output. Pengendalian
input menentukan kumpulan dan masukan data ke dalam sistem serta memastikan
bahwa semua data valid, akurat, dan lengkap. Pengendalian proses mencoba
memelihara integritas dari record individu dan record pada batch dalam sistem
dan harus memastikan cukupnya bukti audit. Sedangkan pengendalian output
adalah untuk memastikan bahwa semua informasi yang dihasilkan tidak
hilang,tidak teratur, dan terjaga kerahasiaannya.
20

Untuk melakukan pengujian pengendalian aplikasi maka memakai dua

pendekatan yaitu black-box approach dan white-box approach. Black-box
approach melakukan audit sekeliling computer sedangkan white-box approach
memerlukan pemahaman yang mendalam dari logika aplikasi.
Sedangkan untuk melakukan pengujian aplikasi maka ada lima tipe yang
biasa digunakan yaitu the test data method, base case system evaluation, tracing,
integrated test facility, dan parallel simulation.
Dari bahasan-bahasan tersebut penulis menyimpulkan CAATTs memberikan
kemudahan pada proses audit. Untuk database yang berisikan ribuan transaksi,
yang tidak mungkin dilakukan dengan cara manual, maka CAATTs sangat
membantu untuk memfokuskan audit. CAATTs mampu memeriksa 100% seluruh
transaksi dalam sebuah database dan mampu memberikan informasi untuk analisis
data dan melihat profil data. Selain itu proses audit menjadi lebih cepat.
Tetapi dalam hal ini CAATTs juga memiliki kekurangan diantaranya
memerlukan waktu yang lama untuk mempelajari teknik ini dan juga diperlukan
biaya yang besar untuk pelatihan para staf untuk menggunakan software tersebut,
karena untuk menjadi mahir, software-software ini menuntut pengembangan dan
pemeliharaan keahlian secara kontinyu.

21