Dibagi menjadi 2:
1. Strategic Systems Planning: alokasi sumber daya sistem di tingkat makro. Biasanya berkaitan dengan
kerangka waktu 3 - 5 tahun
2. Project Planning: alokasi sumber daya di tingkat proyek individual
Peran auditor di tahap ini >> memastikan bahwa perencanaan sistem memadai >> mengurangi risiko
operasi tidak 3E
Systems Analysis
Terdiri 2 tahap proses :
1. Survei atas current system
- Keuntungan melakukan survei: identifikasi aspek old sistem yang ingin dipertahankan, sistem
analis memahami betul sistemnya, sistem analis dapat mengisolasi akar masalah karena paham
sistem.
- Dilakukan dengan mengumpulkan fakta: data source, user, data store, proses, data flow, control,
dll
- Teknik pengumpulan data: Observasi, personal interview, reviu dokumen,
2. Analisis >> analisis berdasarkan data yang terkumpul
Peran auditor di tahap ini >> mendapatkan gambaran sistem terbaik yang diinginkan dan memastikan
semua kebutuhan user atas sistem baru terakomodasi
Conceptual Systems Design
Tujuan >> untuk menghasilkan beberapa alternatif konseptual sistem yang memenuhi persyaratan sistem
yang diidentifikasi selama analisis sistem.
Ada 2 Pendekatan:
1. The Structured Design Approach >> merancang sistem dari atas ke bawah. Biasanya memakai DFD
untuk menggambarkan bisnis proses dan Struktur diagram untuk menggambarkan dekomposisi topdown.
2. The Object-Oriented Approach >> membangun sistem informasi dari reusable komponen standar atau
benda.
Peran auditor di tahap ini >> Merancang fitur audit selagi desain konseptual dibuat
System Evaluation and Selection
Tujuan >> mengidentifikasi sistem yang terbaik
Dilakukan dengan 2 proses:
1. Detailed Feasibility Studies, meliputi TELOS:
Technical feasibility: mengidentifikasi apakah sistem bisa dikembangkan dengan existing technologi
atau butuh teknologi baru
Economic feasibility: mengidentifikasi kecukupan dana untuk menyelesaikan proyek
Legal feasibility: mengidentifikasi konflik antara sistem konseptual dan kemampuan perusahaan untuk
melaksanakan tanggung jawab hukumnya
Operational feasibility: tingkat kesesuaian antara prosedur yang dipunya perusahaan dan
keterampilan personil dan operasional yang diminta oleh sistem baru
Schedul feasibility : kemampuan perusahaan untuk menyelesaikan proyek pada waktunya.
2.
b.
3) tangible benefit: increase revenue (sales naik di existing market, market expansion) dan
reduce cost (labor, operating, inventory turun, equipment mahal berkurang, maintenance cost
turun)
4) intangible benefit (kepuasan customer naik, kepuasan pekerja naik, decision making semakin
baik, operasi lebih efisien)
Compare Cost n Benefit
Menggunakan analisis:
1) NPV : PV total benefit dikurangi PV total cost (initial+recurring) yang terjadi selama masa hidup
sistem
2) Payback method (break even analysis): Mencari titik waktu kapan jumlah PV total benefit
setara dengan jumlah PV total cost. Periode setelah titik BEP = periode profit.
Peran auditor di tahap ini >> Memastikan kelayakan ekonomis atas proposed system diukur seakurat
mungkin
Detailed Design
Tujuan >> untuk menghasilkan penjelasan rinci proposed system yang baik memenuhi persyaratan sistem
yang diidentifikasi selama analisis sistem dan sesuai dengan desain konseptual.
Application Programming and Testing
1. Program the Application Software
Tujuan >> to select a programming language from among the various languages available and suitable
to the application.
These include procedural languages like COBOL, event-driven languages like Visual Basic, or objectoriented programming (OOP) languages like Java or C++.
2. Test the Application Software >> melakukan test untuk setiap program modules
Metodologi testing:
a. Testing Offline Before Deploying Online
b. Test Data
System Implementation
Ciri: Database structures are created and populated with data, equipment is purchased and installed,
employees are trained, the system is documented, and the new system is installed.
Kegiatan yang dilakukan:
1. Testing the Entire System : melakukan test semua modules sebagai satu kesatuan.
2. Documenting the System : Designer and Programmer Documentation, Operator Documentation
(dokumennya disebut run manual), User Documentation, User handbook, Tutorial, dll
3. Converting the Database
Yaitu transfer data dari bentuk yang sekarang ke format atau media yang diperlukan oleh sistem baru.
Konversi data sangat berisiko sehingga perlu tindakan pencegahan: Validation, Reconciliation, Backup.
4. Converting to the New System
Proses konversi dari old system ke new system disebut Cutover. Ada 3 pendekatan system cutover:
Cold Turkey Cutover (Big Bang)
Ciri:
- perpindahan dilakukan secara simultan (sekaligus)
- pendekatan paling mudah dan murah untuk sistem sederhana
- pendekatan paling berisiko untuk sistem kompleks
Phased Cutover (Bertahap)
Ciri:
- Membagi entire system dalam beberapa modul
- Menjalankan sistem baru secara bertahap
- Bisa menimbulkan incompatibilities between new subsystems and yet-to-be-replaced old
subsystems
Post-Implementation Review
Meliputi reviu:
a. Systems Design Adequacy
b. Accuracy of Time, Cost, and Benefit Estimates.
Systems Maintenance
Setelah sistem diimplementasikan, memasuki tahap akhir dalam siklus hidupnya. Pemeliharaan sistem
adalah proses formal di mana program aplikasi mengalami perubahan untuk mengakomodasi perubahan
kebutuhan pengguna.
Selama masa hidup sistem, sebanyak 80 sampai 90 persen dari total biaya yang mungkin akan terjadi dalam
tahap pemeliharaan.
CONTROLLING AND AUDITING THE SDLC
1. Controlling New Systems Development
Tujuan Audit terkait New Systems Development:
a. Memastikan SDLC diterapkan sesuai kebijakan manajemen
b. Memastikan sistem yang diimplementasikan bebas dari material eror dan fraud
c. Memverifikasi bahwa dokumentasi sistem dilakukan secara lengkap dan memadai untuk
memfasilitasi audit dan aktivitas pemeliharaan.
Controllable activities-nya:
a. Systems Authorization Activities >> All systems must be properly authorized to ensure their
economic justification and feasibility.
b. User Specification Activities >> Users must be actively involved in the systems development
process
c. Technical Design Activities
d. Internal Audit Participation
e. User Test and Acceptance Procedures
2.
c.
Test Access to Libraries: Review programmer authority tables, Test authority table
Controllable activities-nya:
a. Maintenance Authorization, Testing, and Documentation
b. Source Program Library Controls
CHAPTER 6
TRANSACTION PROCESSING AND FINANCIAL REPORTING SYSTEMS OVERVIEW
Transaction Cycles
1. The expenditure cycle
a. Purchases/accounts payable system >> beli inventory dari vendor
b. Cashdisbursements system >> bayar utang ke vendor
c. Payroll system >> bayar gaji
d. Fixed asset system >> beli, pelihara, dan jual AT
2. The conversion cycle
a. The production system >> planning, scheduling, and control of the physical product through the
manufacturing process
b. The cost accounting system >> monitors the flow of cost information related to production
3. The revenue cycle
a. Sales order processing >> preparing sales orders, granting credit, shipping products (or rendering
of a service) to the customer, billing customers, and recording the transaction in the accounts
(accounts receivable [AR], inventory, expenses, and sales).
b. Cash receipts >> collecting cash, depositing cash in the bank, and recording these events in the
accounts (AR and cash)
ACCOUNTING RECORDS
Manual Systems
1. Dokumen >> Lihat Figur 6.2,6.3,6.4 (hal 227-228)
- source dokumen
- product dokumen
- turnaround dokumen
2. Jurnal >> (hal. 229) dan liat Figure 6.5- 6.8
- Spesial jurnal >> mencatat transaksi rutin
- General Jurnal >> mencatat transaksi non rutin
3. Ledger >> (hal. 231) dan liat Figure 6.9A-B, 6.10
- General Ledger
- Subsidary Ledger
The Audit Trail
The accounting records described previously provide an audit trail for tracing transactions from source
documents to the financial statements
Computer-Based Systems
Tipe file yang ada di CBS berupa magnetic file bukan file fisik. Jenisnya yaitu sbb: (rincian definisi ada di hal
234)
1. Master File >> generally contains account data. Contoh: GL dan Subsidary Ledger
2. Transaction File >> a temporary file of transaction records used to change or update data in a master
file. Contoh: Sales orders, inventory receipts, and cash receipts
3. Reference File >> stores data that are used as standards for processing transactions.
4. Archive File >> contains records of past transactions that are retained for future reference
DOCUMENTATION TECHNIQUES
Data Flow Diagrams and Entity Relationship Diagrams
1. DFD : menggunakan simbol untuk merepresentasikan entities, processes, data flows, and data stores
dalam sebuah sistem. Lihat Figure 6.12 hal 237 dan 6.13 hal 238
2. ERD : sebuah teknik dokumentasi yang merepresentasikan relationship antar entitas. Misal: One to
One, One to Many, Many to Many. Lihat Figure 6.14 hal 238.
Modern Systems
Menggunakan basis clent-server (network)
Menggunakan database
3.
4.
Teknik Coding
Nama Teknik Coding
Sequential Codes
represent items in some
sequential order (ascending or
descending)
Block Codes
This approach can be used to
represent whole classes of items
by restricting each class to a
specific range within the coding
scheme. Contoh: COA
Group Codes
are used to represent complex
items or events involving two or
more pieces of related data
Alphabetic Codes
are used for many of the same
purposes as numeric codes.
Mnemonic Codes
are alphabetic characters in the
form of acronyms and other
combinations
that
convey
meaning.
Keuntungan
supports the reconciliation of a
batch of transactions, such as
sales orders, at the end of
processing.
Dapat menginsert kode baru
tanpa harus mengatur ulang
keseluruhan coding structure.
Kerugian
Sequential codes carry no
information content beyond
their order in the sequence.
1.
dapat
meningkatkan
biaya
penyimpanan, mempromosikan
kesalahan administrasi, dan
meningkatkan waktu proses dan
usaha.
memfasilitasi representasi
sejumlah besar data yang
beragam.
2. memungkinkan
struktur
data yang kompleks untuk
diwakili dalam bentuk hirarki
yang logis dan lebih mudah
diingat oleh manusia.
3. mengizinkan analisis rinci
dan pelaporan baik di dalam
kelas barang dan seluruh
kelas yang berbeda dari
item.
Kapasitas
untuk
mewakili
sejumlah besar item meningkat
secara
dramatis
melalui penggunaan kode abjad
murni atau karakter abjad
tertanam dalam kode numerik
(kode alfanumerik)
1.
2.
pengguna
cenderung
mengalami
kesulitan
menyortir catatan yang
dikodekan abjad.
Although mnemonic codes are
useful for representing classes
of items, they have limited ability
to represent items within a class
4.
5.
6.
The journal voucher history file contains journal vouchers for past periods.
The responsibility center file contains the revenues, expenditures, and other resource utilization
data for each responsibility center in the organization.
the budget master file contains budgeted amounts for revenues, expenditures, and other
resources for responsibility centers.
CHAPTER 7
COMPUTER-ASSISTED AUDIT TOOLS AND TECHNIQUES (CAATTs)
APPLICATION CONTROLS
prosedur terprogram yang didesain untuk aplikasi tertentu seperti payroll, purchases, cash
disbursement system.
Input Control
Untuk meyakinkan bahwa transaksi valid, akurat, dan lengkap.
Source document input : ada campur tangan manusia, banyak clerical errors, beberapa error tidak bisa
terdeteksi dan dikoreksi dalam tahap input data. Sehingga harus dikonfirmasi ke pihak ketiga.
Direct input : menggunakan teknik editing real-time untuk mengidentifikasi dan mengoreksi kesalahan
sesegera mungkin, shg mengurangi kesalahan yang masuk system.
Classes of Input Control
Source document
controls
Keterangan
Dokumen fisik harus dikontrol
dengan benar karena bisa
menyebabkan organisasi
kehilangan asset.
Ex: pembelian ke supplier fiktif,
A/P akan dicatat dan cek
diterbitkan
Data Coding
Controls
Batch controls
Prosedur Pengendalian
o Pre-numbered Source Documents
o Source Documents in Sequence (keamanan fisik
dokumen harus diperhatikan)
o Periodically Audit Source Documents. (auditor
harus membandingkan jumlah dokumen yang
telah digunakan dengan yang tersisa di
persediaan dan yang dibatalkan karena error)
o Check digitis a control digit (or digits) added to
the code when it is originally assigned that
allows the integrity of the code to be
established during subsequent processing
o Jangan digunakan di essential data (primary and
secondary keys)
Validation controls
Input error
correction
3. File interrogation
Untuk meyakinkan bahwa file yang benar
yang diproses.
o Internal label checks : verifikasi bahwa file
yang diproses adalah yang labelnya benar
o Version checks : verifikasi versi file yang
diproses adalah benar
o expiration date check : mencegah file
dihapus sebelum expired
Three common error handling techniques:
Correct Immediately
Ketika system menggunakan pendekatan validasi
data langsung, deteksi dan koreksi error juga
dilakukan pada data entry. Untuk mendeteksi
keystroke error atau illogical relationship, system
harus menghentikan prosedur entry data sampai
user mengoreksi error.
Create an Error File
Pada delayed validation, error harus ditandai
untuk mencegah data tsb diproses. Di akhir
prosedur validasi, record yang ditandai dihapus
dari batch dan dipindah ke temporary error
holding file hingga error diperiksa.
Reject the Batch
Dilakukan ketika error terkait dengan keseluruhan
batch, dan tidak dikaitkan dengan record yang
mana.
Generalized data
input systems
5 komponen utama:
1. Generalized validation module (GVM):
melakukan validasi standar yang umumnya
dilakukan, harus fleksibel sesuai kebutuhan
user untuk aplikasi yang unik.
2. Validated data file: input data yang divalidasi
GVM disimpan disini.
3. Error file: error record yang terdeteksi
disimpan dalam file, dikoreksi dan dimasukkan
kembali ke GVM.
4. Error reports: didistribusikan ke user untuk
koreksi error.
5. Transaction log: permanen record dari
transaksi yang sudah divalidasi.
Processing Controls
1. Run-to-Run Controls
Untuk meyakinkan bahwa perpindahan batch dari satu program ke program lainnya dilakukan dengan
benar dan lengkap.
Kegunaan: Recalculate Control Totals, Transaction Codes, Sequence Checks
2. Operator Intervention Controls
3. Audit Trail Controls
Dalam system akuntansi, setiap transaksi harus bias ditelusuri dari sumber hingga laporan keuangan.
Contoh teknik yang digunakan:
o Transaction Logs: setiap transaksi yang diproses disimpan dalam transaction log yang disajikan
dalam JURNAL. Alasan dibuat: transc log adalah permanent record dari transaksi, dan tidak semua
record yang divalidasi berhasil diproses.
o Log of Automatic Transactions: beberapa transaksi diproses secara internal oleh system (Ex: ketika
inventory menyentuh titik bawah, system akan otomatis membuat purchase order)
o Listing of Automatic Transactions: untuk pengendalian atas transaksi otomatis oleh system, user
harus menerima daftarnya.
o Unique Transaction Identifiers: setiap transaksi yang diproses harus diidentifikasi secara unik dengan
nomor transaksi.
o Error Listing: daftar record yang salah harus diserahkan kepada user yang berhak untuk koreksi
error.
Output Controls
Untuk meyakinkan bahwa output dari system tidak hilang, misdirected, rusak, atau privasi terganggu.
Jika hal tsb terjadi, akan mengakibatkan gangguan dalam operasi dan kerugian finansial bagi perusahaan.
1. Controlling Batch Systems Output
Tahapan Proses Output
Keterangan
Output Spooling
Output ditransfer ke magnetic dis file, tidak
langsung ke printer.
Print Programs
Bursting
Control
Access and backup procedures
yang memadai
Penggunaan
paper
Supervision
special
multipart
Waste
Data Control
Report Distribution
2.
Paper shredder
Keuntungan:
1. through-the-computer testing, untuk menyediakan auditor bukti eksplisit terkait fungsi aplikasi.
2. Dapat digunakan dengan minimal disruption thd operasi organisasi.
3. Hanya membutuhkan keahlian computer yang kecil sebagai auditor.
Kelemahan:
1. Auditor harus mengandalkan computer service personnel untuk mendapatkan copy dari aplikasi.
2. Menghasilkan static picture pada waktu tertentu.
3. High cost
2.
3.
Parallel Simulation
Auditor membuat program untuk dapat memproses data dan hasilnya dibandingkan dengan hasil
yang didapat dari aplikasi user. (Simulation output vs Production output)
CHAPTER 8
DATA STRUCTURES AND CAATTs FOR DATA EXTRACTION
Data extraction software -> Substantive test
Dalam CAATTs, data extraction software terdapat 2 kategori yaitu:
1. embedded audit modules
2. general audit software
DATA STRUCTURES
Komponen:
1. Organization
Bgmn record disusun secara fisik dalam secondary storage (sequential or random)
2. Access method
Teknik untuk meletakkan record dan mencarinya (direct access or sequential access)
Struktur Data:
1. Flat-file Structures
Individual data files tidak terintegrasi dengan file lainnya. End user memiliki data file sendiri dan tidak
dishare
a. Sequential Structure: berurutan, sederhana, dan mudah diproses.
b. Indexed Structure: file diberi index tersendiri
o Indexed random file
o Virtual Storage access method (VSAM): untuk file yang sangat besar dan membutuhkan
batch processing rutin dan tingkatan dari individual record processing. (kekurangan: does
not perform re-cord insertion operations efficiently)
c. Hashing Structure: menggunakan algoritma dalam mengkonversi primary key secara langsung
ke storage address. (keuntungan: kecepatan, kekurangan: penggunaan storage space tidak
efisien, record key yang berbeda dapat dikonversi sama.
d. Pointer Structures: satu record dijadikan pointer untuk menghubungkan dengan record lainnya.
Tipe2 pointer: physical address pointer (contains the actual disk storage location), relative
address pointer (contains the relative position of a record in the file), logical key pointer
(contains the primary key of the related record).
2. Hierarchical and Network Database Structures
Perbedaan dengan flat-file: integrasi proses dan data sharing.
Relational Database Structure, Concepts, and Terminology
Entity, Occurrence, and Attributes
o Entity: segala sesuatu yang organisasi ingin datanya dicapture.
o Occurrence: jumlah record dari entitas tertentu.
Ex: Organisasi mpy 100 pegawai -> Employee Entity terdiri dari 100 occurences
o Attributes: elemen data yang menentukan sebuah entity.
Ex: attributes di employee entity -> Name, Adress, Job Skill, Masa Kerja, Tarif.
Associations and Cardinality
o Association: hubungan antara dua entity
o Cardinality: tingkat asosiasi antara dua entity
The Physical Database Tables
1. Satu attribute harus unik sbg primary key.
2. Nilai attribute dalam 1 kolom harus dalam kelas yang sama.
3. Masing2 kolom dalam table diberi nama yang unik. Namun, table yang berbeda dapat mengandung
kolom dengan nama yang sama.
4.
Table harus sesuai dengan aturan normalisasi, yaitu bebas dari structural dependencies termasuk
repeating groups, partial dependencies, and transitive dependencies.
Linkages between Relational Tables
Dengan foreign key
User Views: data tertentu yang dilihat oleh users.
Anomalies, Structural Dependencies, and Data Normalization
Database Anomalies
tables exhibit negative operational symptoms
Normalizing Tables
identifikasi dan menghilangkan structural dependencies dalam tabel
Hasil :
1. All nonkey (data) attributes in the table are dependent on (defined by) the primary key.
2. 2. All nonkey attributes are independent of the other nonkey attributes.
Linking Normalized Tables
1:1 Associations
1:M Associations
M:M Associations
Auditors and Data Normalization
Auditor sebaiknya memahami proses bisnis organisasi dan dapat menentukan table mana yang
sebaiknya dinormalisasi.
DESIGNING RELATIONAL DATABASES
6 tahap desain database:
1.
2.
3.
Identify entities.
Construct a data model showing entity
associations.
Add primary keys and attributes to the model.
4.
5.
6.
ACL (audit command language) was designed as a meta-language for auditors to access data stored in
various digital formats and to test them comprehensively
CHAPTER 9
AUDITING THE REVENUE CYCLE
Aktivitas dan teknologi dalam siklus pendapatan
Batch processing using sequential files manual procedures
Batch processing using sequential files automated procedures
Real time sales order entry and cash receipts
Point of sales (POS) system
Daily procedures
End of day procedures
Batch processing using sequential files manual procedures
a) Memperoleh dan mencatat pesanan pelanggan
Diawali pada departemen penjualan dengan menerima customer order yang mengindikasi tipe
tipe kuantitas barang yang diminta, customer order tidak dalam format yang terstandarisasi dan
mungkin bukan berupa dokumen fisik. Jika pelanggan merupakan entitas bisnis juga, customer
order dapat berupa copy dari purchase order mereka.
Tujuan utama dari tahap ini adalah untuk memastikan bahwa data yang relevan terkait transaksi
dicatatkan pada format standar yang dapat diproses oleh sistem penjualan. Dokumen yang
dipersiapkan pada tahap ini adalah sales order.
Salah satu copy atas sales order dimasukan ke dalam customer open order file untuk referensi di
masa yang akan datang.
b) Penyetujuan kredit
Credit authorization copy dari sales order dikirim ke bagian/divisi kredit untuk persetujuan.
Credit copy disimpan dalam customer open order file hingga transaksi selesai.
Kegiatan kegiatan dalam hal penyetujuan kredit ini adalah termasuk verifikasi kelayakan kredit
(credit worthiness), investigasi keuangan pada pelanggan baru, serta penetapan limit kredit yang
dicek setiap ada transaksi.
c) Proses pengiriman pesanan
Departemen penjualan mengirim stock release/picking ticket copy atas sales order ke gudang
untuk otorisasi pengambilan barang pesanan di gudang.
Karyawan gudang menyesuaikan catatan gudang karena pengambilan barang (bukan catatan
akuntansi formal atas aset)
Sebelum barang dari gudang dan stock release copy diterima oleh departemen pengiriman,
departemen ini menerima packing slip (dikirim bersama barang ke pelanggan) dan shipping
notice (informasi untuk departemen penagihan bahwa pesanan telah dikirim) dari
departemen penjualan.
Ketika menerima barang dari gudang, karyawan pengiriman merekonsiliasi barang dengan
stock release document, packing slip, dan shipping notice, dan menyiapkan bill of lading
(bukti pertanggung jawaban barang dalam perjalanan).
Barang + packing slip + dua copy bill of lading diserahkan kepada carrier, kemudian karyawan
pengiriman:
Mencatat pengiriman pada shipping log
Mengirimkan stock release document dan shipping notice ke departemen penagihan
sebagai bukti pengiriman.
Menyimpan copy atas bill of lading dan shipping document
b. Access controls
c. Physical controls
Output Controls
Memastikan informasi tidak hilang, salah, atau corrupted dan bahwa sistem berfungsi dengan baik
Contoh audit trailnya:
AR change report
Transaction logs
Transaction listings
Log of automatic transaction
Unique transaction identifier
Error listings
Pengujianya untuk tujuan kelengkapan dan keakuratan
CHAPTER 10
AUDITING THE EXPENDITURE CYCLE
EXPENDITURE CYCLE ACT& TECHNOLOGIES
-
1.
c.
d.
e.
f.
2.
Receiving Dept
Barang tibareceiving clerk mangakse open PO file secara real time dgn memasukkan nomor PO
dari packing slip
c.
Data Processing
Tugas yang diotomatisasi
1. Jumlah barang yg diterima dicocokkan dgn open PO record dan nilai Y diisikan pada logical
field utk menunjukkan penerimaan persediaan
2. Catatan ditambahkan pada receiving report file
3. Inventory subsidiary record di update
4. Akun inventory control pada GL diupdate
5. Catatan dihapus dari open PO file dan ditambahakan ke open AP file dan tgl jatuh tempo
ditetapkan
Setiap hari, due date field pada catatan AP dicek, dan pada item yang jatuh tempo dilakukan:
a.
b.
c.
d.
e.
Cetak check, ttd dan distribusikan ke mailroom utk dikirim ke vendor EDI vendor, scra
elektronik
pembayaran dicatat pada check register file
Item yg telah lunas dipindahkan di open ke closed AP file
Akun AP&cash pada GL diupdate
Laporan rinci atas transaksi dikirim via terminal ke AP dept&cash disbursement det utk
review&filling.
2.
3.
3.
Disbursement voucher file diupdate dan check disiapkan utk transfer dan ke payroll
imprest account
sistem terima kembali labor distribution summary
2.
Kelengkapan
-membuktikan bahwa AP mewakili seluruh jumlah terutang oleh perusahaan utk pembelian
barang&jasa pada tanggal neraca
-pastikan bahwa lapkeu mencerminkan seluruh barang jasa yg diterima perusahaan, dikurangi
pengembalian
-memverifikasi bahwa lapkeu mencerminkan seluruh jasa/pekerjaan yg dillaksanakan selama
peridoe
3.
Keakuratan
-tetapkan apakah transaski pembelian tercatat secara akurat sesuai
-pastikan AP di subsidiary ledger dan cocok dengan GL
-memverifikasi jumlah gaji sesuai tarif dan jam kerja yg benar
4.
Hak-Kewajiban
-menetapkan apakah AP dan accrued payroll dicatat pada tanggal neraca adalah kewajiban legal
perusahaan
5.
Penilaian&alokasi
-memverifikasi bahwa AP dinyatakanpada jumlah terutang yg benar
6.
Input controls
Didesain utk memastikan transaksi valid, akurat dan lengkap
DATA VALIDATION CONTROLS
Untuk mendeteksi kesalahan penulisan pada data transaksi sebelum data tersebut diproses
Tes validasi untuk siklus belanja adalah:
Missing data checks memeriksa isi field untuk melihat ada tidaknya space kosong
Numeric-alphabetic data checks menentukan apakah bentuk data dalam field telah tepat
Limit checks menentukan apakah nilai dalam field melebihi batas yang diperbolehkan
Range checks menetapkan batas atas dan bawah nilai data yang diperbolehkan
Validity checks membandingkan nilai aktual pada field dengan nilai yang ditetapkan
Check digit mengidentifikasi kesalahan pada key field dengan menguji otorisasi internalnya
EMPLOYEE AUTHORIZATION
Digunakan untuk mencegah kesalahan dan kecurangan dalam penggajian
Testing Employee Authorization Procedures
Terkait keberadaan, keakuratan, penilaian, serta hak & kewajiban
Auditor perlu menentukan apakah prosedur yang efektif telah dijalankan di personnel department
untuk mengidentifikasi pegawai saat ini, mengkomunikasikan status pegawai secara lengkap dan tepat
ke fungsi penggajian, dan mengawasi bahwa otorisasi pegawai dilakukan dengan taat.
PROCESS CONTROLS
Terdiri atas : file update controls, access controls dan physical controls.
1. File Update Controls
Terdiri atas : sequence checke controls, liability validation controls, dan valid vendor controls
Testing File Update Controls
Kegagalan file update controls untuk berfungsi dengan baik akan menyebabkan transaksi:
Tidak terproses (liability tidak tercatat)
Terproses dengan tidak benar
Terposting pada akun supplier yang salah
Pengujian ini terkait asersi keberadaan, kelengkapan, hak&kewajiban, dan keakuratan
Dapat dilakukan dengan pendekatan ITF atau test data
Auditor harus membuat test data yang berisi catatan di luar sequence pada batch dan memverifikasi
bahwa setiap data diproses dengan benar
Pengujian liability validation logic mengharuskan auditor memahami aturan pengambilan keputusan
berdasarkan dokumen-dokumen pendukung. Dengan membuat pengujian atas PO, receiving
reports, dan supplier invoice, auditor dapat memverifikasi apakah decision rule diterapkan dengan
benar.
2. Access Controls
Untuk mencegah dan mendeteksi akses ilegal dan tidak terotorisasi atas aset perusahaan
Teknik tradisional untuk pengendalian akses antara lain:
Pengamanan gudang pagar, alarm, penjaga
Pemindahan aset dengan segera dari dock penerimaan ke gudang
Membayar pekerja dengan check daripada cash
Contoh-contoh risiko spesifik terkait expenditure cycle:
Orang dengan akses ke AP subsidiary ledger dapat menambahkan namanya ke file agar tercatat
perusahaan memiliki liabilitas padahal tidak terdapat transaksi pembelian
Akses ke employee attendance card dapat disalahgunakan untuk membuat paycheck yang tidak
dapat terotorisasi
Orang dengan hak akses ke cash dan AP dapat menghapus cash dari perusahaan dan mencatat
disbursement
Orang dengan akses ke inventory dan catatannya dapat melakukan pencurian dan menyesuaikan
catatannya
Testing Access Controls
Terkait dengan keberadaan, kelengkapan, keakuratan, penilaian dan alokasi, hak dan kewajiban,
serta penyajian dan pengungkapan
Auditor harus memperhatikan kevalidan file vendor untuk menilai kelayakan access control atas file
3. Physical Controls
Purchase system controls
CHAPTER 12
BUSINESS ETHICS, FRAUD, AND FRAUD DETECTION
ETHICAL ISSUES IN BUSINESS
Standar etika berasal dari norma sosial dan kepercayaan/keyakinan pribadi seseorang mengenai yang benar
atau salah yang tidak disetujui secara unversal.
Business Ethics
Etika berkaitan dengan aturan dasar yang digunakan individual dalam membuat pilihan dan menuntun
tingkah laku mereka dalam situasi yang melibatkan konsep benar dan salah.
Etika bisnis berkaitan dengan menemukan jawaban dari pertanyaan:
1) bagaimana para manajer memutuskan apa yang benar dalam memimpin bisnis mereka?
2) apabila sudah diketahui apa yang benar, bagaimana para manajer mencapainya?
Masalh etika dalam bisnis dapat dibagi dalam empat area, yaitu:
equity
rights
honesty
exercise of corporate power
dalam tabel 12.1 disajikan beberapa praktek dan keputusan bisnis dalam area tersebut yang mempunyai
implikasi etis
Mencari keseimbangan antara dampak yang menguntungkan dan dampak yang melukai/merugikan atas
suatu keputusan/kebijakan terhadap konstituen organisasi merupakan tanggung jawab etis dari para
manajer. Sebagai cintoh: keputusan pengimplementasian sistem informasi baru dalam organisasi yang
dapat mengakibatkan beberapa pegawai keghilangan pekerjaan, di samping meberikan dapat
meningkatkan kondisi kerja bagi pegawai yang ada (yang tidak dipecat).
Prinsip-prnsip dasar etis berikut ini akan memberikan beberapa acuan dalam melaksanakan tanggung
jawab etis:
Proportionality.
Keuntungan dari suatu keputusan harus melebihi risikonya. Jangan sampai ada alternatif
keputusan lain yang memiliki keuntungan yang sama atau bahkan lebih besar dengan risiko lebih
kecil.
Justice
Keuntungan keputusan tersebut harus merata sesuai dengan risiko yang diterima. Yang ga
menerima risiko ga dapat keuntungan.
Minimize risk
Meminimalkan risiko bahkan menghndari risiko yang ada
Computer ethics
Computer ethics is the analysis of the nature and social impact of computer technology and the
corresponding formulation and justification of policies for the ethical use of such technology. [This
includes] concerns about software as well as hardware and concerns about networks connecting
computers as well as computers themselves
Tiga tingkatan/level dari computer ethcs:
Pop computer ethics is simply the exposure to stories and reports found in the popular media
regarding the good or bad ramifications of computer technology. Society at large needs to be
aware of such things as computer viruses and computer systems designed to aid handicapped
persons.
Para computer ethics involves taking a real interest in computer ethics cases and acquiring some
level of skill and knowledge in the field. All systems professionals need to reach this level of
competency so they can do their jobs. Students of accounting information systems should also
achieve this level of ethical understanding effectively.
Theoretical computer ethics is of interest to multidisciplinary researchers who apply the theories
of philosophy, sociology, and psychology to computer science with the goal of bringing some new
understanding to the field.
A New Problem or Just a New Twist on an Old Problem
Apakah merupakan masalah etis yang baru atau merupakan bagian/simpul dari masalah lama. Apabila
merupakan bagian dari masalah yang lama, yang diperlukan hanyalah memahami nilai umum yang riskan
(generic values that are at stake) dan kemudian prinsip yang harus diterapkan.
Privacy
Infromasi mengenai diri sendiri yang dapat diakses oleh orang lain dan siapa yang dapat mengakses.
Should the privacy of individuals be protected through policies and systems? What information about
oneself does the individual own? Should firms that are unrelated to individuals buy and sell information
about these individuals without their permission?
Security (Accuracy and Confidentiality)
Computer security merupakan suatu bentuk usaha untuk menghindari kejadian yang tidak diinginkan
sebagai akibat hilangnya confidentiality dan data integrity.
Which is the more important goal? Automated monitoring can be used to detect intruders or other misuse,
yet it can also be used to spy on legitimate users, thus diminishing their privacy. Where is the line to be
drawn? What is an appropriate use and level of security? Which is most important: security, accuracy, or
confidentiality?
Ownership of Property
Bagaimana kepemilikan atas intellectual property seperti software.
Copyright => melidungi pengembang software atas pengkopian software oleh org lain.
the purpose of copyrights is to promote the progress of science and the useful arts, allowing a user
interface the protection of copyright may do just the opposite. The best interest of computer users is
served when industry standards emerge; copyright laws work against this. Part of the problem lies in the
uniqueness of software, its ease of dissemination, and the possibility of exact replication. Does software fit
with the current categories and conventions regarding ownership?
Equity in Access
Beberapa pembatasan akses merupakan bagian intrinsik dari teknologi IS, but some are avoidable through
careful system design.
How can hardware and
software be designed with consideration for differences in physical and cognitive skills? What is the cost of
providing equity in access? For what groups of society should equity in access become a priority?
Enviromental Issues
Should organizations limit nonessential hard copies? Can nonessential be defined? Who can and should
define it? Should proper recycling be required? How can it be enforced?
Artificial Intelligence
Who is responsible for the completeness and appropriateness of the knowledge base? Who is responsible
for a decision made by an expert system that causes harm when implemented? Who owns the expertise
once it is coded into aknowledge base?
Unemployment and Displacement
Should employers be
responsible for retraining workers who are displaced as a result of the computerization of their functions?
Misuseof Computer
contohnya Copying proprietary software, using a companys computer for personal benefit, and snooping
through other peoples files.
Legal Compliance
Codes of ethics should require employees to follow applicable governmental laws, rules, and regulations.
Memberikan pelatihan dan pengarahan mengenai kode etik.
Internal Reporting of Code Violations
The code of ethics must provide a mechanism to permit prompt internal reporting of ethics violations.
Accountability
An effective ethics program must take appropriate action when code violations occur.
Section 301 => komite audit
Skimming involves stealing cash from an organization before it is recorded on the organizations books
and records. One example of skimming is an employee who accepts payment from a customer but does
not record the sale. Another example is mailroom fraud, where an employee opening the mail steals a
customers check and destroys the associated remittance advice.
Cash larceny involves schemes where cash receipts are stolen from an organization after they have been
recorded in the organizations books and records. An example of this is lapping.
Billing schemes, also known as vendor fraud, are perpetrated by employees who cause their employer to
issue a payment to a false supplier or vendor by submitting invoices for fictitious goods or services, inflated
invoices, or invoices for personal purchases. Three examples of billing scheme are a shell company fraud, a
pass-through fraud, a pay-and-return.
Check tampering involves forging or changing in some material way a check that the organization has
written to a legitimate payee. One example of this is an employee who steals an outgoing check to a
vendor, forges the payees signature and cashes the check.
Payroll fraud is the distribution of fraudulent paychecks to existent and/or nonexistent employees. For
example, a supervisor keeps an employee on the payroll who has left the organization.
Expense reimbursement frauds are schemes in which an employee makes a claim for reimbursement of
fictitious or inflated business expenses. For example a company salesman files false expense reports,
claiming meals, lodging, and travel that never occurred.
Thefts of cash are schemes that involve the direct theft of cash on hand in the organization. An example of
this is an employee who makes false entries on a cash register, such as voiding a sale, to conceal the
fraudulent removal of cash. Another example is a bank employee who steals cash from the vault.
Non cash fraud schemes involve the theft or misuse of the victim organizations non cash assets. One
example of this is a warehouse clerk who steals inventory from a warehouse or storeroom.
Computer Fraud
computer fraud includes the following:
The theft, misuse, or misappropriation of assets by altering computer-readable records and files.
The theft, misuse, or misappropriation of assets by altering the logic of computer software.
The theft or illegal use of computer-readable information.
The theft, corruption, illegal copying, or intentional destruction of computer software.
The theft, misuse, or misappropriation of computer hardware.
Data collection
is the first operational stage in the information system. The objective is to ensure that transaction data
entering the system are valid, complete, and free from material errors. In many respects, this is the most
important stage in the system. Should transaction errors pass through data collection undetected, the
organization runs the risk that the system will process the erroneous data and that they will impact the
financial statements.
Masquerading involves a perpetrator gaining access to the system from a remote site bypretending to be
an authorized user. This usually requires first gaining authorized access to a password.
Piggybacking is a technique in which the perpetrator at a remote site taps into the telecommunications
lines and latches onto an authorized user who is logging into the system. Once in the system, the
perpetrator can masquerade as the authorized user. Hacking may involve piggybacking or masquerading
techniques.
Hackers are distinguished from other computer criminals because their motives are not usually to defraud
for financial gain. They are motivated primarily by the challenge of breaking into
the system rather than the theft of assets. Nevertheless, hackers have caused extensive
damage and loss to organizations. Many believe that the line between hackers and the
more classic computer criminals is thin.
Data Processing.
Once collected, data usually require processing to produce information. Tasks in the data processing stage
range from simple to complex. Examples include mathematical algorithms (such as linear programming
models) used for production scheduling applications, statistical techniques for sales forecasting, and
posting and summarizing procedures used for accounting applications.
Program fraud includes the following techniques: (1) creating illegal programs that can access data files to
alter, delete, or insert values into accounting records; (2) destroying or corrupting a programs logic using a
computer virus; or (3) altering program logic to cause the application to process data incorrectly.
Operations fraud is the misuse or theft of the firms computer resources. This often involves using the
computer to conduct personal business. For example, a programmer may use the firms computer time to
write software that he sells commercially. A CPA in the controllers office may use the companys computer
to prepare tax returns and financial statements for her private clients.
Database Management.
The organizations database is its physical repository for financial and nonfinancial data. Database
management fraud includes altering, deleting, corrupting, destroying, or stealing an organizations data.
Information Generation.
Information generation is the process of compiling, arranging, formatting, and presenting information to
users. Information may be an operational document such as a sales order, a structured report, or a
message on a computer screen. Regardless of physical form, useful information has the following
characteristics: relevance, timeliness, accuracy, completeness, and summarization. A common form of
fraud at the information generation stage is to steal, misdirect, or misuse computer output. Scavenging
involves searching through the trash cans of the computer center for discarded output. eavesdropping
involves listening to output transmissions over telecommunications lines.
AUDITORS RESPONSIBILITY FOR DETECTING FRAUD
The current authoritative guidelines on fraud detection are presented in SAS No. 99, Consideration of Fraud
in a Financial Statement Audit, which pertains to the following areas of a financial audit:
1. Description and characteristics of fraud
2. Professional skepticism
3. Engagement personnel discussion
4. Obtaining audit evidence and information
5. Identifying risks
6. Assessing the identified risks
7. Responding to the assessment