Anda di halaman 1dari 24

Nama Kelompok : 1.

Heppy Sri Junita

2. Keke Hasmita

3. Mhd. Ilham Shaufani

Pembahasan : Audit Sistem Informasi Berbasis Komputer

SIFAT AUDIT
American Accouting Association telah merumuskan definisi umum berikut ini untuk audit.
Audit adalah sebuah proses sistematis untuk secara objektif mendapatkan dan mengevaluasi bukti
mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan tingkat
kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan, serta
mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan.

Audit membutuhkan pendekatan langkah perlangkah yang dibentuk dengan perencanaan teliti
serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati. Dalam membuat rekomendasi,
auditor membuat kriteria-kritria, seperti prinsip-prinsip manajemen dan pengendalian, yang telah
dijelaskan dalam bab-bab sebelumnya, sebagai dasar evaluasi.

Para auditor biasanya mengaudit diluar computer (audit around the computer) dan tidak
menghiraukan computer dan program-programnya. Mereka hanya mempelajari catatan dan output
dari system tersebu, dan berfikir jika output telah dengan benar dihasilkan dari system input
system, maka pemerosesan pastilah andal. Pendekatan yang lebih baru, yaitu audit melalui
computer (audit throught the computer), menggunakan computer untuk memeriksa kecukupan
pengendalian system, data dan output. Sebagian besar teknik audit yang didiskusikan dalam bab ini
melibatkan audit melaluii computer.

Standar-standar Audit Internal

Berdasarkan Institute of Internal Auditor (IIA), tujuan dari audit internal adalah untuk
mengevaluasi kecukupan dan efektivitas sistem pengendalianinternal perusahaan, serta
menetapkan keluasan dari pelaksanaan tanggung jawab yang benar-benar dilakukan. Kelima
standar lingkup audit IIA memberikan garis besar atas tanggung jawab auditor internal:

1. Melakukan tinjauan atas keandalan dan integritas informasi operasional dan keuangan,
serta bagaimana hal tersebut didentifikasi, diukur, diklasifikasi dan dilaporkan.
2. Menetapkan apakah system telah didesain untuk sesuai dengan kebijakan operasional dan
pelaporan, perencanaan, prosedur, hokum, dan peraturan yang berlaku.
3. Melakukan tinjauan mengenai bagaimana asset dijaga, dan dimemverifikasi keberadaan
asset tersebut.
4. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan efisien
mereka gunakan.
5. Melakukan tinjauan atas operasional dan program perusahaan,untuk menetapkan apakah
mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi tujuan-
tujuan mereka.
Berbagai organisasi sekarang ini, menggunakan SIA terkomputerisasi untuk memproses,
menyimpan, dan mengendalikan informasi perusahaan. Uuntukk mencapai kelima tujuan yang
telah disebutkan diatas, seorang auditor internal memiliki kualifikasi untuk memeriksa elemen SIA
yang berkomputerisasi dan menggunakan computer sebagai alat untuk mencapai tuujuan-tujuan
audit tersebut.dengan kata lain, keahlian computer merupakan hal yang penting untuk
melaksanakan audit internal.

Jenis-jenis kegiatan Audit internal

Terdapat tiga jenis audit yang biasanya dilakukan, yaitu:

1. Audit keuangan memeriksa keandalan dan integritas catatan-catatan akuntansi (baik


informasi keuangan dan operasional) dan menghubungkannya dengan standar pertama
dari kelima standar lingkup audit internal.
2. Audit system informasi mlkukan tinjauan ats pengendalian SIA untuk menilai
kesesuaiaanya dengan kebijakan dan prosedur pengendalian serta efektivitas dalam
menjaga asset perusahaan. Lingkupnya secara kasar berhubungan dengan standar kedua
dan ketiga dari IIA.
3. Audit operasional atau manajemen berkaitan dengan penggunaan secara ekonomis dan
efisien sumber daya, serta pencapaian sasaran dan tujuan yang telah ditetapkan.
Lingkupnya berhubungan dengan standar keempat dan kelima.

Tinjauan Menyluruh System Audit

Seluruh audit menggunakan urutan kegiatan yang hamper sama, hingga dapat dibagi kedalam
empat langkah: merencanakan mengumpulkan bukti, mengevaluasi bukti, dan mengkomunikasikan
hasil audit. Gambar 10-1 menyajikan tinjauan menyeluruh proses audit, dengan menspsifikasikan
beberapa prosedur yang biasanya dilakukan untuk setiap tahap tersebut. Bagian ini mendiskusikan
keempat tahap audit dan kegiatan-kegatan yang dilakukan secara lebih terinci.

Merencenakan audit

Tinjauan dari perencanaan audit adalah untuk menetapkan mengapa, bagaimana, kapan, dan
oleh siapa audit akan dilaksanakan. Langkah pertama dalam perencanaan audit adalah menetapkan
lingkup dan tujuan audit. Contohnya, lingkup audit sebuah perusahaan terbuka eluas hingga kepara
pemegang saham perusahaan dengan tujuan engevaluasi kejujuran penyajian laporan keuangan.
Sebaliknya, audit internal mungkin memeriksa seluruh divisi, departemen tertentu, atau sebuah
aplikasi computer. Audit internal dapat berfokus pada pengendalian internal, informasi keuangan,
kinerja operasional, atau beberapa kombinasi dari ketiga audit tersebut.

Sebuah tim audit yang memiliki pengalaman dan keahlian yang dibutuhkan akian dibentuk.
Para anggota tim menjadi lebih dalam mengenali pihak yang diaudit (aditee) melaluai diskusi
Merencanakan audit
Tetapkan lingkup dan tujuan
Organisir tim audit
Kembangkan pengetahuan mengenai operasional bisnis
Tinjauan hasil audit sebelumnya
Identifikasi factor-faktor risiko
Siapkan program audit

Mengumpulkan bukti audit


Pengamatan atas kegiatan-kegitan operasional
Tinjauan dokumentasi
Berdiskusi dengan para pegawai
Kuesioner
Pemeriksaan fisik asset
Konfirmasi melalui pihak ketiga
Melakukan ulang prosedur
Pembuktian dengan dokumen sumber
Review analitis
Pengambilan sample audit

Mengevaluasi bukti audit

Nilai kualitas pengendalian internal

Nilai keandalan informasi

Nilai kinerja operasional

Pertimbangkan kebutuhan atas bukti tambahan

Pertimbangkan factor-faktor resiko

Pertimbangkan factor materialitas

Dokumentasikan penemuan-penemuan audit

Mengkomunikasikan hasil audit

Memformulasikan kesimpulan audit

Membuat rekomendasi bagi pihak manajemen

Mempersiapkan laporan audit

Menyajikan hasil-hasil audit ke pihak manajemen


dengan pesonil tingkat supervisor dan operasional, melakukan tinjauan atas dokumentasi system,
dan melakukan tinjauan atas penemuan-penemuan dalam audit terdahulu.

Sebuah audit harus direncanakan sedemikian rupa agar sebagian besar kegiatan audit berfokus
pada area-area yang memiliki factor-faktor risiko tertinggi. Ada tiga jenis resiko dalam melakukan
audit, yaitu:

1. Risiko inheren adalah toleransi atas resiko yang material dengan mempertimbangkan
ketidak beradaan pengendalian. Contohnya, sebuah system yang menerapkan pemrosesan
on-line, jaringan, software database, telekomunikasi, dan bentuk teknologi canggih lainnya,
memiliki lebih banyak risiko inheren daripada suatu system pemrosesan batch yang
tradisional.
2. Resiko pengendalian adalah risiko yang timbul dari kesalahan penyajian yang material
dan berdampak hingga ke struktur pengendalian internal serta ke laporan keuangan.
Sebuah perusahaan yang memiliki pengendalian internal lemah memiliki lebih banyak
risiko pengendalian daripada perusahaan dengan pengendalian internal yang kuat. Risiko
pengendalian dapat ditetapkan dengan cara, melakukan tinjauan atas lingkungan
pengendalian dan mempertimbangkan kelemahan pengendalian yang didentifikasi dalam
audit terdahulu, dan dengan mengevaluasi bagaimana kelemahan-kelemahan tersebut telah
diperbaiki.
3. Risiko pendektesian adalah risiko yang timbul akibat tidak dapat terdektesinya sebuah
kesalahan atau kesalahan penyajian oleh auditor da prosedur audit yang dibuatnya.

Untuk mematangkan tahap perencanaan, sebuah program audit awal dipersiapkan untuk
menunjukkan sifat, keluasan dan waktu prosedur-prosedur yang dibutuhkan untuk mencapai
tujuan audit dan untuk meminimalkan risiko risiko audit. Sutuu anggaran waktu dipersiapkan,
dan para anggota staf akan ditugaskan untuk melaksanakan langkah-lngkah audit tertentu.

Mengumpulkan bukti audit

Sebagian besar usaha audit dihabiskan untuk mengumpulkan bukti. Berikut iini adalah metode-
metode yang paling umum digunakan unttuk mengumpulkan bukti audit:

Pengamatan atas berbagai kegiatan yang diaudit (contohnya, memperhatikan


bagaimana cara para pegawai memasuki lokasi computer atau bagaimana personil
pengendalian data menangani kegiatan pemrosesan data begitu data diterima)
Melakukan tinjauan atas dokumentasi untuk memahami bagaimana suatu SIA atau
siistem pengendalian internal berfungsi.
Diskusi dengan para pegawai mengenai pekerjaan mereka dan bagaimana mereka
melaksanakan beberapa prosedur tertentu.
Kusioner yang dapat mengumpulkan data mengenai system terkait
Pemeriksaan fisik jumlah dan data/ atau kondisi asset berwujud seperti perlengkapan,
persediaan atau kas.
Melakukan konfirmasi atas ketepatan informasi tertentu, seperti seperti saldo rekening
pelanggan, melalui komunikasi dengan pihk ketiga yang independen.
Melakukan ulang prosedur pilihan perhitungan tertentu untuk memverifikasi informasi
kuantitatif dari beberapa catatan dan laporan ( contohnya, auditor dapat menghitung
kembali suatu total batch atau menghitung kembali beban depresiasi tahunan).
Pembuktian uuntuk mendapatkan validitas sebuah transaksi dengan cara memeriksa
seluruh dokumen pendukungnya, seperti pesanan pembelian, laporan penerimaan, dan
faktur penjualan dari pemasok yang mendukung transaksi utang usaha.
Tinjauan analitis atas hubungan dan tren antar informasi untu mendeteksi hal-hal yang
harus diselidiki lebih lanjut (contohnya, seorang auditor untuk jaringan took baju
menemukan bahwa di salah satu toko, rasio piutang usaha terhadap penjualan sangat
tinggi. Sebuah penyelidikan mengungkap bahwa manajer toko tersebut telah
menagalihkan uang dari hasil penagihan, untuk dipakai secara pribbadi).

Oleh karena banyak pengujian dan prosedur audit yang tidak layak untuk dilksanakan
diseluruh rangkaian kegiatan, catatan, asset, atau dokumen yang ditinjau, pengujian dan prosedur
tersebut sering kali dilaksanakan dengan mengambil sampel. Sebuah audit biasa umumnya akan
menggunakan campuran berbagai prosedur. Contohnya, suatu audit yang didesain untuk
mengevaluasi pengendalian internal SIA akan mengggunakan lebih banyak kegiatan pengamatan,
tinjauan atas dokumentasi, diskusi dengan para pegawai, dan pelaksanaan ulang prosedur
pengendalian. Suatu audit informasi keuangan akan berfokus pada pemeriksaan fisik, konfirmasi,
pembuktian, tinjauan analitis, dan pelaksanaan ulang perhitungan saldo rekening.

Mengevaluasi bukti audit

Auditor engevaluasi bukti yang dikumpulkan dengan dasar tujuan audit tertentu, dan memutuskan
apakah bukti tersebut mendukung kesimpulan atau tidak. Apabila kurang mendukung, auditor akan
merencanakan dan melaksanakan prosedur tambahan sampai bukti yang cukup dapat
dikumpulkan untuk menmbuat kesimpulan yang kuat.

Materialitas dan kepastian yang wajar merupakan hal yang penting ketika ingin memutuuskan
seberapa jauh kegiatan audit dibutuhkan dan kapan saat untuk mengevaluasi bukti. Oleh karena
kesalahan selalu ada pada system manapun, para auditor berfokus untuk mendeteksi dan
melaporkan kesalahan-kesalahan yang memiliki dampak signiikan pada interprestasi pihak
manajemen atas penemuan-penemuan audit. Menetapkan matrealitas, yaitu mengenai apa yang
penting dan tidak penting berdasarkan suatu situasi, sebagian besar merupakan masalah penilaian.
Materialitas secara umum lebih penting untuk audit eksternal, yang penekanan umumnya adalah
kejujuran penyajian laporan keuangan, bukan untuk audit internal, yang berfokus untuk
menetapkan tingkat kesesuaian dengan kebijakan manajemen.

Auditor mencari keyakinan yang wajar bahwa tidak ada kesalahan yang material dalam
informasi atau proses yang diaudit. Oleh karena sangat mahal untuk mencari kepastian yang
lengkap, audit harus bersedia menerima sjumlah risiko bahwa kesimpulan audit tidak benar.
Merupakan hal yang penting untuk disadari bahwa ketika risiko inheren atau pengendalian tinggi,
auditor harus mendapatkan keyakinan yang lebih besar untuk mengimbangi ketidakpastian dan
risiko yang lebih besar.

Dalam seluruh tahapan audit, penemuan dan kesimpulan dengan hati-hati didokumentasikan
dalam lembar kerja audit. Dokumentasi sangatlah penting pad tahap evaluasi untuk mencapai dan
mendukung, kesimpulan akhir.

Mengkomunikasikan hasil audit

Auditor mempersiapkan laporan tertulis (dan kadang-kadang lisan) yang meringkas penemuan-
penemuan dan berbagai rekomendasi audit, dengan referensi bukti pendukung dalam lembar kerja.
Laporan ini disajikan kepada pihak manajemen, komite audit, dewan komisaris, dan pihak-pihak
lain yag terkait. Setela hasil audit dikomunikasika, para auditor sering kali melaksanakan penelitian
lanjut untuk memastikan bahwa rekomendasi mereka telah diimplementasikan.

Pendekatan audit berdasarkan risiko (the risk-based audit approach)

Pendekatan empat tahap berikut ini untuk evaluasi pengendalian internal, disebut pula sebagai
pendekatan audit berdasarkan risiko, dan memberikan kerangka logika untuk melaksanakan audit:

1. Tentukan ancaman-ancaman (kesalahan dan ketidakberaturan) yang dihadapi SIA


2. Identifikasi prosedur pengendalian yang diiimplementasikan untuk memenimalkan setiap
ancaman dengan mencegah atau mendeteksi kesalahan dan ketidakberaturan.
3. Evaluasi prosedur pengendalian. Meninjau dokumentasi sisttem dan wawancara dengan
personil yang tepat untuk menetapkan apakah prosedur yang dibutuhkan ada atau tidak,
disebut pula sebagai tinjauan system. Kemudian, uji pengendalian dilaksankan untuk
menetapkan apakah prosedur-prosedur tersebut telah diikuti dengan baik. Uji ini terdiri
dari berbagaii kegiatan seperti mengamati operasional system; memeriksa dokumen,
catatan dan laporan; memeriksa beberapa sampel input dan output system; serta
menelusuri transaksi disepanjang system.
4. Evaluasi kelemahan (kesalahan dan ketidak-beraturan yang tidak teerungkap oleh prosedur
pengendalian) untuk menetapkan pengaruhnya atas sifat, atau keluasan prosedur audit dan
saran pada klien. Langkah ini berfookus pada risiko pengendalian dan apakah system
pengendalian secara keseluruhan menangani hal-hal tersebut atau tidak. Apabila
kekurangan pengendalian teridentifikasi, auditor menanyakan tentang pengendalian
pengimbang (compensating control), atau prosedur- prosedur yang mengimbangi
kekuranngan tersebut. Kelemahan pengendalian disebuah area mungkin dapat diterima
apabila kelemahan tersebut diimbangi dengan kelebihan pengendalian diarea lainnya.

Pendekatan berdasarkan risiko untuk audit memeriksa para auditor pemahaman yang jelas atas
kesalahan dan ketidak beraturan yang dapat terjadi dan risiko serta pajanan yang terkait.
Pemahaman atas hal ini memberikan dasar yang kuat untuk mengembangkan rekomendasi pada
pihak manajemen mengenai bagaimana system pengendalian SIA sehharusnya ditingkatkan.

AUDIT SISTEM INFORMASI

Tujuan audit system informasi adalah untuk meninjau dan mmengevaluasi pengendalian internal
yang melindungi system tersebut. Ketika melaksanakan system audit informasi, para auditor harus
memastikann tujuan-tujuan berikut ini dipenuhi:

1. Perlengkapan keamanan melindungi perlengkapan computer, program komunikasi, dan


data dari akses yang tidak sah, modifikasi atau penghancuran.
2. Pengembangan dan perolehan program dilaksanakan ssuai dengan otorisasi khusus dan
umum dari pihak manajemen.
3. Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
4. Pemrosesan transaksi , file, laporan, dan atatan computer lainnya telah akurat dan lengkap.
5. Data sumber yang tidak akurat atau yang tidak memiliki otorisasi yang tepat diidentifikasi
dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
6. File data computer telah akurat, lengkap, dan dijaga kerahasiaannya.
Gambar 10-2 melukiskan hubungan diantara keenam tujuan ini dengan komponen-komponen
system informasi. Setiap tujuan tersenut didiskusikan secara lebih terinci dalam bagiian berikut.
Setiap deskripsi terdiri dari rencana untuk mencapai setiap tujuan di atas, dan juga teknik serta
prosedur yang diperlukan untuk melaksanakan rencana audit tersebut.

Tujuan 1: keamanan keseluruhan

Table 10-1 berisi kerangka untuk audit keamanan computer. Table tersebut menunjukkan hal-hal
berikut ini:

1. Jenis kesalahan dan penipuan keamanan yang dihadapi oleh perusahaan. Hal ini mencakup
kerusakan yang disengaja atas asset system; akses tidak sah, pengungkapan atau modifikasi
data dan program; pencurian; serta interupsi atas kegiatan bisnis yang penting.
2. Prosedur pengendalian untuk memenimalkan kesalahan dan penipuan keamanan. Hal ini
mencakup mengembangkan rencana keamanan atau perlindungan informasi dari virus,
mengimplementasikan firewall, mengadakan pengendalian atas pengiriman data, dan
mencegah serta memulihkan diri dari kegagalan system atau bencana lainnya.
3. Prosedur audit tinjauan system. Hal ini mencakup memeriksa lokasi computer; melakukan
wawancara dengan para personilnya; meninjau kebijakan dan prosedur; serta memeriksa
daftar akses, kebijakan asuransi, dan rencana pemulihan dari bencana.
4. Prosedur audit pengujian pengendalian. Para auditor menguji pengendalian keamanan
dengan cara mengamati prosedur, memverifikasi bahwa terdapat pengendalian dan
pengendalian tersebut berfungsi seperti dengan yang diharapkan, menginvestigasi berbagai
masalah atau kesalahan untuk memastikan mereka ditangani dengan benar, serta
memeriksa berbagai ujii yang sebelumnya telah dilaksanakan. Contohnya, salah satu cara
untuk menguji pengendalian akses logika adalah dengan melanggar masuk kesistem.
Selama audit keamanan sebuah badan pemerintah Amerika Serikat, para auditor
menggunakan terminal-terminal badan tersebut untuk mendapatkan akses secara tidak sah
ke sistem computer mereka, mematikan prosedur pemeriksaan keamanannya, dan
mengendalikan system keamanan tersebut dari terminal yang mereka pakai. Kegagalan
keamanan dapat terjadi karena kurangnya pengendalian administrative dan software
keamanan yang tidak memadai.
Gambar 10-2

Komponen system informasi dan tujuan audit yang berkaitan


Tujuan 1 : keamanan keseluruhan

Tujuan 5 : data sumber

Data sumber

Entri data

Tujuan 2 :
Data
Pengembangan dan sumber

Perolehan program

Pemrosesan
Program File

Tujuan 3 : Output
Moodifikasi program tujuan 6 :

File data

Tujuan 4 :

Pemrosesan computer
5. Pengendalian pengimbang. Apabila pengendalian keamanan sangatlah tidak cukup, maka
organisasi menghadapi risiko yang besar. Kebijakan personil yang baik dan pemisahan
tugas secara efektif atas pekerjaan yang tidak boleh disatukan, dalam beberapa hal dapat
mengimbangi keamanan computer yang kurang tersebut. Oleh karena hamper tidak
mungkin pengendalian-pengendalian ini dapat mengimbangi secara keseluruhan keamanan
computer yang baik, para auditor harus sangat merekomendasikan agar kelemahhan
keamanan tersebut diperbaiki.

Tujuan 2: pengembangan dan perolehan program

Table 10-2 memeberikan kerangka untuk meninjau dan mengevaluasi proses pengembangan
program. Dua hal yang dapat salah dalam pengembangan program: (1) kesalahan yang tidak
disengaja karena adanya kesalahpahaman atas spesifikasi system

Table 10-1

Kerangka untuk audit keamanan computer

Jenis-jenis kesalahan dan penipuan


Pencurian atau kerusakan yang tidak disengaja dan disengaja atas hardwere dan file
Kehilangan atau pencurian atas atau akses tidak sah ke program, file data, dan sumber
daya system lainnya
Kehilangan atau pencurian atas atau pengungkapan secara tidak sah atas data rahasia
Modifikasi atau penggunaan secara tidak sah program dan file data
Interupsi atas kegiatan bisnis yang penting
Prosedur pengendalian
Rencana keamanan/perlindungan informasi
Pembatasan atas akses secara fisik ke perlengkapan computer
Pengendalian atas akses logika dengan perlindungan password dan prosedur konfirmasi
lainnya
Pengendalian penyimpanan dan pengiriman data seperti enkripsi
Prosedur perlindungan dari virus
Prosedur pembuatan cadangan dan pemulihan file
Desain system yang dapat mentoleransi kegagalan
Rencana pemulihan dan bencana
Pemeliharaan pencegahan
Mengunakan filewall
Asuransi system informasi
Prosedur audit : Tinjauan atas system
Menginspeksi lokasi computer
Meninjau rencana keamanan/perlindungan infomasi
Wawancara dengan personil system informasi mengenai prosedur keamanan
Meninjau dokumentasi tertulis mengenai kebijakan dan prosedur akses secara fisik
Meninjau kebijakan dan prosedur akses logika
Meninjau kebijakn dan prosedur pembuatan cadangan dan pemulihan file
Meninjau kebijakan dan prosedur penyimpanan serta pengiriman data
Meninjau prosedur yang ditetapkan untuk meminimalkan kegagalan waktu system
(system downtime)
Meninjau kontrak pemeliharaan dengan pemasok
Memeriksa daftar akses system
Memeriksa rencana pemulihan dan bencana
Memeriksa kebijakan asuransi apabila trjadi bencana atas system informasi
Prosedur audit : uji pengendalian
Mengamati prosedur akses ke lokasi computer
Mengamati persiapan dan penyimpanan diluar lokasi kantor untuk file cadangan
Meninjau catatan pemberian dan modifikasi password
Menyellidiki bagaimana percobaan akses sah ditangani
Memverifikasi keluasan dan efektivitas penggunaan enkripsi data
Memverifikasi efektivitas penggunaan pengendalian pengiriman data
Memverifikasi penggunaan secara efektif firewall
Memverifikasi penggunaan secara efektif prosedur perlindungan dari virus
Memverifikasi penggunaan pemeliharaan pencegahan serta sumber listrik yang tidak
terganggu
Memverifikasi jumlah dan batasan jaminan asuransi
Memeriksa hasil uji simulasi rencana pemulihan dari bencana
Pengendalian pengimbang
Kebijakan yang baik dalam hal personalia
Penggunaan pengendalian secara efektif
Pemisahan pekerjaan yang tidak boleh disatukan

atau kecerobohan pemrograman, dan (2) perintah tidak sah yang dengan sengaja dimasukkan
kedalam program. Masalah-masalah iini dapat dikendaliakn dengan cara meminta otorisasi serta
persetujuan dari pihak manajemen dan pemakai, pengujian keseluruhan, dan dokumentasi yang
memadai.

Peran auditor dalam pengembangan system harus dibatasi sampai ppada penijauan
independen atas kegiatan pengembangan system. Untuk mempertahankan objektifitas yang
dibutuhkan dalam melaksanakan evaluasi independen atas fungsi, para auditor harus tidak
dilibatkan dalam pengembangan system. Selma peninjauan system, para auditor harus
mendapatkan pemahaman mengenai prosedur pengembangan dengan mendiskusikannya bersama
pihak manajemen, pemakai system, dan para personil system informasi. Mereka juga harus
menninjau kebijakan, pprosedur, standard an dokumentasi yang tercantum pada table 10-2.

Table 10-2

Kerangka untuk audit pengembangan program

Jenis-jenis kesalahan dan penipuan


Kesalahan pemrograman yang tidak disengaja
Kode program yang tidak sah
Prosedur pengendalian
Meninjau perjanjian lisensi softwere
Otorisasi manajemen atas pengembangan program dan persetujuannya untuk spesifikasi
pemrograman
Otorisasi dari pihak manajemen untuk memperoleh softwere
Persetujuan pemakai atas spesifikasi pemrograman
Pengujian keseluruhan atas program yang baru
Pengujian penerimaan oleh pemakai
Dokumentasi system, termasuk persetujuannya yang lengkap
Prosedur audit : tinjauan atas system
Tinjauan independen dan bersamaan atas proses pengembangan system
Tinjauan prosedur dan kebijakan pengembangan/perolehan system
Tinjauan otorisasi system dan prosedur persetujuannya
Tinjauan atas standar evaluasi pemrograman
Tinjauan atas standar dokumentasi program
Tinjauan atas pengujian program dan prosedur persetujuan pengujian
Tinjauan atas prosedur untuk memastikan seluruh softwere yang diperoleh memiliki
perjanjian lisensi hak cipta yang sesuai
Diskusikan prosedur pengembangan system dengan pihak manajemen, pemakai system,
dan personil system informasi
Tinjauan dokumentasi system aplikasi akhir
Prosedur audit : uji pengendalian
Wawancara dengan pemakai mengenai keterlibatan mereka dalam
perolehan/pengembangan serta implementasi system
Tinjauan atas notulen rapat tim pengembangan untuk mendapat bukti keterlibatan
Memverifikasi poin-poin penting penolakan manajemen dan pemakai dalam proses
pengembangan
Tinjauan atas spesifikasi pengujian, data uji, dan hasil pengujian system
Tinjauan atas perjanjian lisensi soft were
Pengendalian pengimbang
Penegendalian pemrosesan yang kokoh
Pemrosesan secara independen data uji oleh auditor

Untuk menguji penegndalian penegmbangan system, para auditor harus mewawancarai para
manajer dan pemakai system, memeriksa persetujuan pengembanggan, dan meninjau notulen
rapat tim pengembangan system. Para auditor harus meninjau secara keseluruhan semua
dokumentasi yang berhubungan dengan proses pengujian dan memastikan bahwa seluruh
perubahan program telah diuji. Auditor harus memeriksa spesifikasi uji, meninjau data uji, dan
mengevaluasi hasil pengujian. Apabila hasil pengujian tidak sesuai dengan harapan, maka auditor
hharus memastikan bagaimana masalah tersebut diatasi. Pengendalian pemrosesan yang kokoh
(lihat tujuan 4) kadangkala dapat mengimbangi pengendalian pengembangan yang kurang baik.
Apabila para auditor bergantung pada pengendalian pengimbang unntuk pemrosesan, mereka
harus mendapatkan bukti yang mendukung ketaatan terhadap system, dengan menggunakan
berbagai teknik seperti pengujian data pemrosesan independen. Apabila bukti sejenis ini tidak bisa
didapatkan, mereka dapat menyimpulkan bahwa terdapat kelemahan yang material dalam
pengendalian internal, dan bahhwa risiko kesalahan atau penipuan dalam program aplikasi terlalu
tinggi hingga tidak dapat diterima.

Tujuan 3: Modifikasi program

Table 10-3 menyajikan kerangka untuk melakukan audit program aplikasi dan perubahan
software system. Kesalahan dan modifikasi system penipuan yang terjadi dalam pengembangan
program dapat juga terjjadi selama modifikasi program. Contohnya, salah seorang programmer
ditugaskan untuk memodifikasi system penggajian perusahaannya, menyisipkan sebuahh perintah
untuk menghapus seluruh file computer apabila berita pemberhentian dimasukkan kedalam
catatannya telah menyebabkan system tersebut bertabrakan dan menghapus file-file utama.
Ketika sebuah perubahan program diserahkan untuk persetujuan, sebuah daftar hal-hal yang
akan di perbarui harus disusun dan kemudian disetujui oleh pihak manajemen dan pemakai
program. Semmua perubahan program harus diuji secara keseluruhan dan didokumentasikan.
Selama proses perubahan, versi pengembangan program harus tetap dipisahkan dari versi
produksi program. Setelah program yang dirubah telah mendapatkan persetujuan akhir, perubahan
tersebut di implementasikan dengan cara mengganti versi produksi dengan versi pengembangan.

Selama tinjauan system, auditor harus mendapatkan pemahaman atas proses perubahan
melalui diskusi dengan manajemen dan personil yang menggunakan program tersebut. Kebijakan,
prosedur dan standar untuk memberikan persetujuan, modifikasi, pengujian, dan dokumentasi
perubahhan harus diperiksa. Bahan dokumentasi akhir yang lengkap untuk perubahan program
yang terbaru, termasuk prosedur dan hasil uji, harus ditinjau. Terakhir, auditor harus meninjau
prosedur yang digunakan untuk membatasi akses loogika ke versi pengembangan proogram
tersebut.

Bagian yang penting dari uji pengendalian yang dilaksanakan seorang auditor adalahh
memverifikasi bahwa perubahan program telah diidentifikasi, didaftar, disetujui, diuji, dan
didokumentasikan. Langkah ini mensyaratkan auditor untuk mengamati bagaimana perubahan.

Walaupun transaksi uji biasanya efektif, teknik tersebut memiliki beberapa kelemahan:

1. Auditor harus menghabiskan banyak waktu untuk mengembangkan pemahaman atas sitem
yang diperiksanya dan mempersiapkan serangkaian transaksi uji yang memadai.
2. Perhatian harus diberikan untuk memastikan bahwa data uji tidak mempengaruhi file dan
database perusahaan. Auditor dapat menelusuuri kembali (reserve) pengaruh transaksi uji
atau memproses transaksi tersebut dalam proses terpisah dengan menggunakan salinan file
atau database terkait. Akan tetapi, perosesan terpisahakan menghilangkan beberapa
keontetikan yang didapat dari proses data uji, dengan transaksi rutin. Selain itu, prosedur
penelusuran kembali (reversal procedures) juga dappat mengungkapkan keberadaan dan
sifat dari uji yang dilaksanakn auditor pada personil utama, sehingga menjadi kurang efektif
disbanding uji yang tersembunyi.

Teknik audit bersamaan

Jutaan dolar transaksi dapat diproses oleh system on-line tanpa meninggalkan jejak audit yang
memuaskan. Dalam kasus semacam ini, bukti dikumpulkan setelah pemrosesan yang diangggapp
tidak cukup untuk tujuan audit. Sebagai tambahan, olehh karena banyak system on-line memproses
transaksi secara terus-menerus, merupakan hal yang sulit atau tidak mungkin untuk menghentikan
system tersebut dan melaksanakan pengujian audit. Jadi auditor menggunakan teknik audit
bersamaan untuk secara terus-menerus mengawasi sitem dan mengumpulkan bukti audit
sementara data langsung diproses selama jam kerja normal. Teknik audit bersamaan menggunakan
modul audit melekat (embedded audit module) yaitu bagian-bagian dari kode program yang
melaksanakan fungsi audit. Mereka juga melaporkan hasil pengujian ke auditor dan menyimpan
bukti yang dikumpulkan untuk ditinjau oleh auditor. Teknik audit bersamaan sangat memakan
waktu dan sulit digunakan, tetapi tidak akan terlalu sulit dilaksanakan apabila digabungkan ketika
program sedang dikembangkan.

Para auditor umumnya menggunakan lima teknik audit bersamaan. Integrated test facility (ITF)
adalah teknik yang menempatkan serangkaian kecil catatan fiktif di file utama. Catatan tersebut
dapat saja mewakili bagian, departemen, atau kantor cabang, pelanggan, atau pemasok fiktif.
Pemrosesan transaksi uji yang memperbarui catatan fiktif ini tidak akan mempengaruhi catatan
asli. Oleh karena catatan fiktif dan yang sesungguhnya diproses bersama-sama, para pegawai
perusahaan biasanya tetap tiddak menyadari bahwa pengujian tersebut berjalan. System tersebut
harus membedakan catatan ITf dari catatan yang sesungguhnya, mengumpulkan informasi atas
dampak transaksi uji, serta melaporkan hasilnya. Auditor akan membandingkan pemrosesan
dengan hasil yang diharapkan, untuk memverifikasi bahwa system tersebut beserta
pengendaliannya beroperasi dengan benar.

Dalam pemrosesan secara batch, teknik ITF meniadakan kebutuan untuk melakukan
penelusuran transaksi uji dan dengan mudah disembunyikan dari para pegawai yang
mengoperasikan system tersebut. ITf sangat sesuai untuk menguji system pemrosesan on-line,
karena transaksi uji dapat dilakukan sesering mungkin, diproses bersama dengan transaksi yang
sesugguhnya, dan ditelusuri melalui seluruh tahap pemrosesan. Semua ini dapat dicapai tanpa
mengganggu operasional pemrosesan yang normal; akan tetapi, perhatian harus diberikan untuk
tidak menggabungkan catatan fiktif dengan yang sesungguhnya selama proses pelaporan.

Teknik snapshot memeriksa cara transaksi di proses. Transaksi yang dipilih ditandai dengan
kode khusus yang akan memicu proses snapshot. Modul-modul audit dalam program terkait
mencatat transaksi-transaksi ini beserta dengan catatan file utamanya, sebelum dan sesudah
pemrosesan. Data snapshot dicatat dalam file khusus dan ditinjau oleh auditor untuk
memverivikasi bahwa seluruh langkah pemrosesan telah dengan benar dilaksanakan.

System control audit review file(SCRF) menggunakan modul audit melekat untuk secara tterus
menerus mengawasi kegiatan transaksi dan mengumpulkan data atas transaksi yang menjadi
tujuan audit. Data tersebut dicatat dalam file daftar SCARF atau daftar audit (audit log). Transaksi-
transaksi yang dicatat dalam file daftar audit adalah yang melebihi batas nilai uang yang telah
ditentkan, atau yang berisi penurunan nilai asset. Secara periodic, auditor akan menerima cetakan
file SCRF, memeriksa informasi tersebut untuk mengidentifikasi transaksi yang meragukan, dan
melaksanakan penyelidikan yang dibutuhkan.

Audit hooks adalah kegiatan audit yang memberikan tanda atas transaksi yang mencurigakan.
Contohnya, para auditor internal di state farm life insurance menyatakan bahwa system pemegang
asuransi mengganti nama atau alamatnya, dan kemudian menarik dana dari asuransi tersebut.
Pegawai asuransi membuat sebuah system audit hooks untuk mengikuti catatan yang memiliki
perubahan nama atau alamat. Departemen audit internal perusahaan tersebut kini akan
diperingatkan apabila catatan yang diikuti tersebut berhubungan dengan penarikan dan dapat
menyelidiki apakah transaksi tersebut merupakan penipuan. Ketika audit hooks digunakan, auditor
dapat diinformsikan mengenai transaksi yang mencurigakan begitu transaksi tersebut terjadi.
Pendekatan ini, disebut sebagai peringatan real-time (real-time notification), yang menunjukkan
sebuah pesan diterminal auditor. Informasi tambahan mengenai penggunaan audit hooks di state
farm, termasuk bagaimana sebuah penipuan besar dideteksi, dijelaskan dalam focus 10-1.

Continuous and intermittent simulation (CIS) meletakkan modul audit dalam system
manajemen database. Modul CIS memeriksa seluruh transaksi yang memperbarui DBMS dengan
menggunakan kriteria yang hampir sama dengan SCARF. Apabila sebuah transaksi memiliki nilai
untuk diaudit, modul tersebut kan secara independen memproses data (dalam cara yang hamper
sama dengan simulasi pararel), mencatat hasil-hasilnya, dan membandingkan hasilnya dengan yang
didapat dari DBMS. Apabila terjadi penyimpangan, rincian penyimpangan tesebuut akan ditulis
dalam daftar audit untuk penyelidikan selanjutnya. Apabila ditemukan penyimpangan yang serius,
CIS akan mencegah DBMS melaksanakan proses pembaruan data.
Analisis logika program

Apabila seorang auditor mencurigai bahwa sebuah program aplikasi berisi kode yang

Fokus 10-1
Menggunakan audit hooks di state farm life
System computer di state farm life insurance company memiliki sebuah computer induk di
Bloomington, Illinois, dan 26 komputer yang lebih kecil dikantor wilayahnya. Di berbagai kontor
yang lebih dari 1.500 terminal dan PC dipakai untuk memperbaharui hamper 4 juta catatan
pemegang asuransi dikomputer induk. System tersebut memproses lebih dari 30 juta transaksi
per tahun. System tersebut menelusuri dana pemegang asuransi yang bernilai lebih dari $ 6,7
milyar.
System on-line real-time ini memperbaharui file dan database begitu transaksi terjadi, jejak audit
berupa kertas berkurang, dan dokumen pendukung untuk perubahan atas catatan pemegang
asuransi telah ditiadakan atau hanya di pertahankan sementara sebelum di proses.
Siapapun yang memiliki akses dan pengetahuan aplikatif atas system tersebut, dapat berpotensi
melakukan penipuan. Pegawai internal memiliki tantangan untuk mengidentifikasi transaksi
asuransi jiwa yang memungkinkan terjadinya penipuan. Untuk melakukan tugas ini, para auditor
internal membahas berbagai cara untuk menipu system tersebut dan memewawancarai berbagai
pemakai system yang dapat memberikan pandangan yang sangat berharga.
Para auditor kini memiliki 33 audit hooks melekat yang mengawasi 92 jenis transaksi. Salah satu
audit hooks mengawasi transaksi tidak normal dalam rekening transfer, yang akan melakukan
kliring atas dana yang sementara ditahan untuk dikreditkan ke beberapa rekening.
Audit hooks tersebut berfungsi dengan sangat baik. Salah seorang pegawai mendapatkan uang
dengan memproses sebuah pinjaman atas polis asuransi saudara laki-lakinya secara tidak sah. Dia
kemudian memalsukan tanda tangan saudara laki-lakinya dan menguangkan cek tersebut. Untuk
menutupi penipuan tersebut, dia harus membayar kembali pinjaman tersebut sebelum laporan
status tahunan dikirim ke saudara laki-lakinya. Untuk melakukan hal tersebut, dia menggunakan
serangkaian transaksi fiktif yang melibatkan sebuah rekening transfer. Penipuan tersebut
terungkap segera ketika audit hooks rekening transfer tersebut mengenali transaksi fiktif pertama
dan memperingatkan auditor.
Dalam waktu sebulan setelah peringatan tersebut, kasus tersebut diselidiki dan pegawai tersebut
diberhentikan.

Sumber : linda marie leinicke, W. Max Rexroad, dan john D, Ward, Computer Fraud Auditing : It Works,
Internal Auditor (Agustus 1990).

tidak sah atau kesalahan serius, maka analisis yang rinci atas logika program mungkin diperlukan.
Proses ini sangat memakan waktu dan membutuhkan keahlian dalam hal bahasa pemograman,
sehingga langkah ini harus digunakan sebagai pilihan terakhir. Untuk melaksanakan analisis
tersebut, auditor merujuk pad bagian alir system dan program, dokumentasi program, dan daftar
kode sumber program. Software berikut dapat dipakai untuk membantu analisis ini:

Automated flowcharting program, yang menerjemahkan kode sumber program dan


membuat bagan alir program berdasarkan kode tersebut.
Automated decision table program, yang mmembuat sebuah table keputusan yang
mewakili logika program.
Scanning routine, yang memeriksa suatu program atas terjadinya nama variable
tertentu atau kombinasi karakter lainnya.
Mapping program, yang mengidentifikasi kode program yang belum berfungsi. Software
ini mengungkapkan kode program yang dimasukkan oleh programmer yang tidak
bertanggung jawab untuk menghapus seluruh file computer ketika dirinya dihentikan,
seperti yang dicontohkan pada bagian sebelumnya.
Program tracing, yang secara berurutan mencetak seluruh langkah program aplikkasi
(berdasarkan nomor baris atau nama paragraph) yang dijalankan selama operasional
program. Daftar ini bercampur dengan output yang normal sehingga auditor dapat
mengamati urutan yang tepat atas suatu kegiatan yang tampak selama pengoperasian
program. Penelusuran program membantu auditor untuk mendeteksi perintah program
yang tidak sah, alur logika yang salah, dank ode program yang belum berfungsi.

Tujuan 5: Data Sumber

Table 10-5 memperlihatkan pengendalian internal yang mencegah, mendeteksi, dan


memperbaiki data sumber yang salah atau tidak akurat. Table tersebut juga memperlihatkan
tinjauan system dan prosedur uji pengendalian yang dapat digunakan auditor untuk melakukan
evaluasi. Dalam system on-lin, entri dan fungsi pemrosesan data sumber merupakan satu kesatuan
operasi. Oleh sebab itu, pengendalian data sumber seperti otorisasi yang memadaidan edit input
data, diintegrasikan dengan pengendalian pemrosesan.

Para auditor menggunakan matriks pengendalian input, seperti yang ditunjukkan dalam
gambar 10-3, untuk mendokumenntasikan tinjauan ats pengendalian data sumber. Matriks
tersebut memperlihatkan prosedur pengendalian yang diterapkan ke setiap field dalam catatan
input.

Para auditor harus memastikan bahwa fungsi pengendalian data independen dari fungsi
lainnya, memelihara daftar pengendalian data, menangani kesalahan dan memastikan efisiensi
umum operasinya. Biasanya tidak layak secara ekonomi bagi perusahaan kecil dan instalasi PC
untuk memiliki fungsi pengendalian data, yang independen. Untuk mengimbanginya, pengendalian
departemen pemakai harus lebih kuat dalam hal persiapan data, pengendalian jumlah total batch,
program edit, pembatasan atas akses secara fisik dan logika ke system, dan prosedur penanganan
kesalahan. Prosedur-prosedur ini harus menjadi focus tinjauan system dan uji pengendalian
auditor, ketika tidak didapati adanya fungsi pengendalian data yang independen.

Walaupun pengendalian data sumber bisa saja tidak sering berubah, batasan penerannya
berubah-ubah. Oleh sebab itu, auditor harus mengujinya secara teratur. Auditor harus menguji
system dengan cara mengevaluasi beberapa sampel data sumber untuk melihat ada tidknya
otorisasi yang mmemadai. Sebuah sampel pengendallian batch harus direkonsiliasi. Sebuah sampel
kesalahan edit data harus dievaluasi untuk memeriksa bahwa kesalahan tersebut telah diselesaikan
dan diserahkan dikembalikan ke dalam system.

Apabila data sumber tidak memadai, pengendalian departemen pmakai dan pemrosesan
computer dapat menjadi pengimbang. Apabila tidak, maka auditor harus sangat
merekomendasikan langkah-langkah untuk memperbaiki kelemahan pengendalian data sumber.

Table 10-5

Kerangka untuk audit pengendalian data sumber


Jenis-jenis kesalahan dan penipuan
Data sumber yang tidak akurat
Data sumber yang tidak sah
Prosedur pengendalian
Penanganan input data sumber secara efektif oleh personil pengendalian
Otorisasi pemakai atas input data sumber
Persiapan dan rekonsiliasi pengendalian jumlah total batch
Mendaftarkan penerimaan, perpindahan, dan pemrosesan input data sumber
Verifikasi pemeriksaan digit (check digit verification)
Verifikasi kunci (key verification)
Penggunaan dokumen yang dapat dikirim kembali
Rutinitas edit data komputer
Pencatatan dan ringkasan perubahan file dipersiapkan untuk tinjauan departemen pemakai
Prosedur yang efektif untuk perbaikan dan penyerahan kembali data yang salah.
Prosedur audit : tinjauan system
Meninjau dokumentasi atas tanggung jawab fungsi pengendalian data
Meninjau dokumentasi administrative atas standar pengendalian data sumber
Meninjau metode otorisasi dan memeriksa tanda tangan otorisasi
Meninjau dokumentasi system akuntansi untuk mengidentifikasi isi data sumber dan
langkah pemrosesan serta pengendalian data sumber tertentu yang di gunakan
Mendokumentasikan pengendalian data sumber akuntansi dengan menggunakan sebuah
matriks pengendalian input
Mendiskusikan prosedur pengendalian sumber data dengan personil pengendalian data,
juga dengan para pemakai serta menejer system terkait.
Prosedur audit : uji pengendalian
Mengamati dan mengevaluasi jalannya departemen pengendalian data dan prosedur
pengendalian data tertentu
Memverifikasi adanya pemeliharaan dan penggunaan daftar pengendalian data secara tepat
Mengevaluasi bagaimana hal-hal yang dicatat dalam daftar kesalahan ditangani
Memeriksa beberapa sampel data sumber akuntansi dalam hal keberadaan otorisasi yang
memadai
Merekonsiliasi sebuh sampel jumlah total batch dan menindaklanjuti penyimpangan
Menelusuri pemrosesan sebuah sampel kesalahan yang ditandai oleh rutinitas edit data
Pengendalian pengimbang
Pengendalian yang kokoh terhadap pemakai
Pengendalian pemrosesan yang kokoh

Tujuan 6: File Data

Tujuan keenam meliputi akurasi, integritas, dan keamanan data yang disimpan dalam file yang
dapat dibaca oleh mesin. Risiko penyimpanan data mencakup modifikasi tidak sah, penghancuran,
atau pengungkapan data. Banyak dari pengendalian yang didiskusikan dalam bab 8 digunakan
untuk melindungi system dari risiko-risiko ini. Apabila pengendalian file sangat lemah, terutama
dalam kaitannya dengan akses fisik atau logika atau dengan prosedur salinan cadangan dan
pemulihan file, maka auditor

Gambar 10-3. Matriks pengendalian Input


Nama catatan Nama Nomor Nam Nomo Kode Akhi Jam Ja komentar
field pegaw a r trans r kerja m
Laporan waktu kerja mingguan ai pega depart aksi ming norma lem
pegawai wai emen gu l bur
(tan
ggal)

Pengendalian input

Jumlah total nilai uang


Jumlah total lain-lain Ya
Penghitungan catatan Tidak
Pemeriksaan silang jumlah akhir
Verifikasi kunci Seluruhfield
Pemeriksaan visual
Verifikasi pemeriksaan digit
Formulir yang telah diberi nomor Tidak
terlebih dahulu
Dokumen yang dapat dikirim Tidak
kembali
Program edit Ya
Pemeriksaan urutan

Pemeriksaan field

Pemeriksaan tanda tangan

Pemeriksaan validitas

Pemeriksaan batas

Pemeriksaan kewajaran

Pemeriksaan data yang sama

Pemeriksaan kelengkapan

Prosedur kelebihan (overflow)


lainnya
harus sangat merekomendasikan perbaikan atas kelemahan-kelemahan tersebut. Table 10-6
meringkas kesalahan, pengendalian, dan prosedur audit untuk tujuan ini.

Pendekatan audit berdasarkan tujuan (auditing-by-objective approach) merupakan alat yang


komprehensif, sistematis, dan efektif untuk mengevaluasi pengendalian internal didalam sebuah
SIA. Hal ini dapat diimplementasikan dengan menggunakan daftar prosedur audit untuk setiap
tujuan. Daftar tersebut harus membantu auditor untuk membuat kesimpulan dengan terpisah bagi
setiap ujian, dan menyarankan pengendalian pengimbangnya ketika sebuah tujuan tidak dapat
dicapai secara penuh. Versi terpisah dari daftar tersebut harus dilengkapi untuk setiap aplikasi
yang signifikan.

Table 10-6

Kerangka untuk audit pengendalian file data

Kerangka kesalahan dan penipuan


Penghancuran atas data yang disimpan akibat kesalahan yang tidak disengaja, kegagalan
fungsi hardwere atau softwere, dan tindakan sengaja untuk melakukan sabotase atau
vandalism
Modifikasi atau pengungkapan yang tidak sah atas data yang disimpan
Prosedur pengendalian
Perpustakaan file yang aman serta pembatasan atas akses secara fisik ke file data
Pengendalian akses secara logika dengan menggunakan password dan matriks
pengendalian akses
Penggunaan yang sesuai atas label file dan mekanisme write-protection
Pengendalian pembaruan bersamaan
Penggunaan enkripsi data untuk data yang sangat rahasia
Penggunaan softwere perlindungan virus
Pemeliharaan salinan cadangan atas seluruh file data di lokasi luar kantor
Penggunaan daftar hal-hal yang perlu diperiksa (check point) dan pelacakan (rollback)
untuk memfasilitasi pemulihan system
Prosedur audit : tinjauan system
Meninjau dokumentasi atas fungsi-fungsi operasional perpustakaan file
Meninjau kebijakan dan prosedur akses logika
Meninjau dokumentasi operasional untuk menetapkan standar yang seharusnya untuk
o Penggunaan label file dan mekanisme write-protected
o Penggunaan softwere perlindungan virus
o Penggunaan penyimpanan data cadangan
o Pemulihan system, termasuk prosedur daftar hal-hal yang perlu diperiksa dan
peacakan
Meninjjau dokumentasi system untuk memeriksa prosedur yang seharusnya untuk
o Penggunaan pengendalian pembaruan bersamaan dan enkripsi data
o Pengendalian konversi file
o Rekonsiliasi jumlah total file utama dengan jumlah total pengendalian yang
independen
Memeriksa rencana pemulihan dari bencana
Mendiskusikan prosedur pengendalian file data dengan para menejer dan operator system
Prosedur audit : Uji pengendalian
Mengamati dan mengevaluasi operasional perpustakaan file
Meninjau catatan pemberian dan modifikasi password
Mengamati dan mengevaluasi prosedur penanganan file bersama personil operasional
Mengamati persiapan dan penyimpanan diluar lokasi kantor dan file cadangan
Memverifikasi penggunaan secara efektif prosedur perlindungan dari virus
Memverifikasi penggunaan pengendalian pembaruan bersamaan dan enkripsi data
Memverifikasi kelengkapan, keadaan saat ini, dan pengujian rencana pemulihan dari
bencana
Merekonsiliasi jumlah total file utama dengan jumlah total pengendalian yang diproses
secara terpisah
Mengamati prosedur yang digunakan untuk mengendalikan konversi file
Pengendalian pengimbang
Pengendalian pemakai yang kokoh
Pengendalian keamanan computer secara efektif
Pengendalian pemrosesan yang kokoh

Para auditor harus meninjau desain system ketika masih terdapat waktu untuk
mengimplementasikan saran-saran mereka atas pengendalian dan fitur audit. Teknik-teknik seperti
ITF, snapshot, SCARF audit hooks dan peringatan secara real-time harus digabungkan kedalam
sebuah system selama masa proses desain, bukan sesudahnya. Dengan pemikiran yang hampir
sama, kebanyakan teknik pengendalian aplikasii lebih mudah untuk didesain masuk kedalam
system daripada ditambahkan kemudian setelah system tersebut dikembangkan.

SOFTWARE KOMPUTER

Beberapa program computer, yang disebut computer audit software (CAS) atau generalized
audit software (GAS) telah dibuat secara khusus untuk auditor. Program tersebut tersedia di
pemasok software dan kantor akuntan public besar. Pada dasarnya, CAS adalah program yang
computer yang, berdasarkan spesifikasi dari auditor, menghasilkan program yang melaksanakan
fungsi-fungsi audit. CAS idealnya sesuai untuk pemeriksaan file data yang besar, untuk
mengidentifikasi catatan-catatan yang membutuhkan pemeriksaan audit lebih lanjut. Contonya,
focus 10-2 menggambarkan bagaimana pemerintah Amerika Serikat menggunakan CAS untuk
memerangi deficit anggaran Negara. Table 10-7 berisi daftar fungsi-fungsi CAS dengan satu atau
lebih contoh audit untuk setiap fungsi tersebut.

Fokus 10-2
Memerangi Defesit anggaran Negara dengan Softwere Audit
Pemerintah Amerika Serikat menemukan bahwa softwere audit komputer adalah alat yang
berharga dalam usaha mereka untuk mengurangi defisit anggaran pemerintah dalam jumlah besar.
Contohnya softwere yang digunakan untuk mengidentifikasi penipuan klaim asuransi medicare dan
menunjukan dengan tepat tagihan-tagihan berlebih yang dilakukan oleh para kontraktor
departemen pertahanan.
Suatu audit computer yang dilaksanakan oleh General Accounting Office (GAO) memeriksa silang
berbagai angka dengan IRS dan menemukan bahwa ribuan veteran perang berbohong mengenai
penghasilan mereka agar dapat memenuhi kualifikasi untuk kompensasi pension. Audit tersebut
mengungkapkan bahwa 116.000 veteran yang menerima pension berdasarkan kebutuhan mereka,
tidak mengungkapkan $338 juta penghasilan dari tabungan, deviden saham, atau sewa. Lebih dari
13-600 veteran mengurangi penghasilan mereka di laporan, bhakan salah seorang dari mereka
tidak melaporkan penghasilannya sejumlah lebih dari $ 300.000.
Sebelum pemeriksaan dengan komputer diadakan, veteran Administration (VA) bergantung pada
para veteran untuk memberikan laporan penghasilan yang akurat. Begitu VA memperingatkan para
penerima kompensasi bahawa penghasilan mereka akan diverifikasi oleh IRS dan social security
administration, kompensasi pension turun sebanyak lebih dari 13.000 orang, dengan penghematan
sebsar $9 juta perbulan, berdasarkan laporan GAO.
VA berencana menggunakan system yang sama untuk memeriksa tingkat penghasilan mereka yang
mengajukan aplikasi untuk asuransi kesehatan. Apabila penghasilan mereka ditemukan diatas suatu
level tertentu, pasien-pasien tersebut akan diminta untuk melakukan pembayaran bersama (co-
payment).

Gambar 10-7 Fungsi-fungsi Umum Softwere Audit Komputer

Fungsi Penjelasan Contoh-contoh

Pemformatan Membaca data dalam format data Membaca catatan persediaan dari
uang struktur data yang berbeda, serta database bagian pembelian dan
mengubahnya ke format dan mengubahnya ke file persediaan
struktur yang umum yang dapat digunakan oleh
program GAS

Manipulasi file Menyortir berbagai catatan ke Menyotir catatan persediaan


dalam susunan yang berurutan, berdasarkan lokasi. Menyatukan
menyatukan berbagai file yang file transaksi pelanggan dengan
diatur berdasarkan perintah file utama bagian piutang usaha
penyortiran yang sama

Perhitungan
Melaksanakan keempat aritmatika Menghitung jumlah total file
dasar, menambah, mengurangi, piutang usaha klien, menghitung
mangalikan, dan membagi ulang penilaian persediaan klien,
menghitung ulang penyusutan
yang dilakukan klien, melakukan
penambahan total penggajian
pegawai per departemen

Pemilihan data
Meninjau file data untuk menarik Mengidentifikasi rekening
berbagai catatan yang memenuhi pelanggan yang memiliki saldo
kriteria tertentu melebihi batas kredit, memilih
seluruh transaksi pembelian yang
melewati jumlah nilai uang
tertentu
Analisis data

Memeriksa catatan untuk melihat Melaksanakan edit data atas file-


kesalahan atau nilai yang hilang, file klien, membandingkan file
membandingkan berbagai field pengajian dan kepegawaian untuk
dalam catatan-catatan yang saling memeriksa konsistensi
berhubungan untuk melihat jika ada
inkonsistensi
Pemrosesan file

Memberikan kemampuan Menggunakan simulasi pararel


pemrograman untuk pembuatan, untuk memverifikasi bahwa
pembaruan, dan download file ke PC perhitungan laba kotor klien
sudah benar, melakukan
download atas sampel catatan
persediaan klien ke PC untuk
dianalisis lebih lanjut guna
mendukung perhitungan
pengujian persediaan

Statistik

Membagi catatan file berdasarkan Membagi rekening pelanggan


penilaian suatu barang, memilih berdasarkan jumlah saldo
sampel statistic, menganalisis hasil rekening dan memlih sampel dari
sampling secara statistic rekening yang telah dibagi-bagi
tersebut sebagai konfirmasi audit
Pembuatan
laporan

Memformat dan mencetak laporan Mempersiapkan analisis rasio dan


serta dokumen trend laporan keuangan,
mempersiapkan daftar umur
piutang usaha, mempersiapkan
konfirmasi audit

Gambar 10-4 memperlihatkan bagaimana CAS digunakan. Langkah pertama auditor adalah
memutuskan tujuan-tujuan audit, mempelajari file serta database yang akan diaudit, mendesain
laporan audit, dan menetapkan bagaimana cara menghasilkannya. Informasi ini akan dicatat dalam
lembar spesifikasi dan dimasukkan kedalam system melalui program input data. Program ini
membuat catatan spesifikasi yang digunakan CAS untuk menghasilkan satu atau lebih program
audit. Program audit memproses file-file sumber dan melaksanakan operasional audit yang
dibutuhkan untuk menghasilkan laporan audit yang telah ditentukan. Sering kali, aplikasi awal CAS
pada computer dilaksanakan untuk mengektrasi informasi utama audit dan menempatkannya
didalam file kerja audit. Laporan dan analisis audit tambahan dihasilkan oleh serangkaian urutan
operasi computer yang menggunakan file kerja audit sebagai inputnya.

Kasus berikut ini menginformasikan nilai software audit. Didalam sebuah kota kecil di new
England, seorang penagih pajak baru saja dipilih dengan mengalahkan orang yang sebelumnya
memegang jabatan yang sama. Penagi pajak yang baru tersebut meminta meminta diadakannya
audit atas catatan penagihan pajak kota tersebiut. Dengan menggunakan CAS auditor yang ditunjuk
mengakses catatan penagihan pajak 4 tahun terakhir, menyotirnyya berdasarkan tanggal
penagihan, menambahkan total pajak yang dikumpulkan bulanan, serta mempersiapkan laporan
ringkasan 4 tahun atas penagihan pajak bulanan tersebut. Analisis auditor mengungkapkan bahwa
penagihan pajak selama bulan januari hingga juli, dua bulan tersibuk dalam setahun, telah menurun
sebanyak 58 persen dan 72 persen, secara spesifik. Auditor menggunakan CAS untuk
mambandingkan catatan-catatan penagihan pajak satu persatu, dengan catatan-catatan property
kota. Laporan selanjutnya mengidentifikasi beberapa penyimpangan, termasuk suatu kasus yang
menyebutkan penagih pajak sebelumnya menggunakan pembayaran dari pembayar pajak lainnya
untuk menutupi tunggakan tagiihan pajjak dirinya sendiiri. Penagih pajak yang sebelumnya ditahan
dan dituntut dengan tuduhan penggelapan.

Tujuan utama dari CAS adalah untuk membantu auditor dalam melakukan tinjauan serta
menarik informasi dari berbagai file computer. Ketika auditor menerima laporan dari CAS, sebagian
besar kegiatan audit akan tetap harus dilaksanakan. Hal-hal yang termasuk didalam laporan
pengecualian harus diselidiki, jumlah total file harus diverifikasi dengan sumber informasi lainnya,
seperti buku besar, dan sampel-sampel audit harus diselidiki serta dievaluasi. Walaupun kelebihan
menggunakan CAS sangat banyak dan dapat dipercaya, CAS tidak dapat menggantikan penilaian
auditor atau membebaskan auditor dari tahap-tahap audit lainnya.

AUDIT OPERASIONAL ATS SUATU SIA

Berbagai teknik dan prosedur yang digunakan dalam audit operasional hamper sama dengan
yang diterapkan dalam audit system informasi dan keuangan. Perbedaan utamanya adalah bahwa
lingkup audit system informasi dibatasi pada pengendalian internal, sementara lingkup audit
keuangan dibatasi pada output system. Sebaliknya, lingkup audit operasional lebih luas, melintasi
seluruh aspek manajemen system informasi.

Gambar 10-4 Gambaran Umum Pemrosesan GAS


Menetapkan Mendapatkan Mengidentifika
Mendesain
tujuan-tujuan dokumentasi si kegiatan
laporan audit
audit database audit

Tujuan-tujuan Dokumentasi Desain laporan Spesifikasi


audit yang database audit kegiatan audit
didokumentasikan

Lembar Lembar
spesifikasi GAS spesifikasi
pengkodean

Monitor
masukan data
Program GAS
untuk masukan
data

Entri data untuk


spesifikasi

Pengoperasian Spesifikasi
GAS pembuatan GAS
program

Program
Audit

File Pengoperasian
sumber audit pertama
audit

File kerja Pengoperasian


Audit tambahan audit

Laporan Laporan Laporan lain-


Daftar sampel
pengecualian ringkasan lain
Sebagai tambahan, tujuan audit operasional mencakup factor-faktor seperti efektifitas, efisiensi
dan pencapaian tujuan.Langkah pertama dalam audit operasional adalah perencanaan audit, yaitu
masa pembuatan lingkup dan tujuan audit, tinjauan awal atas system dilakukan, dan program audit
sementara dipersiapkan.

Pengumpulan bukti mencakup kegiatan-kegiatan berikut ini:

Meninjau kebijakan dokumentasi operasional


Melakukan konfirmasi atas prosedur dengan pihak manajemen serta personil operasional
Mengammati fungsi-fungsi dan kegiatan operasional
Menguji pengendalian

Pada tahap pengumpulan bukti, auditor mengukur sistemyang sesungguhnya dengan system
yang ideal, yaitu system yang mengikuti prinsip-priinsip terbaik dari manajemen system. Salah satu
pertimbangan yang penting adalah hasil-hasil dari kebijakan serta praktik manajemen lebih
signifikan dari kebijakan dan praktik mereka sendiri. Jadi, apabila hasil yang baik dicapai melalui
kebijakan serta praktik manajemen lebih signifikan dari kebijakan dan praktik yang secara teori
lemah, maka auditor harus secara hati-hati mempertimbangkan apakah perbaikan yang
direkomendasikan akan secara substansial memperbaiki hasil. Dalam banyak kejadian, auditor
harus secara menyeluruh mendokumentasikan penemuan-penemuan dan kesimpulan-kesimpulan
tersebut, serta mengkomunikasikan hasil audit ke pihak manajemen.

Menjadi auditor operasional yang baik membutuhkan suatu pengalaman dalam bidang
manajemen. Mereka yang memiliki latar belakang audit yang kuat tetapi lemah dari sisi
pengalaman dalam manajemen, sering kali kurang memiliki perspektif yang dibutukan untuk
memahami proses manajemen. Jadi, auditor operasional yang baik adalah orang yang memiliki
pelatihan dan pengalaman audit serta beberapa ttahun pengalaman di posisi manajerial.